W ar Ram.

Deux mots.

W ar pour guerre. Dans le cyberespace, nous y ser ions presque.

Certes pas la guerre traditionnelle et déclarée des États qui

s’affrontent sur un champ de bataille. Celle qui nous intéresse est

"multiscalaire", r ime avec bits et s’écr it en lignes de code.

Ram pour Random Access Memory. Le terme ne renvoie pas qu’à

l’excellent album des Daft Punk, il évoque sur tout les forces vives d’un

ordinateur , le ner f de la guerre informatique.

M is ensemble, ces deux termes rappellent par homophonie les

célèbres "W ar Rooms" de Churchill, où l’information stratégique la plus

importante était agrégée en un lieu.

L’ambition de ce projet de Newsletter est de s’inspirer de cette

init iative. En une maxime : centraliser au sein d’une lettre mensuelle la

« substantifique moelle » des sphères cyberdéfense/ cybersécur ité.

Le « champ de bataille » numér ique qui s’ouvre aujourd’hui est au

croisement de la sécurité informatique, de la cyberdéfense, du droit et

de la technologie. Cette complexité appelle au plus grand des

discernements.

Car le théâtre et son pér imètre sont incertains, ses acteurs nombreux

et par fois difficiles à identifier : entrepr ises, hackers, crackers, Etats,

universitaires…

Lever le voile, c’est ce que vous proposent les contr ibuteurs de la W ar

R@m à travers quatre catégor ies distinctes :

Les Experts : Contr ibution d’un expert du cyberespace sur une

problématique donnée.

360° : Une veille globale sur la cybersécur ité/ cyberdéfense et les

infrastructures.

Out-of-the-box : Contr ibution d’un expert qui sor t du cadre

“classique” de la cybersécur ité : professeurs d’université,

doctorants, hackers…

Pimp my Opsec : Une analyse pointue d’une faille de sécur ité ou de

mesures à prendre pour qu’elle ne se reproduise pas !

Puisse cette première « Ram » d’infos vous apporter une meilleure

compréhension de ce qui se passe sous les circuits du cyberespace…

Let’s Enhance, le retour

Pour le plaisir des yeux, un internaute a

décidé d’uploader une version HD du fameux

« Let’s Enhance ». L’occasion de r ire un peu

et de rappeler que quand « la résolution est

mauvaise, agrandir ne servirait à rien »…

Les Exper ts ne sont pas forcément ceux

que l’on croit…

L’E-DITO

Sommaire

Les gros titres

THE WAR R@M

La vidéo du mois

L’Edito Les Experts 360° Out-of-the-Box Pimp my Opsec

#SnapChat #LPM #InfoSec #FullDisclosure

• Retrouvez aussi nos publications sur notre Slideshare

• Envie d’en savoir plus? Contactez-nous: redaction.warram@spray.se

• Les contr ibuteurs associés à ce premier numéro, pour leur contr ibut ion et leur sout ien, visible ou

invisible : @morganhotonnier, @evematringe @leroycyber, @ncaproni @MDuqn,

@blog_e_sphere, @comptoirsecu

L’ART DE LA GUERRE

FOLLOW THE W HITE RABBIT

Janvier 2014

TO DISCLOSE OR NOT TO DISCLOSE

Le full disclosure : une approche critiquée

Tradit ionnellement, la communauté sécur ité est

très par tagée entre :

Le "full disclosure", qui consiste à fournir au

grand public l’ensemble des informations

concernant une vulnérabilité découver te

Le "coordinated disclosure" ou "responsible

disclosure", moins radical, où la vulnérabilité

est d’abord communiquée à l’éditeur pour

qu’il la cor r ige. Ce n’est que lorsque celui-ci

fournit son autor isation, souvent après

cor rection, que la faille est diffusée au

monde ent ier .

Le responsible disclosure peut paraître idéal, car

l’information sur la vulnérabilité n’est accessible

que lorsqu’elle n’est plus exploitable. Mais si

l’approche peut fonct ionner avec des éditeurs

responsables, la réalité est généralement tout

autre.

