Archives

Tout au long de l’année 2015, sur 3930 incidents recensés, plus de 736 millions d’enregistrements ont été exposés, affirment les analystes de DatalossDB. Que nenni ! rétorquent les statisticiens de Gemalto. Ce sont très exactement 707 509 815 enregistrements qui ont encouru des risques, et les intrusions n’ont pas excédé 1673 cas officiellement déclarés (46 d’entre elles comptant plus d’un million d’enregistrements).

DatalossDB dépend de l’Open Security Foundation, organisation à but non lucratif qui chapeaute également Open Source Vulnerability Database (OSVDB), mais qui confie la publication de cette étude à l’un de ses « partenaires » commerciaux, RiskBased Security. Gemalto est une entreprise de droit privé, premier fournisseur mondial de cartes à puces. Et malgré cette notable différence et ces éventuels conflits d’intérêt, force est de reconnaître que les chiffres sont assez proches les uns des autres. La barrière des 700 millions d’enregistrements compromis a largement été dépassée.

Si l’on en croît DatalossDB, 64% des incidents seraient le fruit non pas d’accidents involontaires mais de hackings caractérisés et que dans 77% des cas, les risques de fuites auraient été provoqués par des agents extérieurs à l’entreprise. Il n’a fallu que 4 hacks majeurs en 2015 pour compromettre près de 238 millions d’enregistrements, et 46 d’entre eux (chiffre strictement identique à celui estimé par Gemalto) exposait plus d’un million d’enregistrements chacun. Il faut avouer que le piratage des serveurs de l’ U.S. Office of Personnel Management (OPM) et ses 22 millions de fiches, les 43 millions d’identités de la Korean Pharmaceutical ou les 78 millions de dossiers ayant fuité des archives d’Anthem Insurance ont fortement contribué à cette inflation.

Au hit parade des pays les plus touchés, les USA (476 millions d’enregistrements), la Turquie (50 millions), la Corée du Sud (44 millions), le Canada (45 millions), la Fédération de Russie (26 millions), le Royaume Unis (21 millions) et l’Allemagne (13 millions).

Bien qu’arrivant en dixième place dans le nombre d’incidents déclarés, la France n’apparaît pas dans le top-ten de la sinistralité en termes de volume de données compromises, révèle le rapport d’OpendatalossDB. Rappelons que, quelle que soit l’étude concernée, les analyses ne portent que sur les chiffres publiés dans la presse. Or, en notre pays de France, les divulgations d’incidents de sécurité sont réservées aux seules oreilles de l’Anssi.

San Francisco, RSA Conference. Beaucoup d’agitation autour du stand 1727 en ce premier jour de RSA Conference : Bruce Schneier, patron de Resilient System (ex Co3 Systems), annonce officiellement l’absorption de son entreprise par IBM. Resilient commercialise une plateforme de réponse sur incident et aurait été reprise pour un montant de 100 M$. Schneier explique ce désir de rapprochement en raison des efforts que les ingénieurs de Resilient ont déployé pour intégrer la plateforme au sein du SIEM de « Big Blue division sécurité ».

C’est la seconde fois qu’une entreprise pilotée par Bruce Schneier est achetée par un groupe d’envergure internationale. La précédente OPA avait été lancée par British Telecom et visait Counterpane. Un mariage plus d’argent et de raison que de véritable amour, que Schneier résume en ces termes : « It’s a sad reality in tech is that too often acquisitions don’t work out for either the acquirer or the acquiree. Deals are made in optimism, but the reality is much less rosy ». Mais le billet du père Twofish s’achève tout de même sur un panégyrique à la gloire d’IBM.

Eric Ciotti, député Républicain et Président du Conseil Départemental des Alpes Maritimes, propose, dans un amendement, que dans « le cadre d’une enquête relative à une infraction terroriste, les opérateurs de télécommunication, les fournisseurs d’accès à internet, tout fabricant d’outils de télécommunication, soient tenus de communiquer l’ensemble des informations pertinentes pour la résolution de celle-ci. La violation de cette obligation sera punie d’une amende de 2 millions maximum et de l’interdiction de la commercialisation de ces outils pendant une durée d’un an ». Un amendement à la loi sur la réforme de la procédure pénale relevé par nos confrères du Figaro.

