Archives de catégorie : Articles

Article détaillé sur un sujet sécurité.

Le comptoir vous attend aux Assises de la Sécurité 2016

Bonjour à tous!

Pour la troisième année consécutive, le comptoir est présent aux Assises de la Sécurité!  C’est officiel, nous faisons partie des meubles.

Au programme cette année, pas de live, mais plein d »interviews que nous vous préparerons avec amour pour publication dans les jours à venir. Oui, promis, on fera en sorte d’être plus rapide qu’avec la Nuit du Hack ;). Justin vous prépare même une petite surprise audiovisuelle, vous verriez son agenda, un vrai ministre.

La première journée a commencée sur les chapeaux de roues, malgré un réveil à  4h30 pour sauter dans un des premiers avions en direction de Nice, nous avons eux quelques déconvenues. Il faut croire que notre pilote avait un peu trop bu à notre santé la veille (ok, la raison officielle était juste « il n’a pas pu venir »). Ce retard, plus les légendaires bouchons monégasques, nous ont malheureusement fait rater l’ouverture traditionnelle de l’ANSSI.

Nous nous sommes rattrapés, après avoir repris des forces à grands coups de petits fours, en participant à la conférence de presse de Guillaume Poupard qui se déroulait juste après. Si vous cherchez des retours à chaud, suivez nous sur Twitter @comptoirsecu!

Comme chaque années, si certains d’entre vous ont la chance d’être présent pour l’événement, n’hésitez pas à venir nous voir en soirée pour discuter…et boire un verre ;).

Flattr this!

Les conférences de Sécurité pour les Nuls (en France)

Ces derniers temps, beaucoup de personnes (étudiants souvent) me demandent comment s’améliorer en sécurité. Un des éléments de ma réponse est : « Sortez de chez vous, allez voir ce qui se passe dans des conférences de sécurité! »

Malheureusement, quand on est débutant dans ce milieu, on est rapidement perdu; chaque conférence a son type de public et de sujets. Dans cet article, je vais essayer de clarifier tout cela, en parlant des conférences françaises (non non, je ne suis pas chauvin!).

Continuer la lecture de Les conférences de Sécurité pour les Nuls (en France)

Flattr this!

Pwn2Own 2014 : Les résultats sont toujours aussi catastrophiques

Pour ceux qui ne connaissent pas, le Pwn2Own est un concours (présentement sponsorisé par HP) au cours duquel des chercheurs en sécurité sont mis au défi de prendre le contrôle d’un ordinateur.

Encore une fois cette année, le navigateur est la voie royale de l’attaquant, accompagné des éternels Adobe Flash et Adobe Reader.

Mozilla Firefox, Google Chrome, Internet Explorer et Safari se sont fait retourner lors de cette 8ème édition. Ici l’excuse de l’obsolescence ne passe pas, avec un Windows 8 64 bits comme support.

Il semblerait que Vupen se soit assagi, en effet, cette année, point de cachotteries de la part de notre revendeur de 0day, toutes les vulnérabilités exploitées auraient été divulguées aux éditeurs respectifs.

vupen-proactive

On ne peut s’empêcher d’être un peu défaitiste en voyant ces résultats. Cela me fait un peu penser au concours Pwn2Kill organisé par l’ESEIA lors de leur « iAWACS ». Ce concours demandait aux participants de faire passer un malware à l’insu des grands antivirus du marché.

A priori, il n’y a pas eu de nouvelle session depuis 2010, mais les deux sessions de 2009 et 2010 ont montré une victoire écrasante des attaquants. L’ensemble des charges malveillantes était passé, aucun moteur antivirus ne les avait détectés.

On est en droit de se demander si les éditeurs font les efforts nécessaires en interne pour éprouver efficacement la sécurité de leurs produits avant de les diffuser au grand public.

Nous sommes désormais dans une course aux fonctionnalités, il est plus tentant d’être le premier à sortir une nouvelle version innovante. On le voit très bien avec l’envolée ridicule des numéros de version des navigateurs.
Un bel exemple est Google Chrome. Il fut un temps ou le changement du numéro majeur de version d’un navigateur était significatif. Il y a longtemps que l’on n’y fait plus attention avec Chrome, qui en est à sa version… 32.

Les récompenses offertes aux chercheurs en échange de la révélation de ces vulnérabilités atteignent des sommes colossales. Cette dernière édition du Pwn2Own ne totalise pas moins de 850 000 dollars de « bounty » !

