Archives

Mais un village résiste encore, et toujours, à l’invasion du flicage semi-volontaire. Daniel Oberhaus, de Motherboard raconte son odyssée au travers des océans déchainés des implants, de leur sécurité très relative, des risques d’oubli de code d’accès, de leur fiabilité discutable : lorsque l’on peut scanner en catimini un RFID de clef d’hôtel ou une carte de crédit, une main gauche « implantée » peut tout aussi bien faire l’affaire.

Même sursaut de résistance pour Alistair Dabbs, du Register, qui éclaire d’un jour nouveau la dialectique de la puce sous-cutanée. L’entreprenariat moderne, explique-t-il, voue un culte nouveau et particulier (du moins dans les pays anglo-saxons) à l’échec et aux déboires. L’« Epic Fail » est formateur, ce qui ne nous tue pas nous rend plus fort, il faut savoir se remettre en selle après une chute de cheval… et autres clichés du genre. Echouer n’est plus une infamie.

Et par conséquence, cette certitude de l’échec génétiquement nécessaire à tout employé cherchant à progresser justifie la mise en place de mesures destinées à amoindrir l’échec dans certains cas. Et voilà le RFID sous-cutané tout simplement légitimisé . Y renoncer, reviendrait à vouloir saper la sécurité de l’entreprise puisque l’échec est devenu une certitude et une nécessité. Or, si Alistair Dabbs est prêt à assumer fièrement sa propension au « plantage », il avoue : « Mon problème est que je ne me sens pas encore prêt à accepter l’échec à un niveau personnel ». Et le mot personnel, dans ce cas, est à entendre au sens physique du terme : « Assumer l’échec à bras le corps est à entendre au sens littéral lorsque l’élément défaillant se trouve à 4 mm sous la surface de votre peau ». Et de citer les innombrables cas de lecture erronée des RFID sous toutes leurs formes. De la carte de parking désespérément muette malgré les gesticulations de son porteur face à un lecteur sourd comme un pot, à la chatière récalcitrante qui refuse l’accès au matou familial dont l’implant n’a pu être reconnu.

Tout comme l’authentification à double facteur, le RFID intra-dermique déporte la responsabilité vers l’usager. Une façon de masquer les carences intrinsèques de certains systèmes sécurisés ? C’est effectivement un aveu d’échec et d’inadaptation de certaines des protections classiques mises en place. L’empilement de couches de technologie est loin d’être une solution de sécurité, l’approche globale de la sécurité restera toujours essentielle pour mieux protéger.

Mais quelle puce a piqué la presse pour que soudainement l’on débatte avec tant de passion du « sans-contact sous-cutané » ?

Tout commence avec un article du très Britannique Telegraph, lequel révèle que beaucoup de « grandes entreprises » d’Outre-Manche envisagent sérieusement d’implanter un identifiant RFID sous la peau de leurs collaborateurs. Simple rumeur ? Un peu plus que cela, puisque cette « révélation » viendrait de BioHax, une société Suédoise spécialisée dans ce genre d’accessoire. Même son de cloche sur les antennes de National Public Radio qui reprend le discours et ses éléments de langage en affirmant que les puces RFID sont pratiquement monnaie courante en Suède. Un moyen de prêcher le faux pour le transformer en vérité, puisque le même message est repris par Michael Snyder dans les colonnes de End of American Dream avec cependant un peu plus de sens critique. Trois papiers publiés dans des médias renommés, le Dir Com de BioHax peut se féliciter. Sa technique mérite un certificat ISO-14443-B.

