Parlez de « hardware » à des décortiqueurs de code, et toutes les attentions sont captivées. Quand Charly Miller ou Cesar Cerrudo flinguent de l’Internet des Objets, quand Adam Laurie et Dimitry Nedospasov atomisent des circuits intégrés, même les Paganini du reversing et les sorciers du chiffrement retiennent leur souffle. Peu étonnant qu’Andrea Barisani ait fait salle comble, le second jour de NoSuchCon.

Son arme matérielle, ou plutôt son bouclier, s’appelle USB Armory. C’est un ordinateur miniature complet sous Debian, encapsulé dans un boîtier de clef usb avec une puissance un peu plus élevée que celle d’un Raspberry, 512 Mo de mémoire, un espace de stockage sur carte micro-SD et 5 gpio directement accessibles sur le circuit imprimé. Mais USB Armory, c’est surtout un système à boot sécurisé qui, par le truchement de 4 emplacements de mémoires à écriture unique, peut stocker autant de clefs personnalisées contrôlant soit le lancement et l’exécution d’un firmware certifié, soit la capacité de vérifier si l’ordinateur sur lequel est branché la clef fait bien partie d’un parc de machines de confiance, avant de « suicider » toute trace de données si ce n’est pas le cas. Sur la machine elle-même, des « zones de confiance », ou partitions, peuvent être créées pour séparer distinctement les applications et fichiers personnels et professionnels. C’est donc typiquement l’ordinateur-porte-clef qui, branché sur un poste de travail de web-café ou une tablette en mode OTG, garantira l’intégrité d’une session SSH entre le « road warrior » et ses serveurs. Tout en garantissant l’inaccessibilité de ses mémoires vives et de stockage depuis le monde extérieur durant ces transactions. En cas de perte, le contenu de ladite clef ou de la mémoire SD n’est pas lisible, et la perte financière ne dépasse pas la centaine d’euros.

Autrement dit, peu importe que l’ordinateur portable d’un itinérant soit perdu ou compromis par la pilule rouge d’une chambrière diabolique à la sauce Rutkowska : USB Armory ne peut être attaqué avec de tels vecteurs, il les ignore, il les contourne.

En pratique, cette clef intelligente se branche sur le port USB d’une machine et apparaît comme une machine reliée au réseau local. L’ordinateur hôte ne sert donc que de clavier, d’écran, de source d’alimentation et de passerelle vers le monde extérieur. Une passerelle quasiment passive puisque, dans les configurations les plus sécurisées, elle ne verra transiter que des trames chiffrées.
« J’ai tenu , précise Andrea Barisani, à ce que l’intégralité de ce nano-ordinateur soit ouverte. Toute la partie logicielle est publique, le noyau de prédilection est un linux, le schéma et le dessin du circuit imprimé même est diffusé sur Github ». Comble de l’openitude, même l’outil utilisé pour dessiner ledit circuit imprimé, Kicad, est open-source –français de surcroît. Un outil pourtant bien mal adapté pour réaliser des circuits 8 couches comportant des bus obligatoirement isochrones. Mais rien ne rebute Barisani. 8 mois durant, composant après composant, piste à piste, il passe des journées et des nuits entières à concevoir le schéma, optimiser le routage de son circuit. Pour les initiés aux choses matérielles, USB Armory compte 2 gros pavés BGA (dont le processeur ARM) et plusieurs QFN.

Pour qui sonne USB Armory ? En priorité pour les utilisateurs institutionnels qui cherchent à conserver une confidentialité des informations tant durant les transmissions via Internet –la clef se comporte en client et agent SSH- que durant toute la période de stockage locale, puisque sa mémoire de stockage est chiffrée automatiquement. C’est également une version évoluée des coffres forts à mot de passe, enrichis d’un portefeuille électronique Web intégré.