Mais après tout, est-ce tant que ça pour un éditeur comme Microsoft ou Google ? Peut-être est-il plus intéressant pour eux de payer pour les résultats de ces chercheurs plutôt que de les payer pour les faire chercher en interne.

schneier2

Doit-on baisser les bras, arrêter de nous échiner à mettre à jour notre ordinateur et nos logiciels ? Abandonner les antivirus, firewall et autre outil de sécurisation ? Bien sûr que non !

La sécurité absolue n’existe pas, et ces concours nous le prouvent, cependant, toutes ces mesures de sécurité ne sont pas pour autant totalement inutiles. Une quantité astronomique de malware circule sur Internet, un Windows obsolète ne tient que quelques heures avant d’être infecté une fois connecté.

Les vulnérabilités présentées sont le fruit d’experts dans le domaine, ils ont investi un temps considérable dans leurs découvertes, et ces vulnérabilités seront patchées par leurs éditeurs.

Ce n’est pas parce qu’il restera toujours possible d’entrer chez vous avec un tank ou un expert en crochetage qu’il ne faut plus prendre la peine de fermer la porte à clé.

Flattr this!

Android Wear et Google Know…pardon, Google Now

Vous avez sûrement entendu parler ces derniers jours d’Android Wear.

Pour ceux qui n’auraient pas suivi, Android Wear est une variante du système d’exploitation Android à destination des « objets connectés ». Il y a d’ailleurs de grandes chances pour que les Google glass et l’hypothétique google watch en soient pourvus. Un prototype l’utilisant est en préparation chez Motorola : la Moto 360.

moto360

Je ne vais pas m’étendre sur les particularités de cet OS, son interconnexion avec le système de notifications du téléphone, etc. Tout ceci est très bien expliqué dans de nombreux articles sur la toile, vous avez notamment un tour d’horizon très complet fait par Ars Technica.

Concentrons-nous sur la véritable valeur ajoutée que tente d’apporter Google : Google Now.

Google Now n’est pas encore très connu du grand public, il est relativement bien caché dans Android, surtout si vous ne possédez pas un Nexus, mais par exemple un Samsung. Vous pouvez généralement y accéder en appuyant longuement sur votre bouton « home », et appuyer sur l’icône correspondant à un G qui apparait.

Google Now a pour objectif de devenir votre assistant personnel, au même titre que Siri sur iPhone ou le projet Cortana pour les Windows Phone. Cependant, ce n’est pas qu’un simple moteur de recherche avec quelques notions de sémantique et des facultés de reconnaissance et synthèse vocale.

Google Now va plus loin que cela, sa principale différence, et celle qui va nous intéresser d’un point de vue vie privé, c’est sa capacité à savoir vous donner l’information qui vous intéresse, au moment opportun, sans que vous n’ayez à lui demander quoi que ce soit. Ces informations sont représentées sous la forme de « cartes », vous pouvez avoir une liste non exhaustive de ses capacités sur leur page de présentation.

Comment est-ce possible me direz vous ? C’est simple, Google tire à profit l’énorme quantité d’information qu’il dispose sur vous à tout moment pour proposer des cartes qu’il juge pertinentes.

Quand on y pense, Google est une petite NSA à lui tout seul, pour peu que, comme moi, vous soyez un (trop) grand utilisateur des produits Google, à savoir :

  • Mes mails personnels sont sur un compte Gmail
  • mon téléphone tourne sous leur système d’exploitation Android
  • mon agenda personnel est sur Google Calendar
  • la plupart de mes communications instantanées sont réalisées sur Google Hangout
  • mon moteur de recherche est généralement… Google, même si de plus en plus je passe par défaut sur DuckDuckGo
  • même si je n’utilise quasiment plus les réseaux sociaux pour des sujets personnels, j’utilise activement Google+ pour partager des articles pour le ComptoirSecu
  • au cas ou le moteur de recherche ne capterait pas tout, j’utilise également très souvent Google Chrome comme navigateur principal, je suis également un gros consommateur de vidéos Youtube
  • la plupart des albums photos que je souhaite partager avec la famille et les amis sont sur Picasa, maintenant renommé Google+ Photos
  • quand j’ai une note rapide à prendre, je l’inscris dans Google Keep
  • j’ai pendant très longtemps utilisé activement Google reader, j’ai même utilisé Google Voice lorsque je travaillais sur New York, je fais mes recherches d’itinéraire sur Google maps, etc.

