janvier 16th, 2019

Want to play Global Thermonuclear War ?

Posté on 16 Jan 2019 at 5:29

Le Department of Defense US a publiĂ© un rapport d’un peu moins de 50 pages sur l’état de la sĂ©curitĂ© des « munitions complexes » (missiles balistiques (BMDS) de tous crins) utilisĂ©s par les trois armes. Et l’on n’est pas très loin des invraisemblances Ă  la Wargames : Aucun chiffrement sur certains Ă©quipements, aucune capacitĂ© de dĂ©tection antivirus, absence de mĂ©canismes d’authentification multifacteurs, trous de sĂ©curitĂ© encore bĂ©ants remontant au dĂ©but des annĂ©es 90… « The Army, Navy, and MDA did not protect networks and systems that process, store, and transmit BMDS technical information ». Et ceci quand bien mĂŞme l’accès au rĂ©seau de commande accepterait une authentification renforcĂ©e. Les employĂ©s nĂ©gligent ces procĂ©dures. A ces mauvaises pratiques tant dans les usages que dans les procĂ©dures de dĂ©ploiement, s’ajoutent quelques manquements en termes de sĂ©curitĂ© physique. Il n’est pas rare, prĂ©cise le rapport, que certaines armoires de serveurs ne soient pas fermĂ©es Ă  clef, ou que des unitĂ©s de stockage accessibles par le personnel ne soient pas elles-mĂŞmes chiffrĂ©es. Pour couronner le tout, l’on ne trouverait pas d’IDS sur le rĂ©seau… lequel est tout de mĂŞme chargĂ© de relier plus d’une centaine de sites de missiles. L’on comprend d’autant mieux le « Comment j’ai appris Ă  ne plus m’en faire et Ă  aimer la bombe » de Stanley Kubrick.

Le Chiffre, toujours insaisissable

Posté on 16 Jan 2019 at 5:01

Toucher au Chiffre ? mais vous n’y pensez pas ! Tollé général du côté des usagers et éditeurs après l’adoption d’une loi par le Gouvernement Australien, qui impose l’intégration d’une porte dérobée dans toute application de communication publique chiffrée. Histoire de se parer des habits de Grand Défenseur des Libertés Individuelles, les Gafa ont protesté comme un seul homme. Vrai quoi, la collecte d’information et l’espionnage, ça ne devrait être réservé qu’à des gens sérieux… nous nous comprenons, laisse entendre en filigrane nos confrères de Motherboard. Plus récemment, Joshua Lund d’Open Whisper Systems, collaborateur du projet de messagerie chiffrée Signal, tente d’expliquer sur son blog pour quelle raison une telle loi est quasiment impossible à appliquer. Compromettre la solidité d’une clef générée au niveau du terminal utilisateur ? C’est totalement illusoire, affirme-t-il en substance. Nous n’y avons pas accès, nous n’avons pas moyen de le faire a posteriori.

On imagine aisément que les barbouzes Australiennes sont, face à un tel manque de civisme, à deux doigts de la dépression nerveuse. Fort heureusement, l’équipe sécurité de Talos vient à leur secours en leur faisant remarquer que le protocole de chiffrement n’est pas tout… il faut savoir jouer -et exploiter- sur les vulnérabilités propres à l’environnement du poste client ou des serveurs de transit, lesquelles peuvent offrir des capacités d’écoute insoupçonnées et quasiment insoupçonnables. Soit en ouvrant une seconde session « clone », soit en ajoutant, via le serveur, de nouveaux comptes… et ce, tant sur Signal que WhatsApp ou Telegram.

En Bref

Posté on 16 Jan 2019 at 4:32

Lecture pour tous : Les organisateurs du FIC ont publié la liste des ouvrages sélectionnés pour le « prix du livre FIC 2019 » , un empilement impressionnant de 40 livres allant du roman à l’ouvrage doctoral en passant par les précis de bonne pratique ou les recueils de vulgarisation

En Bref …

Posté on 16 Jan 2019 at 4:27

Comment conduire une attaque en « rejeu » pour les nuls : Une séquence Youtube de 16 minutes qui explique comment ouvrir une voiture à distante à l’aide d’un Raspberry et d’une clef RTL-SDR

Publicité

MORE_POSTS

Archives

janvier 2019
lun mar mer jeu ven sam dim
« DĂ©c    
 123456
78910111213
14151617181920
21222324252627
28293031