Ce n’est par la première fois qu’Hervé Schauer se lance dans la création d’entreprise en général et dans la formation à la sécurité des S.I. en particulier. Son parcours, il le détaillait avec émotion lors des dernières JSSI, le prouve amplement. Qui donc, au tout début des années 90, osait parler de sécurité dans le domaine cryptique des systèmes*nix ? Qui donc, dans les années 2000, a « vendu » l’idée des certifications des hommes et des infrastructures, des normes ISO 27xx aux formations certifiantes ISC²…
Après avoir cédé sa dernière entreprise à Deloitte et libéré de ses obligations contractuelles, ce serial-entrepreneur a donc décidé de relancer une entité… de formation dans le domaine de la sécurité informatique. Avec un nouveau nom, HS2 (il sera difficile de ne pas prononcer le « C »), un nouveau domaine, une nouvelle page fb, LinkedIn et toujours le même alias Twitter @Herve_Schauer
La France vient d’entrer dans le Guiness de Dataloss.db et de ses successeurs, rapportent nos confrères de Bleeping Computer. Les systèmes de la société Parisienne de réservation d’Hotels Fastbooking ont été violés le 14 juin, intrusion découverte 6 jours plus tard (la fenêtre de vulnérabilité était donc relativement étroite).
Durant ce laps de temps, « plusieurs centaines » de comptes clients (nom, nationalité, adresses physique, email et dates de séjour) ont été récupérés. Dans certains cas, précisent nos confrères, ce vol porterait également sur les données bancaires (nom, numéro de compte, date d’expiration). Nulle information ne transpire concernant les conditions de stockage, de chiffrement et de salage des informations en question. L’antenne communication répond « Pour des raisons de sécurité, nous ne pouvons communiquer les détails de notre méthode de cryptage , mais nous pouvons néanmoins vous confirmer que toutes les données de carte (y compris nom, date d’expiration) étaient cryptées ». Ce qui ne répond pas à la question du salage.
Concernant la volumétrie, les seuls chiffres communiqués portent sur les réservations des hôtels au Japon (380 établissements). Fastbooking travaille dans toute la zone Asie-Pacifique et Moyen Orient et ne cible principalement que des hôtels de luxe : la revente de ces identités sur le marché noir risque de faire quelques heureux.
Aux questions plus précises portant sur les actions en cours, un porte-parole de Fastbooking précise que« Nous avons en effet contacté l’ensemble des hôtels dont les données ont été piratées pour les informer et les assister dans les mesures à prendre »…. « Nous avons mandaté une équipe de PCI Forensic Investigators pour procéder aux analyses des éléments techniques »… « une plainte a été déposée auprès de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) et les organismes de paiement ont été contactés afin qu’ils mettent en œuvre les mesures de protection nécessaires des porteurs de cartes. ».
A la question : « avez-vous prévenu directement chacune des victimes potentielles ?  Aucune réponse précise n’a encore été donnée …
McAfee publie son traditionnel « rapport des menaces annuelles » de fin de semestre, et sans surprise, les attaques les plus médiatisées et les nouvelles technologies sont toutes présentes dans ce petit musée des horreurs numériques.
Il faudra donc nous méfier :
– Des ransomwares, qui ont déferlé sur nos systèmes durant ces deux dernières années comme autant d’Attila. Si les serveurs locaux sont déjà protégés, craignons les Huns sur les autres.
– Du machine learning. L’on voit apparaître de plus en plus d’outils de protection et de détection auxquels les éditeurs ont ajouté une pointe d’I.A. afin d’améliorer leur vigilance et leur à -propos. Mais l’I.A. pourrait également servir les intérêts des adversaires, en affûtant leurs bases de connaissance en matière de vulnérabilités exploitables ?
– De l’IoT domotique … celle qui prévient les voleurs de nos absences, celle qui déclenche la chaudière en plein mois d’août, celle qui écoute nos échanges wifi en p0wnant la cafetière et qui sabordent nos transports amoureux en fliquant les données Fitbit. Le risque n’est pas nul, mais les probabilités d’exploitation devraient se limiter aux villas de 25 pièces avec vue sur la mer … Simple question de retour sur investissement.
– Les équipements électroniques connectés qui côtoient nos héritiers et mettent leurs identités et leur intimité en danger … Les cyber-barbies sont-elles vulnérables aux My Little Pony de Troie ?
– Des applications « serverless », dont la diffusion et l’absence de centralisation des moyens de sécurité rendent l’élaboration complexe. Pour s’en rendre compte, il suffit de récupérer un vieil article sur les « agents intelligents » des années 90 et de le remettre au goût du jour par un simple « recherche-remplace ». Techniquement, très peu de choses ont changé en termes de sécurité, de risques et de menaces.
Thomas Escher avec un groupe d’Universitaires Allemands vient de publier un article sur la détection et l’anonymisation des séquences de micropoints imprimés sur chaque sortie d’imprimante laser et destinés à localiser l’origine d’une fuite d’information. Sur github, les sources des outils
Selon une étude Vason Bourne, le poids de la maintenance des équipements « hérités » (avec leur lot de failles) est largement contrebalancé par les coûts attendus du dé -commissionnement du « vieux » et des adaptations des politique SSI sur le « neuf ». Sur HNS