Que prévoit la loi pour les Hackers éthiques ?

En complétant le code de la défense, la loi du 7 octobre 2016 pour une République numérique entérine la protection des hackers éthiques. En tout cas ceux qui signalent une faille informatique découverte par leurs soins à l’Agence nationale pour la sécurité des systèmes d’information (Anssi). La législation confirme ainsi le rôle central de cette dernière dans le signalement des vulnérabilités.

« Ce texte va surtout permettre une officialisation », explique à Silicon.fr François Coupez, avocat associé du cabinet Atipic. « L’Anssi apparaît bien comme le second point de contact officiel, en plus du responsable du système d’information objet des vulnérabilités ». Ce point de contact « est utile pour les cas où les ‘hackers éthiques’ supposeraient qu’ils ne peuvent joindre directement l’entité dont le SI est vulnérable, quelle qu’en soit la raison : responsable supposé peu réceptif, responsable déjà contacté en vain, etc. ».

Protéger le hacker dit « éthique »

Pour distinguer le hacker éthique du pirate (l’article 323-1 du code pénal sanctionne le piratage frauduleux d’au moins deux ans d’emprisonnement et de 60 000 euros d’amende), l’article 47 de la loi numérique complète le code de la défense par un article L2321-4 ainsi rédigé :

« Pour les besoins de la sécurité des systèmes d’information, l’obligation prévue à l’article 40 du code de procédure pénale n’est pas applicable à l’égard d’une personne de bonne foi qui transmet à la seule autorité nationale de sécurité des systèmes d’information une information sur l’existence d’une vulnérabilité concernant la sécurité d’un système de traitement automatisé de données.

L’autorité préserve la confidentialité de l’identité de la personne à l’origine de la transmission ainsi que des conditions dans lesquelles celle-ci a été effectuée.

L’autorité peut procéder aux opérations techniques strictement nécessaires à la caractérisation du risque ou de la menace mentionnés au premier alinéa du présent article aux fins d’avertir l’hébergeur, l’opérateur ou le responsable du système d’information. »

Sécuriser les agents de l’Anssi

Rappelons que l’article 40 du code pénal cité dans cet article L2321-4 indique : « Toute autorité constituée, tout officier public ou fonctionnaire qui, dans l’exercice de ses fonctions, acquiert la connaissance d’un crime ou d’un délit est tenu d’en donner avis sans délai au procureur de la République et de transmettre à ce magistrat tous les renseignements, procès-verbaux et actes qui y sont relatifs. »

Or, dans la loi portée par Axelle Lemaire, cette obligation prévue à l’article 40 ne s’applique pas aux white hats. Ce qui arrivait déjà, en fait, avant la promulgation du texte. « D’après ce qu’a pu indiquer à certaines occasions l’Anssi elle-même, la pratique interne était déjà de ne pas appliquer l’article 40 dans les hypothèses similaires à celles visées par cet article L2321-4 du code de la défense nouvellement créé. Et ce afin de faciliter les remontées d’informations. Ce que la loi République numérique légitime dorénavant via cet article, et c’est une très bonne chose pour la sécurité juridique des agents de l’Anssi », ajoute François Coupez…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Cash investigation ne comprend rien à la cybersécurité

La cybersécurité est un sujet suffisamment sensible pour qu’il mérite d’être traité par les journalistes avec rigueur et sérieux. En la matière, l’approximation et la sous-estimation de sa complexité conduisent inévitablement à des contre-vérités médiatiques et à des biais de représentation.

C’est précisément ce que l’émission de France 2 Cash Investigation Marchés publics : le grand dérapage nous a fourni le mardi 18 octobre à 20h55, tant les approximations et les contre-vérités se succédaient à grande vitesse tout au long du reportage sur le système d’exploitation des ordinateurs du Ministère de la Défense.

Je dois avouer qu’il en faut en général beaucoup pour me choquer mais que ce beaucoup a été très vite atteint par l’équipe de Cash Investigation ! Jamais réalité n’avait été à ce point tordue et déformée dans l’unique but d’entrer par le goulot étroit du format préfabriqué de la désinformation. En clair, on a voulu se payer les balourds du Ministère de la Défense et les militaires qui ont choisi le système d’exploitation Windows (Microsoft) pour équiper leurs machines…

Un piratage en trois clics ?

