C’est un dialogue d’outre-tombe, entre deux récents disparus.
D’un côté, Paul Allen, emporté par un cancer en ce début de semaine, l’un des fondateurs de Microsoft, grand collectionneur de guitares électriques, mécène, startupeur en série, et surtout principal pourvoyeur financier du projet Seti ( Search for extraterrestrial intelligence). Pour que les équipes du Seti puissent construire leur grand réseau de radiotélescopes et participer notamment aux mesures des jets astrophysiques à haute énergie, il signa un chèque de 25 millions de dollars.
De l’autre, le cosmologiste Stephen Hawking, qui a quitté le monde des sciences en mars dernier. Son livre postume « Brief Answers to the Big Questions », également sorti cette semaine, tente de répondre aux questions existentielles que se posent les habitants de la terre : l’avenir de l’homme dans un monde dominé par l’I.A., le transhumanisme, l’absence de déité dirigeant l’univers… et ce clin d’œil au Seti : « Il existe des formes de vie intelligentes dans l’univers. Nous devons nous garder de répondre jusqu’à ce que nous disposions d’un peu plus d’informations » (« There are forms of intelligent life out there. We need to be wary of answering back until we have developed a bit further »).
Après 4 ans d’existence discrète, une faille affectant libssh 0.8.4 et 0.7.6 vient d’être colmatée. Le problème n’affecte que les serveurs, ce qui provoque une certaine fébrilité dans les rangs de certains éditeurs. Cisco, mais également Red Hat, Suse, Canonical et consorts alertent leurs administrateurs et les poussent à boucher le trou CVE-2018-10933.
L’exploitation de la faille semble excessivement simple. Il suffit à un poste client d’envoyer un message de d’approbation d’authentification (SSH2_MSG_USERAUTH_SUCCESS) en lieu et place d’une demande (SSH2_MSG_USERAUTH_REQUEST). En d’autres termes, le requérant utilise un message que seul le serveur serait en droit d’émettre. Une « cuti-réaction » logicielle est disponible sur Github.
50 000 USD d’amende, l’obligation de restituer les gains mal acquis et 8 mois d’assignation à résidence. Tel est le verdict condamnant Sudhakar Reddy Bonthu, l’un des patrons d’Equifax qui avait vendu des actions de l’entreprise avant que l’annonce de la fuite de 143 millions d’identités ait été rendue publique. Jun Ying, CIO d’une branche de l’entreprise à l’époque, avait été inculpé pour des motifs comparables et avait plaidé coupable.
Plus que quelques jours pour enfiler une polaire et se précipiter à Yverdon les Bain, sur les rivages du lac de Neuchatel pour assister à Black Alps du 8 au 9 novembre. Deux jours d’ateliers et de conférences InfoSec animées par quelques célébrités : Axelle Apvrille, Renaud Lifchitz, Paul Rascagnères…
Suivre ensuite l’autoroute en direction de Lausanne, Genève, Annecy et cap sur Grenoble, ou se déroulera, le 16 novembre, l’édition 2018 de GreHack qui accueillera notamment Marius Muench venu parler des Screaming Channels, Mathieu Cunche et Leonardo Cardoso, explorateurs de l’inaudible, Charles Guillemet, entre open source et électronique sécurisée… l’équipe de Cnis Mag sera heureuse de vous y rencontrer.
Une traversée de massif central plus tard, BotConf, sixième édition, se tiendra à Toulouse du 4 au 7 décembre prochain (le premier jour étant réservé aux «ateliers »). Les inscriptions sont encore ouverte, la liste des interventions arrêtée.
20 jours plus tard, il faut cingler vers Leipzig où se déroulera le traditionnel 35C3 du 27 au 30 décembre. La date d’achat des tickets d’entrée « officielle » est fixée au 8 novembre… si tout n’est pas déjà parti durant la période de prévente.
