Ce mercredi 5 décembre se déroulera, à dans les salons de la préfecture Paca, Place Félix Baret à Marseille, le colloque SecNumeco « Acteurs économiques, protégez-vous des cyber risques». D’un côté l’Anssi, de l’autre le Clusir Provence-Alpes-Côte d’Azur, et entre ces deux organismes spécialistes de l’InfoSec, le Service de l’information stratégique et de la sécurité économique (SISSE) et la préfecture de région Paca.
Tout au long de cette matinée, l’on parlera d’outils d’analyse de risque en général et de Ebios en particulier, méthode que l’Anssi tente de mettre en avant depuis quelques mois. Seront également abordés les impacts économiques des risques numériques.
Le programme (ainsi que la procédure d’inscription pour les retardataires) est détaillé sur le site du Clusir.
Les hôpitaux US cherchent à se refaire une santé après une série de cyber-intrusions répertoriées par Databreaches.net. Au moins 21 000 enregistrements concernant des citoyens Californiens, potentiellement 190 000 autres victimes résidant sur le territoire US pourraient être victimes d’une faille provoquée par la compromission de comptes de messagerie de HealthEquity, un organisme de gestion des cotisations santé. L’accès aux comptes de messagerie auraient été limités à quelques jours durant le mois d’octobre, ce qui n’explique pas pour quelle raison l’organisme offre aux victimes 5 années de vérification des activités bancaires et plusieurs autres services d’aides aux victimes de vol d’identité.
Fuite également des fichiers du New York Oncology Hematology touchant 128 000 personnes, personnel soignant et patients.
Ce même jour, on apprend que le St. John’s Episcopal Hospital/ Episcopal Health Services alerte ses patients d’une mésaventure comparable, également provoquée par le piratage d’une boîte de messagerie survenu entre fin août et début octobre dernier.
Mais la perte de données la plus terrifiante rendue publique le 18 novembre dernier est indiscutablement celle touchant près de 17 000 clients de la chaîne de pubs « brewhouse and kitchen ». On se croirait revenu aux heures les plus sombres de Shaun of the Dead ou d’un autre long-métrage de la série Blood and Ice Cream.
Il est des parents qui souhaitent « pucer » leurs rejetons, et ceux qui leur offrent un bracelet de localisation et suivi par SMS …
« Dans la famille IoT, je choisis le fils », enchaîne donc le groupe de chercheurs de PenTestPartners, lesquels, Alan Monie en tête, se sont attachés à dénombrer les failles de sécurité et les multiples possibilités d’attaques « man in the middle » des montres/GPS-bracelets pour enfants qui se vendent sur eBay, Amazon et autres Banggood pour moins de 15 euros pièce. Potentiellement, ce sont presque 3 millions d’usagers en culotte-courte qui risquent de voir leurs propos et leur position récupérées par une armée de pédo-pirates, s’inquiètent les chercheurs. Appliquettes percluses de trous de sécurité, échanges non chiffrés, authentification inexistante, fuites d’informations personnelles (notamment les numéros téléphoniques des parents et de l’enfant), usurpation possible de l’appelant, espionnage du « mobile » à distance… on retrouve là tous les classiques de l’Insecurity of Things.
Si Amazon semble avoir fait machine arrière, ce n’est pas franchement le cas de ses concurrents de l’Empire du Milieu. Quand la logique du chiffre d’affaires surpasse les risques encourus par autrui …
Mais un village résiste encore, et toujours, à l’invasion du flicage semi-volontaire. Daniel Oberhaus, de Motherboard raconte son odyssée au travers des océans déchainés des implants, de leur sécurité très relative, des risques d’oubli de code d’accès, de leur fiabilité discutable : lorsque l’on peut scanner en catimini un RFID de clef d’hôtel ou une carte de crédit, une main gauche « implantée » peut tout aussi bien faire l’affaire.
Même sursaut de résistance pour Alistair Dabbs, du Register, qui éclaire d’un jour nouveau la dialectique de la puce sous-cutanée. L’entreprenariat moderne, explique-t-il, voue un culte nouveau et particulier (du moins dans les pays anglo-saxons) à l’échec et aux déboires. L’« Epic Fail » est formateur, ce qui ne nous tue pas nous rend plus fort, il faut savoir se remettre en selle après une chute de cheval… et autres clichés du genre. Echouer n’est plus une infamie.
