septembre 28th, 2009

Lieutenant Uhura, est-ce que votre oreillette Bluetooth est filtrée contre les virus ? Un regard comique sur l’évolution de la sécurité vue par RSnake au travers des épisodes de Star Treck. Beam my firewall up, Scotty

Outil d’inventaire de failles gratuit : Health Check 2.0 Beta, de F-Secure, est disponible en téléchargement. Son interface et sa simplicité d’utilisation sont en très net progrès par rapport à l’ancienne version

« Guidelines for Secure Use of Social Media by Federal Departments and Agencies » est un document émis par le « CIO Council » de l’Administration US, et qui définit les grandes lignes d’une politique de sécurisation des infrastructures informatiques gouvernementales contre les dangers provoqués par les réseaux sociaux. Du phishing ciblé aux fuites d’information, en passant par l’ingénierie sociale ou l’attaque en drive by download, ces nouveaux médias sont de plus en plus exploités. Mais ignorer ces nouveaux modes de communication peut également entraver la bonne marche d’un service, ou fermer à une entreprise de nouveaux débouchés promotionnels par exemple.

Ce document d’une vingtaine de pages passe en revue les points les plus sensibles, les actions à entamer pour limiter les risques, tant à l’échelon humain qu’au niveau des dispositions techniques ( (réseau, infrastructure, poste de travail, filtrage etc). Cette méthode est bien entendu parfaitement adaptable à toute entreprise et n’a strictement rien de spécifique aux rouages de l’Administration Américaine.

A la fois outil promotionnel et marketing viral pour mieux vendre sa suite « Safeguard Private Crypto », Sophos offre en téléchargement un outil de chiffrement compatible Mapi (clients Windows Mail, Outlook, Notes…). Le destinataire n’a besoin d’aucun programme particulier –le contenu est auto-extractible-, et l’agent de chiffrement est certifié compatible des plateformes XP/2000 à Windows 7/2008 (32 et 64 bits, détail important). Si le développement est purement propriétaire, il repose sur des outils de chiffrement standards –AES 256 et hash SHA 1 et 2-. Les clients pour plateformes mobiles (Symbian et Windows Mobile) sont vendus, et il n’existe pas de logiciels fonctionnant sous noyaux Macintosh ou Linux. Si ces détails peuvent faire sourciller un responsable de parc d’entreprise un peu hétérogène, ils devraient en revanche être parfaitement éludés par les particuliers et artisans en quête d’un logiciel simple à utiliser. Ce « gratuiciel » est disponible en Français, et pourrait intéresser tous les internautes « non techniciens » soucieux de la préservation du secret de la correspondance, pratiquement devenu lettre morte depuis l’adoption d’Hadopi 2.

Un fait-divers révélateur sur les vieilles pratiques de sécurité par obscurantisme qui frappe encore les officines bancaires Etats-uniennes, à la source deux papiers, l’un publié par Wired, l’autre par MediaPost.

Un employé de la Rocky Mountain Bank of Wyoming aurait, par erreur, expédié sur une adresse Gmail une liste de plus de 1300 noms de clients et données sensibles. Après s’être aperçu de sa malheureuse distraction, l’employé gaffeur a demandé à son correspondant de bien vouloir effacer le courriel en question « immédiatement et sans l’avoir lu au préalable » (sic). Ce qui implique donc que la Rocky Mountain Bank of Wyoming soit expédie ses courriels sous enveloppe légèrement transparente, soit possède un double service de correspondance client-établissement, l’un destiné à l’expédition du contenu, utilisant les voies parfois impénétrables du routage smtp, l’autre, purement psychique et très probablement télépathique, qui servira à indiquer aux destinataires les emails qui, au sein de leur boîte de réception, sont à lire ou à ignorer. Devant une telle technologie, même les plus perfectionnés des algorithmes Bayesiens peuvent aller se rhabiller.

Obéissant probablement à cette injonction par transmission de pensée, le propriétaire du compte n’a semble-t-il ouvert ni l’un ni l’autre (probablement assailli par un doute) et n’a donc pu répondre ni au premier, ni au second.

Devant un tel mutisme, le service juridique ou informatique bancaire tente donc de savoir si le compte Gmail est actif ou non. Ce à quoi les princes de la Recherche Web et empereurs de l’email cloudifié répondent que non, sans décision d’un juge, ce genre d’information ne serait pas divulgué. Un détail qui ne dérange guère les Beurriers du Wyoming, qui se font fort de dénicher un juge assez complaisant non seulement pour désactiver (temporairement est-il précisé) le compte en question, mais en plus pour adresser à Google une injonction visant à rendre publique l’identité du possesseur du compte.

Si nos confrères de Wired et de Mediapost s’émeuvent de cette décision, qui montre à quel point la justice Américaine est prompte à servir sans hésiter les intérêts des banques, personne, en revanche, ne s’étonne du fait que le contenu en question n’ai pas été chiffré à la source ou que les cotes d’alertes des outils de DLP –dont ne saurait se passer un organisme financier- n’ont pas une seule fois crié « au loup ». Un juge serait-il, de l’autre côté de l’Atlantique, moins cher qu’une remise à niveau des défenses périmétriques ?
En France, bien entendu, ce genre de mésaventure n’arrive jamais …