Inutile me semble-t-il de revenir en détails sur le maillon faible que représentent aujourd’hui les mots de passe dans la chaîne de sécurité informatique…De nombreux exemples récents ayant clairement montré qu’il était temps de se pencher sérieusement sur le problème.

On connait bien les réticences des internautes à l’utilisation de mots de passe complexes (ou long…) bien que cela soit seule protection de leurs comptes en ligne et malgré l’existence de solutions simples et gratuites (comme par exemple : Norton Identity Safe)

Les attaques de plus grande ampleur, visant l’accès à des milliers ou des millions de mots de passe s’appuyent sur des méthodes différentes mais bien connues telles que l’injection SQL. A noter à ce propos un document de l’OWASP (Open Web Application Security Project) qui la place première des methodes d’attaques utilisées contre les applications web (OWASP Top 10 ).

Une fois le fichier des “hashs” de mots de passe récupéré, le temps nécessaire à l’obtention des mots de passe en clair n’est qu’une question de moyens mis en oeuvre (Brute Force, Rainbow Tables…). Les mots de passe obtenus vont alors servir aux attaquants à se connecter sur les infrastructures cibles…

Et c’est là qu’un document publié récemment par des chercheurs du MIT (Ari Juels et Ronald Rivest, le “R” de RSA…) propose une approche intéressante,  via les HONEYWORDS :

• Créer 2 mots de passe, le vrai et un faux, dont l’utilisation pour l’accès à un système sera détectée comme une tentative d’intrusion !

Voici le lien vers le document in-extenso et un court extrait :

Honeywords: Making Password-Cracking Detectable

“We suggest a simple method for improving the security of hashed passwords: the maintenance of additional \honeywords” (false passwords) associated with each user’s account. An adversary who steals a file of hashed passwords and inverts the hash function cannot tell if he has found the password or a honeyword. The attempted use of a honeyword for login sets o an alarm. An auxiliary server (the \honeychecker”) can distinguish the user password from honeywords for the login routine, and will set an alarm if a honeyword is submitted.”

Bien sûr, un certain nombre de problèmes restent à résoudre (section 9 – Open Problems) avant une mise en application concrète, mais l’idée semble prometteuse….. et puis c’est le MIT, alors bon, quand même !!!

Cela dit, il reste toujours le fameux “Internet Password Minder”

Et bientôt un article sur les HONEYFILES, sauf que là, cela existe et cela fonctionne déjà !!!

Anthony E. Zuiker, le créateur visionnaire de la franchise Les Experts, et son studio de production Dare to Pass, soutenus par la société Dolphin Digital Media, annoncent la date de diffusion mondiale de Cybergeddon, le nouveau blockbuster digital sur la cybercriminalité avec dans les rôles principaux Olivier Martinez et Missy Peregrym.

Cybergeddon raconte l’histoire de Chloe Jocelyn, un agent chargé d’enquêter sur une série de cyber-attaques apparemment sans lien, et de son coéquipier Frank Parker. Tous deux sont épaulés par Chase Rosen, dit «Rabbit», un virtuose du hacking placé derrière les barreaux. Chloe et son équipe ont pour mission de démanteler, avant qu’il ne soit trop tard, le réseau mondial de cybercriminels dirigé par Gustov Dobreff. Dans un monde où nous sommes tous connectés par le Web, tout le monde court un risque…

Le film Cybergeddon sera diffusé exclusivement dans 25 pays et 10 langues dans une suite de 9 épisodes – 3 épisodes par jour les 25, 26 et 27 septembre.

Pour la bande annonce en français, just push the button !

En France, Cybergeddon sera diffusé sur Yahoo! Cinéma le 25 septembre et la chaîne proposera, en plus des épisodes du film, des scènes inédites retraçant le passé des personnages, des photos exclusives du tournage, des vidéos des coulisses ainsi que des interviews des acteurs et de l’équipe de réalisation. Un dossier spécial sera également consacré à la sensibilisation du grand public à la cybercriminalité.

Anthony E. Zuiker, Bill O’Dowd, PDG des studios Dolphin Digital, et l’équipe de réalisation se sont employés à rendre l’intrigue de Cybergeddon la plus réaliste possible. L’équipe d’Anthony E. Zuiker s’est ainsi associée avec les experts en criminalité chez Norton by Symantec tout au long du processus créatif afin de bénéficier de leur expertise et d’assurer la crédibilité et la cohérence technique du scénario au service de la pédagogie.