2

Quand l’éditeur maîtrise la

communication, il n’est pas pressé

par le temps

"À quoi bon se presser et débloquer

un budget en urgence ? Le public

n’est pas au courant, nous aurons

tout le temps d’allouer des

ressources au budget de l’année

prochaine."

J’exagère le trait , mais l’idée est là.

La correct ion des vulnérabilités est

souvent le cadet des préoccupations

des dir igeants. La pr ior ité est à l’ajout

de fonct ionnalités demandées par

l’ut ilisateur ou qui opt imisent les

bénéfices pour faire plaisir aux

invest isseurs. Sans la pression des

médias et des clients, les correct ions

traînent, par fois elles ne viennent

jamais.

Une fois l’information publiée, l’image

de l’éditeur en pât it et chaque jour qui

passe sans correct ion augmente la

chance de voir son nom dans les

journaux associé à une grosse fuite

d’information. C’est malheureusement

par fois le seul moyen pour que

l’entrepr ise se décide à traiter la

vulnérabilité comme elle le mér ite :

une urgence.

Certains éditeurs prennent le

problème à l’envers

Si vous avez écouté notre épisode 2

du ComptoirSécu sur les failles 0 -day,

vous savez à quel point ce genre de

découver te peut valoir cher sur le

marché noir…

Malgré tout, cer tains individus avec

encore un peu d’éthique sont prêts à

offr ir le résultat de leur travail à

l’éditeur , gratuitement…et se font

attaquer en guise de remerciement.

Vous pensez que j’exagère ? Pour tant

ce genre de situat ion est déjà ar r ivé.

Il ne faut pas s’étonner après ce

genre ’affaires de voir de plus en plus

d’exper ts prôner le full disclosure,

souvent sous couver t d’anonymat

pour éviter le retour de flamme.

Même Google commence à ser rer la

vis et applique le full disclosure si

après 7 jours l’éditeur n’a toujours

pas cor r igé une faille qu’ils est iment

cr it ique ou déjà ut ilisée.

Alors, full ou responsible disclosure ?

Je suis personnellement pour une

version hybr ide, similaire à celle que

préconise Google. Je trouve

dommage d’offr ir en pâture aux

médias une entrepr ise qui serait

prête à jouer le jeu et traiter la

cor rection de la vulnérabilité dans les

délais qu’elle mér ite. Ainsi une

divulgat ion en pr ivé auprès de

l’éditeur semble être une bonne

approche.

Si l’entrepr ise s’implique et

communique en bonne intelligence,le

responsible disclosure peut rester

une solut ion viable.

Le full disclosure resterait donc un «

plan B », dernière arme à ut iliser

quand l’éditeur :

Est connu pour son hostilité

envers ce genre de requête.

N’offre aucun moyen de contact

adéquat

Ne répond pas à nos sollicitations

Refuse de traiter la vulnérabilité

en accord avec son niveau de

criticité

Le traitement des "responsible

disclosure" par une entreprise

Si j’avais car te blanche dans une

entrepr ise sur le traitement des

failles de sécur ité découver tes par un

t iers, voilà ce que je préconiserai

(suite p.4 )

Par Morgan Hotonnier

Ingénieur spécialisé SSI

@morganhotonnier

LES EXPERTS

Les débats qui entourent le "full disclosure" ne sont ni

récents, ni homogène. Ainsi, en 2009 , le collectif Anti

Sec avait hacké l’hébergeur d’images Image Shack pour

protester contre cette pratique.

Cet ar ticle est paru pour la 1 ère fois

sur le Medium du Comptoir de la

sécur ité

War R@M - Janvier 2014

360°

3 War R@M - Janvier 2014

Et pour quelques Bitcoins de plus… Les cas de braquage en ligne de

banques semblent se bousculer au

por t illon. La cible pr ivilégiée ? Les

Bitcoins, la devise vir tuelle « so trendy »

développée par le mystér ieux Satoshi

Nakamoto. Il faut dire que le "Bt" ne

manque pas d’arguments: son cours a

récemment explosé, au point de

dépasser celui de l’or , fin novembre.

