Archives

Le Department of Defense US a publié un rapport d’un peu moins de 50 pages sur l’état de la sécurité des « munitions complexes » (missiles balistiques (BMDS) de tous crins) utilisés par les trois armes. Et l’on n’est pas très loin des invraisemblances à la Wargames : Aucun chiffrement sur certains équipements, aucune capacité de détection antivirus, absence de mécanismes d’authentification multifacteurs, trous de sécurité encore béants remontant au début des années 90… « The Army, Navy, and MDA did not protect networks and systems that process, store, and transmit BMDS technical information ». Et ceci quand bien même l’accès au réseau de commande accepterait une authentification renforcée. Les employés négligent ces procédures. A ces mauvaises pratiques tant dans les usages que dans les procédures de déploiement, s’ajoutent quelques manquements en termes de sécurité physique. Il n’est pas rare, précise le rapport, que certaines armoires de serveurs ne soient pas fermées à clef, ou que des unités de stockage accessibles par le personnel ne soient pas elles-mêmes chiffrées. Pour couronner le tout, l’on ne trouverait pas d’IDS sur le réseau… lequel est tout de même chargé de relier plus d’une centaine de sites de missiles. L’on comprend d’autant mieux le « Comment j’ai appris à ne plus m’en faire et à aimer la bombe » de Stanley Kubrick.

Toucher au Chiffre ? mais vous n’y pensez pas ! Tollé général du côté des usagers et éditeurs après l’adoption d’une loi par le Gouvernement Australien, qui impose l’intégration d’une porte dérobée dans toute application de communication publique chiffrée. Histoire de se parer des habits de Grand Défenseur des Libertés Individuelles, les Gafa ont protesté comme un seul homme. Vrai quoi, la collecte d’information et l’espionnage, ça ne devrait être réservé qu’à des gens sérieux… nous nous comprenons, laisse entendre en filigrane nos confrères de Motherboard. Plus récemment, Joshua Lund d’Open Whisper Systems, collaborateur du projet de messagerie chiffrée Signal, tente d’expliquer sur son blog pour quelle raison une telle loi est quasiment impossible à appliquer. Compromettre la solidité d’une clef générée au niveau du terminal utilisateur ? C’est totalement illusoire, affirme-t-il en substance. Nous n’y avons pas accès, nous n’avons pas moyen de le faire a posteriori.

On imagine aisément que les barbouzes Australiennes sont, face à un tel manque de civisme, à deux doigts de la dépression nerveuse. Fort heureusement, l’équipe sécurité de Talos vient à leur secours en leur faisant remarquer que le protocole de chiffrement n’est pas tout… il faut savoir jouer -et exploiter- sur les vulnérabilités propres à l’environnement du poste client ou des serveurs de transit, lesquelles peuvent offrir des capacités d’écoute insoupçonnées et quasiment insoupçonnables. Soit en ouvrant une seconde session « clone », soit en ajoutant, via le serveur, de nouveaux comptes… et ce, tant sur Signal que WhatsApp ou Telegram.

Lecture pour tous : Les organisateurs du FIC ont publié la liste des ouvrages sélectionnés pour le « prix du livre FIC 2019 » , un empilement impressionnant de 40 livres allant du roman à l’ouvrage doctoral en passant par les précis de bonne pratique ou les recueils de vulgarisation

Comment conduire une attaque en « rejeu » pour les nuls : Une séquence Youtube de 16 minutes qui explique comment ouvrir une voiture à distante à l’aide d’un Raspberry et d’une clef RTL-SDR

C’est la seconde fois en moins d’un mois qu’un aéroport Londonien (cette fois, il s’agit de Heathrow) est contraint de clouer les appareils au sol en raison de la présence d’un drone ou appareil télécommandé, rapporte CNN ou le Times. Plus de 100 000 voyageurs, 760 vols ont été affectés par ce blocage. Déjà, le 20 décembre, un incident comparable avait gelé le trafic de l’aéroport de Gatwick.

