Click here to load reader
Upload
warram
View
2.108
Download
0
Embed Size (px)
DESCRIPTION
War Ram est une lettre d’information mensuelle, consacrée aux thématiques de cyberdéfense et de cybersécurité, ainsi qu’aux infrastructures (OIV, data centers…) qui sous-tendent le cyberespace. Cette publication est également disponible en ligne via le Slide Share (War Ram).
Citation preview
W ar Ram.
Deux mots.
W ar pour guerre. Dans le cyberespace, nous y ser ions presque.
Certes pas la guerre traditionnelle et déclarée des États qui
s’affrontent sur un champ de bataille. Celle qui nous intéresse est
"multiscalaire", r ime avec bits et s’écr it en lignes de code.
Ram pour Random Access Memory. Le terme ne renvoie pas qu’à
l’excellent album des Daft Punk, il évoque sur tout les forces vives d’un
ordinateur , le ner f de la guerre informatique.
M is ensemble, ces deux termes rappellent par homophonie les
célèbres "W ar Rooms" de Churchill, où l’information stratégique la plus
importante était agrégée en un lieu.
L’ambition de ce projet de Newsletter est de s’inspirer de cette
init iative. En une maxime : centraliser au sein d’une lettre mensuelle la
« substantifique moelle » des sphères cyberdéfense/ cybersécur ité.
Le « champ de bataille » numér ique qui s’ouvre aujourd’hui est au
croisement de la sécurité informatique, de la cyberdéfense, du droit et
de la technologie. Cette complexité appelle au plus grand des
discernements.
Car le théâtre et son pér imètre sont incertains, ses acteurs nombreux
et par fois difficiles à identifier : entrepr ises, hackers, crackers, Etats,
universitaires…
Lever le voile, c’est ce que vous proposent les contr ibuteurs de la W ar
R@m à travers quatre catégor ies distinctes :
Les Experts : Contr ibution d’un expert du cyberespace sur une
problématique donnée.
360° : Une veille globale sur la cybersécur ité/ cyberdéfense et les
infrastructures.
Out-of-the-box : Contr ibution d’un expert qui sor t du cadre
“classique” de la cybersécur ité : professeurs d’université,
doctorants, hackers…
Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de
mesures à prendre pour qu’elle ne se reproduise pas !
Puisse cette première « Ram » d’infos vous apporter une meilleure
compréhension de ce qui se passe sous les circuits du cyberespace…
Let’s Enhance, le retour
Pour le plaisir des yeux, un internaute a
décidé d’uploader une version HD du fameux
« Let’s Enhance ». L’occasion de r ire un peu
et de rappeler que quand « la résolution est
mauvaise, agrandir ne servirait à rien »…
Les Exper ts ne sont pas forcément ceux
que l’on croit…
L’E-DITO
Sommaire
Les gros titres
THE WAR R@M
La vidéo du mois
L’Edito Les Experts 360° Out-of-the-Box Pimp my Opsec
#SnapChat #LPM #InfoSec #FullDisclosure
• Retrouvez aussi nos publications sur notre Slideshare
• Envie d’en savoir plus? Contactez-nous: [email protected]
• Les contr ibuteurs associés à ce premier numéro, pour leur contr ibut ion et leur sout ien, visible ou
invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @MDuqn,
@blog_e_sphere, @comptoirsecu
L’ART DE LA GUERRE
FOLLOW THE W HITE RABBIT
Janvier 2014
TO DISCLOSE OR NOT TO DISCLOSE
Le full disclosure : une approche critiquée
Tradit ionnellement, la communauté sécur ité est
très par tagée entre :
Le "full disclosure", qui consiste à fournir au
grand public l’ensemble des informations
concernant une vulnérabilité découver te
Le "coordinated disclosure" ou "responsible
disclosure", moins radical, où la vulnérabilité
est d’abord communiquée à l’éditeur pour
qu’il la cor r ige. Ce n’est que lorsque celui-ci
fournit son autor isation, souvent après
cor rection, que la faille est diffusée au
monde ent ier .