Or , si voler un Bitcoin est « facile », le

« blanchir » est une autre paire de

manches. Contrairement à la monnaie

classique, les transactions en Bitcoin

sont publiques et consultables par tous.

Ainsi, un pirate s’est retrouvé bien

embêté quand il a dû falloir profiter de

cette manne si chèrement acquise. Il a

très vite été interpellé par le FBI, devenu

depuis quelques années docteur ès

cyberespace.

Mais ce pauvre pirate peut se consoler:

la Chine a décidé de ser rer la vis sur

cette monnaie vir tuelle, et de

nombreuses banques centrales le

remettent en cause.

Un krach similaire à celui de la tulipe

est-il à prévoir?

(Pour aller plus loin: voir les audit ions du

Sénat sur le Bitcoin)

123456, sésame, ouvre-toi ! Des chercheurs du SpiderLab de Trustwave’s, une entrepr ise de cybersécur ité

or iginellement connue pour ses « penetration tests » efficaces, ont fait une découver te

intéressante en enquêtant sur un groupe de « black hats ». Après avoir pénétré avec

succès un de leurs serveurs, basé aux Pays-Bas, ils se sont rendus compte que près

de 2 millions de mots de passe de comptes Facebook, Google, Twit ter et Yahoo

avaient été dérobés à l’insu de leurs ut ilisateurs.

Les géants du Net ont vite fait de prévenir les pauvres internautes lésés… qui

conservent néanmoins une cer taine par t de responsabilité dans le piratage, au vu du

peu d’intérêt donné à la sécur ité de leurs données en ligne. En effet, les mots de passe

les plus fréquents oscillaient entre 123456 , password, admin, ou plus sobrement

encore, 123 . Tellement évident qu’on pourrait en faire un film.

Insolite: un malware transforme un réfrigérateur connecté en "botnet " Alors que les objets connectés sont

appelés à prendre une place

grandissante, ces derniers sont déjà la

cible de crackers. Ainsi, l’éditeur de

sécur ité Proofpoint a détecté un

malware visant… un réfr igérateur

connecté. Ce dernier était au centre

d’une large campagne de spams.

Facebook et la campagne malveillante d’Adobe Les campagnes malveillantes sont légion sur Facebook. Récemment, Dancho Danchev,

un éminent exper t en cybersécur ité, a découver t une campagne hostile, toujours active

à ce jour, enjoignant les ut ilisateurs à installer un faux logiciel Adobe Flash Player,

ut ilisant les services de redirect ion de Google. Plus d’infos sur le blog de M . Danchev.

Un outil de reverse engineering gratuit! Information pour les détect ives du

clavier : un out il de reverse engineering

a été mis en ligne sur GitHub.com.

Profitez-en, il est gratuit !

En vrac

The Russian Job L’affaire Target aura fait coulé beaucoup d’octets. Le géant amér icain a en effet subi

une cyberattaque qui a affecté près de 110 millions de ses clients lors des achats de

fin d’année. Or , il s’avère que le groupe a sa par t de responsabilité dans ce piratage

massif (selon The W ired, le réseau Target avait déjà été cracké en 2005 , mais celui-ci

se serait lavé les mains de la faille de sécur ité).

Alors que l’enquête se poursuit , on sait d’ores et déjà deux choses :

Au moins 11Go de données ont été envoyées vers un serveur russe.

Un pirate russe de 17 ans serait à l’or igine du malware, répondant au doux nom

de Trokan.POSRAM . Cette information reste toutefois à confirmer.

Seculert, iSight Partners et IntelCrawler sont en charges de l’enquête. Quant à Target,

le chiffre d’affaire est déjà appelé à baisser… de 30%!

