6 août 2013
2
06
/08
/août
/2013
10:10
==============================================================================================================================================
Cette semaine, c'est la chute de confiance globale.
Internet et plus globalement les progrès de l'informatique promettaient à une époque :
- des solutions de (géo)localisation fiables
- de l'électronique embarquée pour notre sécurité
- un réseau interconnecté a priori de confiance
- un espace de sécurité via des mécanismes cryptographiques
- des protections contre les menaces grâces aux différents anti-malware disponibles
- de la publicité inoffensive en théorie
- un espace de liberté
On pouvait alors se dire que la sécurisation physique des éléments (PC, serveurs, etc....) assurait déjà un bon niveau. Le reste étant porté par le réseau de transport et les applicatifs.
Mais voilà, plus on étudie ce monde et plus il y a des problèmes sérieux sur ce réseau de transport et plus il existe des outils pour exploiter les failles applicatives qui semblent de plus en plus nombreuses. De là à blâmer les développeurs, il n'y a qu'un pas que je ne franchirai pas étant donné mes capacités (plus que faibles) de développement :-(
Fail#1 : GPS
Avant pour détourner un bateau, il fallait l'obliger par la force. En effet, on ne disposait pas de tous les instruments de bords actuels, et on s'en sortait finalement pas si mal. On avait le temps de voir un attaquant et de changer de cap.
Mais là, il a été démontré qu'une transmission erronée du signal GPS peut amener à rediriger un navire là où l'on souhaite l'emmener. Et là cela fait peur.
On parle certes d'attaques isolées, mais n'oublions pas que le GPS est à la main d'un seul État (ou 50 plutôt ;-)). De même, les systèmes alternatifs sont aussi gérés par des États (Galiléo)
Fail#2 : Diagnostic électronique
Avant pour voler une voiture, il fallait un peu de doigté et des connaissances en électricité. Maintenant, il faut des connaissances en informatique et un simple PC.
Il est techniquement possible de se servir du diagnostic électronique pour pénétrer une voiture. On rend le hack plus cher...... mais plus simple et industrialisable.
Fail#3 : Les opérateurs et acteurs de l'Internet neutres
Plus on creuse et plus on voit que les opérateurs disposent de solutions d'écoutes qu'ils fournissent aux services secrets internes (ou externes) sur demande légitime (ou pas)
La preuve a été apportées aux USA et aux UK, les autres pays ont les mêmes dispositifs, soyez en certains.
Fail#3 bis : Des cartes SIM reprogrammables à distances utilisant un chiffrement en DES...
Fail#4 : Les mécanismes cryptographiques fiables
Avec les révélations faites sur les demandes des services secrets de disposer des clés privées, les problèmes de Masterkey sous android, les attaques régulières sur SSL (avec BREACH cette semaine) et les vols de certificats ou les attaques au sein des autorités de certifications, il y a de quoi se poser des questions.
Fail#5 : les mécanismes de protections fiables
Il a été démontré à la dernière Blackhat la possibilité de TOUJOURS pouvoir sortir d'une sandbox.
Quand Google jure par ce mécanisme pour la sécurité de Chrome.
Mais Google prend soin de notre sécurité en amenant SELinux sur Android. Pour ceux qui n'ont pas suivi, SELinux, c'est la version hautement sécurisée développée par la NSA.
Pour ceux qui n'ont pas suivi, la NSA, c'est l'organisme de renseignement américain qui nous surveille tous (cf PRISM). Pour ceux qui sont paranoïaques, il y a des questions à se poser.
Pour les autres, vivez tranquilles, libres et insouciants, "ON" s'occupe de tout.
Fail#6 : La publicité inoffensive
Comme expliqué à la Blackhat, l'insertion de publicité agrémentées de code javascript peut permettre de mettre en place de jolis botnets.
Désolé, mon blog possède des publicités, je vais voir si je peux m'en débarasser, mais c'était dans l'espoir qu'un jour des milliards de personnes suivent mon blog et que je gagne un peu de sous avec. Je suis bassement humain.
Fail#7 : Un espace de liberté
Avec les différentes affaires type PRISM, on voit bien que tout ce que nous faisons sur Internet pourra être retenu contre nous.
Le dernier exemple en date, s'il est vrai, est légèrement flippant avec cette double recherche sur Internet qui débouche en descente de police.
Au final, cela donne bien envie de suivre les conseils de ToR : n'utiliser plus Windows et désactiver javascript. Oui mais voilà, sans javascript, le monde Internet est assez près de ressembler à un Minitel. Heureusement, il y a tout de même quelques espoirs mêmes s'il risquent de s'éroder assez vite.
Hope#1 :
Un logiciel pour lutter contre les malwares et profitant des capacités partage liées à Internet....très probablement utilisé par les créateurs de malwares comme c'est déjà le cas avec https://www.virustotal.com/
Hope#2 :
Des solutions d'optimisation de TCP pour accélérer les débits et éviter les congestions....qui permettra une propagation plus rapide des malwares.
Hope#3 :
Un logiciel d'obfuscation pour interdire le Reverse Engineering....qui sera sûrement utilisé pour créer des malwares non analysables.
Hope#4 :
L'association Mozilla/Blackberry pour créer un fuzzer d'application...qui sera sûrement utilisé par les créateurs de malwares.
Hope#5 :
Le développement régulier d'applications de sécurité Open Source comme Crypton et Tortilla.....mais qui peuvent être analysées par les Etats "à l'écoute" et utilisées par les créateurs de malwares.
Bonne lecture.
Tristan
PS : Petite pensée pour Barnaby Jack....
