juin 1st, 2010

Cisco publie probablement le premier bulletin d’alerte Scada de son histoire, en signalant l’existence d’une faille dans NBM, le Cisco Network Building Mediator. Ce NBM est en fait l’évolution d’une gamme de produits provenant du rachat de Richards-Zeta, entreprise spécialisée dans les systèmes de commande et de contrôle des fluides dans un bâtiment (air conditionné, électricité, éclairage, contrôle d’accès et alertes sécurité diverses). La faille offrirait, précise le bulletin, des possibilités d’escalade de privilège et des interceptions d’information. Les équipements seraient en outre coupables d’un péché originel souvent rencontré, celui des « crédences par défaut ». Pis encore, l’alerte Cisco suppute que ce bug pourrait être endémique, et que les anciennes installations effectuées par Richards-Zeta seraient susceptibles d’être frappées du même mal.

Généralement,une simple « panne » de circulation d’air a pour conséquence, dans les immeubles de grande hauteur, l’évacuation du bâtiment. C’est là un automatisme logique de sécurité. Si une telle panne provoquée risque également de débloquer les contrôles d’accès physique au bâtiment, les scénarii les plus fous peuvent être imaginés. Avec un tel défaut, n’importe qui peut… s’inspirer des exploits possibles pour écrire un roman techno-policier. Il ne reste plus qu’à dresser la liste des établissements financiers utilisant un système NMB, puis de vérifier si l’accès à celui-ci est possible via l’interface Web de consultation de compte-client ou par le truchement du réseau VoIP de la banque. *
*NdlC Note de la Correctrice : On devrait peut-être déposer l’idée… avant que Spielberg ou que Quentin Tarentino nous la pique

1 milliard de dollars : c’est, nous apprend Globe & Mail, le montant estimé de la facture « sécurité » du prochain sommet du G20 à Toronto. Démesuré ?

« Fail » de la part d’IBM/ISS qui, à l’occasion d’une conférence sécurité organisée par le CERT Australien, a distribué des clefs USB infectées par deux virus. C’est Sophos qui balance.

Plateforme de fuzzing estampillée Cert US. Elle repose sur une Debian minimaliste interfacée Fluxbox et zzuf de Sam Hocevar.

RSSI, cessez de tenter de prédire les coûts des risques futurs et hypothétiques, cherchez plutôt à chiffrer ceux des accidents passés, selon un billet sur le blog de Securosis

Cryptome publie une véritable histoire de la crypto américaine moderne sous la lorgnette des archives de la M.L. Cypherpunk, et plus exactement de celles de Julian Assange. De 1995 à 2002, une impressionnante collection d’échanges entre gourous du chiffrement.

JobSearch Grande Bretagne prévient ses usagers que son site aurait été piraté. Ce serveur Web, spécialisé dans les offres et demandes d’emplois, n’aurait pourtant, assurent ses responsables, laissé fuir aucune information personnelle ou curriculum vitae… « seulement quelques logs de connexions ». La page d’alerte indique cependant qu’une procédure de réinitialisation de tous les mots de passe a été entamée, par mesure de précaution.

Cette mésaventure rappelle le double accident de Monster.com, site international relativement semblable et possédant des antennes en France, dont les bases de données avaient été piratées notamment courant janvier dernier. Dans ce cas également, une campagne d’incitation au changement de mot de passe avait été lancée. Certaines données personnelles avaient été exposées. La première « fuite » de Monster, courant 2007, aurait porté sur près de 1,3 millions de comptes.

Le taux de chômage dans les différents pays d’Europe en général et en France en particulier étant en croissance constante, il est évident que la récupération de fichiers nominatifs peut servir les intérêts d’escrocs de plus en plus intéressés par cette clientèle. Phishing, scam, recrutement de réseaux de mules, carambouille à « l’intermédiaire financier », tous les moyens sont bons pour saigner des victimes souvent déstabilisées, dans une situation de détresse morale et financière parfois critique. La responsabilité des exploitants du « chômage-business » n’en est que plus grande et les fuites d’autant plus inexcusables.

Le blog du MSRC vient d’adopter une mise en page « concentrée », limitée aux seuls titres et premières lignes de chaque billet. Un « relooking » sans aucun niveau de lecture et difficilement exploitable …