Le responsible disclosure peut paraître idéal, car
l’information sur la vulnérabilité n’est accessible
que lorsqu’elle n’est plus exploitable. Mais si
l’approche peut fonct ionner avec des éditeurs
responsables, la réalité est généralement tout
autre.
2
Quand l’éditeur maîtrise la
communication, il n’est pas pressé
par le temps
"À quoi bon se presser et débloquer
un budget en urgence ? Le public
n’est pas au courant, nous aurons
tout le temps d’allouer des
ressources au budget de l’année
prochaine."
J’exagère le trait , mais l’idée est là.
La correct ion des vulnérabilités est
souvent le cadet des préoccupations
des dir igeants. La pr ior ité est à l’ajout
de fonct ionnalités demandées par
l’ut ilisateur ou qui opt imisent les
bénéfices pour faire plaisir aux
invest isseurs. Sans la pression des
médias et des clients, les correct ions
traînent, par fois elles ne viennent
jamais.
Une fois l’information publiée, l’image
de l’éditeur en pât it et chaque jour qui
passe sans correct ion augmente la
chance de voir son nom dans les
journaux associé à une grosse fuite
d’information. C’est malheureusement
par fois le seul moyen pour que
l’entrepr ise se décide à traiter la
vulnérabilité comme elle le mér ite :
une urgence.
Certains éditeurs prennent le
problème à l’envers
Si vous avez écouté notre épisode 2
du ComptoirSécu sur les failles 0 -day,
vous savez à quel point ce genre de
découver te peut valoir cher sur le
marché noir…
Malgré tout, cer tains individus avec
encore un peu d’éthique sont prêts à
offr ir le résultat de leur travail à
l’éditeur , gratuitement…et se font
attaquer en guise de remerciement.
Vous pensez que j’exagère ? Pour tant
ce genre de situat ion est déjà ar r ivé.
Il ne faut pas s’étonner après ce
genre ’affaires de voir de plus en plus
d’exper ts prôner le full disclosure,
souvent sous couver t d’anonymat
pour éviter le retour de flamme.
Même Google commence à ser rer la
vis et applique le full disclosure si
après 7 jours l’éditeur n’a toujours
pas cor r igé une faille qu’ils est iment
cr it ique ou déjà ut ilisée.
Alors, full ou responsible disclosure ?
Je suis personnellement pour une
version hybr ide, similaire à celle que
préconise Google. Je trouve
dommage d’offr ir en pâture aux
médias une entrepr ise qui serait
prête à jouer le jeu et traiter la
cor rection de la vulnérabilité dans les
délais qu’elle mér ite. Ainsi une
divulgat ion en pr ivé auprès de
l’éditeur semble être une bonne
approche.
Si l’entrepr ise s’implique et
communique en bonne intelligence,le
responsible disclosure peut rester
une solut ion viable.
Le full disclosure resterait donc un «
plan B », dernière arme à ut iliser
quand l’éditeur :
Est connu pour son hostilité
envers ce genre de requête.
N’offre aucun moyen de contact
adéquat
Ne répond pas à nos sollicitations
Refuse de traiter la vulnérabilité
en accord avec son niveau de
criticité
Le traitement des "responsible
disclosure" par une entreprise
Si j’avais car te blanche dans une
entrepr ise sur le traitement des
failles de sécur ité découver tes par un
t iers, voilà ce que je préconiserai
(suite p.4 )
Par Morgan Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier
LES EXPERTS
Les débats qui entourent le "full disclosure" ne sont ni
récents, ni homogène. Ainsi, en 2009 , le collectif Anti
Sec avait hacké l’hébergeur d’images Image Shack pour
protester contre cette pratique.