==============================================================================================================================================
A LIRE SECURITE
---------------
Good cyber security starts at board level, not IT
http://news.hitb.org/content/good-cyber-security-starts-board-level-not-it
http://www.theguardian.com/media-network/media-network-blog/2013/jul/25/cyber-security-board-level-information-technology
CrowdSource Tool Aims to Improve Automated Malware Analysis
http://threatpost.com/crowdsource-tool-aims-to-improve-automated-malware-analysis/101526
Des algorithmes pour optimiser TCP mis au point par le MIT
http://www.reseaux-telecoms.net/actualites/lire-des-algorithmes-pour-optimiser-tcp-mis-au-point-par-le-mit-26314.html
http://web.mit.edu/remy/
Sony et Panasonic annoncent une nouvelle génération de support de stockage
http://pro.01net.com/editorial/600723/sony-et-panasonic-annoncent-une-nouvelle-generation-de-support-de-stockage/
New Software Obfuscation Throws Wrench into Reverse Engineering
http://threatpost.com/new-software-obfuscation-throws-wrench-into-reverse-engineering/101531
http://eprint.iacr.org/2013/451.pdf
Les centres d’assistance technique ont besoin d’assistance
http://pro.01net.com/editorial/600755/les-centres-d-assistance-technique-ont-besoin-d-assistance/
Les cas non résolus de la sécurité
http://pro.01net.com/editorial/600867/les-cas-non-resolus-de-la-securite/
Un botnet garanti sur facture
http://pro.01net.com/editorial/600861/un-botnet-garanti-sur-facture/
Buy An Ad, Own a Browser Botnet
http://threatpost.com/buy-an-ad-own-a-browser-botnet/101550
Java est-il vraiment dangereux ?
http://pro.01net.com/editorial/600859/java-est-il-vraiment-dangereux/
Contournement de la sécurité par manipulation Ethernet
http://pro.01net.com/editorial/600865/contournement-de-la-securite-par-manipulation-ethernet/
Gestion de périphériques amovibles et cryptage sur les postes de travail de la Défense
http://www.reseaux-telecoms.net/actualites/lire-gestion-de-peripheriques-amovibles-et-cryptage-sur-les-postes-de-travail-de-la-defense-26309.html
DOSSIERS PRISM ENCORE ET CYBERCRIME
-----------------------------------
NSA : un nouveau programme secret révélé par Snowden
http://tempsreel.nouvelobs.com/monde/20130801.OBS1827/nsa-de-nouvelles-revelations-montrent-l-etendue-du-programme-de-surveillance-americain.html
Vous avez aimé Prism, vous allez adorer Xkeyscore !
http://www.01net.com/editorial/600821/vous-avez-aime-prism-vous-allez-adorer-xkeyscore/
Le document obligeant Verizon à fournir ses données à la NSA est déclassifié
http://www.01net.com/editorial/600823/le-document-obligeant-verizon-a-fournir-ses-donnees-a-la-nsa-est-declassifie/
La Russie accorde l'asile temporaire à Edward Snowden
http://www.01net.com/editorial/600827/la-russie-accorde-lasile-temporaire-a-edward-snowden/
Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net
http://www.01net.com/editorial/600625/chiffrement-sur-le-web-fbi-et-nsa-voulaient-obtenir-les-cles-ssl-de-geants-du-net/
Sept opérateurs télécoms livrent leurs réseaux aux services secrets britanniques
http://www.01net.com/editorial/600951/sept-operateurs-telecoms-livrent-leurs-reseaux-aux-services-secrets-britanniques/
Le cybercrime, « plus grand transfert de richesses de l’histoire de l’humanité » ?
http://magazine.qualys.fr/menaces-alertes/csis-etude-cybercrime-richesses/
Quand le cyber remet au goût du jour des pratiques issues de la Guerre Froide
http://magazine.qualys.fr/cyber-pouvoirs/cyber-guerre-froide-canada/
Pour l’ONU, on n’a encore rien vu en matière de cyberguerre
http://magazine.qualys.fr/cyber-pouvoirs/onu-cyberguerre/
Petite competition entre NSA et CIA ? :
Documents Reveal How the NSA Cracked the Kryptos Sculpture Years Before the CIA
http://news.hitb.org/content/documents-reveal-how-nsa-cracked-kryptos-sculpture-years-cia
R.I.P
-----
Famed hacker Barnaby Jack passes away
http://news.hitb.org/content/famed-hacker-barnaby-jack-passes-away
INSOLITE
--------
La « banque du pape » ouvre un site Internet pour plus de transparence
http://www.01net.com/editorial/600791/la-banque-du-pape-ouvre-un-site-internet-pour-plus-de-transparence/
Confused photocopiers randomly rewriting scanned documents
http://news.hitb.org/content/confused-photocopiers-randomly-rewriting-scanned-documents
http://arstechnica.com/information-technology/2013/08/confused-photocopiers-randomly-rewriting-scanned-documents/
UN PETIT GESTE POUR LA PLANETE
------------------------------
Colbert 2.0, le logiciel en ligne d’aide à la relocalisation, dévoilé par Arnaud Montebourg
http://pro.01net.com/editorial/600393/colbert-2-0-le-logiciel-en-ligne-d-aide-a-la-relocalisation-devoile-par-arnaud-montebourg/
FACEBOOK AND SOCIAL NETWORKS
----------------------------
A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS : BLACKHAT 2013
-------------------------------------------------
Black Hat 2013 : à quoi s’attendre ?
http://magazine.qualys.fr/menaces-alertes/black-hat-2013/
Les incroyables conseils de la Black Hat aux journalistes
http://magazine.qualys.fr/menaces-alertes/black-hat-journalistes/
The Final Sandbox #fail?
