juin, 2018

Ce n’est par la première fois qu’Hervé Schauer se lance dans la création d’entreprise en général et dans la formation à la sécurité des S.I. en particulier. Son parcours, il le détaillait avec émotion lors des dernières JSSI, le prouve amplement. Qui donc, au tout début des années 90, osait parler de sécurité dans le domaine cryptique des systèmes*nix ? Qui donc, dans les années 2000, a « vendu » l’idée des certifications des hommes et des infrastructures, des normes ISO 27xx aux formations certifiantes ISC²…

Après avoir cédé sa dernière entreprise à Deloitte et libéré de ses obligations contractuelles, ce serial-entrepreneur a donc décidé de relancer une entité… de formation dans le domaine de la sécurité informatique. Avec un nouveau nom, HS2 (il sera difficile de ne pas prononcer le « C »), un nouveau domaine, une nouvelle page fb, LinkedIn et toujours le même alias Twitter @Herve_Schauer

La France vient d’entrer dans le Guiness de Dataloss.db et de ses successeurs, rapportent nos confrères de Bleeping Computer. Les systèmes de la société Parisienne de réservation d’Hotels Fastbooking ont été violés le 14 juin, intrusion découverte 6 jours plus tard (la fenêtre de vulnérabilité était donc relativement étroite).

Durant ce laps de temps, « plusieurs centaines » de comptes clients (nom, nationalité, adresses physique, email et dates de séjour) ont été récupérés. Dans certains cas, précisent nos confrères, ce vol porterait également sur les données bancaires (nom, numéro de compte, date d’expiration). Nulle information ne transpire concernant les conditions de stockage, de chiffrement et de salage des informations en question. L’antenne communication répond « Pour des raisons de sécurité, nous ne pouvons communiquer les détails de notre méthode de cryptage , mais nous pouvons néanmoins vous confirmer que toutes les données de carte (y compris nom, date d’expiration) étaient cryptées ». Ce qui ne répond pas à la question du salage.

Concernant la volumétrie, les seuls chiffres communiqués portent sur les réservations des hôtels au Japon (380 établissements). Fastbooking travaille dans toute la zone Asie-Pacifique et Moyen Orient et ne cible principalement que des hôtels de luxe : la revente de ces identités sur le marché noir risque de faire quelques heureux.

Aux questions plus précises portant sur les actions en cours, un porte-parole de Fastbooking précise que« Nous avons en effet contacté l’ensemble des hôtels dont les données ont été piratées pour les informer et les assister dans les mesures à prendre »…. « Nous avons mandaté une équipe de PCI Forensic Investigators pour procéder aux analyses des éléments techniques »… « une plainte a été déposée auprès de la Brigade d’Enquêtes sur les Fraudes aux Technologies de l’Information (BEFTI) et les organismes de paiement ont été contactés afin qu’ils mettent en œuvre les mesures de protection nécessaires des porteurs de cartes. ».

A la question : « avez-vous prévenu directement chacune des victimes potentielles ?  Aucune réponse précise n’a encore été donnée …

McAfee publie son traditionnel « rapport des menaces annuelles » de fin de semestre, et sans surprise, les attaques les plus médiatisées et les nouvelles technologies sont toutes présentes dans ce petit musée des horreurs numériques.

Il faudra donc nous méfier :
– Des ransomwares, qui ont déferlé sur nos systèmes durant ces deux dernières années comme autant d’Attila. Si les serveurs locaux sont déjà protégés, craignons les Huns sur les autres.
– Du machine learning. L’on voit apparaître de plus en plus d’outils de protection et de détection auxquels les éditeurs ont ajouté une pointe d’I.A. afin d’améliorer leur vigilance et leur à-propos. Mais l’I.A. pourrait également servir les intérêts des adversaires, en affûtant leurs bases de connaissance en matière de vulnérabilités exploitables ?
– De l’IoT domotique … celle qui prévient les voleurs de nos absences, celle qui déclenche la chaudière en plein mois d’août, celle qui écoute nos échanges wifi en p0wnant la cafetière et qui sabordent nos transports amoureux en fliquant les données Fitbit. Le risque n’est pas nul, mais les probabilités d’exploitation devraient se limiter aux villas de 25 pièces avec vue sur la mer … Simple question de retour sur investissement.
– Les équipements électroniques connectés qui côtoient nos héritiers et mettent leurs identités et leur intimité en danger … Les cyber-barbies sont-elles vulnérables aux My Little Pony de Troie ?
– Des applications « serverless », dont la diffusion et l’absence de centralisation des moyens de sécurité rendent l’élaboration complexe. Pour s’en rendre compte, il suffit de récupérer un vieil article sur les « agents intelligents » des années 90 et de le remettre au goût du jour par un simple « recherche-remplace ». Techniquement, très peu de choses ont changé en termes de sécurité, de risques et de menaces.

