238 - RSA confirme (finalement):les seeds ont été volés! (et autres)

starbuck - 08.06.2011 | 1 réactions | #link | rss

Tag(s): commedansdubeurre

poum

securite

rsa

facebook

owasp

bitcoin

238
Un. RSA. C'est dans l'actualité, c'est écrit noir sur blanc (dans la presse en tout cas), la société RSA a enfin confirmé que la base de données des signatures internes (seed) des jetons SecurID a été volée lors de l'intrusion informatique survenue en mars dernier.

Le cas, annoncé publiquement le 17 mars dernier, avait laissé la communauté dans l'ignorance totale, tant les informations diffusées par les voies officielles étaient ambiguës et insuffisantes pour les responsables.

Après presque trois mois d'attente, les clients apprennent enfin qu'une copie de leurs jetons d'authentification forte circule dans la nature et que la sécurité de leurs systèmes repose finalement sur une simple authentification par mot de passe. Tout comme le 17 mars dernier, c'est le directeur lui-même qui s'exprime par l'intermédiaire d'une lettre publiée sur le site de RSA.

On y apprend premièrement que plusieurs milliers d'entreprises ont été pro-activement contactées et assistées dans l'implémentation des recommandations émises suite à l'intrusion. Pour ce qui est du tissu économique local, je crois avoir plutôt entendu que les clients avaient dû faire la queue et quémander pour obtenir des informations limitées...

La lettre nous apprend également que la stratégie de RSA consistant à soutenir en priorité les organisations publiques et privées liées à la défense a été, d'après eux, la bonne approche en vue de l'incident de sécurité dont a été victime le constructeur américain Lockheed Martin. Bien entendu, le néophyte prendra de tels propos avec de grandes pincettes et n'oubliera pas de considérer que la majorité des organisations, authentification forte ou pas, n'est toujours pas en mesure de détecter la survenance d'une intrusion informatique dans ses systèmes.

Sont ensuite abordées les récentes affaires qui ont touché, entre autres, Sony, Google, Epsilon ou Nintendo. Sur ce point la communication est sans équivoque : RSA n'y est pour rien.

La lettre conclut sur un discours vantant les qualités de la technologie. Je trouve cela absolument tragi-comique, dans la mesure où la technologie elle-même n'a pas été remise en question par les experts! Il est reproché en premier lieu à RSA de conserver une copie des identifiants secrets des jetons d'authentification déployés auprès de ses clients (et de ne pas les détruire, ou dans le pire des cas, de les stocker dans un système déconnecté).

En second lieu, il est reproché à RSA de ne pas avoir communiqué en toute transparence avec sa clientèle sur la nature technique de l'incident, empêchant dès lors toute gestion de risque éclairée tant par les clients directs que par les experts, durant plus de deux mois. Sur ces deux éléments précis, aucune information, reconnaissance, où excuse n'est communiquée. Une fois encore ce n'est pas la technologie qui est en jeu, mais la confiance qu'il est nécessaire de maintenir entre les fournisseurs et les clients de solutions de sécurité. L'éditeur ne marque pas beaucoup de points sur ce coup.

Deux. Avez-vous déjà entendu parler de BitCoin? Si pas encore, sachez qu'il s'agit d'une nouvelle monnaie électronique ou, plus précisément, une monnaie dont les transactions n'ont lieu que par voie électronique. Le concept de monnaie électronique n'est aucunement nouveau et les joueurs de jeux vidéo le connaissent d'ailleurs parfaitement bien. Ce qui a changé récemment est le fait que plusieurs ponts permettant d'effectuer des transactions entre monnaie électronique et non-électronique ont récemment été établis, parfois de façon non officielle. Un exemple qui avait déjà intellectuellement torturé quelques journalistes et économistes à l'époque était la monnaie Linden, à la fois monnaie d'échange au sein du jeu Second Life et devise convertible vers des dollars américains.

BitCoin, au même titre que les Linden dollars , constitue donc une monnaie électronique mais ne se limite pas au jeu Second Life. Il n'y a d'ailleurs aucune limite quant à son utilisation et la monnaie est donc soumise à tous les problèmes auxquels sont soumises les autres monnaies : fluctuations, politique monétaire, reconnaissance légale et bien entendu l'imposition. De plus, BitCoin n'est pas une monnaie fiduciaire. Par conséquent, aucun état ne prend les décisions relatives à la création de monnaie et au montant total en circulation sur les marchés.

