septembre 17th, 2018

Le DHS recycle la copie de l’Anssi

Posté on 17 Sep 2018 at 4:45

Le Département de la Sécurité Intérieure US (DHS) crée un « Centre National des risques Cyber » chargé d’établir les priorités en matière de protection des avoirs numériques de l’industrie et du monde civil. Parmi ses principales missions, la toute première, explique Joseph Marks de Defense One, sera de recenser les « joyaux de la couronne ». En d’autres termes, les opérateurs d’importance vitale et autres opérateurs de service essentiels : énergie, santé, télécoms et services financiers. Ce marathon des priorités aux risques cyber devrait suivre un calendrier très stricte (une étape de 90 jours précise notre confrère).

Ce Cyberrisk Center allègera le travail du NCCIC (National Cybersecurity Communications and Integration Center), et lui permettra de se recentrer sur la protection des agences gouvernementales. Rappelons que c’est ce même NCCIC qui évalue et note les risques SSI et Télécom en collaboration avec le Cert US.

Authentification à double facteur : compromission

Posté on 17 Sep 2018 at 4:39

Reddit alerte ses abonnés que les comptes informatiques appartenant à des membres du personnel ont été compromis, malgré une authentification à double facteur basée sur un envoi de SMS. Cette compromission aurait mis en danger les données de certains des usagers.

Les méthodes de détournement de SMS sont nombreuses, et vont de la simple attaque Bluetooth qui ouvre l’accès à l’espace de stockage des messages (un classique vieux de 20 ans), à une foultitude de compromissions « man in the middle » reposant soit sur des appliquettes Android corrompues, soit sur des vols de cartes SIM auprès de l’opérateur télécom (via une usurpation d’identité de la victime), soit sur des redirections d’appels… la liste s’allonge chaque jour.

La magie des termes « authentification à double-ou triple-facteurs » donne généralement bonne conscience et permet de vendre de la confiance à des usagers sans pour autant investir le moindre centime dans un véritable renforcement des procédures d’identification. L’empilement des « couches de sécurité » n’est efficace que lorsque cette succession de protections est cohérente et ne repose pas déjà sur un système faillible. Le double facteur renforce, il ne « bouche » pas, il ne se substitue pas.

Fort heureusement, Reddit n’est pas une banque, mais le risque de piratage des comptes d’usagers n’est pas à négliger.

Publicité

MORE_POSTS

Archives

septembre 2018
lun mar mer jeu ven sam dim
« Août   Oct »
 12
3456789
10111213141516
17181920212223
24252627282930