Quelques sources d’informations stratégiques pour 2019.
Continuer la lectureArchives annuelles : 2019
Deepfake
- https://ai.facebook.com/blog/deepfake-detection-challenge
- https://www.wedemain.fr/Zao-l-appli-qui-permet-d-incruster-votre-visage-dans-une-video_a4284.html
- https://www.nextinpact.com/brief/google-veut-lutter-contre-des—deepfakes—audio-7588.htm
- https://www.lefigaro.fr/secteur/high-tech/2018/04/20/32001-20180420ARTFIG00134-la-viralite-d-une-fausse-video-d8216obama-met-en-lumiere-le-phenomene-du-deep-fake.php
- https://www.securityweek.com/growing-threat-deepfake-videos
- https://www.securityweek.com/coming-conference-room-near-you-deepfakes et sa conclusion :
Don’t believe everything you see on the internet.
https://www.securityweek.com/coming-conference-room-near-you-deepfakes
Human error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureCybersecurity Act
Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
Continuer la lectureBrèves (juillet 2019)
Trop stylé
Une belle attaque, bien élégante : le canal intermédiaire. Que faire si on ne peut pas utiliser un canal que l’on souhaite espionner ou écouter ? Réponse : en utiliser un autre.
Rendons ça moins abscons : si vous souhaitez écouter le haut parleur d’un smartphone, via une application malveillante, mais que vous n’y avez pas droit, vous pouvez utiliser… l’accéléromètre1 !
Ce dernier ne demande pas d’autorisation particulière : toute application Android peut y accéder. Et des chercheurs ont réussi à s’en servir pour capter la réverbération du son. Moi, je trouve ça génial.
Pas assez cher, mon fils
La FTC (Federal Trade Commission) souhaite coller 5 milliards de $ à Facebook, suite à ses déboires concernant les données personnelles exploitées sans grande éthique.
Cela représente environ 9% de son misérable chiffre d’affaire, ce qui commence à faire beaucoup quand même, surtout que certaines voix s’élèvent pour dire que ça n’est pas assez.
En y repensant, c’est p’t’être pas assez, mais ça ne concerne que les Etats-Unis, cette affaire. Il y a aussi le RGPD qui rôde et qui va sans doute commencer à taper sur les doigts, comme avec British Airways ou Marriott.
Brèves (juin 2016)
Tape m’en cinq !
Nouveau type d’attaque, encore embryonnaire, mais amusante : des chercheurs ont créé une « table » simulant une interaction tactile sur des smartphones.
Pour l’instant, l’exploitation est difficile, car le paramétrage dépend de chaque type de smartphone, et l’utilisateur doit poser son téléphone sur la table (ou sur l’objet) contenant la surface spécialement créée à cet effet. Par ailleurs, des remédiations logicielles ou matérielles sont possibles, mais je trouve l’idée assez maligne.
- Source : ZDNet.
Docker, API et configuration
Docker n’échappe pas à la grande mode des erreurs de configuration, comme sur S3 ou MongoDB.
Malheureusement, là aussi les conséquences peuvent être importantes : prise de contrôle des ressources de l’hôte, des conteneurs, installation de malwares ou de cryptomineurs, etc. TrendMicro1 détaille l’affaire, mais qui nous rappelle qu’il ne suffit pas de s’arrêter à « ça marche » quand on met en place un système informatique…
Traces
Je me doutais qu’il était possible de trouver beaucoup d’infos sur un système depuis l’extérieur. Des chercheurs ont placé la barre très haut2 rien qu’en JavaScript. Ce genre de bidouille, déjà prisée des départements marketing et des pirates, permet de tout savoir sur le navigateur qu’un quidam est en train d’utiliser pour visiter un site contenant ce(s) script(s).
Bloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lecturePourquoi il faut se méfier des clés USB
Ca fait quelques années que je connais le principe de la clé USB tueuse : une clé faite en réalité de condensateurs et autres bidules électroniques dont le seul but est de détruire le terminal qui y serait connecté.
Continuer la lectureBiométrie inviolable
Une startup (et Dieu sait que j’aime les startup) a proposé récemment, via Kickstarter, une clé USB de stockage sécurisée inviolable ! Suite à quoi les experts en sécurité exhortent le marketing à ne plus jamais utiliser le terme inviolable.
Continuer la lectureReconnaissance faciale
Dans la biométrie, la reconnaissance faciale a une place à part car elle est la plus facilement disponible pour tout acteur (étatique ou privé), sans aucune action préalable de l’utilisateur.
Continuer la lecture