juillet 26, 2014

Cybernouvelles du côté obscur – 26 juillet 2014

Une voiture télécommandée ? Oui, la vôtre et pendant que vous la conduisez …

A l’actu : les nouvelles méthodes de piratage, les attaques ciblées et l’épidémie de malwares qui commence même à toucher M. et Mme Tout le Monde. Cela devient presque la routine après tout. Par contre, ce qui bouleverse le quotidien de M. et Mme Tout le Monde, c’est quelque chose de moins commun : des objets auxquels on aurait jamais pensé… se font aussi pirater.

Une enquête rapporte comment des pirates ont pris le contrôle de certains gadgets dans le moteur d’uneTesla, dans le cadre d’une compétition de hacking en Chine. Mais pourquoi choisir une Tesla ? Qu’est-ce qu’elle a de spécial ? Serait-ce parce qu’elle est électrique, ou bien parce qu’elle contient tellement de composants électroniques dernier cri que ça ressemble plus à un super ordinateur qu’à une voiture ? En même temps, à quoi vous attendiez-vous ? Chaque nouvelle fonctionnalité, et en particulier celles qui n’ont pas été conçues par des experts en sécurité informatique, contient des failles et représente une menace. C’est justement ces imperfections qu’ont exploité les hackers de la conférence en Chine.

Le hacker chinois a démontré la chose suivante : le malfrat pourrait contrôler les freins, les phares et bien plus, et ce même quand la voiture est en marche. C’est digne d’un scénario de Watch Dog ou la réalité dépasse la fiction. Aucun détail sur la manière dont le pirate a réalisé cet exploit n’a été publié pour l’instant. Il semblerait qu’ils aient été transmis uniquement à Tesla, afin d’opérer les changements nécessaires.

Hmmmm, mais attendons de voir si c’est vraiment ce qui s’est passé… Après tout, ce n’est pas la première fois que, dans un cas comme celui-ci, on finit par se rendre compte que le piratage est en fait impossible, ou seulement dans des conditions totalement irréalistes. Et pourtant, ça ne m’étonnerait pas que la faille soit bien réelle. Récemment, nous avons fait une étude un peu bizarre sur les composants électroniques de la nouvelle BMW. Et globalement, des failles exploitables par les pirates, ce n’est pas ce qui manque.

Et maintenant quelques cybernouvelles concernant les mots de passe.

Un journaliste du Wall Street Journal s’est pris lui-même comme cobaye pour démontrer l’inutilité des mots de passe. (Nous utilisons de plus en  plus les solutions d’authentification multi facteurs comme les mots de passe temporaires envoyés par sms)

En réalité, je n’ai rien contre les méthodes d’authentification à deux facteurs : ce sont les plus efficaces (même si les pirates sont déjà capables de les contourner) !  Cependant, l’expérience n’a pas vraiment porté ses fruits : le journaliste a publié son mot de passe de Twitter, juste après avoir activé l’envoi automatique d’un sms de confirmation si quelqu’un s’authentifie. Son compte n’a pas été piraté mais il a dû mettre un terme à l’expérience. Ceux qui voulaient contrer sa théorie sur l’inutilité des mots de passe étaient si nombreux que le téléphone du journaliste a rapidement été saturé de sms de confirmation !

Conseils dangereux

Les mots de passe sont vraiment un sujet brûlant. Et voici un nouveau bijou tout droit venu de cette partie du cyber paysage.

À combien de services web vous connectez-vous ? Et combien de mots de passe utilisez-vous ? En général, nous n’utilisons qu’un mot de passe, peu importe la quantité de services web auxquels on se connecte. Oui, nous utilisons le même mot de passe pour presque tout, et pas seulement sur Internet, mais aussi pour le réseau de l’entreprise. On le fait parce que c’est naturel, alors que retenir une douzaine de mots de passe serait impossible.

 Que peut-on donc faire ?

Et bien, Microsoft a développé un modèle mathématique qui nous permettrait de gérer tous nos comptes en utilisant seulement quelques mots de passe. Vous avez juste à classer les services web par groupes, en fonction de leur importance, et ensuite attribuer un mot de passe à chaque groupe. Veillez à choisir un mot de passe complexe pour le groupe le plus important. Mais, il y a une condition à absolument respecter : cette méthode ne s’applique pas aux banques en ligne ou autres services qui gèrent des centaines de dollars.