Pensez donc, Madame, en trois clics et deux failles de sécurité, Élise Lucet nous démontrait qu’elle pouvait prendre le contrôle des ordinateurs du Ministère de la Défense pour déclencher dans la foulée la troisième guerre mondiale…. Il est vrai qu’elle venait de pirater sans pression l’ordinateur de l’un de ses collègues, avec l’aide de deux experts en cybersécurité de l’ESIEA. Et comme chacun le sait, si l’opération fonctionne avec la machine Windows de madame Michu, ça marchera tout pareil avec les machines de la Grande Muette.

Dans le cadre d’un renouvellement de contrat, Microsoft a remporté en 2013 le marché public du Ministère de la Défense concernant l’équipement en systèmes d’exploitations du parc informatique des Armées. Windows est donc installé sur 200 000 ordinateurs de l’armée française.

Partant de cette réalité, Élise Lucet et son équipe en ont déduit que cela constituait un choix risqué en matière de cybersécurité & cyberdéfense tant ce système d’exploitation est truffé de vulnérabilités et de Back Doors (portes dérobées) installées par les méchants espions américains de la NSA.

Le « piège » de Microsoft

En conclusion, toujours selon Élise Lucet, les militaires français sont tombés dans le piège tendu par Microsoft qui dispose désormais de toutes les entrées possibles pour la prise de contrôle à distance des ordinateurs sensibles du Ministère et de leurs secrets Défense. La théorie du complot n’est pas très éloignée dans tout cela, surtout lorsque l’hypothèse d’Élise Lucet se trouve plus ou moins confirmée par les déclarations de l’expert cryptologue Éric Filiol, retraité des services de renseignement et actuellement directeur du centre de recherche en cybersécurité de l’ESIEA.

Ce que dit Éric Filiol durant ses courtes interventions n’est pas contestable : il effectue une démonstration de prise de contrôle à distance d’un ordinateur équipé du système Windows 7 à la suite d’un clic de l’utilisateur (la cible) sur un lien malveillant transmis par mail. La démonstration qu’il donne d’une prise de contrôle n’appelle aucune critique puisqu’elle est un classique du genre, connue de tous les étudiants préparant un Master en cybersécurité.

Quelle preuve des failles de sécurité ?

C’est l’usage qui en est fait qui devient très contestable : puisque la manipulation fonctionne sur l’ordinateur doté de Windows de mon collègue journaliste (qui, au demeurant, a le clic facile et l’antivirus laxiste), c’est qu’elle fonctionne également avec l’ensemble du parc informatique relevant du Ministère de la Défense (cqfd). Preuve est donc faite de l’incompétence des services de l’État, de services chargés de la cybersécurité des infrastructures militaires et de l’ensemble des experts, ingénieurs et chercheurs qui œuvrent chaque jour en France pour sécuriser les systèmes…

Le reportage pousse encore un peu plus loin sa courageuse investigation en allant interroger très brièvement l’Officier Général Cyberdéfense, le vice Amiral Coustillière. Ce dernier est interrogé entre deux portes sur le choix improbable d’installer Windows sur des machines qui font la guerre.

White Hat au grand cœur

N’écoutant que leur sagacité et leur expertise autoproclamée, nos journalistes hackers « White Hat » au grand cœur (donc toujours du bon côté de la Force) donnent pour finir une leçon de cyberstratégie à l’Amiral responsable de la sécurité des infrastructures numériques militaires, tout en le faisant passer pour un amateur déconnecté des réalités informatiques… C’est à ce point que l’on touche au paroxysme de la désinformation du spectateur que l’on considère comme un consommateur compulsif de dysfonctionnements et malversations étatiques…

Et bien non, Madame Lucet, non, le choix de Windows n’est pas plus ou moins défendable que celui d’un système open source. Linux et ses dérivés souffrent également de vulnérabilités, subissent des attaques et des correctifs. C’est le triste destin de tout système complexe que d’avoir été créé imparfait, ouvert aux agressions extérieures exploitées par des individus mal intentionnés ou en quête d’information.

