Group items tagged

Nicole Perlroth revient sur le vol de 110 millions de profils personnels des clients de la chaine de grand magasin Target - http://www.nytimes.com/2014/01/11/business/target-breach-affected-70-million-customers.html - incluant des e-mail, des adresses, des noms, des numéros de téléphone, ainsi que des informations de paiement pour 40 millions de profils. Nous ne devrions pas donner notre e-mail, nos adresses aussi facilement aux caissières des magasins qui nous le demandent même gentiment, estime la spécialiste de la sécurité du New York Times. Souvent, on nous assure que ce n'est pas pour nous spammer... Mais le problème n'est pas là. Les magasins n'ont pas besoin de nos e-mails ou de nos dates de naissance pour qu'on leur achète quelque chose. Nous savons maintenant que pour Target, comme tant d'autres avant lui et tant d'autres après lui, les données que nous confions à ces magasins ne sont pas en sécurité. Ils ne sont pas plus en sécurité dans un grand magasin ou une grande chaine que dans un petit commerce (au contraire même) parce que la grande chaine ou le grand magasin aurait plus de moyens à mettre sur la sécurité des données. Aucune entreprise n'est sécurisé. Or nous ne demandons pas aux entreprises si nos e-mails et mots de passe sont cryptés, ni avec quels types de clefs. Nous n'arrêtons pas de faire des affaires avec des entreprises qui ne prennent pas la protection des données au sérieux. Quand on lui demande son e-mail, Nicole Perlroth répond : privacyreporter@stopaskingme.com.

Plutôt que de travailler délibérément à affaiblir la sécurité de tous, la NSA devrait travailler à améliorer la sécurité de chacun disait récemment Bruce Schneier : http://boingboing.net/2014/02/21/break-up-the-nsa-and-save-amer.html Le problème, désormais, depuis que l'on connait l'ampleur de la surveillance de la NSA, c'est qu'on ne peut pas rendre ses ordinateurs sûrs. Plus personne n'en est capable. Et Cory Doctorow de comparer la sécurité des agences de sécurité à la santé publique. Si vous aviez découvert que votre gouvernement accumulait des informations sur les parasites pathogène de l'eau plutôt que de les éradiquer, si vous aviez découvert qu'ils étaient plus intéressés par faire du typhus ou du choléra une arme, vous demanderiez-vous quand votre gouvernement traitera votre eau de consommation avec la gravité et le sérieux qui lui est du ?

L'administration chargée de la sécurité des transports américain vient de dévoiler un programme premium permettant aux voyageurs aériens de passer plus vite les contrôles de sécurité (sauf pour leurs matériel électroniques et liquides, toujours soumis à vérification). Pour 85 $ par an et à la condition qu'ils autorisent l'autorité à avoir accès à leurs données personnelles en ligne, ceux qui souscriront au programme pourront passer plus vite les contrôles de sécurité des aéroports.

Les menaces d'intrusion se démultiplient alors que la cybersécurité n'est jamais résolue, estime l'investisseur David Cowan. Pour lui l'avenir est à la sécurité et notamment à la sécurité du l'informatique en nuage qui est pour l'instant l'une des zones les moins matures du cloud computing... Et qui est prometteur, parce que ces alternatives seront faciles à déployer et à gérer, plus facilement mises à jour... Mieux, les information de connexion elles-mêmes seront demain les signaux les plus efficaces pour apporter une offre de sécurité plus adaptée explique-t-il en évoquant nombre de startups de ce secteur prometteur.

Bruce Schneier, le spécialiste de la sécurité informatique, l'assure, c'est par le féodalisme que les grands de l'internet assurent la sécurité. Les fournisseurs de matériel contrôle le matériel et les logiciels que nous utilisons. Les services maintiennent les données pour nous. Ceci en raison de la commodité qui assure la redondance, l'automatisation et même (parfois) le partage. "La confiance est notre seule option". Parfois nous avons le contrôle sur les mises à jour, mais nous ne savons même pas ce qu'elles vont installer pour nous. Bref, être un vassal a ses avantages. Même si les seigneurs peuvent agir de manière arbitraire et capricieuse. Mais ils agissent toujours pour leur propre intérêts. Ces entreprises nous possèdent, peuvent nous vendre ou nous livrer aux autorités... Reste que nous recevons peu de garanties de protection en retour, que ces entreprises sont soumises à peu de règles et de restrictions. "Cette situation doit changer. Il doit y avoir des limites à ce que les vendeurs de nuages peuvent faire avec nos données". L'Etat centralisé a imposé la primauté du droit pour arrêter la féodalité, mais nos gouvernements ont renoncé à leur rôle dans le cyberespace. Il est tant que les gouvernements interviennent pour créer des environnements réglementaires qui protègent les vassaux des seigneurs.

