Group items tagged

Shodan - http://www.shodanhq.com - est un moteur de recherche terrifiant, estime Kashmir Hill pour Forbes. Ce moteur de recherche est spécialisé dans les objets connecté. Il référence uniquement les caméras, les feux de signalisation, les appareils médicaux, les moniteurs de bébé et les centrales électriques connectées... Et de rappeler l'histoire du visiophone de bébé piraté qui a fait le tour du web cet été - http://www.france24.com/fr/20130815-baby-monitor-visiophone-enfant-piratage-hacker-insulte-internet-things-objet-connectes-securite-black-hat - pour suggérer que cet équipement connecté a peut-être été trouvé via Shodan, qui est devenu l'outil essentiel des hackers et des chercheurs en sécurité. Un chercheur en sécurité a construit un programme capable de trouver des webcams via Shodan pour prendre des photos depuis celles-ci à l'insu de leur utilisateur... Un autre avenir pour l'internet des objets connecté !

"La FDA a publié en complément d'une alerte un document indicatif, faisant office de guide aux fabricants d'appareils électroniques médicaux qui recommande de fabriquer des appareils médicaux mieux protégés contre les éventualités de cyber-attaques. Le document met l'accent sur la nécessité de prendre en compte ces problématiques dès la phase de design des appareils, déterminante pour identifier et réduire les risques. Le renforcement des processus d'authentification des utilisateurs, la fermeture automatique des cessions, des contrôles robustes avant la mise à jour des logiciels, et l'établissement de procédures de rétablissement et de sauvegarde des données sont au cœur des recommandations."

Après Target aux US, c'est en Corée du Sud qu'une fuite massive d'information bancaires a eut lieu... Avant la prochaine. Et personne ne se pose de question pour arrêter la prolifération de trop grosses bases de données de ce type ?

Extrait du discours d'Angela Merkel devant le Parlement allemand de janvier 2014 : "Le liberté et la sécurité doivent être constamment maintenus en équilibre par les droits et les lois", rappelle la chancelière qui revient sur la surveillance des peuples par les programmes d'espionnages pour la dénoncer. La surveilalnce de masse n'est pas juste, car elle touche au coeur de ce qui importent dans la coopération entre les pays alliés : la confiance. "La confiance est le fondement de la paix et de l'amitié entre les peuples (...) Lorsque nous procédons comme si la fin justifiait les moyens, quand nous faisons tout ce qui est technologiquement possible, nous portons atteinte à la confiance, nous semons la méfiance. A la fin, nous obtenons moins, pas plus, de sécurité."

Nos CB, téléphones portables, clefs de voiture, cartes de transports, passeports et autres documents électroniques échangent de plus en plus de données sans contact, via les technologies RFID ou NFC. Le problème, c'est que la sécurité des données transmises n'est pas assurée. On peut ainsi lire les paiements que vous avez effectué avec votre carte bancaire et ses habitudes de consommation par exemple peuvent être pistées à l'insu du client.

POur Poul-Henning Kamp, la cryptographie et la vie privée ne peuvent fonctionner que si les deux fonctionnent en bonne intelligence. A l'heure de la surveillance massive, beaucoup estime que le cryptage des données est la soluion. Poul-Henning Kamp, prend le contrepied de cette affirmation : le développement de la crypto, risque de rendre la crise de la vie privée encore plus difficile. D'abord, certains pays ont voté des lois qui permet à la police d'emprisonner des gens jusqu'à ce qu'ils révèlent leurs codes cryptographiques. Dans de nombreux pays, certaines personnes n'ont pas les mêmes droit à la vie privée que d'autres (pensez notamment aux prisonniers, mais peut-être aussi aux employés. Enfin, le chiffrement peut être brisé, surtout si un pays est capable d'utiliser tous les moyens disponibles pour cela. En fait, le cryptage ne fonctionne que si les deux extrémités y travaillent en toute bonne foi. Mais peut-on être assuré de la bonne foi des entreprises technologiques ? Poul-Henning Kamp n'a pas confiance dans son smartphone et ses secrets, ni dans les failles possible du code source... permettant d'installer des portes dérobées. Pour lui, la réponse doit être politique, elle ne peut-être technique.

Les menaces d'intrusion se démultiplient alors que la cybersécurité n'est jamais résolue, estime l'investisseur David Cowan. Pour lui l'avenir est à la sécurité et notamment à la sécurité du l'informatique en nuage qui est pour l'instant l'une des zones les moins matures du cloud computing... Et qui est prometteur, parce que ces alternatives seront faciles à déployer et à gérer, plus facilement mises à jour... Mieux, les information de connexion elles-mêmes seront demain les signaux les plus efficaces pour apporter une offre de sécurité plus adaptée explique-t-il en évoquant nombre de startups de ce secteur prometteur.

Choix techniques ridicules, comportements irresponsables, manque cruel de sensibilisation, les députés européens, si l'on en croit les révélations de Mediapart sur le piratage de leurs e-mails - http://www.mediapart.fr/journal/international/211113/les-mails-des-eurodeputes-ont-ete-pirates-par-un-hacker?page_article=1 , ne sont pas mieux lotis que les utilisateurs lambdas... La surveillance américaine aurait pu user d'autres procédés bien moins visibles et bien moins couteux... Nos politiques auraient-ils rien à cacher ? Aujourd'hui, nous en sommes à "l'insécurité par design".

Encore un problème de sécurité sur une application... Une de plus. Une de trop. Et Martin Bryant pour The Next Web se pose enfin la question de l'opacité des données que nous confions à des centaines de startups... sur un seul principe de confiance technologique qui n'est étayé par aucun indicateur. Et si on imaginait un programme d'audit de sécurité des données des startups ? Un logo de certification ? Un label ? Une certification obligatoire et indépendante ?... Oui, une forme de régulation quoi !

Vicarious AI - http://vicarious.com - a cassé les captcha, leur permettant d'être lus dans une machine avec 90% de réussite. Pas pour aider les spammers, mais pour faire progresser l'intelligence artificielle...

Incapables d'accéder au réseau informatique d'une grande entreprise pétrolière, des pirates ont infecté de logiciels malveillants le menu en ligne d'un restaurant chinois populaire auprès des employés de cette société. C'est en passant par le système numérique permettant de régler le chauffage et le refroidissement du siège de Target que les pirates ont réussi à subtiliser des données de cartes de paiement de clients... Pénétrez un système et vous avez des chances de les mettre tous à jour, répètent les pirates informatiques. Bien souvent, c'est en passant par les fournisseurs d'un service tiers que les pirates s'introduisent dans un système. Selon une étude du Ponemon Institute, 23% des cyberattaques seraient le fait de négligences de tiers. Mais pour Arbor Networks, 70% des problèmes de sécurité qu'a connu la société est venu de ces tiers. Il est temps de prendre conscience qu'un système de climatisation ne doit pas parler à une base de données de ressources humaines, ni être nécessairement sur le même réseau.

Le consortium européen Tabula Rasa - http://www.tabularasa-euproject.org - a réalisé un concours de hacking pour tromper les systèmes biométriques et les systèmes de reconnaissance faciale. Plein d'idées : http://www.youtube.com/channel/UCoHA9lGDrtEUim_mdtPwQ6w?feature=watch

Alors que la NSA tente de mettre sur pied un ordinateur quantique pour casser tous les systèmes de chiffrages, la société ID quantique propose un système de cryptage permettant de changer de clef toutes les minutes et de voir qui tente de les casser.