La plus grande particularité de BitCoin, à part le fait qu'elle constituerait une excellente opportunité de blanchiment d'argent, est de reposer entièrement sur de l'intangible. Ceci l'expose à une menace toute particulière : la double utilisation. Dans le cas d'une monnaie fiduciaire, par exemple, lorsque l'on possède en main un billet de 100 fr. et qu'on le dépense une fois, il nous est impossible de le dépenser une seconde fois simplement parce que nous ne le possédons plus. Ce système garantit une protection finale des vrais titulaires de l'argent (sous forme physique), même en cas d'un effondrement général des systèmes transactionnels. Dans le cadre des monnaies électroniques, cette protection n'existe plus : personne ne possède physiquement la preuve d'une quelconque possession d'argent. Le dernier rempart est donc le logiciel central chargé de consigner les transactions. Vous l'aurez deviné, il y a intérêt à ce qu'il soit particulièrement bien sécurisé, et cela nous réserve probablement des intéressantes surprises.

Concernant ce sujet, je m'arrête ici pour aujourd'hui et vous propose dans lire plus ici et là.

Trois. Le magazine en ligne Zataz nous relate le cas d'un pirate informatique grec, âgée de 18 ans, dont le tableau de chasse surprend. Parmi les victimes : Interpol, le FBI, la NSA, sans oublier les systèmes informatiques du Pentagone. En débarquant à son domicile, la police a trouvé plus de 130 contrefaçons de cartes de crédit, des munitions de chasse ainsi que une bombe artisanale. Pour en savoir plus.

Quatre. Facebook a mis en ligne une nouvelle fonctionnalité qui, dès sa mise en ligne, n'a pas manqué de faire bondir les aficionados de la protection de la sphère privée. Le réseau social propose en effet désormais de prendre en charge, automatiquement, la reconnaissance des personnes lorsque des photos lui sont soumises. Ainsi, l'utilisateur un peu trop flemmard sur les bords pourra se contenter d'un simple clic de souris pour confirmer l'opération, car Facebook se chargera automatiquement d'identifier les personnes présentes sur les photos à sa place.
La fonctionnalité a été activée par défaut pour plus de 700 millions d'internautes et il faut aller manuellement la désactiver (opt-out) si l'on ne souhaite pas vous être identifié automatiquement lorsque des photos sont publiées.

Bien entendu, la masse d'utilisateurs ne réagira pas aux pratiques particulièrement douteuses du célèbre réseau social et laissera probablement faire. Pas d'inquiétude, un ou deux procès perdus suite à une identification erronée ne manqueront pas de faire pencher la balance vers un opt-in.

D'ici là, vous pouvez désactiver cette fonction en allant dans : compte, paramètres de confidentialité, personnaliser les paramètres, ce que d'autres partagent, "suggérer à mes amis les photos où j'apparais" -> désactiver.

Cinq. Une vidéo en plein dans le sujet, à regarder rapidement, avant qu'elle ne soit censurée.

Six. Me voilà arrivé à Dublin pour une grande messe de la sécurité logicielle OWASP Appsec Europe. Cette fois-ci, pas de slides à présenter, pas de stress de dernière minute, je n'ai qu'à ouvrir grand les yeux et écouter bien attentivement tout ce qui va être dit pendant les deux prochains jours.

Tout comme l'an dernier, les Irlandais m'accueillent sous la pluie. Ça ne change rien, j'adore cette ville!!