http://blogs.bromium.com/2013/07/27/the-final-sandbox-fail/
Long-Range RFID Hacking Tool to be Released at Black Hat
http://threatpost.com/long-range-rfid-hacking-tool-to-be-released-at-black-hat/101448
La NSA s’explique à la conférence BlackHat
http://pro.01net.com/editorial/600857/la-nsa-s-explique-a-la-conference-blackhat/
NSA Director Defends Surveillance Activities During Tense Black Hat Keynote
http://threatpost.com/nsa-director-defends-surveillance-activities-during-tense-black-hat-keynote/101541
VIDEO: Gen. Keith Alexander at Black Hat
http://threatpost.com/video-gen-keith-alexander-at-black-hat/101569
Researchers reveal malicious charger attack affecting iOS devices
http://news.hitb.org/content/researchers-reveal-malicious-charger-attack-affecting-ios-devices
Apple to Fix ‘Fake USB Charger’ Flaw in iOS 7
http://threatpost.com/apple-to-fix-fake-usb-charger-flaw-in-ios-7/101554
ExploitHub and Rift Recon Announce Global Strategic Partnership
http://news.hitb.org/content/exploithub-and-rift-recon-announce-global-strategic-partnership
JavaScript and Timing Attacks Used to Steal Browser Data
http://threatpost.com/javascript-and-timing-attacks-used-to-steal-browser-data/101559
Black Hat / Def Con 2013
http://www.zataz.com/news/23011/black-hat_-defcon-2013.html
PRODUITS
--------
Bitdefender Safepay offers secure browsing for online banking, shopping
http://www.networkworld.com/news/2013/072613-bitdefender-safepay-offers-secure-browsing-272261.html
Motorola Moto X : le smartphone personnalisable made in USA
http://www.01net.com/editorial/600855/motorola-moto-x/
Motorola Moto X : ses qualités, ses handicaps... et ses erreurs
http://www.01net.com/editorial/600879/motorola-moto-x-ses-qualites-ses-handicaps-et-ses-erreurs/
Motorola et Google lancent le Moto X [vidéo]
http://www.01net.com/editorial/600887/motorola-et-google-lancent-le-moto-x-video/
BON A SAVOIR
------------
Retour à la normale à la Banque postale [MAJ]
http://www.01net.com/editorial/600721/un-bug-informatique-paralyse-plusieurs-services-de-la-banque-postale/
BNP Paribas remet les prix de l’innovation 2013
http://pro.01net.com/editorial/600759/bnp-paribas-remet-les-prix-de-l-innovation-2013/
La Société Générale lance une appli pour les pros
http://pro.01net.com/editorial/600737/la-societe-generale-lance-une-appli-pour-les-pros/
Le paiement sans contact se généralisera aux Etats-Unis d’ici à la fin 2013
http://pro.01net.com/editorial/600813/le-paiement-sans-contact-se-generalisera-aux-etats-unis-d-ici-a-la-fin-2013/
SCIENCES
--------
CONSOMMATION
------------
RACHAT / UNION
--------------
Sourcefire racheté par Cisco 2,7 milliards de dollars
http://www.reseaux-telecoms.net/actualites/lire-sourcefire-rachete-par-cisco-2-7-milliards-de-dollars-26324.html
Mozilla, Blackberry Join Forces To Advance Peach Fuzzer
http://threatpost.com/mozilla-blackberry-join-forces-to-advance-peach-fuzzer/101534
Mozilla and Blackberry have announced a new collaboration project; the two companies will begin working in tandem to more fully flesh out Peach – a free software fuzzing application first developed nearly a decade ago – for testing the security of web browsers.
Yahoo! investit dans la recherche sociale en rachetant Rockmelt
http://www.01net.com/editorial/600947/yahoo-investit-dans-la-recherche-sociale-en-rachetant-rockmelt/
Apple rachète un fabricant de puces Bluetooth miniatures
http://www.01net.com/editorial/600957/apple-rachete-un-fabricant-de-puces-bluetooth-miniatures/
DROIT
-----
Russie : deux ans et demi de camp pour une attaque informatique
http://www.01net.com/editorial/600775/russie-deux-ans-et-demi-de-camp-pour-une-attaque-informatique/
Les courriers personnels transférés sur un ordinateur professionnel ne sont pas privés
http://magazine.qualys.fr/conformite-organisation/droit-entreprise-courriers-personnels/
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Pierre Barnabé devient dg de Bull
http://www.reseaux-telecoms.net/actualites/lire-pierre-barnabe-devient-dg-de-bull-26333.html
Luc Bretones nouveau patron du Technocentre d'Orange
http://www.reseaux-telecoms.net/actualites/lire-luc-bretones-nouveau-patron-du-technocentre-d-orange-26302.html
L'évolution des moteurs de recherche sur Internet
http://www.les-infostrateges.com/actu/13071669/l-evolution-des-moteurs-de-recherche-sur-internet
http://urfist.enc.sorbonne.fr/ressources/recherche-documentaire/evolutions-des-moteurs-de-recherche-sur-internet
http://www.mindmeister.com/fr/303736261/evolution-des-moteurs-de-recherche
La sécurité, dernier souci des start-up
http://magazine.qualys.fr/marche-business/securite-startup/
Les nouveaux usages inquiètent les RSSI
http://www.reseaux-telecoms.net/actualites/lire-les-nouveaux-usages-inquietent-les-rssi-26328.html
CARRIERE
--------
MICROSOFT
---------
GOOGLE
------
Comment Google fait disparaître les résultats de recherche
http://standblog.org/blog/post/2013/07/27/Comment-Google-fait-disparaitre-les-resultats-de-recherche
Intégration de SELinux dans la nouvelle version d'Android
http://www.secuobs.com/news/31072013-selinux_google_android.shtml
Google se lance dans le comparateur d’assurance
http://www.01net.com/editorial/600777/google-se-lance-dans-le-comparateur-d-assurance/
Google Helpouts : suivre des cours vidéo d’internautes en direct
http://www.01net.com/editorial/600685/google-helpouts-suivre-des-cours-video-d-internautes-en-direct/
Google travaille sur la traduction instantanée de mobile à mobile
http://www.01net.com/editorial/600663/google-travaille-sur-la-traduction-instantanee-de-mobile-a-mobile/
Google Bolsters Security, Updates Encryption on Certificates
http://threatpost.com/google-bolsters-security-updates-encryption-on-certificates/101538
APPLE / IPHONE
--------------
PALM / PRE
----------
FREE
----
GEEK POWER
----------
$200 3D printed bot tries to crack phone PIN
http://www.adafruit.com/blog/2013/07/26/200-3d-printed-bot-tries-to-crack-phone-pin/
LIBRE / OPEN SOURCE
-------------------
Ubuntu fait appel au crowdfounding pour lancer Edge, son smartphone haut de gamme
http://www.01net.com/editorial/600519/ubuntu-fait-appel-au-crowdfounding-pour-lancer-edge-son-smartphone-haut-de-gamme/
TOR Project: Stop using Windows, disable JavaScript
http://news.hitb.org/content/tor-project-stop-using-windows-disable-javascript
http://www.pcworld.com/article/2046013/tor-project-stop-using-windows-disable-javascript.html
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Pourquoi ne jamais utiliser une messagerie personnelle
15.000 dollars transféré grâce à un email piraté
http://www.zataz.com/news/22985/double--identification--google--gmail--piratage--banque.html
Cinq pirates inculpés pour avoir piraté 160 millions de CB
http://www.zataz.com/news/23003/Cinq-pirates-inculpes-pour-avoir-pirat%C3%A9-160-millions-de-CB--carrefour.html
Pourquoi il faut toujours être "vigilant". Je n'aime pas le terme paranoïaque.
