septembre 14th, 2017

Yogosha, l’un des spécialistes Français du Bug Bounty, vient de réaliser une levée de fond de 1,2 million d’Euros auprès d’Axeleo, Starquest Capital et ZTP. Lancée il y a deux ans par Yassir Kazar, consultant chez CGI dans une vie antérieure, et Fabrice Epelboin, ancien confrère de Reflets.info, cette entreprise suit la « mode Française » pour conduire une campagne de pentesting externalisée et rétribuée à la criticité de la faille découverte : choix des partenaires-testeurs, confidentialité des campagnes… un travail à mi-chemin entre les grandes chasses à la faille publiques sauce USA et le pentest ciblé, travail à façon facturé à l’heure, limité dans le temps et dans l’espace.

Citons également sur ce marché les précurseurs du genre YesWeHack/BountyFactory (enfant de Guillaume Vassault-Houlière et du blogueur Korben), ou BugbountyZone.

Cette levée de fond dénote l’intérêt certain des milieux financiers pour cette nouvelle forme de « mise en conformité sécuritaire », à la veille de la mise en application de la Règlementation Européenne Générale sur la Protection des Données.

Jusqu’à présent simplement signalés par une mention « not secure » dans la barre de lien, les sites web « non https » affichés avec le navigateur Google Chrome auront un message d’alerte inscrit directement sur la page à partir du 1er octobre de cette année.

Comme la sécurité par l’autoritarisme fonctionne rarement, il y a fort à parier que bon nombre d’internautes refuseront d’installer la version de Chrome 62 et conserveront leur ancienne « 56 »… ou changeront de navigateur.

Si le protocole SSL améliore sensiblement la protection des échanges de données, notamment dans le cadre des applications d’e-commerce, aucun « https », cadenas ou barre d’url verdâtre n’a constitué une certitude d’inviolabilité, ou l’assurance d’un meilleur fonctionnement, particulièrement dans le cadre d’un réseau interne …

81 trous, pas un de moins. 38 d’entre eux concernent directement Windows, 27 sont classés « critiques », 39 entre dans la catégorie des « remote code »… le correctif Microsoft d’août est un poids lourd. Un de ceux qui renouent avec la tradition (CVE-2017-0161, vulnérabilité RCE dans NetBIOS, CVE-2017-8686 vulnérabilité DHCP) mais surtout qui colmate un zero day dans .Net (CVE-2017-8686). A ceci s’ajoute une faille « médiatique », celle qui élimine BlueBorne alias CVE-2017-8628, la tout première faille bluetooth publiée avec son propre logo (c’est probablement l’aspect le plus terrorisant de cette vulnérabilité). A voir au cinéma le plus proche.

Adobe,pour sa part, publie deux rustines Flash estampillées « critique ».

Béni par les instances universitaires de la très sérieuse université de Stanford, un groupe de chercheurs en sciences humaines semble penser que les réseaux neuronaux de nouvelle génération sont plus compétents que les êtres humains pour détecter les orientations sexuelles à partir de l’image d’un visage. Avec 81% de certitude pour les hommes, 71% pour les femmes assurent les chercheurs, un tel moteur d’analyse déterminerait l’homo ou hétérosexualité d’une personne. Les levées de boucliers et protestations indignées dans les milieux scientifiques ne se comptent plus : que l’étude soit un « fake » ou le fruit d’un travail réel, que ses motivations soient d’ordre moral (pour sensibiliser la population arguent les « pro-étude ») ou purement égotiste, l’existence même de ce mémoire est considérée comme scabreuse.

Est-il nécessaire d’évoquer tant les questions éthiques qu’émotionnelles que soulèvent de tels travaux ? Ils font ressurgir les dérives racistes de l’eugénisme de l’Allemagne Nazi bien avant le début de la seconde guerre mondiale. Ils rappellent également que chaque nation ne traite pas de la même manière la « sanctification scientifique » et les applications liées à de telles études. Particulièrement Outre Atlantique, dans un pays ayant à peine abrogé les lois ségrégationnistes et dont plusieurs personnages politiques, membres du Tea Party en tête mais également pas mal de Républicains, considèrent encore l’homosexualité comme une perversion, une déviance ou un « choix personnel ». A tel point que même l’équipe au pouvoir tente d’imposer une politique eugéniste en envisageant de bannir de l’armée les personnes transgenre(in Le Monde). Or, avant de bannir, il faut bien commencer par « ficher », et pour « ficher », faut préalablement « détecter ».

D’un point de vue « InfoSec » ce genre de publication soulève une toute autre question : existe-t-il un quelconque contrôle sur ce genre d’algorithmes et sur leur intégration dans les usines Big Data des GAFA et de leurs semblables ? Ce qui est inadmissible en deçà des frontières Européennes ne peut pas toujours être interdit au-delà.