En réponse à ces « menaces », les deux aéroports auraient immédiatement investi « plusieurs millions de Livres Sterling » pour protéger l’espace aérien à proximité des pistes, rapporte l’agence Reuter. Lance-filets ? Brouilleurs UHF ? (Toujours risqué en zone aéroportuaire), rapaces dressés à la chasse d’appareils ? La nature du matériel utilisé n’est pas révélée. Elle serait, précise la dépêche, d’un niveau comparable à ce qu’utilisent les forces armées.

… ce qui ne veut pas dire grand chose d’un point de vue technique. Si les drones sont effectivement largement utilisés par les forces armées modernes, c’est principalement sous forme de vecteurs d’attaque ou de surveillance/renseignement. Les instruments et techniques servant à détecter et intercepter des appareils hostiles laissent encore largement à désirer. Si de telles contre-mesures existaient réellement, le nombre de victimes de grenades larguées par des « quadcoptères » en Irak, en Syrie, en Israël, serait nettement moins élevé.

Le magazine Bild décrit fort bien l’épaisseur du brouillard qui noie l’affaire du fichier des personnalités Allemandes diffusé via Twitter. Les experts patentés du monde InfoSec imaginent des scénarii particulièrement alambiqués, sans même se poser la question fondamentale : comment les coordonnées privées de la Chancelière et du Président de l’Etat Fédéral, mélangées avec celles de journalistes et d’hommes d’affaires, se seraient-elles trouvées compilées dans un seul et même fichier ? Car la question est moins de savoir s’il y a eu piratage des ordinateurs de l’Administration Allemande ou découverte d’une énième ressource AWS, que de déterminer à qui a incombé la responsabilité de constituer ce ou ces fichiers nominatifs dressés en dépit du RGPD.

Les rustines Cisco mériteraient de figurer au palmarès des bonnes pratiques en matière de politique de mot de passe. La dernière en date porte le doux nom de ciscocm.CSCvk30822_v1.0.k3.cop.sgn. Elle affecte le Prime Licence Manager et pourrait offrir le flanc à une attaque en injection SQL.

Un peu moins d’une cinquantaine de défauts (dont 7 « critiques ») corrigés par Microsoft, quelques failles également chez Adobe, mais aucun de ces problèmes n’est activement exploité.

Le bulletin Adobe est quasiment anémique. Et cela faisait bien longtemps que le tableau de bord classant les défauts en termes de gravité n’avait pas été aussi vert. Une seule (et très improbablement exploitable) faille a fait l’objet d’une divulgation à ce jour, la CVE-2019-0579 affectant le moteur de base de données Jet. A noter, au nombre des problèmes critiques, deux inconsistances dans Hyper-V susceptibles de pouvoir être exploitées à distance. Ce sont les CVE-2019-0551 et CVE-2019-0550. Aucune analyse technique détaillée n’a été divulguée jusqu’à présent.

La Maison Blanche via le DoJ US continue sa politique de frappes diplomatiques incessantes à l’encontre de la Chine… laquelle rend coup pour coup. Après, en mai dernier, une série d’inculpations « par contumace » de nombreux officiers Chinois soupçonnés d’appartenir à la très secrète Unité 61398 de l’Armée Populaire de Libération, c’est au tour de deux barbouzes de l’Empire de Milieu, Zhu Hua et Zhang Shilong de faire les frais d’une inculpation dans l’affrontement provoqué par la politique isolationniste de Washington et de celle, expansionniste, de Pékin.

De quoi accuse-t-on ces deux vaillants défenseurs de la Pensée Maozedong et de l’économie de l’Oncle Xi ? ni plus ni moins d’être la cheville ouvrière du groupe de hackers APT10, d’avoir infiltré, dans le cadre d’une campagne de hacking baptisée « cloudhopper », de grands prestataires de services managés tels que HP ou IBM, puis de s’être introduits, par cet intermédiaire, dans les systèmes d’information de « plusieurs douzaines »d’entreprises clientes de ces grands de la (in)sécurité. La Nasa, le JPL, la Navy, des organismes financiers, de la santé, de l’industrie électronique… auraient fait les frais de ces intrusions, sans plus de précision tant sur le nombre exact des victimes, leur nationalité et leur identité.

