Posts in Category: Sécurité
L’arroseur arrosé
Un fait divers récent est passé relativement peu aperçu et pourtant il révèle, non seulement, la présence toujours accrue des menaces qui pèsent sur nos vies digitales, mais aussi le savoir faire de ceux qui luttent pour nous protéger.
Aidés par la Sté Avast, le centre de lutte contre les criminalités numériques (C3N) a utilisé une méthode plutôt originale pour désinfecter à distance plus de 800 000 ordinateurs infectés par un botnet. Quand j’vous disais que c’étais des gens biens… 😉
En effet, ils ont utilisé la même faille, celle qui avait permis aux cybercriminels d’infester un grand nombre de machines, pour éradiquer la menace et obtenir les informations nécessaires pour engager des actions en justice.
Il est plaisant de constater que les failles exploitées par les cybercriminels ont elles-même servi à stopper l’attaque.
C’est par ici.
le WPA-3 arrive, on y croyait plus…
Il y a quelques heures le consortium WiFi Alliance publiait son nouveau protocole, le WPA3.
Rappelons qu’à l’automne dernier une faille de sécurité, nommée Krack, avait été découverte. Elle utilisait une vulnérabilité du protocole WPA2, qui, de ce fait devenait guère plus sécurisé que feu WEP, ne promettant que quelques heures de résistance à une attaque sur un AP.
Bien sûr quelques correctifs avaient été diffusés pour “patcher” cette faille, encore que seuls les produits les plus récents de quelques éditeurs pouvaient en bénéficier; les autres passez votre chemin…
Depuis, plus de nouvelles.
Avec WPA-3 l’ancien protocole de négociation (4-way hand shake) est replacé par un nouveau appelé « Simultaneous Authentication of Equals ». La phase d’authentification est ainsi protégée des attaques et, en supplément, le chiffrement des données transmises est renforcé empêchant l’interception par un pirate même ayant découvert le mot de passe.
En supplément le protocole utiliserai une connexion chiffrée entre l’ordinateur et les AP des lieux publics, mais j’ai peu d’informations sur ce point.
Le blog de René en https://
Vous l’avez remarqué, depuis quelques jours le blog est accessible à travers une liaison https.
Cette modification est motivée plus par souci de référencement que par sécurité, les informations diffusées n’ayant aucun caractère confidentiel ou commercial.
Voici quelques mois que Google et d’autres moteurs de recherche menacent de ne plus référencer les sites qui n’utiliseraient pas le protocole sécurisé. Cette décision à l’emporte-pièce risque de voir les bébés jetés avec l’eau du bain. Si le danger est bien réel sur les sites de commerce ou sur ceux permettant de consulter des données plus ou moins confidentielles, le risque est négligeable sur les blogs personnels où les auteurs ne font que diffuser de la connaissance; l’usurpation et la falsification des données n’ayant aucun intérêt.
Bien entendu lorsque j’ai souhaité implémenter ce protocole, un certain nombre d’obstacles se sont dressés devant le modeste webmestre que je suis. Un des plus surprenants était qu’il fallait passer sur une offre d’hébergement supérieure pour pouvoir activer le SSL. Tiens ! Revoilà la petite musique qui tinte : “envoie la monnaie !” 🙂 On le constate de plus en plus chaque jour, il est bien difficile d’être un blogueur indépendant…
En attendant ma disparition du cyber monde, profitez de ces pages, même si elle sont en https. C’est toujours gratuit 😉 . Si votre navigateur rencontrait une quelconque difficulté suite à ce changement, n’hésitez pas à m’en faire part que j’essaye d’y remédier avec mes petits bras.
Bonne lecture à tous.
Vos nouveaux compagnons, et pour longtemps…
Je vous ai deja parlé des vulnérabilités qui nous enquiquinent régulièrement et risquent de compromettre nos malheureux ordinateurs et surtout la sécurité de notre patrimoine immatériel qui y est stocké.
Jusqu’à présent ces enquiquinements s’éliminaient en effectuant une mise à jour (plus ou moins tardive) du système d’exploitation ou des logiciels installés dans nos précieuses bécanes.
Énervants mais pas irrémédiables. On se disait que finalement, avec un minimum de prophylaxie, on pouvait passer au travers de tous ces pièges.
C’était sans compter avec le génie que déploient nos fabricants de composants.
Voici que déboulent Spectre et Meltdown. Kékséksa ? me demanderez-vous ?
Découverte d’une vulnérabilité sur le protocole WiFi/WPA2
Comme des millions d’internautes nous utilisons tous le WiFi de notre box. Pour sécuriser cette liaison radio, il est recommandé d’utiliser le protocole WPA2, le plus sûr jusqu’à ce jour.
Des chercheurs ont découvert une vulnérabilité dans ce protocole.Il fallait s’y attendre. A ce jour les utilisateurs de cette protection ne sont pas plus protégés que s’ils utilisaient le WEP, c’est à dire pas du tout !
