Quelques sources d’informations stratégiques pour 2019.
Continuer la lectureArchives de catégorie : Analyses
Cybersecurity Act
Halte au sketch ! L’Union Européenne s’organise pour lutter contre les cyberattaques extérieures (ce qui sous-entend au passage que nous sommes tous amis au sein de l’UE et que personne n’attaquera son voisin).
Continuer la lectureBloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lectureL’exemple israëlien
Israël est devenu un acteur incontournable en sécurité informatique : ce pays, pourtant relativement petit en termes de population et d’activité économique (au niveau mondial) est pourtant le leader en recherche et développement SSI.
Continuer la lectureRGPD
Le Règlement Général sur la Protection des Données est un règlement européen sur la protection des données. Amis de La Palice, bonjour. Mais encore ? Je vais faire un résumé de la très bonne explication fournie par NextInpact sur le sujet.
Continuer la lectureCloud Act
Cloud Act est l’acronyme de Clarifying Lawful Overseas Use of Data Act. Trop forts ces ricains pour les acronymes (presque aussi bien que Patriot Act). A l’instar du Patriot Act, ou dans le même esprit que le RGPD, il devrait permettre une collaboration plus facile dans les requêtes judiciaires.
Continuer la lectureL’attaquant intérieur et les sous-traitants
L’attaquant interne est une menace souvent sous-estimée, alors qu’elle est source de menaces selon de nombreux professionnels de l’IT.
Bomgar annonce la publication de son rapport 2018 Privileged Access Threat Report. Cette enquête mondiale fait le point sur les niveaux de visibilité, de contrôle et d’administration des organisations IT, en Europe et aux Etats-Unis, vis-à-vis de leurs salariés, sous-traitants et tierces parties ayant un accès privilégié à leurs réseaux IT. Selon ce rapport, la crainte de subir une compromission sérieuse en lien avec l’accès d’insiders et de tierces parties préoccupait plus d’entreprises en 2017 qu’en 2016.
http://www.globalsecuritymag.fr/Bomgar-publie-son-rapport-2018-sur,20180522,78712.html
Menace sur 2020
Déjà bien utilisée depuis plusieurs années, l’attaque passant par un tiers de confiance ou un sous-traitant prend de l’ampleur. Pourquoi ?
- Parce qu’une attaque directe est de plus en plus difficile ; il vaut mieux tenter de passer par un maillon faible en périphérie (l’utilisateur, le sous-traitant) ;
- Parce qu’il est difficile de détecter une attaque via un sous-traitant : les indicateurs de compromissions sont plutôt du côté du tiers, alors que les flux en provenance de celui-ci sont considérés comme de confiance, de la part de la cible…
2018
Pour le SANS Institute, les cinq grands types de cyberattaques les plus dangereuses attendues1 pour 2018 sont :
- Le piratage des données stockées dans le cloud : plus il y en a, plus ça intéresse les pirates. Le crime suit l’usage.
- La désanonymisation des données : en lien avec la quantité astronomique de données que nous produisons et la capacité à les traiter à grande échelle, des données a priori anonymes peuvent être réattribuées à leur propriétaire (et à leur véritable identité).
- La monétisation des compromissions (minage de cryptomonnaies) : le vol de ressources informatiques se rentabilise via le détournement des ressources pour du minage.
- L’exploitation de failles matérielles : vous avez entendu parler de Spectre ? On pensait ces vulnérabilités peu fréquentes, mais on n’en est plus aussi sûr que cela, et leurs conséquences peuvent être énormes tout en étant très difficile à corriger.
- La perturbation de services essentiels : l’appât du gain ne rentre pas forcément en ligne de compte, mais des considérations géo-stratégiques conduisent des Etats à produire ce genre d’attaque.
Le Ministère de l’Intérieur français a publié un « État de la menace liée au numérique en 2018« , dans lequel on voit surtout la continue professionnalisation de la cybercriminalité, avec des modèles économiques variant selon la demande, avec du Crime-as-a-Service où on achète non pas seulement un malware mais tout un ensemble de services pour le mettre en oeuvre.
Patriot Act
De son vrai nom USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Les américains ont une propension étonnante à l’USA-centrisme. Tout tourne autour d’eux : quand un exterminateur (une météorite dévastatrice) tombe sur la Terre, c’est aux Etats-Unis. Idem pour toutes les catastrophes menaçant l’humanité toute entière.
Continuer la lectureSHA-1
SHA-1 est le nom d’un algorithme de hachage très utilisé en cryptographie.
Qu’est-ce qui se passe avec SHA-1
Beaucoup de bruits courent en 2014-2015 au sujet de la vulnérabilité potentielle de cet algorithme de hachage. Il est très fortement utilisé dans toute l’industrie informatique, notamment dans les certificats numériques (mais pas uniquement).
Or des travaux ont mis en évidence des failles possibles sur cet algorithme dès 2005. Toutefois, cela restait théorique car hors de portée de la puissance de calcul disponible à l’époque. Dix ans plus tard, les choses ont bien sûr évolué.
Quel est le problème ?
Avec l’augmentation continue de la puissance de calcul des ordinateurs, le nombre d’empreintes possibles (2 puissance 160 pour SHA-1) devient une limite de plus en plus accessible pour différents types d’attaques, d’autant que certains types d’attaques permettent de réduire la puissance nécessaire.
Microsoft a pris les devants, et a considéré qu’il devenait hasardeux de continuer à reposer sur l’algorithme SHA-1 pour certains types de certificats, et a décidé de ne plus l’utiliser et de n’utiliser que des algorithmes plus robustes, ce qui est une très bonne chose pour la sécurité informatique en général.
D’autres acteurs de l’informatique ont emboîté le pas de Microsoft, notamment les éditeurs de navigateurs internet : ils ont mis en place des mécanismes d’information et d’alerte pour indiquer à l’internaute qu’un site web (plus précisément : le certificat présenté par le site web) utilisera un algorithme considéré comme obsolète. Cela peut aller de la simple information visuelle (message « les technologies utilisées dans ce certificat seront bientôt obsolètes », changement de couleur de l’icône « cadenas ») jusqu’à l’apparition d’une page d’alerte.
Attaque par collision avec préfixe choisi
Ok, je vous perds, et je m’y perds aussi. Expliquons.
Préfixe choisi
Pour faire simple, cela revient à construire deux documents informatiques ayant le même hash. Google et CWI l’ont fait en 20171.
En 2019, une nouvelle étude2 vient montrer cette fois la viabilité économique3 de cette attaque, en chiffrant le coût de sa réalisation.
Voir aussi
- https://sha-mbles.github.io/
- https://shattered.it/ (mention spéciale pour le certificat obsolète)
Capri, c’est fini
Début 2020, une étude montre qu’il est désormais possible, à un coût raisonnable, de réaliser des attaques sur SHA-1 à préfixe choisi.
En clair, quand un objet est « signé » via un hash SHA-1, il est maintenant possible de le remplacer par un autre objet dont le hash sera identique.
Conclusion : Les certificats signés en SHA-1 et autres bi-clés de type PGP signées ne peuvent plus être considérés comme valides !