Tous les mois, Olivier Laurelli (aka @bluetouff) vous présente un digest de l'actualité sécurité. Ces petits condensés sont le moyen de partager avec vous nos lectures, nos discussions, nos réflexions, autour du vaste thème de la sécurité informatique.
Mirai continue à faire toussoter le Net
Les multiples botnets issus de la publication du code source de Mirai continuent de menacer le Net. Après avoir fait sérieusement toussoter certains sites bien en vue comme Twitter, PayPal, Reddit et Netflix, conséquence direct d'une attaque par déni de service sur les DNS de l'américain Dyn, par un énorme botnet. Plus récemment, c'est tout l'Internet du Liberia qui a été victime d'un botnet de type Mirai d'une capacité de 500 Gbps. Il faut savoir que le Liberia n'est pas un modèle de résilience puisque tout le trafic domestique est assuré par un seul câble comme le rappelle Brian Krebs dont le blog a d'ailleurs lui aussi été victime de Mirai, tout comme OVH qui a su absorber une attaque record.
Mirai est le premier botnet taillé sur mesure pour les objets connectés. Mais tous les spécialistes s'accordent sur un point, ce n'est qu'un début, et même s'il semble s'essouffler à cause de son succès, vu les pratiques en matière de sécurité des fabricants d'objets connectés et le succès commercial qu'ils rencontrent, il faut s'attendre à un "big one". Une actualité qui fait écho à la mise en garde de Bruce Schneier qui évoquait en septembre dernier que quelqu'un est en train de chercher à apprendre comment couper Internet, de manière globale.
Décret Halloween : un fichier monstrueusement biométrique et des bonbons surprises
Le TES (Titres électroniques sécurisés), ou le "Fichier Monstre" ou la fausse bonne idée du gouvernement, un méga fichier biométrique des honnêtes gens. Révélé par Nexinpact, le texte a été publié en catimini à la vieille d'un long weekend... raté, le tollé est général, la CNIL émet de très sérieuses réserves et le Conseil National du Numérique s'auto-saisit Et c'est bien de sécurité informatique qu'il s'agit puisque la question n'est pas de se demander si le "Fichier Monstre" sera piraté mais plutôt quand il sera. Seul le ministre de l'intérieur semble persuadé qu'il n'y aura pas de réversibilité possible entre les données biométriques et les données d’état civil.
Une surprise n'arrivant jamais seule, cerise sur le gâteau, c'est Amesys, poursuivie pour complicité de torture en Libye, qui assurera une partie du contrat. Amesys, c'est la société qui vendu un système global d'interception des communications, à l'échelle d'un pays à la Libye de Kadhafi. Il s'agissait d'une solution sur mesure que la société qui a coutume de nommer ses projets par noms de bonbons (Libye projet Candy), a aussi vendu son système au Kazakhstan (projet Miko), au Maroc (projet Popcorn) , au Gabon (projet Croco), ou au Qatar (projet Finger, allusion à la capitale Doah).
FTTH : le GPON passé au crible par le chercheur Pierre Kim
Fruit de près de 3 ans de travaux de recherche sur l'architecture GPON, Pierre Kim a publié un papier qui fait froid dans le dos sur la sécurité du FTTH déployé par Orange, Bouygues et SFR. Le GPON qui s'oppose au P2P de Free se veut une solution plus économique, mais surtout, bien plus hasardeuse en termes de sécurité. Sécurité physique des splitters dans les parties communes des immeubles, firmwares troués des boitiers ONT, backdoors... c'est un véritable festival que nous offre Pierre Kim. A lire ici
Google et Wikipedia bloqués pour apologie du terrorisme par Orange
Les clients d'Orange ont la surprise de se voir pendant plus d'une heure redirigés sur la page d'avertissement du ministère de l'intérieur alors qu'ils tentaient de se connecter à Google ou à fr.wikipedia.org. Orange a invoqué une erreur humaine, mais comme le rappelle Stéphane Bortzmeyer, des DNS menteurs pour opérer une censure c'est en soi une double mauvaise idée.
700 millions de téléphones Android backdoorés d'usine
Peut-être vous souvenez vous de l'affaire Carrier IQ. Cette fois, le spyware n'est pas américain, mais chinois. Identifié par Kryptowire, il s'agit d'une backdoor dans un firmware équipant de nombreux téléphones chinois tournant sous Android (notamment certains modèles de marque Huawei ou ZTE). La backdoor est attribué à l'entreprise chinoise AdUps,revendiquant sur son site web équiper plus de 700 millions de smartphones et d'objets connectés. Mais plus que les chiffres, c'est la nature et la masse de données personnelles qui partent à votre insu vers la Chine : l'intégralité de vos SMS, vos listes de contacts, l'historique de vos appels, l'IMSI (International Mobile Subscriber Identity), l'IMEI (International Mobile Equipment Identity), des informations sur les applications que vous utilisez, vos données de géolocalisation, et elle est même capable de mettre à jour ou d'installer des applications sans votre consentement.