En attendant des correctifs vous pouvez prendre connaissance du problème sur le site du CERT et mettre en place les mesures conservatoires.
Et surtout n’attendez pas pour effectuer les mises à jour dès qu’elles seront disponibles…
Si elles sont disponibles un jour…
Galileo : le temps est détraqué !
Cela ne vous a pas échappé, le programme de positionnement par satellites européen Galileo rencontre quelque soucis avec les horloges atomiques embarquées dans les satellites.
Selon les informations disponibles dans la presse, 9 horloges sur les 72 que compte la constellation (18 satellites à ce jour) son tombées en panne. Chaque satellite embarquant 2 horloges au rubidium et 2 horloges masers à hydrogène passif, cepandant, il reste suffisamment d’horloges opérationnelles pour assurer la mission (lire mon article pour comprendre l’importance de la précision du temps sur la géolocalisation).
Cependant si l’on ignore pour l’instant l’origine exacte des avaries, la situation n’en demeure pas moins préoccupante car de la précision des informations horodatées émises par les satellites dépend la précision de la géolocalisation. Certains analystes évoquent le piratage du système, pointant du doigt la faiblesse des protections sur nos systèmes informatiques. A ce jour cette hypothèse n’est pas confirmée.
Sécurité informatique : tout le monde est concerné…
Il y a quelques années, les problématiques sérieuses de sécurité informatique ne concernaient que les plus grand groupes, même s’il arrive parfois que les particuliers soient ennuyés par des virus sur leur poste personnel. Mais à l’heure du “tout connecté”, il est temps de revoir les enjeux liés à la sécurité informatique, que l’on soit un particulier, une petite ou une grande entreprise. Pour preuve, la toute récente attaque informatique ayant mis hors service pendant plusieurs heures des sites de grande envergure aux Etats Unis et en France, tels que Ebay, Airbnb, Paypal ou le New York Times, et à laquelle les médias font référence comme l’affaire de l’attaque DDoS Dyn. La particularité de cette attaque ? Les hackers avaient levés une armée d’objets connectés “zombies”, autrement dit, des objets ordinaires, connectés à Internet, dont ils avaient pu prendre le contrôle, entre autre, des caméras et des enregistreurs DVR. A l’aide de ces objets, les pirates ont pu lancer une attaque contre un fournisseur de service lié au bon fonctionnement des redirections web, surchargeant de requêtes le site ciblé, ils ont pu ainsi mettre hors service momentanément une partie de l’Internet…
Ya pas que Google dans la vie…
Le Figaro tech & web vient de publier un article décrivant la découverte d’un logiciel espion implanté nativement dans des smartphones Androïd. Bien entendu la société à l’origine de cette affaire est Chinoise…
Maintenant on ne dis plus “Votre argent m’intéresse” (les moins de 40 ans ne peuvent pas connaître 🙂 ) mais “Votre vie m’intéresse !”
Sont pas prêts de me voir randonner chez eux (des fois qu’il leur prendrait l’idée de me pirater mes photos de touriste 🙂 )
Etes vous sûrs de votre meilleur ami ?
Malgré mon enthousiasme pour les nouvelles technologies, je dois bien reconnaître que la “face sombre” existe bel et bien.
Si comme moi vous utilisez le mode avion sans compter, je suis sûr qu’une petite voix vous susure régulièrement “est tu certain que ton machinphone n’émet pas ?“
<joke>Dormez bien braves gens l’entreprise au fruit défendu veille sur vos données et même les barbouzes n’y verront que du feu !</joke>
Eh bien quelques concepteurs ne sont pas d’accord avec cette affirmation et ont décidé de s’attaquer au manque de discrétion de nos petites merveilles :
L’ancien analyste de la NSA et le hacker Andrew Huang viennent de présenter un prototype d’outil permettant de couper de manière sûre toute communication d’un téléphone.
A Suivre….
Aux supporters du “Moi ? Je n’ai rien à cacher !”
Combien de fois avons nous entendu cette affirmation : “Moi ? Je n’ai rien à cacher !”. Si cette affirmation péremptoire pouvait s’expliquer du temps de la vraie vie (celle que j’oppose à la vie virtuelle sur Internet), il en est tout autrement depuis la montée en puissance du réseau des réseaux.
Même dans l’éventualité où nos échanges sont chiffrés, nous révélons chaque jour, à notre insu, bien des données que nous ne souhaiterions pas étaler au grand jour si nous avions conscience de leur utilisation.
Et je ne parle même pas des objets connectés…
Voici une petite vidéo : Les métadonnées expliquées en Patates.
(Rajouté le 22 mars 2016)
N’allez pas conclure, trop rapidement, que cet article soit une plaidoirie contre les mesures de cybersécurité qui vont imanquablement nous être imposées, suite aux évènements de ce jour. Ce billet n’est rédigé qu’à titre informatif.