On ne clique pas tous sur les malware

Non, Madame Lucet, ce n’est pas parce qu’un de vos collègues journalistes clique facilement sur un lien malveillant que tout le monde le fait. Ce n’est pas parce que son antivirus ne détecte pas un malware qu’aucun autre antivirus ne le détectera. Ce n’est pas parce que Windows possède des vulnérabilités que les autres systèmes d’exploitation n’en possèdent pas.

Ce n’est pas parce que Microsoft a pu transmettre ou vendre certaines données aux services gouvernementaux américains que cette firme cherche obsessionnellement à piéger l’armée française. Enfin, non chère Élise, l’armée française ne découvre pas les problématiques de sécurité numérique avec votre reportage et ne sous-estime pas les risques de vol de données sensibles. C’est quelque part faire injure aux spécialistes civils et militaires qui œuvrent quotidiennement à la défense des intérêts numériques de la nation.

La cybersécurité est une science complexe qui croise les compétences techniques et la compréhension des mécanismes humains. L’art de la guerre numérique dépasse de très loin ce que ce triste reportage a tenté de montrer.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Quelques détails sur la cyberattaque massive dont ont été victime les états unis

En se réveillant vendredi 21 octobre, plusieurs millions d’Américains ont la désagréable surprise de se voir refuser l’accès à leurs sites préférés. Pendant de longues heures, impossible en effet de se connecter à Twitter, Spotify, Amazon ou eBay. Mais aussi à des grands médias, tels que le New York Times, CNN, le Boston Globe, le Financial Times ou encore le célèbre quotidien anglais The Guardian. En cause : une cyberattaque massive menée en plusieurs vagues qui a fortement perturbé le fonctionnement d’internet outre-Atlantique.

Le fait que tous ces sites mondialement connus soient hors d’accès ne révèle toutefois que la partie émergée de l’iceberg. En effet, les pirates s’en sont pris en réalité à la société Dyn, dont la notoriété auprès du grand public est beaucoup plus faible. Le rôle de la firme est de rediriger les flux internet vers les hébergeurs et traduit en quelque sorte des noms de sites en adresse IP. À 22h17, Dyn a indiqué que l’incident était résolu.

Le département de la sécurité intérieure (DHS) ainsi que le FBI ont annoncé dans la foulée l’ouverture d’une enquête « sur toutes les causes potentielles » de ce gigantesque piratage à l’envergure inédite. Des investigations qui s’annoncent de longue haleine, tant cette attaque se déplaçant de la côte est vers l’ouest du pays semble sophistiquée. « C’est une attaque très élaborée. À chaque fois que nous la neutralisons, ils s’adaptent », a expliqué Kyle Owen, un responsable de Dyn, cité sur le site spécialisé Techcrunch.

Qui est à l’origine de l’attaque ?

Pour l’heure, l’identité et l’origine des auteurs demeurent inconnues. Mais l’ampleur du piratage éveille les soupçons. « Quand je vois une telle attaque, je me dis que c’est un État qui est derrière », a estimé Eric o’Neill, chargé de la stratégie pour la société de sécurité informatique Carbon Black et ex-chargé de la lutte contre l’espionnage au FBI. Les regards se tournent inévitablement vers des pays comme la Russie ou la Chine, qui pourraient avoir intérêt à déstabiliser le géant américain, alors que les élections approchent.

Mais d’autres hypothèses circulent. Le site Wikileaks, qui a publié des milliers d’emails du directeur de campagne de la candidate démocrate à la présidentielle Hillary Clinton, a cru déceler dans cette attaque une marque de soutien à son fondateur Julian Assange, réfugié dans l’ambassade d’Équateur à Londres et dont l’accès à internet a été récemment coupé. « Julian Assange est toujours en vie et Wikileaks continue de publier. Nous demandons à nos soutiens d’arrêter de bloquer l’internet américain. Vous avez été entendus », a tweeté le site.

Comment les pirates ont-ils procédé ?

La technique utilisée vendredi pour plonger le web américain dans le chaos est dite de déni de service distribué (DDoS). Cette dernière consiste à rendre un serveur indisponible en le surchargeant de requêtes. Elle est souvent menée à partir d’un réseau de machines zombies – des « botnets » – elles-mêmes piratées et utilisées à l’insu de leurs propriétaires. En l’occurrence, les pirates ont hacké des objets connectés, tels que des smartphones, machines à café, des téléviseurs ou des luminaires.

