Ordinateurs, tablettes, smartphones, lecteurs multimédias connectés, périphériques domotiques sans-fil ou « cloudifiés », drones… Gary Davis de McAfee dresse la liste des présents cyber-vulnérables. Plutôt que de voir, sous le sapin, une caméra, un téléphone, un ordinateur, il imagine un Mirai empaqueté dans du papier doré, un trou ASLR CVE-2016-6689 mélangé avec des truffes au chocolat, un héritier de JerusalemB éclairé aux bougies, une dinde truffée au Ransomware. Et de recommander illico les bonnes pratiques habituelles telles que le changement de mot de passe par défaut, le renforcement du réseau Wifi, l’usage de codes PIN robustes, autant de conseils qui ne sont que très rarement écoutés.
Plutôt que de craindre la faille cachée dans le présent, tel Ulysse dans son cheval de bois, ne serait-il pas plus simple de dire les choses telles qu’elle sont. « Cette année, je t’offre un « sploit » d’enfer emballé dans un système Android » ou « je pense que ce CVE manque à ta collection, le voilà amoureusement niché au sein d’un quad-core 8 Go de RAM /256 de SSD ». Voir « Je connais ta passion pour les backdoor, en voilà une collection cachée dans ce bouquet de caméras ». En accompagnant le tout avec la dernière édition d’un Kali câlin par exemple. L’on y gagnerait en sensibilisation à la sécurité informatique ce qu’y perdrait le sensationnalisme anxiogène des vendeurs de sécurité. Car Noël, c’est aussi la fête des bugs.
Bruce Schneier s’amuse des questions parfois farfelues posées par les organismes de sondage en général, et à propos d’une étude Harris en particulier, étude qui établirait que les citoyens US, dans 39 % des cas, seraient prêts à sacrifier une année entière de leur vie sexuelle en échange d’une véritable sécurité numérique, une protection efficace de leur cyber-identité. Pis encore, 41 % d’entre eux abandonneraient volontiers leurs mets préférés tout un mois durant, plutôt que de devoir souffrir le long calvaire des changements de mots de passe en cas de compromission d’un compte.
Ce sont là, estime Schneier, des questions totalement stupides, dénuées de sens, posées uniquement dans le but d’interpeller le lecteur.
Et si le Maître à Penser de la sécurité bien tempérée se trompait ? Car, aussi farfelues que soient ces questions, des personnes y ont répondu sérieusement. Sur la base de ces réponses, l’on pourrait alors en déduire quelques hypothèses scientifiquement étayées. Par exemple que 41 % des personnes interrogées n’ont jamais eu la possibilité de déguster un tournedos Rossini, une cervelle de Canut ou un tablier de sapeur. La soif de sécurité serait-elle le sous-produit du hamburgers-ketchup-root beer, que l’on troquerait sans remord contre un audit sauce ISO2700x ? Il est donc urgent de vérifier cette hypothèse en établissant un programme d’envergure nationale, qui placerait un descendant de Vatel, un élève d’Auguste Escoffier, une armée de disciples de Brillat-Savavin à la tête des cantines scolaires, restaurants d’entreprise et autres gargotes, histoire de vérifier si la LCEN peut résister à un tel test d’intrusion à l’échelon national. La sécurité est un état d’esprit plus qu’une recette dit-on. Corolaire, toute recette, y compris celle de la tarte Tatin, pourrait s’apparenter à un exploit à la fois culinaire et binaire.
39% des sondés auraient également, cela ne fait aucun doute, plus de 80 printemps, âge, dit-on, un peu moins propice aux transports en commun (à deux ou plus vers Cythère) qu’à la recherche d’une cyberquiétude. Ce que l’Abbé de Lattaignant décrivait ainsi
Et que pour le jour où le mot
Viendra seul hélas sans la chose
Il faut se réserver le mot
Pour se consoler de la chose
Vous reprendrez bien un peu de firewall ?
A chaque jour son Troyen Android. Celui-ci a été détecté par l’équipe de Kryptowire et concerne plusieurs modèles de terminaux mobiles utilisant un firmware d’origine Shanghai Adups Technology.
L’envoi discret d’informations contenues dans ces téléphones ne sert, affirme le constructeur, qu’à établir des métriques et récolter des données destinées à l’amélioration du support client. Au nombre de ces données récoltées pour le bien-être des usagers, Kryptowire a compté les identifiant Imsi et IMEI, le contenu des SMS, l’historique des appels, le carnet d’adresse local.
