septembre, 2018

Cisco absorbe la société Duo pour la somme rondelette de 2,35 milliards de dollars, et ajoute à son catalogue les services SaaS d’identification et d’authentification de cette nouvelle mariée. Des services qui, lorsque les modalités légales de cette opération auront été remplies et approuvées, devraient être peu à peu intégrés notamment aux offres Cloud de l’équipementier.

La dernière grosse opération de croissance externe conduite par Cisco remonte à 2013, date du rachat de SourceFire pour une valeur de 2,7 milliards de dollars.

Le Département de la Sécurité Intérieure US (DHS) crée un « Centre National des risques Cyber » chargé d’établir les priorités en matière de protection des avoirs numériques de l’industrie et du monde civil. Parmi ses principales missions, la toute première, explique Joseph Marks de Defense One, sera de recenser les « joyaux de la couronne ». En d’autres termes, les opérateurs d’importance vitale et autres opérateurs de service essentiels : énergie, santé, télécoms et services financiers. Ce marathon des priorités aux risques cyber devrait suivre un calendrier très stricte (une étape de 90 jours précise notre confrère).

Ce Cyberrisk Center allègera le travail du NCCIC (National Cybersecurity Communications and Integration Center), et lui permettra de se recentrer sur la protection des agences gouvernementales. Rappelons que c’est ce même NCCIC qui évalue et note les risques SSI et Télécom en collaboration avec le Cert US.

Reddit alerte ses abonnés que les comptes informatiques appartenant à des membres du personnel ont été compromis, malgré une authentification à double facteur basée sur un envoi de SMS. Cette compromission aurait mis en danger les données de certains des usagers.

Les méthodes de détournement de SMS sont nombreuses, et vont de la simple attaque Bluetooth qui ouvre l’accès à l’espace de stockage des messages (un classique vieux de 20 ans), à une foultitude de compromissions « man in the middle » reposant soit sur des appliquettes Android corrompues, soit sur des vols de cartes SIM auprès de l’opérateur télécom (via une usurpation d’identité de la victime), soit sur des redirections d’appels… la liste s’allonge chaque jour.

La magie des termes « authentification à double-ou triple-facteurs » donne généralement bonne conscience et permet de vendre de la confiance à des usagers sans pour autant investir le moindre centime dans un véritable renforcement des procédures d’identification. L’empilement des « couches de sécurité » n’est efficace que lorsque cette succession de protections est cohérente et ne repose pas déjà sur un système faillible. Le double facteur renforce, il ne « bouche » pas, il ne se substitue pas.

Fort heureusement, Reddit n’est pas une banque, mais le risque de piratage des comptes d’usagers n’est pas à négliger.

1,4 million de fichiers « patients » on fuité des système de la chaîne hospitalière US UnityPoint Health (source Dark Reading ).

5 nouvelles portes dérobées dans les équipements Cisco, nous apprend Tom’s Hardware . Encore des logins codés en dur, des comptes cachés… ce ne sont là que quelques oublis des procédures de debug, bien entendu.

Les grands magasins Saks Fifth Avenue et Lord & Taylor se sont fait dérober près de 5 millions d’identités bancaires, rapporte le NYT

4 ans fermes pour Ronald L. Wheeler III, le « modérateur/animateur/conseiller en ligne » du serveur AlphaBay, rapporte Security News . Une peine allégée en raison de la « collaboration » de l’inculpé avec les forces de police.

Dmytro Fedorov, Fedir Hladyr, et Andrii Kolpakov, trois ressortissant Ukrainiens arrêtés en Europe au cours du premier trimestre, ont été inculpés par la justice US pour avoir appartenu au groupe de cyberdélinquants Fin7. Ce groupe s’attaquait à de grandes chaînes de restauration, d’hôtels et de casinos et pillaient les identités bancaires des clients.

Encore un vol en formation de trous IoT. Ceux-ci nous sont gracieusement offerts par l’équipe Talos, qui a relevé la bagatelle d’une vingtaine de défauts de sécurité dans le hub d’IoTs de Samsung, dénommé SmartThings Hub. La saga, ainsi que l’interminable liste de CVEs qui l’accompagne, est à lire sur le blog de l’équipe de recherche

Encore quelques belles failles avec le groupe Jaguar-Land Rover cette f

ois. Car ces Britanniques véhicules, tous connectés qu’ils sont, peuvent enregistrer un volume considérable de données (coordonnées GPS, appels aux services de dépannage du réseau de concessionnaires, journal d’activité du système d’air conditionné et autres informations issues des ordinateurs de bord). Jusque-là, rien d’anormal. Lesdites données sont consultables à l’aide d’une appliquette de téléphone, mais sont également stockées sur un service Cloud, consultable à distance. Et c’est là que les choses se gâtent,
explique Matt Watts. En voulant utiliser ce service, il se rend compte que le précédent propriétaire de son automobile achetée d’occasion avait également accès à ses données privées.

Emois, lettre au constructeur, et réponse lapidaire d’ycelui : « We are not in a position to remove 

owner without their permission » (nous n’avons pas la possibilité de supprimer les données du propriétaire sans sa permission). Jaguar botte en touche à propos de cette fuite de données personnelles en se réfugiant derrière le respect des données à caractère personnel du précédent propriétaire. Probable Circular error, Abort, Ignore, Retry ? Seule solution proposée : contacter directement la personne en lui demandant de désactiver l’accès aux données.

C’est l’histoire totalement éculée d’un firmware de caméra associé à une « application » de surveillance à distance sous Android, elle-même incapable de différencier lesdites caméras les unes des autres. Rien de très nouveau, à un détail près : le bug a affecté une journaliste de la BBC, qui s’est émue de pouvoir, à son corps défendant, fliquer la vie privée de ses voisins. Il n’en fallait pas plus pour faire le Buzz.

Le problème a pu être analysé par un groupe de chercheurs, lequel a pu découvrir trois vulnérabilités majeures concernant l’identifiant des caméras, le système de chiffrement et le mot de passe root). Mais plus que ces failles relativement classiques, c’est le manque de réactivité du fabricant que fustigent les analystes sécurité.