Les dépenses mondiales « I.T. » en 2019, estime le cabinet Gartner, devraient croître de 3.2 points pour atteindre 3800 milliards de dollars, dont 22% pour le seul secteur du Cloud
Nouvelle inculpation aux USA pour interférence dans le processus électoral, annonce le Département de la Justice US . Elena Alekseevna Khusyaynova, ressortissante Russe, est accusée d’avoir été la « banquière » des cellules de cyber-déstabilisation
Talos alerte sur les dangers de CVE-2018-4013 affectant la bibliothèque LIVE555, laquelle est utilisée notamment par VLC et Mplayer .
Truquées, les Présidentielles ? Certes non. Mais « au cas où », il n’est pas inutile de prendre des mesures de protection. Surtout à l’approche des élections à mi-mandat, si importantes dans les 50 Etats de l’Union.
Facebook,par exemple, promet de bannir toutes fausses informations durant une campagne, notamment celles ayant défrayé la chronique durant la dernière consultation Nationale d’Outre Atlantique : bureaux de votes prétendument saturés par d’interminables files de votants, rumeurs d’émeutes ou d’attentats et autres contenus pouvant retenir les électeurs chez eux. Le message émis depuis Menlo Park a été relayé par l’agence Reuter. Il est dans l’intérêt de Facebook de jouer la carte de la probité et de la crédibilité, d’une nouvelle virginité pourrait-on dire, surtout peu de temps après la révélation d’une série de failles de sécurité menaçant quelques dizaines de millions d’abonnés. C’est surtout l’aveu d’avoir, par le passé, joué les caisses de résonance aux « fake news » électorales.
C’est d’ailleurs cette même semaine que vient d’être condamné à 6 mois de prison et 6 mois d’assignation à résidence Richard Pinedo, pour vol d’identité et achat d’identités sur le marché noir, contournement des mesures de sécurité protégeant des organismes de crédit, ouverture de comptes en banque illégaux ou pour le compte de tierces personnes résidant aux USA et à l’étranger, et notamment au profit de l’Internet Research Agency Russe qui fut à l’origine de nombreuses opérations de manipulation d’opinion via Facebook durant les dernières élections Présidentielles US. L’homme de paille aurait ainsi ouvert des centaines de comptes en banque, facilité des transferts de fonds inter-états et collecté des dizaines de milliers de dollars par le biais de ces comptes douteux. Ses aveux et sa collaboration auprès du DoJ aurait permis l’inculpation de 13 ressortissants Russes impliqués dans ces opérations frauduleuses.
Des Etats Unis ,encore, une étude du Center for Internet & Society (CIS) de l’Université de Stanford , qui revient sur une consultation publique lancée il y a un an par l’autorité de régulation des télécoms, la FCC, et qui portait sur la neutralité du Net. Un raz de marée libéral l’emportait haut la main, semblant prouver que les citoyens US étaient favorables à une proportionnalité bande passante/origine de la source d’information, donnant aux grands acteurs tels que les Gafam, un « droit d’usage » supérieur à celui que pourrait détenir des concurrents plus petits ou des organisations moins riches. Insistons sur le fait qu’une consultation est un élément de réflexion et n’a pas force de loi.
Et ce que nous apprend l’étude de Stanford, c’est que sur environ 22 millions de réponses, 21 millions d’entre elles étaient générées par des Bots, des duplicatas, provenaient d’identités falsifiées ou volées, voire de personnes décédées, le tout grâce à une armée d’ordinateurs et une poignée de personnes pudiquement baptisées lobbyistes et qu’en d’autres circonstances l’on appellerait « Bot Herders ». Les seuls « vrais humains » ayant répondu à la consultation (près de 800 000 personnes) sont favorables à 99,7% à cette fameuse neutralité du Net et à la conservation des mesures de protection des acteurs quelle que soit leur taille respective. Le billet de blog de Ryan Singel, rapporteur de l’étude, insiste même sur le fait que les répondants avaient une bonne connaissance du dossier, tant d’un point de vue économique que législatif. Singel dénonce au passage l’inertie de la FCC qui n’a semble-t-il pas chercher à filtrer ces avalanches de fausses opinions et qui serait même allée jusqu’à faire obstruction aux journalistes, au public, au acteurs politiques, leur empêchant de travailler sur les réponses et ainsi comprendre ce que désiraient réellement les citoyens.
