juin 26th, 2018

Window Snyder, l’une des femmes les plus réputées dans le monde de la sécurité des systèmes d’information, rejoint le groupe Intel, avec le titre de Chief Software Security Officer.

Window Snyder a fait partie du noyau historique du L0pht Heavy Industry/@stake (absorbé par Symantec depuis), et a vu passer quelques grands noms de la SSI : Mudge, David et Mark Litchfield, Dan Geer, Dave Goldsmith, Chris Wysopal/Weld Pond, Chris Thomas/Space Rogue ou Joe Grand/ Kingpin. Elle fera un passage remarqué chez Microsoft, durant lequel elle organisera la « Blue Hat MS hacker’s conference », est créditée « co-fondatrice » de Matasano et rejoindra Mozilla durant plus de deux ans pour ensuite intégrer l’équipe sécurité d’Apple.

Les glorieux contribuables de Sa Majestés Britannique qui auraient téléphoné à leurs percepteurs ont été enregistrés à leur insu, s’insurge le Register et explique le HNS. Au total, ce sont près de 5,1 millions d’identités qui ont ainsi été collectées, sans que qui que ce soit n’ait eu vent de l’affaire ni qu’une quelconque démarche visant à l’effacement des données ne soit communiquée au public. Opacité complète également pour ce qui concerne les moyens de préservation et de protection des données, si ce n’est qu’ils respectent « les standards les plus exigeants en la matière » sans autre précision.

Or, s’il y a 20 ans, une telle collection était quasiment inexploitable, l’empreinte vocale constitue aujourd’hui une information à caractère aussi personnelle qu’une empreinte digitale. Pis encore, à partir de la modélisation d’un échantillon de voix, il est tout à fait possible d’usurper le « timbre » d’une personne, et plus probablement de fliquer ledit locuteur dès qu’il décroche un combiné, qu’il soit filaire ou cellulaire. Bref, un bon système d’analyse dans le domaine temps/fréquences, branché sur un système d’écoute mondial (le Royaume Uni a libre accès à l’arsenal de flicage de la NSA) peut localiser n’importe qui, n’importe quand, pour peu que ce n’importe qui ait passé un coup de fil au centre des impôts le plus proche.

Il va sans dire qu’en Grande Bretagne aucun des fichiers nominatifs à caractère personnel n’est communiqué à des puissances étrangères …

Dans un long communiqué enthousiaste, Troy Hunt, Grand Timonier du site « Have I been p0wned », annonce l’intégration de son système d’alerte dans le navigateur Firefox ainsi qu’au service 1Password. Jusqu’à présent, cette collaboration se limitait au seul service d’alertes de la Fondation Mozilla.

L’EFF lance une grande campagne de promotion visant à faire déployer StartTLS sur chaque serveur de messagerie. Une page d’analyse à distance indique si oui ou non le serveur de messagerie utilise ce mécanisme de chiffrement, page dont les résultats donnent aux administrateurs des serveurs en question smtpd en question la possibilité d’inscrire leur domaine dans la liste des maillons réputés fiables. Liste maintenue par l’EFF et destinée à prévenir lesdits administrateurs en cas de défaillance des couches de sécurité.

Le communiqué de l’EFF rappelle que StartTLS n’est qu’un système de chiffrement de serveur à serveur, destiné à protéger les échanges d’emails sur les multiples segments de son acheminement… il ne s’agit en aucun cas d’un chiffrement de bout en bout tel que garanti par des applications telles que PGP ou S/Mime.

La précédente initiative de l’EFF, Let’s Encrypt a connu un succès planétaire. Celui de StarTLS Everywhere est quasiment assuré d’un résultat comparable, d’autant plus que la grande majorité des services de messagerie sont détenus par 5 ou 6 opérateurs d’envergure mondiale, qui tous, déjà, chiffrent leurs échanges sortants.

Selon Appthority, la base de données Firebase, ou plus exactement ses failles de sécurité, donnerait accès à près de 100 millions d’enregistrements dont une grande partie serait à caractère personnel

Outre Atlantique, cela faisait déjà quelques années que la posture « cyberdéfense » avait du plomb dans l’aile. Depuis la réunification des moyens d’analyse et de riposte des différentes organisations fédérales et des 3 armes (Army, USAF et Navy) sous un même cyber-commandement, le dicton « the best defense is a good offense » a gagné les hautes sphères.

Mais depuis le printemps, expliquent les enquêteurs du New York Times, le Pentagone s’est livré à une série d’attaques préventives visant, à l’étranger, des centres de développements d’armes numériques, dans le but de les détruire avant même qu’elles puissent être opérationnelles. Ce qui implique soit de solides informations en matière de renseignements, soit d’un taux de paranoïa assez élevé pour voir des cyber-armes de destruction massive dans la moindre version de Calc.exe ou de Notepad. Gardons en mémoire les accents de sincérité de Colin Powell agitant son éprouvette d’anthrax iraquien garanti authentique par la NSA.

Les journalistes du « Times » expliquent pourtant que pas une seule fois le Sénat ne s’est prononcé en faveur d’une telle réorientation stratégique, et que ces actions sont la conséquence d’une plus grande autonomie accordée au Pentagone par l’actuel gouvernement Trump. L’administration Obama avait pu éviter ce genre de débat épineux arguant du fait que de telles attaques devaient parfois être conduites ou transiter par des réseaux alliés, notamment Européens, et étaient donc soumis à un accord multilatéral préalable. Ce qui n’a toutefois pas ralenti ce même gouvernement Obama de lourdement investir dans la recherche et le développement de ces cyber-flingues. L’actuel occupant de la Maison Blanche ne fait qu’utiliser ce qu’a fourbi son prédécesseur. Décision facilitée semble-t-il par une succession de limogeages de quasivoire tous les responsables proches de la mouvance Démocrate peu de temps après le renouvellement de l’exécutif.

Cette décision tacite a de très fortes chances de provoquer quelques vagues de dommages collatéraux. Frappés par une puissance quasi invincible d’un point de vue numérique, les adversaires du pays « great again » vont jouer au billard à trois bandes, en choisissant plutôt des cibles plus vulnérables, mais indispensables à l’économie des USA … et de ses alliés. En laissant la bride sur le coup de ses généraux, l’administration Trump risque donc de déstabiliser la paix numérique des pays industrialisés en Europe et en Asie.

FlightRadar24, serveur de suivi en temps réel des trajets aériens civils et réseau social d’échange de données de vols a prévenu par email certains de ses abonnés d’un vol non référencé par le Iata : celui de leurs identités. Email dont l’authenticité a été confirmée via le forum. Parfois, le bonheur est simple comme une clef RTL-SDR sans connexion aucune au réseau Internet. On y perd en belles images d’avions aux couleurs chatoyantes des compagnies ce que l’on gagne en compréhension d’analyse des informations fournies par les échanges ADSB.

MS-Exchange Server est affecté par plusieurs inconsistances (3 CVEs) découvertes dans les bibliothèques de fonctions Oracle Outside In utilisées dans le code dudit serveur. L’alerte est accessible sur le site du Msrc .

Joshua Adam Schulte, l’informaticien de la CIA qui a fait fuiter près de 9000 documents confidentiels au profit de Wikileak (affaire Vault_7 ) a été mis en examen pour vol et divulgation d’informations classifiée révèle DarkReading

Med Associates, société US d’affacturage dans le secteur médical, avoue avoir fait l’objet d’un hack de son S.I., et d’un vol de 270 000 dossiers nominatifs , avec informations médicales et d’assurance associés