Cet ar ticle est paru pour la 1 ère fois
sur le Medium du Comptoir de la
sécur ité
War R@M - Janvier 2014
360°
3 War R@M - Janvier 2014
Et pour quelques Bitcoins de plus… Les cas de braquage en ligne de
banques semblent se bousculer au
por t illon. La cible pr ivilégiée ? Les
Bitcoins, la devise vir tuelle « so trendy »
développée par le mystér ieux Satoshi
Nakamoto. Il faut dire que le "Bt" ne
manque pas d’arguments: son cours a
récemment explosé, au point de
dépasser celui de l’or , fin novembre.
Or , si voler un Bitcoin est « facile », le
« blanchir » est une autre paire de
manches. Contrairement à la monnaie
classique, les transactions en Bitcoin
sont publiques et consultables par tous.
Ainsi, un pirate s’est retrouvé bien
embêté quand il a dû falloir profiter de
cette manne si chèrement acquise. Il a
très vite été interpellé par le FBI, devenu
depuis quelques années docteur ès
cyberespace.
Mais ce pauvre pirate peut se consoler:
la Chine a décidé de ser rer la vis sur
cette monnaie vir tuelle, et de
nombreuses banques centrales le
remettent en cause.
Un krach similaire à celui de la tulipe
est-il à prévoir?
(Pour aller plus loin: voir les audit ions du
Sénat sur le Bitcoin)
123456, sésame, ouvre-toi ! Des chercheurs du SpiderLab de Trustwave’s, une entrepr ise de cybersécur ité
or iginellement connue pour ses « penetration tests » efficaces, ont fait une découver te
intéressante en enquêtant sur un groupe de « black hats ». Après avoir pénétré avec
succès un de leurs serveurs, basé aux Pays-Bas, ils se sont rendus compte que près
de 2 millions de mots de passe de comptes Facebook, Google, Twit ter et Yahoo
avaient été dérobés à l’insu de leurs ut ilisateurs.
Les géants du Net ont vite fait de prévenir les pauvres internautes lésés… qui
conservent néanmoins une cer taine par t de responsabilité dans le piratage, au vu du
peu d’intérêt donné à la sécur ité de leurs données en ligne. En effet, les mots de passe
les plus fréquents oscillaient entre 123456 , password, admin, ou plus sobrement
encore, 123 . Tellement évident qu’on pourrait en faire un film.
Insolite: un malware transforme un réfrigérateur connecté en "botnet " Alors que les objets connectés sont
appelés à prendre une place
grandissante, ces derniers sont déjà la
cible de crackers. Ainsi, l’éditeur de
sécur ité Proofpoint a détecté un
malware visant… un réfr igérateur
connecté. Ce dernier était au centre
d’une large campagne de spams.
Facebook et la campagne malveillante d’Adobe Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev,
un éminent exper t en cybersécur ité, a découver t une campagne hostile, toujours active
à ce jour, enjoignant les ut ilisateurs à installer un faux logiciel Adobe Flash Player,
ut ilisant les services de redirect ion de Google. Plus d’infos sur le blog de M . Danchev.
Un outil de reverse engineering gratuit! Information pour les détect ives du
clavier : un out il de reverse engineering
a été mis en ligne sur GitHub.com.
Profitez-en, il est gratuit !
En vrac
The Russian Job L’affaire Target aura fait coulé beaucoup d’octets. Le géant amér icain a en effet subi
une cyberattaque qui a affecté près de 110 millions de ses clients lors des achats de
fin d’année. Or , il s’avère que le groupe a sa par t de responsabilité dans ce piratage
massif (selon The W ired, le réseau Target avait déjà été cracké en 2005 , mais celui-ci
se serait lavé les mains de la faille de sécur ité).
Alors que l’enquête se poursuit , on sait d’ores et déjà deux choses :
Au moins 11Go de données ont été envoyées vers un serveur russe.