Depuis l’arrestation au Canada de Meng Wanzhou, CFO de Huawei, au moment même où se déroulaient les pourparlers Américano-Chinois relatifs au commerce extérieur, il ne se passe plus une semaine sans qu’une affaire de cyber-espionnage ne vienne défrayer la chronique. Des affaires qui, en temps normal, ne font pas, ou rarement la première page des journaux, et n’ont pas pour origine une communication officielle du Département de la Justice US. Cette publicité opportuniste a été relayée sans trop de recul par la quasi-totalité de la presse US, de Wired à l’agence Reuter en passant par le DoJ lui-même, la chaine CNBC ou le New York Times.

Jamais il ne s’est publié en aussi peu de temps autant d’articles de presse à propos de Facebook. Jamais, non plus, réseau social n’a provoqué une telle campagne de critiques, voir de remarques parfois haineuses sur les réseaux sociaux. Ni Microsoft, ni même Yahoo lors de la crise des « fuites massives d’identités » n’ont créé une telle unanimité.

Le premier tir de missile a été lancé par nos confrères du New York Times, avec un article révélant la légèreté et les largesses de la Zuckerberg Company en matière d’exploitation des données à caractère personnel des utilisateurs de ses services. Le scandale Cambridge Analytica, découvert en mars dernier, n’est qu’une infime entorse comparée à la politique « open bar » de Facebook pratiquée avec plus de 150 « partenaires commerciaux » explique le quotidien New Yorkais. Des partenaires parmi lesquels on compte Microsoft, Amazon, Yahoo (sic !), Spotify, Netflix, Sony, la Royal Bank of Canada, certains de ces clients pouvant avoir accès en lecture et déléature aux contenus personnels des abonnés Facebook.

Des accusations totalement biaisées, voir erronées estime Ime Archibong, VP of Product Partnerships, dans un billet de blog rédigé à la hâte et expliquant en substance que tout le monde était prévenu, que ces communications d’information étaient clairement précisées au fil des CLUF et autres discussions publiques… alors, où est le mal ? de son côté, Konstantinos Papamiltiadis, Director of Developer Platforms and Programs reprend l’air et la chanson : « We’ve been public about these features and partnerships over the years because we wanted people to actually use them ». Les arguments méritent de figurer dans le « manuel du parfait promoteur immobilier/vendeur de voitures d’occasion ». La légitimation par la transparence auprès de « journalistes et analystes réputés »… mais certainement pas auprès des institutions régaliennes semble-t-il.

Ce n’est donc pas un hasard si le Procureur Général du District de Columbia entame, cette même semaine, une procédure en violation des lois sur la protection des consommateurs, conséquence directe de l’affaire Cambridge Analytica. Une affaire, rappelons-le, qui ne porte « que » sur 87 millions d’usagers des services Facebook, une portion infime des quelques 2,2 milliards de comptes qui pourraient être concernés par les coups de canifs dans le contrat de confiance révélés par l’article du NYT. Ceci sans même mentionner les conséquences de plusieurs failles de sécurité régulièrement découvertes puis colmatées, telle celle qui, il y a un peu plus d’une semaine, nous apprenait que 6 8 millions de photographies personnelles et non publiques étaient accessibles par le simple usage de plus de 1500 « apps » de tierces parties.

« Abandonnons Facebook, revenons aux sites web personnels » s’exclame Jason Koebler dans les colonnes de Motherboard. Un cri du cœur qui ne tient pas compte du fait que si Facebook a connu un tel succès, c’est précisément en raison d’une part de la simplicité avec laquelle il était possible de mettre en ligne n’importe quel écrit, et d’autre part de la promesse de propagation de ces écrits grâce à la structure en réseau des millions de pages personnelles ainsi créées. La puissance et l’intelligence de Zuckerberg est d’avoir su exploiter l’hubris et l’égotisme des « digital native », sa faiblesse et son erreur est de n’avoir su en deviner les limites.