Android.MulDrop.924 vient de passer le cap du million d’utilisateurs, estime Dr Web . Muldrop 924 est un fringant cheval de Troie sous Android, mais également une appliquette très pratique pour créer des comptes multiples. Indice de satisfaction 5 étoiles, indice d’infection 100%.

Lifelock est un spécialiste de la protection des identités et espère mettre la main sur le marché de la sécurité de grande consommation. Un marché, espèrent les dirigeants des deux entreprises, qui ne peut que croître pour atteindre plus de 10 milliards de dollars. A l’heure actuelle, Lifelock possède une clientèle de 4,4 millions de personnes, chiffre en constante augmentation « compte tenu des multiples affaires de vol de fichiers et d’usurpation d’identité dont témoignent régulièrement les médias ».

Les opportunités de marché issues des statistiques de la sinistralité informatique ne sont pas toujours les eldorados que l’on espère. Maîtriser les fuites d’identité nécessiterait la mise en place de bonnes pratiques « a minima » : chiffrement systématique des données à caractère personnel ; abandon de SHA1, salage, contrôle permanent des défenses des S.I. de chaque exploitant des données, connaissance et maîtrise de chaque fichier créé… autant de dispositions qui sont rarement appliquées, voire impossibles à atteindre.

La police Britannique, nous apprend le Daily Mail, vient d’arrêter trois personnes suspectées d’avoir participé au hack de l’opérateur de téléphonie mobile Three Telecom. Le butin s’élève à 6 millions d’identités, avec nom, prénom, adresse, date de naissance et, bien sûr, numéro de téléphone. Les numéros de compte et identités bancaires n’auraient, assure l’opérateur, pas pu être accédés par ces pirates.

Un coup perpétré par un gang Russo-Sino-mafieux international ? Que Nenni ! Des hackers vivant dans le royaume de Sa Gracieuse Majesté, et dont la principale préoccupation était de profiter des données afin de commander de nouveaux terminaux mobiles, interceptés à la livraison puis rapidement écoulés sur le marché via des sites d’enchères. La disproportion entre l’ampleur du sinistre informatique et l’exploitation très « artisanal » des données indique à quel point se banalise la délinquance informatique.

Cryptome publie le dernier lot en date des fichiers Snowden expédiés à The Intercept et datant des années 2010. Il s’agit, cette fois, du dispositif Blarney, un réseau d’écoute téléphonique visant aussi bien les éventuels groupes terroristes que les activités diplomatiques, politiques et économiques ou commerciales des pays étrangers et principalement l’Union Européenne, le Fond Monétaire International, les Nations Unies, la Banque Mondiale, l’Allemagne, la France, l’Italie, le Japon, la Grèce, l’Arabie Saoudite, la Russie… et au passage les citoyens US eux-mêmes.

Blarney n’est qu’une des composantes d’espionnage mises en œuvre par la NSA au lendemain des évènements du 11 septembre, tout comme le sont également les dispositifs Stormbrew, Faireview ou Oakstar. Des dispositifs « qui s’appuient sur des partenariats commerciaux facilitant l’accès et l’exploitation des renseignements étrangers obtenus à partir de réseaux mondiaux » expliquent les documents Snowden. Par renseignements entendons métadonnées et contenus des communications, par partenariats commerciaux toute « aide objective » apportée par des opérateurs télécom notamment. Afin que cet espionnage puisse se pratiquer sans heurt, plus de 40 décisions de justice visent aussi bien des organisations internationales que des pays alliés ou des entreprises d’envergure mondiale. Un article signé Ryan Gallagher et Henrik Moltke décrit Titanpoint, l’un des pivots techniques de Blarney, un bunker-central téléphonique situé au centre de New York, bloc de béton de 29 étages et trois sous-sols, sans la moindre fenêtre, prévu pour résister à tous les séismes et attaques nucléaires possibles. 29 étages de pabx, de réseau électrique de secours, et officiellement détenu par AT&T.