C’est également, et indiscutablement, un outil très « geek ». Barisani est venu à Paris avec 5 clefs de pré-production… il est reparti les mains vides. Pour un professionnel de la sécurité, USB Armory, c’est moins et surtout moins cher qu’un « PonyPlug », mais c’est beaucoup plus qu’un Kali-linux en mode persistant sur une simple flash usb. Outil de penstest exposé à l’occasion d’une conférence truffée de pentesteurs, on imagine les regards envieux que jetaient les participants sur les rares privilégiés usbarmorisés. C’est également l’équivalent d’une machine de prototypage facile à transporter (un raspberry ou un Odroid U3 sans la filasse usb, hdmi alimentation etc.) ainsi qu’un système embarquable complet qui ne nécessite que d’une alimentation 5V pour fonctionner. Or, dans le domaine OEM, il n’existe pas de système embarqué sécurisé véritablement ouvert et fiable et de petite taille que l’on pourrait intégrer sans crainte dans l’un des innombrables « internet des objets » qui voient le jour ces temps-ci.

A ces champs d’applications presque classiques, j’ajouterais par exemple, conclut Barisani, le domaine du contrôle de processus industriel sécurisé, secteur ou le « soft » est toujours très en retard sur le « hard », ou encore dans les méthodes de déploiement de programmes dans le cadre d’infrastructures informatiques classiques, secteur ou la connaissance du « hard » est très en retrait sur la culture « soft ». »

NoSuchCon #2, le second bullshit-free hardcore technical InfoSec event parisien, s’est achevé le 21 novembre dernier. Salle comble, interventions très variées et en général d’une haute qualité technique s’adressant à un public assoiffé de « reverse » et passionné par les « PoC » les plus exotiques. NoSuchCon est une réunion placée sous le sceau de la recherche pure, frisant parfois l’ésotérisme.

Qui donc peut être intéressé par ce genre de réunion ? La communauté des chercheurs, de prime abord. Celle qui souhaite clamer haut et fort que la sécurité des S.I. ne peut se limiter à une simple posture défensive et une suite de « solutions » prédigérées genre antivirus+firewall NG+iso27xxx… Sans recherche, l’adversaire gagne toujours, ne serait-ce que lors de la première attaque, celle que ne connaissent pas encore les équipements de défense périmétrique. Sans recherche, pas d’anticipation, sans recherche, pas d’extrapolation à partir d’attaques déjà connues. Sans recherche, no fun, no profit.

Assistent ensuite à ce genre de conférence les observateurs, généralement des RSSI/CISO qui n’ont pas perdu pied avec ce monde très technique et souhaitent encore « comprendre » pour ne pas accepter comme parole d’évangile les analyses des vendeurs. Car la recherche offre le recul, contribue à l’analyse, facilite l’évaluation du risque. Une réaction légitime en ces temps de marketing de la menace, lorsque les virus arborent un logo et frappent les manchettes des journaux avant même d’être réellement repérés par les outils de filtrage. Les attaques à trois lettres (AET, CIA, APT,NSA…) provoquent parfois plus de dégâts dans les esprits et les budgets que sur les serveurs. Etre méfiant, certes, mais à bon escient, non pas en fonction de l’importance médiatique d’un danger annoncé, mais en se basant sur l’avis de véritables savants : chercheurs, CERT, spécialistes indépendants. Font également partie des observateurs quelques fonctionnaires du Ministère de l’Intérieur, de l’Anssi et de plusieurs entreprises de conseil en sécurité TIC qui viennent « faire leur marché » parmi l’assistance.

Mais cette ambiance passionnée ne parvenait pas à marquer non pas une inquiétude, mais une certaine préoccupation professionnelle. Si l’on excepte les 20 % du marché constitué par les « bijoux de la couronne » du CAC 40, quelques OIV, l’Administration, les 80 % restant, les petites, les moyennes entreprises, le secteur de l’artisanat, tous courent sans hésiter vers une informatique (et donc une sécurité) cloudifiée du sol au plafond. Même certains « grands comptes » ne s’en cachent pas, invoquant des considérations économiques évidentes. De là à estimer qu’à terme, à force de virtualiser et d’externaliser, les métiers de DSI et de RSSI vont eux également se virtualiser et s’externaliser… Ne survivront que ceux intégrés dans les fameux « 20 % » qui n’externaliseront pas ou peu pour des raisons stratégiques, et ceux, encore moins nombreux, qui travailleront pour les « externalisateurs » mêmes, au sein des Big Five et de leurs satellites spécialisés dans la SSI des grands centres de calcul et autres datacenters.