« Cybergeddon est une expérience cinématographique qui brise les règles du cinéma traditionnel », affirme Anthony E. Zuiker. « Grâce à Yahoo!, nous allons offrir aux spectateurs la possibilité d’aller plus loin ! Après avoir visionné les neuf épisodes, ils pourront en savoir davantage tout en étant immergés dans l’histoire et la vie des personnages. »

L’équipe :

• Réalisateur: Diego Velasco (La Hora Cero)
• Scénariste: Miles Chapman (The Tomb)
• Producteurs exécutifs: Anthony E. Zuiker, Matthew Weinberg (Président, Dare to Pass) et Bill O’Dowd, (PDG, Dolphin Digital Studios)
• Olivier Martinez (Infidèle) dans le rôle de Gustov Dobreff
• Missy Peregrym (Rookie Blue) dans le rôle de Chloe Jocelyn
• Manny Montana (Breakout Kings) dans le rôle de Franck Parker
• Kick Gurry (Speed Racer) dans le rôle de Chase ‘Rabbit’ Rosen

Deux ans bientôt après sa découverte, l’émission “60 MINUTES” de CBSNEWS, revient sur le “phénomène”…

Le lien complet ici.

A voir également “60minutesOvertime“, 5 minutes d’informations complémentaires, comme notamment le producteur de l’émission, qui a pu mettre la main sur le code, après une semaine de recherche…

Et pour mieux se préparer à de tels risques, voici le récent guide de l’ANSSI sur la protection des systèmes industriels :

J’organise une visite très bientôt; si vous êtes intéressés, faites-moi signe !

Et ça vous fait bosser un peu votre anglais

En français, il s’agit du brouillage de système Guidage Par Satellite (ou GPS). Il existe déjà de nombreux systèmes de brouillage à rayon d’action limité disponible sur le net, bien que la vente et l’utilisation en soit prohibées. A lire à ce propos des articles récents du Monde ou de la BBC, qui donnent des éléments sur la situation…

Cette fois, il s’agit d’une attaque lancée par la Corée du Nord contre la Corée du Sud ces derniers jours, avec un brouillage à grande échelle ayant impacté 337 vols commerciaux, 122 cargos, un paquebot de croisière et un tanker. Des GPS de voitures ont été également touchés.

Même si de nombreux points restent obscurs, on peut aisément imaginer l’intérêt de perturber la géo-localisation des smartphones aux avions de lignes, en passant par les missiles ou autres drones…

Prêts pour la guerre des objets ?

“Je ne sais pas comment la Troisième Guerre Mondiale sera menée, mais je sais comment le sera la quatrième: avec des bâtons et des pierres.”

Albert Einstein.

L’article in extenso ici.

La première question à poser lorsque l’on aborde le thème du cloud est “qu’entendez-vous par là ?“. En effet l’appréhension ou la compréhension du concept peut varier considérablement d’une personne à l’autre. Parmi les nombreuses sources documentaires sur le sujet, voici une analyse du phénomène et de ses évolutions, suffisamment pertinente à mon sens, pour être partagée, notamment avec les futurs CIOs : Cloud Interface Officers

Guide de planification du Cloud Computing : la transition vers une architecture hybride.

Peu de marchés connaissent une croissance aussi fulgurante que le Cloud Computing. Si les organisations informatiques ont vite été convaincues par le mode de consommation introduit par le Cloud Computing, dont les services sont distribués rapidement et facturés à l’utilisation (PAYG – Pay As You Go), ce nouveau modèle commence à montrer ses limites. Un système multi-locataires, facturé à l’utilisation, pose en effet des questions de sécurité, de responsabilités, de modalités de concession des licences et d’indépendance vis-à-vis du fournisseur. Le modèle du Cloud Computing est ainsi remis en question pour la première fois.

Il va devoir évoluer et apporter des réponses aux principales problématiques qui freinent aujourd’hui son adoption, les organisations informatiques hésitant à héberger leurs applications stratégiques sur des Clouds publics. Celles-ci ont d’ailleurs pris conscience qu’en l’état, le Cloud Computing ne peut pas satisfaire tous leurs besoins informatiques. Les applications et données stratégiques exigent en effet davantage de sécurité que ce que les Clouds publics peuvent offrir pour l’heure.

