Revue de liens (31/01/2016)

Logjam : la faille qui met Internet à nu ; Article de chercheurs du CNRS à propos du fonctionnement du protocole TLS et de la mise à disposition d’un outil permettant d’illustrer l’existence d’une faille de sécurité en cas d’utilisation d’un algorithme de chiffrement de faible robustesse.

Even If Terrorists Do Use Strong Encryption, We Still Need It ; Article de Dan Gillmor relatif aux enjeux d’un chiffrement avec backdoor et de la couverture médiatique d’un tel sujet.

Haut débit en eau profonde ; Article du journal Le Monde à propos de l’histoire, des acteurs contemporains et de leurs projets s’agissant des câbles de télécommunication au sein des fonds marins.

Sur internet, la lutte sans fin contre les botnets ; Article du journal Le Monde relatif à la complexité du combat contre les botnets.

L’armée israélienne s’inquiète d’une fuite des cerveaux vers le privé ; Article du journal Le Monde à propos de l’augmentation des départs de militaires spécialisés dans le numérique vers le monde de l’entreprise.

Is Your Messaging App Encrypted ? ; Analyse des outils de messagerie sous l’angle de la confidentialité (présence ou non de chiffrement de bout en bout ou seulement entre les clients et le serveur de l’application).

Mots de passe et exigences de la Cnil ; Analyse au sein de la revue Expertises des positions de la CNIL en matière de mot de passe (complexité, renouvellement, historisation, chiffrement, confidentialité).

Conseil d’Etat, 30/12/2015, Orange c/ Cnil ; Décision du Conseil d’Etat à propos de l’obligation prévue au 34 bis de la loi du 6 janvier 1978 (notification de faille) et du droit à ne pas contribuer à sa propre incrimination (chercher affaire n°385019).

Revue de liens (28/12/15)

Agreement on Commission’s EU data protection reform ; accord entre le Parlement européen, le Conseil et la Commission européenne (trilogue) sur la version définitive du nouveau règlement (ainsi que la directive « police ») relatif à la protection des données personnelles (remplaçant la directive 95/46).

La DGSE lève un coin de voile sur l’énigme Enigma ; article du Monde au sujet de l’annonce par la DGSE du versement au Service historique de la défense des archives relatives à la lutte contre les rotors retors d’Enigma.

Avis de la CNIL // Avis du Conseil d’Etat sur le projet de loi République numérique ; publication des avis sur la version soumise par le gouvernement.

Twitter users, government spies may be hacking you ; diffusion par Twitter de courriels de prévention auprès de certains utilisateurs au sujet de tentatives d’accès frauduleux à leurs données personnelles par un ou plusieurs services d’Etat.

Accord conclu entre le Conseil et le Parlement européen pour des règles cybersécurité ; nouvelle étape franchie dans le processus d’adoption de la directive Sécurité des réseaux et de l’information.

Dans les coulisses des contrôles en ligne de la CNIL ; présentation technique et juridique du pouvoir de contrôle en ligne mis en œuvre depuis mars 2014 par la CNIL.

 

 

Revue de liens (13/12/2015)

Cybercrime News Results In Cybercrime Blues ; Découverte et analyse d’un exploit (Angler) ciblant les lecteurs d’un article du Guardian relatif à la cybercriminalité.

56Kast ep. 61 ; Explications avec Tristan Nitot relatives au chiffrement et à ses usages pratiques (chiffrement symétrique, asymétrique, intégrité et authentification, protocole SSL etc.).

Le noob de l’autohébergement ; Article de Zythom (expert judiciaire) relatif à l’importance du referer dans une démarche d’anonymat sur internet.

China denies Australia Bureau of Meteorology ‘hack’ ; Accusation publique de la Chine par l’Australie concernant des faits d’intrusion dans le système d’information météorologique national.

FBI Director James Comey Talks Encryption ; Selon le directeur du FBI le développement des solutions de chiffrement de bout en bout (lorsque la clef est exclusivement détenue par les correspondants) ne correspond qu’à un enjeu de business model.

Perspectives et limites du traitement de données à grande échelle ; Interview du chercheur en informatique Michael I. Jordan sur le concept de big data, son évolution et ses usages.

Revue de liens (06/12/2015)

  • Let’s Encrypt en bêta publique ; l’initiative lancée par l’Internet Security Research Group (qui réunit notamment Mozilla, Akamai, Cisco et l’Electronic Frontier Foundation) poursuit son développement via l’offre de certificats SSL reconnus par les principaux navigateurs.
  • Le RDV Tech ep. 173 ; traitement du sujet relatif des relations renseignement / chiffrement civil, efficacité et conséquences d’un algorithme avec backdoor (01h51).
  • On Encryption and Terrorists ; commentaires d’un développeur d’outils de chiffrement sur les limites et les risques sous-jacents à l’idée de backdoors à finalité de lutte contre le terrorisme.