Piratage interne chez OVH
http://www.zataz.com/news/22994/ovh_-piratage_-interne.html
Car hackers 'drive' car with laptop
http://www.topix.net/tech/computer-security/2013/07/car-hackers-drive-car-with-laptop
http://www.bbc.co.uk/news/technology-23443215
Car hackers use laptop to control standard car
http://www.bbc.co.uk/news/technology-23443215
Dossier auto (2/4) : L’automobile à l’épreuve des cyber-voleurs
http://www.01net.com/editorial/600735/dossier-auto-2-4-l-automobile-a-l-epreuve-des-cyber-voleurs/
Des étudiants en science détournent un yacht grâce à son système GPS
http://www.01net.com/editorial/600769/des-etudiants-en-science-detournent-un-yacht-grace-a-son-systeme-gps/
Le piratage des signaux GPS : une menace sous-estimée
http://magazine.qualys.fr/menaces-alertes/piratage-gps-spoofing/
SSL décrypté en 30 secondes
http://pro.01net.com/editorial/600869/ssl-decrypte-en-30-secondes/
http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/
BREACH Compression Attack Steals HTTPS Secrets in Under 30 Seconds
http://threatpost.com/breach-compression-attack-steals-https-secrets-in-under-30-seconds/101579
FAILLES
-------
Patch Available for DoS Vulnerability in BIND Nameservers
http://threatpost.com/patch-available-for-dos-vulnerability-in-bind-nameservers/101523
Des portes dérobées non documentées sur certains produits Hewlett Packard
http://www.secuobs.com/news/1772013-backdoor_hewlett_packard.shtml
Deuxième faille dans l'authentification des applications Android
http://www.reseaux-telecoms.net/actualites/lire-deuxieme-faille-dans-l-authentification-des-applications-android-26279.html
Une faille touche 10% des cartes SIM dans le monde
http://www.reseaux-telecoms.net/actualites/lire-une-faille-touche-10-des-cartes-sim-dans-le-monde-26313.html
Carriers close SIM security hole by hacking into their own SIMs
http://news.hitb.org/content/carriers-close-sim-security-hole-hacking-their-own-sims
http://www.examiner.com/article/carriers-close-sim-vulnerability-by-hacking-into-their-own-sims
OUTILS
------
Crypton, une solution Open Source démocratisant le chiffrement applicatif
http://www.secuobs.com/news/31072013-crypton_crypto_open_source.shtml
Tortilla : un anonymiseur pour chercheurs en sécurité étudiant les malwares
http://www.reseaux-telecoms.net/actualites/lire-tortilla-un-anonymiseur-pour-chercheurs-en-securite-etudiant-les-malwares-26299.html
------------
01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml
Cette semaine, c'est la chute de confiance globale.
Internet et plus globalement les progrès de l'informatique promettaient à une époque :
- des solutions de (géo)localisation fiables
- de l'électronique embarquée pour notre sécurité
- un réseau interconnecté a priori de confiance
- un espace de sécurité via des mécanismes cryptographiques
- des protections contre les menaces grâces aux différents anti-malware disponibles
- de la publicité inoffensive en théorie
- un espace de liberté
On pouvait alors se dire que la sécurisation physique des éléments (PC, serveurs, etc....) assurait déjà un bon niveau. Le reste étant porté par le réseau de transport et les applicatifs.
Mais voilà, plus on étudie ce monde et plus il y a des problèmes sérieux sur ce réseau de transport et plus il existe des outils pour exploiter les failles applicatives qui semblent de plus en plus nombreuses. De là à blâmer les développeurs, il n'y a qu'un pas que je ne franchirai pas étant donné mes capacités (plus que faibles) de développement :-(
Fail#1 : GPS
Avant pour détourner un bateau, il fallait l'obliger par la force. En effet, on ne disposait pas de tous les instruments de bords actuels, et on s'en sortait finalement pas si mal. On avait le temps de voir un attaquant et de changer de cap.
Mais là, il a été démontré qu'une transmission erronée du signal GPS peut amener à rediriger un navire là où l'on souhaite l'emmener. Et là cela fait peur.
