octobre, 2018

La sécurité et les extra-terrestres

Posté on 24 Oct 2018 at 1:38

C’est un dialogue d’outre-tombe, entre deux rĂ©cents disparus.

D’un cĂŽtĂ©, Paul Allen, emportĂ© par un cancer en ce dĂ©but de semaine, l’un des fondateurs de Microsoft, grand collectionneur de guitares Ă©lectriques, mĂ©cĂšne, startupeur en sĂ©rie, et surtout principal pourvoyeur financier du projet Seti ( Search for extraterrestrial intelligence). Pour que les Ă©quipes du Seti puissent construire leur grand rĂ©seau de radiotĂ©lescopes et participer notamment aux mesures des jets astrophysiques Ă  haute Ă©nergie, il signa un chĂšque de 25 millions de dollars.

De l’autre, le cosmologiste Stephen Hawking, qui a quittĂ© le monde des sciences en mars dernier. Son livre postume « Brief Answers to the Big Questions », Ă©galement sorti cette semaine, tente de rĂ©pondre aux questions existentielles que se posent les habitants de la terre : l’avenir de l’homme dans un monde dominĂ© par l’I.A., le transhumanisme, l’absence de dĂ©itĂ© dirigeant l’univers
 et ce clin d’Ɠil au Seti : « Il existe des formes de vie intelligentes dans l’univers. Nous devons nous garder de rĂ©pondre jusqu’Ă  ce que nous disposions d’un peu plus d’informations » (« There are forms of intelligent life out there. We need to be wary of answering back until we have developed a bit further »).

Libssh : Attention le sésame se pùme

Posté on 24 Oct 2018 at 1:04

AprĂšs 4 ans d’existence discrĂšte, une faille affectant libssh 0.8.4 et 0.7.6 vient d’ĂȘtre colmatĂ©e. Le problĂšme n’affecte que les serveurs, ce qui provoque une certaine fĂ©brilitĂ© dans les rangs de certains Ă©diteurs. Cisco, mais Ă©galement Red Hat, Suse, Canonical et consorts alertent leurs administrateurs et les poussent Ă  boucher le trou CVE-2018-10933.

L’exploitation de la faille semble excessivement simple. Il suffit Ă  un poste client d’envoyer un message de d’approbation d’authentification (SSH2_MSG_USERAUTH_SUCCESS) en lieu et place d’une demande (SSH2_MSG_USERAUTH_REQUEST). En d’autres termes, le requĂ©rant utilise un message que seul le serveur serait en droit d’émettre. Une « cuti-rĂ©action » logicielle est disponible sur Github.

Un patron d’Equifax Ă  moitiĂ© pardonnĂ©

Posté on 24 Oct 2018 at 12:46

50 000 USD d’amende, l’obligation de restituer les gains mal acquis et 8 mois d’assignation Ă  rĂ©sidence. Tel est le verdict condamnant Sudhakar Reddy Bonthu, l’un des patrons d’Equifax qui avait vendu des actions de l’entreprise avant que l’annonce de la fuite de 143 millions d’identitĂ©s ait Ă©tĂ© rendue publique. Jun Ying, CIO d’une branche de l’entreprise Ă  l’époque, avait Ă©tĂ© inculpĂ© pour des motifs comparables et avait plaidĂ© coupable.

Black Alps, GreHack, BotConf, CCC, les confĂ©rences « habillĂ©es pour l’hiver »

Posté on 24 Oct 2018 at 12:37

Plus que quelques jours pour enfiler une polaire et se prĂ©cipiter Ă  Yverdon les Bain, sur les rivages du lac de Neuchatel pour assister Ă  Black Alps du 8 au 9 novembre. Deux jours d’ateliers et de confĂ©rences InfoSec animĂ©es par quelques cĂ©lĂ©britĂ©s : Axelle Apvrille, Renaud Lifchitz, Paul RascagnĂšres


Suivre ensuite l’autoroute en direction de Lausanne, GenĂšve, Annecy et cap sur Grenoble, ou se dĂ©roulera, le 16 novembre, l’édition 2018 de GreHack qui accueillera notamment Marius Muench venu parler des Screaming Channels, Mathieu Cunche et Leonardo Cardoso, explorateurs de l’inaudible, Charles Guillemet, entre open source et Ă©lectronique sĂ©curisĂ©e
 l’équipe de Cnis Mag sera heureuse de vous y rencontrer.