« Ces attaques, en particulier avec l’essor d’objets connectés non sécurisés, vont continuer à harceler nos organisations. Malheureusement, ce que nous voyons n’est que le début en termes de ‘botnets’ à grande échelle et de dommages disproportionnés », prédit Ben Johnson, ex-hacker pour l’agence américaine de renseignement NSA et cofondateur de Carbon Black.

Quelles peuvent être les conséquences ?

La société Dyn était préparée à ce type d’attaque et a pu résoudre le problème dans des délais relativement brefs. Mais les conséquences pourraient être bien plus graves dans les secteurs de la finance, du transport ou de l’énergie, bien moins préparés, selon Eric o’Neill. Quelle qu’en soit l’origine, l’attaque a en effet mis en lumière les dangers posés par l’utilisation croissante des objets connectés, qui peuvent être utilisés à l’insu de leurs propriétaires pour bloquer l’accès à un site…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Sednit : dissection d’un groupe de cyber‑espions

Ce groupe aussi connu sous le nom d’APT28, Fancy Bear ou Sofacy, agit depuis 2004. Son principal objectif est le vol d’informations confidentielles de cibles spécifiques :

• Partie 1 : « En route with Sednit : Approaching the Target » se concentre sur la cible des campagnes de phishing, les méthodes d’attaque utilisées ainsi que la première phase de l’attaque utilisant le malware SEDUPLOADER, composé d’un compte à rebours et d’une charge utile associée.
• Partie 2 : « En route with Sednit : Observing the comings and goings » couvre les activités de Sednit depuis 2014 et détaille la boîte à outils d’espionnage utilisée pour la surveillance à long terme des ordinateurs compromis. Cela est rendu possible grâce à deux backdoor SEDRECO et XAGENT, ainsi qu’à l’outil réseau XTUNNEL.
• Partie 3 : « En route with Sednit : a mysterious downloader » décrit le logiciel permettant la première phase de l’attaque DOWNDHELPH qui selon nos données de télémétrie n’aurait servi que 7 fois. A noter que certains de ces déploiements ont requis des méthodes de « persistances avancées » : Windows bootkit et Windows rootkit.

« L’intérêt d’ESET pour ces activités malveillantes est née de la détection d’un nombre impressionnant de logiciels personnalisés déployés par le groupe Sednit au cours des deux dernières années », déclare Alexis Dorais-Joncas, Security Intelligence team lead chez ESET et dédié à l’exploration des activités du groupe Sednit. « L’arsenal de Sednit est en constante évolution. Le groupe déploie régulièrement des logiciels et techniques de pointe, tandis que leur malware phare a également évolué de manière significative au cours des dernières années ».

Selon les chercheurs ESET, les données collectées à partir des campagnes de phishing menées par Sednit montrent que plus de 1.000 profils d’individus hauts-placés impliqués dans la politique d’Europe de l’EST ont été attaqués. « Contrairement aux autres groupes d’espionnage, le groupe Sednit a développé son propre « exploit kit » et utilisé un nombre étonnamment important d’exploits 0-day», conclut Alexis Dorais-Joncas.

Les activités du groupe cybercriminel de ces dernières années envers les personnalités hauts-placées, ont suscité l’intérêt de nombreux chercheurs. Le document réalisé par les experts ESET fournit une description technique accessible et contenant les indicateurs de compromission (IOCs), à destination des chercheurs et des entreprises afin de vérifier qu’ils n’ont pas été compromis par le groupe Sednit.

La première partie de cette recherche est disponible sur WeLiveSecurity, l’intégralité l’étant sur le  Github ESET.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Un nouveau virus qui infecte principalement la France

HTML / FakeAlert est le nom générique donné par ESET pour nommer les fausses pages web hébergeant des messages d’alertes. Ces derniers indiquent à l’utilisateur qu’il est infecté par un virus ou qu’il a un autre problème susceptible de compromettre son ordinateur ou ses données. Pour stopper la soi-disant menace, l’utilisateur est invité à contacter par téléphone le faux support technique ou à télécharger une fausse solution de sécurité.

