juin 9th, 2014

Comme chaque année, la Nuit du Hack (28 au 29 juin) succède immédiatement au cycle de conférences Hack in Paris (23-27 juin ). 12 conférences, 10 ateliers techniques se tiendront durant toute la durée du traditionnel concours de hacking informatique (CTF). Comme les années précédentes, cette manifestation ouverte à tous, se déroulera dans l’enceinte d’Eurodisney, du 28 au 29 juin prochain. Rappelons que la conférence Hack in Paris, destinée aux professionnels de la sécurité, aura lieu les jours précédents, du 23 au 27 juin, même lieu. Les inscriptions seront possibles jusqu’au jour d’ouverture.

Deux nouveautés en 2014. Une chasse au bug dotée d’un montant de 5000 euros est proposée par la société Qwant. Et surtout, dès potron-Minnie (de 10H à 18 H) se déroulera la NDH Kids, parrainée par l’Esiea. Les hackers de 8 à 16 ans suivront les traces de Géo Trouvetou, un éventail d’ateliers les attend. Une source occulte et généralement digne de foi nous laisse entendre que l’on attend une invasion de dominoux.

Tout comme l’an passé, sous la double casquette CNIS Mag/Electrolab, notre équipe animera deux ateliers techniques sur les principes du « software defined » et sur l’instrumentation de précision dans le domaine des mesures électriques et radioélectriques.

La base de données clients de eBay a été « intrusée », laissant sans défense près de 145 millions de possesseurs de comptes inscrits sur ce site d’e-commerce. L’attaque, précise le communiqué US, a été rendue possible grâce au vol préalable d’identifiants d’employés de l’entreprise. C’est donc via le réseau interne que s’est perpétré le vol massif.

Le communiqué en langue française, en revanche, est un peu plus inquiétant. Il précise notamment « Pensez à utiliser des mots de passe différents pour tous vos sites et tous vos comptes. Si votre mot de passe est identique, prenez le temps de le changer partout ». Ce qui, sur le coup, semblait indiquer assez clairement que les hash des mots de passe n’étaient pas salés. Car, à moins de vouloir faire passer un message subliminal, à quoi d’autre pourrait bien servir un « conseil en matière de sécurité informatique » émis de la part d’une entreprise qui n’a pas su garantir ladite sécurité. Et ce malgré les formules émaillant le début du communiqué telles que « Nous accordons une importance primordiale à la sécurité de notre site ».

Une simple analyse des habitudes d’usage tend à prouver que la majorité des clients des grands sites marchands (eBay parmi tant d’autres) utilisent les mêmes identifiants et mots de passe avec les services de payement en ligne, Paypal notamment. Si l’hypothèse du non-salage des hash stockés par eBay se confirme, les usagers devront en priorité surveiller l’activité de leurs comptes et redoubler de méfiance envers tout email de phishing visant à récupérer les codes CVV.