La France dispose-t-elle d'un programme de surveillance massif proche de celui mis en place par l'Agence américaine de sécurité nationale (NSA) ? La réponse est oui. La direction générale de la sécurité extérieure (DGSE), les services secrets français agissant au-delà de nos frontières, examine, chaque jour, le flux du trafic Internet entre la France et l'étranger en dehors de tout cadre légal. Laurent Borredon et Jacques Follorou pour Le Monde, signalent néanmoins que ce programme est restrictif, les demandes doivent provenir d'un membre d'un service antiterroriste, sa requête doit être dûment justifiée et ne concerner qu'un seul objectif et adressée à la CNIS, qui a traité 30 000 demandes en 2012. Une autre possibilité existe en passant par le GIC, qui a traité 197 000 demandes entre 2011 et 2012, dont 70% évoquent la sécurité nationale. 

Pour Andrew Rose, spécialiste des questions de sécurité au cabinet Forrester, et auteur d'un rapport sur la question - http://www.forrester.com/home#/Prepare+Your+Security+Organization+For+The+Internet+Of+Things/fulltext/-/E-RES85001 - explique que les failles de sécurité de l'internet des objets sont nombreuses et font peser de lourdes menaces sur la vie privée. Et les conséquences de ces failles peuvent rapidement dégénérer : "comme un jeu d'échecs - où les règles simples peuvent conduire à des possibilités quasi illimitées - la complexité des interconnexions de l'internet des objets dépasse rapidement notre capacité à les démêler." Les risques d'avenir, c'est que l'on pirate vos clefs de voiture, votre thermosthat, ou votre frigo intelligent pour qu'il commande des choses dont vous ne voulez pas... Et la législation est en retard... 

Pour James Mickens, de Microsoft Research, 99,99 % des vulnérabilités informatiques exposées aux grandes conférences de hackers comme #defcon ou #blackhat ne sont jamais exploitées dans le monde réel. En fait, la plupart des attaques informatiques exploitent des techniques simples et connues depuis longtemps. Améliorer les solutions techniques (par exemple remplacer #RSA par les #courbes_elliptiques pour la #cryptographie) fait plaisir aux techniciens mais ne résoud pas les problèmes réels. L'auteur note aussi que les analyses de sécurité sont largement irréalistes car décrivant des adversaires imaginaires. Il estime qu'il y a deux sortes d'adversaires, l'ordinaire, contre lequel des méthodes de sécurité simples fonctionnent, et le Mossad, contre lequel on ne peut rien faire. Via Stéphane Bortsmeyer sur Seenthis : http://seenthis.net/messages/214750

Le président de l'IETF, Jari Arkko, appelle les participants de l'IETF, face aux révélations de la surveillance massive de la NSA, à construire un internet plus sûr et à améliorer les protocoles de l'internet. "Nous devons jeter un regard critique" et améliorer la sécurité des protocoles de l'internet, déclare le président, qui appelle les ingénieurs de l'internet à y travailler lors de leur prochain congrès. L'internet doit passer à la "sécurité" par défaut.

Extrait du discours d'Angela Merkel devant le Parlement allemand de janvier 2014 : "Le liberté et la sécurité doivent être constamment maintenus en équilibre par les droits et les lois", rappelle la chancelière qui revient sur la surveillance des peuples par les programmes d'espionnages pour la dénoncer. La surveilalnce de masse n'est pas juste, car elle touche au coeur de ce qui importent dans la coopération entre les pays alliés : la confiance. "La confiance est le fondement de la paix et de l'amitié entre les peuples (...) Lorsque nous procédons comme si la fin justifiait les moyens, quand nous faisons tout ce qui est technologiquement possible, nous portons atteinte à la confiance, nous semons la méfiance. A la fin, nous obtenons moins, pas plus, de sécurité."