Que restera-t-il aux hommes sécurité d’entreprise ? La charge de commander des audits, de vérifier une mise en conformité, à la rigueur de collaborer à une cellule de crise… mais les mots CVE, PoC, exploit, reverse, ZDE, forensique disparaîtront peu à peu de leur vocabulaire.

Les conférences sécurité techniques résisteront-elles à cette transformation ? Toutes n’en mourront pas, mais toutes seront frappées, cédant le pas aux « salons sécurité » déjà existants, où l’on parle de commerce plus que de veille technologique. Le discours « la sécurité est un processus » pourrait bien définitivement régresser pour laisser place au leitmotiv « la sécurité est une suite de solutions » (entendons par là une succession de produits clef en main et services « on line » vendus sur catalogue, empilables à foison). Les hebdomadaires à grand tirage continueront de titrer « Les gentils hackers existent, nous les avons rencontrés ». Les politiques et dirigeants d’entreprises évoluant hors du sérail informatique, qui se heurtaient déjà à d’énormes problèmes de vocabulaire entre le jargon technoïde des chercheurs et les arguments alarmistes des vendeurs, risqueront de n’entendre plus qu’un seul son de cloche.

NoSuchCon, Hack In Paris, Hackito Ergo Sum, BotConf (classons hors concours les SSTIC) sont nécessaires à l’entretien d’une culture sécurité et à l’établissement d’un dialogue, d’une vulgarisation au sens noble du terme. Sans cette vulgarisation (et donc indirectement le concours des média), le message risque de ne plus passer entre ceux qui cherchent et ceux qui financent, ceux qui légitimisent l’usage des bonnes pratiques et ceux qui doivent coder en les respectant. Il n’est peut-être pas toujours glorieux, pas toujours scientifique de devoir expliquer en termes simples non seulement les étapes d’un travail de recherche, mais également les implications que ce travail laisse prévoir. Faire l’effort de publier cette sorte « d’executive summary » pré ou post conférence assurerait, quelle que soit la direction que prendra le métier d’homme sécurité, une communication non biaisée, étrangère à tout conflit d’intérêt et destinée à un large public… politiques et grands dirigeants y compris.

« Deloitte France et Hervé Schauer Consultants (HSC), société de conseil en sécurité des systèmes d’information, annoncent leur rapprochement. Deloitte renforce ses expertises de conseil et d’audit en sécurité des systèmes d’information (SSI) » annonce le communiqué commun émis en décembre dernier.

Depuis un peu plus de 2 ans, sous l’impulsion des instances gouvernementales, le domaine de l’audit et du conseil en SSI auprès des entreprises (et plus particulièrement OIV et acteurs du CAC 40) s’est fait peu à peu accaparer par quelques grands opérateurs. Le « marketing de la cyber-frousse » distillé aux grands patrons, particulièrement après la vague Snowden, a profité aux sociétés de services « labellisées » par l’Anssi, et plus particulièrement aux plus importantes d’entre elles. La vie devenait relativement difficile pour toute entité située entre le « petit cabinet d’audit très spécialisé » et la grande cavalerie des « ténors de la sécu ».

Le mariage HSC/Deloitte fait suite à d’autres consolidations du même genre. L’ère de la « sécurité as a service » (en bon franglais) marque le début de la fin des « indépendants de moyenne envergure » … en attendant que ne disparaissent définitivement, outsourcing et cloudification obligent, les équipes de sécurité opérationnelles internes aux entreprises.

Pour Ken Sakamura, professeur à l’Université de Tokyo et conférencier lors du dernier congrès sur les RFID , il ne peut exister de smart tag sans une gestion à la fois stricte et planétaire de toutes les étiquettes intelligentes. Toutes, et cela englobe aussi bien les RFID HF et VHF, les NFC, les multiples périphériques de l’Internet des Objets (certains utilisant des fréquences et des protocoles totalement exotiques) et même les étiquettes code à barre EAN ou QRCode. Ce serait à la fois une architecture « intelligente » au service de l’homme et un redoutable système inquisitorial capable de fliquer, d’analyser, d’interpréter les moindres faits et gestes des usagers et des objets situés dans l’infrastructure UID2 (Ubiquitous Identifier version 2). C’est également, à l’heure actuelle, la seule porte de sortie normée et ouverte qui permette de s’affranchir des architectures propriétaires imposées par les fabricants d’étiquettes, des disparités techniques, des limitations normatives qui rendent incompatibles les codes à barre, les NFC, les RFID, les SmartMeters et autres SmartProbes passées, présentes et à venir.