Revue de liens (25/11/2015)

  • Trois questions à Xavier Leonetti ; rôle de la DGGN en matière de cybersécurité et analyse du paysage de la cybercriminalité (chiffres et interférences des évolutions des espaces réel/cyber avec les modes opératoires).
  • Lutte contre les botnets ; soutenance de la thèse de doctorat en informatique d’Eric Freyssinet intitulée « Lutte contre les botnets : analyse et stratégie » (206 p.).
  • This Week in Tech ep. 536 ; terrorisme et liberté de chiffrement, surveillance des personnes détenues, compromission du réseau Tor par le FBI (02h11).
  • Cyberattaques : la lutte s’intensifie ; définitions possibles de la cybercriminalité, extension du domaine de la répression et des obligations ANSSI (incidents de sécurité) et CNIL (violation de DCP) pour les responsables de traitements.

L’enjeu sécurité des systèmes SCADA (No Limit Secu)

Début août l’émission No Limit Secu a consacré deux épisodes aux problématiques de sécurité concernant les infrastructures de supervision SI des environnements industriels (SCADA). Chaque émission, centrée sur un thème particulier (terminologie et menaces / solutions), aborde les sujets suivants :

  • panorama du contexte et des acteurs (types d’activités, présence d’OIV, profil de l’automaticien etc.)
  • spécificités des environnements industriels (architectures décentralisées / générations hétérogènes)
  • porosité du SI de l’entreprise (connecté à l’internet) avec le SI industriel
  • priorisation du traitement des menaces (conséquences d’un sabotage physique / intrusion SI)
  • contrainte de disponibilité en matière de patch management (dans le cas des environnements en activité permanente, arrêt des machines coûteux / non prévu )
  • contrainte de l’équipementier en matière de patch management (restriction des mises à jour OS / bases d’empreintes antivirus)
  • efficacité d’un outil juridique contraignant (milieu rompu aux contraintes légales)

Accéder aux émissions (nolimitsecu.fr) : épisode 1 // épisode 2

Threat intelligence et réponse aux incidents (No Limit Secu)

En mai 2015 le podcast NoLimitSecu avait consacré son émission à la notion de « threat intelligence » en présence de Thomas Chopitea et les intervenants habituels. L’occasion d’aborder les points suivants :

  • définition de la notion de « menace » (cf. ISO 27000) ;
  • valeur ajoutée du « threat intelligence » au regard du partage d’information des IOC classiques (signature d’un code malveillant, adresse IP, hash…) ;
  • finalité du « threat intelligence » (cf. objet // attribution de l’attaque) ;
  • modalités de partage d’information (cf. notamment ANSSI et PRIS) ;
  • rapprochement des concepts cybercriminels et militaires.

Accéder au podcast (nolimitsecu.fr)

Approche juridique pour les APT (MISC)

À la suite d’un dossier dédié dans son numéro 79, le numéro 80 (juillet/août) du magazine MISC propose une analyse juridique des attaques dites « Advanced persistent threats » sous la plume de Daniel VENTRE (CNRS, Chaire cybersécurité et cyberdéfense). Les points suivants sont abordés par l’auteur :

  • Incertitudes quant à la définition juridique de l’acte ;
  • Consensus sur la dimension temporelle (temps long) et la finalité (récupération d’informations) ;
  • Nature des données concernées et régimes de protection adéquats (données personnelles, données recouvertes par la propriété intellectuelle/industrielle) ;
  • Intérêt de la loi du 13 novembre 2014 afin de qualifier le « vol » de données (cf. modification de l’article L. 323-3 du code pénal) ;
  • Problématique d’une répression étatique face à la dimension internationale des APT ;
  • L’obligation de déclaration d’incident pesant sur les OIV (à quoi l’on peut rajouter celle pesant sur les fournisseurs de services de communication électronique vis-à-vis de la CNIL, cf. art. 34 bis – II de la loi du 6 janvier 1978) ;
  • La problématique des représailles menées par les entreprises cibles ;

Présentation et références de l’article (miscmag.com)

« Un mail en clair est une carte postale » (RDV Tech)

Le numéro 162 du podcast « Le rendez-vous Tech » (29/06/15) aborde les notions principales d’hygiène informatique. Chacune des notions est présentée de manière à cibler leurs utilités et limites en fonction du contexte d’utilisation :

  • Mot de passe et gestionnaire
  • Procédés d’authentification forte (à 2 facteurs)
  • Utilisation de VPN (serveur privé virtuel)
  • Utilisation des réseaux wifi publics avec/sans protocole TLS
  • Chiffrement des mails (PGP) et gestion de clefs
  • Chiffrement symétrique et asymétrique

Écouter l’émission (frenchspin.fr)

Data is power (B. Schneier)

Article de Bruce SCHNEIER sur deux transformations, celle des êtres et des choses du quotidien en ordinateurs, et celle du rapport des individus à ces ordinateurs. Les incidences qu’il retient tournent autour d’un nouvel équilibre des pouvoirs :

  • multiplication des capteurs tiers sur les objets et gestes du quotidien
  • fragilité du caractère anonyme des données collectées
  • la victoire des moteurs du consentement à la traçabilité
    • gratuité / sécurité / utilité / confort
  • perte de contrôle physique des données
  • perte d’autonomie de l’individu sur les composants et applications qu’il utilise
  • perte d’autonomie politique, sociale, contractuelle… des individus

Voir l’article (theguardian.com)