236 - Anonymous: une menace pour l'OTAN? (et autres)

starbuck - 03.06.2011 | 1 réactions | #link | rss

Tag(s): commedansdubeurre

tcha

lolz

anonymous

sony

piratage

vol

securite

Un. Le groupe Anonymous, rendu célèbre entre autres par son soutien pour l'organjeisation Wikileaks, fera désormais partie des menaces auxquelles les pays membres de l'OTAN doivent se préparer.

C'est ce que conclut en substance le récent rapport de Lord Jopling, général rapporteur à la mission britannique. Ces affirmations viennent compléter la récente accusation d'actes cyberterroristes, formulée le 3 mai dernier par Kazuo Hirai, directeur de Sony Computer Entertainment, devant la chambre des représentants aux États-Unis.

Bien entendu, il n'est pas difficile de deviner les enjeux et les intérêts desservis par de tels propos lorsque l'on sait que la quasi-totalité des pays membres de l'OTAN étudie la possibilité de déployer des unités militaires spécialisées dans les offensives numériques, lorsque cela n'a pas déjà été fait...

L'autre élément sensible de ces accusations est que le groupe Anonymous se caractérise par une organisation particulièrement peu formalisée, dans laquelle il est difficile de déterminer quels sont les leaders ou les membres actifs lorsque des offensives sont perpétrées au nom du groupe. Dans la même veine, il suffit aujourd'hui de placer le slogan "We are legion" lors d'une attaque informatique, pour que les plus grandes puissances économiques se permettent d'imputer l'attaque au groupe.

Si l'on associe ces éléments à la récente réflexion conduite par le gouvernement américain pour inclure les attaques informatiques dans la liste des actes de cyberterrorisme, on se retrouve ici nez-à-nez avec un cocktail favorisant les abus les plus pervers en matière de répression contre le piratage informatique.

Deux. Puisque je parle de Sony dans la section précédente, j'en profite pour relayer la récente intrusion informatique dont l'entreprise vient d'être victime. Non il ne s'agit pas de celle annoncée le 23 avril, ni celle annoncée le 3 mai, ni celle annoncée le 24 mai, mais bel et bien de celle annoncée le 2 juin dernier. L'attaque a porté cette fois sur les serveurs de Sony Pictures.

Plus d'un million d'enregistrements ont été volés, données personnelles et mots de passe inclus. Heureusement pour les membres du groupe Anonymous, l'attaque a été revendiquée par le groupe Lulz Security. Ce dernier avait fait parler de lui il veut y a un mois en publiant la base de données secrète des candidats à l'émission de télé réalité X Factor.

Trois. Autre élément intéressant dans cette histoire, l'attaque à laquelle il est fait référence au point deux n'a pas nécessité des compétences techniques exceptionnelles pour être réalisée. Les pirates ont en effet exploité une faille logicielle de type SQL injection (hé oui, encore une fois) présente sur le site Web de Sony Pictures. Cette catégorie de vulnérabilités occupe le premier rang depuis près de sept ans dans la majorité des référentiels traitant de sécurité des applications Web. Après avoir obtenu l'accès aux données, les pirates ont constaté que les éléments les plus sensibles tels que les mots de passe de plus d'un million de personnes ne bénéficiaient d'aucune protection particulière, telle que le chiffrement.

Bien entendu, la négligence affichée par des entreprises se permettant de stocker plusieurs millions d'enregistrements de données personnelles, sans mettre en oeuvre les moyens aujourd'hui considérés comme nécessaires à leur protection, ne semble pas poser un grave problème aux autorités dont il est fait référence ci-dessus...

Quatre. Plusieurs utilisateurs du réseau social Friendster ont annoncé avoir reçu un courrier électronique dans lequel le mot de passe d'accès à Friendster était inscrit en clair. La suspicion d'un vol de la base de données du réseau social est plus que certaine bien qu'elle n'ait pas encore été confirmée par ses propriétaires.

Fondée en 2003, la plate-forme avait réussi à rassembler plus de 115 millions d'utilisateurs avant de succomber face au succès de son concurrent, Facebook.

