Il fait beau, il fait trop chaud, ce n’est pas un temps à sortir, mais plutôt à rester dans un lieu climatisé.

Source

Voici donc quelques lectures pour occuper ce temps d’inaction forcée.

Au passage, ce billet est le 200° du blog, le premier ayant été publié le 25/03/2014. Ce qui fait donc un peu plus de 5 articles par mois, ou encore un peu plus de 61 par année. Dûment muni de la statistique inutile du jour, vous pouvez débuter votre lecture !

A propos de l’attribution des attaques : il n’y a (étonnamment) pas de pirate américain, et utiliser une kalachnikov prouve que les Russes sont à l’origine de l’attaque… Où sont donc passés les Chinois et les Iraniens ?

Attaque encore, mais dans la version alerte. Les Belges ont fait le choix d’un SAIP différent. Mais si la technique est bonne, reste à voir si les procédures de déclenchement seront respectées, contrairement à notre belle Gaule.

Il est maintenant avéré que les pacemakers sont piratables : L’examen de différents programmateurs, les terminaux exploités pour contrôler un pacemaker, a révélé la présence de plus de 8.000 vulnérabilités d’après les consultants. Dans deux cas, ceux-ci ont même trouvé trace de données patient stockées de manière non protégée. Et encore « Les résultats révèlent que l’architecture inhérente et les interdépendances de la mise en œuvre sont susceptibles de risques de sécurité susceptibles d’avoir une incidence sur la confidentialité générale, l’intégrité et la disponibilité de l’écosystème » notent les auteurs de l’étude. Homeland était donc annonciateur.

Avant de parler de révolution numérique, il serait bon de prendre en compte la gestion et la protection de l’information. Un exemple frappant nous est donné par l compagnie aérienne united airlines qui a laissé fuiter les codes d’accès aux cockpits d’avion.

Si l’on veut mettre à genoux un pays numérisé, il suffit souvent de s’attaquer à sa production (ou son approvisionnement) d’électricité. Les Ukrainiens ont testé par deux fois (décembre 2015 et 2016) l’attaque contre l’électricité. Ils pourraient ne pas être les seuls si on en croit cet article : Après six mois d’enquête, les spécialistes ont découvert qu’il a été conçu pour pouvoir être adapté à n’importe quel type de centrale.

Et toujours dans le cadre de l’électricité, l’Estonie bascule vers des compteurs « intelligents » partout.

Encore des élections piratées. Encore que, restons prudents puisque S’il existe un vaste faisceaux d’indices concordants pointant du doigt la Russie dans le piratage du DNC et des courriels de John Podesta, il n’existe aucun élément permettant de dire que le système de vote a été attaqué ou altéré. Quant au piratage d’En Marche, Une visite dans les locaux de En Marche ! et un long échange avec les responsables techniques de la campagne ne dissiperont pas l’impression que cette tribune était surtout une opération de communication, même si « le volume [d’attaques] est ridicule [à savoir disproportionné] par rapport aux données dont on dispose », selon le principal technicien de la campagne, ancien employé d’une entreprise très réputée dans le milieu (avec qui nous avons pu nous entretenir à la condition de ne pas dévoiler son identité). Au passage, un petit rappel de l’entrevue de Versailles : La propagande russe, par le biais de certains médias comme RT ou Sputnik, est avérée. Elle reste dans les limites de ce que font toutes les puissances mondiales depuis des décennies. Encore un qui va finir au goulag… La conclusion de l’article est intéressante, car elle montre la mauvaise passe dans laquelle se trouve maintenant la sécurité informatique : Bien des sujets liés à ce piratage ont dépassé le simple cadre technique : jamais sécurité informatique n’aura été aussi diplomatique et politique. Mauvaise passe, car elle sort de son domaine de rationalité pour entrer dans un domaine de rationalité limitée (pour plagier Herbert Simon). Un article à lire !

Au passage, les « armes informatiques » ne seraient pas si efficaces que ce qu’on en dit. Un précédent article évoquait déjà ce sujet plutôt ambigu.

La CIA aurait des hackers qui nous espionnent… The Intercept, le site créé pour maximiser les documents fournis par Edward Snowden, a depuis confirmé que ces logiciels espions émanaient bien de la NSA. De nombreux observateurs estiment que «The Shadow Brokers», qui n’ont de cesse de brocarder les États-Unis dans des communiqués incendiaires, seraient liés aux services de renseignement russes. Même si leur auteur serait, d’après une analyse linguistique, un anglophone tentant de se faire passer pour un étranger.

La prison doit réinsérer les détenus. Certains ont d’ailleurs choisi de ne pas y rester oisif, c’est bien.

Qualité et sécurité du code ne font actuellement pas bon ménage : rapidité de développement imposé, aucune mesure de la sécurité, bref, rien de fondamentalement neuf. Mais rassurez-vous, la security by design fonctionne…

Le commissaire européen chargé de la sécurité alerte sur la cybercriminalité. Il paraîtrait que l’attaque via Wannacrypt marque un tournant dans la prise de conscience de conscience publique. Autant que Stuxnet ? L’alerte de Stuxnet fut telle que Renault (entre autres) a sécurisé ses chaînes de production, n’est-ce-pas ? Et vas-y qu’ensuite je compte ensemble des carottes et des navets en parlant du nombre total de cyberattaques. Un peu de finesse statistique permettrait de parler sérieusement, sinon, comme dans le monde réel, nous compterons de la même manière le vol d’un marteau et la mise à sac d’un château (un fait).

Les petits arrangements d’Uber en cours et à venir. Ce qui, in fine, rétablira une certaine équité : les riches ayant accès sans limite à une prise de courant paieront une surtaxe moindre, alors que les pauvres sans accès rapide à une prisse de courant auront moins de réductions. Il fallait y penser…

Le commerce des données, c’est mauvais, surtout quand les acteurs en sont les GAFA. Pour les autres, c’est différent.

La baisse du nombre de DDoS, mais l’augmentation de ses effets.