juillet 7, 2020
Cyber-histoires du côté obscur : vulnérabilités inattendues, piratage à la demande et système d’exploitation de SpaceX
Passer le premier mois de l’été en quarantaine : fait. Il semblerait que le monde s’ouvre progressivement mais nous préférons ne pas prendre de risques à K et nous avons décidé de continuer à télétravailler. Cela ne signifie pas pour autant que nous avons perdu en efficacité : nous travaillons toujours aussi bien, d’autant que les cybercriminels n’ont pas été mis au chômage technique. La situation générale des menaces n’a toutefois pas connu de changement majeur ces derniers temps. Comme d’habitude, les pirates informatiques ont tout de même mis au point des cyber-méthodes plutôt étonnantes. Voici certaines de celles que nous avons vues ce dernier mois.
Vulnérabilité zero-day dans le système d’exploitation ‘super-sécurisé’ Tails de Linux
Il ne fait aucun doute que Facebook sait comment dépenser son argent. Il s’avère que l’entreprise a investi un important montant à six chiffres dans la création d’un exploit zero-day pour s’en prendre à une vulnérabilité du système d’exploitation Tails (= Linux, spécialement conçu pour profiter d’une meilleure vie privée) dans le cadre d’une affaire du FBI. Cette action a permis la détention d’un pédophile. Ils savaient depuis un certain temps que cet individu paranoïaque et dérangé utilisait ce système d’exploitation particulièrement sécurisé. Facebook a d’abord utilisé sa capacité à cartographier les comptes pour connecter tous ceux que le criminel avait utilisés. Il a malgré tout été impossible d’obtenir une adresse valide à partir de cette cyber-victoire. Ils ont apparemment demandé le développement d’un exploit pour une application de lecteur vidéo. Ce choix était judicieux puisque le prédateur sexuel demandait à ses victimes de lui envoyer des vidéos et qu’il les regardait sûrement sur son ordinateur.
Il semblerait que la vulnérabilité exploitée n’a pas été signalée aux développeurs de Tails qui ont ensuite répondu qu’elle avait déjà été corrigée. Les employés de l’entreprise ne disent rien à ce sujet mais il est évident que la » commande d’une vulnérabilité » n’est pas la meilleure publicité. On espère néanmoins que cet exploit était unique, réservé à ce criminel particulièrement mauvais, et que cela ne va pas se répéter pour un quelconque utilisateur.
Ce qu’il faut en retenir : peu importe à quel point le projet basé sur Linux ce dit super-méga sécurisé, rien ne garantit qu’il n’y ait pas de vulnérabilité. Pour pouvoir revendiquer une telle capacité, la totalité des procédures de travail de base et l’architecture du système d’exploitation doit être restructurée. Hm, oui, en réalité, c’est l’occasion parfaite pour dire bonjour à ça 😊.