juin 29th, 2011

MasterCard aurait subi le flot d’une attaque en déni de service distribuée si l’on en croit les revendications Twittées par un certain ibomhacktivist. Lequel associait son geste à une nouvelle forme de protestation contre les suspensions de payement visant Wikeleaks. Une « punition » déjà infligée par les Anonymes il y a plus d’un an et qui avait déjà frappé les machines du groupement Visa, de l’intermédiaire Paypal et la banque Helvétique PostFinance. De son côté, MasterCard fait savoir à la presse que certains de ses services ont été partiellement perturbés en raison d’une défaillance de service de son opérateur télécom. Ce qui se résume en trois lignes sur le Wall Street Journal. Une telle action aurait valu la première page des journaux il n’y a pas un an… elle mérite à peine un entrefilet aujourd’hui… la répétition de la violence crée-t-elle une accoutumance ou provoque-t-elle un sentiment de lassitude ?
Comme dans la chanson des Frères Jacques « A la Saint Médard », certains « marchands de pépins et de waterproof, se frottent les mains, faut bien qu’ces gens bouffent ». A lire, dans les colonnes de nos confrères du HNS, cette réaction d’un professionnel de la sécurité qui applaudi à tout rompre les hacks des LulzSec, Anonymous, TeamPoison et autres terreurs du clavier et du Ddos qui gratte. Opportunisme ? Un peu. Mais on ne peut lire ce billet sans remarquer un comeback du fameux débat « would you hire a hacker ? » (Engageriez-vous un pirate ?). Le CTO de l’entreprise en question, Andy Kemshall de SecurEnvoy, voit en ces groupes de pirates ses prochaines recrues et déclare « Les pirates d’aujourd’hui qui agissent dans l’ombre du Lulz ou d’Anon sont les experts de demain »…« les gens choisissent d’ignorer que beaucoup de spécialistes reconnus de nos jours sont d’anciens hackers repentis ». Les anciens Trotzkistes finissent toujours Ministres, les anciens pirates achèvent leur carrière comme auditeur 27001, c’est bien connu.

Le cousin à la mode de Bretagne vient de sortir côté Jardin, et l’agent de police entre en trombe côté cour : le Federal Financial Institutions Examination Council (FFIEC), alias le gendarme des banques aux USA, vient d’émettre une série de règles visant à renforcer la sécurité des transactions… et notamment les mécanismes d’authentification à double facteur (le retour du token ?) et la mise en place d’une défense multicouche (à la Montalembert dit-on en gaulois dans le texte) par opposition à une protection périmétrique dure, « hard and crunchy outside, soft inside ». Rappelons que la notion de double identification a pris un peu de plomb dans l’aile depuis les hacks successifs de Docomo et de RSA et des exploitations qui en ont résulté. Mais le FFIEC n’a jamais brillé pour la lucidité technique de ses analyses et la rapidité de ses recommandations.

Pendant ce temps, à New York, trois associations de joueurs utilisant le réseau PlayStation Network se portent partie civile et accusent Sony de négligence quant à la sécurité de son réseau et la protection des identités de ses clients. Les Anon font au moins quelques heureux en ce bas monde, ce sont les cabinets d’avocats qui, depuis le début de l’histoire, prospèrent au fur et à mesure que se multiplient les « class actions ». En France, nulle réaction des associations et fédérations de joueurs de pétanque, Tarot, Belotte et Beach Volley dont les réseaux semblent totalement inattaquables et qui se moquent éperdument des menaces des Anon à la veille de leur plus importante période d’activité.

Au même moment, un autre éditeur de jeux, Electronic Arts, signale à ses clients que leurs mots de passe ont tous été initialisés, conséquence du « chant du cygne de LulzSec ». Le blog de Sophos en fait mention et recommande pour la énième fois de ne pas utiliser le même mot de passe pour plusieurs services différents, surtout si certains d’entre eux ont des connexions financières.