Les boutiquiers de la mémoire-RFID-dans-la-peau font vibrer la corde de la sécurité, et n’hésitent pas à imaginer des situations dramatiques destinées, par exemple, à culpabiliser les parents peu soucieux du bien-être de leur progéniture. Un enfant « pucé » est un enfant « surveillé » laissent-ils espérer… ipso facto « sous l’attention permanente de ses aînés ». Cette dérive sémantique qui consiste à assimiler flicage et protection est strictement comparable à celle constatée dans le domaine de la surveillance vidéo débaptisée par l’ex Ministre Michèle Alliot-Marie et fidèlement reprise par ses successeurs. Et pourtant, jamais une caméra de « vidéo-protection » n’a volé au secours d’une victime agressée en pleine rue, jamais une ampoule « sans contact » ne sauva un enfant de la noyade ou d’un accident de la route. Mais que l’on se révolte contre la multiplication de cette bigbrotherification de la société, et l’on passe pour un sympathisant des hordes de pédo-kidnapeurs-poseurs de bombes-agresseurs nocturnes, puisque l’on cherche ainsi non pas à contester la « surveillance », mais à empêcher la « protection ». Miracle de la dérive des mots. Le marketing de la paranoïa peut-il se dissoudre dans la raison et le bon sens ?

Pas vraiment, puisque les exemples se font de plus en plus nombreux. Nos confrères d’Engadget témoignent que cette pratique s’est étendue à une partie du personnel travaillant dans un datacenter de l’Ohio. L’accès au sanctum sanctorum autorisé aux porteurs de ce sésame électronique stigmatise toute personne refusant cette chosification de l’humain. Pas de puce, pas de promotion/conservation de poste/emploi. Rien d’officiel, bien sûr. La terreur du non-dit est peu à peu imposée par les angoissés de la pseudo-sécurité.

La MIT Technology review, pour sa part, rapporte que 80 employés de Three Square Market, un spécialiste US des distributeurs de produits frais et boissons, se sont fait « pucer » dans le seul but de ne pas avoir à chercher de la monnaie pour acheter les quelques décilitres ou centimètres-cubes de nourriture  quotidienne. Pour ceux qui n’auraient pas compris le message, les RFID font partie de notre quotidien. Toute résistance est futile, cette évolution vers l’humain augmenté est inévitable, y compris pour des activités non essentielles. Transhumanistes 10, homo sapiens 0.

Les vieilles habitudes ont la vie dure, explique une étude de Gemini Advisory. Il y aurait, à l’heure actuelle, près de 60 millions d’identités bancaires Etats-Uniennes piratées durant l’année écoulée, malgré le fait que 93% d’entre elles seraient des cartes à puce conformes au standard EMV.

La raison ? l’obstination des commerçants d’Amérique du Nord à ne pas faire appel au « chip & pin ». Lors d’un achat en boutique, c’est encore le vieux système de lecture magnétique qui est majoritairement utilisé. A cette mauvaise pratique s’ajoutent les hacks massifs de début d’année (Home Depot, Target) qui sont venus gonfler les statistiques de cette sinistralité bancaire.

Tsunami dans le verre d’eau sécurité provoqué par une étude publiée par l’Université de Radboud, Pays-Bas. Rapport qui explique que de nombreux systèmes de stockage « auto chiffrant » utilisant le standard TGL Opal seraient loin de protéger les données contenues en raison de hiatus d’implémentation, et le problème empirerait lorsque Bitlocker, l’outil de chiffrement de Microsoft, serait utilisé. Non pas en raison d’un « suraccident » numérique, mais plus simplement parce que Bitlocker sous Windows 10 (ndlr et peut-être Windows 8.x) préfère, par défaut, déléguer les opérations aux mécanismes de protection intégrés sur le disque plutôt que d’effectuer le travail lui-même. Sur ce dernier point, l’on peut donc plus honnêtement parler de problème de confiance que de faille de sécurité.

Comme de coutume dans le monde du chiffrement, ce ne sont ni les algorithmes utilisés ni l’architecture du système qui sont mis en cause, mais l’intégration de ce même système. On y retrouve presque tous les classiques du genre, comme une « phrase de passe » vide.

