Encore un projet de Bug Bounty, lancé par un universitaire de Berkeley, Amit Elazari. Disclose.io se veut une continuation de la plateforme de divulgation de vulnérabilités open source Bugcrowd et CypherLaw. Son Credo est disponible sur Github
Un PoC WhatsApp développé par Checkpoint prouvant qu’il est possible de modifier et d’interférer avec des messages de groupe ou des échanges privés. Démonstration vidéo sur Youtube
Ryder Cup : selon le magazine Golfweek , des serveurs (non stratégiques) de l’association des golfeurs professionnels PGA of America ont été infectés par un crypto-virus. Un 18 trous de sécurité ?
2 millions d’enregistrements médicaux accessibles en ligne sur les serveurs d’un service hospitalier de Mexico… largement de quoi faire les gros titres de iBuzzNews ou Securereading. Las, aucun pirate à l’horizon… mais le fruit du travail de Volodymyr « Bob » Diachenko , Directeur de la Communication de Kromtech et passionné d’analyse du moteur de recherche Shodan. L’article originel, dans un style plutôt alarmiste, a été publié sur LinkedIn, via le compte personnel de l’auteur. Article rapidement suivi par une annonce de recherche d’emploi. Parfois, une mauvaise politique de sécurité peut profiter à une bonne stratégie d’évolution personnelle.
La publication de failles peut également contribuer à assoir une réputation. A tout hasard, celle du groupe Project Insecurity qui s’est penché sur l’un des plus célèbre logiciel open source de gestion de données médicales, OpenEMR. Et si j’appuie là, est-ce que ça vous fait mal ? Le résultat est une interminable litanie d’injections SQL, de bugs d’authentification, d’exploitations distante et autres CSRF, soit 27 pages de descriptions de trous de sécurité accompagnés d’une « preuve de faisabilité ». Une application rapide du correctif cumulatif est vivement conseillée.
Cette nouvelle forme de full responsible disclosure, plus policée, plus « marketée », savamment publiée en période de grands événements infosec, vise essentiellement des secteurs sensibles, susceptibles d’attirer l’attention des médias grand public. Tout ça coûte moins cher qu’une page de publicité ou un stand dans les allées de la BlackHat.
Steve Bellovin explique (en partie) les risques encourus par les black hats pratiquant le « foldering », autrement dit utilisant un compte de messagerie en ligne partagé par plusieurs correspondants et ne servant qu’à stocker des courriels jamais expédiés dans l’espace « brouillon » de l’UA de messagerie
Symantec annonce l’abandon de sa politique d’actionnariat salarié, espérant que cette décision découragera les « gros salaires » et les poussera vers la porte de sortie. Symantec n’a toujours par publié son bilan annuel (formulaire 10K) et fait l’objet d’un audit financier interne.
BH 2018 : Le Pwnie Award pour « la plus lamentable des réactions de la part d’un vendeur » a été attribué à Bitfi (portefeuille de monnaie virtuelle légèrement poreux) et à John McAfee son promoteur, twittos quasi trumpesque et skieur amateur de poudreuse profonde
Crowdstrike vient de conclure une levée de fonds de 200 millions de dollars auprès de General Atlantic, Accel, IVP, March Capital et CapitalG.
Las Vegas, BlackHat Conference : La traditionnelle étude « BH » publiée à l’occasion de la conférence BlackHat affirme que 65% des responsables sécurité travaillant en entreprise (sur un panel d’environ 300 personnes) estiment ne pas avoir assez de personnel qualifié pour assurer les défenses numériques des infrastructures dont ils ont la charge.
Outre cette pénurie de personnel, 66% des interviewés considèrent que les postes déjà occupés le sont par des personnes manquant à la fois d’expérience et de formation. Mais la formation, préalable ou continue, coûte cher et les budgets ne suivent pas, estime 53% du « pool ». Les responsables sécurité ne disposent pas tous d’une enveloppe leur permettant de mener à bien leur mission.
En outre, près de la moitié des personnes sondées déplore la faible proportion de « femmes et membres des minorités ». Le machisme de la profession, en partie provoqué par la politique de dissuasion de la chaîne d’enseignement dans les disciplines scientifiques et techniques, est accru par les critères de sélection pratiqués tant par les départements RH que par les cabinets de chasseurs de tête ou les responsables de services en place, peu enclins à accepter une remise en question de leur autorité.
