Selon la façon dont on prononce le titre, ce peut être blog outte, ou blog a-outte. Deuxième solution pour un temps de vacances. Mais je ne vous laisse pas sans devoirs de vacances réflexion.

source.

Backdoor et confiance

Un lien intéressant : Un chercheur en sécurité aurait découvert des backdoors installées dans iOS par… Apple. Jonathan Zdziarski a exposé sa découverte à l’occasion de la conférence Hackers On Planet Earth (HOPE/X) qui s’est déroulée à New York du 18 au 20 juillet derniers. Selon lui, pas moins de 600 millions de terminaux iPhone et iPad sont affectés par ces portes dérobées. Et encore… Autrement dit, Apple s’est donné les moyens d’accéder aux données de ses clients et les mettre, au besoin, à disposition des autorités américaines comme le stipule la firme de Cupertino dans ses lignes directrices d’application de la loi américaine. En résumé : l’iPhone 5 et iOS 7 sont plus protégés de tout le monde sauf d’Apple et du gouvernement.

Anonymat

Tout fout le camp ! Récemment la NSA s’est intéressée de près à Tails et au réseau Tor à travers son outil de surveillance KeyScore avec en filigrane la quête d’un second Snowden. Le sujet des outils d’anonymisation sur le web est très sensible au point qu’une session de la prochaine Black Hat sur la désanonymisation du réseau Tor a été annulée.

Tor

Thor n’est plus un dieu tout-puissant. Une présentation portant sur les moyens d’identifier les utilisateurs du réseau d’anonymisation Tor a été supprimée du programme de la conférence Black Hat USA, la grand-messe dédiée à la cybersécurité qui ouvrira ses portes à Las Vegas du 2 au 7 août prochains. On peut penser que c’est pour laisser croire à un anonymat en fait inexistant. Ce qui est étonnant, c’est que le ministère de l’Intérieur Russe propose une récompense (3,9 millions de roubles soit environ 111 000 dollars ou 82 000 euros) pour celui qui brisera TOR. Selon les autorités russes, cela viserait la lutte contre les sites de pornographie.
On apprend parfois, en lisant à tor 😉 et à travers que cet oignon a été piraté pendant 6 mois : Le 4 Juillet 2014, nous avons trouvé un groupe de relais dont nous supposons qu’ils tentaient de dé-anonymiser les utilisateurs. Ils semblent avoir ciblé les personnes qui exploitent ou accèdent aux services cachés de Tor. L’attaque a consisté à modifier les en-têtes de protocole Tor afin de faire des attaques de type trafic confirmation. Tiens, tiens, serait-ce à rapprocher des tentatives de la NSA pour s’y introduire ? Le réseau d’anonymisation Tor, bien connu des activistes – mais aussi des criminels -, aurait été la cible de la National Security Agency, révèlent certains des documents dévoilés par le « lanceur d’alerte » Edward Snowden.

Utilisation détournée du cloud

C’est bien le cloud, on peut même y créer des botnets pas chers : Des spécialistes de la sécurité ont élaboré un botnet à partir de comptes Clouds gratuits. Avec ce réseau de VM zombies, ils ont pu générer pour 1750 dollars de Litecoin, une monnaie virtuelle grâce à des logiciels gratuits et des offres promotionnelles. D’autres chercheurs, il y a quelques années, avaient utilisé les ressources du cloud pour casser des mots de passe ou des contenus chiffrés en utilisant la technique dite de force brute. Avec la puissance de calcul du cloud, ils étaient arrivés à de bons résultats pour un prix très bas.

Europe et identité électronique

L’Europe cherche à harmoniser l’identité électronique.

Système de reconnaissance mutuelle de l’identification électronique

Les nouvelles règles exigent que les États membres reconnaissent, dans certaines conditions, les moyens d’identification électronique des personnes physiques et morales qui relèvent d’un système d’identification électronique d’un autre État membre ayant été notifié à la Commission. Il appartient aux États membres de décider s’ils souhaitent notifier l’ensemble, une partie, où aucun des systèmes d’identification électronique utilisés au niveau national pour accéder au moins aux services publics en ligne ou à des services spécifiques. Ces règles ne couvrent que les aspects transfrontières de l’identification électronique, la création de moyens d’identification électronique demeurant une prérogative nationale.

Calendrier de la reconnaissance mutuelle

Les États membres qui le souhaitent pourront adhérer au système de reconnaissance mutuelle des moyens d’identification électronique notifiés dès que les actes d’exécution nécessaires seront en place. Tel devrait être le cas au cours du deuxième semestre de 2015. Le système de reconnaissance mutuelle obligatoire devrait démarrer au cours du deuxième semestre de 2018.

Internet des objets

Et fréquences : face à l’évolution des usages, notamment en regard de la révolution qui s’annonce avec les objets connectés (ou Internet des objets), il faut aujourd’hui trouver de nouvelles ressources hertziennes. D’où l’initiative du régulateur qui invite les acteurs du secteur à proposer leurs avis sur l’utilisation des bandes libres.
Et sécurité : Les experts de Fortify ont été gâtés avec une moyenne de 25 failles par objet connecté. Les pourcentages sont éloquents : 70% des équipements ne cryptent pas leurs communications, pire 90% d’entre eux collectent au moins un élément de données personnelles à travers le cloud ou une application mobile. Ces données personnelles sont variées, allant des informations de santé, le nom, l’adresse, mais aussi des numéros de cartes bancaires. Et les chercheurs de se poser ouvertement la question, « est-ce que les objets connectés ont véritablement besoin des données personnelles pour fonctionner ? ». C’est une bonne question. Mais quand on n’a rien à cacher, ce n’est pas grave, non ?

ANSSI

Un récent décret augmente ses prérogatives. Comme précisé sur le site de Légifrance, le décret prévoit les décisions que le directeur général est de plein droit compétent pour signer au nom du Premier ministre. Il autorise également le directeur général à subdéléguer à son adjoint le pouvoir de signer au nom du Premier ministre toute décision relative aux affaires pour lesquelles il a lui-même reçu délégation.

Allez, souriez, c’est les vacances !

source.