L’idée du professeur Sakamura est simple : attribuer un identifiant unique de 128 bits (2E128 objets identifiables) à chaque objet connecté, indépendamment de la technologie ou technique sur laquelle il repose. Un code 128 bits tient « à l’aise » tant dans un RFID que sur un QRCode. Cette idée d’identifiant unique n’est pas nouvelle. Les adresses IP routables du réseau public, celles, plus anciennes, du réseau X25, les VID et surtout PID du monde USB… Qui dit identifiant unique pense annuaire, donc autorité d’enregistrement. Celle du projet Ucode se trouve au Japon, qui joue à la fois le rôle de TLD (Top Level Domain) et de « root », la première délégation de TLD se situant en Finlande, à Oulu. Il n’existe pas encore de SLD, serveurs de second niveau.

Mais immatriculer du composant communiquant n’est pas franchement révolutionnaire. Ce qui l’est, c’est que chaque numéro unique peut à son tour constituer une jointure sur une toute autre base de description (Wiki, page Web, base de données SQL etc.). Une requête émise par un téléphone portable peut alors, une fois aiguillée par le bon numéro UID, fournir des mégaoctets d’informations sur le produit ou le lieu « étiqueté ». En approchant un smartphone compatible NFC/RFID/lecteur optique d’un repère inséré sur une borne ou un vestige de mur, l’utilisateur lira immédiatement « La chapelle : Rasée par le Prince Noir, incendiée par les Huguenots, pillée par les Sans-culotte aux révolutions de 89, 30 et 48, est entièrement d’époque… » avec liens pointant chacun à leur tour sur les liens Wiki des différentes périodes de troubles susmentionnées. Ceci ne peut de toute évidence tenir dans les 32 K d’une étiquette RFID, la notion de jointure « a posteriori » frise donc l’idée de génie. C’est l’équivalent du « IN ADDR ARPA » de nos Domain.txt qui renvoient au nom de domaine à partir d’un simple numéro IP.

Mais le système fonctionne également dans le sens inverse et peut enrichir à chaque requête une autre base de données qui sera libre d’associer le profil du requérant, sa position géographique, la date de Relation, toutes données relatives aux autres objets satellites à l’objet IoT. C’est de la collecte de métadonnées dopée aux stéroïdes anabolisants. A un premier niveau, une relation UCR (pour Ucode) peut par exemple relier consultation, historique des précédentes requêtes et surtout, par le truchement d’un autre protocole UCR : concrètement à partir d’une étiquette « palette de biscottes », les autres étiquettes de chaque boîte de 12 paquets de biscottes, puis de chaque paquet en particulier. En allant plus avant, un « tag » noyé dans l’épaisseur d’un trottoir pourrait également signaler tant des informations géolocalisées (noms de rues avoisinantes, historique du lieu …) mais aussi la liste des magasins proches, des biens vendus dans lesdits magasins (dont les fameuses biscottes) etc. Il n’existe aucune limite dans la « profondeur » avec laquelle ces relations UCR peuvent être enchaînées et interrogées et qui sont à même de générer à leur tour des liens d’informations. UID, c’est l’hypertext des objets de l’IoT. Les âmes sensibles peuvent craindre que ce profil ne soit complété par les récents achats stockés dans la mémoire de la carte de crédit possédée par le requérant, l’historiques des derniers trajets, les habitudes de consommation, les fréquentations géographiques (Synagogue, Temple ou église, local syndical, clubs privés), dans le but de de parfaire le profil. Et compte tenu de la rapidité de non-réaction des organismes chargés de la surveillance des libertés individuelles (voir le précédent des NFC bancaires en France), il serait surprenant que personne n’ose piocher dans cette manne d’indiscrétions. D’ailleurs, si la « norme » UID définit les interactions entre serveurs d’identifiants et serveurs de contenus associés, elle n’en légifère aucun aspect.