On parle certes d'attaques isolées, mais n'oublions pas que le GPS est à la main d'un seul État (ou 50 plutôt ;-)). De même, les systèmes alternatifs sont aussi gérés par des États (Galiléo)
Fail#2 : Diagnostic électronique
Avant pour voler une voiture, il fallait un peu de doigté et des connaissances en électricité. Maintenant, il faut des connaissances en informatique et un simple PC.
Il est techniquement possible de se servir du diagnostic électronique pour pénétrer une voiture. On rend le hack plus cher...... mais plus simple et industrialisable.
Fail#3 : Les opérateurs et acteurs de l'Internet neutres
Plus on creuse et plus on voit que les opérateurs disposent de solutions d'écoutes qu'ils fournissent aux services secrets internes (ou externes) sur demande légitime (ou pas)
La preuve a été apportées aux USA et aux UK, les autres pays ont les mêmes dispositifs, soyez en certains.
Fail#3 bis : Des cartes SIM reprogrammables à distances utilisant un chiffrement en DES...
Fail#4 : Les mécanismes cryptographiques fiables
Avec les révélations faites sur les demandes des services secrets de disposer des clés privées, les problèmes de Masterkey sous android, les attaques régulières sur SSL (avec BREACH cette semaine) et les vols de certificats ou les attaques au sein des autorités de certifications, il y a de quoi se poser des questions.
Fail#5 : les mécanismes de protections fiables
Il a été démontré à la dernière Blackhat la possibilité de TOUJOURS pouvoir sortir d'une sandbox.
Quand Google jure par ce mécanisme pour la sécurité de Chrome.
Mais Google prend soin de notre sécurité en amenant SELinux sur Android. Pour ceux qui n'ont pas suivi, SELinux, c'est la version hautement sécurisée développée par la NSA.
Pour ceux qui n'ont pas suivi, la NSA, c'est l'organisme de renseignement américain qui nous surveille tous (cf PRISM). Pour ceux qui sont paranoïaques, il y a des questions à se poser.
Pour les autres, vivez tranquilles, libres et insouciants, "ON" s'occupe de tout.
Fail#6 : La publicité inoffensive
Comme expliqué à la Blackhat, l'insertion de publicité agrémentées de code javascript peut permettre de mettre en place de jolis botnets.
Désolé, mon blog possède des publicités, je vais voir si je peux m'en débarasser, mais c'était dans l'espoir qu'un jour des milliards de personnes suivent mon blog et que je gagne un peu de sous avec. Je suis bassement humain.
Fail#7 : Un espace de liberté
Avec les différentes affaires type PRISM, on voit bien que tout ce que nous faisons sur Internet pourra être retenu contre nous.
Le dernier exemple en date, s'il est vrai, est légèrement flippant avec cette double recherche sur Internet qui débouche en descente de police.
Au final, cela donne bien envie de suivre les conseils de ToR : n'utiliser plus Windows et désactiver javascript. Oui mais voilà, sans javascript, le monde Internet est assez près de ressembler à un Minitel. Heureusement, il y a tout de même quelques espoirs mêmes s'il risquent de s'éroder assez vite.
Hope#1 :
Un logiciel pour lutter contre les malwares et profitant des capacités partage liées à Internet....très probablement utilisé par les créateurs de malwares comme c'est déjà le cas avec https://www.virustotal.com/
Hope#2 :
Des solutions d'optimisation de TCP pour accélérer les débits et éviter les congestions....qui permettra une propagation plus rapide des malwares.
Hope#3 :
Un logiciel d'obfuscation pour interdire le Reverse Engineering....qui sera sûrement utilisé pour créer des malwares non analysables.
Hope#4 :
L'association Mozilla/Blackberry pour créer un fuzzer d'application...qui sera sûrement utilisé par les créateurs de malwares.
Hope#5 :
Le développement régulier d'applications de sécurité Open Source comme Crypton et Tortilla.....mais qui peuvent être analysées par les Etats "à l'écoute" et utilisées par les créateurs de malwares.
Bonne lecture.
Tristan
PS : Petite pensée pour Barnaby Jack....
==============================================================================================================================================
A LIRE SECURITE
---------------
Good cyber security starts at board level, not IT
http://news.hitb.org/content/good-cyber-security-starts-board-level-not-it
http://www.theguardian.com/media-network/media-network-blog/2013/jul/25/cyber-security-board-level-information-technology
CrowdSource Tool Aims to Improve Automated Malware Analysis
http://threatpost.com/crowdsource-tool-aims-to-improve-automated-malware-analysis/101526
Des algorithmes pour optimiser TCP mis au point par le MIT
http://www.reseaux-telecoms.net/actualites/lire-des-algorithmes-pour-optimiser-tcp-mis-au-point-par-le-mit-26314.html
http://web.mit.edu/remy/
Sony et Panasonic annoncent une nouvelle génération de support de stockage
http://pro.01net.com/editorial/600723/sony-et-panasonic-annoncent-une-nouvelle-generation-de-support-de-stockage/
New Software Obfuscation Throws Wrench into Reverse Engineering
http://threatpost.com/new-software-obfuscation-throws-wrench-into-reverse-engineering/101531
http://eprint.iacr.org/2013/451.pdf
Les centres d’assistance technique ont besoin d’assistance
http://pro.01net.com/editorial/600755/les-centres-d-assistance-technique-ont-besoin-d-assistance/
Les cas non résolus de la sécurité
http://pro.01net.com/editorial/600867/les-cas-non-resolus-de-la-securite/
Un botnet garanti sur facture
http://pro.01net.com/editorial/600861/un-botnet-garanti-sur-facture/
Buy An Ad, Own a Browser Botnet
http://threatpost.com/buy-an-ad-own-a-browser-botnet/101550
Java est-il vraiment dangereux ?
