La préface du hors-série consacré à la sécurité des systèmes sans fil !

« We just have these mysterious electromagnetic waves that we cannot see with the naked eye. But they are there. » Heinrich Hertz

Le domaine des télécommunications, et plus particulièrement celui des communications sans fil, a pris une ampleur considérable ces dernières années avec l’apparition de nombreux protocoles et des usages tout aussi variés : Bluetooth, WiFi, LTE, DVB, LoRa, Sigfox, Zigbee, WiMAX, NFC, etc. Les équipements électroniques grand public sont désormais ultra-connectés et le développement de ces technologies ne fait que progresser. Cependant, l’histoire de ce domaine, les télécommunications, ne s’est pas construite de manière linéaire et en adéquation avec les principes des autres domaines proches que sont, entre autres, les réseaux informatiques. Lire la suite

L’édito de MISC n°93 : Mais dis donc, on n’est quand même pas venus pour beurrer les sandwichs !

Plusieurs événements liés à la sécurité ont pu vous sortir de votre torpeur ensoleillée cet été. Par chance, si vous avez posé vos congés en août, vous ne risquiez pas de couvrir l’écran de votre smartphone de crème solaire.

Une première lecture ayant retenu mon intérêt est la publication d’un billet sur le blog de Quarkslab [1] d’une faille sur microcontrôleur utilisé notamment dans l’industrie automobile. Un détail retient particulièrement l’attention sur ce billet : le parcours du combattant de Quarkslab avant de pouvoir communiquer la faille. La lecture de la timeline à la fin du billet est particulièrement instructive et révélatrice de ce que vivent la plupart des chercheurs s’étant engagés dans une procédure de responsible disclosure en vue de la publication d’une vulnérabilité découverte. Une attitude qui n’encourage malheureusement pas les chercheurs à adopter une démarche responsable. Il est dommage qu’il soit plus simple de vendre une vulnérabilité à un broker contre quelques bitcoins que de publier la faille avec l’accord de l’éditeur après qu’il ait pu développer un correctif. Lire la suite

L’édito de MISC n°92 !

Les VIP constituent par essence une population complexe à gérer pour les responsables SSI. Ce sont les utilisateurs qui manipulent les données les plus sensibles d’une entreprise ou d’une administration, dont les fonctions les amènent à être mobiles et à devoir emmener une partie du patrimoine informationnel avec eux. Si ces problématiques représentent déjà un enjeu, certains peuvent se traiter d’une manière technique à renfort de chiffrement, d’authentification forte ou de terminaux durcis, tant que les matériels sont maîtrisés. Mais un autre paramètre, bien plus insidieux, risque de donner des sueurs froides aux responsables de la sécurité. De plus en plus de VIP sont en effet particulièrement friands de gadgets technologiques qui passent sous les radars de la DSI, tout en étant réfractaires aux règles de sécurité. Lire la suite

Découvrez la préface du hors-série consacré à la sécurité des objets connectés !

« Tout ce qui précède l’apocalypse s’appelle le progrès. »  Romain Guilleaumes

Ayant été traitée quelques fois dans des articles précédents de MISC de manière spécifique, la sécurité des objets connectés est aujourd’hui au cœur des actualités, tant dans les grands médias que dans les grandes conférences de sécurité. Le hors-série que vous tenez entre vos mains y est pleinement consacré. Qu’il s’agisse d’une montre, d’un frigo ou même d’un aspirateur, l’avènement du tout connecté n’est aujourd’hui plus un mythe, mais une réalité prenant chaque jour plus d’ampleur. Cela, bien entendu, ne se fait pas impunément : de grands risques liés à la sécurité de ces objets émergent, et l’on découvre combien le plus grand nombre d’entre eux ne sont peu ou pas sécurisés. En témoigne une des plus importantes attaques par déni de service qu’ait connue Internet (certains observateurs indiquent aux alentours d’1 Tbit/s chez OVH [1]) par le biais d’un botnet de caméras connectées infectées par le malware Mirai. Lire la suite

L’édito de MISC n°91 : Pour ne pas se retrouver en slip sur Internet

Tout responsable informatique s’est probablement agacé un jour des contraintes imposées par la CNIL en matière de gestion des données personnelles. Qui n’a pas connu ce grand moment de frustration lorsque le CIL joue les trouble-fêtes alors que, miracle de la gestion de projet, une maîtrise d’ouvrage arrive à correctement formuler un besoin, que les équipes de développement et d’intégration sont super motivées par le challenge technique et que la direction a décidé d’engager des moyens humains et financiers ? S’entendre annoncer en fin de réunion quand tout semble calé qu’une déclaration simplifiée risque de ne pas être suffisante et qu’une demande en bonne et due forme doit être adressée à la CNIL peut être une situation crispante. L’idée d’indexer les primes des commerciaux sur leur nombre de pas quotidien, la durée de leur sommeil et la fréquence de leurs rapports sexuels avait beau enthousiasmer le nouveau Chief Happiness Officer, votre CIL ne se montrait pas exagérément optimiste quant à l’adhésion de la CNIL au concept. Lire la suite

L’édito de MISC n°90 : L’IA, c’est plus fort que toi !

