==============================================================================================================================================
Cette semaine, c'est la chute de confiance globale.
Internet et plus globalement les progrès de l'informatique promettaient à une époque :
- des solutions de (géo)localisation fiables
- de l'électronique embarquée pour notre sécurité
- un réseau interconnecté a priori de confiance
- un espace de sécurité via des mécanismes cryptographiques
- des protections contre les menaces grâces aux différents anti-malware disponibles
- de la publicité inoffensive en théorie
- un espace de liberté
On pouvait alors se dire que la sécurisation physique des éléments (PC, serveurs, etc....) assurait déjà un bon niveau. Le reste étant porté par le réseau de transport et les applicatifs.
Mais voilà, plus on étudie ce monde et plus il y a des problèmes sérieux sur ce réseau de transport et plus il existe des outils pour exploiter les failles applicatives qui semblent de plus en plus nombreuses. De là à blâmer les développeurs, il n'y a qu'un pas que je ne franchirai pas étant donné mes capacités (plus que faibles) de développement :-(
Fail#1 : GPS Avant pour détourner un bateau, il fallait l'obliger par la force. En effet, on ne disposait pas de tous les instruments de bords actuels, et on s'en sortait finalement pas si mal. On avait le temps de voir un attaquant et de changer de cap.
Mais là, il a été démontré qu'une transmission erronée du signal GPS peut amener à rediriger un navire là où l'on souhaite l'emmener. Et là cela fait peur.
On parle certes d'attaques isolées, mais n'oublions pas que le GPS est à la main d'un seul État (ou 50 plutôt ;-)). De même, les systèmes alternatifs sont aussi gérés par des États (Galiléo)
Fail#2 : Diagnostic électronique Avant pour voler une voiture, il fallait un peu de doigté et des connaissances en électricité. Maintenant, il faut des connaissances en informatique et un simple PC.
Il est techniquement possible de se servir du diagnostic électronique pour pénétrer une voiture. On rend le hack plus cher...... mais plus simple et industrialisable.
Fail#3 : Les opérateurs et acteurs de l'Internet neutres Plus on creuse et plus on voit que les opérateurs disposent de solutions d'écoutes qu'ils fournissent aux services secrets internes (ou externes) sur demande légitime (ou pas)
La preuve a été apportées aux USA et aux UK, les autres pays ont les mêmes dispositifs, soyez en certains.
Fail#3 bis : Des cartes SIM reprogrammables à distances utilisant un chiffrement en DES... Fail#4 : Les mécanismes cryptographiques fiables Avec les révélations faites sur les demandes des services secrets de disposer des clés privées, les problèmes de Masterkey sous android, les attaques régulières sur SSL (avec BREACH cette semaine) et les vols de certificats ou les attaques au sein des autorités de certifications, il y a de quoi se poser des questions.
Fail#5 : les mécanismes de protections fiables Il a été démontré à la dernière Blackhat la possibilité de TOUJOURS pouvoir sortir d'une sandbox.
Quand Google jure par ce mécanisme pour la sécurité de Chrome.
Mais Google prend soin de notre sécurité en amenant SELinux sur Android. Pour ceux qui n'ont pas suivi, SELinux, c'est la version hautement sécurisée développée par la NSA.
Pour ceux qui n'ont pas suivi, la NSA, c'est l'organisme de renseignement américain qui nous surveille tous (cf PRISM). Pour ceux qui sont paranoïaques, il y a des questions à se poser.
Pour les autres, vivez tranquilles, libres et insouciants, "ON" s'occupe de tout.
Fail#6 : La publicité inoffensive Comme expliqué à la Blackhat, l'insertion de publicité agrémentées de code javascript peut permettre de mettre en place de jolis botnets.
Désolé, mon blog possède des publicités, je vais voir si je peux m'en débarasser, mais c'était dans l'espoir qu'un jour des milliards de personnes suivent mon blog et que je gagne un peu de sous avec. Je suis bassement humain.
Fail#7 : Un espace de liberté Avec les différentes affaires type PRISM, on voit bien que tout ce que nous faisons sur Internet pourra être retenu contre nous.
Le dernier exemple en date, s'il est vrai, est légèrement flippant avec cette double recherche sur Internet qui débouche en descente de police.