Un pirate russe de 17 ans serait à l’or igine du malware, répondant au doux nom
de Trokan.POSRAM . Cette information reste toutefois à confirmer.
Seculert, iSight Partners et IntelCrawler sont en charges de l’enquête. Quant à Target,
le chiffre d’affaire est déjà appelé à baisser… de 30%!
Faciliter la prise de contact (Suite de "To
Disclose or Not to Disclose« , p.2 )
Par fois, même avec toute la bonne volonté du
monde, il est tellement difficile d’obtenir un
inter locuteur compétent, voire un inter locuteur
tout cour t, que les exper ts jettent l’éponge et
s’en remettent au full disclosure. Il est donc
impor tant:
De mettre en place un moyen de contact
dédié aux évènements de sécur ité une
adresse email à dest inat ion des équipes
sécur ité IT en interne (ou du responsable de
la sécur ité de l’entrepr ise) est amplement
suffisante
Fournir quelque par t sur le site inst itutionnel
une référence vers ce moyen de contact
Former l’équipe responsable du suppor t
t radit ionnel à redir iger les sollicitat ions sur
ce point de contact
Disposer d’un processus de mise à jour
d’urgence
À par t ir du moment où une vulnérabilité est
découver te, on peut supposer qu’elle est déjà
connue et peut être même exploitée par
d’autres individus. Il faut donc réagir dans les
plus brefs délais. Une bonne prat ique consiste à
mettre en place une polit ique de patching. Cette
polit ique définit différents niveaux de cr it icités
pour les patchs, avec pour chaque niveau un
délai de traitement maximal. Pour les patchs les
plus cr it iques, on peut assouplir les tests pour
accélérer la mise en product ion.
Entretenir la relation avec les experts sécurités
Snapchat (voir l’Affaire SnapChat, p.6 ) est le
par fait exemple de pr ise de contact ratée.
Mettre les exper ts en relat ion avec du personnel
adéquat en interne est la première chose à
faire. Ce genre d’échange ne peut pas se faire
avec un responsable communication ou un
suppor t client standard. Il faut une personne
compétente en sécur ité informatique, avec un
pouvoir de décision ou au moins des capacités
d’escalades appropr iées. Il faut ensuite garder
contact avec l’exper t et le tenir informé de
l’avancement sur la cor rection des
vulnérabilités. Cer taines entrepr ises
comme M icrosoft ou Google vont même jusqu’à
offr ir des récompenses pour ce genre de
services, ce qui est selon moi une très bonne
approche.
Le "responsible disclosure" est un vér itable
cadeau fait aux entrepr ises. La conscience et
l’éthique ne devraient pas être les seules
motivat ions disponibles, la reconnaissance,
financière ou publique, devrait à minima être de
la par t ie. Sans cette reconnaissance, et avec
l’impor tance croissante des out ils de « cyber
guerre », cet acte de char ité se fera de plus en
plus rare. L’éthique sera sacr ifiée au profit d’une
vente juteuse du 0 -day en quest ion, ou d’un
débauchage par des professionnels du milieu.
4 War R@M -Janvier 2014
Le coup du chapeau Rien ne va plus au pays du Matin calme. En effet, plusieurs dizaines millions de
car tes de crédit auraient été piratées en Corée du Sud. En cause,
l’ "indiscrét ion" de cer tains employés et des actes malveillants de piratage. La
situat ion reste difficile à est imer: on par lait de 20 millions de données
bancaires piratées, alors qu’un récent chiffre du W all Street Journal évalue la
per te à plus de 100 millions, soit le double de la populat ion sud-coréenne.
Israël se lance dans la course au cyber-armement Si, comme le pense Thomas Rid, « la cyberguerre n’aura pas lieu », cela
n’empêche pas cer taines nat ions de se lancer dans une course à
l’armement effrénée. Depuis août dernier , Elta, une star t-up israélienne
devenue filiale du géant Israel Aerospace Industries, développe et renforce
son offre dans les capacités offensives et défensives de cyberdéfense.
