Archives

Fuites Allemandes : Nebel, nur Nebel

Fuites Allemandes : Nebel, nur Nebel

Posté on 09 Jan 2019 at 8:17

Le magazine Bild décrit fort bien l’épaisseur du brouillard qui noie l’affaire du fichier des personnalités Allemandes diffusé via Twitter. Les experts patentés du monde InfoSec imaginent des scénarii particulièrement alambiqués, sans même se poser la question fondamentale : comment les coordonnées privées de la Chancelière et du Président de l’Etat Fédéral, mélangées avec celles de journalistes et d’hommes d’affaires, se seraient-elles trouvées compilées dans un seul et même fichier ? Car la question est moins de savoir s’il y a eu piratage des ordinateurs de l’Administration Allemande ou découverte d’une énième ressource AWS, que de déterminer à qui a incombé la responsabilité de constituer ce ou ces fichiers nominatifs dressés en dépit du RGPD.

Cisco, un gestionnaire de licence fébrile

Cisco, un gestionnaire de licence fébrile

Posté on 09 Jan 2019 at 8:06

 

 

Les rustines Cisco mériteraient de figurer au palmarès des bonnes pratiques en matière de politique de mot de passe. La dernière en date porte le doux nom de ciscocm.CSCvk30822_v1.0.k3.cop.sgn. Elle affecte le Prime Licence Manager et pourrait offrir le flanc à une attaque en injection SQL.

Une année qui débute trous en douceur

Une année qui débute trous en douceur

Posté on 09 Jan 2019 at 7:00

Un peu moins d’une cinquantaine de défauts (dont 7 « critiques ») corrigés par Microsoft, quelques failles également chez Adobe, mais aucun de ces problèmes n’est activement exploité.

Le bulletin Adobe est quasiment anémique. Et cela faisait bien longtemps que le tableau de bord classant les défauts en termes de gravité n’avait pas été aussi vert. Une seule (et très improbablement exploitable) faille a fait l’objet d’une divulgation à ce jour, la CVE-2019-0579 affectant le moteur de base de données Jet. A noter, au nombre des problèmes critiques, deux inconsistances dans Hyper-V susceptibles de pouvoir être exploitées à distance. Ce sont les CVE-2019-0551 et CVE-2019-0550. Aucune analyse technique détaillée n’a été divulguée jusqu’à présent.

From China with love

From China with love

Posté on 22 Déc 2018 at 6:06

La Maison Blanche via le DoJ US continue sa politique de frappes diplomatiques incessantes à l’encontre de la Chine… laquelle rend coup pour coup. Après, en mai dernier, une série d’inculpations « par contumace » de nombreux officiers Chinois soupçonnés d’appartenir à la très secrète Unité 61398 de l’Armée Populaire de Libération, c’est au tour de deux barbouzes de l’Empire de Milieu, Zhu Hua et Zhang Shilong de faire les frais d’une inculpation dans l’affrontement provoqué par la politique isolationniste de Washington et de celle, expansionniste, de Pékin.

De quoi accuse-t-on ces deux vaillants défenseurs de la Pensée Maozedong et de l’économie de l’Oncle Xi ? ni plus ni moins d’être la cheville ouvrière du groupe de hackers APT10, d’avoir infiltré, dans le cadre d’une campagne de hacking baptisée « cloudhopper », de grands prestataires de services managés tels que HP ou IBM, puis de s’être introduits, par cet intermédiaire, dans les systèmes d’information de « plusieurs douzaines »d’entreprises clientes de ces grands de la (in)sécurité. La Nasa, le JPL, la Navy, des organismes financiers, de la santé, de l’industrie électronique… auraient fait les frais de ces intrusions, sans plus de précision tant sur le nombre exact des victimes, leur nationalité et leur identité.

Depuis l’arrestation au Canada de Meng Wanzhou, CFO de Huawei, au moment même où se déroulaient les pourparlers Américano-Chinois relatifs au commerce extérieur, il ne se passe plus une semaine sans qu’une affaire de cyber-espionnage ne vienne défrayer la chronique. Des affaires qui, en temps normal, ne font pas, ou rarement la première page des journaux, et n’ont pas pour origine une communication officielle du Département de la Justice US. Cette publicité opportuniste a été relayée sans trop de recul par la quasi-totalité de la presse US, de Wired à l’agence Reuter en passant par le DoJ lui-même, la chaine CNBC ou le New York Times.

