Les bons correctifs sont comme les huîtres dans les mois en « R » : c’est par douzaines qu’ils se consomment. Et Microsoft est généreux cette fois, avec une grosse bourriche de 4 douzaines de CVE, dont une faille exploitable dans I.E. et un lot assez fourni de rustines pour 2008 Server. Dans la masse de bouchons l’on trouve les fichiers de mise à niveau de Flash Player.
Précisément, chez Adobe, c’est un tout petit peu plus de 5 douzaines de trous (62 très exactement) que l’on bouche d’un coup. La vie sans flash est plus reposante aux yeux des responsables de déploiement.
La clôture des derniers forums Compuserve est annoncée pour le 15 décembre prochain… Cette évolution de « La Source » (que Compuserve achète en 89), fut successivement absorbée par AOL, puis Oath, puis Verizon nous rappelle cet article de Fast Company. Le service « Compu », c’était l’époque des tous premiers modems 300 bauds, des machines sous CP/M et PC-DOS, des « tricks » que l’on n’appelait pas encore « hacking », des Bulletin Board Service (alias BBS) comme Suptel, OUF, Gufi, le tout dominé par un impressionnant empilement de systèmes et de protocoles propriétaires, tous, cela va sans dire, exempts de virus ou presque faute de véritable moyen de propagation. IP n’était connu que d’une infime frange de nerds lisant Phil Karn dans le texte, Bdale Garbee en traduction proto-technoïde, et les communications étaient facturées au temps et à la distance…
En France, les geeks se réunissaient dans les Microtel Club, les Uber-geek dans les caves de Suptel, les Uber-Super-geek dans les salles informatiques de Renater ou les pizzérias d’Orsay et de Créteil. Une carte réseau Arcnet coûtait 400 francs, un stack tcp/ip pratiquement le double, et un raccordement à un point de présence et l’acquisition d’un nom de domaine plus de 3000 F l’an. Tarif hors facturation du volume échangé, mais incluant une cotisation AFUU. CompuServe, avec ses CD « période d’essais gratuite » diffusés par brassées dans les allées des Comdex et Sicob, entrebâillait de manière plus économique la porte des autoroutes de l’information. Ceux qui en ont emprunté les premières bretelles d’accès sont aujourd’hui proche de l’âge de la retraite.
Tout commence comme une fable de La Fontaine :
Facebook un jour dit au « likers »
« Donnez moi aujourd’hui vos photos très osées
Que les élans d’amour ont fait accumuler.
Je saurais les bloquer, les bannir, les trouver
Si d’aventure votre « ex » venait à les poster ».
… en oubliant de préciser qu’une telle proposition défie elle aussi les règles du bon sens.
En premier lieu, aussi perfectionnés que soient les algorithmes Facebookiens, ils ne pourront jamais détecter autre chose que la photographie communiquée… et non celles prises sous un autre angle ou prise à l’insu de la victime potentielle.
Par ailleurs, rien ne vient garantir que ladite photographie, une fois stockée dans les archives de Monsieur Zuckerberg, ne viendrait pas faire l’objet d’une fuite de données à la mode Yahoo, Equifax ou Deloitte. Car même Facebook n’est pas à l’abri de ce genre d’accident.
Pourrait-on alors imaginer que les administrateurs du temple de l’égotisme mondial confient alors aux utilisateurs un outil capable de digérer ladite photo et n’en délivrer publiquement qu’une « somme de contrôle » spécifique ? Le plus « salé » des clichés perd beaucoup de son érotisme s’il se présente sous la forme d’un condensat, lui-même « salé » on peut l’imaginer. Un condensat qui servirait ensuite à l’opérateur dans la détection d’une éventuelle publication.
L’on échafaude alors tous les abus possibles. Car en l’absence de contrôle du document original, rien n’interdirait alors que des envieux cherchent, à coup d’hermétiques checksum, à déclencher une censure automatique des clichés de la Tour Eifel, du mari de Madame Trompe ou de « l’origine du monde » de Gustave Courbet. Raison pour laquelle de condensat, Facebook point ne veut… seulement l’original qui sera dûment contemplé et approuvé par un comité formé spécialement dans l’analyse des iconographies intimes et compromettantes. Cachons ce sein que nous ne saurions voir… après concertation et mûre contemplation.
… a moins que cette fable loufoque n’ait été écrite que dans le but de lancer, à peu de frais, une campagne de publicité. C’est ça aussi, la vie des réseaux sociaux.
Ce 29 novembre, dans le cadre du campus Sophia Tech de Sophia Antipolis, se déroulera le premier «concours de hack » totalement consacré aux objets de l’Internet. Accès libre (après inscription) et gratuit dans la limite des places disponibles, les participants sont conviés à apporter, outre leurs ordinateurs, câbles Ethernet, désassembleurs divers et autres Kalineries, des outils un peu plus spécifiques. L’annonce précisant même « Ubertooth, Bluetooth dongle, USB cables, multimeter, SD card adapters… » Quelques SDR ne seront pas de trop, et, pourquoi pas, un fer à souder, du fil à wrapper et quelques GoodFET histoire de conter fleurette aux Jtag.