360°
La balkanisation du Net, c’est pas pour demain ! L’idée n’aura pas fait long feu. Le concept de « balkanisation du net » (splinternet
en anglais ou cyberbalkanisation), vér itable marronnier depuis son invention par un
cer tain Clyde W ayne Crews, semble être passé de mode. Prenant
outrageusement la poussière, l’idée avait finalement regagné l’intérêt des exper ts
et des analystes avec le scandale PRISM et les révélat ions de Snowden.
Las, Dilma Roussef a beau se démener , la grande major ité des acteurs du
numér ique semblent peu intéressées par l’idée d’un Internet séparé. Un retour en
arr ière semble bien improbable désormais, tant l’init iat ive serait coûteuse. Le
rétropédalage de l’Allemagne sur la protect ion des données personnelles montre
bien qu’une compar t imentation n’est pas pour demain : si balkanisat ion il y a, elle
se fera à minima.
La France révise sa copie en matière de cybercriminalité La France a finalement décidé de repousser la publicat ion de son rappor t
interministér iel sur la cybercr iminalité en févr ier . Les ministères concernés
sont, sans surpr ise, la Just ice, l’Intér ieur , l’Economie numér ique et le Budget.
Aucune raison valable n’a été avancée pour l’instant.
Big Data vs Cybercrime L’associat ion des deux ne coule pas
de source : pour tant, le Big Data
pourrait appor ter énormément dans
la lutte contre le cybercr ime. C’est en
tout cas l’avis du site HackSur fer , qui
revient sur trois outils qui utilisent le
Big Data afin d’analyser , de comparer
et d’avoir une analyse en temps réel
des cyberattaques.
L’out il en ligne d’HackSur fer est
disponible ici.
Bull et Osiatis accompagnent EDF dans le Cloud EDF –ERDF s’est lancé dans un
projet dantesque: l’exploitat ion et la
migrat ion de plus de 160 ,000
postes sur un cloud pr ivé, ut ilisant
des technologies M icrosoft.
Le projet, por té par le consortium
Bull-Osiatis, est le plus impor tant
projet mondial de cloud ut ilisant les
technologies M icrosoft à ce jour .
Cloud, Data Centers, Big Data
Etats et cyberdéfense
L'adoption de la Loi de programmation
militaire en décembre 2013 a été
l'occasion d'un mouvement de
contestation en raison des grands
pouvoirs qu'elle confère aux services de
renseignement dans la collecte de
métadatas. Ces disposit ions existaient
déjà auparavant, mais uniquement pour
lutter contre le ter ror isme . En réalité,
ces métadatas sont bien plus
personnelles que celles habituellement
désignées par ce terme. Leur collecte
massive permet de retracer l'ensemble
de l'act ivité d'un individu, sauf à ce que
celui-ci s'interdise totalement l'usage de
tout moyen de communication
électronique.
L'ar t icle 13 devenu l'ar t icle 20 pose des
problèmes de compatibilité jur idique avec
les pr incipes de liber té d'expression, de
liber té de pensée et de liber té polit ique.
Le Conseil const itutionnel a en effet
affirmé en juin 2009 le pr incipe de la
liber té de communication, "condition de
la démocratie" . Cette liber té peut être
limitée par la loi, mais dans une mesure
str ictement nécessaire à la préservation
de l'intérêt général. Or la possibilité
d'être soumis à des intercept ions de
sécur ité sans aucune garant ie est de
nature à conduire le citoyen à
s'autocensurer et donc indirectement
mais très effect ivement, entrave la
liber té polit ique.
Tout le problème est donc d'assurer
l'effect ivité des liber tés publiques par
l'instauration de mécanismes de contrôle
sur l'act ion des services de
renseignement. De la même façon que
le droit des données personnelles
confère aux personnes visées par une
collecte de données personnelles le droit
d'en être informées, le droit des
interceptions de sécurité devrait assurer
l'information a posteriori des intéressés,
seul moyen d'assurer l'effect ivité d'un
contrôle par la possibilité de saisir un
juge des éventuels manquements .