(c’est une condition a absolument respecter, mais je ne rentrerais pas dans les détails…).

Et si vous n’êtes toujours pas convaincu (si cela ne peut pas protéger mes données bancaires en ligne, quel intérêt pour mes emails ??!!), il y a une solution bien plus simple (et fiable) : un gestionnaire de mots de passe.

Je sais ce que fera votre OPC cet été

 Revenons sur la sécurité des systèmes de contrôle industriels

J’ai fait quelques prédictions en ce qui les concerne et, hélas, parfois elles se sont révélées vraies. Et parmi les présages figurait l’émergence de malwares pour systèmes de contrôle industriels. Après ça, j’accorde bien plus de crédit à Cassandre et à sa malédiction. Mais de toute façon, chaque nouvelle info dans ce domaine provoque des réactions de dépit ou de peur, ou bien les deux.

Les malwares s’approchent dangereusement des systèmes de contrôle industriels. Et en voici une preuve : un module récemment découvert du cheval de Troie Havex scanne des serveurs OPC (des ‘interprètes’ entre automates programmables industriels et le point de contrôle du système). Havex peut donc s’infiltrer dans un réseau d’entreprise (par exemple via l’ordinateur du comptable), ce qui permet ensuite au cybercriminel de tout savoir sur vos procédés industriels.

La bonne nouvelle: il semblerait que le module de Havex ne soit rien de plus qu’un concept de malware : aucune attaque de sa part n’a encore été détectée. Et on ne doute pas que cette fonction soit opérationnelle. Dans la sécurité industrielle, il n’y a qu’un pas pour passer de la théorie à la pratique.

Encore un méchant prêteur sur gage qui a mordu la poussière !

Et encore un botnet en moins. Avec l’aide d’Europol, du FBI, duGCHQ et d’autres, nous sommes venus à bout de Shylock. Pas besoin de plus pour Shylock. Cette opération complexe a demandé beaucoup d’organisation de travail pour collecter et analyser une grosse quantité d’informations. Et cela a fonctionné dans plusieurs pays en même temps. Mais le mieux dans cette affaire c’est que cela a marché, une preuve que la coopération internationale, que je prône depuis toujours, ça fonctionne aussi !

Pourtant, il y a cinq ans, une telle opération était difficilement réalisable et aurait provoqué les railleries et la colère de l’administration. Et il y a dix ans, cela aurait été carrément impossible à cause de la nature fermée de la cyber police de l’époque et du manque de ressources, y compris d’employés.

Java : en vaut-il la peine ?

Java, encore et toujours, oui je sais. Java est partout : c’est pratiquement impossible de passer à côté car de nombreux applications ne fonctionnent pas sans. Et c’est d’autant plus désagréable que Java est plein de failles, de bugs et  de virus ou d’attaques spécialement conçus pour ce programme. Et c’est paradoxal car, croyez-le ou pas, il était prévu que ce soit la plateforme la plus sécurisée au monde ! Et de nos jour selle est connue pour une chose : sa dangerosité ! On dirait qu’Oracle n’a pas été capable de régler ce problème de sécurité. On a le sentiment qu’une fois qu’ils ont racheté Sun, la sécurité sur Java était la dernière de leur préoccupation.  Je me demande : qui a désactivé Java sur son navigateur ?

La bonne nouvelle: il semblerait que le module de Havex ne soit rien de plus qu’un concept de malware : aucune attaque de sa part n’a encore été détectée. Et on ne doute pas que cette fonction soit opérationnelle. Dans la sécurité industrielle, il n’y a qu’un pas pour passer de la théorie à la pratique.

Encore un méchant prêteur sur gage qui a mordu la poussière !

Et encore un botnet en moins. Avec l’aide d’Europol, du FBI, duGCHQ et d’autres, nous sommes venus à bout de Shylock. Pas besoin de plus pour Shylock. Cette opération complexe a demandé beaucoup d’organisation de travail pour collecter et analyser une grosse quantité d’informations. Et cela a fonctionné dans plusieurs pays en même temps. Mais le mieux dans cette affaire c’est que cela a marché, une preuve que la coopération internationale, que je prône depuis toujours, ça fonctionne aussi !

