Le cassage des clefs de chiffrement à l’aide d’ordinateurs quantiques avait fait l’objet d’une démonstration magistrale par Renaud Lifchitz lors de NoSuchCon l’hiver dernier. Pas de panique, ce n’est pas pour demain, mais il faut tout de même commencer à s’inquiéter et envisager d’utiliser des mécanismes résistants aux algorithmes de Shor. Les algorithmes symétriques seront très probablement les premiers à tomber, expliquait en substance le chercheur Français.
Depuis, rien n’a fondamentalement changé, si ce n’est que d’autres chercheurs ont donné une conférence sur ce même thème à l’occasion de la dernière Black Hat, aboutissant sans surprise aux mêmes conclusions. Une étude intitulée « The Factoring Dead » et signée Thomas Ptacek, Tom Ritter, Javed Samuel et Alex Stamos.
Le calcul quantique signifie à terme la fin des clefs RSA, et sans clef RSA résistante, on peut prévoir des vagues d’attaques contre TLS et les systèmes de signature de code. Les outils de mise à jour deviendront caducs, les solutions de chiffrement « de bout en bout » (S-mime, PGP) seront inutiles, et l’on pourra sonner le glas des relations de confiance sur Internet. Bref, ce sera Armageddon, le lait des nourrices tournera et il pleuvra des grenouilles partout sauf dans les bouchons Lyonnais.
Il existe pourtant une solution, expliquent les conférenciers : la cryptographie à courbes elliptiques qui a mis trop de temps à se mettre en place, principalement en raison de sa grande lenteur, d’un manque mathématiciens compétents capables de comprendre cette approche et produire des algorithmes utilisables à grande échelle, sans parler de contraintes légales non négligeables liées à des dépôts de brevets.
Mais ne paniquons pas. Les ordinateurs quantiques capables de casser du RSA à la volée ont encore une bonne vingtaine ou trentaine d’années de mûrissement technologique avant de devenir véritablement efficaces. Un répit que pourront mettre à profit les savants du chiffrement, qui bénéficient dès à présent d’une ou deux décennies de travail pour que naisse un successeur à RSA/diffie hellman.
Cela n’empêche pas la NSA de commencer à envisager un monde « post-quantum » ou « post-RSA » explique Bruce Schneier. Un « plan B » ? non, une « Suite B », cocktail d’AES, d’algorithmes elliptiques et de SHA-256/384. Le menu est défini, reste à trouver les cuisiniers pour le préparer et l’accommoder. Pourquoi soudainement une telle hâte ? « Serait-ce parce que la NSA est sur le point de faire fonctionner un prototype d’ordinateur quantique au sein de leur base secrète ? C’est peu probable. Serait-ce parce que la NSA elle-même prévoit que de tels calculateurs verront le jour « ailleurs », et dans un avenir plus proche que les 30 ou 40 ans prévus par les analystes du monde occidental ? Sans aucun doute » estime Schneier. Et de conclure que ce qui préoccupe la NSA doit nécessairement préoccuper l’industrie en général. Reste à deviner où sera situé cet ailleurs du développement quantique. Trois puissances mathématiques sont plausibles : la Russie, la Chine et surtout l’Inde.
Seconde vague de chantage dans l’affaire Ashley Madison : des gangs mafieux utilisent les fichiers publiés pour extorquer de l’argent aux supposés clients, expliquent Brian Krebs et Richard Chirgwin du Reg . Une des victimes se serait suicidée, mais rien de très sérieux ne vient encore étayer cette thèse .
Un routeur sous OpenWRT, un jeu de crochets pour tutoyer d’éventuelles serrures, batteries, keylogger usb, rallonge RJ45… le tout caché dans un talon imprimé « 3D » en PLA, prévu pour s’intégrer gracieusement sur une paire de talon-aiguilles. « Le reste n’est que social engineering, associé à une robe qui ne cache pratiquement rien » explique SexyCyborg, hackeuse Chinoise spécialiste des tenues provoquantes
Pas de doute, on est bien dans le domaine de la photocopie et de l’imprimante, avec ses pratiques parfois douteuses et ses méthodes quelquefois expéditives. Les cartouches de la WorkCentre 6505DN, imprimante laser haut de gamme couleur de chez Xerox, sont marquées par un indicateur régional qui rappelle le zonage des DVD et autres pratiques visant à segmenter les marchés et forcer l’usager à recourir aux services d’un réseau de distribution local. Cette découverte anticoncurrentielle a été révélée par nos confrères Allemands de Heise.de.
