ALSID est une jeune pousse à la française créée par Luc Delsalle et Emmanuel Gras, ingénieurs de formation et tous deux, anciens de l’ANSSI (Agence Nationale de la Sécurité du Système d’Information). C’est à cette époque, ils travaillent ensemble au sein de la même équipe et ce, pendant 6 ou 7 ans. « Etant au centre opérationnel, nous sommes intervenus sur un certain nombre de crises cyberdéfense du type Wannacry, Petya .. auprès des entreprises » nous explique Emmanuel Gras. Leurs objectifs sont d’aider les grandes entreprises à reprendre le contrôle de leur système d’information et à reconstruire quelque chose de solide pour pouvoir reprendre et continuer leurs activités. « Avec quelques années de recul, en travaillant sur des cas du même type, on se rend compte que, dans tous les problèmes dont nous avons été témoins, il se déroule toujours le même scénario. Lequel est somme toute assez simple : tous les groupes d’attaquants qui ciblent un grand réseau d’entreprise procèdent en deux étapes. La première consiste à pénétrer dans le réseau interne. Dans ce cas, la méthode utilisée est des plus classiques : l’envoie de mail piégé, la clé USB qui traîne sur le sol du parking… L’attaquant casse ainsi les défenses périmétriques. A ce stade, il est difficile et compliqué d’empêcher l’attaque car les entreprises sont aujourd’hui hyper connectées. Sans oublier le fait qu’elles travaillent la plupart du temps avec de nombreux prestataires externes. Arrive alors la seconde étape qui ne débute qu’une fois l’intrus à l’intérieur du S.I.. Là, ce dernier cherche tout particulièrement les données sensibles telles que propriétés intellectuelles, mails du PDG, documents du service comptabilité … Ici encore, on retrouve toujours le même schéma avec notamment un passage obligé vers l’infrastructure d’annuaire, la plupart du temps l’Active Directory de Microsoft. Et c’est ce système que l’attaquant cherche à compromettre avant d’aller plus loin.»

Spécialisés sur ces technologies, véritable passage obligé lors d’attaques sur les entreprises, les deux ingénieurs s’attèlent à trouver une solution à ce problème d’infrastructures d’annuaires. Le sujet est d’ailleurs bien connu au sein de l’ANSSI, et les publications, guides, « white papers », outils gratuits d’aide à la configuration ne manquent pas … mais cela ne suffit pas. C’est donc dans ce contexte et à partir de ce constat que la société Alsid a été créée, il y a de cela un peu plus d’un an, en juin 2016 pour traiter un problème récurrent. Le lancement officiel a été début 2017 accompagné d’une couverture médiatique à l’occasion de plusieurs salons.

Alsid est donc composée d’experts en cyber sécurité dotés d’une très bonne connaissance terrain sur les infrastructures d’annuaires. La recherche et le développement sont au centre de leurs activités, ce que prouvent de nombreuses publications sur le sujet depuis quelques années. La solution qu’ils ont imaginé devait être la plus simple possible en termes de déploiement, littéralement du type « plug & play », en partant du principe que l’utilisateur n’ait nul besoin d’être un expert en annuaire.

Le produit propose un ensemble de tableaux de bord et d’indicateurs faciles à appréhender visuellement. Le RSSI, DSI ou la personne en charge de la sécurité au sein de l’entreprise a d’emblée, au travers de ces informations, une connaissance de son niveau de sécurité et des actions qui sont à mener pour l’augmenter ou le maintenir. L’utilisateur du produit peut également effectuer le suivi dans le temps de l’avancée des actions menées. Finie l’époque où il fallait avaler des rapports épais comme des annuaires pour avoir une idée du niveau de sécurité ou décider des tâches à lancer pour sécuriser le système. Dorénavant, il suffit au travers de l’interface visuelle de prioriser les actions à mener et les planifier suite aux informations fournies sur le niveau de protection du système.

Et pour les plus curieux de nos lecteurs, nous avons demandé aux auteurs de cette plateforme de nous en dévoiler un peu plus sur le « backstage » afin de mieux comprendre la magie d’une plateforme qui fournit en bout de course à son utilisateur une vision globale de son niveau de sécurité et lui permet rapidement d’entériner le plan et les actions à réaliser pour en élever le niveau de sécurité si nécessaire et le maintenir dans le temps.