Une traversĂ©e de massif central plus tard, BotConf, sixiĂšme Ă©dition, se tiendra Ă  Toulouse du 4 au 7 dĂ©cembre prochain (le premier jour Ă©tant rĂ©servĂ© aux «ateliers »). Les inscriptions sont encore ouverte, la liste des interventions arrĂȘtĂ©e.

20 jours plus tard, il faut cingler vers Leipzig oĂč se dĂ©roulera le traditionnel 35C3 du 27 au 30 dĂ©cembre. La date d’achat des tickets d’entrĂ©e « officielle » est fixĂ©e au 8 novembre
 si tout n’est pas dĂ©jĂ  parti durant la pĂ©riode de prĂ©vente.

EN Bref …

Posté on 23 Oct 2018 at 12:23

Les dépenses mondiales « I.T. » en 2019, estime le cabinet Gartner, devraient croßtre de 3.2 points pour atteindre 3800 milliards de dollars, dont 22% pour le seul secteur du Cloud

EN Bref …

Posté on 23 Oct 2018 at 12:15

Nouvelle inculpation aux USA pour interfĂ©rence dans le processus Ă©lectoral, annonce le DĂ©partement de la Justice US . Elena Alekseevna Khusyaynova, ressortissante Russe, est accusĂ©e d’avoir Ă©tĂ© la « banquiĂšre » des cellules de cyber-dĂ©stabilisation

En Bref …

Posté on 23 Oct 2018 at 12:11

Talos alerte sur les dangers de CVE-2018-4013 affectant la bibliothÚque LIVE555, laquelle est utilisée notamment par VLC et Mplayer .

Influence d’Ă©lections : Promesse et Condamnation aux US

Posté on 23 Oct 2018 at 11:41

TruquĂ©es, les PrĂ©sidentielles ? Certes non. Mais « au cas oĂč », il n’est pas inutile de prendre des mesures de protection. Surtout Ă  l’approche des Ă©lections Ă  mi-mandat, si importantes dans les 50 Etats de l’Union.

Facebook,par exemple, promet de bannir toutes fausses informations durant une campagne, notamment celles ayant dĂ©frayĂ© la chronique durant la derniĂšre consultation Nationale d’Outre Atlantique : bureaux de votes prĂ©tendument saturĂ©s par d’interminables files de votants, rumeurs d’émeutes ou d’attentats et autres contenus pouvant retenir les Ă©lecteurs chez eux. Le message Ă©mis depuis Menlo Park a Ă©tĂ© relayĂ© par l’agence Reuter. Il est dans l’intĂ©rĂȘt de Facebook de jouer la carte de la probitĂ© et de la crĂ©dibilitĂ©, d’une nouvelle virginitĂ© pourrait-on dire, surtout peu de temps aprĂšs la rĂ©vĂ©lation d’une sĂ©rie de failles de sĂ©curitĂ© menaçant quelques dizaines de millions d’abonnĂ©s. C’est surtout l’aveu d’avoir, par le passĂ©, jouĂ© les caisses de rĂ©sonance aux « fake news » Ă©lectorales.

C’est d’ailleurs cette mĂȘme semaine que vient d’ĂȘtre condamnĂ© Ă  6 mois de prison et 6 mois d’assignation Ă  rĂ©sidence Richard Pinedo, pour vol d’identitĂ© et achat d’identitĂ©s sur le marchĂ© noir, contournement des mesures de sĂ©curitĂ© protĂ©geant des organismes de crĂ©dit, ouverture de comptes en banque illĂ©gaux ou pour le compte de tierces personnes rĂ©sidant aux USA et Ă  l’étranger, et notamment au profit de l’Internet Research Agency Russe qui fut Ă  l’origine de nombreuses opĂ©rations de manipulation d’opinion via Facebook durant les derniĂšres Ă©lections PrĂ©sidentielles US. L’homme de paille aurait ainsi ouvert des centaines de comptes en banque, facilitĂ© des transferts de fonds inter-Ă©tats et collectĂ© des dizaines de milliers de dollars par le biais de ces comptes douteux. Ses aveux et sa collaboration auprĂšs du DoJ aurait permis l’inculpation de 13 ressortissants Russes impliquĂ©s dans ces opĂ©rations frauduleuses.