company-products

Comme vous le voyez, la liste est très longue, je n’en suis pas fier, car j’ai parfaitement conscience des risques que cela implique, mais je suis totalement dépendant des produits de la société au slogan très hypocrite « Don’t be evil », et, à cause de tous ces services utilisés activement pendant toutes ces années, il est très facile pour Google de savoir :

  • à qui je parle et de quoi je parle (Hangout, Gmail)
  • quels sont mes centres d’intérêt (recherches googles, conversations…)
  • où je vais (fonction GPS d’android), ce que je fais (Google Calendar)
  • à quoi je ressemble, à quoi ressemble mon entourage (mes albums photos)
  • qu’est ce que j’achète (les reçus dans Gmail)

Et j’en oublie sûrement beaucoup. Si vous voulez vous faire peur, allez donc jeter un œil à votre page Ad preferences ou encore votre Google Dashboard.

Le pire étant si vous avez oublié de désactiver la localisation GPS périodique d’Android, vous verrez à quel point Google est doué pour deviner où vous travaillez, ou vous vivez, combien de temps en moyenne vous passez au travail ou en soirée, où vous voyagez, etc.

Bref, vous l’avez compris, pour peu que comme moi vous soyez très consommateur de leur produit, ou si a minima vous utilisez Gmail et possédez un téléphone Android, Google en sait énormément sur vous.

Leur génie réside dans le fait de vous offrir ces informations pour vous aider au quotidien, c’est là qu’entre en jeu Google Now, laissez-moi vous présenter quelques exemples vécus par moi-même ou par des proches :

  • Vous sortez de chez vous un jour ouvré ? Google vous annonce qu’en vue du trafic il vous faudra 35 minutes pour arriver au travail (il a mis en corrélation l’heure et votre coordonné GPS)
  • Vous prenez l’avion ? Google vous rappel votre vol et vous dit quand partir de votre position actuelle pour ne pas être en retard à l’aéroport (il a lu votre confirmation de vol sur Gmail)
  • Vous venez d’arriver au cinéma ? Google vous affiche le QR code de votre ticket électronique (il a lu vos mails et l’a mis en corrélation avec l’heure et votre position GPS)
  • Vous êtes au travail et vous vous demandez quand votre colis Amazon va arriver ? Ne vous en faites pas, Google vous fera un rappel le jour de livraison estimée
  • Vous avez rendez-vous chez le médecin ? Google vous dira quand partir pour être à l’heure (il a mis en corrélation votre position GPS et les informations dans votre agenda)
  • Vous venez d’arriver dans une nouvelle ville, il est tard et vous ne savez pas ou dormir ? Ne vous en faites pas Google à quelques suggestions d’hôtels à proximité ? Il est midi ? Qu’à cela ne tienne ! Voici quelques suggestions de restaurants !

google-now-cards

Je pourrai continuer comme ça encore longtemps, le potentiel est énorme.

Alors, oui, c’est effrayant, surtout la première fois, je vous assure que quand j’ai reçu ma première notification m’avertissant que j’avais reçu ma nouvelle clé USB à la maison je n’ai pas tout de suite compris qu’il s’était basé sur le mail d’Amazon et j’ai regardé par dessus mon épaule !

Mais on ne peut nier à quel point ces informations tombent parfois à point nommé et sont pratique, et c’est là tout le génie de Google Now, réussir à vous mettre en avant les points positifs d’une surveillance omniprésente, essayez de vous vendre ce qui vous révolte lorsque cela est réalisé par un organisme gouvernemental.

Je suis moi même tiraillé, je réalise à quel point ces données sont intrusives et de plus en plus précises, complètes et basés non pas sur un historique, mais sur l’instant présent. D’un autre côté, je l’admets, avoir une montre qui affiche mon QR code lorsque j’arrive au guichet du ciné pour ne plus avoir qu’a tendre le bras et non pas me battre avec la luminosité de mon téléphone, ça me fait vraiment envie.

Pouvoir d’un coup d’œil sur mon poignet savoir si je dois partir maintenant du travail pour aller au sport compte tenu du trafic, savoir qui m’appelle avant de sortir le téléphone du manteau ou lire un SMS d’un coup d’œil en réunion ? Je signe tout de suite.

Pour toutes ces choses, j’ai l’intime conviction qu’Android Wear, et surtout les produits qui l’utilisent, vont faire un véritable carton.

Et vous, qu’en pensez-vous ? Faites-vous parti des quelques irréductibles anti-google évitant leurs services comme la peste ? Où vous êtes vous comme moi inscrit sur la page de teasing du Moto 360 pour avoir une alerte lorsque ce petit bijou sera disponible ?

Flattr this!