A gauche,on est un tantinet moins gourmand puisque, fait remarquer Guillaume Champeau de Numérama, le député Yann Galut ne demande qu’un million d’Euro pour « contraindre les constructeurs de smartphones et de tablettes, Apple et Google notamment, à fournir à la justice les codes pour l’exploitation du contenu de leurs appareils ».

Etre député c’est être aguerri à une certaine intelligence politique. Aucun amendement n’est déposé sans qu’une armada de conseillers techniques ne vienne assister l’élu dans son travail. Or député ou conseillers, aucun n’aura manifestement pensé que l’installation d’un système d’écoute ou de fragilisation des systèmes de chiffrement, tant des outils de communication que des systèmes de stockage ou de traitement, pouvait être la voie ouverte à tous les risques d’espionnage tant mafieux qu’industriels ou orchestrés par des puissances étrangères. Ces amendements étant déposés en toutes connaissances de cause, on pourrait presque s’interroger sur les motivations profondes qui ont dicté la rédaction de tels amendements …

Cryptome publie le journal de Laura Poitras, la journaliste qui a littéralement ouvert les vannes des révélations Snowden. La série de notes débute le 4 novembre 2012, évoquant le désir de réaliser quelques reportages sur les fichiers antiterroristes de la CIA, la vie de Houari Boumediene ou ce qui deviendra Death of a Prisonner (2013), un film sur les conditions de détention dans le camp de Guantanamo.

Ce même journal s’achève par une remarque datée du 15 mai 2013. « I should also destroy this fucking notebook ».

Entre ces deux dates, les persécutions de la NSA, près de 40 arrestations arbitraires, des interrogatoires sans fin à chaque passage de la frontière US, et surtout, la longue préparation de la rencontre avec « Citizen Four », pour enfin pouvoir écrire cette ultime phrase : « Two weeks later I flew to Hong Kong with Glenn Greenwald to meet Edward Snowden ».

La guerre des bloqueurs de publicité résumée par Neal Krawetz. Depuis fin 2015, le nombre de sites qui bannissent les usagers d’AdBlock et autres outils du genre est en constante croissance, invoquant la « perte de revenu publicitaire qui implique la disparition du modèle de diffusion gratuite ».

Pour Krawetz, ce mode de chantage et, par extension, les pratiques de plus en plus agressives des annonceurs, non seulement commencent à se confondre avec les techniques des diffuseurs d’Adware, ces quasi-virus publicitaires, mais encore frisent les pratiques illégales telles que l’injection de véritables malwares. Pour l’usager, entre un insert vantant les mérites de telle ou telle automobile et l’annonce d’un faux antivirus, il n’existe pratiquement plus de différence, les attitudes quasi mafieuses de contrainte et d’intimidation sont tout à fait comparables.

Le parallèle avec le spam et le lent pourrissement des services de messagerie s’impose. De simple message publicitaire occasionnel dans les années 80, le pourriel s’est transformé en une déferlante d’annonces fortement dominées par les vendeurs de produits de contrefaçon. A tel point que plus de 80% du trafic smtp, dans les années 90/2000, servait à vanter les mérites de pilules bleues de contrebande ou d’agences de mariage promettant des épouses aussi belles que soumises. Les outils antispam ont peu à peu assaini la situation. Deux raisons majeures à ce succès. L’un, purement tactique, initié par le monde des affaires, qui a très vite compris qu’il n’y a pas de bon business sans cet outil qu’est la messagerie, et qu’il était temps d’arrêter de tuer la poule aux œufs d’or. L’autre, strictement technique, puisqu’il est impossible de supprimer la réception de tous les courriels d’un usager sous prétexte qu’il utilise un logiciel antispam. Or, en verrouillant l’accès à divers sites d’information sous prétexte qu’un utilisateur a installé une copie d’AdBlock, c’est très exactement ce que font les média tels que Forbes, Wired, Newquest, Voetbal, Yahoo!Mail ou les publications du groupe Axel Springer. Ils conditionnent l’usage d’Internet au respect d’un comportement favorable au bénéfice de Google.

Autre ombre au tableau, les grandes agences et les annonceurs ne contribuent en rien à l’entretien et au développement des infrastructures Internet, ne versent strictement aucune contribution au prorata de la bande passante consommée ni ne se sentent concernés par l’alourdissement du bilan carbone occasionné (souvent près de 95 % d’une page de journal est constitué de publicités, scripts et autres codes étrangers au contenu informatif… à rapprocher des statistiques du spam). Les médias qui véhiculent ces réclament sont pris en otage, contraints de conduire une guerre qui n’est malheureusement pas la leur.