Pourtant, il y a cinq ans, une telle opération était difficilement réalisable et aurait provoqué les railleries et la colère de l’administration. Et il y a dix ans, cela aurait été carrément impossible à cause de la nature fermée de la cyber police de l’époque et du manque de ressources, y compris d’employés.

Java : en vaut-il la peine ?

Java, encore et toujours, oui je sais. Java est partout : c’est pratiquement impossible de passer à côté car de nombreux applications ne fonctionnent pas sans. Et c’est d’autant plus désagréable que Java est plein de failles, de bugs et  de virus ou d’attaques spécialement conçus pour ce programme. Et c’est paradoxal car, croyez-le ou pas, il était prévu que ce soit la plateforme la plus sécurisée au monde ! Et de nos jour selle est connue pour une chose : sa dangerosité ! On dirait qu’Oracle n’a pas été capable de régler ce problème de sécurité. On a le sentiment qu’une fois qu’ils ont racheté Sun, la sécurité sur Java était la dernière de leur préoccupation.  Je me demande : qui a désactivé Java sur son navigateur ?

Pour ceux qui ne l’ont pas désactivé – installez rapidement les patchs !

 

LIRE LES COMMENTAIRES 0
Laisser un commentaire
Facebook

février 27, 2024

Les récompenses ne sont jamais trop nombreuses. Surtout si elles sont européennes !

Bonjour à tous… depuis l’Autriche ! Mais je n’y suis pas allé que pour admirer depuis ma fenêtre le temps morne qu’il fait en Europe. J’y étais pour les affaires – pour faire beaucoup de choses. Mais surtout pour recevoir ça moi-même ! -> … Parce que quand votre entreprise reçoit une récompense qui n’est […]

juin 27, 2023

Experts en cybersécurité : le SAS est de retour et en présentiel !

Trompettes, roulements de tambour, applaudissements, cris d’encouragement, sifflements… ! Par cet acte, j’ai deux nouvelles à vous annoncer : une bonne, et une autre encore meilleure ! Tout d’abord, cette année nous allons organiser la 15ème édition de notre conférence annuelle de cybersécurité : le Security Analyst Summit (SAS). Quinze ? Incroyable, le temps passe si vite ! Ensuite, nous pouvons […]

janvier 19, 2023

Analyse de 2022 : nos brevets ont connu un franc succès !

L’invention de nouvelles technologies de pointe ne représente que la moitié du travail. Attendez, non ! Je ne devrai pas être pas si catégorique… Les nouvelles technologies d’avant-garde et révolutionnaires sont en réalité un cycle de vie probablement beaucoup plus complexe et long que ce que la majorité des gens pensent au premier abord. Évidemment, si […]

novembre 11, 2022

11 / 11 : ce qui s’est passé ces vingt dernières années !

Mesdames et messieurs ! Et tout à coup, nous avons un nouveau jubilé. Hourra ! Notre système d’exploitation cyber-immunisé, KasperskyOS est actuellement… Attendez ! Non, ce n’est pas exact… Il y a exactement 20 ans, le 11 novembre 2002, nous avons entamé un long voyage extrêmement important : un voyage que nous n’avons toujours pas terminé. Un vaste projet […]

juillet 21, 2022

Cyber-histoires du côté obscur (et d’autres positives) : un piratage audacieux de cryptomonnaie, K s’intéresse aux technologies neuromorphiques et comment entrer dans un centre de données depuis… les toilettes !

Bonjour à tous ! Pour ceux qui gagnent leur pain à la sueur de leur front, ceux qui n’ont pas encore la chance d’être partis en désintoxication numérique vacances, voici quelques cyber-actualités croustillantes pour éviter que votre cerveau ne surchauffe. Il s’agit évidemment d’histoires du côté obscur, mais aussi positives, incroyables et difficiles à croire dans […]

juillet 5, 2022

Un Kart de siècle ? Où le temps est-il passé ?!…

Salut à tous ! Il y a 25 ans et neuf jours, le 26 juin 1997, l’entreprise qui porte le même nom que moi a été inscrite aux registres. Il s’agissait de  » débuts modestes « , littéralement : une douzaine de personnes avec un taux de rotation nul – mais avec une expertise technique particulière, et des projets […]

Plus

Carnet de voyage vidéo