avril, 2018

Les caméra MiSafes ne sont pas « safe » explique Mathias Frank, de SEC Consult Vulnerability Lab. Ces caméras de surveillance pour enfants en bas-âge seraient aussi peu fiables que toutes les autres WebCam fabriquées en Chine

« Nous crackons les iPhones, tous modèles confondus. Tarifs spéciaux pour les services de police du monde entier ». C’est en substance le crédo de la société Israélienne Cellebrite publié dans les colonnes de Forbes

Les extraterrestres risquent de hacker notre planète et ceci sans le moindre problème. Car, explique une docte communication signée Michael Hippke et John G. Learned (observatoire de Sonneberg, Allemagne, et département de physique et d’astronomie de l’Université d’Hawaii, USA), pour décrypter les images et signaux complexes de l’univers, il faut de puissants ordinateurs. Eux-mêmes reliés à des réseaux d’envergure mondiale (lesquels sont également connectés à l’Internet public). Or, aucun logiciel DPI, aucun HIDS, aucune sandbox évoluée, et surtout aucun antivirus n’est capable de parer la menace d’une obscure clarté numérique qui tombe des étoiles. Et pour cause, ni McAfee, ni Kaspersky n’ont pensé à remettre à jour leur base de virus en OPL5 (langage de 5eme génération d’Ophiuchus) ou leurs tables de malwares et dénis de service stockés sur le github d’Aldébaran IV. Mêmes nos éminents confrères de NBC News s’en émeuvent. Comment, en effet, ne pas redouter un contournement des systèmes de filtrage si le charset n’est pas terrestre ? Comment ne pas succomber à une attaque « pass the sharrr » (le sharrr est un condensat utilisé sur Deneb III, déprécié et buggy à l’extrême). En quelques secondes, notre mère la terre serait inondée de publicités « 3Rba1e V1agra, pour les guerriers Gruzorgs qui n’oublient pas qu’ils sont aussi des hommes », ou se lamenterait sous les coups des ransomwares Vogons menaçant les impécunieux de leur infliger l’audition d’une « Ode à ma rognure d’ongle », poème épique en 5 tomes du célèbre et sinistre Prosternic Vogon Jeltz.

Le malware de l’espace, c’est surtout le thème principale traité avec maestria par Liu Cixin, dans sa trilogie « Le problème à trois corps », « La forêt sombre » et « La mort de la mort », une épopée scientifico-épique Chinoise dans laquelle des extraterrestres utilisent précisément un radiotélescope pour injecter un virus quantique destiné à rayer l’espèce humaine de la carte de notre galaxie.

Retour sur l’article de Bitcoin.com titré « 46% des crypto-monnaies lancées en 2017 sont des échecs ». Plutôt que « lancement », l’on devrait parler d’ICO, sorte d’IPO dans le secteur des monnaies virtuelles, à la différence près que cette d’IPO new look se réduit à un « token » négociable à court terme, et n’est en aucun cas une action ou participation dans le capital de l’entreprise qui effectue l’appel de fond.

En se basant sur l’inventaire dressé par TokenData, nos confrères de Bitcoin.com en sont arrivés à des conclusions assez pessimistes. 46% des près de 900 « bitcoin-like » ont bu le bouillon dans l’année écoulée. 276 n’ont pas passé l’hiver, 142 ne sont même pas parvenus à franchir l’étape de l’appel à participation. Et ce n’est pas tout, ajoutent les enquêteurs. On peut considérer que 113 autres ICO sont quasi moribondes, portant la proportion d’échecs à plus de 54% : plus la moindre communication sur les médias sociaux, ou une masse critique si faible qu’elles ne peuvent espérer le moindre succès, même à longue échéance. Quelques instigateurs d’ICO sont même partis avec la caisse, empochant au passage des petites sommes, parfois, mais plus rarement, plusieurs milliers de dollars. Des escroqueries qui ne concernent pas que les créateurs de « finstartup », mais également les intermédiaires et opérateurs de services financiers spéculant sur les monnaies virtuelles. Quelques jours auparavant, la rédaction de Bitcoin.com annonçait l’inculpation des responsables de Weexhange et Bitfunder, victimes d’un vol de 6000 Btc, mais coupables de fausses déclarations et de dissimulation.