Car la gestion des numéros UID elle-même est strictement encadrée par quelques RFC (RFC6588 notamment), normes Japonaises, recommandations ITU (H642), API de requêtes vers les TLD, intégration avec d’autres architectures tel OpenStack. Des normes qui évitent d’esquisser tout cadre précis destiné à policer les bases de contenus complémentaires que souhaiterait ajouter qui le vendeur de biscottes, qui la municipalité dispensatrice d’étiquettes radio d’informations. L’application mobile chargée d’émettre les requêtes ne doit respecter que le bon usage des API servant à dialoguer avec les TLD UID2… le reste est à l’avenant de l’auteur de « l’app », flicage compris ou non. Et le nombre de systèmes de gestion pouvant être concerné par une simple requête est quasi illimité. A titre d’exemple, un projet expérimental déployé au Japon reposent sur 5 plateformes : Kokosil, qui gère les informations d’emplacement et les relations entre ces différents emplacements, Monosil, qui supervise les objets eux-mêmes et les relations entre objets (l’écosystème des objets disposant d’un identifiant UID2), Kotosil qui administre et délivre les « contenus » ou informations complémentaires, Daresil qui jongle avec les utilisateurs, groupes d’utilisateurs et relations inter-utilisateurs du réseau UID2, et Kachisil, chargée de s’occuper des comptes et accès aux services payants (car à l’instar de tout service de fourniture de contenu transitant par une « app » pour téléphone mobile, il peut être envisageable de facturer lesdits contenus, remember le Minitel). Une interrogation, 5 requêtes associées, autant de remontées de métadonnées.

Pour l’heure, un tel projet est embryonnaire, mais, à l’exception de quelques concurrents conçus par quelques grandes administrations (la NSA notamment, et très probablement un projet approchant chez Google), il n’existe pas de réel équivalent au système Ucode/UID2. Les chances pour qu’il soit un jour adopté aux USA et en Europe ne sont pas nulles. Et quand bien même cette initiative du professeur Ken Sakamura se solderait par un échec qu’il y a trop à gagner en termes d’analyse Big Data qu’une architecture concurrente ne puisse voir le jour. Certes, les vendeurs d’étiquettes résisteront encore quelques temps, dans l’espoir de voir leur solution propriétaire l’emporter sur une réponse normée, internationale et ouverte. Mais la pression du marché sera plus forte, celle effectuée par les grands utilisateurs qui déjà emploient parfois quatre ou cinq technologies de marquage différentes et souhaitent un peu plus qu’un retour sur investissement limité à la logistique.

9 décembre 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau

Administration de la Sécurité : IAM, SIEM … et Maîtrise des données (en entreprise, scada-OIV & industrie) :

perte, vol, responsabilité, tracer, chiffrer …

Stratégie, Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Perte, vol des identités et des données, quelles responsabilités au sein de l’entreprise? Comment administrer la sécurité des données ? Authentifier, accéder, tracer,chiffrer …Quelles solutions sont à la disposition des entreprises, scada-oiv ou industrie ? Comment s’assurer que les solutions en place ne sont pas obsolètes ? Comment faire évoluer ses défenses au rythme des nouvelles vulnérabilités et menaces ?

Risques et conséquences d’une mauvaise administration de la sécurité, impact et responsabilités … autant de questions et sujets auxquels répondront des experts de tout bord : consultants, avocats, acteurs, chercheurs, de la théorie à la pratique. Une matinée de Sensibilisation, d’Information et de Networking

Exceptionnellement pour fêter Noël et la nouvelle année, à l’issue de cette matinée, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne.

