Archives

Steve Bellovin explique (en partie) les risques encourus par les black hats pratiquant le « foldering », autrement dit utilisant un compte de messagerie en ligne partagé par plusieurs correspondants et ne servant qu’à stocker des courriels jamais expédiés dans l’espace « brouillon » de l’UA de messagerie

Symantec annonce l’abandon de sa politique d’actionnariat salarié, espérant que cette décision découragera les « gros salaires » et les poussera vers la porte de sortie. Symantec n’a toujours par publié son bilan annuel (formulaire 10K) et fait l’objet d’un audit financier interne.

BH 2018 : Le Pwnie Award pour « la plus lamentable des réactions de la part d’un vendeur » a été attribué à Bitfi (portefeuille de monnaie virtuelle légèrement poreux) et à John McAfee son promoteur, twittos quasi trumpesque et skieur amateur de poudreuse profonde

Crowdstrike vient de conclure une levée de fonds de 200 millions de dollars auprès de General Atlantic, Accel, IVP, March Capital et CapitalG.

Las Vegas, BlackHat Conference : La traditionnelle étude « BH » publiée à l’occasion de la conférence BlackHat affirme que 65% des responsables sécurité travaillant en entreprise (sur un panel d’environ 300 personnes) estiment ne pas avoir assez de personnel qualifié pour assurer les défenses numériques des infrastructures dont ils ont la charge.

Outre cette pénurie de personnel, 66% des interviewés considèrent que les postes déjà occupés le sont par des personnes manquant à la fois d’expérience et de formation. Mais la formation, préalable ou continue, coûte cher et les budgets ne suivent pas, estime 53% du « pool ». Les responsables sécurité ne disposent pas tous d’une enveloppe leur permettant de mener à bien leur mission.

En outre, près de la moitié des personnes sondées déplore la faible proportion de « femmes et membres des minorités ». Le machisme de la profession, en partie provoqué par la politique de dissuasion de la chaîne d’enseignement dans les disciplines scientifiques et techniques, est accru par les critères de sélection pratiqués tant par les départements RH que par les cabinets de chasseurs de tête ou les responsables de services en place, peu enclins à accepter une remise en question de leur autorité.

Une plainte devant la Cour Constitutionnelle Allemande visant les « spyware légaux » de l’Autorité Fédérale, un procès entamé en Grande Bretagne exigeant plus de transparence à propos de l’utilisation des « imsi catchers », une vague de critiques de plus en plus acerbes contre le système de vote électronique aux USA, tant du côté des universitaires que de la communauté hackers, autant d’actes qui montrent à quel point les abus des politiques ont déclenché des réactions qui dépassent le simple sentiment de « ras le bol ». Le message est à chaque fois le même : il ne peut exister de régime réellement démocratique sans l’existence de structures capables de surveiller et de limiter les agissements des gouvernements, particulièrement dans le domaine des NTIC.

En Allemagne, DW, c’est l’association Digital Courage secondée par un groupe de parlementaires qui dénonce ce risque de glissement progressif des systèmes d’espionnage numérique. Outils exceptionnels destinés à des situations exceptionnelles (terrorisme, grand banditisme), leur usage tend à se banaliser et à empiéter sur les affaires relevant du droit commun. De là à l’instauration d’une écoute permanente visant à réprimer le moindre voleur de poule, il n’y a qu’un pas.
Réaction comparable en Grande Bretagne ou plusieurs associations de défense des libertés individuelles -Liberty, Privacy Intl.-, ont décidé d’engager des poursuite après du « First-Tier tribunal » pour abus d’usage des systèmes de traçage de terminaux mobiles, alias Imsi Catchers. Car les dépenses en matière d’outils de flicage sont à la hausse, indiquent nos confrères du « Reg » : 1 million de livres pour le Grand Londres, 170 000 livres pour la police d’Avon et Somerset, presque 150 000 livres dans le Yorkshire sud… qui dit dépenses sous-entend usage, et cette intensification des usages dépasse, et de très loin, les affaires de terrorisme qui ont justifié la généralisation de ces cellules de surveillance. Entre défense du territoire et banalisation des pratiques policières, seule une politique de transparence permettrait de déterminer si les forces de l’ordre respectent ou non les droits constitutionnels du pays.