Au nombre des échecs et des semi-vies, l’on recense quelques probables escroqueries émanant d’entreprises notamment Africaines, des projets fantaisistes misant sur la mode ou les démons de la spéculation, ou des tentatives désespérées pour renflouer la capitalisation d’une entreprise, Kodak étant l’exemple le plus souvent cité.

Champion toutes catégories de la crypto-monnaie d’Etat, le Président du Venezuela Nicolas Maduro lançait, le 20 février dernier, le, Petro dont la valeur sera, assurait-il, étalonnée par les richesses nationales du pays, principalement le pétrole. Dès le premier jour de prévente, le gouvernement annonçait avoir franchi le cap des 735millions d’équivalent dollars, valeur contestée par la majorité des observateurs. Il faut dire que le pays a un long passé de joueur de poker, faisant succéder dévaluations sur dévaluations. Une habitude que n’a pas manqué de souligner Timothy Lee de Ars Technica ou David Floyd dans les colonnes d’Investopedia. Floyd va même plus loin, en affirmant que rien ne vient supporter la valorisation du Petro, et qu’il ne s’agit là que d’une tentative de surfer sur la « bulle crypto » pour compenser une totale absence de croissance. Ainsi l’ont déjà tenté, en vain, Kodak ou Long Blockchain Corp, il n’y a pas plus de chance que cela marche à l’échelon d’un pays.

Quel que soit l’avenir du Petro, la démarche du gouvernement Vénézuélien est en train de faire tâche d’huile, sinon dans les faits, du moins dans les esprits. La Banque Centrale d’Iran parlait sérieusement, il y a deux mois encore, du lancement de sa propre monnaie virtuelle, pour des raisons économiques comparables à celles que connaît le Vénézuela : pays producteur de pétrole, frappé par une inflation constante, entravé par plusieurs mesures d’embargo… Mais te Trésor Iranien revenait sur sa décision quelques mois plus tard. Reste que quasiment toutes les banques centrales font les yeux doux aux chaines de blocs et aux cyber-devises. Et notamment la Monetary Authority of Singapore, la Banque Populaire de Chine, les banques centrales d’Equateur, de Suède… tandis que d’autres tentent de torpiller ce genre d’initiative. Le Nigéria, récemment, expliquait par voie de presse que l’usage des cryptomonnaies s’apparentait à un jeu de hasard. La Pologne, pour sa part, serait à l’origine d’une campagne de désinformation visant discréditer toutes les devises virtuelles, rapporte Business Insider.

Le caractère excessivement spéculatif du cyber-fric, les réticences des gouvernements quant à l’établissement d’un système réellement fiduciaire mais garantissant l’anonymat, les fréquentes affaires de détournement de Bitcoins et autres NEM (casse CoinCheck notamment), le business noir des « Mixers » qui rendent toute traçabilité des règlements impossible, l’excessive technicité de ce moyen de payement sont autant de facteurs qui retarderont (au mieux) la naissance de véritables cryptomonnaies d’Etat.

La mode est au virus-mineur de crypto-monnaies, raison pour laquelle Jai Vijayan, dans les colonnes de Dark Reading, dresse un « top 7 » des vecteurs de minage les plus fréquemment rencontrés. Par ordre d’entrée en scène, voici CoinHive, l’aspirateur à Monero, Smominru, son frère jumeau, qui cible également Monero, WannaMine (Monero encore), Adylkuzz (Monero toujours), JSECoin (plutôt considéré comme un outil de rétribution « officiel » pour webmestres en mal de finances), Bondnet qui accepte plusieurs devises et PyCrypto Miner (… Monero bien sûr).

Tremblez, économistes. Les chiffres concoctés par les équipes de communication des différents éditeurs du monde Infosec sont « normalement catastrophistes ».

600 Milliards de dollars à gauche. Le rapport McAfee/ CSIS intitulé « l’impact économique du cybercrime ne fléchit pas » estime que les pertes provoquées par la sphère black-hat frise 0,8 point de PIB mondial. Chiffre à comparer aux 445 milliards de perte comptabilisés lors de l’étude précédente réalisée en 2014.