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• 8H30 – Accueil des participants : petit-déjeuner et Networking
• 9H00 – Risques & Conséquences d’une mauvaise administration de la sécurité, par Hervé Schauer, Fondateur HSC Consulting
• 9H20 – 2015, passer à la vitesse supérieure en SSI : Opération Emmental et Pawn Storm etc., recherches en interne & prédictions 2015 par Loïc Guézo, Trend Micro
• 9H40 – Conseils et guides pratiques : « SOC et CERT : les défis pour une meilleure surveillance et une réaction efficace » par Gérôme Billois, Solucom
• 10H00 – «Sécurisez les postes partagés de votre SI» par Guillaume Guerrin, expert sécurité Ilex
• 10H20 – Panel sur «Administration de la Sécurité : IAM, SIEM … et Maîtrise des données (en entreprise, scada-OIV & industrie) : Stratégie, Conseils & Solutions» avec Maître François Coupez, avocat qui abordera la partie juridique, Gerald Oualid chez Thalès et membre fondateur de l’association R2GS qui parlera de cyberdéfense et SIEM,Eric VAUTIER, RSSI, membre du Clusif, qui nous parlera de son quotidien et donnera des conseils en fonction de son expérience, un consultant et Médéric Leborgne, Directeur Technique Blackberry qui nous parlera de l’ouverture de son produit et de la prise en compte de l’administration de la sécurité en incluant les principaux tablettes et PDAs du marché. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
• 11H05 – PAUSE Networking
• 11H25 –Retour Terrain : refonte des procédures de la gestion des habilitations à la Maif, par Alice MILANOVA, RSSI MAIF, membre du Clusif
• 11H55 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
• 12H15– Tirage au sort de cadeaux (tablettes, smartphones …) autour d’une coupe de champagne
• 12H45 – Clôture de la conférence

Comment truquer le résultat d’un vote par Internet , un article de recherche qui devrait intéresser tous les Français résidant à l’étranger …

A la fin de la session 2014 de NoSuchCon, l’une des plus importantes conférences sécurité Française, ce sera Anthony Zboralski qui aura l’honneur d’assurer la conférence de clôture de NSC 2014. Le public se souvient du coup d’éclat du hacker « Frantic » qui, en 1994, tutoyait d’un peu trop près les serveurs des agences à trois lettres situées de l’autre côté de l’Atlantique. Devenu depuis expert-conseil en SSI, il tiendra, devant l’assistance, un « no such talk » sur le thème « la sécurité n’est pas une recette de cuisine ou un empilement d’outils », une défense passive purement périmétrique. Ce qui se conçoit bien…

Jusqu’au 21 novembre , « after hours » non compris, l’Espace Niemeyer devient une fois de plus le centre du « monde sécu », celui qui cherche (et qui trouve), celui qui tente d’anticiper d’éventuelles menaces, d’imaginer de nouvelles attaques sans logo ni communiqué de presse.

Après avoir été victime d’une attaque massive, les services postaux US ont décidé de suspendre toutes les liaisons VPN utilisées par les télétravailleurs d’USPS nous apprend Dark Reading. L’intrusion, qui fait tourner la tête de certains politiques en direction de la Chine ou d’autres Etats-Nations jugés « cyber-agressifs », a visé les identités et numéros de sécurité sociale d’employés à la retraite de la Poste de l’Etat Fédéral (800 000 personnes au total) et d’un peu moins de 3 millions de clients. Il n’est pas établi que cette intrusion ait été perpétrée via l’accès distant d’un des employés en activité. Mais le VPN, estiment les responsables sécurité de l’organisation, présente des vulnérabilités nécessitant une mise à niveau, ce qui expliquerait cette décision radicale.

L’univers des RFID serait apollinien et son avenir barbouillé de rose-Barbie si l’on s’en tenait là. Mais l’art de coller un « machin qui cause » à un système d’interrogation radio ne connaît pas de frontières. Bon nombre d’intervenants présents lors du Congrès RFID de Marseille parlaient même d’Internet des Objets (IoT). Abus de langage ? Que Nenni ! vision prospective et débouchés commerciaux. Se retrouvent ainsi raccrochés les wagons des smart-meters, des appareils de télé-contrôle des feux de signalisation urbains, des biochips dans le secteur médical, des réfrigérateurs sous IPv6, des bus de commande, des capteurs et des actuateurs du secteur automobile, des périphériques d’authentification de personnes, des appareils liés à des réseaux domotiques et de divertissement audio-vidéo, des capteurs de température/pression/humidité, des systèmes industriels, des instruments de mesure…

On est bien parti pour que cette évolution logique des objets interrogeables par radio finisse par constituer une faune polymorphe innombrable, dont strictement personne ne pourra, ne saura déterminer ni le périmètre, ni la valeur des données communiquées entre différents systèmes, entre différentes architectures. L’Internet des Objets est en passe de ressembler à la chanson des Frères Jacques : Il y a un machin et un truc. Quand on a l’bout qui a le truc, Faut trouver l’bout qui a l’machin, On tâte et on trouve des tas d’trucs, Mais on ne trouve jamais l’machin. Autrement dit, il est toujours possible de savoir où se trouve l’objet de l’Internet (puisqu’il se trouve à portée radio), mais connaître avec précision les frontières du machin, sur combien de niveaux de profondeur, sur combien de réseaux et vers quels serveurs transitent et échouent les données captées, mystère.