Certes, Ph0wn n’est encore qu’un CTF. Mais la place croissante que prend l’IoT dans la vie numérique quotidienne, l’évolution de son encadrement légal (notamment Outre Atlantique) et ses exploitations parfois spectaculaires (Mirai …) en font un sujet qui mériterait bien la création d’un IoTCon Européen.
Equifax, l’entreprise qui « profile » les demandeurs de prêts bancaires et dont la confidentialité des données s’est avérée très relative, continue de faire les grands titres de quelques publications. Chez TechTarget, l’on apprend que le CEO ne sait toujours pas si, depuis le piratage de ses serveurs, les données de ses dossiers contenant des données à caractère personnel sont chiffrées ou non. Ce à quoi le CEO Paulino do Rego Barros Jr, pressé de questions par une commission d’enquête Sénatoriale, a répondu par un rassurant « pour l’instant, je l’ignore ».
Security Ledger, pour sa part, titre sur les quelques 87 millions de dollars qu’aurait coûté (jusqu’à présent), cette fuite massive de données. Information fournie au fil du formulaire 8K présenté à la SEC, la commission des opérations en bourse US.
Ce n’est là , continuent nos confrères, qu’une estimation provisoire. Le trou financier pourrait bien varier entre 56 et 110 millions de dollars de pertes.
Cette hypothèse haute est tout à fait plausible. Plus de 240 actions en nom collectif ont été intentées contre le « data brocker » titre Bloomberg.
Bruce Schneier, pour sa part, publie le témoignage (à charge) qu’il a fourni devant le comité de la « House Energy and Commerce ». Plaidoyer concluant à l’entière responsabilité d’Equifax dans cette affaire, et la nécessité d’un encadrement plus strict des entreprises faisant commerce des données à caractère personnel.
Plus de 40 000 articles et notes de blogs relatant une prétendue série de hacks organisée par le Department of Homeland Security et visant un avion de ligne Boeing 757. 40 000 mentions mais très peu de doutes soulevés, y compris par nos confrères de la presse spécialisée.
« Prétendue série de hacks», puisque strictement aucune information technique ne vient étayer ces affirmations, et rien non plus ne vient définir ces « hacks ». Car, de l’intrusion à la fuite d’information, de la simple lecture d’un bus de données à l’injection de commande pouvant expédier un avion au « tapis », il existe une foultitude de possibilités et de criticité. Tout au plus sait-on que cette campagne de pentesting visait un aéronef techniquement ancien, et que l’ensemble des tests ont reposé sur des vulnérabilités des systèmes radio. Le reste n’est que peur, incertitude, doute.
Le 757 est un avion de transport des années 80. Sa production a cessé en 2004, et la grande majorité des équipements de contrôle de vol et de communication, à quelques « retrofits » près, datent de cette époque. Epoque à laquelle l’usage des systèmes d’analyse radio (les SDR, ou radios logicielles) n’étaient l’apanage que d’un très faible nombre de personnes : militaires, scientifiques, quelques chercheurs dans les laboratoires des opérateurs…
Il faudra attendre 2012 et le « hack Realtek » du groupe Osmocom pour que l’écoute radio large bande, l’analyse des signaux et des types de modulation et le fuzzing appliqué aux équipements électromagnétiques deviennent à la mode dans le milieu hacker… et encore, très timidement. A cet époque, une grande majorité des systèmes d’aide à la navigation installés sur le 757 avaient déjà 20 ans. Réalisé en 2016, le pentesting du DHS s’attaquait donc à un véhicule vieux de plus de 35 ans. Authentifications des périphériques d’avionique quasiment inexistantes, protocoles simples et non chiffrés, électronique embarquée dont on exigeait plus une fiabilité de fonctionnement qu’une sécurité des données traitées, apparition de technologies naissantes et devant faire leurs preuves dans le domaine des transmissions de commandes… autant de « low hanging fruits » de la SSI assez simples à cueillir avec les outils du XXIème siècle.
Un autre « non-dit » vient entourer le « fud » qui recouvre ce hack légendaire (au sens premier du terme) : avec quels équipements, à quelle distance, avec quelle puissance ces tests ont-ils été menés ? Car il existe une légère différence entre un hacking « en chambre », calmement piloté depuis un bureau situé dans un périmètre de 10 à 50 mètres autour de l’appareil, et un véritable « remote » visant un appareil volant à 30 000 pieds à une vitesse de 400 nœuds. Même en phase critique de décollage ou atterrissage, l’environnement électromagnétique d’un aéroport rend toute discrimination (et ciblage précis) excessivement compliqué. Que celui qui ne s’est jamais perdu dans le filtrage d’une avalanche de transformées de Fourier nous jette le premier Tchebychev.
Tout cela ne veut pas nécessairement dire que l’opération de propagande du DHS soit vaine. Elle vise prioritairement à systématiser l’intégration d’un « owasp de l’informatique embarquée » de l’aviation civile, qui ne dépende pas seulement des constructeurs et équipementiers, comme c’est le cas encore de nos jours dans le secteur automobile. Et ce, malgré un culte de la sécurité et les efforts permanents qui sont le propre de tous les fabricants de machines volantes.
Netcraft annonce la disponibilité d’une nouvelle version de son utilitaire (gratuit) d’antiphishing pour le navigateur Firefox