L'impérat if démocratique du contrôle des
services de renseignement et de police a
déjà été souligné par nombres
d'organisat ions internationales et
const itue la condit ion sine qua non de la
légit imité de leur act ion.
Quel responsable prendrait la
responsabilité de solliciter une
invest igat ion dans un but indéfendable s'il
sait qu'a poster ior i, l'ensemble de la
procédure fera l'objet d'un contrôle ?
Ces règles feront également toute la
différence entre les services de l'Etat et
les diverses agences de renseignement
privées agissant en dehors de toute
légalité et à des fins inavouables.
La LPM aurait d'ailleurs pu ajouter parmi
les object ifs assignés aux différents
services leur ouvrant le droit de recour ir
à des moyens d'invest igat ion renforcés,
la lutte contre ce que d'autres droits
européens qualifient de "service de
renseignement prohibé ", qu'il s'agisse
de barbouzes pr ivés (affaire IKEA) ou de
services étrangers intervenant sur notre
ter r itoire (NSA).
De plus, l'information et la vér ificat ion
des données et de leur analyse par les
intéressés et/ ou par le juge permettra
d'apurer les STAD (ndlr: Système de
traitement automatisé des données) des
informations inexactes. Différents cas
ont en effet montré que la collecte
abusive et massive de données
personnelles ne présentait en réalité
aucun intérêt en raison de for t taux
d'er reurs qu'elle impliquait et du travail
de vér ificat ion nécessaire pour les
exploiter ut ilement .
Par Eve Matringe,
Docteure en droit , t itulaire du CAPA
@Evematringe
1 . Art. L. 3 4 -1 -1 du code des postes et des
communications électroniques.
2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9
et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy droit de
l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s.
3 . Le contrôle assuré par la CNIS est actuellement
par faitement théor ique, tant les moyens employés que
les personnes en charge de sa réalisation sont faibles
au regard du nombre d'interceptions à contrôler et du
manque d'indépendance vis-à-vis du pouvoir polit ique.
4 . Ér ic Denécé, L’éthique dans les activités de
renseignement, Revue française d'administration
publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 .
5 . Jean-Paul Brodeur , Le renseignement : distinctions
préliminaires, Canadian Journal of Cr iminologie and
Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 .
En outre, ce mois-ci, le livre « Loi et Internet » de Fabrice Mattatia
est sor t i dans la presse. Cet ouvrage de référence vulgar ise pour
tout internaute le cadre jur idique de la publicat ion et de l’ut ilisat ion
des contenus sur Internet. Un indispensable!
Loi et Internet
Un petit guide civique et jur idique
Auteur(s) : Fabr ice Mattatia
Editeur (s) : Eyrolles
Collect ion : Connectez-moi !
Nombre de pages : 232 pages
Date de parut ion : 09 / 01 / 2014
EAN13 : 9782212137163
Pour aller plus loin…. Si vous avez loupé le coche et que vous ne savez pas ce qu’est
la LPM, ces quelques liens pour vous remettre à jour vous
permettront de vous forger une idée sur le sujet en
complétant, sans remplacer, l’excellente analyse de notre
jur iste :
• La version finale de la Loi de Programmation M ilitaire
• Le site officiel du Sénat
• L’ar t icle 13 est-il plus dangereux pour Internet que les lois
existantes?
• Big Brother ou big bazar ? Le projet de loi de
programmation militaire fait controverse
• Tout ce que vous avez toujours voulu savoir sur la #LPM et
que vous avez été nombreux à me demander
OUT-OF-THE-BOX
5
LA COLLECTE DE METADATA : VERS LE BUG JURIDIQUE ?