Au final, cela donne bien envie de suivre les conseils de ToR : n'utiliser plus Windows et désactiver javascript. Oui mais voilà, sans javascript, le monde Internet est assez près de ressembler à un Minitel. Heureusement, il y a tout de même quelques espoirs mêmes s'il risquent de s'éroder assez vite.
Hope#1 : Un logiciel pour lutter contre les malwares et profitant des capacités partage liées à Internet....très probablement utilisé par les créateurs de malwares comme c'est déjà le cas avec
https://www.virustotal.com/ Hope#2 : Des solutions d'optimisation de TCP pour accélérer les débits et éviter les congestions....qui permettra une propagation plus rapide des malwares.
Hope#3 : Un logiciel d'obfuscation pour interdire le Reverse Engineering....qui sera sûrement utilisé pour créer des malwares non analysables.
Hope#4 : L'association Mozilla/Blackberry pour créer un fuzzer d'application...qui sera sûrement utilisé par les créateurs de malwares.
Hope#5 : Le développement régulier d'applications de sécurité Open Source comme Crypton et Tortilla.....mais qui peuvent être analysées par les Etats "à l'écoute" et utilisées par les créateurs de malwares.
Bonne lecture.
Tristan
PS : Petite pensée pour Barnaby Jack....
==============================================================================================================================================
A LIRE SECURITE
---------------
Good cyber security starts at board level, not IT
http://news.hitb.org/content/good-cyber-security-starts-board-level-not-it http://www.theguardian.com/media-network/media-network-blog/2013/jul/25/cyber-security-board-level-information-technology CrowdSource Tool Aims to Improve Automated Malware Analysis
http://threatpost.com/crowdsource-tool-aims-to-improve-automated-malware-analysis/101526 Des algorithmes pour optimiser TCP mis au point par le MIT
http://www.reseaux-telecoms.net/actualites/lire-des-algorithmes-pour-optimiser-tcp-mis-au-point-par-le-mit-26314.html http://web.mit.edu/remy/ Sony et Panasonic annoncent une nouvelle génération de support de stockage
http://pro.01net.com/editorial/600723/sony-et-panasonic-annoncent-une-nouvelle-generation-de-support-de-stockage/ New Software Obfuscation Throws Wrench into Reverse Engineering
http://threatpost.com/new-software-obfuscation-throws-wrench-into-reverse-engineering/101531 http://eprint.iacr.org/2013/451.pdf Les centres d’assistance technique ont besoin d’assistance
http://pro.01net.com/editorial/600755/les-centres-d-assistance-technique-ont-besoin-d-assistance/ Les cas non résolus de la sécurité
http://pro.01net.com/editorial/600867/les-cas-non-resolus-de-la-securite/ Un botnet garanti sur facture
http://pro.01net.com/editorial/600861/un-botnet-garanti-sur-facture/ Buy An Ad, Own a Browser Botnet
http://threatpost.com/buy-an-ad-own-a-browser-botnet/101550 Java est-il vraiment dangereux ?
http://pro.01net.com/editorial/600859/java-est-il-vraiment-dangereux/ Contournement de la sécurité par manipulation Ethernet
http://pro.01net.com/editorial/600865/contournement-de-la-securite-par-manipulation-ethernet/ Gestion de périphériques amovibles et cryptage sur les postes de travail de la Défense
http://www.reseaux-telecoms.net/actualites/lire-gestion-de-peripheriques-amovibles-et-cryptage-sur-les-postes-de-travail-de-la-defense-26309.html DOSSIERS PRISM ENCORE ET CYBERCRIME
-----------------------------------
NSA : un nouveau programme secret révélé par Snowden
http://tempsreel.nouvelobs.com/monde/20130801.OBS1827/nsa-de-nouvelles-revelations-montrent-l-etendue-du-programme-de-surveillance-americain.html Vous avez aimé Prism, vous allez adorer Xkeyscore !