http://pro.01net.com/editorial/600859/java-est-il-vraiment-dangereux/
Contournement de la sécurité par manipulation Ethernet
http://pro.01net.com/editorial/600865/contournement-de-la-securite-par-manipulation-ethernet/
Gestion de périphériques amovibles et cryptage sur les postes de travail de la Défense
http://www.reseaux-telecoms.net/actualites/lire-gestion-de-peripheriques-amovibles-et-cryptage-sur-les-postes-de-travail-de-la-defense-26309.html
DOSSIERS PRISM ENCORE ET CYBERCRIME
-----------------------------------
NSA : un nouveau programme secret révélé par Snowden
http://tempsreel.nouvelobs.com/monde/20130801.OBS1827/nsa-de-nouvelles-revelations-montrent-l-etendue-du-programme-de-surveillance-americain.html
Vous avez aimé Prism, vous allez adorer Xkeyscore !
http://www.01net.com/editorial/600821/vous-avez-aime-prism-vous-allez-adorer-xkeyscore/
Le document obligeant Verizon à fournir ses données à la NSA est déclassifié
http://www.01net.com/editorial/600823/le-document-obligeant-verizon-a-fournir-ses-donnees-a-la-nsa-est-declassifie/
La Russie accorde l'asile temporaire à Edward Snowden
http://www.01net.com/editorial/600827/la-russie-accorde-lasile-temporaire-a-edward-snowden/
Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net
http://www.01net.com/editorial/600625/chiffrement-sur-le-web-fbi-et-nsa-voulaient-obtenir-les-cles-ssl-de-geants-du-net/
Sept opérateurs télécoms livrent leurs réseaux aux services secrets britanniques
http://www.01net.com/editorial/600951/sept-operateurs-telecoms-livrent-leurs-reseaux-aux-services-secrets-britanniques/
Le cybercrime, « plus grand transfert de richesses de l’histoire de l’humanité » ?
http://magazine.qualys.fr/menaces-alertes/csis-etude-cybercrime-richesses/
Quand le cyber remet au goût du jour des pratiques issues de la Guerre Froide
http://magazine.qualys.fr/cyber-pouvoirs/cyber-guerre-froide-canada/
Pour l’ONU, on n’a encore rien vu en matière de cyberguerre
http://magazine.qualys.fr/cyber-pouvoirs/onu-cyberguerre/
Petite competition entre NSA et CIA ? :
Documents Reveal How the NSA Cracked the Kryptos Sculpture Years Before the CIA
http://news.hitb.org/content/documents-reveal-how-nsa-cracked-kryptos-sculpture-years-cia
R.I.P
-----
Famed hacker Barnaby Jack passes away
http://news.hitb.org/content/famed-hacker-barnaby-jack-passes-away
INSOLITE
--------
La « banque du pape » ouvre un site Internet pour plus de transparence
http://www.01net.com/editorial/600791/la-banque-du-pape-ouvre-un-site-internet-pour-plus-de-transparence/
Confused photocopiers randomly rewriting scanned documents
http://news.hitb.org/content/confused-photocopiers-randomly-rewriting-scanned-documents
http://arstechnica.com/information-technology/2013/08/confused-photocopiers-randomly-rewriting-scanned-documents/
UN PETIT GESTE POUR LA PLANETE
------------------------------
Colbert 2.0, le logiciel en ligne d’aide à la relocalisation, dévoilé par Arnaud Montebourg
http://pro.01net.com/editorial/600393/colbert-2-0-le-logiciel-en-ligne-d-aide-a-la-relocalisation-devoile-par-arnaud-montebourg/
FACEBOOK AND SOCIAL NETWORKS
----------------------------
A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS : BLACKHAT 2013
-------------------------------------------------
Black Hat 2013 : à quoi s’attendre ?
http://magazine.qualys.fr/menaces-alertes/black-hat-2013/
Les incroyables conseils de la Black Hat aux journalistes
http://magazine.qualys.fr/menaces-alertes/black-hat-journalistes/
The Final Sandbox #fail?
http://blogs.bromium.com/2013/07/27/the-final-sandbox-fail/
Long-Range RFID Hacking Tool to be Released at Black Hat
http://threatpost.com/long-range-rfid-hacking-tool-to-be-released-at-black-hat/101448
La NSA s’explique à la conférence BlackHat
http://pro.01net.com/editorial/600857/la-nsa-s-explique-a-la-conference-blackhat/
NSA Director Defends Surveillance Activities During Tense Black Hat Keynote
http://threatpost.com/nsa-director-defends-surveillance-activities-during-tense-black-hat-keynote/101541
VIDEO: Gen. Keith Alexander at Black Hat
http://threatpost.com/video-gen-keith-alexander-at-black-hat/101569
Researchers reveal malicious charger attack affecting iOS devices
http://news.hitb.org/content/researchers-reveal-malicious-charger-attack-affecting-ios-devices
Apple to Fix ‘Fake USB Charger’ Flaw in iOS 7
http://threatpost.com/apple-to-fix-fake-usb-charger-flaw-in-ios-7/101554
ExploitHub and Rift Recon Announce Global Strategic Partnership
http://news.hitb.org/content/exploithub-and-rift-recon-announce-global-strategic-partnership
JavaScript and Timing Attacks Used to Steal Browser Data
http://threatpost.com/javascript-and-timing-attacks-used-to-steal-browser-data/101559
Black Hat / Def Con 2013
http://www.zataz.com/news/23011/black-hat_-defcon-2013.html
PRODUITS
--------
Bitdefender Safepay offers secure browsing for online banking, shopping
http://www.networkworld.com/news/2013/072613-bitdefender-safepay-offers-secure-browsing-272261.html
Motorola Moto X : le smartphone personnalisable made in USA
http://www.01net.com/editorial/600855/motorola-moto-x/
Motorola Moto X : ses qualités, ses handicaps... et ses erreurs