Ces dernières semaines, quelques articles ont relayé la première victoire d’une intelligence artificielle contre des joueurs professionnels de Poker. Une victoire d’abord symbolique. Si l’on s’était habitué depuis quelque temps à ce que la machine supplante l’homme aux jeux ne laissant que peu de place au hasard, le Poker semblait pouvoir rester, encore pour quelque temps, un jeu pour lequel une analyse froide ne suffirait pas. Pourtant à bien y regarder, il s’agit essentiellement d’un calcul de probabilités, domaine trivial pour un ordinateur si on lui fournit assez de données, avec un soupçon d’adaptation au style du jeu de l’adversaire. Mais le grand public et la presse n’aiment rien tant que se faire peur en imaginant un futur proche dans lequel les ordinateurs dépasseront les humains pour la plupart des tâches. Lire la suite

L’édito de MISC n°89 : You’ve got mail

Nous ne saurons probablement jamais si des cyberattaques commandées par la Russie ont fait basculer l’élection américaine en faveur de Donald Trump. En revanche, le fait que la question soit débattue, et que cette hypothèse semble tout à fait plausible y compris pour des enquêteurs de la CIA nous fait mesurer à quel point les questions de cyberdéfense sont devenues stratégiques. Il était largement convenu que les attaques informatiques puissent constituer une nuisance et avoir d’énormes impacts financiers. En revanche, que des pirates puissent influer sur l’élection du président de la première puissance mondiale a de quoi surprendre. Si l’on reprend l’historique des évènements, le New York Times révèle en mars 2015 que Hillary Clinton a utilisé une boîte mail privée lorsqu’elle était secrétaire d’état plutôt que la boîte sécurisée mise à sa disposition par l’administration américaine. Évidemment, cela ne fait pas très professionnel, mais que celui qui n’a jamais mélangé vie numérique privée et professionnelle par étourderie, négligence ou facilité lui jette la première pierre. Lire la suite

L’édito de MISC n°88 : Le mot de passe, ce grand cadavre à la renverse

La publication de la base de comptes utilisateurs de Yahoo le 22 septembre dernier avec son demi-milliard d’identifiants est largement la plus grosse fuite de données rendue publique à ce jour et a de quoi donner le vertige. C’est peut-être le dernier clou dans le cercueil de cette société, ce géant du Web déchu qui pouvait se payer en 2000 des publicités en prime time à la télévision à une époque où elle était encore regardée par tous [1].

Mais au-delà de cette énième fuite d’information, ce qui, rétrospectivement, pourrait étonner un informaticien de la fin des années 1990 est que nous continuons, en 2016, à utiliser des mots de passe, voire dans le cas des banques des codes PIN, pour accéder à nos données les plus sensibles. Lire la suite

La préface du guide Metasploit !

Une fois n’est pas coutume, l’intégralité de ce hors-série de MISC est dédié à l’un des outils de test d’intrusion les plus connus du monde de la sécurité des systèmes d’information : le projet Metasploit. Qu’il s’agisse d’attaquer de vieux services obsolètes ou d’exploiter une vulnérabilité dans une application web moderne, Metasploit a développé au fil du temps une grande habilité à intégrer et gérer une quantité de modules impressionnants aux possibilités très variées : exploitation en tout genre, maintien d’accès, scanneur, récupération d’informations, post-exploitation et bien d’autres choses encore tel un module d’exploitation automatique dédié aux navigateurs (browser_autopwn2). En témoigne l’excellent « Weekly Metasploit Wrapup » [1], le projet est également très actif et bénéficie d’une grande communauté d’utilisateurs et de contributeurs. Lire la suite

L’édito de MISC n°87 : Arrête de ramer, t’es sur le sable

L’été 2015 se terminait avec comme principale actualité à nous mettre sous la dent le piratage des données d’Ashley Madison et la mise en pâture d’une kyrielle de données nominatives d’utilisateurs réels (ou pas) qui se seraient bien passés d’apparaître dans ces listings. Durant l’été 2016, après la publication de milliers de courriels internes du parti démocrate américain, ce sont des exploits ciblant des 0days et affectant les principaux constructeurs d’équipements réseau qui auraient été volés à la NSA et qui se retrouvent dans la nature. Dans les deux cas, si une fuite interne n’est pas à exclure, des regards se sont tournés vers des groupes de pirates russes qui seraient liés aux services de renseignements du Kremlin. Autant dire que si l’une ou l’autre des intrusions est confirmée on franchit quelques marches quant à la technicité requise pour réussir à voler ces données. Lire la suite