Thomas Escher avec un groupe d’Universitaires Allemands vient de publier un article sur la détection et l’anonymisation des séquences de micropoints imprimés sur chaque sortie d’imprimante laser et destinés à localiser l’origine d’une fuite d’information. Sur github, les sources des outils

Selon une étude Vason Bourne, le poids de la maintenance des équipements « hérités » (avec leur lot de failles) est largement contrebalancé par les coûts attendus du dé -commissionnement du « vieux » et des adaptations des politique SSI sur le « neuf ». Sur HNS

Window Snyder, l’une des femmes les plus réputées dans le monde de la sécurité des systèmes d’information, rejoint le groupe Intel, avec le titre de Chief Software Security Officer.

Window Snyder a fait partie du noyau historique du L0pht Heavy Industry/@stake (absorbé par Symantec depuis), et a vu passer quelques grands noms de la SSI : Mudge, David et Mark Litchfield, Dan Geer, Dave Goldsmith, Chris Wysopal/Weld Pond, Chris Thomas/Space Rogue ou Joe Grand/ Kingpin. Elle fera un passage remarqué chez Microsoft, durant lequel elle organisera la « Blue Hat MS hacker’s conference », est créditée « co-fondatrice » de Matasano et rejoindra Mozilla durant plus de deux ans pour ensuite intégrer l’équipe sécurité d’Apple.

Les glorieux contribuables de Sa Majestés Britannique qui auraient téléphoné à leurs percepteurs ont été enregistrés à leur insu, s’insurge le Register et explique le HNS. Au total, ce sont près de 5,1 millions d’identités qui ont ainsi été collectées, sans que qui que ce soit n’ait eu vent de l’affaire ni qu’une quelconque démarche visant à l’effacement des données ne soit communiquée au public. Opacité complète également pour ce qui concerne les moyens de préservation et de protection des données, si ce n’est qu’ils respectent « les standards les plus exigeants en la matière » sans autre précision.

Or, s’il y a 20 ans, une telle collection était quasiment inexploitable, l’empreinte vocale constitue aujourd’hui une information à caractère aussi personnelle qu’une empreinte digitale. Pis encore, à partir de la modélisation d’un échantillon de voix, il est tout à fait possible d’usurper le « timbre » d’une personne, et plus probablement de fliquer ledit locuteur dès qu’il décroche un combiné, qu’il soit filaire ou cellulaire. Bref, un bon système d’analyse dans le domaine temps/fréquences, branché sur un système d’écoute mondial (le Royaume Uni a libre accès à l’arsenal de flicage de la NSA) peut localiser n’importe qui, n’importe quand, pour peu que ce n’importe qui ait passé un coup de fil au centre des impôts le plus proche.

Il va sans dire qu’en Grande Bretagne aucun des fichiers nominatifs à caractère personnel n’est communiqué à des puissances étrangères …

Dans un long communiqué enthousiaste, Troy Hunt, Grand Timonier du site « Have I been p0wned », annonce l’intégration de son système d’alerte dans le navigateur Firefox ainsi qu’au service 1Password. Jusqu’à présent, cette collaboration se limitait au seul service d’alertes de la Fondation Mozilla.

L’EFF lance une grande campagne de promotion visant à faire déployer StartTLS sur chaque serveur de messagerie. Une page d’analyse à distance indique si oui ou non le serveur de messagerie utilise ce mécanisme de chiffrement, page dont les résultats donnent aux administrateurs des serveurs en question smtpd en question la possibilité d’inscrire leur domaine dans la liste des maillons réputés fiables. Liste maintenue par l’EFF et destinée à prévenir lesdits administrateurs en cas de défaillance des couches de sécurité.

Le communiqué de l’EFF rappelle que StartTLS n’est qu’un système de chiffrement de serveur à serveur, destiné à protéger les échanges d’emails sur les multiples segments de son acheminement… il ne s’agit en aucun cas d’un chiffrement de bout en bout tel que garanti par des applications telles que PGP ou S/Mime.

La précédente initiative de l’EFF, Let’s Encrypt a connu un succès planétaire. Celui de StarTLS Everywhere est quasiment assuré d’un résultat comparable, d’autant plus que la grande majorité des services de messagerie sont détenus par 5 ou 6 opérateurs d’envergure mondiale, qui tous, déjà, chiffrent leurs échanges sortants.

Selon Appthority, la base de données Firebase, ou plus exactement ses failles de sécurité, donnerait accès à près de 100 millions d’enregistrements dont une grande partie serait à caractère personnel