Toutefois, de nombreuses organisations informatiques subissent des pressions en faveur de l’adoption du Cloud Computing : quantité de dirigeants les pressent d’externaliser leurs tâches informatiques via des Clouds publics pour réduire leurs dépenses, tandis que les clients internes voudraient pouvoir consommer les services informatiques internes en mode Cloud, mais sans courir les risques de l’externalisation.

Solutions :

Voici les facteurs que les organisations informatiques devraient prendre en compte pour leur stratégie :

• Le Cloud Computing demeure un marché volatile, à l’expansion rapide :
• Les fournisseurs de services Cloud (CSP) se multiplient, tout comme leurs offres, à la qualité variable.
• Les logiciels sous forme de services (SaaS) restent un moteur d’adoption du Cloud Computing. Le marché des infrastructures sous forme de services (IaaS) devrait connaître une forte croissance entre 2011 et 2014. Celui des plateformes sous forme de services (PaaS) restera marginal, même s’il affichera la plus forte croissance en termes de revenus. Les offres SaaS et IaaS séduisent plus rapidement les organisations informatiques du fait de leur maturité et de leur simplicité d’adoption.
• Les problèmes de sécurité, de responsabilités et de dépendance vis-à-vis des fournisseurs des solutions Cloud, ainsi que les conditions de licence et modalités type qui y sont associées freinent, aujourd’hui encore, la croissance de ce marché.
• Si les techniciens informatiques sont désormais plus familiarisés avec le Cloud, des formations complémentaires s’imposent pour qu’ils puissent développer des applications en mode Cloud et mieux les utiliser.
• Les acteurs du marché du Cloud Computing misent sur les Clouds « d’entreprise » pour pallier ces défauts :
• Les équipementiers et éditeurs de logiciels indépendants inventent des solutions prêtes pour le Cloud afin d’aider les fournisseurs de services Cloud à accélérer la distribution de leurs offres.
• Certains fournisseurs sont prêts à négocier leurs conditions générales de service, leurs accords de niveau de service (SLA) et leurs tarifs à condition que les clients s’engagent sur un montant minimum de dépenses.
• Pour offrir davantage de sécurité à leurs clients, les fournisseurs font certifier la conformité de leurs services aux normes ISO (International Organization for Standardization) 27001 et SAS (Statement on Auditing Standards) 70 Type II. Des consortiums de l’industrie élaborent des normes de sécurité en vue de normaliser les critères de sécurité applicables au Cloud Computing.
• Les courtiers de services Cloud et les Clouds hybrides pourraient solutionner les problèmes de migration et d’intégration entre Clouds internes et Clouds externes, mais ils resteront à l’état de niches en 2011.

En dépit des efforts des acteurs du marché pour apporter des réponses aux problématiques du Cloud Computing, les organisations informatiques ont raison de se méfier de la volatilité du marché et devraient privilégier une approche mixte :

• Bâtir une architecture informatique hybride : les organisations informatiques ont intérêt à bâtir des Clouds internes pour héberger les applications stratégiques qu’elles ne peuvent pas héberger sur un Cloud externe pour l’heure, ce afin de concurrencer les fournisseurs de services de Clouds externes, et celles qui sont incompatibles avec le Cloud public. Elles devraient également élaborer une stratégie décisionnelle pour le Cloud couvrant la grille de tarification, le respect des décisions applicatives et les modèles d’évaluation des risques.
• Négocier fermement avec les fournisseurs : Les organisations informatiques ne devraient pas accepter d’accords de niveau de service ou de conditions générales type des fournisseurs de services Cloud, en particulier pour leurs applications stratégiques ou semi-stratégiques. Les plus grandes devraient jouer de leur poids pour négocier les conditions appropriées à l’hébergement d’applications et de données stratégiques. Parmi ces conditions, citons le tarif, les responsabilités, les ajustements de services, la résiliation, le support et les niveaux de service.
• évaluer méticuleusement les fournisseurs de services Cloud : Pour faire part de leurs exigences applicatives et de sécurité aux fournisseurs de services Cloud, les organisations informatiques devraient utiliser un processus de demande d’information (RFI).
• Vérifier la fiabilité des fournisseurs de services Cloud : Il est crucial que les organisations informatiques exigent des fournisseurs de services Cloud qu’ils justifient de leur viabilité et/ou rentabilité. Elles doivent également étudier leurs feuilles de route pour s’assurer de l’évolutivité et de la durabilité de leurs services.
• Former le personnel informatique au Cloud Computing : Les développeurs devraient être formés à maîtriser les modèles de distribution de services Cloud et à développer des applications prêtes pour le Cloud pour garantir efficacité et évolutivité. Les administrateurs informatiques devraient également être formés pour gouverner efficacement l’utilisation du Cloud et gérer les contrats de prestation. Enfin, les organisations informatiques devraient recruter du personnel expérimenté en Cloud Computing pour accélérer la transition vers une architecture hybride.