Tout comme pour certains lecteurs de DVD, qui se configurent en fonction de la zone du premier médium inséré, c’est la toute première cartouche utilisée qui va déterminer la « nationalité » de l’imprimante.
Initiative incontrôlée d’un ingénieur irresponsable à l’insu du plein gré de la Haute Direction ? Que Nenni explique l’article de C’t, en exhumant, sur l’un des forums Xerox, les récriminations d’utilisateurs déjà lésés par ce genre de pratique en 2011.
D’autres constructeurs, dont HP, ont recours à ce genre de procédé, mis en place pour garantir le meilleur service client possible selon les équipementiers, tout comme le zonage était censé combattre le piratage.
Ce qui, en revanche, pourrait léser les constructeurs spécialistes de l’impression, ce sont les fluctuations des taux de change… et l’absence de frontières des sites de vente en ligne. L’Euro est trop cher ? Les clients se rabattent sur eBay ou Amazon d’Outre Atlantique. Et font l’inverse dès que le dollar remonte. Pour contrer ces pertes la plupart du temps marginales, il suffit de cloisonner le marché et appliquer des politiques tarifaires « à la tête de la nation ». Si d’aventure quelques hackers parviennent à contourner ces formes de DRM, il reste toujours la possibilité de faire travailler quelques avocats.
Une BlackHat s’est à peine écoulée que les 4 ou 5 conférences sur les bugs exploitables des ordinateurs de bord passent presque pour des calembredaines. La plupart des véhicules utilisant un antidémarrage de type Megamos Crypto, nous apprennent MM Roel Verdult, Flavio D. Garcia et Baris Ege peuvent être volés sans trop de peine. Sont ainsi visés les véhicules de Fiat, Honda, Volkswagen Volvo, Alpha Roméo, Audi, Citroën Daewoo, DAF, Isuzu, Iveco, Kia, Lancia… mais également Ferrari, Maserati, Pontiac… au total, 25 marques et plus de 135 modèles contemporains.
Un scoop ? Pas franchement. Car cette communication avait été prévue au programme de Usenix 22, en 2013, et une injonction d’un tribunal Britannique avait interdit toute révélation publique, craignant que cette étude ne vienne inspirer les spécialistes du vol de voiture et du trafic de pièces détachées. Dégagé de tout embargo, le travail des universitaires Hollando-Britanniques peut enfin être publié.
L’essentiel du travail a consisté à déchiffrer les clefs et compromettre le protocole d’authentification du transpondeur Megamos, lequel repose sur un dialogue établi avec un répéteur RFID passif caché dans la clef de contact.
Si, depuis ces deux dernières années, les failles décrites ont très probablement été colmatées, il reste que les anciens modèles faillibles n’ont certainement pas tous fait les frais d’une mise à niveau. Ce qui tombe bien pour tous les automobilistes possédant un kit de développement RFID et souhaitant échanger leur Fiat Punto 2002 contre une Maserati Quatroporte ou une Ferrari 612 Scaglietti.
Ceux que les mathématiques et la lecture d’une analyse technique effrayent peuvent toujours acheter les outils de programmation et des RFID vierges sur AliExpress, plus difficile à museler à coup de tribunaux qu’un quarteron de chercheurs en sécurité.
L’affaire Ashley Madison enflamme les bookmakers Britanniques qui proposent des paris sur les « révélations » qu’apportera l’analyse des fichiers nominatifs piratés, rapporte Graham Clueley . La cote d’un footballeur en première ligue atteint 10 contre 1, un cardinal catholique 2 contre 1 et un membre de la famille royale 5 contre 6
Neil McAllister du Reg relate l’intervention de Bruce Schneier à l’occasion de LinuxCon 2015. Orateur brillant, Schneier s’était peu à peu éloigné de l’infosec tactique, du quotidien de la sécurité, pour ne plus aborder que de grandes généralités stratégiques. Avec cette allocution, le père de Blowfish revient sur le concret, et plus particulièrement sur l’état de cyber-guerre larvée qui existe entre l’Est et l’Ouest. Il est, avoue-t-il, convaincu que la Corée du Nord a bien lancé l’attaque contre Sony en novembre dernier. Il défendait pourtant un point de vue totalement différent lorsque les évènements sont survenus. Et d’expliquer l’importance de ce genre d’attaque. Les Etats-Nation qui s’engagent dans cette forme de guerre asymétrique ne visent pas les objectifs conventionnels auxquels l’on pourrait s’attendre (Ministères, institutions ou infrastructures nationales) mais plutôt des vecteurs économiques privés, ventre mou d’un pays. L’occident, continue Schneier, s’est engagé dans une course à la protection des cibles sensibles et dont la destruction même partielle aurait des conséquences économiques notables. Mais rien n’a été prévu lorsque les motivations de l’attaquant ne sont plus économiques, mais purement politiques ou idéologiques.
