https://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Archives de l’auteur : Janiko
Antivirus accablants
Voilà comment réduire un titre pour lui faire dire ce qu’on veut : il paraît que les antivirus sont nuls sur Android. En 2020, on les a même transformés en « logiciels dévastateurs ». Mouais.
Continuer la lectureSpoiler
Les gestionnaires de mots de passe faillibles ?
Vraiment ? L’actualité court sur tous les sites web (enfin, quelques uns) pour indiquer que les gestionnaires de mots de passe comme KeePass ou 1Password laisseraient des informations critiques en clair.
Continuer la lectureSite web (sécurisation)
Principes de base : voir AFNIC.
Attaque et défense
La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu’un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n’importe quel individu. L’attaque dépend d’autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l’apanage des méchants. L’informatique était considérée comme un outil de production, qu’il fallait protéger et garder en état de marche.
Or dans la vraie vie, l’attaque fait partie de la stratégie des individus comme des nations, et les capacités offensives commencent à se faire jour. De plus, avec l’importance croissante de l’informatique dans la richesse et les capacités de production (parfois vitales) des pays, elle devient aussi une cible stratégique.
C’est la guerre ?
Je ne parle pas des nord-coréens qui ne pensent qu’à détruire cette méchante Amérique qui fait rien que les embêter. Je parle de ce que la cyberguerre est désormais une réalité si tangible qu’elle est l’objet de discussion et même d’un projet de traité au sein des Nations-Unies.
Or il semble que le sujet soit si sensible que treize années de négociations n’ont pas pu aboutir1. Point de traité donc, notamment parce que certains pays souhaitent que le cyberespace reste en dehors des conflits et que sa militarisation (c’est-à-dire la définition de ce que serait une attaque et une réponse dans ce cybermonde) risquerait de conduire à de réels conflits armés2.
L’intention est évidemment bonne, mais l’effet ne sera-t-il pas au contraire une escalade des conflits dans cet espace au mépris de toute règle ? Les attaques informatiques peuvent avoir un impact économique (et donc humain) majeur, et l’absence de principes ou de contrôles pourrait tout au contraire exacerber les tensions et conduire également à de vrais conflits militaires. L’Europe a relancé une action3 pour tenter de formaliser tout ça afin de stabiliser le cyberespace, mais il est difficile de savoir sur quoi cela va aboutir.
Ça change ?
Oui : on estime que seuls deux états avaient des capacités offensives en 2007, et ils seraient une trentaine en 2017. Les activités quasi-militaires prennent tant d’importance que l’ONU s’en inquiète et propose d’instaurer une sorte de code de bonne conduite via un cadre légal4, qui risque cependant d’être très difficile à faire respecter s’il venait à voir le jour.
Localisation
Historiquement, les Etats-Unis, la Chine et la Russie font partie des nations ayant une forte activité (en attaque comme en défense). Mais certains pays émergents profitent de la demande pour proposer des services d’attaque et de compromission, de type APT : l’Iran et le Vietnam commencent à se faire une réputation dans ce domaine5.
Ça chauffe ?
On dirait : à l’aube des élections présidentielles russes de 2018, les Etats-Unis accusent ouvertement la Russie6 d’avoir perturbé le fonctionnement des réseaux énergétiques (et d’autres choses7) via une attaque informatique, avec des mesures de rétorsion diplomatiques notables8 en retour. Il semble acquis (en août 2018) que des pirates910 ont bel et bien réussi à pénétrer un réseau pouvant agir sur la distribution d’électricité, mais sans n’avoir rien déclenché11 (ou perturbé).
Ce qu’il y a de nouveau ne sont pas les conséquences dans les relations internationales mais l’outil employé pour peser dans ces relations : l’informatique. Les attaques sont désormais tellement structurées et les conséquences tellement visibles que les attaques informatiques constituent un moyen de pression mais aussi un moyen d’action contre ses ennemis.
D’autres exemples
En août 2017, une usine pétrochimique située en Arabie Saoudite aurait été visée par un programme malveillant dont le but aurait été une destruction physique12 d’installations de cette usine. La complexité de l’attaque est telle qu’il est peut probable qu’elle soit le fait d’un petit groupe isolé : les auteurs avaient de l’information, du temps, et de moyens. L’attaque n’a échoué qu’à cause d’une seule une erreur dans le code.
En janvier 2017, d’autres structures d’Arabie Saoudite avaient été touchées par un programme ayant effacé une grande partie des disques durs touchés. Une attaque qui rappelle celle ayant eu lieu cinq ans plus tôt (le 15 août 2012) où les 3/4 des disques durs ont été effacés13, ce qui était une des attaques les plus marquantes de l’époque en raison justement de cette destruction physique de données.
En juin 2018, des observateurs ont noté une baisse notables des attaques d’un groupe supposé nord-coréen (Covellite14) vers des cibles américaines. Curieusement, cela correspond à une période de réchauffement des relations15 entre les deux pays, au moment où rencontre entre Potus (@potus est le compte twitter du President Of The United States [of America]) ) et Kim Jong Un (le leader nord-coréen) est prévue.