Tout d’abord, il est nécessaire de bénéficier d’un compte utilisateur, sans privilège particulier, sur le système à superviser. C’est là un point important car le privilège attire indéniablement l’attaquant qui les cherche spécifiquement pour mieux attaquer le système cible. Un outil qui n’exige pas de droits extraordinaires permet d’établir une relation de confiance avec le client par le respect des bonnes pratiques.

Le compte une fois activé, le travail débute par l’extraction des informations nécessaires, autrement dit les données techniques de configuration : les suites cryptographiques (les protocoles de sécurité utilisés comme kerberos …), la liste des privilèges, les relations entre objets et groupes techniques … Vient ensuite l’analyse, soit la vérification de l’utilisation qui est faite de ces configurations et de leur conformité par rapport aux recommandations. Débute alors une phase de calcul, de corrélation, de mise en base de données qui permettra d’extraire les données pertinentes : les indicateurs pertinents pour les utilisateurs du produit qui permettent d’avoir une vue instantanée de son niveau de sécurité en se basant sur des critères et en y insérant différents niveaux de criticité notamment sur les erreurs de configurations.
On obtient avec toutes ces informations aussi des vues temporelles qui permettent d’observer les variations du niveau de sécurité ce qui indique une tendance (va vers l’amélioration du niveau de sécurité ou la dégradation dans le temps) et en fait d’ailleurs une des spécificités de ce produit.

A partir des tableaux de bord, le produit indique non seulement les points noirs, mais donne également des indications sur la façon d’élever rapidement le niveau général de sécurité à moindre frais. « Un des constats qu’on a fait en discutant avec des RSSI, c’est que la plupart du temps ils savent qu’il y a beaucoup de choses à faire, ils savent qu’ils doivent améliorer leur niveau de sécurité mais ils ne savent pas par quel bout attaquer le problème. Notre rôle est de leur fournir le Top 5 ou le Top 10 des actions à conduire en priorité qui permettront de d’augmenter rapidement le niveau de sécurité tout en décalant les derniers raffinements à plus tard. On leur donne une hiérarchisation des tâches à mener pour avoir une utilisation la plus rentable possible d’un point de vue du RSSI. »

On souscrit à ce produit via un abonnement annuel. Les attaques de sécurité progressent dans le temps et depuis le début de l’année, 3 nouvelles attaques sur l’AD ont vu le jour jusque juin 2017. Il faut donc suivre les évolutions pour être capables de proposer des mesures de détection et de remédiation et donc pouvoir implémenter des contre-mesures. Chaque entreprise à son web dédié, uniquement visible que depuis le système d’information de cette dernière et il est naturellement possible d’interconnecter ce système et de consolider ses alertes avec les SIEM, SOC ou autres systèmes de sécurité de l’entreprise.

Le produit peut discuter avec d’autres types d’annuaires via des APIs et donc ce produit s’applique à tous les annuaires du marché (AD, LDAP, kerbero …). La méthode est particulièrement adaptée au mode de fonctionnement des AD ce qui correspond aujourd’hui à l’écrasante majorité du marché et qui explique la mise en avant de cette plateforme.

Yogosha, l’un des spécialistes Français du Bug Bounty, vient de réaliser une levée de fond de 1,2 million d’Euros auprès d’Axeleo, Starquest Capital et ZTP. Lancée il y a deux ans par Yassir Kazar, consultant chez CGI dans une vie antérieure, et Fabrice Epelboin, ancien confrère de Reflets.info, cette entreprise suit la « mode Française » pour conduire une campagne de pentesting externalisée et rétribuée à la criticité de la faille découverte : choix des partenaires-testeurs, confidentialité des campagnes… un travail à mi-chemin entre les grandes chasses à la faille publiques sauce USA et le pentest ciblé, travail à façon facturé à l’heure, limité dans le temps et dans l’espace.

Citons également sur ce marché les précurseurs du genre YesWeHack/BountyFactory (enfant de Guillaume Vassault-Houlière et du blogueur Korben), ou BugbountyZone.

Cette levée de fond dénote l’intérêt certain des milieux financiers pour cette nouvelle forme de « mise en conformité sécuritaire », à la veille de la mise en application de la Règlementation Européenne Générale sur la Protection des Données.

Jusqu’à présent simplement signalés par une mention « not secure » dans la barre de lien, les sites web « non https » affichés avec le navigateur Google Chrome auront un message d’alerte inscrit directement sur la page à partir du 1er octobre de cette année.