Cinq. Vous l'aurez probablement remarqué, l'actualité de ce billet fait essentiellement état de cas de vols de mots de passe. Un autre problème se pose donc ici : la réutilisation de ces derniers. En effet, la majorité des internautes n'hésite pas à utiliser un mot de passe plusieurs fois afin de se simplifier la vie dans son interaction avec différents sites ou portails Web. Dès lors, il n'est plus suffisant pour les internautes consciencieux de simplement considérer le vol d'une base de données comme un acte isolé: pour mesurer l'impact réel d'une intrusion , il est nécessaire de prendre en compte l'éventuelle réutilisation des données volées sur une autre plate-forme Web.

Qui s'en charge?

Six. Une étudiante de la faculté de psychologie de Rennes comparaîtra en octobre prochain pour "modification de données résultant d'un accès frauduleux à un système informatique". Âgée de 26 ans, elle avait en effet obtenu les codes d'accès à l'application chargée d'enregistrer les notes des étudiants. Les yeux probablement plus gros que le ventre, elle n'a pu s'empêcher de gonfler ses résultats allant jusqu'à devenir major de sa promotion, ce qui n'a pas manqué de mettre la puce à l'oreille à ses camarades, qui l'ont dénoncée.

L'article original ne précise pas si un mécanisme d'authentification forte avait été considéré par l'université pour authentifier les enseignants...