Faciliter la prise de contact (Suite de "To

Disclose or Not to Disclose« , p.2 )

Par fois, même avec toute la bonne volonté du

monde, il est tellement difficile d’obtenir un

inter locuteur compétent, voire un inter locuteur

tout cour t, que les exper ts jettent l’éponge et

s’en remettent au full disclosure. Il est donc

impor tant:

De mettre en place un moyen de contact

dédié aux évènements de sécur ité une

adresse email à dest inat ion des équipes

sécur ité IT en interne (ou du responsable de

la sécur ité de l’entrepr ise) est amplement

suffisante

Fournir quelque par t sur le site inst itutionnel

une référence vers ce moyen de contact

Former l’équipe responsable du suppor t

t radit ionnel à redir iger les sollicitat ions sur

ce point de contact

Disposer d’un processus de mise à jour

d’urgence

À par t ir du moment où une vulnérabilité est

découver te, on peut supposer qu’elle est déjà

connue et peut être même exploitée par

d’autres individus. Il faut donc réagir dans les

plus brefs délais. Une bonne prat ique consiste à

mettre en place une polit ique de patching. Cette

polit ique définit différents niveaux de cr it icités

pour les patchs, avec pour chaque niveau un

délai de traitement maximal. Pour les patchs les

plus cr it iques, on peut assouplir les tests pour

accélérer la mise en product ion.

Entretenir la relation avec les experts sécurités

Snapchat (voir l’Affaire SnapChat, p.6 ) est le

par fait exemple de pr ise de contact ratée.

Mettre les exper ts en relat ion avec du personnel

adéquat en interne est la première chose à

faire. Ce genre d’échange ne peut pas se faire

avec un responsable communication ou un

suppor t client standard. Il faut une personne

compétente en sécur ité informatique, avec un

pouvoir de décision ou au moins des capacités

d’escalades appropr iées. Il faut ensuite garder

contact avec l’exper t et le tenir informé de

l’avancement sur la cor rection des

vulnérabilités. Cer taines entrepr ises

comme M icrosoft ou Google vont même jusqu’à

offr ir des récompenses pour ce genre de

services, ce qui est selon moi une très bonne

approche.

Le "responsible disclosure" est un vér itable

cadeau fait aux entrepr ises. La conscience et

l’éthique ne devraient pas être les seules

motivat ions disponibles, la reconnaissance,

financière ou publique, devrait à minima être de

la par t ie. Sans cette reconnaissance, et avec

l’impor tance croissante des out ils de « cyber

guerre », cet acte de char ité se fera de plus en

plus rare. L’éthique sera sacr ifiée au profit d’une

vente juteuse du 0 -day en quest ion, ou d’un

débauchage par des professionnels du milieu.

4 War R@M -Janvier 2014

Le coup du chapeau Rien ne va plus au pays du Matin calme. En effet, plusieurs dizaines millions de

car tes de crédit auraient été piratées en Corée du Sud. En cause,

l’ "indiscrét ion" de cer tains employés et des actes malveillants de piratage. La

situat ion reste difficile à est imer: on par lait de 20 millions de données

bancaires piratées, alors qu’un récent chiffre du W all Street Journal évalue la

per te à plus de 100 millions, soit le double de la populat ion sud-coréenne.

Israël se lance dans la course au cyber-armement Si, comme le pense Thomas Rid, « la cyberguerre n’aura pas lieu », cela

n’empêche pas cer taines nat ions de se lancer dans une course à

l’armement effrénée. Depuis août dernier , Elta, une star t-up israélienne

devenue filiale du géant Israel Aerospace Industries, développe et renforce

son offre dans les capacités offensives et défensives de cyberdéfense.

360°

La balkanisation du Net, c’est pas pour demain ! L’idée n’aura pas fait long feu. Le concept de « balkanisation du net » (splinternet

en anglais ou cyberbalkanisation), vér itable marronnier depuis son invention par un

cer tain Clyde W ayne Crews, semble être passé de mode. Prenant

outrageusement la poussière, l’idée avait finalement regagné l’intérêt des exper ts

et des analystes avec le scandale PRISM et les révélat ions de Snowden.

