Un bon point pour ChatGPT : il sait rapper 😋. Voici deux exemples…
Continuer la lectureArchives de catégorie : Articles courts
Géolocalisation d’IP
Il peut être pratique de géolocaliser une adresse IP. Même si les outils ne sont pas toujours fiables à 100%, on peut facilement avoir une indication du pays ou de la région où l’adresse IP est connue, avec quelques trucs assez simples.
Continuer la lectureDue care, due diligence
J’ai toujours eu du mal avec ces deux notions. D’origine juridique, elles s’appliquent également en sécurité informatique. En sécurité informatique, les concepts de « due care » et « due diligence » peuvent être appliqués de la manière suivante :
Continuer la lectureDORA
Explorons un peu DORA (facile). Ce règlement européen (DORA pour Digital Operational Resilience Act) vient d’être voté dans sa version définitive fin 2022, et il porte plus sur des sujets de sûreté que de sécurité, mais en informatique ces notions sont fortement liées.
Continuer la lectureKeePass : word ou oire ?
Mauvaise période pour les outils de sécurité : KeePass est à son tour sujet à un problème de sécurité (une vulnérabilité, dirons certains). On peut discuter longuement de la responsabilité du problème, mais il n’en reste pas moins qu’il est nécessaire de se sentir en confiance quand on utilise un gestionnaire de mots de passe, et force est de constater que la vulnérabilité en question prête… à questions.
Continuer la lectureMatrice RACI
RACI est un l’acronyme en anglais de Responsible, Accountable, Consulted, Informed. Si l’on devait traduire la matrice RACI en français cela donnerait :
- Responsible pour Réalisateurs ;
- Accountable pour Autorité, Approbateur ou responsable (mais le terme est alors ambigu) ;
- Consulted pour Consultés ;
- Informed pour Informés.
Source : Matrice RACI : définition et exemples pour définir les rôles et responsabilités – Cadremploi
Ransomware Task Force
Ça pète. Avec un nom pareil, les ransomwares n’ont qu’à bien se tenir. Trêve de plaisanterie, cette initiative est louable, et montre bien les préoccupations dans ces années 20 : autrefois on luttait joint contre les botnets, maintenant il faut ajouter une corde à l’arc de la SSI : la lutte contre le ransomware.
Continuer la lectureBGP
BGP est un protocole méconnu mais structurant d’internet, Facebook1 ne dira pas le contraire (même si le DNS a aussi son rôle à jouer2). « La meilleure définition est que c’est le protocole de routage qui fait fonctionner Internet »3 selon LeMagIT. Rien de moins. Et pourtant il s’appuie sur des mécanismes anciens qui datent du temps où tout le monde était gentil sur internet…
Continuer la lecturePrix de l’innovation
Une idée géniale : si ton système n’a pas de faille de sécurité, alors introduis-en une ! Des attaquants ont profité d’un driver de Gigabyte, signé et légitime mais qui présentait une vulnérabilité non corrigée, pour lancer des attaques.
Continuer la lectureHuman error
« I’m afraid I can’t do that. » On peut trouver ça inquiétant, mais en y regardant de plus près, peut-être pas : 99% des attaques ont besoin d’une action d’un utilisateur pour aboutir.
Continuer la lectureZombieLoad, MDS, etc.
qui va bien
Quelques semaines après SPOILER, une nouvelle attaque12 dans la famille des Spectre & Meltdown, avec son site dédié comme de bien entendu.
Continuer la lectureTrop triste réalité
J’en voulais aux Shadow Brokers d’avoir publié certains outils de la NSA, rendant ainsi facile l’attaque par des personnes ignares et non qualifiées, telles que les Anonymous.
Trop triste : dans la série « les espions espionnent », il s’avère que des pirates chinois1 ont utilisé ces outils… un an plus tôt !
Développement
Plutôt que de réinventer la roue (et mal), voici le guide de la CNIL à destination des développeurs.
Attaques sur la mémoire RAM
Rien ne va plus dans le monde de l’informatique : on s’attaque à la mémoire sans vergogne. Exemples :
- Martèlement mémoire (cf Wikipédia en français mais surtout en anglais), où on arrive physiquement à modifier de façon déterministe (= voulue et contrôlée) les bits voisins en RAM.
- Flip Feng Shui (cf silicon.fr), qui est un type de martèlement mémoire. Comme seulement certaines zones y sont sensibles, cette technique consiste à pousser le système sous-jacent à stocker les informations critiques (comme les clés de chiffrement) dans les zones sensibles au martèlement mémoire1, et par d’autres techniques lire ces zones. Le Flip Feng Shui est une discipline japonaise d’agencement d’un habitat pour optimiser le flux d’énergie…
Voir aussi
- Spectre et Meltdown
- Canaux auxiliaires
Spoiler
Biométrie et GDPR
Un mois à peine après l’entrée en vigueur du Règlement Général sur la Protection des Données (RGPD en français, GDPR en anglais), voilà qu’arrive une première action concernant la collecte de données biométriques, en l’occurrence vocales1. Cela me réjouit vu ma position sur la biométrie, bien que je pense que cela n’aboutira à pas grand-chose.
Le contexte
Le service des impôts du Royaume-Uni (Majesty’s Revenue and Customs ou HMRC) s’est mis en tête d’utiliser la biométrie vocale (donc de type intermédiaire) pour authentifier les personnes appelant leurs services. Fluidifier le parcours utilisateur est souvent une très bonne idée, et la biométrie de ce point de vue y concourt assez bien.
Sauf que
Si le confort d’utilisation est au rendez-vous, les questions quant à l’utilisation de la biométrie sont légitimes. Il me semble reconnaître la solution dont il est question (il s’agit de la solution développée par Nuance23, que j’ai pu tester il y a quelques années pour mon employeur, avec leur célèbre sésame « ma voix est mon mot de passe ») et si Nuance respecte de bonnes pratiques en la matière, cela ne dédouane pas le responsable du traitement (le HMRC) de respecter les droits énoncés par le RGPD, notamment :
- Le droit à l’effacement des données
- L’obligation de recueillir de façon simple le consentement des utilisateurs pour l’usage de leurs données personnelles.
Les éléments biométriques font bien sûr partie des données personnelles, et il semble que le HMRC pousse un peu trop ses utilisateurs à utiliser la biométrie vocale, et que l’opacité entoure à la fois l’usage précis des données (qu’est-ce qui est utilisé, qu’est-ce qui est conservé et comment) et la possibilité de faire supprimer ses données.
Pourquoi ça n’aboutira pas
Parce que je vois mal le HMRC ne pas se mettre en conformité, même à contre-cœur. Il suffirait d’améliorer le processus de collecte, et de mieux gérer la suppression, en indiquant clairement comment procéder.
Pourquoi c’est important quand même
Cela prouve que ce n’est pas parce que ça plaît à plein de monde que la solution est bonne, ou qu’elle ne soulève pas d’inquiétudes chez d’autres personnes. Par exemple, comment savoir si des échantillons vocaux n’ont pas été conservés, ou pire transmis à d’autres entités ? Même s’il est peu probable que ça soit le cas, cette affaire montre que des citoyens sont inquiets sur l’usage de ces données.
La biométrie vocale demande de recueillir (au moins temporairement) des échantillons, pour former un modèle ou plus précisément un gabarit (au sens biométrique) caractérisant l’utilisateur, un peu comme un hash.
En France, recueillir une base biométrique centralisée, même si elle n’est constituée que de gabarits (et non d’échantillons) exige l’accord de la CNIL. On ne fait donc pas n’importe quoi avec ce type de données.