novembre 14th, 2018

Les vieilles habitudes ont la vie dure, explique une étude de Gemini Advisory. Il y aurait, à l’heure actuelle, près de 60 millions d’identités bancaires Etats-Uniennes piratées durant l’année écoulée, malgré le fait que 93% d’entre elles seraient des cartes à puce conformes au standard EMV.

La raison ? l’obstination des commerçants d’Amérique du Nord à ne pas faire appel au « chip & pin ». Lors d’un achat en boutique, c’est encore le vieux système de lecture magnétique qui est majoritairement utilisé. A cette mauvaise pratique s’ajoutent les hacks massifs de début d’année (Home Depot, Target) qui sont venus gonfler les statistiques de cette sinistralité bancaire.

Tsunami dans le verre d’eau sécurité provoqué par une étude publiée par l’Université de Radboud, Pays-Bas. Rapport qui explique que de nombreux systèmes de stockage « auto chiffrant » utilisant le standard TGL Opal seraient loin de protéger les données contenues en raison de hiatus d’implémentation, et le problème empirerait lorsque Bitlocker, l’outil de chiffrement de Microsoft, serait utilisé. Non pas en raison d’un « suraccident » numérique, mais plus simplement parce que Bitlocker sous Windows 10 (ndlr et peut-être Windows 8.x) préfère, par défaut, déléguer les opérations aux mécanismes de protection intégrés sur le disque plutôt que d’effectuer le travail lui-même. Sur ce dernier point, l’on peut donc plus honnêtement parler de problème de confiance que de faille de sécurité.

Comme de coutume dans le monde du chiffrement, ce ne sont ni les algorithmes utilisés ni l’architecture du système qui sont mis en cause, mais l’intégration de ce même système. On y retrouve presque tous les classiques du genre, comme une « phrase de passe » vide.

Est-ce la fin du monde ? Pas franchement. Le chiffrement des unités de stockage en général et l’utilisation de Bitlocker en particulier ne concernent qu’un nombre restreint d’usagers manipulant des données sensibles, stockées sur des disques susceptibles d’être accessibles à des personnes non autorisées. En outre, l’idée même de « chiffrement intégral » du disque ne constitue une véritable protection que dans le cadre d’une attaque physique du disque. Enfin, il existe une mesure de contournement assez simple, qui consiste à désactiver le chiffrement « matériel » du SSD, ce qui fait basculer Bitlocker en mode exclusif. Une opération préalable de déchiffrement « hard-Opal » puis de re-chiffrement « soft-Bitlocker » est nécessaire, explique-t-on sur Winaero. Propos également repris par le principal concerné, Microsoft, avec une page entièrement consacrée au paramétrage de Bitlocker sur le blog du « response team ».

D’un point de vue pratique, si Crucial et Samsung sont montrés du doigt par les Universitaires de Radboud, cela ne veut pas dire que seules ces deux marques sont coupables de négligence. Le jeu du marché OEM, le « rebranding », voire la loi des séries en matière de mauvaises pratiques disqualifient d’un coup la quasi-totalité du marché des disques SSD auto-chiffrant et rend aux utilitaires logiciels leurs lettres de noblesse. Peut-être un peu plus lents, mais indiscutablement plus sûrs… tant qu’une nouvelle faille ou découverte d’erreur d’implémentation n’est pas découverte, car eux aussi sont victimes d’erreurs d’implémentation.

1.1.1.1, le service dns « protégé » de Cloudflare et l’Apnic, est désormais accessible plus simplement grâce à une application pour plateformes Android et IOS .

Hip hip hip appel à communications : Hack in Paris rappelle qu’il ne reste plus qu’un mois avant la clôture de l’appel à communications et organisation des Ateliers

Business Insider semble quasiment certain d’une prochaine absorption de Cylance par Blackberry, ex spécialiste de la téléphonie d’entreprise qui tente de plus en plus de se transformer en spécialiste sécurité. Le montant de l’opération est estimé à 1,5 million d’USD.

Cylance commercialise un ensemble de logiciels de protection anti-virus, anti-malware, qui reposerait non plus sur des bibliothèques de signatures, mais sur un moteur d’Intelligence Artificielle. Il y a deux ans, l’entreprise Californienne a ajouté à son catalogue une suite d’outils de protection du poste de travail (Cylance Protect) dérivé des techniques développées par le Japonais Motex. Une part de la renommée de Cylance est liée à la personnalité de Stuart McClure, ex McAfee, cofondateur de Founstone, et l’un des auteurs de la « bible » Hacking Exposed

 Le rapport trimestriel de Risk Based Security estime que le volume des fuites d’information friserait, sur les 9 premiers mois de l’année en cours, près de 3.6 milliards d’enregistrements. Et l’on ne comptabilise dans cette hécatombe numérique que les failles rendues publiques par les victimes. 34,5% des forfaits perpétrés par les pilleurs de données seraient pudiquement occultées, écrivent les rapporteurs de l’étude. Plus de la moitié (57 %) de ces évaporations numériques seraient la conséquence directe d’intrusions, suivies par les conséquences des failles Web, les fraudes diverses, les escroqueries utilisant encore le courrier de surface (lesquelles se classent devant les « scam » via messagerie électronique), et enfin les campagnes de phishing et les conséquences de certains virus/malwares.

Selon un rapport d’ABI Research, les prévisions mondiales de dépenses en matière de protection des infrastructures critiques (OIV, OSE) pèseront près de 125 milliards d’USD. Les Gafa, mais également des entreprises d’envergure internationale telles que Siemens, Airbus ou Northrop, seraient les principaux « big spenders »

Hui Wang et « RootKiter », chercheurs chez NetLab, viennent de publier un article sur un botnet soupçonné d’avoir infecté près de 100 000 routeurs domestiques (attaque par le port 5431)

Shodan Chinois & TCP/ IP : L’un s’appelle Fofa , l’autre ZoomEye . Tous deux ignorent la langue anglaise mais pêchent au chalut ce qui traîne sur Internet.