Facebook, les diables sont dans plein de détails

Facebook, les diables sont dans plein de détails

Posté on 20 Déc 2018 at 5:59

Jamais il ne s’est publié en aussi peu de temps autant d’articles de presse à propos de Facebook. Jamais, non plus, réseau social n’a provoqué une telle campagne de critiques, voir de remarques parfois haineuses sur les réseaux sociaux. Ni Microsoft, ni même Yahoo lors de la crise des « fuites massives d’identités » n’ont créé une telle unanimité.

Le premier tir de missile a été lancé par nos confrères du New York Times, avec un article révélant la légèreté et les largesses de la Zuckerberg Company en matière d’exploitation des données à caractère personnel des utilisateurs de ses services. Le scandale Cambridge Analytica, découvert en mars dernier, n’est qu’une infime entorse comparée à la politique « open bar » de Facebook pratiquée avec plus de 150 « partenaires commerciaux » explique le quotidien New Yorkais. Des partenaires parmi lesquels on compte Microsoft, Amazon, Yahoo (sic !), Spotify, Netflix, Sony, la Royal Bank of Canada, certains de ces clients pouvant avoir accès en lecture et déléature aux contenus personnels des abonnés Facebook.

Des accusations totalement biaisées, voir erronées estime Ime Archibong, VP of Product Partnerships, dans un billet de blog rédigé à la hâte et expliquant en substance que tout le monde était prévenu, que ces communications d’information étaient clairement précisées au fil des CLUF et autres discussions publiques… alors, où est le mal ? de son côté, Konstantinos Papamiltiadis, Director of Developer Platforms and Programs reprend l’air et la chanson : « We’ve been public about these features and partnerships over the years because we wanted people to actually use them ». Les arguments méritent de figurer dans le « manuel du parfait promoteur immobilier/vendeur de voitures d’occasion ». La légitimation par la transparence auprès de « journalistes et analystes réputés »… mais certainement pas auprès des institutions régaliennes semble-t-il.

Ce n’est donc pas un hasard si le Procureur Général du District de Columbia entame, cette même semaine, une procédure en violation des lois sur la protection des consommateurs, conséquence directe de l’affaire Cambridge Analytica. Une affaire, rappelons-le, qui ne porte « que » sur 87 millions d’usagers des services Facebook, une portion infime des quelques 2,2 milliards de comptes qui pourraient être concernés par les coups de canifs dans le contrat de confiance révélés par l’article du NYT. Ceci sans même mentionner les conséquences de plusieurs failles de sécurité régulièrement découvertes puis colmatées, telle celle qui, il y a un peu plus d’une semaine, nous apprenait que 6 8 millions de photographies personnelles et non publiques étaient accessibles par le simple usage de plus de 1500 « apps » de tierces parties.

« Abandonnons Facebook, revenons aux sites web personnels » s’exclame Jason Koebler dans les colonnes de Motherboard. Un cri du cœur qui ne tient pas compte du fait que si Facebook a connu un tel succès, c’est précisément en raison d’une part de la simplicité avec laquelle il était possible de mettre en ligne n’importe quel écrit, et d’autre part de la promesse de propagation de ces écrits grâce à la structure en réseau des millions de pages personnelles ainsi créées. La puissance et l’intelligence de Zuckerberg est d’avoir su exploiter l’hubris et l’égotisme des « digital native », sa faiblesse et son erreur est de n’avoir su en deviner les limites.

Rustine hors calendrier pour I.E.

Rustine hors calendrier pour I.E.

Posté on 20 Déc 2018 at 5:30

Une faille activement exploitée affecte plusieurs versions d’Internet Explorer et a justifié, estime l’équipe sécurité de Microsoft, la publication d’un correctif hors calendrier, quelques jours à peine après le « patch Tuesday » officiel. Sont concernés les utilisateurs d’I.E. 11 sous Windows 7, 10, et Server 2012, 2016 et 2019, ainsi qu’I.E. 9 sur Server 2008 et I.E. 10 sous Server 2012. L’attaque est généralement conduite via une injection lancée depuis un site compromis.

La rustine a été diffusée par le système de mise à jour automatique de l’éditeur. Les machines isolées ou soumises à un système de déploiement autonome peuvent utiliser le service de vérification automatique en ligne conçu pour le parc de machines sous Windows 10.

Un fichier de police qui fuite

Un fichier de police qui fuite

Posté on 14 Déc 2018 at 6:26

Nos confrères de l’Express révèlent qu’un fichier appartenant au syndicat de police Alliance a fuité et se retrouverait sur le (sic) « darknet ». Moins de 500 identités se retrouvent « dans la nature », ce qui classe ce sinistre dans la tranche basse des accidents de cette nature, mais les données contenues sont véritablement compromettantes : noms, emails, numéro de téléphone, parfois même affectations.