Premières victimes potentielles, les établissements financiers dans leur ensemble, et les banques en particulier. Le trio de tête des pays-voyous serait constitué par la Russie, la Corée du Nord et l’Iran, champions dans la catégorie du casse cyber-financier. Un succès qui fait des émules, notamment au Brésil, Viêtnam et Inde. La Corée du Nord est particulièrement aguerrie dans l’usage et le détournement de cryptomonnaie pour alimenter le pays en devises étrangères.

La Chine, quant à elle, s’est spécialisée dans l’espionnage, branche plus discrète.

L’évaluation de cet impact économique englobe à la fois les déficits directs, les coûts liés aux pertes de propriété intellectuelle et de confiance, des cessations et retards d’activité, des investissements liés à la réparation et au renforcement des équipements réseau et des dépenses liées à la responsabilité civile de l’entreprise « intrusée ». Dans de telles conditions, la facture finale ne peut que grimper rapidement.

71 millions de £ à droite. Ce serait, estime une étude Datto, le coût des cessations d’activité provoquées par les infections de ransomwares dans le secteur des PME. A ces pertes s’ajoutent les payements des rançons qui, selon les cas, oscille entre 350 et 1400 £.

100 000£ mensuel au centre. Ce serait le salaire que s’octroie un truand versé dans l’art du phishing. « Les mauvais mois, je me fais dans les 20 000£ » raconte le phisher masqué lors d’une interview accordée au quotidien The Sun. Parole de truand contre clientélisme de tabloïd, ces chiffres sont à prendre avec des pincettes. Bien souvent, les malfrats sont les premières victimes d’autres malfrats, et les gains mirifiques clamés par certains ne passent pas l’hiver.

La palme de l’imprécision revient à la X-Force d’IBM qui assure que « des millions » disparaissent du fait des escroqueries élaborées par les « scammers Nigérians ». Les Nigérians… sans ces vieux briscards de l’escroquerie en ligne, Internet et les rapport sur la cyberdélinquance ne seraient plus ce qu’ils sont.

Le site Web du LA Times offre gracieusement à ses lecteurs un script de crypto-jacking, insidieusement caché sur une ressource Amazon S3 utilisée par les serveurs du quotidien et accessible en lecture-écriture, explique Kevin Beaumont . Plus rentable qu’une bannière ?

 100 pages sur les dangers « SSI » de l’I.A. (document accessible à tous), voilà l’œuvre de 26 chercheurs issus de 14 organisations scientifiques différentes, comptant notamment l’EFF, l’Université d’Oxford, l’OpenAI ou l’Université de Cambridge. Chacun a imaginé une série de scénarii abordant trois angles majeurs : la sécurité numérique, physique et politique. Et d’imaginer des situation orwelliennes provoquées par une overdose d’I.A. hors de contrôle, ou plus exactement sous le contrôle de « décideurs » qui y trouvent leur compte. Le tout dans le but avoué de pousser les industriels à réfléchir aux conséquences de leurs actes et envisager tous les aspects de leurs développements. Dans le but également d’attirer l’attention des politiques pour qu’ils apportent une réponse politique… et non technique comme cela a trop souvent été le cas par le passé.

Le premier scénario imagine l’I.A. au service de cyber-truands spécialisés dans l’ingénierie sociale. Une I.A capable, dans la seconde, d’espionner une victime, de déterminer (en exploitant des données procurées par un premier malware) son profil et ses goût personnels, d’expédier un pop-up ou un mail d’incitation à visiter telle ou telle site particulièrement attrayant, de charger la page visitée d’un vecteur d’attaque spécifiquement adapté à la configuration informatique de la victime, et enfin de profiter d’une vulnérabilité pour ensuite tenter de contaminer d’autres appareils, et pourquoi pas une I.A. évoluant dans la sphère privée de la cible. La sophistication des attaques, et surtout l’adaptation en quasi temps réel du « payload » par rapport au système ciblé, l’automatisation et l’enrichissement permanent de ces nouvelles générations de virus qui seront capables d’apprendre en fonction des défenses et des mécanismes de sécurité rencontrés, ce n’est déjà plus tout à fait de la science-fiction. Nombreuses sont les conférences sécurité à caractère universitaire qui accueillent des chercheurs ayant conçus des PoC de ce genre.

