juin 20th, 2018

Que se passe-t-il lorsque le roi des infrastructures de partage en mode P2P se marie avec un winner de la chaine de bloc qui cherche à légitimiser son business modèle ? Probablement le plus impressionnant botnet de minage que la planète ait connu à ce jour.

Dans un deal estimé à 140 millions de dollars, Tron, spécialiste des blockchains et accusé d’avoir plagié Ethereum, vient d’absorber l’ancêtre des réseaux P2P Bittorrent. La presse US, notamment nos confrères de Techcrunch, sont encore sous le coup, car rarement mélange de deux technologies, l’une ancienne, l’autre résolument moderne, n’aura été plus détonnant. Tron s’offre l’équivalent d’un datacenter réparti gratuit, qui serait capable de faire payer à ses usagers une « taxe » de temps d’utilisation CPU, d’alourdissement de l’empreinte carbone et de consommation de bande passante.

Sans toutefois cautionner le cœur des pleureuses entonné par les Major hurlant au désespoir la perte de leurs revenus, il faut bien reconnaître que le succès du P2P doit beaucoup au « partage désintéressé des productions de l’industrie du divertissement-qui-se-veut-culturel ». Bref, du piratage de films et de morceaux de musique.

Cette activité peut légale, associée à un modèle d’affaire totalement spéculatif aura bien du mal à afficher une attitude vertueuse et intègre.

… Ainsi passent les rois du monde. Europol, via un communiqué, annonce l’arrestation d’un ressortissant Français soupçonné d’être membre du groupe de pirates « rex mundi ». Cette opération s’est effectuée notamment en collaboration avec les forces de police Britannique et Thai, l’interpellation ayant été effectuée par les autorités de Bangkok. Au total, 8 personnes seraient actuellement sous les verrous.

Rex mundi est un groupe de blackhat Français assez célèbres pour justifier la tenue d’un article sur Wikipedia. Leur mode opératoire était assez classique : intrusion, vol de données, menace de diffusion et demande de rançon à payer en bitcoins. Tout aussi classique était l’hubris des malfrats, qui tenaient compte twitter et site web publicitaire (sur réseau Tor). Autant de fanfaronnades qui ont en partie aidé les fonctionnaires de l’ Oclctic.

Parmi les victimes, la société Domino’s pizza, qui a refusé de payer la rançon (les cyber-truands affirmaient détenir plus d’un demi-million d’identités dérobées). L’une des dernières proies en date, une entreprise Britannique dont le nom reste secret, a immédiatement porté plainte pour escroquerie. Elle aurait été notamment jointe par téléphone par l’un des membres du gang chargé d’expliquer les modalités de versement et menacer les responsables de publier les détails techniques de l’attaque. Montant demandé : près de 600 000 Euros. Tout augmente… Il y a près de 8 ans, rex mundi hackait pour des montant situés entre 5 et 10 000 euros.

Le triste palmarès de ces casseurs de données compte notamment Americash Advance, Numéricable ou la Banque Cantonale de Genève.

Outre Atlantique,le business de la vente de données sur le marché de la géolocalisation est une chasse gardée des opérateurs de téléphonie mobile. Personne ne s’entend mieux qu’AT&T, Sprint ou Verizon pour vendre de l’abonnement aux particuliers, puis refourguer au prix du kilo(octet) les détails de la vie privée de chacun à des cyber-brasseurs qui en tireront profit.

Seulement,depuis quelques temps, explique Brian Krebs, les indélicatesses de ces recycleurs d’informations (ou leur incapacité à protéger les données) sont révélées par quelques chercheurs en sécurité.

Par exemple Securus, une mouche numérique fournissant des informations aux polices de la côte Est, qui a laissé fuité le contenu de ses bases. LocationSmart, un de ses concurrents, a totalement oublié ce que chiffrer voulait dire et ignorait même jusqu’à l’existence de la notion de droit d’accès, jusqu’au jour où un universitaire de Carnegie Mellon a pu consulter le « fichier client » du broker en utilisant la version de démonstration de son service. Derrière chaque contrat de ce genre se cache un Cambridge Analytica en puissance.

Ce qui n’empêche pas ces spécialistes de la minute facturée, qui sont aussi souvent des « professionnels de l’infosec », de distiller de signalés conseils en matière de protection des S.I. . Le complexe de Deloitte, en quelques sortes. Troué d’un côté, vendeur de bouchons de l’autre.

La suite est sans surprise. Un sénateur (démocrate) a demandé aux principaux opérateurs s’ils ne se sentaient pas concernés par la légèreté avec laquelle leurs données étaient exploitées. En réponse à ce coup de semonce, les entreprises interpelées décident de… dénoncer les contrats passés et de suspendre cet échange toxique.

… de suspendre, et non d’arrêter définitivement. Car, comme le prouve la réponse d’AT&T au sénateur, il est hors de question de cesser ce trafic juteux, sous prétexte que sans agrégateur, il « serait impossible de disposer d’une méthode pratique et efficace pour faciliter les demandes entre opérateurs concurrents ». De son côté, AT&T explique que si les données sont ainsi partagées, c’est pour le bien des usagers… sans cette géolocalisation permanente, les services d’assistance automobile ne pourraient fonctionner…or, ces services sauvent des vies humaines ! La panne de delco ou le pneu crevé prend soudain une dimension épique jusqu’à présent insoupçonnée.

En d’autres termes, les opérateurs promettent une amélioration des conditions d’exploitation, mais refusent toute influence extérieure dans l’établissement de leurs propres lois. Le meilleur des RGPD est le RGPD que l’on se cuisine. Jusqu’à ce qu’un nouveau scandale, une nouvelle fuite de données massive vienne chambouler ce pré-carré, et aboutisse peut-être à un encadrement législatif imposé par l’Etat. Dans combien de temps ?

Crowdstrike boucle un appel de fond de 200 millions de dollars signale Dark Reading. La capitalisation boursière de l’entreprise frise désormais les 3 milliards d’USD.

16 personnes arrêtées par la police Chinoise pour avoir compromis plusieurs Cafés Internet et détourné en partie leur puissance de calcul dans un réseau de minage de Bitcoin rapporte Hackread

Randall Charles Tucker, « the Internet most inept criminal », a été arrêté et condamné à 20 mois de prison, principalement pour des séries d’attaques en déni de service, rapporte Bleeping Computer . Sa vanité le poussait à revendiquer ses hauts faits d’arme sur Tweeter

Selon Symantec, un « ring » de pirates Chinois commandités par Pékin serait parvenu à pénétrer dans plusieurs systèmes appartenant à des entreprises travaillant pour la Défense US, oeuvrant dans le secteur des télécoms ou du spatial

Un nouveau jour, une nouvelle vulnérabilité affectant une WebCam. La dernière en date est une suite de trous (7 CVE) découverts dans les produits d’Axis. Le compte-rendu de l’inventeur des failles, Vdoo.

Trop d’options, trop de smartphones, trop de sous-marques camouflant un même OEM : le pullulement d’APN, explique Neal Krawetz , rend de plus en plus difficile la détermination du type d’appareil, dans le cadre d’une analyse forensique