Las, Dilma Roussef a beau se démener , la grande major ité des acteurs du

numér ique semblent peu intéressées par l’idée d’un Internet séparé. Un retour en

arr ière semble bien improbable désormais, tant l’init iat ive serait coûteuse. Le

rétropédalage de l’Allemagne sur la protect ion des données personnelles montre

bien qu’une compar t imentation n’est pas pour demain : si balkanisat ion il y a, elle

se fera à minima.

La France révise sa copie en matière de cybercriminalité La France a finalement décidé de repousser la publicat ion de son rappor t

interministér iel sur la cybercr iminalité en févr ier . Les ministères concernés

sont, sans surpr ise, la Just ice, l’Intér ieur , l’Economie numér ique et le Budget.

Aucune raison valable n’a été avancée pour l’instant.

Big Data vs Cybercrime L’associat ion des deux ne coule pas

de source : pour tant, le Big Data

pourrait appor ter énormément dans

la lutte contre le cybercr ime. C’est en

tout cas l’avis du site HackSur fer , qui

revient sur trois outils qui utilisent le

Big Data afin d’analyser , de comparer

et d’avoir une analyse en temps réel

des cyberattaques.

L’out il en ligne d’HackSur fer est

disponible ici.

Bull et Osiatis accompagnent EDF dans le Cloud EDF –ERDF s’est lancé dans un

projet dantesque: l’exploitat ion et la

migrat ion de plus de 160 ,000

postes sur un cloud pr ivé, ut ilisant

des technologies M icrosoft.

Le projet, por té par le consortium

Bull-Osiatis, est le plus impor tant

projet mondial de cloud ut ilisant les

technologies M icrosoft à ce jour .

Cloud, Data Centers, Big Data

Etats et cyberdéfense

L'adoption de la Loi de programmation

militaire en décembre 2013 a été

l'occasion d'un mouvement de

contestation en raison des grands

pouvoirs qu'elle confère aux services de

renseignement dans la collecte de

métadatas. Ces disposit ions existaient

déjà auparavant, mais uniquement pour

lutter contre le ter ror isme . En réalité,

ces métadatas sont bien plus

personnelles que celles habituellement

désignées par ce terme. Leur collecte

massive permet de retracer l'ensemble

de l'act ivité d'un individu, sauf à ce que

celui-ci s'interdise totalement l'usage de

tout moyen de communication

électronique.

L'ar t icle 13 devenu l'ar t icle 20 pose des

problèmes de compatibilité jur idique avec

les pr incipes de liber té d'expression, de

liber té de pensée et de liber té polit ique.

Le Conseil const itutionnel a en effet

affirmé en juin 2009 le pr incipe de la

liber té de communication, "condition de

la démocratie" . Cette liber té peut être

limitée par la loi, mais dans une mesure

str ictement nécessaire à la préservation

de l'intérêt général. Or la possibilité

d'être soumis à des intercept ions de

sécur ité sans aucune garant ie est de

nature à conduire le citoyen à

s'autocensurer et donc indirectement

mais très effect ivement, entrave la

liber té polit ique.

Tout le problème est donc d'assurer

l'effect ivité des liber tés publiques par

l'instauration de mécanismes de contrôle

sur l'act ion des services de

renseignement. De la même façon que

le droit des données personnelles

confère aux personnes visées par une

collecte de données personnelles le droit

d'en être informées, le droit des

interceptions de sécurité devrait assurer

l'information a posteriori des intéressés,

seul moyen d'assurer l'effect ivité d'un

contrôle par la possibilité de saisir un

juge des éventuels manquements .

L'impérat if démocratique du contrôle des

services de renseignement et de police a

déjà été souligné par nombres

d'organisat ions internationales et

const itue la condit ion sine qua non de la

légit imité de leur act ion.