Ed Felten du Centre des politiques pour les technologies de l'information - https://citp.princeton.edu/ - de Princeton revient dans un très intéressant billet sur la responsabilité des algorithmes. Il s'inspire d'un billet d'Ethan Zuckerman - http://www.ethanzuckerman.com/blog/2012/09/05/tsa-pre-check-fairness-and-opaque-algorithms/ - qui évoque son expérience du programme de pré-enregistrement de l'administration de la sécurité des transports américaine, qui permet à ceux qui voyagent beaucoup de s'enregistrer pour diminuer le temps des procédures de sécurité aux aéroports.  Zuckerman s'interroge sur l'iniquité des algorithmes, capables de sélectionner les gens selon des critères qui leur demeurent opaques. Ed Felten estime qu'il faut rendre les processus algorithmiques publics et ouverts, afin que les gens puissent savoir ce qu'il fait (la transparence) et que les gens puissent s'assurer que l'algorithme ait été exécuté correctement. Ainsi, si un algorithme annonce qu'il choisit 5 % des gens au hasard pour leur faire subir une fouille poussée, vous pouvez le contrôler, et vérifier que d'autres critères n'entrent pas en jeu. Même imprévisible, un algorithme doit toujours rendre des comptes. Si vous êtes sur une liste de personnalités à risque (qui a une action sur l'algorithme) vous devriez aussi pouvoir le savoir (même si vous n'avez pas à connaitre forcément les raisons). Ed Felten estime que les algorithmes responsables devraient se développer dans d'autres secteurs que la sûreté aéroportuaire, comme dans les systèmes de votes électroniques...

Shodan - http://www.shodanhq.com - est un moteur de recherche terrifiant, estime Kashmir Hill pour Forbes. Ce moteur de recherche est spécialisé dans les objets connecté. Il référence uniquement les caméras, les feux de signalisation, les appareils médicaux, les moniteurs de bébé et les centrales électriques connectées... Et de rappeler l'histoire du visiophone de bébé piraté qui a fait le tour du web cet été - http://www.france24.com/fr/20130815-baby-monitor-visiophone-enfant-piratage-hacker-insulte-internet-things-objet-connectes-securite-black-hat - pour suggérer que cet équipement connecté a peut-être été trouvé via Shodan, qui est devenu l'outil essentiel des hackers et des chercheurs en sécurité. Un chercheur en sécurité a construit un programme capable de trouver des webcams via Shodan pour prendre des photos depuis celles-ci à l'insu de leur utilisateur... Un autre avenir pour l'internet des objets connecté !

Qu'advient-il de notre sécurité financière quand nous louons nos canapés, nos voitures ou nos maisons ? interroge Mark Egerman. Dans "Le piège du double revenu", Elizabeth Warren et Amelia Tyagi, décrivent comment les familles de la classe moyenne deviennent plus vulnérables financièrement quand les deux parents travaillent. Certes, ils ont plus de revenus, mais ils demeurent en concurrence sur les mêmes ressources limitées (maisons, garde des enfants...) ce qui fait monter les prix, les coûts jusqu'à finir par consommer le revenu supplémentaire généré. Au final les familles avec deux revenus avec moins de revenus de garde dans les années 2000, que les familles où un seul parent travaillait dans les années 70. Enfin, les familles où un seul parent travaillait avaient un filet de sécurité possible. N'est-ce pas ce qui risque de se passer avec l'économie collaborative ? Certaines personnes ne peuvent payer leur loyer si elle ne loue pas un canapé chez elles. Les gens qui en sont à louer les vêtements de leurs placards ne sont pas dans une position de négociation. Est-ce que l'économie du partage est vraiment un avantage, à terme ?

"Pour la première fois en France, le remboursement d'un traitement par la Sécurité sociale est fonction du comportement de l'assuré". Désormais, pour les personnes souffrant d'apnée du sommeil, qui reçoivent un appareil à pression positive continue, leur insufflant de l'air pendant leur sommeil (500 000 personnes seraient équipés d'un tel appareil à leur domicile) en location (l'appareil coûte 20 euros par semaine en location dont 60% du coût est prix en charge par les caisses d'assurance maladie), il leur faudra démontrer qu'ils utilisent bien leur appareil pour continuer à être pris en charge par l'assurance-maladie. Ces nouvelles règles s'appliquent pour les nouveaux patients depuis octobre 2013 et s'appliqueront à tous les malades dès 2016. La Sécurité sociale argue du fait que les remboursements de ce traitement ont atteint 360 millions en 2011, soit 8% de plus qu'en 2010... Et que dans 20% des cas, le patient n'utilise pas la matériel mis à sa disposition (soit 80 millions d'économie potentielle). En fait, ces machines sont équipées de systèmes de télémédecine permettant d'analyser le flux d'air que reçoit le malade. L'association de défenses des handicapés respiratoire a engagé une action devant le Conseil d'Etat pour dénoncer ce flicage. A n'en pas douter, les patients trouveront le moyen de le contourner... Mais l'exemple pose bien d'autres questions à notre système de santé : "Est-ce que demain, on cessera de rembourser les hypertendus qui ne prennent pas leurs médicaments, demandent certains médecins. Ou les cirrhotiques qui continuent à boire ?"