Les forces en présence
Des attaques militaires
En 2010, une corvette militaire sud-coréenne a été coulée (incident de Baengnyeong). Récemment, des analystes ont émis l’hypothèse que des cyberattaquants nord-coréens auraient tenté à de nombreuses reprises de compromettre le service météo sud-coréen16 afin de prévoir la route de patrouille empruntée par la corvette.
Ça continue !
Les accusations contre la Russie qui compromettrait des installations industrielles continuent à fleurir au début de l’année 2018 (presque autant que des fuites d’informations sur AWS S3).
- https://www.us-cert.gov/ncas/alerts/TA18-106A
- http://www.dailymail.co.uk/news/article-5623477/Hundreds-Australian-companies-hit-Russian-cyber-attacks-Kremlin-hacks-millions-computers.html
- http://www.digitaljournal.com/news/world/us-britain-warn-of-russian-campaign-to-hack-networks/article/519977
- https://www.reuters.com/article/us-germany-russia-maas/germany-says-it-has-to-assume-russia-behind-recent-cyber-attack-idUSKBN1HM0TZ
- https://www.boursorama.com/bourse/actualites/berlin-accuse-moscou-d-etre-derriere-une-recente-cyberattaque-22f85ed245a291be4a315c6dfdbf6520
On se défend
Comme on peut. Que ce soit contre la manipulation, ou contre les pirates soutenus par des Etats, les grands acteurs de l’informatique se liguent et s’unissent pour protéger nos intérêts. Ou les leurs. Ou les deux. Tous les grands noms y sont, sauf Apple, Amazon et Google. Ne me demandez pas pourquoi.
Guerre offensive
En 2019, il n’y a plus guère de doutes sur les tentatives de manipulation des élections américaines de 2016, au point qu’on sait désormais qu’il y a eu des mesures de rétorsion17 sur « l’usine à trolls » russe, aboutissant à la destruction de données (via un contrôleur RAID a priori).
Voir aussi
Sources
- http://www.lefigaro.fr/flash-actu/2018/03/15/97001-20180315FILWWW00429-l-otan-elabore-une-definition-de-l-etat-de-cyberguerre.php
- https://abcnews.go.com/Technology/wireStory/us-hits-russian-firms-sanctions-citing-cyberattacks-55806268
Russie, NotPetya
- http://money.cnn.com/2018/02/15/technology/russia-cyberattack-notpetya-uk/index.html
- https://www.theregister.co.uk/2018/02/15/uk_names_russian_military_as_source_of_notpetya/
- https://www.reuters.com/article/us-britain-russia-cyber-usa/white-house-blames-russia-for-reckless-notpetya-cyber-attack-idUSKCN1FZ2UJ
- http://www.bbc.com/news/uk-politics-43062113
- https://www.infosecurity-magazine.com/news/five-eyes-united-blaming-russia/
Etats
- https://www.dni.gov/files/documents/Newsroom/Testimonies/2018-ATA—Unclassified-SSCI.pdf
- https://www.afcea.org/content/russia-iran-and-north-korea-bolder-cyber-realm
- https://arstechnica.com/information-technology/2018/05/researchers-link-a-decade-of-potent-hacks-to-chinese-intelligence-group/
- http://www.clubic.com/antivirus-securite-informatique/virus-hacker-piratage/piratage-informatique/actualite-843496-rapport-10-ans-piratage-gouvernement-chinois.html
Attaques
- https://www.cyberscoop.com/trisis-ics-malware-saudi-arabia/
- https://dragos.com/blog/trisis/TRISIS-01.pdf
- https://cyberdefense.orange.com/fr/trisis-le-malware-ciblant-les-systemes-industriels/
APT
- https://www.scmagazineuk.com/new-apt-groups-emerge-as-more-nations-join-the-global-cyber-arms-race/article/762291/
- https://www.fireeye.com/blog/executive-perspective/2018/04/rise-of-the-rest-apt-groups-no-longer-from-just-china-and-russia.html
- https://forum.anomali.com/t/apt29-a-timeline-of-malicious-activity/2480
- https://www.anomali.com/blog/what-is-operational-threat-intelligence
Start-up
start-up n.f. inv. : Jeune entreprise mono-produit s’auto-qualifiant d’innovante, dans le secteur des nouvelles technologies, et qui fera faillite dans les 3 ans1 qui suivent sa création.
Loterie internationale
Curieux esprit de la glorification des start-up, pour lesquelles « l’important [est] de lever [des fonds] et de se faire racheter des millions en créant un modèle disruptif et scalable« 2. Or une start-up fera faillite 9 fois sur 103, ou même pire.
C’est un peu comme le loto : on peut gagner le gros lot, mais rarement, et surtout au prix d’énormes efforts qui la plupart du temps conduiront au chômage.
Un petit exemple
Il y en a plein, mais celui-ci est emblématique car il s’agit d’une entreprise rachetée par Facebook himself, tbh, application quasi-inconnue avant sont rachat fin 20174, devenue phénomène de mode et finalement abandonnée5 en juillet 2018.
En sécurité aussi
La mode start-up touche forcément aussi la sécurité informatique, puisque ça touche toute l’informatique. Voir aussi acqui-hiring.