http://www.01net.com/editorial/600879/motorola-moto-x-ses-qualites-ses-handicaps-et-ses-erreurs/
Motorola et Google lancent le Moto X [vidéo]
http://www.01net.com/editorial/600887/motorola-et-google-lancent-le-moto-x-video/
BON A SAVOIR
------------
Retour à la normale à la Banque postale [MAJ]
http://www.01net.com/editorial/600721/un-bug-informatique-paralyse-plusieurs-services-de-la-banque-postale/
BNP Paribas remet les prix de l’innovation 2013
http://pro.01net.com/editorial/600759/bnp-paribas-remet-les-prix-de-l-innovation-2013/
La Société Générale lance une appli pour les pros
http://pro.01net.com/editorial/600737/la-societe-generale-lance-une-appli-pour-les-pros/
Le paiement sans contact se généralisera aux Etats-Unis d’ici à la fin 2013
http://pro.01net.com/editorial/600813/le-paiement-sans-contact-se-generalisera-aux-etats-unis-d-ici-a-la-fin-2013/
SCIENCES
--------
CONSOMMATION
------------
RACHAT / UNION
--------------
Sourcefire racheté par Cisco 2,7 milliards de dollars
http://www.reseaux-telecoms.net/actualites/lire-sourcefire-rachete-par-cisco-2-7-milliards-de-dollars-26324.html
Mozilla, Blackberry Join Forces To Advance Peach Fuzzer
http://threatpost.com/mozilla-blackberry-join-forces-to-advance-peach-fuzzer/101534
Mozilla and Blackberry have announced a new collaboration project; the two companies will begin working in tandem to more fully flesh out Peach – a free software fuzzing application first developed nearly a decade ago – for testing the security of web browsers.
Yahoo! investit dans la recherche sociale en rachetant Rockmelt
http://www.01net.com/editorial/600947/yahoo-investit-dans-la-recherche-sociale-en-rachetant-rockmelt/
Apple rachète un fabricant de puces Bluetooth miniatures
http://www.01net.com/editorial/600957/apple-rachete-un-fabricant-de-puces-bluetooth-miniatures/
DROIT
-----
Russie : deux ans et demi de camp pour une attaque informatique
http://www.01net.com/editorial/600775/russie-deux-ans-et-demi-de-camp-pour-une-attaque-informatique/
Les courriers personnels transférés sur un ordinateur professionnel ne sont pas privés
http://magazine.qualys.fr/conformite-organisation/droit-entreprise-courriers-personnels/
MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Pierre Barnabé devient dg de Bull
http://www.reseaux-telecoms.net/actualites/lire-pierre-barnabe-devient-dg-de-bull-26333.html
Luc Bretones nouveau patron du Technocentre d'Orange
http://www.reseaux-telecoms.net/actualites/lire-luc-bretones-nouveau-patron-du-technocentre-d-orange-26302.html
L'évolution des moteurs de recherche sur Internet
http://www.les-infostrateges.com/actu/13071669/l-evolution-des-moteurs-de-recherche-sur-internet
http://urfist.enc.sorbonne.fr/ressources/recherche-documentaire/evolutions-des-moteurs-de-recherche-sur-internet
http://www.mindmeister.com/fr/303736261/evolution-des-moteurs-de-recherche
La sécurité, dernier souci des start-up
http://magazine.qualys.fr/marche-business/securite-startup/
Les nouveaux usages inquiètent les RSSI
http://www.reseaux-telecoms.net/actualites/lire-les-nouveaux-usages-inquietent-les-rssi-26328.html
CARRIERE
--------
MICROSOFT
---------
------
Comment Google fait disparaître les résultats de recherche
http://standblog.org/blog/post/2013/07/27/Comment-Google-fait-disparaitre-les-resultats-de-recherche
Intégration de SELinux dans la nouvelle version d'Android
http://www.secuobs.com/news/31072013-selinux_google_android.shtml
Google se lance dans le comparateur d’assurance
http://www.01net.com/editorial/600777/google-se-lance-dans-le-comparateur-d-assurance/
Google Helpouts : suivre des cours vidéo d’internautes en direct
http://www.01net.com/editorial/600685/google-helpouts-suivre-des-cours-video-d-internautes-en-direct/
Google travaille sur la traduction instantanée de mobile à mobile
http://www.01net.com/editorial/600663/google-travaille-sur-la-traduction-instantanee-de-mobile-a-mobile/
Google Bolsters Security, Updates Encryption on Certificates
http://threatpost.com/google-bolsters-security-updates-encryption-on-certificates/101538
APPLE / IPHONE
--------------
PALM / PRE
----------
FREE
----
GEEK POWER
----------
$200 3D printed bot tries to crack phone PIN
http://www.adafruit.com/blog/2013/07/26/200-3d-printed-bot-tries-to-crack-phone-pin/
LIBRE / OPEN SOURCE
-------------------
Ubuntu fait appel au crowdfounding pour lancer Edge, son smartphone haut de gamme
http://www.01net.com/editorial/600519/ubuntu-fait-appel-au-crowdfounding-pour-lancer-edge-son-smartphone-haut-de-gamme/
TOR Project: Stop using Windows, disable JavaScript
http://news.hitb.org/content/tor-project-stop-using-windows-disable-javascript
http://www.pcworld.com/article/2046013/tor-project-stop-using-windows-disable-javascript.html
ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Pourquoi ne jamais utiliser une messagerie personnelle
15.000 dollars transféré grâce à un email piraté
http://www.zataz.com/news/22985/double--identification--google--gmail--piratage--banque.html
Cinq pirates inculpés pour avoir piraté 160 millions de CB
http://www.zataz.com/news/23003/Cinq-pirates-inculpes-pour-avoir-pirat%C3%A9-160-millions-de-CB--carrefour.html
Pourquoi il faut toujours être "vigilant". Je n'aime pas le terme paranoïaque.