A la conférence sur la sécurité Black Hat à Las Vegas, des chercheurs ont montré comment pirater une voiture en désactivant complètement la capacité du conducteur à contrôler son véhicule : direction déformée, absence de freins... le tout visiblement très simplement. Et les voitures modernes embarquent de 10 à 40 petits ordinateurs et cela risque de devenir plus facile à mesure qu'elles intègrent des connexions internet. A mesure qu'elles vont s'automatiser, les voitures vont devenir des cibles plus accessibles. Même chose pour les maisons, avec la serrure électronique ou en prenant le contrôle de nos télévisions et webcams pour voir ce que nous faisons... "Oui, à l'avenir, vous aurez besoin de télécharger les mises à jour de sécurité pour votre toilette." "Nous n'avons pas compris comment arrêter les attaques contre les navigateurs Web dans les ordinateurs personnels malgré plus de 10 ans de tentatives", nous n'arrêterons pas celles qui s'en prendront aux autres objets automatisés du quotidien.

Encore un problème de sécurité sur une application... Une de plus. Une de trop. Et Martin Bryant pour The Next Web se pose enfin la question de l'opacité des données que nous confions à des centaines de startups... sur un seul principe de confiance technologique qui n'est étayé par aucun indicateur. Et si on imaginait un programme d'audit de sécurité des données des startups ? Un logo de certification ? Un label ? Une certification obligatoire et indépendante ?... Oui, une forme de régulation quoi !

"Pas de chiffrement, parfois même pas d'authentification,… la sécurité réseaux des appareils photo est déplorable. De simples attaques permettent d'intercepter les clichés, voire même de prendre des photos à distance."

Avant de revendre votre smartphone, vous restaurez les paramètres d'usine ? Insuffisant pour protéger vos données confidentielles, comme le montre un article de Wired : http://www.wired.com/gadgetlab/2013/04/smartphone-data-trail/all/ . Pour Lee Reiber, il n'existe qu'une bonne façon de s'assurer de la sécurité de ses données avec un ancien téléphone : le détruire d'un bon coup de marteau.

Pour Trevor Pott, tout les outils sur lesquels nous travaillons chaque jour sont construits par quelqu'un d'autre. Ce qui nécessite d'avoir confiance dans les instruments que nous utilisons quotidiennement. Prenons l'exemple des mots de passe pour s'authentifier sur un service. Nous savons tous qu'ils craignent. Nous continuons à utiliser des mots de passe facile à se remémorer et donc facile à craquer, même si on nous a 1000 fois répéter le contraire. L'usage du double facteur d'identification est certes à la hausse, mais il pose un vrai problème d'arbitrage entre la sécurité et l'usabilité. Chaque jour nous ouvrons des centaines de sessions, nous connectons à nombre de réseaux, plusieurs fois, ce qui nécessite d'entrer et reentrer des dizaines de fois nos mots de passe. Si nous devions passer à l'authentification à double facteur cela nous prendrait deux fois plus de temps. Cela s'annonce insoutenable. L'autre alternative est donc un gestionnaire de mots de passe.  Il en existe de deux types : ceux qui sont installés sur votre système local et ceux qui stockent vos données sur un système distant. Mais nous avons désormais plusieurs machines, ce qui rend obsolète le gestionnaire local. La seule solution est donc dans le système distant. Je peux donc utiliser un service dans les nuages comme LastPass - https://lastpass.com : il vous suffit alors de vous souvenir d'un seul mot de passe (celui de lastpass) pour que vos outils accèdent à tous vos services. La seconde option consiste à créer un lastpass que vous hébergez sur un serveur qui vous appartient, mais aucun logiciel qui permette cela n'est au niveau, notamment en terme de facilité d'utilisation. Ces 2 options posent chacune un problème. Le magasin central des mots de passe de LastPass doit être particulièrement protégé, même s'il utilise une technologie de cryptage efficace. Ce que montre le cas de l'affaire Prism de la NSA c'est que le gouvernement pourrait avoir accè

Les problèmes de sécurité viennent en grande partie du fait qu'il est relativement simple de trouver une base de donnée de mots de passe, souvent parce qu'elle est unique. Des chercheurs de RSA proposent de casser les mots de passes des utilisateurs en deux (ou plus) quand ils sont conservés par un tiers. Les pirates devront trouver les multiples accès aux bases plutôt qu'à une seule, rendant le piratage plus difficile.