comme dans du beurre
238 - RSA confirme (finalement):les seeds ont été volés! (et autres) starbuck - 08.06.2011 \| 1 réactions \| #link \| rss Tag(s): commedansdubeurre poum securite rsa facebook owasp bitcoin 238 Un. RSA. C'est dans l'actualité, c'est écrit noir sur blanc (dans la presse en tout cas), la société RSA a enfin confirmé que la base de données des signatures internes (seed) des jetons SecurID a été volée lors de l'intrusion informatique survenue en mars dernier. Le cas, annoncé publiquement le 17 mars dernier, avait laissé la communauté dans l'ignorance totale, tant les informations diffusées par les voies officielles étaient ambiguës et insuffisantes pour les responsables. Après presque trois mois d'attente, les clients apprennent enfin qu'une copie de leurs jetons d'authentification forte circule dans la nature et que la sécurité de leurs systèmes repose finalement sur une simple authentification par mot de passe. Tout comme le 17 mars dernier, c'est le directeur lui-même qui s'exprime par l'intermédiaire d'une lettre publiée sur le site de RSA. On y apprend premièrement que plusieurs milliers d'entreprises ont été pro-activement contactées et assistées dans l'implémentation des recommandations émises suite à l'intrusion. Pour ce qui est du tissu économique local, je crois avoir plutôt entendu que les clients avaient dû faire la queue et quémander pour obtenir des informations limitées... La lettre nous apprend également que la stratégie de RSA consistant à soutenir en priorité les organisations publiques et privées liées à la défense a été, d'après eux, la bonne approche en vue de l'incident de sécurité dont a été victime le constructeur américain Lockheed Martin. Bien entendu, le néophyte prendra de tels propos avec de grandes pincettes et n'oubliera pas de considérer que la majorité des organisations, authentification forte ou pas, n'est toujours pas en mesure de détecter la survenance d'une intrusion informatique dans ses systèmes. Sont ensuite abordées les récentes affaires qui ont touché, entre autres, Sony, Google, Epsilon ou Nintendo. Sur ce point la communication est sans équivoque : RSA n'y est pour rien. La lettre conclut sur un discours vantant les qualités de la technologie. Je trouve cela absolument tragi-comique, dans la mesure où la technologie elle-même n'a pas été remise en question par les experts! Il est reproché en premier lieu à RSA de conserver une copie des identifiants secrets des jetons d'authentification déployés auprès de ses clients (et de ne pas les détruire, ou dans le pire des cas, de les stocker dans un système déconnecté). En second lieu, il est reproché à RSA de ne pas avoir communiqué en toute transparence avec sa clientèle sur la nature technique de l'incident, empêchant dès lors toute gestion de risque éclairée tant par les clients directs que par les experts, durant plus de deux mois. Sur ces deux éléments précis, aucune information, reconnaissance, où excuse n'est communiquée. Une fois encore ce n'est pas la technologie qui est en jeu, mais la confiance qu'il est nécessaire de maintenir entre les fournisseurs et les clients de solutions de sécurité. L'éditeur ne marque pas beaucoup de points sur ce coup. Deux. Avez-vous déjà entendu parler de BitCoin? Si pas encore, sachez qu'il s'agit d'une nouvelle monnaie électronique ou, plus précisément, une monnaie dont les transactions n'ont lieu que par voie électronique. Le concept de monnaie électronique n'est aucunement nouveau et les joueurs de jeux vidéo le connaissent d'ailleurs parfaitement bien. Ce qui a changé récemment est le fait que plusieurs ponts permettant d'effectuer des transactions entre monnaie électronique et non-électronique ont récemment été établis, parfois de façon non officielle. Un exemple qui avait déjà intellectuellement torturé quelques journalistes et économistes à l'époque était la monnaie Linden, à la fois monnaie d'échange au sein du jeu Second Life et devise convertible vers des dollars américains. BitCoin, au même titre que les Linden dollars , constitue donc une monnaie électronique mais ne se limite pas au jeu Second Life. Il n'y a d'ailleurs aucune limite quant à son utilisation et la monnaie est donc soumise à tous les problèmes auxquels sont soumises les autres monnaies : fluctuations, politique monétaire, reconnaissance légale et bien entendu l'imposition. De plus, BitCoin n'est pas une monnaie fiduciaire. Par conséquent, aucun état ne prend les décisions relatives à la création de monnaie et au montant total en circulation sur les marchés. La plus grande particularité de BitCoin, à part le fait qu'elle constituerait une excellente opportunité de blanchiment d'argent, est de reposer entièrement sur de l'intangible. Ceci l'expose à une menace toute particulière : la double utilisation. Dans le cas d'une monnaie fiduciaire, par exemple, lorsque l'on possède en main un billet de 100 fr. et qu'on le dépense une fois, il nous est impossible de le dépenser une seconde fois simplement parce que nous ne le possédons plus. Ce système garantit une protection finale des vrais titulaires de l'argent (sous forme physique), même en cas d'un effondrement général des systèmes transactionnels. Dans le cadre des monnaies électroniques, cette protection n'existe plus : personne ne possède physiquement la preuve d'une quelconque possession d'argent. Le dernier rempart est donc le logiciel central chargé de consigner les transactions. Vous l'aurez deviné, il y a intérêt à ce qu'il soit particulièrement bien sécurisé, et cela nous réserve probablement des intéressantes surprises. Concernant ce sujet, je m'arrête ici pour aujourd'hui et vous propose dans lire plus ici et là. Trois. Le magazine en ligne Zataz nous relate le cas d'un pirate informatique grec, âgée de 18 ans, dont le tableau de chasse surprend. Parmi les victimes : Interpol, le FBI, la NSA, sans oublier les systèmes informatiques du Pentagone. En débarquant à son domicile, la police a trouvé plus de 130 contrefaçons de cartes de crédit, des munitions de chasse ainsi que une bombe artisanale. Pour en savoir plus. Quatre. Facebook a mis en ligne une nouvelle fonctionnalité qui, dès sa mise en ligne, n'a pas manqué de faire bondir les aficionados de la protection de la sphère privée. Le réseau social propose en effet désormais de prendre en charge, automatiquement, la reconnaissance des personnes lorsque des photos lui sont soumises. Ainsi, l'utilisateur un peu trop flemmard sur les bords pourra se contenter d'un simple clic de souris pour confirmer l'opération, car Facebook se chargera automatiquement d'identifier les personnes présentes sur les photos à sa place. La fonctionnalité a été activée par défaut pour plus de 700 millions d'internautes et il faut aller manuellement la désactiver (opt-out) si l'on ne souhaite pas vous être identifié automatiquement lorsque des photos sont publiées. Bien entendu, la masse d'utilisateurs ne réagira pas aux pratiques particulièrement douteuses du célèbre réseau social et laissera probablement faire. Pas d'inquiétude, un ou deux procès perdus suite à une identification erronée ne manqueront pas de faire pencher la balance vers un opt-in. D'ici là, vous pouvez désactiver cette fonction en allant dans : compte, paramètres de confidentialité, personnaliser les paramètres, ce que d'autres partagent, "suggérer à mes amis les photos où j'apparais" -> désactiver. Cinq. Une vidéo en plein dans le sujet, à regarder rapidement, avant qu'elle ne soit censurée. Six. Me voilà arrivé à Dublin pour une grande messe de la sécurité logicielle OWASP Appsec Europe. Cette fois-ci, pas de slides à présenter, pas de stress de dernière minute, je n'ai qu'à ouvrir grand les yeux et écouter bien attentivement tout ce qui va être dit pendant les deux prochains jours. Tout comme l'an dernier, les Irlandais m'accueillent sous la pluie. Ça ne change rien, j'adore cette ville!! Les réactions à cet article: smaret, 09.06.2011 19:16 Cela confirme notre hypothèse.... Cliquez pour ajouter votre commentaire	Quelques réflexions indiscrètes sur les technologies de l'information, la mobilité, la protection des données personnelles Vous souhaitez me contacter rapidement et de façon confidentielle? cliquez-ici (si le destinataire affiché n'est pas "commedansdubeurre", n'envoyez rien!) Les Quiz en cours Lutter contre le phishing pour pas cher Derniers articles · 269 - Bulletin cybersécurité et menaces Internet - #012 · 268 - Bulletin cybersécurité et menaces Internet - #011 · 267 - Bulletin cybersécurité et menaces Internet - #010 · 266 - Bulletin cybersécurité et menaces Internet - #009 · 265 - Bulletin cybersécurité et menaces Internet - #008 · 264 - Ces applications mobiles qui nous prennent notre liste de contacts · 263 - Bulletin cybersécurité et menaces Internet - #007 · 262 - Bulletin cybersécurité et menaces Internet - #006 · 260 - Bulletin cybersécurité et menaces Internet - #005 · 261 - Sécurité des applications web: cours à Montréal et Ottawa Rubriques Actualité Analyses Billets techniques Hors sujet Autour du même sujet Bruno Kerouanton Sylvain Maret Data breaches chronology Hackersblog project HITB Intelligentzia - Stéphane Koch Secunews.be Sid Swiss security blog Zythom, expert judiciaire Et ailleurs (à compléter) Acerberos Le Scal Turb(l)o(g) Recherche articles réactions Me contacter
FutureBlogs - v.0.8.6beta - Ce site est hébergé par http://monblog.ch

Les réactions à cet article:

Les Quiz en cours

Derniers articles

Rubriques

Autour du même sujet

Et ailleurs (à compléter)

Recherche