janvier 16th, 2019

Le Department of Defense US a publié un rapport d’un peu moins de 50 pages sur l’état de la sécurité des « munitions complexes » (missiles balistiques (BMDS) de tous crins) utilisés par les trois armes. Et l’on n’est pas très loin des invraisemblances à la Wargames : Aucun chiffrement sur certains équipements, aucune capacité de détection antivirus, absence de mécanismes d’authentification multifacteurs, trous de sécurité encore béants remontant au début des années 90… « The Army, Navy, and MDA did not protect networks and systems that process, store, and transmit BMDS technical information ». Et ceci quand bien même l’accès au réseau de commande accepterait une authentification renforcée. Les employés négligent ces procédures. A ces mauvaises pratiques tant dans les usages que dans les procédures de déploiement, s’ajoutent quelques manquements en termes de sécurité physique. Il n’est pas rare, précise le rapport, que certaines armoires de serveurs ne soient pas fermées à clef, ou que des unités de stockage accessibles par le personnel ne soient pas elles-mêmes chiffrées. Pour couronner le tout, l’on ne trouverait pas d’IDS sur le réseau… lequel est tout de même chargé de relier plus d’une centaine de sites de missiles. L’on comprend d’autant mieux le « Comment j’ai appris à ne plus m’en faire et à aimer la bombe » de Stanley Kubrick.

Toucher au Chiffre ? mais vous n’y pensez pas ! Tollé général du côté des usagers et éditeurs après l’adoption d’une loi par le Gouvernement Australien, qui impose l’intégration d’une porte dérobée dans toute application de communication publique chiffrée. Histoire de se parer des habits de Grand Défenseur des Libertés Individuelles, les Gafa ont protesté comme un seul homme. Vrai quoi, la collecte d’information et l’espionnage, ça ne devrait être réservé qu’à des gens sérieux… nous nous comprenons, laisse entendre en filigrane nos confrères de Motherboard. Plus récemment, Joshua Lund d’Open Whisper Systems, collaborateur du projet de messagerie chiffrée Signal, tente d’expliquer sur son blog pour quelle raison une telle loi est quasiment impossible à appliquer. Compromettre la solidité d’une clef générée au niveau du terminal utilisateur ? C’est totalement illusoire, affirme-t-il en substance. Nous n’y avons pas accès, nous n’avons pas moyen de le faire a posteriori.

On imagine aisément que les barbouzes Australiennes sont, face à un tel manque de civisme, à deux doigts de la dépression nerveuse. Fort heureusement, l’équipe sécurité de Talos vient à leur secours en leur faisant remarquer que le protocole de chiffrement n’est pas tout… il faut savoir jouer -et exploiter- sur les vulnérabilités propres à l’environnement du poste client ou des serveurs de transit, lesquelles peuvent offrir des capacités d’écoute insoupçonnées et quasiment insoupçonnables. Soit en ouvrant une seconde session « clone », soit en ajoutant, via le serveur, de nouveaux comptes… et ce, tant sur Signal que WhatsApp ou Telegram.

Lecture pour tous : Les organisateurs du FIC ont publié la liste des ouvrages sélectionnés pour le « prix du livre FIC 2019 » , un empilement impressionnant de 40 livres allant du roman à l’ouvrage doctoral en passant par les précis de bonne pratique ou les recueils de vulgarisation

Comment conduire une attaque en « rejeu » pour les nuls : Une séquence Youtube de 16 minutes qui explique comment ouvrir une voiture à distante à l’aide d’un Raspberry et d’une clef RTL-SDR