« Il est temps d’évoluer ou de périr » conclut Neil Krawetz. Soit les annonceurs et leurs grandes agences, Google en tête, exploitent le filon jusqu’à son épuisement, jusqu’à ce qu’il soit gâté à la racine et ne rapporte plus un liard, soit elles en reviennent à des pratiques moins intrusives, plus légères d’un point de vue écologique, plus respectueuses de l’usager et surtout moins dangereuses d’un strict point de vue de la sécurité des systèmes d’information.

Facebook, Google, Microsoft, Twitter et Apple s’exprimant d’une même voix, combattant côte à côte dans une formidable embrassade juridique : il n’y a que dans la peine que l’on reconnaît ses véritables amis. Inquiétés par les conséquences incalculables d’une victoire du clan « FBI/DoJ » dans l’affaire qui oppose Apple et la justice US, les ténors des NTIC d’Outre Atlantique annoncent qu’ils envisagent de déposer une « Amicus Brief » (un complément d’information auprès du tribunal) soutenant les arguments de Tim Cook relatifs au refus de collaborer à la fragilisation du chiffrement d’IOS 9. Cette décision collective intervient le même jour où Apple a fait appel devant la Cour de Californie, demandant l’abandon de ses exigences techniques, expliquent deux journalistes de Recode.

C’est un cri poussé par un membre de l’IEEE (Tekla Perry) en faveur d’une règlementation de l’IoT en termes de sécurité. « Après moult cogitations, il nous a semblé nécessaire de voir se créer un Cyber-Underwriters Laboratory » écrit en substance Perry. L’Underwriters Laboratory (UL) est un laboratoire indépendant US qui attribue des labels de conformité aux biens de consommation (électroménager, textiles, équipements de l’habitat etc.). C’est un proche cousin de la qualification CE Européenne qui garantit que l’appareil acheté ne présente aucun danger dans le cadre de son usage courant.

Et Perry d’argumenter en prenant çà et là des exemples de la vie quotidienne, notamment l’affaire Apple vs FBI, ou en mentionnant les conséquences du hack de la chambre froide d’un restaurant, une opération de racket suite à la compromission d’un système informatique ou la mort de cinq personnes dans un accident de voiture sans chauffeur (information non sourcée et sujette à caution). Il faut, insiste-t-il, sécuriser l’IoT comme l’UL sécurise des moulins à café ou des grille-pain, avec la collaboration active des fabricants, lesquels assureraient une maintenance de leurs appareils par le biais de correctifs de firmware distribués automatiquement.

Si l’intention est louable, elle semble cependant assez peu réaliste. En raison de l’ampleur d’une telle tâche tout d’abord. Tester l’intégralité des logiciels et firmwares liés à l’IoT est d’ores et déjà une tâche pharaonique. Mais également une vision techniquement irréaliste. Quel Cyber-UL serait en mesure de tester, puis détecter l’intégralité des failles d’un noyau Android ou d’un réseau Sigfox, quand bien même ledit laboratoire possèderait les codes sources en intégralité ? Enfin, quel fabricant accepterait de suspendre la commercialisation de ses produits à la décision d’un laboratoire alors que tout le secteur IoT n’est qu’une course au « time to market ». Quel constructeur serait prêt à inventer un réseau complexe de mise à jour alors que le business-model de l’IoT repose sur une rapide obsolescence des appareils, laquelle joue en faveur d’un marché en perpétuel renouvellement ?

Le véritable Underwriters Laboratory, tout comme le comité d’agrémentation CE, ne s’y est pas trompé : mettre les doigts dans l’engrenage de la certification logicielle d’un point de vue sécurité est un tonneau des Danaïdes dans lequel il serait vain d’y verser la moindre once de ressource, car ni le résultat, ni les efforts déployés n’amélioreraient grandement le paysage IoT en général, et ce, quels que soient les efforts financiers et humains que l’on y consacrerait.

