Les factures, les ordres de paiement, les contrats… Tous ces documents qui ne passionnent personne et que personne n’a envie de voir, sauf les comptables, on croit en effet que cela n’intéresse personne. Ben si. Surtout quand ils sont échangés par mail.
Continuer la lectureArchives de catégorie : Attaques
Cyberespace et droit
PAYS-BAS – Le pays publie une lettre remise au Parlement concernant la position du pays sur le droit international dans le cyberespace
Cette lettre, rédigée par le ministre des Affaires Étrangères et remise au Parlement début juillet 2019, vient d’être rendue publique. La pays présente ainsi sa vision face aux différents travaux sur le droit international appliqué au cyberespace qui ont été publiés par d’autres pays européens dont la France (voir revue de presse du 16/09/2019) ces derniers mois. Les Pays-Bas ont toujours été précurseurs dans le domaine des normes cyber notamment par la compréhension du droit international et son application dans le domaine cyber. Dans cette lettre, le ministre y décrit les positions du pays vis-à-vis de la souveraineté, la non-intervention, l’utilisation de la force, le droit humanitaire international ainsi que l’attribution des opérations cyber et le type de réponses possibles que le droit international cautionne.
– Ministère des Affaires Étrangères hollandais, Ministère des Affaires Étrangères hollandais, Just Security
Source : ANSSI
Human error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureBrèves (juillet 2019)
Trop stylé
Une belle attaque, bien élégante : le canal intermédiaire. Que faire si on ne peut pas utiliser un canal que l’on souhaite espionner ou écouter ? Réponse : en utiliser un autre.
Rendons ça moins abscons : si vous souhaitez écouter le haut parleur d’un smartphone, via une application malveillante, mais que vous n’y avez pas droit, vous pouvez utiliser… l’accéléromètre1 !
Ce dernier ne demande pas d’autorisation particulière : toute application Android peut y accéder. Et des chercheurs ont réussi à s’en servir pour capter la réverbération du son. Moi, je trouve ça génial.
Pas assez cher, mon fils
La FTC (Federal Trade Commission) souhaite coller 5 milliards de $ à Facebook, suite à ses déboires concernant les données personnelles exploitées sans grande éthique.
Cela représente environ 9% de son misérable chiffre d’affaire, ce qui commence à faire beaucoup quand même, surtout que certaines voix s’élèvent pour dire que ça n’est pas assez.
En y repensant, c’est p’t’être pas assez, mais ça ne concerne que les Etats-Unis, cette affaire. Il y a aussi le RGPD qui rôde et qui va sans doute commencer à taper sur les doigts, comme avec British Airways ou Marriott.
Bloomberg
Je n’imaginais pas inclure un article sur cette société de presse, mais quelque chose m’a mis la puce à l’oreille.
Continuer la lectureBrèves (mai 2019)
Conteneurs Docker
Excellent : après la découverte d’une grosse boulette sur les distributions Alpine Linux, dont les images Docker permettaient l’accès root sans mot de passe (durant 3 ans !), les chercheurs ont poussé leur recherche dans les 1000 images les plus utilisées1. Au total 194 images (sur 1000) sont dans le même cas (root sans mot de passe).
Source
Responsabilité partagée
Bien que n’ayant pas tous les détails, voici un bel exemple d’illustration de ce qu’est la responsabilité partagée, quand on est dans le cloud.
Une base de données non protégée, hébergée chez AWS, a fait fuiter des millions d’informations sur des « influenceurs » d’Instagram2 (qui appartient à Facebook…) y compris des données privées. Or c’est au propriétaire de la base, une société nommée Chtrbox, qu’il appartient de sécuriser sa base de données.
Patch XP et Windows 7
Bien que le support de ces versions de Windows soit théoriquement terminé (au moins pour le grand public), Microsoft a sorti des patchs de sécurité sur ces produits en mai 20193456.
Pourquoi ?
En raison d’une faille de sécurité sur RDP (Remote Desktop Protocol) si grave qu’on redoute un nouveau WannaCry, rien de moins (à savoir un programme malveillant se propageant sous la forme de ver réseau).
Sources
- CVE-2019-0708 (Microsoft)
Pourquoi il faut se méfier des clés USB
Ca fait quelques années que je connais le principe de la clé USB tueuse : une clé faite en réalité de condensateurs et autres bidules électroniques dont le seul but est de détruire le terminal qui y serait connecté.
Continuer la lectureZombieLoad, MDS, etc.
qui va bien
Quelques semaines après SPOILER, une nouvelle attaque12 dans la famille des Spectre & Meltdown, avec son site dédié comme de bien entendu.
Continuer la lectureTrop triste réalité
J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous.
Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois1 ont utilisé ces outils… un an plus tôt !
Attaques sur la mémoire RAM
Rien ne va plus dans le monde de l’informatique : on s’attaque à la mémoire sans vergogne. Exemples :
- Martèlement mémoire (cf Wikipédia en français mais surtout en anglais), où on arrive physiquement à modifier de façon déterministe (= voulue et contrôlée) les bits voisins en RAM.
- Flip Feng Shui (cf silicon.fr), qui est un type de martèlement mémoire. Comme seulement certaines zones y sont sensibles, cette technique consiste à pousser le système sous-jacent à stocker les informations critiques (comme les clés de chiffrement) dans les zones sensibles au martèlement mémoire1, et par d’autres techniques lire ces zones. Le Flip Feng Shui est une discipline japonaise d’agencement d’un habitat pour optimiser le flux d’énergie…
Voir aussi
- Spectre et Meltdown
- Canaux auxiliaires