Aux USA, nulle véritable coalition visant à intenter un procès, mais une sorte de prise de conscience collective en réaction aux preuves d’ingérence Russes dans le processus électoral de 2016. Un long billet signé par Steve Bellovin explique les grands principes d’une attaque électorale : viser en priorité les points dont le rapport vulnérabilité/conséquences sont les plus importantes, et tenter soit de modifier les résultats du ballot soit pour favoriser un élu, soit pour décrédibiliser le système électoral tout entier, créant par conséquence un chaos démocratique. Et d’analyser les défauts de la longue chaîne allant de l’électeur aux autorités, en passant nécessairement par la machine à voter et la chaine de transfert des informations électorales. C’est dans cette chaine que s’accumulent les principaux problèmes, et ce n’est par prêt de cesser. Car le moindre argument en faveur d’une réduction des coûts séduit les administrations tant locales que Fédérales. Pour preuve, ce projet de vote par appliquette pour smartphone envisagé en Virginie pour les prochaines primaires. Le niveau de protection marketing surpasse tout ce que l’on peut imaginer, explique le site Voatz : blockchain, chiffrement, effacement des historiques, mobilité, biométrie… manque Cloud et Kubernetes pour passer le cap des 100 points au grand bingo-buzzword.

Pirater un vote est un jeu d’enfant ? Sans l’ombre d’un doute répondent les organisateurs de la DefCon. Cette année, le « voting village » convie les enfants de 8 à 16 ans à un grand jeu-concours d’initiation à la sécurité des infrastructures. Politico s’en fait l’écho. Une initiative totalement supportée par R00tz Asylum, un groupe d’éveil aux sciences et techniques à destination de la génération montante. L’éducation aux principes de la cyberdémocratie commence par la maîtrise des principes de base des techniques numériques. Ce n’est ni de la magie, ni des sciences de haut niveau, juste un peu de travail et de réflexion.

Cisco absorbe la société Duo pour la somme rondelette de 2,35 milliards de dollars, et ajoute à son catalogue les services SaaS d’identification et d’authentification de cette nouvelle mariée. Des services qui, lorsque les modalités légales de cette opération auront été remplies et approuvées, devraient être peu à peu intégrés notamment aux offres Cloud de l’équipementier.

La dernière grosse opération de croissance externe conduite par Cisco remonte à 2013, date du rachat de SourceFire pour une valeur de 2,7 milliards de dollars.

Le Département de la Sécurité Intérieure US (DHS) crée un « Centre National des risques Cyber » chargé d’établir les priorités en matière de protection des avoirs numériques de l’industrie et du monde civil. Parmi ses principales missions, la toute première, explique Joseph Marks de Defense One, sera de recenser les « joyaux de la couronne ». En d’autres termes, les opérateurs d’importance vitale et autres opérateurs de service essentiels : énergie, santé, télécoms et services financiers. Ce marathon des priorités aux risques cyber devrait suivre un calendrier très stricte (une étape de 90 jours précise notre confrère).

Ce Cyberrisk Center allègera le travail du NCCIC (National Cybersecurity Communications and Integration Center), et lui permettra de se recentrer sur la protection des agences gouvernementales. Rappelons que c’est ce même NCCIC qui évalue et note les risques SSI et Télécom en collaboration avec le Cert US.

Reddit alerte ses abonnés que les comptes informatiques appartenant à des membres du personnel ont été compromis, malgré une authentification à double facteur basée sur un envoi de SMS. Cette compromission aurait mis en danger les données de certains des usagers.

Les méthodes de détournement de SMS sont nombreuses, et vont de la simple attaque Bluetooth qui ouvre l’accès à l’espace de stockage des messages (un classique vieux de 20 ans), à une foultitude de compromissions « man in the middle » reposant soit sur des appliquettes Android corrompues, soit sur des vols de cartes SIM auprès de l’opérateur télécom (via une usurpation d’identité de la victime), soit sur des redirections d’appels… la liste s’allonge chaque jour.

La magie des termes « authentification à double-ou triple-facteurs » donne généralement bonne conscience et permet de vendre de la confiance à des usagers sans pour autant investir le moindre centime dans un véritable renforcement des procédures d’identification. L’empilement des « couches de sécurité » n’est efficace que lorsque cette succession de protections est cohérente et ne repose pas déjà sur un système faillible. Le double facteur renforce, il ne « bouche » pas, il ne se substitue pas.

Fort heureusement, Reddit n’est pas une banque, mais le risque de piratage des comptes d’usagers n’est pas à négliger.

1,4 million de fichiers « patients » on fuité des système de la chaîne hospitalière US UnityPoint Health (source Dark Reading ).