Le malware HTML / FakeAlert est généralement utilisé comme point de départ pour ce que l’on appelle les escroqueries de faux support. En conséquence, les victimes perdent de l’argent (en appelant des numéros surtaxés ou internationaux) ou sont infectés par un vrai malware installé sur leur ordinateur via les programmes « recommandés » figurant sur la page des fausses alertes.

« Le plus souvent, les escroqueries de faux support que nous surveillons ciblent des utilisateurs d’Internet anglophones car ils constituent une cible large et permettent ainsi de générer plus d’argent. Cependant, il arrive que les escrocs ciblent leurs campagnes en les traduisant dans une autre langue majeure, comme cela est le cas pour les attaques espagnoles ou françaises. Ainsi, les cybercriminels visent un pays particulier – comme ici avec le cas de la France « , commente Ondrej Kubovič, IT Security Specialist chez ESET.

Le malware HTML / FakeAlert a été détecté par les systèmes ESET en Décembre 2009. Après une activité marginale pendant des années, celui-ci a commencé à montrer des niveaux plus élevés de prévalence au 2ème trimestre de l’année 2016. Le 17 Septembre dernier, il a atteint 2,05% d’infection globale, ce qui est un record.

Actuellement, la France est le pays le plus affecté par le malware HTML / FakeAlert, avec 25% de l’ensemble des logiciels malveillants détectés par les systèmes ESET sur la période du mois précédent (du 5 septembre au 5 octobre).

Pour aider les internautes et leur éviter d’être dupé par une escroquerie de ce type, les experts ESET ont établi une liste de recommandations :

– Mettez à jour tous vos logiciels et vos patchs de sécurité
– Utilisez une solution de sécurité de qualité
– Ne faites pas confiance aux messages non sollicités ou aux appels téléphoniques, même si le message provient d’un nom bien connu comme Microsoft ou autres logiciels / fournisseur de services
– Si vous voulez entrer en contact avec le support technique de l’un de vos logiciels ou fournisseur de services, assurez-vous que vous utilisez le numéro de téléphone ou l’adresse électronique fournie par le site officiel du logiciel ou par le système d’exploitation de votre fournisseur.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Le réseau informatique des drones militaires américains piraté ?

L’armée américaine s’est-t-elle fait pirater le réseau de communication qu’elle utilise pour piloter à distance sa flotte de drones tueurs, qui bombardent quotidiennement dans de multiples pays du monde dont l’Afghanistan, la Syrie, le Pakistan, la Somalie, ou l’Irak ? La question se pose alors que BuzzFeed dévoile que l’US Air Force a reconnu que le réseau informatique de sa base Creech Air Force, dans le Nevada, était tombé en panne le 9 septembre dernier, et qu’il n’avait toujours pas pu être rétabli complètement depuis.

La base Creech Air Force est celle qui abrite les militaires qui, joystick à la main et yeux rivés sur un écran, déclenchent les frappes aériennes à des milliers de kilomètres de distance — parfois en utilisant uniquement des collectes de métadonnées pour présumer de l’identité des cibles, l’armée ayant développé des algorithmes pour les détecter. Les drones sont pilotés à travers des liaisons satellite qui permettent de relayer les ordres du Nevada jusqu’aux théâtres de guerre, avec un minimum de temps de latence et en toute sécurité.

Mais le système repose au moins partiellement sur le réseau SIRPnet (Secret Internet Protocol Router Network), une sorte de réseau Internet privé de l’armée américaine, utilisé pour véhiculer des informations confidentielles en toute sécurité. Or selon un appel d’offres étonnamment détaillé publié par l’armée, «  le système SIRPNet actuellement en opération à Creech AFB a échoué et des services essentiels ont été touchés ». Elle précise que «  les systèmes ont été quelque peu restaurés avec l’utilisation de plusieurs appareils moins puissants », et que «  cette solution temporaire a stabilisé les services, mais ne sera pas capable de satisfaire la demande encore très longtemps ». Or, « si cette solution échoue, il n’y actuellement aucun système de sauvegarde »…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Plusieurs millions de clés de chiffrement plus du tout sécurisées

Des clés de chiffrement de 1024 bits utilisées pour sécuriser les échanges et les communications sur Internet (sites Web, VPN et serveurs), peuvent utiliser des nombres premiers munis de« trappes » indétectables. L’exploit permettrait à des pirates de déchiffrer plusieurs millions de communications chiffrées, et d’identifier les propriétaires des clés. C’est ce qui ressort des travaux d’une équipe de chercheurs : Joshua Fried et Nadia Heninger, de l’Université de Pennsylvanie, Emmanuel Thomé et Pierrick Gaudry, de l’équipe projet CARAMBA (Inria-CNRS-Université de Lorraine).