Conclusion : L’expansion et la volatilité du marché du Cloud Computing engendreront une mutation des fournisseurs de services Cloud et organisations informatiques. Les fournisseurs tenteront de créer des Clouds « d’entreprise » conformes aux normes de sécurité de l’industrie, transparents et auditables, régis par des accords de niveau de service négociables, tandis que les courtiers de services Cloud s’efforceront de résoudre les principaux problèmes de sécurité, de responsabilités, de modalités de concession de licences et de dépendance vis-à-vis des fournisseurs du Cloud Computing.

En attendant que le marché du Cloud Computing gagne en maturité, les organisations informatiques devront adopter une architecture hybride, basée à la fois sur un Cloud interne, qui hébergera les services informatiques stratégiques et concurrencera les fournisseurs de services Cloud publics, et sur un Cloud externe, qui hébergera les services informatiques moins critiques, pour libérer de la capacité en interne et gagner en flexibilité.

C’est cette architecture informatique hybride, gage du juste équilibre entre internalisation et externalisation, qui donnera un nouvel élan au marché du Cloud Computing.

Réalisé par le Gartner Group et Symantec il y a quelque temps, voici le document complet.

Chaque année, à l’occasion de la petite semaine de sports d’hiver helvète réunissant le gratin mondial, un rapport sur les risques globaux est publié. Au delà du côté anxiogène de l’affaire, il reste toujours plus utile de savoir pour anticiper, que de rester dans l’ignorance… A noter cette année, un chapitre important dédié aux risques technologiques dont les “cyber-attaques” et “défaillances de systèmes critiques“.

Voici un court extrait :

Objectives of Cyber Attacks :

Sabotage

• Users may not realize when data has been maliciously, surreptitiously modified and make decisions based on the altered data. In the case of advanced military control systems, effects could be catastrophic. National critical infrastructures are increasingly connected to the Internet, often using bandwidth leased from private companies, outside of government protection and oversight.

Espionage

• Sufficiently skilled hackers can steal vast quantities of information remotely, including highly sensitive corporate, political and military communications.

Subversion

• The Internet can spread false information as easily as true. This can be achieved by hacking websites or by simply designing misinformation that spreads virally. Denial-of-service attacks can prevent people from accessing data, most commonly by using “botnets” to drown the target in requests for data, which leaves no spare capacity to respond to legitimate users.

Voici un des schémas associés :

Le mini-site en cliquant sur l’image :

Et le site du WORLD ECONOMIC FORUM en lui-même : http://www.weforum.org/issues/global-risks

Si, comme moi , vous l’aviez raté, ce reportage de Josh Rushing dans FAULT LINE sur Aljazeera English autour des tenants et les aboutissants de la Cyber-Guerre d’un point de vue étatsunien, est EXCELLENT, sur le fond et sur la forme, avec même Barbe-Rouge le Pirate (ou ZZ carrot-TOP ?)…

Car après Stuxnet, clairement classé dans la catégorie cyber-sabotage, compte tenu de son fonctionnement et ceci quelque fut la cible, la question des cyber-attaques à motivation politique ou idéologique se pose quand même (Cassandre sort de ce corps !). Notamment sur la manière et les moyens d’aborder ce type de risque, dont je rappelle les types de traitement génériques : Prévention, Acceptation, Réduction, Transfert.

Donc, un “MUST SEE” absolu si le sujet vous intéresse, même 30 minutes et en anglais, si si, j’insiste…:

Par chez nous, on appelle cela plutôt LID (Lutte Informatique Défensive) et LIO (Lutte Informatique Offensive), sujet qui semble moins souvent faire la une de nos médias…bien que des initiatives sérieuses ont été prises depuis la publication du Livre Blanc sur la Défense et la Securité Nationale à travers notamment la création de l’Agence Nationale de la Sécurité des Systèmes d’information – ANSSI. D’ailleurs, en septembre dernier, la France a participé pour la première fois à l’exercice CYBERSTORM, pendant international de notre PIRANET, pour faire court.