Piratage interne chez OVH
http://www.zataz.com/news/22994/ovh_-piratage_-interne.html
Car hackers 'drive' car with laptop
http://www.topix.net/tech/computer-security/2013/07/car-hackers-drive-car-with-laptop
http://www.bbc.co.uk/news/technology-23443215
Car hackers use laptop to control standard car
http://www.bbc.co.uk/news/technology-23443215
Dossier auto (2/4) : L’automobile à l’épreuve des cyber-voleurs
http://www.01net.com/editorial/600735/dossier-auto-2-4-l-automobile-a-l-epreuve-des-cyber-voleurs/
Des étudiants en science détournent un yacht grâce à son système GPS
http://www.01net.com/editorial/600769/des-etudiants-en-science-detournent-un-yacht-grace-a-son-systeme-gps/
Le piratage des signaux GPS : une menace sous-estimée
http://magazine.qualys.fr/menaces-alertes/piratage-gps-spoofing/
SSL décrypté en 30 secondes
http://pro.01net.com/editorial/600869/ssl-decrypte-en-30-secondes/
http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/
BREACH Compression Attack Steals HTTPS Secrets in Under 30 Seconds
http://threatpost.com/breach-compression-attack-steals-https-secrets-in-under-30-seconds/101579
FAILLES
-------
Patch Available for DoS Vulnerability in BIND Nameservers
http://threatpost.com/patch-available-for-dos-vulnerability-in-bind-nameservers/101523
Des portes dérobées non documentées sur certains produits Hewlett Packard
http://www.secuobs.com/news/1772013-backdoor_hewlett_packard.shtml
Deuxième faille dans l'authentification des applications Android
http://www.reseaux-telecoms.net/actualites/lire-deuxieme-faille-dans-l-authentification-des-applications-android-26279.html
Une faille touche 10% des cartes SIM dans le monde
http://www.reseaux-telecoms.net/actualites/lire-une-faille-touche-10-des-cartes-sim-dans-le-monde-26313.html
Carriers close SIM security hole by hacking into their own SIMs
http://news.hitb.org/content/carriers-close-sim-security-hole-hacking-their-own-sims
http://www.examiner.com/article/carriers-close-sim-vulnerability-by-hacking-into-their-own-sims
OUTILS
------
Crypton, une solution Open Source démocratisant le chiffrement applicatif
http://www.secuobs.com/news/31072013-crypton_crypto_open_source.shtml
Tortilla : un anonymiseur pour chercheurs en sécurité étudiant les malwares
http://www.reseaux-telecoms.net/actualites/lire-tortilla-un-anonymiseur-pour-chercheurs-en-securite-etudiant-les-malwares-26299.html
------------
01net. Actualités || http://feediz.01net.com/synd/2203.xml
01net. Les actualites Entreprise || http://feediz.01net.com/synd/2205.xml
A Day in the Life of an Information Security Investigator || http://rss.ittoolbox.com/rss/security-investigator.xml
Actualités intrusion/hacking || http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss
Actualités Open Source || http://feeds.feedburner.com/idg_fr/rt2/open-source/rss
Actualités satellite || http://feeds.feedburner.com/idg_fr/rt2/satellite/rss
Black Hat Announcements || https://www.blackhat.com/BlackHatRSS.xml
Ciscomag || http://feeds.feedburner.com/ciscomag
Finjan MCRC Blog: Posts || http://www.finjan.com/MCRCblog_RSS_feed.aspx
Hack In The Box || http://www.hackinthebox.org/backend.php
Infosecurity Magazine || http://www.infosecurity-magazine.com/RSS/LiveFeed.xml
Latest Security Advisories || http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory
Le blog des experts || http://expert.01net.com/expert/feed/rss2
Ma petite parcelle d'Internet... || http://sid.rstack.org/blog/rss.php
McAfee Avert Labs || http://feeds.feedburner.com/McafeeAvertLabsBlog
Microsoft Security Bulletins || http://www.microsoft.com/technet/security/bulletin/secrss.aspx
OSVDB Most Recent Stable Entries || http://osvdb.org/backend/rss.php
Seb's guide || http://www.smtechnologie.com/backend.php
SecuriTeam.com || http://www.securiteam.com/securiteam.rss
SecurityFocus News || http://www.securityfocus.com/rss/news.xml
SecurityFocus Vulnerabilities || http://www.securityfocus.com/rss/vulnerabilities.xml
SecurityTracker Vulnerability Headlines || http://news.securitytracker.com/server/affiliate?61D319BD39309004
silicon.com : || http://feeds.silicon.com/0,39025093,40000024,00.htm
TaoSecurity || http://taosecurity.blogspot.com/atom.xml
TechNet Magazine RSS Feed || http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true
Toute l'actualité sécurité informatique || http://feeds.vulnerabilite.com/vuln-actu
Toutes les actualités || http://www.reseaux-telecoms.net/rss/rss.xml
ZATAZ News || http://feeds.feedburner.com/ZatazNews
(ISC)2 Blog || http://feeds.feedburner.com/isc2Blog
Following The white Rabbit Blog || http://feeds.feedburner.com/RafalLos
Sécurité des réseaux et des Si - Orange Business Services || http://blogs.orange-business.com/securite/atom.xml
Les-infostrateges.com : flux général || http://www.les-infostrateges.com/rss/cat/?num=1
moxie's blog | http://blog.thoughtcrime.org/rss.xml
Partager cet article
/fdata%2F3623501%2Favatar-blog-1141323782-tmpphp3EdOiO.jpeg){kind=avatar}