En revanche, il ne serait pas vain d’encourager (par un label quelconque) lesdits fabricants à respecter des recommandations telles que celles de l’ Owasp IoT Project. Et encore faudra-t-il beaucoup de patience. Près de 15 ans après leur édiction, les recommandations Owasp dans le domaine de l’écriture des applications Web ne sont respectées que par une très faible minorité des développeurs. Il faudra bien le double de ce laps de temps pour que les professionnels de l’Internet des Objets adoptent une démarche vertueuse comparable.

Côté Apple tout d’abord, avec cette information du NYT laissant entendre que ses ingénieurs seraient en train de renforcer les mécanismes de chiffrement de leurs téléphones afin qu’il soit « impossible au gouvernement de débloquer un iPhone en utilisant des méthodes comparables à celles utilisées durant cet affrontement à la cour de Californie ».

Face à cette réaction , le procureur du comté de Maricopa (AZ) rend coup pour coup et décide d’interdire la fourniture de nouveaux téléphones Apple à son personnel nous apprennent nos confrères de NetworkWorld. « Le refus, de la part d’Apple, de coopérer avec les autorités dans le cadre d’une enquête liée au terrorisme place Apple du côté du terrorisme ».

Jouant les arbitres, The Grugq déconstruit la « théorie du complot » ourdie, selon lui, par le FBI et les milieux politiques tant Californien que Fédéral. Un couple paumé de terroristes amateurs, des scénarii d’attaques avancés par le FBI et surtout des demandes totalement injustifiables concernant Apple. Non seulement il ne s’agit pas du téléphone personnel de l’assassin (qui a été détruit) mais de son portable de travail, mais en outre la somme d’informations accumulées par le FBI dans le cadre de cette enquête ne justifie absolument pas ce genre de demande (propos également tenus la semaine passée par Edward Snowden via Twitter). Les services de renseignement intérieurs, conclut The Grugq, sont donc bel et bien en train de mener un combat purement politique, très éloigné de leur fonction régalienne.

Palo Alto publie un quadruple bulletin d’alerte. L’une des failles (PAN-SA-2016-0005) est considérée comme critique et ouvrirait la porte à des attaques distantes et à des dénis de service.

Tor serait-il en train de subir une attaque médiatique en règle ? Déjà accusé par les médias télévisés d’être le Darknet à lui seul (que les usagers d’I2P, GnuNet et consorts dorment rassurés), voilà que le réseau chiffré se transforme en pestiféré.

Avec une première étude, signée par de doctes universitaires de Cambridge (U.K.), Berkeley et Londres intitulée « Vous voyez ce que je vois ? Ou de la différentiation de traitement des utilisateurs anonymes ». Selon cette étude, Facebook en .onion serait un épiphénomène. Ils sont de plus en plus nombreux, ces sites qui refusent toute connexion à partir du moment où leur adresse IP est celle d’un nœud de sortie appartenant à l’Onion Router. En balayant le monde Web, les chercheurs ont compté pas moins de 1,3 million de serveurs bloquant une requête anonyme. D’ores et déjà, 3,7 % des services Web classés au « top 100 » Alexa se refusent aux utilisateurs Tor. Du coup, des usagers longtemps considérés comme « techniquement plus avertis que la moyenne » sont relégués au rang de cyber-citoyens de seconde zone. Car Tor n’est pas utilisé que par des journalistes nourris au sein de Reporter Sans Frontière . On y trouve également (majoritairement d’ailleurs) une faune peu recommandable, dont certains assez toxiques pour faire peur au plus placide des Webmestres et aux plus confiants des RSSI.

Craintes injustifiées ? Que nenni ! Affirme une seconde étude conduite par Daniel Moore et Thomas Rid, lesquels ont tenté de séparer et quantifier le bon grain de l’ivraie. Sous le titre de « Politique de chiffrement et le Darknet », les deux chercheurs concluent sans l’ombre d’un doute que la grande majorité des services et échanges sur le réseau .onion relève d’activités considérées comme illégales dans la plupart des pays. Sur un recensement de 5205 sites et 2723 serveurs réellement actifs, 1547 étaient liés à des activités douteuses : trafic de drogue, vente d’armes, pédopornographie, extrémisme, assassinat, piratage etc. Certains passages de l’étude sont particulièrement pénibles à lire. La méthodologie est disponible sur (il fallait oser) un serveur Tor ainsi qu’une rapide introduction et présentation de l’étude.