http://www.01net.com/editorial/600821/vous-avez-aime-prism-vous-allez-adorer-xkeyscore/ Le document obligeant Verizon à fournir ses données à la NSA est déclassifié
http://www.01net.com/editorial/600823/le-document-obligeant-verizon-a-fournir-ses-donnees-a-la-nsa-est-declassifie/ La Russie accorde l'asile temporaire à Edward Snowden
http://www.01net.com/editorial/600827/la-russie-accorde-lasile-temporaire-a-edward-snowden/ Chiffrement sur le Web, FBI et NSA voulaient obtenir les clés SSL de géants du Net
http://www.01net.com/editorial/600625/chiffrement-sur-le-web-fbi-et-nsa-voulaient-obtenir-les-cles-ssl-de-geants-du-net/ Sept opérateurs télécoms livrent leurs réseaux aux services secrets britanniques
http://www.01net.com/editorial/600951/sept-operateurs-telecoms-livrent-leurs-reseaux-aux-services-secrets-britanniques/ Le cybercrime, « plus grand transfert de richesses de l’histoire de l’humanité » ?
http://magazine.qualys.fr/menaces-alertes/csis-etude-cybercrime-richesses/ Quand le cyber remet au goût du jour des pratiques issues de la Guerre Froide
http://magazine.qualys.fr/cyber-pouvoirs/cyber-guerre-froide-canada/ Pour l’ONU, on n’a encore rien vu en matière de cyberguerre
http://magazine.qualys.fr/cyber-pouvoirs/onu-cyberguerre/ Petite competition entre NSA et CIA ? :
Documents Reveal How the NSA Cracked the Kryptos Sculpture Years Before the CIA
http://news.hitb.org/content/documents-reveal-how-nsa-cracked-kryptos-sculpture-years-cia R.I.P
-----
Famed hacker Barnaby Jack passes away
http://news.hitb.org/content/famed-hacker-barnaby-jack-passes-away INSOLITE
--------
La « banque du pape » ouvre un site Internet pour plus de transparence
http://www.01net.com/editorial/600791/la-banque-du-pape-ouvre-un-site-internet-pour-plus-de-transparence/ Confused photocopiers randomly rewriting scanned documents
http://news.hitb.org/content/confused-photocopiers-randomly-rewriting-scanned-documents http://arstechnica.com/information-technology/2013/08/confused-photocopiers-randomly-rewriting-scanned-documents/ UN PETIT GESTE POUR LA PLANETE
------------------------------
Colbert 2.0, le logiciel en ligne d’aide à la relocalisation, dévoilé par Arnaud Montebourg
http://pro.01net.com/editorial/600393/colbert-2-0-le-logiciel-en-ligne-d-aide-a-la-relocalisation-devoile-par-arnaud-montebourg/ FACEBOOK AND SOCIAL NETWORKS
----------------------------
A BOOKMARKER
------------
SALONS / CONFERENCES / EVENEMENTS : BLACKHAT 2013
-------------------------------------------------
Black Hat 2013 : à quoi s’attendre ?
http://magazine.qualys.fr/menaces-alertes/black-hat-2013/ Les incroyables conseils de la Black Hat aux journalistes
http://magazine.qualys.fr/menaces-alertes/black-hat-journalistes/ The Final Sandbox #fail?
