février 23rd, 2016

Une veille de week-end que l’on prévoyait tranquille, et hop, un nouveau consortium IoT apparaît. Cet Open Connectivity Foundation (OCF), prétend réunir assez d’acteurs pour développer une sorte de lingua franca, un socle commun qui devrait permettre aux Objets de l’Internet du monde entier d’inter-opérer. Ce club des industriels de la chaussure qui cause, du bracelet qui mesure et du réfrigérateur qui achète compte quelques grands noms : Arris, Cable Labs, Cisco, Microsoft, Electrolux, Intel, GE Digital, Qualcomm, Samsung… et ce ne sont là que les membres fondateurs.

Promis, les standards (ou normes) qui naîtront de ce thinktank seront ouverts, assurent les susnommés. Ouvert, mais dépendant d’une « certification » après passage sur une plateforme de tests. Au temps pour les espérances du Cnrfid qui espérait jouer un rôle d’ordonnateur du quotidien interconnecté. Lorsque la fosse d’orchestre se situe, à de rares exceptions, sur la côte Ouest des USA, il est difficile pour le premier violon de faire attention à une baguette agitée en Europe.

Idem pour la , AllSeenAlliance, encore un « consortium Théodule » qui espère lui aussi mettre en coupe réglée la forêt d’Objets de l’Internet. On y compte déjà comme membre des Microsoft, Electrolux, Qualcomm, Cisco, mais également NXP, LG, Canon, IBM, Sony, Sharp, Symantec, Zyxel… au total, 257 membres, le ban et l’arrière ban de l’électronique grand public, des réseaux domotiques, de l’électronique embarquée.

Attention, il ne faut surtout pas confondre cette AllSeenAlliance et l’Internet of Thing Consortium qui, également, compte parmi ses membres NXP, perdu au milieu d’un océan d’intégrateurs et vendeurs de services.

Pas de confusion non plus avec l’Industrial Internet Consortium qui, bien qu’orienté vers un monde professionnel et industriel, n’a plus que le mot « IoT » à la bouche. A quel saint se vouer, lorsqu’à force de profusion, la manie des normes bannit les bornes ?

L’on pourrait également faire remarquer qu’hormis un ou deux acteurs du monde de la sécurité jouant de rôle de faire-valoir, la protection de la vie privée ou la préservation des données semblent totalement absentes des agendas de tout ce petit monde. Interconnecter le plus vite possible, échanger, participer au grand Internet 3.0 ou tout ce qui est à toi est à moi mais pas l’inverse prime sur toute autre considération.

10 000 comptes Twitter sont « potentiellement » compromis, nous apprend un billet du « blog officiel ». La faille, rapidement comblée, affectait la procédure de récupération de mot de passe oublié. Le nombre d’usagers exposés à ce risque ne représente qu’une goutte d’eau dans l’océan de la population twouitérienne… mais la taille de ce « rien » est déjà conséquente.

Instagram est fier d’annoncer son passage à l’authentification « double facteur ». Une mesure supplémentaire qui viendra renforcer, par envoi d’un SMS chez l’abonné, la politique de mot de passe de cette pinacothèque mondiale. Pourtant, le facteur qui sonne toujours deux fois est loin de constituer une garantie absolue. Bien au contraire estiment certains, car plus les « facteurs » se multiplient, plus se renforce un faux sentiment de sécurité chez l’utilisateur. Le 11 février, Cyril Bruder, un lanceur d’alertes du domaine bancaire très suivi dans la twitosphère, signalait une nouvelle forme de hacking lors des transactions :

– La machine de la victime est infectée avec un malware

– Ledit malware détecte la moindre connexion avec la banque (ou, dans le cas présent, avec Instagram) et prévient les truands qui, à leur tour, se connectent sur le compte du client pour y ordonner un virement vers un autre compte

– La banque n’autorise de virement qu’à réception d’un numéro de transaction envoyé sous forme de SMS

– Le malware affiche sur l’écran de la victime un message demandant de confirmer le numéro en question sous prétexte de vérification de sécurité… et transmet ledit numéro aux pirates, qui valident alors le virement

Le double facteur est vain en cas d’attaque multisession. Il faut admettre que le pillage de 95% des ressources d’Instagram est loin de valoir le vol d’une seule épure au fusain du Musée du Louvre signée par un « petit maître », et que les vols d’identité sur ce réseau sont généralement de peu de conséquences.

eBay entre également dans la catégorie des « réseaux sociaux » à but commercial. Cette fois, c’est Netcraft qui reproche à ce site d’enchères en ligne de corriger trop mollement une série de défauts qui donnerait à des escrocs la possibilité de monter des chaînes d’abus de confiance. Les cyber-truands détournent de vieux comptes eBay inactifs mais possédant un capital confiance et un historique de ventes au-dessus de tout soupçon, et l’utilisent pour lancer une offre plus qu’alléchante. Les ventes de véhicules d’occasion sont une mine d’or pour les plus crédules. Une fois un acheteur appâté, les truands exploitent la faille pour rediriger l’acheteur vers un site web singeant l’interface eBay. Le reste se passe de commentaire : la vente est conclut, le prétendu vendeur tente de persuader l’acheteur d’effectuer un virement ou, en cas d’attitude trop méfiante, lui conseille d’utiliser les services d’un tiers de confiance. Lequel tiers n’est pas plus « de confiance » qu’une promesse électorale. Tous les détails techniques au fil de l’article rédigé par Paul Mutton, de l’équipe Netcraft.

Plus les mécanismes de protection se complexifient, plus les attaques sont alambiquées, plus l’usager est perdu dans un tourbillon de prérequis techniques, de conseils abstrus, de pratiques lourdes et pas toujours efficaces.