comme dans du beurre
236 - Anonymous: une menace pour l'OTAN? (et autres) starbuck - 03.06.2011 \| 1 réactions \| #link \| rss Tag(s): commedansdubeurre tcha lolz anonymous sony piratage vol securite Un. Le groupe Anonymous, rendu célèbre entre autres par son soutien pour l'organjeisation Wikileaks, fera désormais partie des menaces auxquelles les pays membres de l'OTAN doivent se préparer. C'est ce que conclut en substance le récent rapport de Lord Jopling, général rapporteur à la mission britannique. Ces affirmations viennent compléter la récente accusation d'actes cyberterroristes, formulée le 3 mai dernier par Kazuo Hirai, directeur de Sony Computer Entertainment, devant la chambre des représentants aux États-Unis. Bien entendu, il n'est pas difficile de deviner les enjeux et les intérêts desservis par de tels propos lorsque l'on sait que la quasi-totalité des pays membres de l'OTAN étudie la possibilité de déployer des unités militaires spécialisées dans les offensives numériques, lorsque cela n'a pas déjà été fait... L'autre élément sensible de ces accusations est que le groupe Anonymous se caractérise par une organisation particulièrement peu formalisée, dans laquelle il est difficile de déterminer quels sont les leaders ou les membres actifs lorsque des offensives sont perpétrées au nom du groupe. Dans la même veine, il suffit aujourd'hui de placer le slogan "We are legion" lors d'une attaque informatique, pour que les plus grandes puissances économiques se permettent d'imputer l'attaque au groupe. Si l'on associe ces éléments à la récente réflexion conduite par le gouvernement américain pour inclure les attaques informatiques dans la liste des actes de cyberterrorisme, on se retrouve ici nez-à-nez avec un cocktail favorisant les abus les plus pervers en matière de répression contre le piratage informatique. Deux. Puisque je parle de Sony dans la section précédente, j'en profite pour relayer la récente intrusion informatique dont l'entreprise vient d'être victime. Non il ne s'agit pas de celle annoncée le 23 avril, ni celle annoncée le 3 mai, ni celle annoncée le 24 mai, mais bel et bien de celle annoncée le 2 juin dernier. L'attaque a porté cette fois sur les serveurs de Sony Pictures. Plus d'un million d'enregistrements ont été volés, données personnelles et mots de passe inclus. Heureusement pour les membres du groupe Anonymous, l'attaque a été revendiquée par le groupe Lulz Security. Ce dernier avait fait parler de lui il veut y a un mois en publiant la base de données secrète des candidats à l'émission de télé réalité X Factor. Trois. Autre élément intéressant dans cette histoire, l'attaque à laquelle il est fait référence au point deux n'a pas nécessité des compétences techniques exceptionnelles pour être réalisée. Les pirates ont en effet exploité une faille logicielle de type SQL injection (hé oui, encore une fois) présente sur le site Web de Sony Pictures. Cette catégorie de vulnérabilités occupe le premier rang depuis près de sept ans dans la majorité des référentiels traitant de sécurité des applications Web. Après avoir obtenu l'accès aux données, les pirates ont constaté que les éléments les plus sensibles tels que les mots de passe de plus d'un million de personnes ne bénéficiaient d'aucune protection particulière, telle que le chiffrement. Bien entendu, la négligence affichée par des entreprises se permettant de stocker plusieurs millions d'enregistrements de données personnelles, sans mettre en oeuvre les moyens aujourd'hui considérés comme nécessaires à leur protection, ne semble pas poser un grave problème aux autorités dont il est fait référence ci-dessus... Quatre. Plusieurs utilisateurs du réseau social Friendster ont annoncé avoir reçu un courrier électronique dans lequel le mot de passe d'accès à Friendster était inscrit en clair. La suspicion d'un vol de la base de données du réseau social est plus que certaine bien qu'elle n'ait pas encore été confirmée par ses propriétaires. Fondée en 2003, la plate-forme avait réussi à rassembler plus de 115 millions d'utilisateurs avant de succomber face au succès de son concurrent, Facebook. Cinq. Vous l'aurez probablement remarqué, l'actualité de ce billet fait essentiellement état de cas de vols de mots de passe. Un autre problème se pose donc ici : la réutilisation de ces derniers. En effet, la majorité des internautes n'hésite pas à utiliser un mot de passe plusieurs fois afin de se simplifier la vie dans son interaction avec différents sites ou portails Web. Dès lors, il n'est plus suffisant pour les internautes consciencieux de simplement considérer le vol d'une base de données comme un acte isolé: pour mesurer l'impact réel d'une intrusion , il est nécessaire de prendre en compte l'éventuelle réutilisation des données volées sur une autre plate-forme Web. Qui s'en charge? Six. Une étudiante de la faculté de psychologie de Rennes comparaîtra en octobre prochain pour "modification de données résultant d'un accès frauduleux à un système informatique". Âgée de 26 ans, elle avait en effet obtenu les codes d'accès à l'application chargée d'enregistrer les notes des étudiants. Les yeux probablement plus gros que le ventre, elle n'a pu s'empêcher de gonfler ses résultats allant jusqu'à devenir major de sa promotion, ce qui n'a pas manqué de mettre la puce à l'oreille à ses camarades, qui l'ont dénoncée. L'article original ne précise pas si un mécanisme d'authentification forte avait été considéré par l'université pour authentifier les enseignants... Les réactions à cet article: Ann O'Nymous, 07.06.2011 15:33 Intéressant. Cliquez pour ajouter votre commentaire	Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles Vous souhaitez me contacter rapidement et de façon confidentielle? cliquez-ici (si le destinataire affiché n'est pas "commedansdubeurre", n'envoyez rien!) Les Quiz en cours Lutter contre le phishing pour pas cher Derniers articles · 269 - Bulletin cybersécurité et menaces Internet - #012 · 268 - Bulletin cybersécurité et menaces Internet - #011 · 267 - Bulletin cybersécurité et menaces Internet - #010 · 266 - Bulletin cybersécurité et menaces Internet - #009 · 265 - Bulletin cybersécurité et menaces Internet - #008 · 264 - Ces applications mobiles qui nous prennent notre liste de contacts · 263 - Bulletin cybersécurité et menaces Internet - #007 · 262 - Bulletin cybersécurité et menaces Internet - #006 · 260 - Bulletin cybersécurité et menaces Internet - #005 · 261 - Sécurité des applications web: cours à Montréal et Ottawa Rubriques Actualité Analyses Billets techniques Hors sujet Autour du même sujet Bruno Kerouanton Sylvain Maret Data breaches chronology Hackersblog project HITB Intelligentzia - Stéphane Koch Secunews.be Sid Swiss security blog Zythom, expert judiciaire Et ailleurs (à compléter) Acerberos Le Scal Turb(l)o(g) Recherche articles réactions Me contacter
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch

Les réactions à cet article:

Les Quiz en cours

Derniers articles

Rubriques

Autour du même sujet

Et ailleurs (à compléter)

Recherche