Comme la sécurité par l’autoritarisme fonctionne rarement, il y a fort à parier que bon nombre d’internautes refuseront d’installer la version de Chrome 62 et conserveront leur ancienne « 56 »… ou changeront de navigateur.

Si le protocole SSL améliore sensiblement la protection des échanges de données, notamment dans le cadre des applications d’e-commerce, aucun « https », cadenas ou barre d’url verdâtre n’a constitué une certitude d’inviolabilité, ou l’assurance d’un meilleur fonctionnement, particulièrement dans le cadre d’un réseau interne …

81 trous, pas un de moins. 38 d’entre eux concernent directement Windows, 27 sont classés « critiques », 39 entre dans la catégorie des « remote code »… le correctif Microsoft d’août est un poids lourd. Un de ceux qui renouent avec la tradition (CVE-2017-0161, vulnérabilité RCE dans NetBIOS, CVE-2017-8686 vulnérabilité DHCP) mais surtout qui colmate un zero day dans .Net (CVE-2017-8686). A ceci s’ajoute une faille « médiatique », celle qui élimine BlueBorne alias CVE-2017-8628, la tout première faille bluetooth publiée avec son propre logo (c’est probablement l’aspect le plus terrorisant de cette vulnérabilité). A voir au cinéma le plus proche.

Adobe,pour sa part, publie deux rustines Flash estampillées « critique ».

Béni par les instances universitaires de la très sérieuse université de Stanford, un groupe de chercheurs en sciences humaines semble penser que les réseaux neuronaux de nouvelle génération sont plus compétents que les êtres humains pour détecter les orientations sexuelles à partir de l’image d’un visage. Avec 81% de certitude pour les hommes, 71% pour les femmes assurent les chercheurs, un tel moteur d’analyse déterminerait l’homo ou hétérosexualité d’une personne. Les levées de boucliers et protestations indignées dans les milieux scientifiques ne se comptent plus : que l’étude soit un « fake » ou le fruit d’un travail réel, que ses motivations soient d’ordre moral (pour sensibiliser la population arguent les « pro-étude ») ou purement égotiste, l’existence même de ce mémoire est considérée comme scabreuse.

Est-il nécessaire d’évoquer tant les questions éthiques qu’émotionnelles que soulèvent de tels travaux ? Ils font ressurgir les dérives racistes de l’eugénisme de l’Allemagne Nazi bien avant le début de la seconde guerre mondiale. Ils rappellent également que chaque nation ne traite pas de la même manière la « sanctification scientifique » et les applications liées à de telles études. Particulièrement Outre Atlantique, dans un pays ayant à peine abrogé les lois ségrégationnistes et dont plusieurs personnages politiques, membres du Tea Party en tête mais également pas mal de Républicains, considèrent encore l’homosexualité comme une perversion, une déviance ou un « choix personnel ». A tel point que même l’équipe au pouvoir tente d’imposer une politique eugéniste en envisageant de bannir de l’armée les personnes transgenre(in Le Monde). Or, avant de bannir, il faut bien commencer par « ficher », et pour « ficher », faut préalablement « détecter ».

D’un point de vue « InfoSec » ce genre de publication soulève une toute autre question : existe-t-il un quelconque contrôle sur ce genre d’algorithmes et sur leur intégration dans les usines Big Data des GAFA et de leurs semblables ? Ce qui est inadmissible en deçà des frontières Européennes ne peut pas toujours être interdit au-delà.

3 octobre 2017, RV à l’Intercontinental Paris Avenue Marceau

 Entreprise Numérique & Cybersécurité : 

Nouvelles Menaces et RGPD imminent,

Nouvelles Technologies à la rescousse

(Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … )

Mode d’emploi, Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Pas un seul jour ne passe sans une nouvelle attaque, qu’elle soit massive ou ciblée, à l’aide de toutes sortes de malwares (ransomware, cryptoware …). L’entreprise doit constamment s’adapter aux toutes dernières menaces alors que parallèlement l’heure du RGPD a sonné.

Comment faire pour que les entreprises numériques restent efficaces face aux toutes dernières menaces et demeurent conformes aux législations ? Conseil : se maintenir au courant des capacités des dernières technologies et les intégrer rapidement lorsque cela est nécessaire.

Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … Comment utiliser les nouvelles technologies pour protéger l’Entreprise Numérique ? A quel prix ? Comment combiner ses défenses actuelles avec les nouveaux modes de protection ? Quelle économie ? Pendant toute la conférence des experts de tout bord, spécialistes Sécurité́ reconnus, Avocats, RSSI/DSI seront là pour guider les entreprises, donner des conseils, parler de solutions potentielles et répondre à toutes les questions.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, DSI, DPO, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H30 – Analyse en détail des attaques de cet été, quoi, qui et comment, par Adrien Coudert, Spécialiste Sécurité Alliacom,
  • 8H50 – Utilisation de l’intelligence artificielle pour attraper des cyberattaques en cours, Christophe Jolly, Directeur Général Vectra Networks
  • 9H10 – Comment intégrer rapidement les nouvelles tehnologies dans un SI traditionnel / Sécurité des APIs, Guide et Conseils par Bertrand Carlier, senior manager Sécurité chez Wavestone,
  • 9H30 – Machine learning & Deep Learning, l’automatisation & l’IA pour sécuriser, par Michel Lanaspeze, Sophos
  • 9H50 – Bug Bounty Series suite, présentation d’une nouvelle plateforme française regroupant de nombreux hackers éthiques permettant aux PME et grandes Entreprises de sécuriser leurs applications avant la mises en oeuvre opérationnelle.
  • 10H10 – Darknet : fonctionnement et lien avec les nouvelles technologies/ Défense à base d’IA, par Fédérico Smith, Scalian, membre de Octopus Cybercrime Community (Conseil de l’Europe, International), CyberThreat Task Force et du Comité Innovation &Technologie/Syntec Numérique
  • 10H30 – PAUSE Networking
  • 10H50 – Présentation d’une start-up spécialisée dans le domaine de la Sécurité en s’appuyant sur les nouvelles technologies
  • 11H10 – Panel sur « Intégration de nouvelles technologies pour contrer de nouvelles menaces : une nécessité ? Comment les intégrer rapdiment au SI ?  Dépense inévitable ou réelle économie ? » avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Hervé Schauer, spécialiste en cyber-sécurité, 3) retour terrain avec El-Yamani Hamedi, RSSI ENGIE et membre du Clusif  et 4) point de vue du marché avec un acteur. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H50 – « La Minute Juridique », Maître Olivier Itéanu et Maître Garance Mathias répondront à toutes les questions d’ordre légal relatives au sujet après un rappel des dernières législations en vigueur
  • 12H10 – PAUSE Networking au champagne & Clôture de la conférence

3 octobre 2017, RV à l’Intercontinental Paris Avenue Marceau

 Entreprise Numérique & Cybersécurité : 

Nouvelles Menaces et RGPD imminent,

Nouvelles Technologies à la rescousse

(Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … )

Mode d’emploi, Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Pas un seul jour ne passe sans une nouvelle attaque, qu’elle soit massive ou ciblée, à l’aide de toutes sortes de malwares (ransomware, cryptoware …). L’entreprise doit constamment s’adapter aux toutes dernières menaces alors que parallèlement l’heure du RGPD a sonné.

Comment faire pour que les entreprises numériques restent efficaces face aux toutes dernières menaces et demeurent conformes aux législations ? Conseil : se maintenir au courant des capacités des dernières technologies et les intégrer rapidement lorsque cela est nécessaire.

Machine Learning, Intelligence Artificielle, Big Data, Software Defined Security, Security as a Service … Comment utiliser les nouvelles technologies pour protéger l’Entreprise Numérique ? A quel prix ? Comment combiner ses défenses actuelles avec les nouveaux modes de protection ? Quelle économie ? Pendant toute la conférence des experts de tout bord, spécialistes Sécurité́ reconnus, Avocats, RSSI/DSI seront là pour guider les entreprises, donner des conseils, parler de solutions potentielles et répondre à toutes les questions.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, DSI, DPO, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