Que le méchant de l’histoire soit une bande mafieuse ou les combattants d’un Etat-Nation, dans tous les cas, l’automatisation à grande échelle d’attaques complexes et personnalisées risque d’accélérer et amplifier les attaques, et surtout les optimiser. L’I.A. est capable d’intervenir et améliorer chaque phase de l’assaut, du repérage à la compromission, de l’attaque à l’extorsion dans le cas, par exemple, d’un crypto-virus. Rien n’interdit non plus d’imaginer l’I.A. s’assurer du bon déroulement de toute la chaine de payement, voire de la transaction avec les victimes. Si une intelligence artificielle est d’ores et déjà capable d’assurer les échanges clients d’un service marketing ou d’un support client, le règlement d’une rançon n’est jamais qu’une très légère variation sur ce même thème.

Et les équipes de chercheurs d’imaginer les I.A. d’un aspirateur autonome jouer les kamikazes pour assassiner un personnage politique, transformer de piètres pieds-nickelés en tireurs d’élite assistés par ordinateurs, coordonner les attentats d’une foultitude de loups solitaires… et, de l’autre côté de la barrière, des gouvernements faire appel aux machines pour renforcer l’efficacité des surveillances téléphoniques, du flicage des caméras sur la voie publique, transformer les informations distillées à la presse … des 100 pages du rapport, bien peu de cas relèvent du fantasme ou de la jamesbonderie. Machine Learning et Deep Learning ne feront qu’amplifier des pratiques séculaires du comportement humain. Et ce comportement est une constante, insiste les rédacteurs du rapport. Souvenons-nous d’Amesys, imaginons ce que de tels « vendeurs de stylo » pourraient faire avec une I.A., et rappelons-nous que les entreprises pour lesquelles ils travaillent sont également des vecteurs de recherche dans le domaine de l’intelligence artificielle.

La seconde moitié de cet ouvrage est constitué d’un interminable questionnaire. Comment détecter des menaces I .A., comment contrôler, encadrer l’usage de ces outils, comment établir des règles de salubrité, tant au niveau matériel que logiciel. Ce sont les mêmes questions que l’on se pose aujourd’hui dans le domaine de la SSI et auxquelles il est encore difficile d’apporter une réponse.

Tout d’abord, la méthode Coué,celle qui consiste à réciter le mantra « l’I.A. va revaloriser les travailleurs en leur épargnant les tâches les plus ingrates ».

Et la vision perspectiviste qui, à la lumière des révolutions technologiques passées, émet de sérieux doutes sur ce « meilleur des mondes » que nous réserve l’intelligence artificielle.

Et dans les deux cas, des armadas de spécialistes et de savants, chacun défendant son point de vue. Dans la catégorie optimiste, un article de MM Erik Brynjolfsson et Tom Mitchell intitulé « What can machine learning do ? Workforce implications ” (communication closed source), mis en exergue par les présentateurs de Yahoo Finance. L’I.A. est l’outil idéal qui libèrera les médecins des corvées de paperasse, et aidera les dermatologues à distinguer les affections cutanées cancéreuses des inflammations bénignes… vive l’I.A. qui offrira à chacun la possibilité de s’épanouir dans son travail, de se dégager des contingences matérielles et administratives abrutissantes. Fermez le ban, car comme chacun sait, le monde est constitué de dermatologues, de lecteurs de Forbes et de Yahoo Finances.