Une plainte devant la Cour Constitutionnelle Allemande visant les « spyware légaux » de l’Autorité Fédérale, un procès entamé en Grande Bretagne exigeant plus de transparence à propos de l’utilisation des « imsi catchers », une vague de critiques de plus en plus acerbes contre le système de vote électronique aux USA, tant du côté des universitaires que de la communauté hackers, autant d’actes qui montrent à quel point les abus des politiques ont déclenché des réactions qui dépassent le simple sentiment de « ras le bol ». Le message est à chaque fois le même : il ne peut exister de régime réellement démocratique sans l’existence de structures capables de surveiller et de limiter les agissements des gouvernements, particulièrement dans le domaine des NTIC.
En Allemagne, DW, c’est l’association Digital Courage secondée par un groupe de parlementaires qui dénonce ce risque de glissement progressif des systèmes d’espionnage numérique. Outils exceptionnels destinés à des situations exceptionnelles (terrorisme, grand banditisme), leur usage tend à se banaliser et à empiéter sur les affaires relevant du droit commun. De là à l’instauration d’une écoute permanente visant à réprimer le moindre voleur de poule, il n’y a qu’un pas.
Réaction comparable en Grande Bretagne ou plusieurs associations de défense des libertés individuelles -Liberty, Privacy Intl.-, ont décidé d’engager des poursuite après du « First-Tier tribunal » pour abus d’usage des systèmes de traçage de terminaux mobiles, alias Imsi Catchers. Car les dépenses en matière d’outils de flicage sont à la hausse, indiquent nos confrères du « Reg » : 1 million de livres pour le Grand Londres, 170 000 livres pour la police d’Avon et Somerset, presque 150 000 livres dans le Yorkshire sud… qui dit dépenses sous-entend usage, et cette intensification des usages dépasse, et de très loin, les affaires de terrorisme qui ont justifié la généralisation de ces cellules de surveillance. Entre défense du territoire et banalisation des pratiques policières, seule une politique de transparence permettrait de déterminer si les forces de l’ordre respectent ou non les droits constitutionnels du pays.
Aux USA, nulle véritable coalition visant à intenter un procès, mais une sorte de prise de conscience collective en réaction aux preuves d’ingérence Russes dans le processus électoral de 2016. Un long billet signé par Steve Bellovin explique les grands principes d’une attaque électorale : viser en priorité les points dont le rapport vulnérabilité/conséquences sont les plus importantes, et tenter soit de modifier les résultats du ballot soit pour favoriser un élu, soit pour décrédibiliser le système électoral tout entier, créant par conséquence un chaos démocratique. Et d’analyser les défauts de la longue chaîne allant de l’électeur aux autorités, en passant nécessairement par la machine à voter et la chaine de transfert des informations électorales. C’est dans cette chaine que s’accumulent les principaux problèmes, et ce n’est par prêt de cesser. Car le moindre argument en faveur d’une réduction des coûts séduit les administrations tant locales que Fédérales. Pour preuve, ce projet de vote par appliquette pour smartphone envisagé en Virginie pour les prochaines primaires. Le niveau de protection marketing surpasse tout ce que l’on peut imaginer, explique le site Voatz : blockchain, chiffrement, effacement des historiques, mobilité, biométrie… manque Cloud et Kubernetes pour passer le cap des 100 points au grand bingo-buzzword.
Pirater un vote est un jeu d’enfant ? Sans l’ombre d’un doute répondent les organisateurs de la DefCon. Cette année, le « voting village » convie les enfants de 8 à 16 ans à un grand jeu-concours d’initiation à la sécurité des infrastructures. Politico s’en fait l’écho. Une initiative totalement supportée par R00tz Asylum, un groupe d’éveil aux sciences et techniques à destination de la génération montante. L’éducation aux principes de la cyberdémocratie commence par la maîtrise des principes de base des techniques numériques. Ce n’est ni de la magie, ni des sciences de haut niveau, juste un peu de travail et de réflexion.