Une consultation n’est pas un vote (bis), mais en général les décisions organiques des grandes administrations sont prises à comité restreint et ne sont soumises qu’au vote d’un cénacle de haut-fonctionnaires (qu’il s’agisse de la FCC ou de ses équivalents Européens). Dans ces conditions, toute consultation a quasiment valeur de scrutin… mais un scrutin sans observateurs officiels, sans contrôle anti-fraude, sans la moindre transparence, et qui accepte sans broncher l’opinion affirmée par un botnet.
La politique est-elle en train de se dissoudre totalement dans les nouvelles technologies ? Longtemps, dans la bouche de nos élus, les mots « réseau », « sécurité », « informatique » et autres néologismes électronico-techniques n’étaient qu’une forme dérivée d’une logorrhée scientiste, prometteuse d’un développement économique futur ou d’un renforcement du fichage de masse sous prétexte de protection de la veuve et de l’orphelin et des ayant-droit de l’industrie des loisirs.
Mais après avoir chanté les louanges des TIC, voilà que ces mêmes élus voient leurs certitudes s’évanouir. Et si, après tout, ils n’avaient pas favorisé l’émergence de ce qui sapera le fondement même de leur pouvoir, et notamment les mécanismes électoraux ? Aux USA, en tous cas, le bourrage d’urnes et l’intoxication sont un peu plus que de vagues craintes.
Nos confrères de ZDNet se plongent notamment sur les ventes en gros des fichiers d’électeurs. Dans un pays où le démarchage téléphonique utilise les mêmes méthodes pour refourguer de la lessive ou du candidat, la mise en vente des fichiers électoraux de 19 Etats, soit près de 35 millions d’identités et coordonnées, fait l’effet d’une petite bombe. Une fuite vérifiée et analysée conjointement par deux cabinets spécialisés dans la « threat intelligence », Anomali et Intel471.
Les deux cabinets se complaisent simplement à commenter une sorte de guerre du Golf de la vente de fichiers sur le « darkeunaite », en passant pudiquement sur le fait que ces fichiers ont assez peu d’importance d’un point de vue stratégique. Car la liste ne comporte que 4 « Swing States” (Iowa, Minessota, Ouest Virginie et Wisconsin). Les vendeurs ne s’y sont d’ailleurs pas trompés, puisque c’est le fichier Wisconsin qui est vendu le plus cher, à 12500 USD pour 6 millions de votants, alors que le Texas, qui n’a été un Etat-charnière qu’en 1960, est bradé à 1300 USD pour 14 millions de votants, en très grande majorité Conservateurs. Rien ne prouve non plus que ces mises en vente aient effectivement eu lieu et que les tarifs proposés aient été payés rubis sur l’ongle. Les vendeurs du darkeunaite ressemblent souvent à ces hommes politiques dont la valeur réelle est souvent bien en deçà de celle à laquelle ils s’estiment eux-mêmes.
La campagne de presse orchestrée par les deux « vendors » fait vibrer la corde de la manipulation de masses par une armée de l’ombre à la solde de forces occultes. Ce qui confirme l’idée que les grands messages conspirationnistes et les premiers propagateurs de peur, d’incertitude et de doute sont souvent émis par des professionnels de la prestation sécuritaire facturée à l’heure. Mais il faut reconnaître que l’opération marketing est belle, avec plus de 18 000 résultats Google mentionnant cette étude. Seul le DHS, le département de la sécurité intérieure US, minimise l’importance de l’analyse, non pas parce qu’elle ressemble à une outre remplie de vent, mais parce qu’il est « fortement improbable que ces fichiers soient le résultats d’un hack des serveurs de l’Administration Fédérale ou des Services d’Etats chargés des élections », témoigne Defense One. Une fois de plus, sauver les apparences plutôt que de peser les conséquences de l’événement.