Si vis Pacem, Para bellum…ou pas.

Un romain.

Quand je disais que la protection des identités va devenir le point clef de la protection de la vie privée sur internet…..

Certains en font déjà un business, mais pas forcément comme on l’attend : ATTENTION, vous avez été vérifié !

Récemment aux Etat-Unis, j’ai été frappé par un spot de pub passant très régulièrement sur différents chaînes de télé. Il vente les mérites du site www.beenverified.com. On y propose de vérifier le passé de n’importe qui d’après de nombreuses sources publiques (!) et permettant ainsi de :

1. Rechercher des amis perdus de vue…(mouais…)
2. Faire des recherches dans les réseaux sociaux (plus de 40…)
3. utiliser un annuaire inversé
4. obtenir des informations judiciaires
5. Savoir si un délinquant sexuel habite près de chez vous !

Rassurez-vous, c’est uniquement aux USA, mais voyez plutôt :

Et ce n’est pas tout, car concernant la recherche de délinquants sexuels, une application Android et  iPhone est également disponible en réalité augmentée…(rien que ça !); le Sex Offender Tracker, voici le clip :

______________________________________________________________________________________________________

Pour finir cet article et commencer le week-end sur une note plus légère, le type étrange qui présente le clip, Antoine Dodson, a récement fait le “buzz” sur le net à la suite d’une tentative d’agression sexuelle envers sa soeur, qu’il commente de manière très personnelle et virulente sur les actualités locales, MAIS SURTOUT, parce que repris par les Gregory Brothers, champion de l’auto-tune et du “Songify” sur le net.

L’extrait du JT local :

La version des Gregory Brothers, visionnée plus de 41 millions de fois :

Mais jusqu’ou s’arrêteront-ils ?

Coluche.

Vous êtes utilisateur(trice) assidu(e) ? Pour vos achats et ventes de Noël, ajoutez un mot de passe à votre mot de passe !

C’est ce que l’on nomme la double authentification; pas récent, mais simple, efficace et surtout pratique et gratuit via l’utilisation de son mobile.

Alors, comment renforcer de manière très significative la sécurité d’accès à votre compte avec un second mot de passe, qui change toute les 30 secondes ?

1) télécharger le module VIP de Verisign sur votre mobile (modèles supportés) depuis le site http://m.verisign.com ou iTunes puis suivez les instructions. Vous possédez désormais un “credential ID” qui restera le même (à conserver précieusement !!!), et un “security code” qui est modifié toutes les 30 secondes.

2) rendez-vous sur http://www.ebay.com/securitykey puis Activate it now! Visiblement, il faut passer par le site US…

(Au fait, vous n’avez pas besoin du petit bidule gris, le “token”…)

D’abord on entre le SECURITY KEY (ou Credential ID)

Puis, le code à 6 chiffres…

Enfin un second, dès que le précédent a changé.

Voilà, votre mot de passe est protégé par un autre mot de passe !

Lors de la prochaine connexion à votre compte eBay, vous rentrez votre identifiant, puis votre mot de passe suivi de celui fourni à ce moment par l’application VIP sur votre Smartphone (sans espace entre les 2, genre “motdepasse123456“).

Quasiment impossible dès lors de se faire pirater son compte…mais, comme toujours, la vraie sécurité a un prix.

• En effet, lors d’une perte ou d’un vol du mobile, il faudra passer par une procédure spéciale et se faire appeler (sur un autre numéro of course…) par l’assistance commerciale eBay pour réactiver le tout (je n’ai pas testé la réactivité…)
• Dans le cas d’un changement de mobile, pensez à désactiver la double authentification AVANT, car vous aurez besoin du code une dernière fois. Ceci se fait dans la section “My ebay/Account/Personal information/Security information“, disponible UNIQUEMENT sur le site US, www.ebay.com (testé avec succès !) Puis redémarrez à l’étape 1 !

Au passage, c’est une vraie solution pour stopper le phishing, dont plus de 70% cible les activités financières…..alors j’aimerais que ma banque s’y mette !

Il est évident que l’utilisation du simple couple “identifiant/mot de passe” a vécu.

La protection des identités sera le prochain “BIG THING” de l’internet, et ce à très court terme.