Alliance, syndicat historiquement situé à droite et généralement assez favorable au fichage et à l’exploitation de ce genre d’outil, devient à son tour victime des dangers immédiats que peuvent provoquer la mauvaise gestion de ces bases de données. Le secrétaire général adjoint de l’organisation, Frédéric Lagache, explique aux journalistes que « …nos fichiers sont maintenant entièrement chiffrés et sécurisés ». Ce qui laisserait entendre qu’il y avait un «avant » dépourvu de la moindre protection. D’autres indices permettent d’imaginer qu’une bonne lecture des recommandations Owasp auraient pu éviter cet accident. En pleine polémique sur la pertinence du fameux « fichier S », un an après l’hémorragie des 2600 identités d’agents du Renseignement Français, cette mésaventure rappelle que ces « cyber-armes » sont à double tranchant, et que les deux côtés sont aussi bien aiguisés l’un que l’autre.

Equifax, ou la cour du roi Pétaud

Equifax, ou la cour du roi Pétaud

Posté on 14 Déc 2018 at 6:17

Certificats périmés, infrastructure hétéroclite entravant l’application de processus de sécurité cohérents, politique de déploiement de correctifs imparfaite, accumulation d’initiatives personnelle et de « shadow IT », le tout baignant dans une totale désorganisation managériale, telles sont en substance les conclusions de l’enquête conduite par une délégation de la Chambre des Représentants des Etats-Unis. 96 pages de faits et chiffres, des dizaines d’auditions devant le Sénat, après la fuite de près de 148 millions d’identités détenues par cette entreprise de notification de crédit.

En filigrane, ce rapport demande que les élus travaillent à l’élaboration d’une loi fédérale qui contraigne les entreprises et organisations à respecter un « délais de colmatage » des failles une fois que ledit trou de sécurité a été signalée à leurs services techniques.

Supermicro est « spy-free »

Supermicro est « spy-free »

Posté on 14 Déc 2018 at 6:06

Pas de spyware matériel sur les cartes Supermicro, conclut un audit commandité par la direction de l’entreprise.

En octobre dernier, une rumeur avait été répandue par Bloomberg Business Week laissant entendre qu’un sous-traitant Chinois aurait modifié l’électronique des cartes fabriquées pour le compte de Supermicro, afin d’y ajouter des composants capables d’espionnage. Cette hypothèse, qui semblait déjà totalement fantaisiste à l’époque, s’est pourtant répandue comme une traînée de poudre, à tel point que certaines administrations fédérales US l’ont prise au pied de la lettre, sans même chercher à vérifier la source de l’information et la plausibilité d’une telle assertion. Les rares dénégations, à l’époque, ont été émises par les utilisateurs de machines Supermicro, Apple et Amazon principalement, plus pour écarter les risques d’une atteinte à leur propre image de marque que pour rétablir une vérité technique.

Cette mésaventure a coûté cher au constructeur de super-ordinateurs, les audits en ce domaine n’étant pas particulièrement gratuits. Cette mésaventure est l’occasion, pour Supermicro, de rappeler, à l’aide d’une séquence vidéo pédagogique, qu’un processus de fabrication électronique est soumis à une succession de contrôles qualité et de tests statiques et dynamiques qui ne peuvent « laisser passer » l’ajout d’une « puce espion ».

Orsay fuit… discrètement

Orsay fuit… discrètement

Posté on 14 Déc 2018 at 5:50

Fuite de fichier des serveurs du Ministère de l’Europe et des Affaires Etrangères. La twittosphère (notamment Nicolas Arpagian @cyberguerre) s’interroge sur les méthodes de communication du Quai d’Orsay, lequel a prévenu les intéressés via un courriel. En effet, le service Arianne, qui répertorie les coordonnées des personnes à prévenir en cas de difficulté rencontrée par toute personne voyageant dans un pays « à risque », aurait été siphonné. Noms, prénoms, numéros de mobile, adresse email, il y a là matière à conduire une belle attaque en spear phishing ou une campagne d’intoxication.

Il faudra attendre deux bonnes heures avant que ne soit publiée une communication officielle. La manière dont le premier courriel a été rédigé laisse entendre que le mot chiffrement ne fait pas partie des éléments de langage compatibles avec l’exercice quotidien de la diplomatie.

Publicité

MORE_POSTS

Archives

septembre 2019
lun mar mer jeu ven sam dim
« Mar    
 1
2345678
9101112131415
16171819202122
23242526272829
30