Par ailleurs, cette course au cyber-armement garantit à leurs utilisateurs une quasi impunité, car contrairement aux vecteurs utilisés au cours d’un conflit conventionnel, il est rarement possible de savoir d’où le coup est parti. Cacher une attaque en la faisant transiter par la Chine, par exemple, offre un coupable plausible tout désigné à la vindicte populaire, thèse que rien ne vient techniquement étayer. Si de surcroît cette apparente culpabilité arrange les positions politiques des victimes, il est rare que l’on cherche à aller plus loin. L’origine réelle de l’attaque demeurera inconnue. Et d’avancer comme preuve l’ignorance dans laquelle se trouvait le gouvernement Iranien peu de temps après l’opération Stuxnet. Il faudra attendre les révélations de la presse Américaine, plusieurs mois après les accidents de la centrale nucléaire de Natanz, pour que la vérité éclate.
Nous ne sommes qu’aux débuts de cette course au cyber-armement, déplore Bruce Schneier. Les états, les USA, le bloc de l’Ouest, mais également la Chine, la Russie et tant d’autres, se constituent des stocks de plus en plus importants d’armes informatiques. Ce qui me trouble le plus, c’est qu’en cas d’utilisation, nous serons tous touchés, car nous sommes tous situés dans leur périmètre de destruction conclut en substance le crypto-analyste.
Plusieurs opérateurs de téléphonie mobile fliquent leurs usagers à l’aide de « super cookies » nous révèle une étude d’Access (organisation lutant pour la défense des libertés individuelles). Il s’agit (liste non limitative), de AT&T, Bell Canada, Bharti Airtel, Cricket, Telefonica de España, Verizon, Viettel Peru S.a.c., Vodafone NL, et Vodafone Espagne
22 septembre 2015,
Rendez-vous à l’Intercontinental Paris Avenue Marceau
Â
Perte du contrôle du parc, des applications, des utilisateurs ou encore des données ? Comment protéger aujourd’hui le Système d’Information ouvert de l’entreprise ? Quelle entreprise n’a pas au moins un pied dans le Cloud ? Ne possède aucune tablette ou smartphone (personnel ou non) pour accéder au SI ? Quelle société n’entretient pas son image en s’appuyant sur des réseaux sociaux ? Et pour combien de temps encore, arriveront-elles à ralentir voire empêcher le raccordement sur le SI de l’Internet des Objets ? Quelle sécurité actuellement pour les environnements Scada qui au même titre que les objets connectés sont vulnérables ?
Autant de questions et sujets auxquels répondront des experts de tout bord le 22 septembre matin : Experts Sécurité reconnus, Représentant du gouvernement, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.
Exceptionnellement pour fêter le retour de la pause estivale, à l’issue de cette matinée, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne. Un networking pétillant pour achever cette matinée …
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Â
22 septembre 2015,
Rendez-vous à l’Intercontinental Paris Avenue Marceau
Â
Perte du contrôle du parc, des applications, des utilisateurs ou encore des données ? Comment protéger aujourd’hui le Système d’Information ouvert de l’entreprise ? Quelle entreprise n’a pas au moins un pied dans le Cloud ? Ne possède aucune tablette ou smartphone (personnel ou non) pour accéder au SI ? Quelle société n’entretient pas son image en s’appuyant sur des réseaux sociaux ? Et pour combien de temps encore, arriveront-elles à ralentir voire empêcher le raccordement sur le SI de l’Internet des Objets ? Quelle sécurité actuellement pour les environnements Scada qui au même titre que les objets connectés sont vulnérables ?
Autant de questions et sujets auxquels répondront des experts de tout bord le 22 septembre matin : Experts Sécurité reconnus, Représentant du gouvernement, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.
Exceptionnellement pour fêter le retour de la pause estivale, à l’issue de cette matinée, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne. Un networking pétillant pour achever cette matinée …
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Â