Quel responsable prendrait la

responsabilité de solliciter une

invest igat ion dans un but indéfendable s'il

sait qu'a poster ior i, l'ensemble de la

procédure fera l'objet d'un contrôle ?

Ces règles feront également toute la

différence entre les services de l'Etat et

les diverses agences de renseignement

privées agissant en dehors de toute

légalité et à des fins inavouables.

La LPM aurait d'ailleurs pu ajouter parmi

les object ifs assignés aux différents

services leur ouvrant le droit de recour ir

à des moyens d'invest igat ion renforcés,

la lutte contre ce que d'autres droits

européens qualifient de "service de

renseignement prohibé ", qu'il s'agisse

de barbouzes pr ivés (affaire IKEA) ou de

services étrangers intervenant sur notre

ter r itoire (NSA).

De plus, l'information et la vér ificat ion

des données et de leur analyse par les

intéressés et/ ou par le juge permettra

d'apurer les STAD (ndlr: Système de

traitement automatisé des données) des

informations inexactes. Différents cas

ont en effet montré que la collecte

abusive et massive de données

personnelles ne présentait en réalité

aucun intérêt en raison de for t taux

d'er reurs qu'elle impliquait et du travail

de vér ificat ion nécessaire pour les

exploiter ut ilement .

Par Eve Matringe,

Docteure en droit , t itulaire du CAPA

@Evematringe

1 . Art. L. 3 4 -1 -1 du code des postes et des

communications électroniques.

2 . Cons. Constit., DC n°2 0 0 9 -5 8 0 du 1 0 juin 2 0 0 9

et DC n°8 4 -1 8 1 du 1 1 octobre 1 9 8 4 . Lamy droit de

l'immatér iel, Code annoté 2 0 1 0 , p. 5 et s.

3 . Le contrôle assuré par la CNIS est actuellement

par faitement théor ique, tant les moyens employés que

les personnes en charge de sa réalisation sont faibles

au regard du nombre d'interceptions à contrôler et du

manque d'indépendance vis-à-vis du pouvoir polit ique.

4 . Ér ic Denécé, L’éthique dans les activités de

renseignement, Revue française d'administration

publique 2 0 1 1 / 4 (n° 1 4 0 ), pp. 7 0 7 -7 2 2 .

5 . Jean-Paul Brodeur , Le renseignement : distinctions

préliminaires, Canadian Journal of Cr iminologie and

Cr iminal Justice, 4 7 (1 ), pp. 1 5 –4 3 , Janvier 2 0 0 5 .

En outre, ce mois-ci, le livre « Loi et Internet » de Fabrice Mattatia

est sor t i dans la presse. Cet ouvrage de référence vulgar ise pour

tout internaute le cadre jur idique de la publicat ion et de l’ut ilisat ion

des contenus sur Internet. Un indispensable!

Loi et Internet

Un petit guide civique et jur idique

Auteur(s) : Fabr ice Mattatia

Editeur (s) : Eyrolles

Collect ion : Connectez-moi !

Nombre de pages : 232 pages

Date de parut ion : 09 / 01 / 2014

EAN13 : 9782212137163

Pour aller plus loin…. Si vous avez loupé le coche et que vous ne savez pas ce qu’est

la LPM, ces quelques liens pour vous remettre à jour vous

permettront de vous forger une idée sur le sujet en

complétant, sans remplacer, l’excellente analyse de notre

jur iste :

• La version finale de la Loi de Programmation M ilitaire

• Le site officiel du Sénat

• L’ar t icle 13 est-il plus dangereux pour Internet que les lois

existantes?

• Big Brother ou big bazar ? Le projet de loi de

programmation militaire fait controverse

• Tout ce que vous avez toujours voulu savoir sur la #LPM et

que vous avez été nombreux à me demander

OUT-OF-THE-BOX

5

LA COLLECTE DE METADATA : VERS LE BUG JURIDIQUE ?