Même si, parmi les promesses électorales du futur Président Donald Trump, une partie des coûteuses structures anti-terroristes post 11 septembre devraient être supprimées, il est peu probable que ces « grandes oreilles » voient leur activité faiblir.

…et Github n’y est pas pour grand-chose, puisque la source de cette fuite serait GeekdIn, un « chasseur de têtes » Espagnol évoluant dans le secteur des NTIC. C’est Troy Hunt, créateur du site have I been pwned qui, le premier, a découvert le pot aux roses, prévenu les administrateurs de Github et évalué l’étendue du sinistre. Hunt se compte lui-même au nombre des victimes.

Même si la direction de Github n’approuve pas la récolte des profils de ses membres de la part d’entreprises tentant d’en tirer un bénéfice commercial, elle ne considère pas non plus ce quasi pillage comme un acte répréhensible.

Le site et le compte tweeter de GeekdIn sont aux abonnés absents depuis la publication du billet de Hunt.

La désinformation (promesses électorales et débordements des partisans trop enthousiastes) ne constitue que la partie visible du processus électoral informatisé. Les autres leviers d’influence sont parfois bien moins détectables, bien moins discernables.

Hacker les machines à voter ou les serveurs de traitement des bulletins de vote, c’est le principal risque que Bruce Schneier pointe du doigt. Même si les dernières élections US se sont déroulées dans une quasi-certitude d’absence de cyber-fraude, affirme le père de Blowfish, on peut légitimement s’inquiéter pour les prochaines éditions. Les machines à voter sont vulnérables, tout comme les systèmes de collecte, et le principe même du vote électronique est biaisé, car il interdit quasiment toute possibilité de contrôle une fois les élections achevées… à commencer par un « recomptage papier » des voix exprimées. Une machine vulnérable peut tomber en panne, donc interdire tout vote, ou attribuer le vote à un candidat qui ne sera pas celui choisi par le votant. Votant dont le bulletin pourrait également ne pas être pris en compte. L’art de bourrer les urnes numériques ne connaît pas de limites. Il ne faut pas systématiquement, explique Schneier en substance, soupçonner celui à qui profite l’élection. Truquer un scrutin peut tout aussi bien profiter à une puissance étrangère, qui cherchera à favoriser un candidat, soit parce qu’il partage certains points de vue politiques, soit parce que ses actions ou absences d’actions favoriseront la politique étrangère de ladite puissance.

Hacker les partis politiques n’est hélas pas un fantasme. La mise à sac du S.I. du parti Démocrate l’été dernier, la publication par Wikileaks des courriels du directeur de campagne d’Hillary Clinton en pleine période électorale ont, sans conteste, pesé dans la balance. Tout comme les propos de Julian Assange espérant en juin dernier, que la publication des emails du parti Démocrate « … harm Hillary Clinton’s chances to win the presidency… ». Propos qui, au passage, placent très nettement Wikileaks dans la catégorie des médias politiquement situés à droite. Ces piratages successifs sont-ils, ou non, orchestrés par les services de renseignement du Kremlin ? C’est ce qu’affirme en tous cas certains enquêteurs du FBI, sans en apporter bien sûr la moindre preuve. Ce soupçon s’inscrit dans le scénario-catastrophe décrit par Bruce Schneier : bien qu’encore hypothétique, une cyber-ingérence étrangère dans la vie politique d’un état relève du plausible et devra figurer dans l’agenda des administrations telles que le DHS ou… l’Anssi.

Hacker directement les rouages politiques via des opérations de phishing aux atours de révélations électorales, c’est le second effet viral des élections US. Et il semblerait cette fois que la provenance porte clairement la signature de gangs russes, affirment Brian Krebs et SearchSecurity. Pour preuve, les outils utilisés dans une campagne de phishing ciblée, outils identiques à ceux ayant servi à l’intrusion des emails de John Podesta, le directeur de campagne du parti Démocrate. Cette fois, ce ne sont pas les scrutins qui sont visés, mais quelques leaders d’opinions, des thinktanks, des organisations à but non lucratif spécialisées dans les analyses politiques ou l’appréciation des évolutions sociétales. Pas franchement ce que recherchent en général les vendeurs de viagra, de fausses montres de luxe ou de langoureuses demoiselles en mal d’amour, mais qui serait plus dans le collimateur d’organismes gouvernementaux.