War R@M -Janvier 2014
1
2
3
4
5
L’AFFAIRE SNAPCHAT
Comme toute applicat ion de star tup qui
se respecte, le développement de
SnapChat a été fait le plus rapidement
possible et n’a sûrement pas bénéficié
d’une revue sécur ité par des
spécialistes.
Un groupe d’étudiants passionnés,
réunis sous le nom GibsonSec, a
décor t iqué l’API de l’applicat ion. Ils ont
t rouvé de nombreuses faiblesses et les
ont gracieusement fournies en pr ivé à
Snapchat. Ils sont même allés jusqu’à
postuler à une offre d’emploi de la
Star tup pour les aider à cor r iger leurs
vulnérabilités.
Ça, c’était début juillet . En août,
GibsonSec commence à s’agacer de
l’inact ion de Snapchat, qui qualifie
l’at taque de « théor ique ». Le groupe
fournie alors un premier aver t issement
par le biais d’une communication
publique. Cette communication met en
évidence les vulnérabilités sans fournir
suffisamment d’information pour les
rendre exploitables.
Quatre mois plus tard, toujours aucune
réact ion de la par t de Snapchat.
GibsonSec craque et passe au « full
disclosure ». (Voir notre article sur le
"full disclosure" en page 2 )
Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder
entièrement aux données personnelles d’un utilisateur, même en mode privé.
PIMP MY OPSEC
La nouvelle fait un peu de bruit ,
Snapchat « noie le poisson » peu de
temps après en sous entendant que le
problème est mit igé.
Les mesures pr ises sont totalement
insuffisantes, et pour fêter la nouvelle
année un groupe d’individus ut ilise les
informations fournies par GibsonSec et
met en ligne sur snapchatdb.info une
base de données de 4 .6 millions de
noms de comptes Snapchat associés au
numéro de téléphone de l’ut ilisateur .
Les deux derniers chiffres du numéro
de téléphones sont ret irés, mais la
version non censurée est disponible sur
simple demande. De plus à ma
connaissance la faille est toujours
exploitable, par conséquent n’impor te
qui peut obtenir les mêmes résultats.
Des personnes revendiquant la
diffusion ont communiqué auprès des
médias les raisons de cette divulgat ion.
"La motivation de cette release était de
sensibiliser les utilisateurs à la gravité
de la vulnérabilité, ainsi que de mettre
la pression sur Snapchat pour qu’il la
corr ige. La sécur ité est aussi
impor tante que l’expér ience utilisateur ."
Snapchat a enfin réagi, confirmé que ça
leur passait au dessus, et promis une
mise à jour qui ne semble pas cor r iger
le cœur du problème. Le tout en ayant
le culot de demander aux exper ts
sécur ité de les contacter à l’avenir .
(Entre temps, SnapChat a annoncé un
correctif de sécur ité… qui a déjà été
contourné, en moins de 30mn).
Par Morgan Hotonnier
Ingénieur spécialisé SSI
@morganhotonnier
Appel à contributeurs Cette newsletter mensuelle s’adresse à
une communauté ciblée et est
construite sur un modèle collaboratif,
s’inspirant d’une démarche open source
et dans le souci d’un par tage de
connaissances.
De fait , elle vit et s’enr ichit de ses
contr ibuteurs, pour la plupar t des
exper ts dans leurs domaines respect ifs,
et de fait nous sommes toujours à la
recherche d’appor ts.
Si publier par notre biais vous intéresse,
n’hésitez pas à vous adresser à nous à
contacter pour en discuter plus en
détails.
Cordialement,
La Rédact ion
W ar R@M vous est proposée le dernier vendredi de chaque mois et
est disponible en ligne. C’est une publication libre, vous pouvez donc
la par tager sans réserves, à condit ion de respecter la propr iété
intellectuelle des personnes qui y publient .
Suivez notre actualité sur notre compte SlideShare:
http:/ / fr .slideshare.net/ W arRam