http://blogs.bromium.com/2013/07/27/the-final-sandbox-fail/ Long-Range RFID Hacking Tool to be Released at Black Hat
http://threatpost.com/long-range-rfid-hacking-tool-to-be-released-at-black-hat/101448 La NSA s’explique à la conférence BlackHat
http://pro.01net.com/editorial/600857/la-nsa-s-explique-a-la-conference-blackhat/ NSA Director Defends Surveillance Activities During Tense Black Hat Keynote
http://threatpost.com/nsa-director-defends-surveillance-activities-during-tense-black-hat-keynote/101541 VIDEO: Gen. Keith Alexander at Black Hat
http://threatpost.com/video-gen-keith-alexander-at-black-hat/101569 Researchers reveal malicious charger attack affecting iOS devices
http://news.hitb.org/content/researchers-reveal-malicious-charger-attack-affecting-ios-devices Apple to Fix ‘Fake USB Charger’ Flaw in iOS 7
http://threatpost.com/apple-to-fix-fake-usb-charger-flaw-in-ios-7/101554 ExploitHub and Rift Recon Announce Global Strategic Partnership
http://news.hitb.org/content/exploithub-and-rift-recon-announce-global-strategic-partnership JavaScript and Timing Attacks Used to Steal Browser Data
http://threatpost.com/javascript-and-timing-attacks-used-to-steal-browser-data/101559 Black Hat / Def Con 2013
http://www.zataz.com/news/23011/black-hat_-defcon-2013.html PRODUITS
--------
Bitdefender Safepay offers secure browsing for online banking, shopping
http://www.networkworld.com/news/2013/072613-bitdefender-safepay-offers-secure-browsing-272261.html Motorola Moto X : le smartphone personnalisable made in USA
http://www.01net.com/editorial/600855/motorola-moto-x/ Motorola Moto X : ses qualités, ses handicaps... et ses erreurs
http://www.01net.com/editorial/600879/motorola-moto-x-ses-qualites-ses-handicaps-et-ses-erreurs/ Motorola et Google lancent le Moto X [vidéo]
http://www.01net.com/editorial/600887/motorola-et-google-lancent-le-moto-x-video/ BON A SAVOIR
------------
Retour à la normale à la Banque postale [MAJ]
http://www.01net.com/editorial/600721/un-bug-informatique-paralyse-plusieurs-services-de-la-banque-postale/ BNP Paribas remet les prix de l’innovation 2013
http://pro.01net.com/editorial/600759/bnp-paribas-remet-les-prix-de-l-innovation-2013/ La Société Générale lance une appli pour les pros
http://pro.01net.com/editorial/600737/la-societe-generale-lance-une-appli-pour-les-pros/ Le paiement sans contact se généralisera aux Etats-Unis d’ici à la fin 2013
http://pro.01net.com/editorial/600813/le-paiement-sans-contact-se-generalisera-aux-etats-unis-d-ici-a-la-fin-2013/ SCIENCES
--------
CONSOMMATION
------------
RACHAT / UNION
--------------
Sourcefire racheté par Cisco 2,7 milliards de dollars
http://www.reseaux-telecoms.net/actualites/lire-sourcefire-rachete-par-cisco-2-7-milliards-de-dollars-26324.html Mozilla, Blackberry Join Forces To Advance Peach Fuzzer
http://threatpost.com/mozilla-blackberry-join-forces-to-advance-peach-fuzzer/101534 Mozilla and Blackberry have announced a new collaboration project; the two companies will begin working in tandem to more fully flesh out Peach – a free software fuzzing application first developed nearly a decade ago – for testing the security of web browsers.
Yahoo! investit dans la recherche sociale en rachetant Rockmelt
http://www.01net.com/editorial/600947/yahoo-investit-dans-la-recherche-sociale-en-rachetant-rockmelt/ Apple rachète un fabricant de puces Bluetooth miniatures
http://www.01net.com/editorial/600957/apple-rachete-un-fabricant-de-puces-bluetooth-miniatures/ DROIT
-----
Russie : deux ans et demi de camp pour une attaque informatique
http://www.01net.com/editorial/600775/russie-deux-ans-et-demi-de-camp-pour-une-attaque-informatique/ Les courriers personnels transférés sur un ordinateur professionnel ne sont pas privés
http://magazine.qualys.fr/conformite-organisation/droit-entreprise-courriers-personnels/ MARCHE DE L'INFORMATIQUE ET DES TELECOMS (MAIS PAS QUE)
-------------------------------------------------------
Pierre Barnabé devient dg de Bull