Il importe peu de savoir si ce genre d’attaques est pilotée par la main gauche de la Russie, des services de renseignement Chinois, du crime organisé ou de trop zélés agitateurs politiques. Il est certain, en revanche, que les technologies numériques avec leurs qualités mais surtout leurs défauts et leurs failles, occupent une place prépondérante dans le jeu démocratique. C’est là une situation nouvelle, que personne, pas même les ténors de la Sécurité Nationale, n’avaient prévus. Et il n’est pas certain qu’ils parviennent un jour à résoudre ce problème.

Entre les hacks probables, les hacks supposés, les hacks fantasmés et les hacks réels, difficile d’estimer l’influence des NTIC dans les élections présidentielles US. Ce qui est certain, c’est que cette formidable comédie humaine a montré qu’il n’y a guère plus loin du Capitole de Washington à l’ordinateur que d’un autre Capitole à la roche Tarpéienne.

« Hacker » les esprits, le principe en avait déjà été acquis et mis en application par Barack Obama lors du mandat de 2008. Ce fut probablement le premier Président à avoir largement exploité les réseaux sociaux (principalement Facebook), recouru à l’usage massif de « call center » chargés de rameuter ses ouailles en exploitant les ressources de la base de données des sympathisants Démocrates Catalist, et encouragé le lobbying numérique en sa faveur. Il faut dire que d’autres Démocrates, le tandem Bill Clinton/Al Gore, avaient déjà préparé le terrain et popularisé Internet, un outil que leurs adversaires Républicains ont boudé durant tout le début des années 2000. Un retard vite rattrapé, puisque l’affrontement Donald Trump/Hillary Clinton s’est rapidement transformé en bataille informatique rangée, émaillée de coups bas, de fausses informations, de propos violents et outranciers, tant d’un côté que de l’autre. Mais la palme de l’info bidon semble nettement avoir profité au candidat républicain, et pas seulement du fait des plus fanatiques de ses partisans. Début novembre, Buzzfeed expliquait comment s’était créé, en Macédoine, une kyrielle de sites pro-Trump utilisant les méthodes les plus racoleuses pour « faire du hit ». Les Webmestres de ces diffuseurs de news aussi haineuses que fausses ne poursuivaient qu’un but : le chèque de fin de mois assuré par Google Adsense, chèque proportionnel au nombre de visites d’internautes.

Facebook,principal relais de ces fausses informations, a été soupçonné par certains médias d’interférer activement dans le cadre de la campagne électorale. Des accusations démenties par son patron, Mark Zuckerberg (dixit Gizmodo ). Mais, par mesure de prudence et de neutralité, les directions de Google et Facebook se sont lancées, révèle l’agence Reuter, dans une grande opération de nettoyage visant à supprimer tout revenu publicitaire aux sites publiant des informations calomnieuses. Mais un peu tard, les élections étant achevées.

Se réclamant tantôt organe de presse lorsque cela les arrange fiscalement ou législativement parlant, mais également opérateur de service ou business « décomplexé » quant au contenu véhiculé, les grands réseaux sociaux tentent de se dégager de toute responsabilité selon le sens que prennent les vents politiques, fiscaux, techniques ou légaux. Leur responsabilité dans le jeu électoral est cependant indéniable, tente de prouver une récente analyse du cabinet d’analyse Pew Research Center. Selon cet observatoire des médias US, 62 % des citoyens d’Outre Atlantique tirent aujourd’hui leurs informations quotidiennes des réseaux sociaux. Les sources les plus consultées sont, sans surprise, Reddit, Facebook et Twitter. Pis encore, 64% des personnes interrogées ne consultent qu’un seul site, et 26 % deux sites seulement. Le reste de l’étude sonne comme un enterrement de première classe des médias traditionnels, de la pluralité et du contrôle de l’information.