Est-ce la fin du monde ? Pas franchement. Le chiffrement des unités de stockage en général et l’utilisation de Bitlocker en particulier ne concernent qu’un nombre restreint d’usagers manipulant des données sensibles, stockées sur des disques susceptibles d’être accessibles à des personnes non autorisées. En outre, l’idée même de « chiffrement intégral » du disque ne constitue une véritable protection que dans le cadre d’une attaque physique du disque. Enfin, il existe une mesure de contournement assez simple, qui consiste à désactiver le chiffrement « matériel » du SSD, ce qui fait basculer Bitlocker en mode exclusif. Une opération préalable de déchiffrement « hard-Opal » puis de re-chiffrement « soft-Bitlocker » est nécessaire, explique-t-on sur Winaero. Propos également repris par le principal concerné, Microsoft, avec une page entièrement consacrée au paramétrage de Bitlocker sur le blog du « response team ».

D’un point de vue pratique, si Crucial et Samsung sont montrés du doigt par les Universitaires de Radboud, cela ne veut pas dire que seules ces deux marques sont coupables de négligence. Le jeu du marché OEM, le « rebranding », voire la loi des séries en matière de mauvaises pratiques disqualifient d’un coup la quasi-totalité du marché des disques SSD auto-chiffrant et rend aux utilitaires logiciels leurs lettres de noblesse. Peut-être un peu plus lents, mais indiscutablement plus sûrs… tant qu’une nouvelle faille ou découverte d’erreur d’implémentation n’est pas découverte, car eux aussi sont victimes d’erreurs d’implémentation.

1.1.1.1, le service dns « protégé » de Cloudflare et l’Apnic, est désormais accessible plus simplement grâce à une application pour plateformes Android et IOS .

Hip hip hip appel à communications : Hack in Paris rappelle qu’il ne reste plus qu’un mois avant la clôture de l’appel à communications et organisation des Ateliers

Business Insider semble quasiment certain d’une prochaine absorption de Cylance par Blackberry, ex spécialiste de la téléphonie d’entreprise qui tente de plus en plus de se transformer en spécialiste sécurité. Le montant de l’opération est estimé à 1,5 million d’USD.

Cylance commercialise un ensemble de logiciels de protection anti-virus, anti-malware, qui reposerait non plus sur des bibliothèques de signatures, mais sur un moteur d’Intelligence Artificielle. Il y a deux ans, l’entreprise Californienne a ajouté à son catalogue une suite d’outils de protection du poste de travail (Cylance Protect) dérivé des techniques développées par le Japonais Motex. Une part de la renommée de Cylance est liée à la personnalité de Stuart McClure, ex McAfee, cofondateur de Founstone, et l’un des auteurs de la « bible » Hacking Exposed

 Le rapport trimestriel de Risk Based Security estime que le volume des fuites d’information friserait, sur les 9 premiers mois de l’année en cours, près de 3.6 milliards d’enregistrements. Et l’on ne comptabilise dans cette hécatombe numérique que les failles rendues publiques par les victimes. 34,5% des forfaits perpétrés par les pilleurs de données seraient pudiquement occultées, écrivent les rapporteurs de l’étude. Plus de la moitié (57 %) de ces évaporations numériques seraient la conséquence directe d’intrusions, suivies par les conséquences des failles Web, les fraudes diverses, les escroqueries utilisant encore le courrier de surface (lesquelles se classent devant les « scam » via messagerie électronique), et enfin les campagnes de phishing et les conséquences de certains virus/malwares.

Selon un rapport d’ABI Research, les prévisions mondiales de dépenses en matière de protection des infrastructures critiques (OIV, OSE) pèseront près de 125 milliards d’USD. Les Gafa, mais également des entreprises d’envergure internationale telles que Siemens, Airbus ou Northrop, seraient les principaux « big spenders »

Hui Wang et « RootKiter », chercheurs chez NetLab, viennent de publier un article sur un botnet soupçonné d’avoir infecté près de 100 000 routeurs domestiques (attaque par le port 5431)