A l’exception peut-être de systèmes tels que Shodan et certainement des robots et automates estampillés Google, Apple ou Microsoft. A peine sortie d’une phase de normalisation et de sécurisation, voilà que le RFID s’engage vers une nouvelle course à la technologie débridée, et risque fort de commettre à nouveau les mêmes erreurs… en plus grand encore. Le magazine en ligne Stuffi offrait en début de semaine à ses lecteurs un florilège de hacks IoT. Le compteur qui coupe le courant, l’ampoule connectée qui espionne ou le « bébé-phone » et le téléviseur piratés par des imprécateurs au vocabulaire rabelaisien ne sont que les premiers signes d’une nouvelle forme d’attaques seulement subversives aujourd’hui, qui se transformeront rapidement en razzias d’informations personnelles pour le compte de mafias Russo-sino-mafieuses.

Face à une telle perspective, il est évident que le Centre de National de Référence du CNRFID a un rôle à jouer. Tant sur le plan de la normalisation des solutions (normalisation qui assurerait une traçabilité des informations stockées et véhiculées) que sous l’angle sécurité. Un problème totalement négligé jusqu’à présent, si l’on excepte les efforts, nécessairement parcellaires, des constructeurs eux-mêmes. Or, en matière de sécurité appliquée aux réseaux de communication, les points de faiblesse sont rarement là où on les cherche (généralement au niveau de chaque maillon) mais sur les passerelles, les points de jonctions, là où une rupture ou traduction de protocole constitue une voie d’eau potentielle, là où se commettent ce que les anglophones appellent les « implementation errors ». Sans une instance capable de donner un avis impartial sur la fiabilité d’une chaîne complète mettant en œuvre des RFID (autrement dit que le CNRFID se dote d’un laboratoire d’analyse totalement neutre et indépendant des fabricants et intégrateurs), l’internet des objets se transformera en un fantastique terrain de jeu pour blackhats.

16 bouchons, certains d’entre eux résolvant jusqu’à 17 vulnérabilités d’un coup, concernant pratiquement toutes les facettes de Windows. C’est un véritable défilé du 11 novembre, que ce mardi des rustines. Comme de bien entendu, la vieille garde des trous Internet Explorer ouvre la marche, avec, précisément, ses 17 blessures de guerre dont un contournement du bastion ASLR suivit d’une élévation de privilège donnant à chaque soldat-hacker son bâton de Maréchal-Système pour peu qu’il sache comment l’utiliser. Egalement de la revue, la faille OLE, un vieux briscard qui fit les honneurs de l’attaque très médiatique Sandworm, désormais consolidée par une jambe de bois immatriculée MS14-064. Mais ce n’est pas tout. Le serveur de première classe IIS en prend pour son grade, .Net en réchappe de peu, tandis que RDP a été à deux doigts de faire passer l’ennemi, TCP/IP confondait les privilèges de sergent et de lieutenant-colonel, idem pour les o services audi. « Dites 33 » demande le médecin-chef qui supervise le Conseil de Révision logiciel. Un chiffre qui fait tousser, puisqu’il s’agit du nombre total de CVE colmatés en ce jour de commémoration d’Armistice. Au passage, 14 autres anciens correctifs Microsoft se sont vus relever de leurs positions par de nouvelles rustines-recrues qui assurent désormais la relève. Fermez le ban

Ouvrez le ban. Emet version 5.1 corrige quelques bugs exploitables et méthodes de contournement (dont une figurant dans la panoplie Kali Linux) affectant la précédente édition. Roulement de tambour et changement d’éditeur.

Sous l’étendard Adobe, à peine une escouade de 18 CVE visant Flash Player (proche cousin d’I.E. en matière de régularité dans la vulnérabilité et AIR, versions Windows, OSX et Linux.

Et les tambours virtuels d’entonner « Aux Morts ». Dulce et decorum est pro informatica mori.