http://www.reseaux-telecoms.net/actualites/lire-pierre-barnabe-devient-dg-de-bull-26333.html Luc Bretones nouveau patron du Technocentre d'Orange
http://www.reseaux-telecoms.net/actualites/lire-luc-bretones-nouveau-patron-du-technocentre-d-orange-26302.html L'évolution des moteurs de recherche sur Internet
http://www.les-infostrateges.com/actu/13071669/l-evolution-des-moteurs-de-recherche-sur-internet http://urfist.enc.sorbonne.fr/ressources/recherche-documentaire/evolutions-des-moteurs-de-recherche-sur-internet http://www.mindmeister.com/fr/303736261/evolution-des-moteurs-de-recherche La sécurité, dernier souci des start-up
http://magazine.qualys.fr/marche-business/securite-startup/ Les nouveaux usages inquiètent les RSSI
http://www.reseaux-telecoms.net/actualites/lire-les-nouveaux-usages-inquietent-les-rssi-26328.html CARRIERE
--------
MICROSOFT
---------
GOOGLE
------
Comment Google fait disparaître les résultats de recherche
http://standblog.org/blog/post/2013/07/27/Comment-Google-fait-disparaitre-les-resultats-de-recherche Intégration de SELinux dans la nouvelle version d'Android
http://www.secuobs.com/news/31072013-selinux_google_android.shtml Google se lance dans le comparateur d’assurance
http://www.01net.com/editorial/600777/google-se-lance-dans-le-comparateur-d-assurance/ Google Helpouts : suivre des cours vidéo d’internautes en direct
http://www.01net.com/editorial/600685/google-helpouts-suivre-des-cours-video-d-internautes-en-direct/ Google travaille sur la traduction instantanée de mobile à mobile
http://www.01net.com/editorial/600663/google-travaille-sur-la-traduction-instantanee-de-mobile-a-mobile/ Google Bolsters Security, Updates Encryption on Certificates
http://threatpost.com/google-bolsters-security-updates-encryption-on-certificates/101538 APPLE / IPHONE
--------------
PALM / PRE
----------
FREE
----
GEEK POWER
----------
$200 3D printed bot tries to crack phone PIN
http://www.adafruit.com/blog/2013/07/26/200-3d-printed-bot-tries-to-crack-phone-pin/ LIBRE / OPEN SOURCE
-------------------
Ubuntu fait appel au crowdfounding pour lancer Edge, son smartphone haut de gamme
http://www.01net.com/editorial/600519/ubuntu-fait-appel-au-crowdfounding-pour-lancer-edge-son-smartphone-haut-de-gamme/ TOR Project: Stop using Windows, disable JavaScript
http://news.hitb.org/content/tor-project-stop-using-windows-disable-javascript http://www.pcworld.com/article/2046013/tor-project-stop-using-windows-disable-javascript.html ATTAQUES, PHISHING, PIRATAGE, VERS, VIRUS, ETC....
--------------------------------------------------
Pourquoi ne jamais utiliser une messagerie personnelle
15.000 dollars transféré grâce à un email piraté
http://www.zataz.com/news/22985/double--identification--google--gmail--piratage--banque.html Cinq pirates inculpés pour avoir piraté 160 millions de CB
http://www.zataz.com/news/23003/Cinq-pirates-inculpes-pour-avoir-pirat%C3%A9-160-millions-de-CB--carrefour.html Pourquoi il faut toujours être "vigilant". Je n'aime pas le terme paranoïaque.
Piratage interne chez OVH
http://www.zataz.com/news/22994/ovh_-piratage_-interne.html Car hackers 'drive' car with laptop
http://www.topix.net/tech/computer-security/2013/07/car-hackers-drive-car-with-laptop http://www.bbc.co.uk/news/technology-23443215 Car hackers use laptop to control standard car
http://www.bbc.co.uk/news/technology-23443215 Dossier auto (2/4) : L’automobile à l’épreuve des cyber-voleurs
http://www.01net.com/editorial/600735/dossier-auto-2-4-l-automobile-a-l-epreuve-des-cyber-voleurs/ Des étudiants en science détournent un yacht grâce à son système GPS
http://www.01net.com/editorial/600769/des-etudiants-en-science-detournent-un-yacht-grace-a-son-systeme-gps/ Le piratage des signaux GPS : une menace sous-estimée
http://magazine.qualys.fr/menaces-alertes/piratage-gps-spoofing/ SSL décrypté en 30 secondes