La semaine passée, ont été mises à l’index les marques de téléphone BLU, Infinix, Doogee, Leagoo, IKU, Beeline et Xolo, toutes d’origine Chinoise, toutes visant le marché d’entrée de gamme, toutes utilisant un mécanisme de mise à jour fonctionnant avec des droits « root » et transmettant ses informations sans le moindre chiffrement. Attaque MIM garantie à court terme. La vulnérabilité a été découverte et décrite avec force détails par l’équipe d’Anubis Network.
Les chercheurs estiment que sont ainsi vulnérables près de 55 modèles de terminaux mobiles, vendus sous plus de 7 ou 8 marques soit un total de 2,8 millions d’appareil.
Non, ce n’est pas Mirai, alias « le virus Dyn », mais une nouvelle vulnérabilité immatriculée. CVE-2016-9155. Elle affecte les cameras Siemens/Vanderbilt et exploite (surprise) une vulnérabilité ouvrant accès au serveur Web intégré. Souriez, vous êtes p0wné
Qualcomm promet une prime au bug de 15 000 dollars (via Hackerone) à tout chasseur de faille découvrant une inconsistance dans les processeurs de la famille Snapdragon
« Le dernier périphérique IoT que j’aimerais voir piraté » écrit Matthew Rosenquist, du laboratoire McAfee, en admirant les caractéristiques techniques d’un tracteur agricole monstrueusement grand, abominablement lourd, terriblement autonome… mais pas encore commercialisé puisqu’il s’agit d’un « concept car » pour cultivateurs fortunés. Un tracteur que les plots bétons d’un barrage de police n’effraye pas franchement, et qui, sous-entend notre gourou sécurité, pourrait bien transporter un chargement d’explosif à côté duquel celui de Timothy McVeigh à Oklahoma City ferait figure de pétard de 14 juillet.
Une histoire de cybermenace à ranger dans la catégorie des « scénarii de cinéma totalement irréalistes » qu’affectionne Bruce Schneier. Au prix du tracteur, le budget de l’arsenal des apprentis terroriste friserait le PIB de l’Argentine et surtout remettrait en question le principe même des conflits asymétriques. Espérons qu’aucun Ministre de l’Intérieur ne parcourra ce genre d’article. Il serait capable de filtrer l’accès du Salon de l’Agriculture, classer les production Mc Cormick au rang d’armes de première catégorie, exiger des barrages de police-gendarmerie la fouille systématique des tonnes à purin et, à l’instar des règlementations imposées aux drones, interdire l’approche des villes dans un périmètre équivalent à 5 champs de betteraves (sucrières).
8 décembre 2016, RV à l’Intercontinental Paris Avenue Marceau
Quel(s) outil(s) utiliser ? Comment rester conforme à toutes les législations ? SIEM, IAM, DLP … Administration globale de la sécurité
Transformation digitale des entreprises, ouverture du SI aux clients et partenaires, Cloud public, privé et hybride, Mobilité et IoT … Et des législations en perpétuelle évolution : un cocktail détonnant pour les RSSI, DSI, Dirigeants, CIL, DPO, Responsables métier, DRH car aujourd’hui tout le monde dans l’entreprise est concerné par la Sécurité. Comment se protéger ? Comment être sûr qu’il n’y a pas eu de fuite ou de perte de données, voire être espionné ? Comment rester conforme dans le temps ?
Autant de questions et sujets auxquels répondront le 8 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
L’attaque du siècle qui avait visé Talktalk, fournisseur d’accès et de services Britannique, serait le fait d’un adolescent de 17 ans, nous apprennent nos confrères du Register . Un hack rendu possible en grande partie par d’inexplicables négligences et une totale fantaisie dans le déploiement des correctifs de la part de la DSI
… Mais pas du tout, affirme l’étude de TDC . L’attaque du siècle, c’est BlackNurse, un tout autre Ddos utilisant ICMP et capable de noyer un routeur Cisco avec un flood de moins de 4 Mb/s
DDos-IoT, l’« attaque du siècle de la semaine », nous est promise par Akamai, et surviendra entre les fêtes de Thanksgiving et de Noël. La récente attaque Dyn/Mirai en est la preuve indiscutable. C’est écrit noir sur blanc dans le tout dernier « Q3 State of the Internet / Security Report » (inscription obligatoire) …