Agenda

• • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H30 – Analyse en détail des attaques de cet été, quoi, qui et comment, par Adrien Coudert, Spécialiste Sécurité Alliacom,
  • 8H50 – Utilisation de l’intelligence artificielle pour attraper des cyberattaques en cours, Christophe Jolly, Directeur Général Vectra Networks
  • 9H10 – Comment intégrer rapidement les nouvelles tehnologies dans un SI traditionnel / Sécurité des APIs, Guide et Conseils par Bertrand Carlier, senior manager Sécurité chez Wavestone,
  • 9H30 – Machine learning & Deep Learning, l’automatisation & l’IA pour sécuriser, par Michel Lanaspeze, Sophos
  • 9H50 – Bug Bounty Series suite, présentation d’une nouvelle plateforme française regroupant de nombreux hackers éthiques permettant aux PME et grandes Entreprises de sécuriser leurs applications avant la mises en oeuvre opérationnelle.
  • 10H10 – Darknet : fonctionnement et lien avec les nouvelles technologies/ Défense à base d’IA, par Fédérico Smith, Scalian, membre de Octopus Cybercrime Community (Conseil de l’Europe, International), CyberThreat Task Force et du Comité Innovation &Technologie/Syntec Numérique
  • 10H30 – PAUSE Networking
  • 10H50 – Présentation d’une start-up spécialisée dans le domaine de la Sécurité en s’appuyant sur les nouvelles technologies
  • 11H10 – Panel sur « Intégration de nouvelles technologies pour contrer de nouvelles menaces : une nécessité ? Comment les intégrer rapdiment au SI ?  Dépense inévitable ou réelle économie ? » avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Hervé Schauer, spécialiste en cyber-sécurité, 3) retour terrain avec El-Yamani Hamedi, RSSI ENGIE et membre du Clusif  et 4) point de vue du marché avec un acteur. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H50 – « La Minute Juridique », Maître Olivier Itéanu et Maître Garance Mathias répondront à toutes les questions d’ordre légal relatives au sujet après un rappel des dernières législations en vigueur
  • 12H10 – PAUSE Networking au champagne & Clôture de la conférence

Une mauvaise politique de déploiement de correctifs, plusieurs manquements en matière de sécurité périmétrique et de détection d’intrusion, une gestion de crise digne de figurer au « Guinness des records », l’affaire Equifax risque bien de faire les grands titres de la presse pendant au moins deux semaines, avant de retomber dans un oubli médiatique total. Seuls quelques avocats et juges chargés des « class actions » prévisibles s’en souviendront.

Equifax,l’un des trois plus gros organismes US de crédit et de services de gestion financière (RH, salaires…), a laissé fuiter près de 143 millions d’identités, 210 000 numéros de cartes de crédit et un peu moins de 200 000 dossiers clients comportant nombre d’informations personnelles. Une paille, un rien comparé à l’hémorragie Yahoo. Mais Yahoo n’est pas une banque et son business n’est pas la « vente de confiance ».

Il importe peu de savoir « comment » les données ont pu fuir. Il est même très probable que personne ne parvienne à le découvrir. En revanche, expliquer Brian Krebs, journaliste et victime directe de ce sinistre, ce qui succède aux fuites n’est qu’une série de sur-accidents.

A commencer par la vente d’actions par trois membres du conseil d’administration d’Equifax (dont le CFO) peu de temps après la découverte de l’intrusion mais bien avant la révélation publique de l’affaire. Des dirigeants qui, cela va sans dire, n’étaient au courant de rien à ce moment précis.

Suit alors une série de bourdes difficilement explicables. Le premier bulletin public diffusé sur le site Web principal de l’entreprise rassure la clientèle en affirmant qu’aucune information importante n’a pu sortir des serveurs. L’alerte des clients par SMS, en revanche évoque sous conditionnel cette éventualité. Qui donc coordonne alors la communication de crise chez ces spécialistes de l’agio ? Edelman, société de relation presse (très présente en France notamment). Pas de cellule spécialisée interne donc, et l’on s’interroge sur cette décision visant à externaliser à des non-spécialistes l’aspect le plus délicat d’une situation d’urgence. La question est manifestement traitée par-dessus la jambe par une direction qui paraît jouer la carte du « too big to fail ».

Il faudra attendre le 9 septembre pour apprendre la nomination de Mandiant, filiale de FireEye, au titre de cabinet d’audit et d’expertise. Fondée par Kevin Mandia, cette entreprise de sécurité s’y connaît en matière d’intrusion et de fuite d’informations, puisque ses propres serveurs firent les frais des assauts des « Anonymous » il y a quelques années. Spécialiste des APT et du cyber-péril jaune, Mandiant sait tout, mais ne publie rien, jamais. Ou alors seulement aux autorités Fédérales. Par le plus grand des hasards, ces mêmes Anonymous distillaient encore sur Pastebin des fichiers « internes » fin juillet de cette année. Entre « troués », il faut se serrer les coudes.