Et par conséquence, cette certitude de l’échec génétiquement nécessaire à tout employé cherchant à progresser justifie la mise en place de mesures destinées à amoindrir l’échec dans certains cas. Et voilà le RFID sous-cutané tout simplement légitimisé . Y renoncer, reviendrait à vouloir saper la sécurité de l’entreprise puisque l’échec est devenu une certitude et une nécessité. Or, si Alistair Dabbs est prêt à assumer fièrement sa propension au « plantage », il avoue : « Mon problème est que je ne me sens pas encore prêt à accepter l’échec à un niveau personnel ». Et le mot personnel, dans ce cas, est à entendre au sens physique du terme : « Assumer l’échec à bras le corps est à entendre au sens littéral lorsque l’élément défaillant se trouve à 4 mm sous la surface de votre peau ». Et de citer les innombrables cas de lecture erronée des RFID sous toutes leurs formes. De la carte de parking désespérément muette malgré les gesticulations de son porteur face à un lecteur sourd comme un pot, à la chatière récalcitrante qui refuse l’accès au matou familial dont l’implant n’a pu être reconnu.
Tout comme l’authentification à double facteur, le RFID intra-dermique déporte la responsabilité vers l’usager. Une façon de masquer les carences intrinsèques de certains systèmes sécurisés ? C’est effectivement un aveu d’échec et d’inadaptation de certaines des protections classiques mises en place. L’empilement de couches de technologie est loin d’être une solution de sécurité, l’approche globale de la sécurité restera toujours essentielle pour mieux protéger.
Mais quelle puce a piqué la presse pour que soudainement l’on débatte avec tant de passion du « sans-contact sous-cutané » ?
Tout commence avec un article du très Britannique Telegraph, lequel révèle que beaucoup de « grandes entreprises » d’Outre-Manche envisagent sérieusement d’implanter un identifiant RFID sous la peau de leurs collaborateurs. Simple rumeur ? Un peu plus que cela, puisque cette « révélation » viendrait de BioHax, une société Suédoise spécialisée dans ce genre d’accessoire. Même son de cloche sur les antennes de National Public Radio qui reprend le discours et ses éléments de langage en affirmant que les puces RFID sont pratiquement monnaie courante en Suède. Un moyen de prêcher le faux pour le transformer en vérité, puisque le même message est repris par Michael Snyder dans les colonnes de End of American Dream avec cependant un peu plus de sens critique. Trois papiers publiés dans des médias renommés, le Dir Com de BioHax peut se féliciter. Sa technique mérite un certificat ISO-14443-B.
Les boutiquiers de la mémoire-RFID-dans-la-peau font vibrer la corde de la sécurité, et n’hésitent pas à imaginer des situations dramatiques destinées, par exemple, à culpabiliser les parents peu soucieux du bien-être de leur progéniture. Un enfant « pucé » est un enfant « surveillé » laissent-ils espérer… ipso facto « sous l’attention permanente de ses aînés ». Cette dérive sémantique qui consiste à assimiler flicage et protection est strictement comparable à celle constatée dans le domaine de la surveillance vidéo débaptisée par l’ex Ministre Michèle Alliot-Marie et fidèlement reprise par ses successeurs. Et pourtant, jamais une caméra de « vidéo-protection » n’a volé au secours d’une victime agressée en pleine rue, jamais une ampoule « sans contact » ne sauva un enfant de la noyade ou d’un accident de la route. Mais que l’on se révolte contre la multiplication de cette bigbrotherification de la société, et l’on passe pour un sympathisant des hordes de pédo-kidnapeurs-poseurs de bombes-agresseurs nocturnes, puisque l’on cherche ainsi non pas à contester la « surveillance », mais à empêcher la « protection ». Miracle de la dérive des mots. Le marketing de la paranoïa peut-il se dissoudre dans la raison et le bon sens ?
Pas vraiment, puisque les exemples se font de plus en plus nombreux. Nos confrères d’Engadget témoignent que cette pratique s’est étendue à une partie du personnel travaillant dans un datacenter de l’Ohio. L’accès au sanctum sanctorum autorisé aux porteurs de ce sésame électronique stigmatise toute personne refusant cette chosification de l’humain. Pas de puce, pas de promotion/conservation de poste/emploi. Rien d’officiel, bien sûr. La terreur du non-dit est peu à peu imposée par les angoissés de la pseudo-sécurité.
La MIT Technology review, pour sa part, rapporte que 80 employés de Three Square Market, un spécialiste US des distributeurs de produits frais et boissons, se sont fait « pucer » dans le seul but de ne pas avoir à chercher de la monnaie pour acheter les quelques décilitres ou centimètres-cubes de nourriture  quotidienne. Pour ceux qui n’auraient pas compris le message, les RFID font partie de notre quotidien. Toute résistance est futile, cette évolution vers l’humain augmenté est inévitable, y compris pour des activités non essentielles. Transhumanistes 10, homo sapiens 0.