http://pro.01net.com/editorial/600869/ssl-decrypte-en-30-secondes/ http://arstechnica.com/security/2013/08/gone-in-30-seconds-new-attack-plucks-secrets-from-https-protected-pages/ BREACH Compression Attack Steals HTTPS Secrets in Under 30 Seconds
http://threatpost.com/breach-compression-attack-steals-https-secrets-in-under-30-seconds/101579 FAILLES
-------
Patch Available for DoS Vulnerability in BIND Nameservers
http://threatpost.com/patch-available-for-dos-vulnerability-in-bind-nameservers/101523 Des portes dérobées non documentées sur certains produits Hewlett Packard
http://www.secuobs.com/news/1772013-backdoor_hewlett_packard.shtml Deuxième faille dans l'authentification des applications Android
http://www.reseaux-telecoms.net/actualites/lire-deuxieme-faille-dans-l-authentification-des-applications-android-26279.html Une faille touche 10% des cartes SIM dans le monde
http://www.reseaux-telecoms.net/actualites/lire-une-faille-touche-10-des-cartes-sim-dans-le-monde-26313.html Carriers close SIM security hole by hacking into their own SIMs
http://news.hitb.org/content/carriers-close-sim-security-hole-hacking-their-own-sims http://www.examiner.com/article/carriers-close-sim-vulnerability-by-hacking-into-their-own-sims OUTILS
------
Crypton, une solution Open Source démocratisant le chiffrement applicatif
http://www.secuobs.com/news/31072013-crypton_crypto_open_source.shtml Tortilla : un anonymiseur pour chercheurs en sécurité étudiant les malwares
http://www.reseaux-telecoms.net/actualites/lire-tortilla-un-anonymiseur-pour-chercheurs-en-securite-etudiant-les-malwares-26299.html ------------
01net. Actualités ||
http://feediz.01net.com/synd/2203.xml 01net. Les actualites Entreprise ||
http://feediz.01net.com/synd/2205.xml A Day in the Life of an Information Security Investigator ||
http://rss.ittoolbox.com/rss/security-investigator.xml Actualités intrusion/hacking ||
http://feeds.feedburner.com/idg_fr/rt2/intrusion-hacking/rss Actualités Open Source ||
http://feeds.feedburner.com/idg_fr/rt2/open-source/rss Actualités satellite ||
http://feeds.feedburner.com/idg_fr/rt2/satellite/rss Black Hat Announcements ||
https://www.blackhat.com/BlackHatRSS.xml Ciscomag ||
http://feeds.feedburner.com/ciscomag Finjan MCRC Blog: Posts ||
http://www.finjan.com/MCRCblog_RSS_feed.aspx Hack In The Box ||
http://www.hackinthebox.org/backend.php Infosecurity Magazine ||
http://www.infosecurity-magazine.com/RSS/LiveFeed.xml Latest Security Advisories ||
http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory Le blog des experts ||
http://expert.01net.com/expert/feed/rss2 Ma petite parcelle d'Internet... ||
http://sid.rstack.org/blog/rss.php McAfee Avert Labs ||
http://feeds.feedburner.com/McafeeAvertLabsBlog Microsoft Security Bulletins ||
http://www.microsoft.com/technet/security/bulletin/secrss.aspx OSVDB Most Recent Stable Entries ||
http://osvdb.org/backend/rss.php Seb's guide ||
http://www.smtechnologie.com/backend.php SecuriTeam.com ||
http://www.securiteam.com/securiteam.rss SecurityFocus News ||
http://www.securityfocus.com/rss/news.xml SecurityFocus Vulnerabilities ||
http://www.securityfocus.com/rss/vulnerabilities.xml SecurityTracker Vulnerability Headlines ||
http://news.securitytracker.com/server/affiliate?61D319BD39309004 silicon.com : ||
http://feeds.silicon.com/0,39025093,40000024,00.htm TaoSecurity ||
http://taosecurity.blogspot.com/atom.xml TechNet Magazine RSS Feed ||
http://www.microsoft.com/technet/technetmag/rss/newrss.aspx?issue=true Toute l'actualité sécurité informatique ||
http://feeds.vulnerabilite.com/vuln-actu Toutes les actualités ||
http://www.reseaux-telecoms.net/rss/rss.xml ZATAZ News ||
http://feeds.feedburner.com/ZatazNews (ISC)2 Blog ||
http://feeds.feedburner.com/isc2Blog Following The white Rabbit Blog ||
http://feeds.feedburner.com/RafalLos Sécurité des réseaux et des Si - Orange Business Services ||
http://blogs.orange-business.com/securite/atom.xml Les-infostrateges.com : flux général ||
http://www.les-infostrateges.com/rss/cat/?num=1 moxie's blog |
http://blog.thoughtcrime.org/rss.xml