Alors que des dizaines de geeks impétueux s’attaquaient aux machines à voter durant toute la durée de la DefconXXV, c’est une fuite d’un tout autre genre (mais trouvant son origine précisément chez un fournisseur desdites machines) qui défraye les chroniques de l’Illinois. 1,8 million de données personnelles étaient accessibles sur un service Cloud Amazon mal configuré : une fois n’est pas coutume, ce n’est pas l’urne électronique qui était en cause, mais le « backoffice » du système électoral, explique Chris Vickery au fil de ses gazouillis sociaux. La presse locale ne pouvait trouver sujet plus croustillant. Nulle information n’aurait été divulguée de manière publique, le patron de la cellule de recherche d’Upguard ayant prévenu à temps le spécialiste du vote presse-bouton.

Il faut dire que Vickery s’est taillé une certaine réputation dans le domaine de la recherche du SGBD bancale et du dépôt Cloud poreux. Rob Pegoraro, de Yahoo Finance, dresse l’impressionnant palmarès de ce chercheur : 13 millions d’identifiants accessibles sur un service Kromtech, 6 millions de profils dégoulinants des banques de données Verizon , 87 millions de données personnelles provenant des registres de vote Mexicains. De quoi occuper les manchettes des journaux et réaliser de la publicité à pas trop chère pour le compte d’Upguard.

Pourtant, ce stakhanovisme de l’analyse des données Shodan et autres opérations de Google hacking peut inspirer des moins doués, avec les conséquences désastreuses que l’on devine. Ainsi cette fuite très hypothétique que prétend avoir découvert l’équipe de Direct Defense en analysant les services d’une autre entreprise du secteur InfoSec, Carbon Black. De manière très schématique, le service d’analyse virale « à la demande » de Carbon Black Response, qui utilise VirusTotal de Google, risquerait de dévoiler le contenu des données soumises à analyse. Accès indiscret réservé uniquement au personnel ayant un droit de regard sur les mécanismes internes de l’application et aux transactions entre C.B. Response et VirusTotal… agents Fédéraux, employés des entreprises, prestataires de services etc. Rien n’est en revanche exploitable depuis le réseau public.

Cette querelle d’experts provoque diverses réactions auprès des confrères et néanmoins concurrents de Carbon Black, certains rappelant que ce genre de pratique est assez courant et que bon nombre d’entreprises vont jusqu’à expédier non pas de simples condensats à VirusTotal, mais des exécutables en entier.

Brian Krebs renchérit et publie un article assez mordant condamnant… non pas cette guéguerre stérile entre professionnels de la sécurité, mais nos confrères de Guizmodo qui ont joué les caisses de résonance en faveur de Direct Defense, sans contre-enquête manifestement auprès de l’entreprise concurrente visée. D’un point de vue déontologique, l’ancien journaliste du Washington Post qu’est Krebs a entièrement raison. Il est cependant évident que le « manque de sérieux » et le « sensationnalisme » de toute cette affaire a pour origine, une fois de plus, un professionnel de la sécurité des S.I. .

La sécurité logicielle rapporte moins qu’autrefois, la faute aux « gratuits » de renom. Pourquoi ne pas tenter de vendre la même chose, mais livré dans du silicium ? Avec le Core, Norton réinvente l’idée d’Appliance/UTM, mais à destination du grand public cette fois. Un grand public plutôt aisé, puisque l’appareil en question est vendu près de 300 dollars et, passé la première année d’utilisation, 120 $ de service et mise à jour par tranche de 12 mois.

Hybride d’antivirus, de routeur Gigabit 3 ports plus Wan et Wifi, de gestionnaire de politique de sécurité (notamment contrôle de la politique de mots de passe), de contrôle parental (qui classe les informations sur l’avortement au même niveau que les sites pornographiques), le Core prétend même pouvoir filtrer les « objets de l’Internet » pour lesquels aucune norme de transmission ou de supervision n’existe.

Lier un contrat à une base matérielle pour en justifier le prix est une tactique courante dans le domaine des équipements ludiques (serveurs de contenus vidéo par exemple). En revanche, les tentatives dans le domaine informatique sont très rarement couronnées de succès si l’on en juge par les nombreux flops des offres de services NAS+cloud… Surtout en des temps de cloudification à outrance et de SaaS débridé destiné au marché SoHo. Norton, seul contre Sophos, F-Secure, Microsoft (sans oublier une frange de l’offre Symantec, la « maison mère »), le combat semble assez inégal.