War R@M -Janvier 2014

1

2

3

4

5

L’AFFAIRE SNAPCHAT

Comme toute applicat ion de star tup qui

se respecte, le développement de

SnapChat a été fait le plus rapidement

possible et n’a sûrement pas bénéficié

d’une revue sécur ité par des

spécialistes.

Un groupe d’étudiants passionnés,

réunis sous le nom GibsonSec, a

décor t iqué l’API de l’applicat ion. Ils ont

t rouvé de nombreuses faiblesses et les

ont gracieusement fournies en pr ivé à

Snapchat. Ils sont même allés jusqu’à

postuler à une offre d’emploi de la

Star tup pour les aider à cor r iger leurs

vulnérabilités.

Ça, c’était début juillet . En août,

GibsonSec commence à s’agacer de

l’inact ion de Snapchat, qui qualifie

l’at taque de « théor ique ». Le groupe

fournie alors un premier aver t issement

par le biais d’une communication

publique. Cette communication met en

évidence les vulnérabilités sans fournir

suffisamment d’information pour les

rendre exploitables.

Quatre mois plus tard, toujours aucune

réact ion de la par t de Snapchat.

GibsonSec craque et passe au « full

disclosure ». (Voir notre article sur le

"full disclosure" en page 2 )

Le script« find_friends » (retranscrit incomplètement ci-dessus) permet à un cracker d’accéder

entièrement aux données personnelles d’un utilisateur, même en mode privé.

PIMP MY OPSEC

La nouvelle fait un peu de bruit ,

Snapchat « noie le poisson » peu de

temps après en sous entendant que le

problème est mit igé.

Les mesures pr ises sont totalement

insuffisantes, et pour fêter la nouvelle

année un groupe d’individus ut ilise les

informations fournies par GibsonSec et

met en ligne sur snapchatdb.info une

base de données de 4 .6 millions de

noms de comptes Snapchat associés au

numéro de téléphone de l’ut ilisateur .

Les deux derniers chiffres du numéro

de téléphones sont ret irés, mais la

version non censurée est disponible sur

simple demande. De plus à ma

connaissance la faille est toujours

exploitable, par conséquent n’impor te

qui peut obtenir les mêmes résultats.

Des personnes revendiquant la

diffusion ont communiqué auprès des

médias les raisons de cette divulgat ion.

"La motivation de cette release était de

sensibiliser les utilisateurs à la gravité

de la vulnérabilité, ainsi que de mettre

la pression sur Snapchat pour qu’il la

corr ige. La sécur ité est aussi

impor tante que l’expér ience utilisateur ."

Snapchat a enfin réagi, confirmé que ça

leur passait au dessus, et promis une

mise à jour qui ne semble pas cor r iger

le cœur du problème. Le tout en ayant

le culot de demander aux exper ts

sécur ité de les contacter à l’avenir .

(Entre temps, SnapChat a annoncé un

correctif de sécur ité… qui a déjà été

contourné, en moins de 30mn).

Par Morgan Hotonnier

Ingénieur spécialisé SSI

@morganhotonnier

Appel à contributeurs Cette newsletter mensuelle s’adresse à

une communauté ciblée et est

construite sur un modèle collaboratif,

s’inspirant d’une démarche open source

et dans le souci d’un par tage de

connaissances.

De fait , elle vit et s’enr ichit de ses

contr ibuteurs, pour la plupar t des

exper ts dans leurs domaines respect ifs,

et de fait nous sommes toujours à la

recherche d’appor ts.

Si publier par notre biais vous intéresse,

n’hésitez pas à vous adresser à nous à

contacter pour en discuter plus en

détails.

Cordialement,

La Rédact ion

W ar R@M vous est proposée le dernier vendredi de chaque mois et

est disponible en ligne. C’est une publication libre, vous pouvez donc

la par tager sans réserves, à condit ion de respecter la propr iété

intellectuelle des personnes qui y publient .

Suivez notre actualité sur notre compte SlideShare:

http:/ / fr .slideshare.net/ W arRam