8 décembre 2016, RV à l’Intercontinental Paris Avenue Marceau

Fuite et perte de données, espionnage, maîtrise des utilisateurs et des devices … :

Quel(s) outil(s) utiliser ? Comment rester conforme à toutes les législations ? SIEM, IAM, DLP … Administration globale de la sécurité

Risques & Menaces, Conseils et Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Transformation digitale des entreprises, ouverture du SI aux clients et partenaires, Cloud public, privé et hybride, Mobilité et IoT … Et des législations en perpétuelle évolution : un cocktail détonnant pour les RSSI, DSI, Dirigeants, CIL, DPO, Responsables métier, DRH car aujourd’hui tout le monde dans l’entreprise est concerné par la Sécurité. Comment se protéger ? Comment être sûr qu’il n’y a pas eu de fuite ou de perte de données, voire être espionné ? Comment rester conforme dans le temps ?

Autant de questions et sujets auxquels répondront le 8 décembre matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H30 – Panorama des Menaces et pratiques de Sécurité en France, par Jean-Marc Grémy, Président du Clusif
  • 9H00 – Retour d’expérience & Solution, point de vue de Darktrace, société experte en cybersécurité
  • 9H20 – Conseils et guides pratiques, par Bertand Carlier, manager Cybersécurité chez Wavestone
  • 9H40 – Expérience terrain, point de vue d’expert en cybersécurité
  • 10H00 – SOC, les dernières nouveautés pour être protégé avec Helmi Rais, Directeur CertAlliacom
  • 10H20 – PAUSE Networking
  • 10H40 – Panel sur « Données, Utilisateurs et Devices : Risques & Menaces. Comment les contrôler dans un SI ouvert ? Comment être sûr qu’il n’y a pas eu de fuite ? Comment rester conforme à toutes les législations ? SIEM, IAM, DLP … Administration globale de la sécurité, Conseils & Solutions» avec Maître François Coupez, avocat qui abordera la partie juridique, réalité au sein des entreprises et anticiper demain avec Gérald Oualid, représentant de l’association en cybersécurité, R2GS, conseils et techniques par Helmi Rais, Directeur du Cert Alliacom et retour d’expérience en entreprise avec Hervé Schauer, HSC Consulting associé Deloitte. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H25 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 11H45 – PAUSE Networking avec Tirage au sort de Tablettes et Casques universels de Réalité Virtuelle autour d’une coupe de champagne
  • 12H30 – Clôture de la conférence

Deux avis d’experts, deux visions différentes de l’IoT. Schneier vs Herberger.

Carl Herberger, VP of Security Solutions chez Radware ( via le HNS), donne une vision comptable de la question. 20 milliards de périphériques à l’horizon 2020, ça fait combien d’attaques Dyn potentielles ? Et de nous promettre de nouvelles menaces et un accroissement des attaques en déni de service. La parade ? L’apparition de nouvelles mesures de sécurité, allant de l’identification aux automatismes en passant par de nouvelles règlementations. Tout cela semble bel et bon… reste que la toute dernière phrase de l’article casse un peu le côté visionnaire. « Only the organizations taking proactive, holistic steps to improve their security posture will see the true promise of the IoT without the disruptions and disasters of this next wave of attacks ». La richesse xyloglotte d’ycelle (proactive, holistic, posture, disruption, disaster…) rappelle un peu trop de vieilles railleries potaches des années 2000.
Bruce Schneier, pour sa part, se concentre sur un point et un seul. Il ne peut y avoir d’autres issues au problème de l’insécurité de l’IoT que par la loi. Sans contrainte légale, entendons par là risque d’amendes et encadrement strict des règles de base en matière de sécurité IT, il ne pourra y avoir de véritable développement sain de l’internet des objets. Et d’expliquer en substance « l’IoT couvre déjà, et couvrira de plus en plus des secteurs jusqu’à présent épargnés par toute forme d’informatique communicante. Et il est quasi certain que personne, jamais, n’envisagera d’intégrer des mécanismes de mise à jour pas plus que les usagers ne chercheront à appliquer lesdites mises à jour. D’ailleurs, pour quelle raison un fabricant s’inquièterait d’une telle mise à niveau ou de l’existence d’une faille découverte sur un produit déjà remplacé par un objet de la génération N+1 ? Cette attitude consumériste n’est pas compatible avec une véritable prise de conscience en faveur de la sécurité. Pour forcer ces fabricants à respecter les règles « infosec » les plus élémentaires, une seule solution : The Regulation ».

