janvier, 2019

Le Department of Defense US a publié un rapport d’un peu moins de 50 pages sur l’état de la sécurité des « munitions complexes » (missiles balistiques (BMDS) de tous crins) utilisés par les trois armes. Et l’on n’est pas très loin des invraisemblances à la Wargames : Aucun chiffrement sur certains équipements, aucune capacité de détection antivirus, absence de mécanismes d’authentification multifacteurs, trous de sécurité encore béants remontant au début des années 90… « The Army, Navy, and MDA did not protect networks and systems that process, store, and transmit BMDS technical information ». Et ceci quand bien même l’accès au réseau de commande accepterait une authentification renforcée. Les employés négligent ces procédures. A ces mauvaises pratiques tant dans les usages que dans les procédures de déploiement, s’ajoutent quelques manquements en termes de sécurité physique. Il n’est pas rare, précise le rapport, que certaines armoires de serveurs ne soient pas fermées à clef, ou que des unités de stockage accessibles par le personnel ne soient pas elles-mêmes chiffrées. Pour couronner le tout, l’on ne trouverait pas d’IDS sur le réseau… lequel est tout de même chargé de relier plus d’une centaine de sites de missiles. L’on comprend d’autant mieux le « Comment j’ai appris à ne plus m’en faire et à aimer la bombe » de Stanley Kubrick.

Toucher au Chiffre ? mais vous n’y pensez pas ! Tollé général du côté des usagers et éditeurs après l’adoption d’une loi par le Gouvernement Australien, qui impose l’intégration d’une porte dérobée dans toute application de communication publique chiffrée. Histoire de se parer des habits de Grand Défenseur des Libertés Individuelles, les Gafa ont protesté comme un seul homme. Vrai quoi, la collecte d’information et l’espionnage, ça ne devrait être réservé qu’à des gens sérieux… nous nous comprenons, laisse entendre en filigrane nos confrères de Motherboard. Plus récemment, Joshua Lund d’Open Whisper Systems, collaborateur du projet de messagerie chiffrée Signal, tente d’expliquer sur son blog pour quelle raison une telle loi est quasiment impossible à appliquer. Compromettre la solidité d’une clef générée au niveau du terminal utilisateur ? C’est totalement illusoire, affirme-t-il en substance. Nous n’y avons pas accès, nous n’avons pas moyen de le faire a posteriori.

On imagine aisément que les barbouzes Australiennes sont, face à un tel manque de civisme, à deux doigts de la dépression nerveuse. Fort heureusement, l’équipe sécurité de Talos vient à leur secours en leur faisant remarquer que le protocole de chiffrement n’est pas tout… il faut savoir jouer -et exploiter- sur les vulnérabilités propres à l’environnement du poste client ou des serveurs de transit, lesquelles peuvent offrir des capacités d’écoute insoupçonnées et quasiment insoupçonnables. Soit en ouvrant une seconde session « clone », soit en ajoutant, via le serveur, de nouveaux comptes… et ce, tant sur Signal que WhatsApp ou Telegram.

Lecture pour tous : Les organisateurs du FIC ont publié la liste des ouvrages sélectionnés pour le « prix du livre FIC 2019 » , un empilement impressionnant de 40 livres allant du roman à l’ouvrage doctoral en passant par les précis de bonne pratique ou les recueils de vulgarisation

Comment conduire une attaque en « rejeu » pour les nuls : Une séquence Youtube de 16 minutes qui explique comment ouvrir une voiture à distante à l’aide d’un Raspberry et d’une clef RTL-SDR

C’est la seconde fois en moins d’un mois qu’un aéroport Londonien (cette fois, il s’agit de Heathrow) est contraint de clouer les appareils au sol en raison de la présence d’un drone ou appareil télécommandé, rapporte CNN ou le Times. Plus de 100 000 voyageurs, 760 vols ont été affectés par ce blocage. Déjà, le 20 décembre, un incident comparable avait gelé le trafic de l’aéroport de Gatwick.

En réponse à ces « menaces », les deux aéroports auraient immédiatement investi « plusieurs millions de Livres Sterling » pour protéger l’espace aérien à proximité des pistes, rapporte l’agence Reuter. Lance-filets ? Brouilleurs UHF ? (Toujours risqué en zone aéroportuaire), rapaces dressés à la chasse d’appareils ? La nature du matériel utilisé n’est pas révélée. Elle serait, précise la dépêche, d’un niveau comparable à ce qu’utilisent les forces armées.

… ce qui ne veut pas dire grand chose d’un point de vue technique. Si les drones sont effectivement largement utilisés par les forces armées modernes, c’est principalement sous forme de vecteurs d’attaque ou de surveillance/renseignement. Les instruments et techniques servant à détecter et intercepter des appareils hostiles laissent encore largement à désirer. Si de telles contre-mesures existaient réellement, le nombre de victimes de grenades larguées par des « quadcoptères » en Irak, en Syrie, en Israël, serait nettement moins élevé.

Le magazine Bild décrit fort bien l’épaisseur du brouillard qui noie l’affaire du fichier des personnalités Allemandes diffusé via Twitter. Les experts patentés du monde InfoSec imaginent des scénarii particulièrement alambiqués, sans même se poser la question fondamentale : comment les coordonnées privées de la Chancelière et du Président de l’Etat Fédéral, mélangées avec celles de journalistes et d’hommes d’affaires, se seraient-elles trouvées compilées dans un seul et même fichier ? Car la question est moins de savoir s’il y a eu piratage des ordinateurs de l’Administration Allemande ou découverte d’une énième ressource AWS, que de déterminer à qui a incombé la responsabilité de constituer ce ou ces fichiers nominatifs dressés en dépit du RGPD.

Les rustines Cisco mériteraient de figurer au palmarès des bonnes pratiques en matière de politique de mot de passe. La dernière en date porte le doux nom de ciscocm.CSCvk30822_v1.0.k3.cop.sgn. Elle affecte le Prime Licence Manager et pourrait offrir le flanc à une attaque en injection SQL.

Un peu moins d’une cinquantaine de défauts (dont 7 « critiques ») corrigés par Microsoft, quelques failles également chez Adobe, mais aucun de ces problèmes n’est activement exploité.

Le bulletin Adobe est quasiment anémique. Et cela faisait bien longtemps que le tableau de bord classant les défauts en termes de gravité n’avait pas été aussi vert. Une seule (et très improbablement exploitable) faille a fait l’objet d’une divulgation à ce jour, la CVE-2019-0579 affectant le moteur de base de données Jet. A noter, au nombre des problèmes critiques, deux inconsistances dans Hyper-V susceptibles de pouvoir être exploitées à distance. Ce sont les CVE-2019-0551 et CVE-2019-0550. Aucune analyse technique détaillée n’a été divulguée jusqu’à présent.