FCC et NeutralitĂ© du Net : quand les Bots votent …

Posté on 23 Oct 2018 at 11:27

Des Etats Unis ,encore, une Ă©tude du Center for Internet & Society (CIS) de l’UniversitĂ© de Stanford , qui revient sur une consultation publique lancĂ©e il y a un an par l’autoritĂ© de rĂ©gulation des tĂ©lĂ©coms, la FCC, et qui portait sur la neutralitĂ© du Net. Un raz de marĂ©e libĂ©ral l’emportait haut la main, semblant prouver que les citoyens US Ă©taient favorables Ă  une proportionnalitĂ© bande passante/origine de la source d’information, donnant aux grands acteurs tels que les Gafam, un « droit d’usage » supĂ©rieur Ă  celui que pourrait dĂ©tenir des concurrents plus petits ou des organisations moins riches. Insistons sur le fait qu’une consultation est un Ă©lĂ©ment de rĂ©flexion et n’a pas force de loi.

Et ce que nous apprend l’étude de Stanford, c’est que sur environ 22 millions de rĂ©ponses, 21 millions d’entre elles Ă©taient gĂ©nĂ©rĂ©es par des Bots, des duplicatas, provenaient d’identitĂ©s falsifiĂ©es ou volĂ©es, voire de personnes dĂ©cĂ©dĂ©es, le tout grĂące Ă  une armĂ©e d’ordinateurs et une poignĂ©e de personnes pudiquement baptisĂ©es lobbyistes et qu’en d’autres circonstances l’on appellerait « Bot Herders ». Les seuls « vrais humains » ayant rĂ©pondu Ă  la consultation (prĂšs de 800 000 personnes) sont favorables Ă  99,7% Ă  cette fameuse neutralitĂ© du Net et Ă  la conservation des mesures de protection des acteurs quelle que soit leur taille respective. Le billet de blog de Ryan Singel, rapporteur de l’étude, insiste mĂȘme sur le fait que les rĂ©pondants avaient une bonne connaissance du dossier, tant d’un point de vue Ă©conomique que lĂ©gislatif. Singel dĂ©nonce au passage l’inertie de la FCC qui n’a semble-t-il pas chercher Ă  filtrer ces avalanches de fausses opinions et qui serait mĂȘme allĂ©e jusqu’à faire obstruction aux journalistes, au public, au acteurs politiques, leur empĂȘchant de travailler sur les rĂ©ponses et ainsi comprendre ce que dĂ©siraient rĂ©ellement les citoyens.

Une consultation n’est pas un vote (bis), mais en gĂ©nĂ©ral les dĂ©cisions organiques des grandes administrations sont prises Ă  comitĂ© restreint et ne sont soumises qu’au vote d’un cĂ©nacle de haut-fonctionnaires (qu’il s’agisse de la FCC ou de ses Ă©quivalents EuropĂ©ens). Dans ces conditions, toute consultation a quasiment valeur de scrutin
 mais un scrutin sans observateurs officiels, sans contrĂŽle anti-fraude, sans la moindre transparence, et qui accepte sans broncher l’opinion affirmĂ©e par un botnet.

Quand SSI rime avec démocratie

Posté on 22 Oct 2018 at 7:52

La politique est-elle en train de se dissoudre totalement dans les nouvelles technologies ? Longtemps, dans la bouche de nos Ă©lus, les mots « rĂ©seau », « sĂ©curitĂ© », « informatique » et autres nĂ©ologismes Ă©lectronico-techniques n’étaient qu’une forme dĂ©rivĂ©e d’une logorrhĂ©e scientiste, prometteuse d’un dĂ©veloppement Ă©conomique futur ou d’un renforcement du fichage de masse sous prĂ©texte de protection de la veuve et de l’orphelin et des ayant-droit de l’industrie des loisirs.

