septembre, 2015

Double coup de publicité pour Charlie Miller et Chris Valasek, dont les talents de « hackers de voiture » ont été loués, au sens économique du terme, par la société Uber spécialisée dans les transports entre particuliers

Une faille du système de gestion des identités Cisco ISE pourrait donner accès à des pages spécifiques créées par l’administrateur de l’équipement

Un fichier PDF qui cache une attaque VBA Microsoft Office, associé à des compléments zipés ? description sur le quotidien du Sans . Papier proche des articles d’Ange Albertini sur les Memes

Dancho Danchev brosse à grands traits l’organisation d’un réseau de mules exploitées par les diffuseurs de « malwaretisers » et autres crimewares : un cloisonnement quasi militaire, des promesses de salaire irrésistibles pour les plus démunis

La Cnil publie une affichette de sensibilisation à la fuite de données à caractère personnel destinée aux plus jeunes. Les mêmes slogans, mais destinés à des tranches d’âge différentes , avaient déjà été émises par le passé

La FTC, Commission des opérations en bourse US, poursuit pour négligence devant les tribunaux la chaîne d’hôtels Wyndham, révèle Security Week . En 2009 et 2010, Windham s’était fait voler des milliers de comptes clients

Selon une étude KPMG, 81% des organismes de santé US (assurances santé, réseaux hospitaliers) auraient été compromis au moins une fois. 12 % déclarent avoir été « intrusés » deux fois ou plus, et 16 % reconnaissent ne pas pouvoir détecter une intrusion de leurs S.I. dans de brefs délais

On ne craint que les risques que l’on connaît. Ce principe fondamental de la sécurité, le jeune Ahmed M., de Dallas, vient d’en faire les frais *. Lorsqu’il arrive à l’école avec l’intention de montrer fièrement sa dernière réalisation électronique (une horloge numérique logée dans une valisette de métal), l’un de ses professeurs prend peur, croit que l’enfant se déplace avec une bombe « ou avec une fausse bombe », vecteur certain de terreur. L’enfant de 14 ans est alors dénoncé par l’enseignant, menotté, embarqué par la police, interrogé manifestement sans l’assistance d’un adulte, fiché et expédié dans un centre de détention pour délinquants juvéniles le temps que ses parents viennent le chercher. Le plus étonnant, dans ce fait divers, est le self-control, la maturité dont a fait preuve la victime devant les caméras du Dallas Morning News, en contraste total de l’attitude tant de son professeur que celle des autorités locales dans cette affaire.

Techniquement parlant, ce « fait divers» prouve à quel point le climat de psychose général combiné à un manque d’informations et de connaissance dans le domaine de l’artillerie (par la police ayant intervenu) comme dans celui des sciences (pour le professeur en cause) peuvent mener à une situation de dérapage car très rapidement et facilement, on pouvait constaté que la boîte ne contenait qu’une horloge numérique.

En France, l’alerte Vigipirate, plan provisoire qui dure depuis plus de 11 ans et qui coûte, parole de Ministre, plus d’un million d’Euros par jour, procède du même principe que le niveau d’alerte « rouge-jaune-vert » en vigueur aux USA. Avec la même efficacité d’ailleurs. 50 soldats en arme n’arrêteront jamais un déséquilibré, la plus stricte des lois martiales non plus.

Que faire ? Et si la moitié du million d’Euros dépensé chaque jour pouvait être reversé dans des plans d’éducation et d’enseignement des sciences et des humanités, en d’autres termes un pays peuplé de gens pensants peut-il sauver l’humanité ? Et si on s’essayait à cette autre alternative sachant que celle actuelle est en échec ?

* Ndlr : l’information, sourcée sur le Time US, fait référence à un article du Dallas Morning News, site littéralement atomisé par un afflux de consultations dans la seconde qui a suivi la publication d’une brève sur Hackaday.

Après l’évaporation de 4,5 millions de fiches client des serveurs Ucla Health, la fuite de près de 80 millions d’identités de la chaîne hospitalière Anthem, c’est au tour d’Excellus Bluecross Blueshield et Lifetime Health Care d’annoncer le pillage coup sur coup de 7 millions et 3,5 millions de données personnelles. Le CEO d’Excellus se répand en excuses sur la page de garde de son site, et révèle que l’intrusion aurait débuté en décembre 2013, soit il y a plus d’un an et demi. Jusqu’à présent, ajoute-t-il, aucune exploitation de ces données à des fins d’escroqueries ne semble avoir été constatée. Reste que ledit CEO n’a pas une seule fois écrit le mot « chiffrement » dans sa lettre ouverte, et précise que les fichiers comportent les noms, date de naissance, numéro de sécurité sociale, adresse e-mail, numéro de téléphone, numéro d’affiliation et données financières.

Un peu moins de 100 millions d’identités subtilisées en environ 300 jours et trois piratages, soit un volume proche du tiers de la population recensée aux USA, et ce du fait des hacks du seul secteur médical, voilà qui donne un aperçu assez sombre de la solidité des systèmes d’information Outre Atlantique. Si l’on transpose cette proportion en France, cela porterait à près de 20 millions de données personnelles « disparues » dans le courant 2014-2015. Ce qui est, l’on s’en doute, absolument impensable, puisqu’aucun quotidien n’en a fait mention jusqu’à présent. C’est là une double vraie bonne nouvelle car cette pratique visant à endormir les doutes, les consciences et les craintes évite d’accroître le « trou de la sécu » au chapitre des somnifères.

A cours d’argument devant l’avalanche de bévues ayant entrainé le hack de ses bases de données, la direction d’Ashley Madison traîne le journaliste Brian Krebs devant les tribunaux, pour diffamation. Preuves à l’appui, Krebs avait clairement établi que Raja Bhatia, CTO de l’entreprise, avait « intrusé » les serveurs d’un de ses concurrents. Les éléments permettant de porter une accusation aussi grave sont quasiment indiscutables, car les faits ont été décrits dans un courrier électronique rédigé, semble-t-il, par le CTO lui-même s’adressant à la Direction. Lequel courrier électronique s’était retrouvé dans le flot de fichiers Ashley-Madison piratés et répandus sur les réseaux de partage.

L’argument avancé par les avocats est aussi mince qu’une promesse électorale. « Mr. Bhatia did not “hack” Nerve.com. Rather, he noticed a readily apparent security gap ». En d’autres termes, une personne qui pénètre et se maintient sur le système d’information d’une tierce entreprise n’est pas un intrus mais un observateur versé dans la contemplation des hiatus de sécurité. Nous sommes persuadés que notre confrère Bluetouff appréciera.

S’ajoute à cela le choix d’une plainte en « libelle », proche cousin des poursuites en diffamation du droit français. Rappelons que la diffamation ne juge pas l’exactitude ou non des propos de la partie adverse, mais l’impact que ces propos ont eu sur son image, son honneur, sa réputation.

Enfin, le jugement devant être effectué sur le territoire du plaignant, autrement dit au Canada, il est peu probable que le journaliste indépendant qu’est Krebs puisse faire face financièrement parlant à un tel tsunami juridique. La poussière Ashley Madison est donc bien cachée sous le tapis et l’impéritie de ses dirigeants ne pourra plus faire l’objet de nouvelles publications. Chasser le messager pour ne pas avoir à poursuivre un insaisissable groupe de hackers est une forme de violence hélas courante dans le monde du business, tant en Amérique du Nord qu’en France (affaire Kitetoa par exemple).

Taire cette forme d’intimidation sous prétexte d’éviter d’éventuelles poursuites est un suicide à moyen terme pour toutes formes de publication, journaux « professionnels » ou simples blogs.