« Nous démontrons dans nos travaux que la création et l’exploitation de trappes des nombres premiers (trapdoored primes) pour les standards d’échange de clés Diffie-Hellman et du DSA (Digital Signature Algorithm) est faisable pour les clés de 1024 bits avec des ressources informatiques universitaires modernes », déclarent les chercheurs dans leur article technique. Ils disent avoir « effectué un calcul de logarithmes discrets dans une trappe des nombres premiers, en deux mois sur un cluster académique ».

Traffic HTTPS et VPN déchiffrés

Les standards internationaux de cryptographie reposent sur des nombres premiers dont l’origine devrait être vérifiable. Mais, aujourd’hui, trop de serveurs communiquent en s’appuyant sur des nombres premiers dont l’origine est invérifiable : 37% des sites en HTTPS (parmi le million de sites les plus visités du top Alexa) et 13% des VPN IPsec, rappelle Inria.

Pour son propriétaire, une clé de chiffrement dotée d’une trappe ressemble à toute autre clé fiable. Pour les attaquants qui exploiteraient la trappe, en revanche, la sécurité de la clé peut être brisée à travers la résolution plus rapide du problème du logarithme discret. Selon les chercheurs, l’échelle de difficulté pour un pirate deviendrait « très facile » pour une clé de 768 bits, « facile » pour une clé de 1024 bits, mais hors de portée pour du 2048 bits…. pour le moment…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Une faille dans OpenSSH remet en question la sécurité de certains objets connectés

L’Internet des objets est en pleine croissance et la sécurité est au cœur des préoccupations des responsables informatiques. Qui plus est, ces objets connectés sont utilisés par des cybercriminels pour mener des attaques en déni de service. OVH et le spécialiste de la sécurité Brian Krebs en ont fait l’expérience ces dernières semaines.

On apprend maintenant que ces attaques ont été rendues possibles en raison d’une faille présente depuis 12 ans dans OpenSSH. Deux chercheurs d’Akamai, Ory Segal et Ezra Caltum ont découvert cette vulnérabilité et l’ont baptisé SSHowDowN Proxy. Elle vise notamment à enrôler plusieurs objets connectés comme les caméras de surveillance (CCTV) et leurs enregistreurs numériques (DVR), les antennes satellites, les routeurs, les NAS. « Ces dispositifs sont maillés pour attaquer une multitude de sites ou de services Internet à travers http, SMTP ou via un scan réseau », constate les experts. Ils ajoutent que les attaques peuvent aussi cibler les réseaux qui hébergent les objets connectés…[lire la suite]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Google imagine un drone de télé-présence

Google a un intérêt marqué pour les drones. En la matière, son projet le plus avancé s’appelle Wing et consiste à mettre au point un système de livraison de colis par les airs. Dévoilé en 2013, il doit faire ses débuts commerciaux l’année prochaine. D’ici là, grâce au feu vert de l’administration de l’aviation civile, Google va pouvoir effectuer des tests sur le territoire américain.

La firme de Mountain View a d’autres idées dans son sac. Il reste néanmoins à leur donner corps. C’est le cas par exemple de ce brevet repéré par Quartz qui décrit le principe d’un drone de type quadricoptère qui embarque plusieurs terminaux et équipements de façon à pouvoir afficher sur un écran l’image d’un interlocuteur situé à un autre endroit. En gros, c’est de la télé-présence déployée sur un drone.

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article

Drone piégé utilisé par l’EI contre deux militaires français

C’est un mode d’action que les forces de l’ordre redoutent sur le territoire national, et qui semble désormais déployé sur le terrain de l’adversaire. Le Monde affirme ce mardi que deux militaires français ont été gravement blessés par un drone qui avait été piégé par des militants de l’État islamique, en Irak. L’un des deux serait entre la vie et la mort.

