juillet 26, 2014
Cybernouvelles du côté obscur – 26 juillet 2014
Une voiture télécommandée ? Oui, la vôtre et pendant que vous la conduisez …
A l’actu : les nouvelles méthodes de piratage, les attaques ciblées et l’épidémie de malwares qui commence même à toucher M. et Mme Tout le Monde. Cela devient presque la routine après tout. Par contre, ce qui bouleverse le quotidien de M. et Mme Tout le Monde, c’est quelque chose de moins commun : des objets auxquels on aurait jamais pensé… se font aussi pirater.
Une enquête rapporte comment des pirates ont pris le contrôle de certains gadgets dans le moteur d’uneTesla, dans le cadre d’une compétition de hacking en Chine. Mais pourquoi choisir une Tesla ? Qu’est-ce qu’elle a de spécial ? Serait-ce parce qu’elle est électrique, ou bien parce qu’elle contient tellement de composants électroniques dernier cri que ça ressemble plus à un super ordinateur qu’à une voiture ? En même temps, à quoi vous attendiez-vous ? Chaque nouvelle fonctionnalité, et en particulier celles qui n’ont pas été conçues par des experts en sécurité informatique, contient des failles et représente une menace. C’est justement ces imperfections qu’ont exploité les hackers de la conférence en Chine.
Le hacker chinois a démontré la chose suivante : le malfrat pourrait contrôler les freins, les phares et bien plus, et ce même quand la voiture est en marche. C’est digne d’un scénario de Watch Dog ou la réalité dépasse la fiction. Aucun détail sur la manière dont le pirate a réalisé cet exploit n’a été publié pour l’instant. Il semblerait qu’ils aient été transmis uniquement à Tesla, afin d’opérer les changements nécessaires.
Hmmmm, mais attendons de voir si c’est vraiment ce qui s’est passé… Après tout, ce n’est pas la première fois que, dans un cas comme celui-ci, on finit par se rendre compte que le piratage est en fait impossible, ou seulement dans des conditions totalement irréalistes. Et pourtant, ça ne m’étonnerait pas que la faille soit bien réelle. Récemment, nous avons fait une étude un peu bizarre sur les composants électroniques de la nouvelle BMW. Et globalement, des failles exploitables par les pirates, ce n’est pas ce qui manque.
Et maintenant quelques cybernouvelles concernant les mots de passe.
Un journaliste du Wall Street Journal s’est pris lui-même comme cobaye pour démontrer l’inutilité des mots de passe. (Nous utilisons de plus en plus les solutions d’authentification multi facteurs comme les mots de passe temporaires envoyés par sms)
En réalité, je n’ai rien contre les méthodes d’authentification à deux facteurs : ce sont les plus efficaces (même si les pirates sont déjà capables de les contourner) ! Cependant, l’expérience n’a pas vraiment porté ses fruits : le journaliste a publié son mot de passe de Twitter, juste après avoir activé l’envoi automatique d’un sms de confirmation si quelqu’un s’authentifie. Son compte n’a pas été piraté mais il a dû mettre un terme à l’expérience. Ceux qui voulaient contrer sa théorie sur l’inutilité des mots de passe étaient si nombreux que le téléphone du journaliste a rapidement été saturé de sms de confirmation !
Conseils dangereux
Les mots de passe sont vraiment un sujet brûlant. Et voici un nouveau bijou tout droit venu de cette partie du cyber paysage.
À combien de services web vous connectez-vous ? Et combien de mots de passe utilisez-vous ? En général, nous n’utilisons qu’un mot de passe, peu importe la quantité de services web auxquels on se connecte. Oui, nous utilisons le même mot de passe pour presque tout, et pas seulement sur Internet, mais aussi pour le réseau de l’entreprise. On le fait parce que c’est naturel, alors que retenir une douzaine de mots de passe serait impossible.
Que peut-on donc faire ?
Et bien, Microsoft a développé un modèle mathématique qui nous permettrait de gérer tous nos comptes en utilisant seulement quelques mots de passe. Vous avez juste à classer les services web par groupes, en fonction de leur importance, et ensuite attribuer un mot de passe à chaque groupe. Veillez à choisir un mot de passe complexe pour le groupe le plus important. Mais, il y a une condition à absolument respecter : cette méthode ne s’applique pas aux banques en ligne ou autres services qui gèrent des centaines de dollars.
(c’est une condition a absolument respecter, mais je ne rentrerais pas dans les détails…).
Et si vous n’êtes toujours pas convaincu (si cela ne peut pas protéger mes données bancaires en ligne, quel intérêt pour mes emails ??!!), il y a une solution bien plus simple (et fiable) : un gestionnaire de mots de passe.
