L’édito de MISC n°90 : L’IA, c’est plus fort que toi !

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d’adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches. Lire la suite

L’édito de MISC n°89 : You’ve got mail

Nous ne saurons probablement jamais si des cyberattaques commandées par la Russie ont fait basculer l’élection américaine en faveur de Donald Trump. En revanche, le fait que la question soit débattue, et que cette hypothèse semble tout à fait plausible y compris pour des enquêteurs de la CIA nous fait mesurer à quel point les questions de cyberdéfense sont devenues stratégiques. Il était largement convenu que les attaques informatiques puissent constituer une nuisance et avoir d’énormes impacts financiers. En revanche, que des pirates puissent influer sur l’élection du président de la première puissance mondiale a de quoi surprendre. Si l’on reprend l’historique des évènements, le New York Times révèle en mars 2015 que Hillary Clinton a utilisé une boîte mail privée lorsqu’elle était secrétaire d’état plutôt que la boîte sécurisée mise à sa disposition par l’administration américaine. Évidemment, cela ne fait pas très professionnel, mais que celui qui n’a jamais mélangé vie numérique privée et professionnelle par étourderie, négligence ou facilité lui jette la première pierre. Lire la suite

L’édito de MISC n°88 : Le mot de passe, ce grand cadavre à la renverse

La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

Mais au-delà de cette énième fuite d’information, ce qui, rétrospectivement, pourrait étonner un informaticien de la fin des années 1990 est que nous continuons, en 2016, à utiliser des mots de passe, voire dans le cas des banques des codes PIN, pour accéder à nos données les plus sensibles. Lire la suite

La préface du guide Metasploit !

Une fois n’est pas coutume, l’intégralité de ce hors-série de MISC est dédié à l’un des outils de test d’intrusion les plus connus du monde de la sécurité des systèmes d’information : le projet Metasploit. Qu’il s’agisse d’attaquer de vieux services obsolètes ou d’exploiter une vulnérabilité dans une application web moderne, Metasploit a développé au fil du temps une grande habilité à intégrer et gérer une quantité de modules impressionnants aux possibilités très variées : exploitation en tout genre, maintien d’accès, scanneur, récupération d’informations, post-exploitation et bien d’autres choses encore tel un module d’exploitation automatique dédié aux navigateurs (browser_autopwn2). En témoigne l’excellent « Weekly Metasploit Wrapup » [1], le projet est également très actif et bénéficie d’une grande communauté d’utilisateurs et de contributeurs. Lire la suite

L’édito de MISC n°87 : Arrête de ramer, t’es sur le sable

L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d’utilisateurs réels (ou pas) qui se seraient bien passés d’apparaître dans ces listings. Durant l’été 2016, après la publication de milliers de courriels internes du parti démocrate américain, ce sont des exploits ciblant des 0days et affectant les principaux constructeurs d’équipements réseau qui auraient été volés à la NSA et qui se retrouvent dans la nature. Dans les deux cas, si une fuite interne n’est pas à exclure, des regards se sont tournés vers des groupes de pirates russes qui seraient liés aux services de renseignements du Kremlin. Autant dire que si l’une ou l’autre des intrusions est confirmée on franchit quelques marches quant à la technicité requise pour réussir à voler ces données. Lire la suite

L’édito de MISC n°86 – Jurassic Park II : le retour éphémère du dinosaure

Françaises, Français, Belges, Belges, geeks velus élevés au Coca light, à la pizza et autres RST de cuisine, fétichistes du silicon plus dans la valley que dans les seins, virtuoses de l’ARP aux doigts volants, tels Christian, sur le clavier, amateurs de bits surtout bien RAID, pervers du test de pénétration et autres back orifices, public chéri mon amour : bonjour !

Je trouve impressionnant que vous soyez aussi nombreux à me (re)lire. En ce qui me concerne, j’aimerais mieux faire autre chose que rédiger cet édito. Je me réjouis toutefois à l’idée des gloussements étouffés que vous pousserez à la lecture d’un calembour, de vos regards bovins qui éclaireront vos visages à la lecture d’un calDüsseldorf, ou des larmes que vous verserez devant tant de calamités. Lire la suite

L’édito de MISC n°85 : La fin de la vie privée ?

En 2010, Jean-Marc Manach publiait « La vie privée, un problème de vieux cons ? ». Cet ouvrage discute, pour la mettre à mal, l’opinion répandue selon laquelle les natifs du numérique considéreraient qu’il est légitime d’être tracé numériquement et que leur vie privée est une marchandise échangée contre le droit d’accéder gratuitement à des services en ligne.

La fortune des géants d’Internet, à commencer par Google et Facebook, s’est bâtie sur la monétisation des données personnelles. Ces entreprises ont eu le génie de transformer les usagers de leurs services, non plus en clients, mais en produits à vendre à leurs annonceurs. Le cœur de métier de Facebook ou Google est finalement celui d’une régie publicitaire. Cela a d’ailleurs été parfaitement résumé par un ancien employé de Facebook : « les meilleurs esprits de ma génération se consacrent à faire cliquer des gens sur des pubs ». Lire la suite

La préface du guide dédié à la cryptographie !

« It is poor civic hygiene to install technologies that could someday facilitate a police state. » – Bruce Schneier

Pour ce hors-série dédié à la cryptographie, nous avons décidé de traiter la thématique en prenant comme angle d’attaque les progrès qui vont effectivement toucher le grand public. De nos jours, il ne fait plus de doute que la sécurité se compose d’un ensemble d’éléments et qu’une attention particulière doit être donnée à chacun d’eux. Lire la suite

L’édito de MISC n°84 : Vous reprendrez bien un peu de souveraineté ?

Après un début d’année 2016 anxiogène en matière de privation de nos vies privées, les députés ont choisi de détendre l’atmosphère en nous inventant un (nouveau) grand projet numérique souverain. Cette habitude française est née avec le plan-calcul de 1966, et depuis, nos élus et hauts fonctionnaires ont des tonnes d’idées de projets grandioses pour le rayonnement numérique du pays et son indépendance vis-à-vis du reste du monde.

Je ne vais pas les citer tous, mais le dernier en date, le Cloud souverain, pourrait faire sourire si l’État n’avait pas investi, à fond perdu, 150 millions d’euros. Lire la suite

L’édito de MISC n°83 : De l’acceptation du risque résiduel

Suite au massacre de Virginia Tech en 2007, Bruce Schneier publia un billet dans Wired intitulé « Virginia Tech Lesson : Rare Risks Breed Irrational Responses » [1]. Il y expliquait combien il était difficile d’évaluer les risques et à quel point notre perception était biaisée. Aussi dangereuses et meurtrières que puissent être certaines menaces, leur rareté induit un risque relativement faible comparé à d’autres menaces que nous sous-évaluons. Schneier explique que paradoxalement nous avons tendance à surévaluer le risque des événements rares et à adopter des mesures de sécurité irrationnelles lorsqu’ils se produisent. Lire la suite