« Les deux commandos ont été touchés par un drone volant piégé, envoyé par un groupe lié à l’EI, dans des circonstances qui restent à préciser. Les militaires auraient intercepté le drone, avant que celui-ci explose à terre. Ce mode d’action contre des forces françaises est en tout état de cause inédit », rapporte le quotidien, qui précise que ses informations sont confirmées par d’autres médias.

Ce piège aurait été tendu aux commandos parachutistes qui intervenaient auprès des forces kurdes à Erbil, dans le nord de l’Irak, entre Mossoul et Kirkouk. La ville est la capitale de la région autonome du Kurdistan.

Le Monde indique que le ministère de la Défense ne souhaite pas confirmer cette attaque d’un nouveau genre et le rapatriement des deux soldats à l’hôpital militaire de Percy-Clamart, non seulement par souci de protéger les familles, mais aussi peut-être en raison des « moyens employés pour cette attaque » (on peut ajouter que de manière plus générale s’agissant des propagandes de guerre, les armées n’aiment jamais communiquer sur leurs propres pertes, préférant mettre en avant leurs réussites pour conserver le moral des troupes et le soutien des populations).

LA CRAINTE D’UN ATTENTAT PAR DRONE

La crainte est sans doute que le mode opératoire, relativement peu coûteux et surtout peu risqué pour les attaquants, ne donne des idées sur le front irakien ou syrien, mais aussi en occident. L’hypothèse qu’une petite bombe puisse être transportée par un drone sans savoir d’où il a décollé et d’où il est contrôlé est soulevée depuis longtemps par les experts de la sécurité aérienne. Elle avait notamment été évoquée en France lors du survol des centrales nucléaires par des drones.

Depuis, le législateur s’est emparé du sujet en élaborant une proposition de régulation des drones en cours d’examen, qui prévoit notamment l’obligation d’identifier les drones à distance ou de brider leur utilisation dans certaines zones réglementées. Mais par définition les lois n’ont aucune influence contre ceux qui veulent les violer, et il paraît bien difficile d’empêcher totalement le transport de bombes par drone, sauf à utiliser des moyens technologiques encore balbutiants et impossibles à déployer sur tout le territoire comme des brouilleurs, des lasers, des perturbateurs de signaux GPS, des filets, ou même des aigles.

UNE RÉPONSE ARTISANALE À L’UTILISATION DE « ROBOTS TUEURS » ?

Le fait que les troupes de l’EI utilisent des bombes montées sur des drones n’est aussi, hélas, qu’une réponse attendue à l’utilisation croissante des drones et autres engins militaires conduits à distance par les troupes alliées. En août dernier, l’armée irakienne était fière de présenter un fusil mitrailleur monté sur un véhicule conduit à 1 km de distance, qui permettait d’aller tuer sans risquer de se faire tuer, ce qui est aussi l’objectif des avions de combat semi-autonomes, des navires de guerre ou des nouveaux chars d’assaut. L’utilisation de drones piégés n’est à cet égard qu’une réponse artisanale de même nature.

Il faut ajouter qu’en droit international, l’utilisation de telles armes n’est pas interdite dès lors qu’elles visent à tuer des militaires combattants, et non des civils. La question de la régulation des « robots tueurs » a déjà fait l’objet de débats dans la communauté internationale, dans le cadre de révisions des conventions de Genève, mais les perspectives d’un accord sont excessivement lointaines. La seule piste évoquée, encore très incertaine, est l’obligation qui pourrait être faite qu’un humain reste en permanence aux commandes des engins robotisés, pour ne pas parvenir à des guerres menées par IA interposées.

[Article source]

Notre métier : Sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la Protection des Données Personnelles (Autorisation de la Direction du travail de l’Emploi et de la Formation Professionnelle n°93 84 03041 84).

Denis JACOPINI anime dans toute le France et à l’étranger des conférences, des tables rondes et des formations pour sensibiliser les décideurs et les utilisateurs aux risques liés à la Cybercriminalité et à la protection de leurs données personnelles (Mise en Place d’un Correspondant Informatique et Libertés (CIL) dans votre établissement.

Plus d’informations sur : https://www.lenetexpert.fr/formations-cybercriminalite-protection-des-donnees-personnelles

Réagissez à cet article