Mais aprĂšs avoir chantĂ© les louanges des TIC, voilĂ  que ces mĂȘmes Ă©lus voient leurs certitudes s’évanouir. Et si, aprĂšs tout, ils n’avaient pas favorisĂ© l’émergence de ce qui sapera le fondement mĂȘme de leur pouvoir, et notamment les mĂ©canismes Ă©lectoraux ? Aux USA, en tous cas, le bourrage d’urnes et l’intoxication sont un peu plus que de vagues craintes.

Nos confrĂšres de ZDNet se plongent notamment sur les ventes en gros des fichiers d’électeurs. Dans un pays oĂč le dĂ©marchage tĂ©lĂ©phonique utilise les mĂȘmes mĂ©thodes pour refourguer de la lessive ou du candidat, la mise en vente des fichiers Ă©lectoraux de 19 Etats, soit prĂšs de 35 millions d’identitĂ©s et coordonnĂ©es, fait l’effet d’une petite bombe. Une fuite vĂ©rifiĂ©e et analysĂ©e conjointement par deux cabinets spĂ©cialisĂ©s dans la « threat intelligence », Anomali et Intel471.

Les deux cabinets se complaisent simplement Ă  commenter une sorte de guerre du Golf de la vente de fichiers sur le « darkeunaite », en passant pudiquement sur le fait que ces fichiers ont assez peu d’importance d’un point de vue stratĂ©gique. Car la liste ne comporte que 4 « Swing States” (Iowa, Minessota, Ouest Virginie et Wisconsin). Les vendeurs ne s’y sont d’ailleurs pas trompĂ©s, puisque c’est le fichier Wisconsin qui est vendu le plus cher, Ă  12500 USD pour 6 millions de votants, alors que le Texas, qui n’a Ă©tĂ© un Etat-charniĂšre qu’en 1960, est bradĂ© Ă  1300 USD pour 14 millions de votants, en trĂšs grande majoritĂ© Conservateurs. Rien ne prouve non plus que ces mises en vente aient effectivement eu lieu et que les tarifs proposĂ©s aient Ă©tĂ© payĂ©s rubis sur l’ongle. Les vendeurs du darkeunaite ressemblent souvent Ă  ces hommes politiques dont la valeur rĂ©elle est souvent bien en deçà de celle Ă  laquelle ils s’estiment eux-mĂȘmes.

La campagne de presse orchestrĂ©e par les deux « vendors » fait vibrer la corde de la manipulation de masses par une armĂ©e de l’ombre Ă  la solde de forces occultes. Ce qui confirme l’idĂ©e que les grands messages conspirationnistes et les premiers propagateurs de peur, d’incertitude et de doute sont souvent Ă©mis par des professionnels de la prestation sĂ©curitaire facturĂ©e Ă  l’heure. Mais il faut reconnaĂźtre que l’opĂ©ration marketing est belle, avec plus de 18 000 rĂ©sultats Google mentionnant cette Ă©tude. Seul le DHS, le dĂ©partement de la sĂ©curitĂ© intĂ©rieure US, minimise l’importance de l’analyse, non pas parce qu’elle ressemble Ă  une outre remplie de vent, mais parce qu’il est « fortement improbable que ces fichiers soient le rĂ©sultats d’un hack des serveurs de l’Administration FĂ©dĂ©rale ou des Services d’Etats chargĂ©s des Ă©lections », tĂ©moigne Defense One. Une fois de plus, sauver les apparences plutĂŽt que de peser les consĂ©quences de l’évĂ©nement.

Publicité

MORE_POSTS

Archives

octobre 2018
lun mar mer jeu ven sam dim
« Sep   Nov »
1234567
891011121314
15161718192021
22232425262728
293031