Je sais ce que fera votre OPC cet été
Revenons sur la sécurité des systèmes de contrôle industriels
J’ai fait quelques prédictions en ce qui les concerne et, hélas, parfois elles se sont révélées vraies. Et parmi les présages figurait l’émergence de malwares pour systèmes de contrôle industriels. Après ça, j’accorde bien plus de crédit à Cassandre et à sa malédiction. Mais de toute façon, chaque nouvelle info dans ce domaine provoque des réactions de dépit ou de peur, ou bien les deux.
Les malwares s’approchent dangereusement des systèmes de contrôle industriels. Et en voici une preuve : un module récemment découvert du cheval de Troie Havex scanne des serveurs OPC (des ‘interprètes’ entre automates programmables industriels et le point de contrôle du système). Havex peut donc s’infiltrer dans un réseau d’entreprise (par exemple via l’ordinateur du comptable), ce qui permet ensuite au cybercriminel de tout savoir sur vos procédés industriels.
La bonne nouvelle: il semblerait que le module de Havex ne soit rien de plus qu’un concept de malware : aucune attaque de sa part n’a encore été détectée. Et on ne doute pas que cette fonction soit opérationnelle. Dans la sécurité industrielle, il n’y a qu’un pas pour passer de la théorie à la pratique.
Encore un méchant prêteur sur gage qui a mordu la poussière !
Et encore un botnet en moins. Avec l’aide d’Europol, du FBI, duGCHQ et d’autres, nous sommes venus à bout de Shylock. Pas besoin de plus pour Shylock. Cette opération complexe a demandé beaucoup d’organisation de travail pour collecter et analyser une grosse quantité d’informations. Et cela a fonctionné dans plusieurs pays en même temps. Mais le mieux dans cette affaire c’est que cela a marché, une preuve que la coopération internationale, que je prône depuis toujours, ça fonctionne aussi !
Pourtant, il y a cinq ans, une telle opération était difficilement réalisable et aurait provoqué les railleries et la colère de l’administration. Et il y a dix ans, cela aurait été carrément impossible à cause de la nature fermée de la cyber police de l’époque et du manque de ressources, y compris d’employés.
Java : en vaut-il la peine ?
Java, encore et toujours, oui je sais. Java est partout : c’est pratiquement impossible de passer à côté car de nombreux applications ne fonctionnent pas sans. Et c’est d’autant plus désagréable que Java est plein de failles, de bugs et de virus ou d’attaques spécialement conçus pour ce programme. Et c’est paradoxal car, croyez-le ou pas, il était prévu que ce soit la plateforme la plus sécurisée au monde ! Et de nos jour selle est connue pour une chose : sa dangerosité ! On dirait qu’Oracle n’a pas été capable de régler ce problème de sécurité. On a le sentiment qu’une fois qu’ils ont racheté Sun, la sécurité sur Java était la dernière de leur préoccupation. Je me demande : qui a désactivé Java sur son navigateur ?
La bonne nouvelle: il semblerait que le module de Havex ne soit rien de plus qu’un concept de malware : aucune attaque de sa part n’a encore été détectée. Et on ne doute pas que cette fonction soit opérationnelle. Dans la sécurité industrielle, il n’y a qu’un pas pour passer de la théorie à la pratique.
Encore un méchant prêteur sur gage qui a mordu la poussière !
Et encore un botnet en moins. Avec l’aide d’Europol, du FBI, duGCHQ et d’autres, nous sommes venus à bout de Shylock. Pas besoin de plus pour Shylock. Cette opération complexe a demandé beaucoup d’organisation de travail pour collecter et analyser une grosse quantité d’informations. Et cela a fonctionné dans plusieurs pays en même temps. Mais le mieux dans cette affaire c’est que cela a marché, une preuve que la coopération internationale, que je prône depuis toujours, ça fonctionne aussi !
Pourtant, il y a cinq ans, une telle opération était difficilement réalisable et aurait provoqué les railleries et la colère de l’administration. Et il y a dix ans, cela aurait été carrément impossible à cause de la nature fermée de la cyber police de l’époque et du manque de ressources, y compris d’employés.
Java : en vaut-il la peine ?
Java, encore et toujours, oui je sais. Java est partout : c’est pratiquement impossible de passer à côté car de nombreux applications ne fonctionnent pas sans. Et c’est d’autant plus désagréable que Java est plein de failles, de bugs et de virus ou d’attaques spécialement conçus pour ce programme. Et c’est paradoxal car, croyez-le ou pas, il était prévu que ce soit la plateforme la plus sécurisée au monde ! Et de nos jour selle est connue pour une chose : sa dangerosité ! On dirait qu’Oracle n’a pas été capable de régler ce problème de sécurité. On a le sentiment qu’une fois qu’ils ont racheté Sun, la sécurité sur Java était la dernière de leur préoccupation. Je me demande : qui a désactivé Java sur son navigateur ?
Pour ceux qui ne l’ont pas désactivé – installez rapidement les patchs !