Les vieilles habitudes ont la vie dure, explique une étude de Gemini Advisory. Il y aurait, à l’heure actuelle, près de 60 millions d’identités bancaires Etats-Uniennes piratées durant l’année écoulée, malgré le fait que 93% d’entre elles seraient des cartes à puce conformes au standard EMV.
La raison ? l’obstination des commerçants d’Amérique du Nord à ne pas faire appel au « chip & pin ». Lors d’un achat en boutique, c’est encore le vieux système de lecture magnétique qui est majoritairement utilisé. A cette mauvaise pratique s’ajoutent les hacks massifs de début d’année (Home Depot, Target) qui sont venus gonfler les statistiques de cette sinistralité bancaire.
Tsunami dans le verre d’eau sécurité provoqué par une étude publiée par l’Université de Radboud, Pays-Bas. Rapport qui explique que de nombreux systèmes de stockage « auto chiffrant » utilisant le standard TGL Opal seraient loin de protéger les données contenues en raison de hiatus d’implémentation, et le problème empirerait lorsque Bitlocker, l’outil de chiffrement de Microsoft, serait utilisé. Non pas en raison d’un « suraccident » numérique, mais plus simplement parce que Bitlocker sous Windows 10 (ndlr et peut-être Windows 8.x) préfère, par défaut, déléguer les opérations aux mécanismes de protection intégrés sur le disque plutôt que d’effectuer le travail lui-même. Sur ce dernier point, l’on peut donc plus honnêtement parler de problème de confiance que de faille de sécurité.
Comme de coutume dans le monde du chiffrement, ce ne sont ni les algorithmes utilisés ni l’architecture du système qui sont mis en cause, mais l’intégration de ce même système. On y retrouve presque tous les classiques du genre, comme une « phrase de passe » vide.
Est-ce la fin du monde ? Pas franchement. Le chiffrement des unités de stockage en général et l’utilisation de Bitlocker en particulier ne concernent qu’un nombre restreint d’usagers manipulant des données sensibles, stockées sur des disques susceptibles d’être accessibles à des personnes non autorisées. En outre, l’idée même de « chiffrement intégral » du disque ne constitue une véritable protection que dans le cadre d’une attaque physique du disque. Enfin, il existe une mesure de contournement assez simple, qui consiste à désactiver le chiffrement « matériel » du SSD, ce qui fait basculer Bitlocker en mode exclusif. Une opération préalable de déchiffrement « hard-Opal » puis de re-chiffrement « soft-Bitlocker » est nécessaire, explique-t-on sur Winaero. Propos également repris par le principal concerné, Microsoft, avec une page entièrement consacrée au paramétrage de Bitlocker sur le blog du « response team ».
D’un point de vue pratique, si Crucial et Samsung sont montrés du doigt par les Universitaires de Radboud, cela ne veut pas dire que seules ces deux marques sont coupables de négligence. Le jeu du marché OEM, le « rebranding », voire la loi des séries en matière de mauvaises pratiques disqualifient d’un coup la quasi-totalité du marché des disques SSD auto-chiffrant et rend aux utilitaires logiciels leurs lettres de noblesse. Peut-être un peu plus lents, mais indiscutablement plus sûrs… tant qu’une nouvelle faille ou découverte d’erreur d’implémentation n’est pas découverte, car eux aussi sont victimes d’erreurs d’implémentation.
Hip hip hip appel à communications : Hack in Paris rappelle qu’il ne reste plus qu’un mois avant la clôture de l’appel à communications et organisation des Ateliers
Business Insider semble quasiment certain d’une prochaine absorption de Cylance par Blackberry, ex spécialiste de la téléphonie d’entreprise qui tente de plus en plus de se transformer en spécialiste sécurité. Le montant de l’opération est estimé à 1,5 million d’USD.
Cylance commercialise un ensemble de logiciels de protection anti-virus, anti-malware, qui reposerait non plus sur des bibliothèques de signatures, mais sur un moteur d’Intelligence Artificielle. Il y a deux ans, l’entreprise Californienne a ajouté à son catalogue une suite d’outils de protection du poste de travail (Cylance Protect) dérivé des techniques développées par le Japonais Motex. Une part de la renommée de Cylance est liée à la personnalité de Stuart McClure, ex McAfee, cofondateur de Founstone, et l’un des auteurs de la « bible » Hacking Exposed