Bulle internet
Les start-up contribuent, à leur façon, à la bulle internet, ou plutôt aux bulles internet, car elles sont récurrentes (on en a eu dans les années 2000, on en a encore en 2018).
Un article intéressant d’informatiquenews.fr (bien que peu détaillé comme souvent) nous donne les principales raisons de l’échec6 pour une startup :
- Le produit proposé ne répond à aucune demande du marché… Incroyable, non ? Il ne suffit pas d’être innovant pour vendre. Tout le monde n’est pas Apple qui veut ! Apple est une des rares marques à pouvoir créer du besoin.
- Le manque de cash. Ce qui rejoint un peu le point précédent : on manque de cash faute de débouché économique, et donc si le modèle économique est pourri, la startup ne s’en relèvera pas.
- Le 3e est que l’équipe dirigeante n’est pas compétente (ou n’existe parfois même pas). DevOps, c’est bien, mais il faut savoir où aller…
Manque de contrôle
Tout cela ne fait que montrer un manque inquiétant de contrôle sur ce que font les startups : du fait de leur mode de financement, elles échappent aux contrôles habituels de sociétés côtés en bourse (non pas qu’il soit suffisant mais c’est déjà une première sécurité).
Par ailleurs, la technicité des solutions masque souvent la réalité industrielle de l’entreprise : en gros, l’utilisation d’outils informatiques compliqués rend peu visible ce qui se passe vraiment en termes de métier, de produit, de stratégie. Les startups vendent trop souvent du rêve, et vendent un produit qui n’existe pas, qui n’est pas construit ou qui n’est pas au point (et dont, dans certains cas, on en sait pas s’il sera un jour au point).
Escroquerie
Cette opacité peut même conduire (facilement ?) à des escroqueries, comme dans le cas de Theranos7, à côté desquelles l’art moderne est un modèle de probité.
Anonymous
Je pourrais renvoyer directement cette page vers une page script kiddies. Les Anonymous ne représentent rien, à mon sens, et ne sont pas comparables aux hacktivistes, qui sont compétents (eux).
RAMPage
RAMPage fait partie de ces failles qui ont le privilège d’avoir leur site web dédié. Possiblement présente depuis 2012 (version 4.0 d’Android), elle semble plutôt complexe et difficile à exploiter.
Continuer la lectureBiométrie et GDPR
Un mois à peine après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD en français, GDPR en anglais), voilà qu’arrive une première action concernant la collecte de données biométriques, en l’occurrence vocales1. Cela me réjouit vu ma position sur la biométrie, bien que je pense que cela n’aboutira à pas grand-chose.
Le contexte
Le service des impôts du Royaume-Uni (Majesty’s Revenue and Customs ou HMRC) s’est mis en tête d’utiliser la biométrie vocale (donc de type intermédiaire) pour authentifier les personnes appelant leurs services. Fluidifier le parcours utilisateur est souvent une très bonne idée, et la biométrie de ce point de vue y concourt assez bien.
Sauf que
Si le confort d’utilisation est au rendez-vous, les questions quant à l’utilisation de la biométrie sont légitimes. Il me semble reconnaître la solution dont il est question (il s’agit de la solution développée par Nuance23, que j’ai pu tester il y a quelques années pour mon employeur, avec leur célèbre sésame « ma voix est mon mot de passe ») et si Nuance respecte de bonnes pratiques en la matière, cela ne dédouane pas le responsable du traitement (le HMRC) de respecter les droits énoncés par le RGPD, notamment :
- Le droit à l’effacement des données
- L’obligation de recueillir de façon simple le consentement des utilisateurs pour l’usage de leurs données personnelles.
Les éléments biométriques font bien sûr partie des données personnelles, et il semble que le HMRC pousse un peu trop ses utilisateurs à utiliser la biométrie vocale, et que l’opacité entoure à la fois l’usage précis des données (qu’est-ce qui est utilisé, qu’est-ce qui est conservé et comment) et la possibilité de faire supprimer ses données.
Pourquoi ça n’aboutira pas
Parce que je vois mal le HMRC ne pas se mettre en conformité, même à contre-cœur. Il suffirait d’améliorer le processus de collecte, et de mieux gérer la suppression, en indiquant clairement comment procéder.
Pourquoi c’est important quand même
Cela prouve que ce n’est pas parce que ça plaît à plein de monde que la solution est bonne, ou qu’elle ne soulève pas d’inquiétudes chez d’autres personnes. Par exemple, comment savoir si des échantillons vocaux n’ont pas été conservés, ou pire transmis à d’autres entités ? Même s’il est peu probable que ça soit le cas, cette affaire montre que des citoyens sont inquiets sur l’usage de ces données.
La biométrie vocale demande de recueillir (au moins temporairement) des échantillons, pour former un modèle ou plus précisément un gabarit (au sens biométrique) caractérisant l’utilisateur, un peu comme un hash.
En France, recueillir une base biométrique centralisée, même si elle n’est constituée que de gabarits (et non d’échantillons) exige l’accord de la CNIL. On ne fait donc pas n’importe quoi avec ce type de données.