Et Schneier d’étayer son raisonnement : « Ce à quoi l’on rétorquera que la Chine, usine high-tech de l’occident, n’instaurera probablement pas la moindre contrainte à ses entreprises nationales. Peu importe, car ce seront les entreprises Chinoises elles-mêmes qui feront tout pour se mettre en conformité et ainsi avoir le droit d’exporter vers les USA ».

Seulement Schneier ne propose comme seul « exemple ayant fonctionné » que la création du DHS au lendemain de l’attaque du 11 Septembre. Et passe sous silence la très relative efficacité des autres efforts normatifs ou législatifs dans le domaine de l’industrie numérique. Si SarbOx ou Iso 27xx avaient forgé un bouclier efficace contre les malversations, plus aucune nouvelle affaire FriendFinder, pas le moindre hack de montre Fitbit ne ferait les grands titres des médias. Si les règlementations CEM Européennes ou les obligations de la Cnil provoquaient l’ombre d’une crainte, jamais l’on ne pourrait acheter des transmetteurs Ethernet-CPL « made in Shanghai » sauce Open Bar dans une grande surface de bricolage Française. Si le quart des conseils de l’Anssi avait valeur de Saintes Ecritures, aucune erreur d’intégration ne serait constatée sur telle automobile, serrure connectée, centrale d’alarme utilisant un « réseau à faible taux d’énergie par bit » et autres objets de l’Internet. PCI-DSS n’est pas en reste si l’on en juge par le nombre d’établissements bancaires piratés (hors des frontières Françaises, cela va sans dire). Bien au contraire, un excès de règlementation donne à celui qui l’applique une sorte de certificat de virginité, un parapluie législatif le protégeant a posteriori des conséquences provoquées par d’inévitables erreurs humaines ou une application des normes a minima.

A cet arsenal de textes, il manque une composante majeure : une véritable implication du politique. Une implication politique qui, de LCEN en Lopsi, Loppsi ou LPM, utiliserait pour l’heure le prétexte du risque numérique plus, semble-t-il, pour imposer un contrôle, presque acquérir un pouvoir. Quid de la protection du citoyen qui devrait être en première ligne et non pas plutôt ressentie comme un effet secondaire ? Une implication politique qui, face à l’IoT, balance entre le laisser-faire sous prétexte de développement économique et le fantasme de pouvoir policier absolu que laisse espérer cette numérisation de l’intime.

Lain Thomson, du Register, narre l’improbable mésaventure d’un site d’offres d’emploi en ligne hébergé par Cap Gemini et animé par PageGroup, dont un des serveurs de développement aurait été piratés. Un hack, avoue les « chasseurs de têtes », qui fourmillait d’informations personnelles : nom, prénom, email, mot de passe (chiffré), numéro de téléphone, fonction, secteur géographique et professionnel d’activité, métier… une mine d’or pour un spécialiste de l’intelligence économique. Que faisait la base de données des demandeurs d’emploi sur un serveur de développement ? Cap Gemini ne s’exprime pas sur ce point.

La situation n’est pas pour autant dramatique, tente de rassurer un responsable de PageGroup. La personne à l’origine de cette intrusion se serait fait connaître et aurait assuré que les données récupérées ont été, depuis, totalement effacées. Probablement, explique Lain Thomson, un chercheur en sécurité en quête de bugs dans le cadre d’une campagne de pentest.