Et puis il y a les autres, les Cassandres, les pessimistes. Ceux surtout, qui se souviennent. De l’arrivée des automates programmables et de la mise sur le carreau des ouvriers spécialisés dans certains contrôles de processus très pointus, ou ceux remerciés et remplacés par un bras-manipulateur, un engin filoguidé, un robot industriel. De l’arrivée des microordinateurs et des pools de secrétariat au chômage, des employés des entreprises de sous-traitance en mini-informatique pointant à l’ANPE. De l’apparition d’Internet, de la lente érosion des commerces de proximité, de la disparition de pans entiers du secteur tertiaire, de 80% de la presse d’information « papier », de l’effondrement du Livre, de la sublimation des sociétés de services dont le cœur de métier reposait sur la civilisation papier et les échanges postaux, le tout baigné dans un jus de surveillance sauce Gafam et opérateurs télécom…

Et chaque fois les discours se ressemblent, les progressistes tentant d’égarer les futures victimes avec des problèmes qui n’existent pas. L’automate programmable risque-t-il de faire exploser une centrale pétrochimique ? L’ordinateur personnel sera-t-il un jour capable d’obéir à la voix et se révolter contre son propriétaire ? La voiture sans chauffeur devra-t-elle choisir entre écraser un groupe d’écolières sur un passage clouté ou tuer son conducteur ? Cela évite d’avoir à s’interroger sur la politique du « tout routier », sur le développement rapide des « trains » de poids-lourds pilotés par un I.A., sur les millions d’emplois supprimés, sur l’aubaine, pour les dirigeants de chaque pays, à n’avoir plus à affronter les syndicats de chauffeurs… le temps, parfois, vient à bout des situations sociales les plus inextricables.

Kai-Fu Lee,pourtant un V.C. spécialiste de l’I.A., proteste avec énergie dans un article de la Revue du MIT : « Tech companies should stop pretending AI won’t destroy jobs ». L’I.A. non seulement va réduire à néant des foultitudes de métiers peu qualifiés, mais encore elle entraînera un clivage géopolitique important. Avec, comme grand gagnant, la Chine. La Chine qui possède les plus grands réservoirs de données (data lake) du monde, et par conséquent détient la matière première la plus riche qui soit en matière de développement de l’I.A. . Car c’est à partir de cette masse de données que se forge l’intelligence des machines. Les exemples de Kai-Fu Lee sont vertigineux. « Les Vélib Chinois, à raison de 50 millions de trajets facturés chaque jour, enrichissent de 30 To de données-capteurs les bases de données des loueurs. C’est 300 fois le volume d’informations généré aux USA. Cette suprématie commence nettement à se faire sentir lorsque l’on compare Weibo et Twitter, WeChat et Facebook…»

Et le capital-risqueur d’asséner le coup de grâce, en rappelant qu’en Chine, le pouvoir central, inamovible, est une garantie de stabilité politico industrielle. Les investissements prévus par le dernier plan quinquennal ou décennal ne sont pas remis en cause par un changement de régime car précisément la notion de changement de régime n’existe pas. La politique visant à encourager l’énergie solaire de la présidence Obama a été blackboulée par les promesses de retour au charbon de l’équipe Trump. Et les syndicats de routiers exigent aujourd’hui l’arrêt des recherches dans le domaine des poids-lourds autonomes. Pendant ce temps, Xi Jinping renforce sa politique de soft-power. Les I.A. américaines savent tout du jeu de Go, mais leurs maîtres n’en tirent aucune conséquence.

L’I.A. sera Chinoise, réelle et brutale, et rien ne peut l’arrêter, estime Kai-Fu Lee, avant de se pencher sur les conséquences sociales de cette évolution technique. Certains pensent que le meilleur des mondes naîtra, associant la richesse de l’esprit humain et la rapidité avec laquelle la machine acquerra expérience et savoir. Ce sera le cas pour certaines professions à haut niveau de qualification (avocats, médecins), mais c’est une illusion pour qui pratique un métier moins « intellectuel ». Peut-on espérer un jour voir les bénéfices financiers de l’I.A. venir alimenter la bourse des laissés pour compte de cette super-automatisation ? Les machines serviront-elle à acheter la paix sociale ? Non, répond l’auteur. Car aucune somme ne peut compenser la perte de dignité, le besoin d’être utile à la société qui anime chaque être. L’on pourrait ajouter d’ailleurs que l’idée d’un « revenu universel » prélevé sur les bénéfices de l’I.A. est une utopie que dément l’histoire récente. L’automatisme, la microinformatique, la généralisation d’Internet n’a fait que creuser le fossé qui sépare les plus riches des plus pauvres. La paix sociale sera lettre morte lorsque l’indice de Gini tendra de plus en plus vers 1.