Jekyll2022-05-22T16:46:20-04:00/Intrasecure inc.Intrasecure[Hackfest::Archive] Vivre et laisser vivre2017-11-13T03:20:57-05:002017-11-13T03:20:57-05:00/2017/11/hackfestarchivevivre-et-laisser-vivre<p>Les tendances sont fortes pour exposer ces informations des médias sociaux aux autres. Déjà, je relatais qu’il y a une tendance lourde chez les couples d’adolescents de <a href="http://www.hackfest.ca/2012/si-tu-maimes-ne-me-demande-pas-mon-mot-de-passe">partager leur mot de passe</a>, c’est maintenant au personnel enseignent et employeur d’exiger ces informations des étudiants ou des futurs employés. Cette deuxième tendance n’est pas de bons augures et encore plus alarmante que la première.</p>
<p>Historiquement, nous avions le droit de parler librement de ce que nous avions dans des endroits que l’on pourrait qualifié de privé (dans une résidence privée) ou semi-privé (restaurant, bar). Il y a une expectative raisonnable que nous puissions dire n’importe quoi sans trop de conséquences. Le problème avec les médias sociaux, c’est que les gens ont le même comportement. C’est partiellement un problème, puisqu’on expose à la terre entière ce qui devrait ne pas sortir de son salon.</p>
<p>Les jeunes étant de plus en plus sensibilisés aux conséquences ferment progressivement leur profil et tendent à limiter les « amis » pour ne pas que ce qui est dit puisse être vu par la terre entière et utilisé contre eux. En contrepartie, il y a une montée des « autorités » de vouloir voir ce qui se passe dans nos profils. Dans les articles en référence, il y a des pressions assez fortes en ce sens. Dans certains cas, l’accès aux équipes de sport est littéralement bloqué si l’accès n’est pas donné ou si on n’est pas « ami » avec le coach.</p>
<p>Ça devient franchement dérangeant, puisque dans le monde analogue ce type de comportement n’est pas toléré, voire encadré par des lois. C’est comme de placer un enregistreur lors d’une rencontre entre amis dans une résidence privée et que cet enregistrement soit envoyé aux employeurs des personnes présentes et qu’il puisse y avoir des réprimandes par rapport à ce qui est dit. Ce n’est pas tellement loin des scénarios de surveillance à la 1984 ou «V for Vendetta».</p>
<p>La technologie met entre les mains de personnes sans trop de scrupule des moyens qui sont démesurés pour contrôler le comportement des autres. Voulons-nous vraiment vivre dans une société qui surveille tous nos gestes et y porte des jugements moraux sur ceux-ci?</p>
<p>Références:</p>
<p><a href="http://www.startribune.com/local/141646423.html">ACLU sues Minnewaska schools, Pope Co. Sheriff’s Office over student Facebook incidents</a></p>
<p><a href="http://www.itworld.com/it-managementstrategy/256260/making-facebook-private-wont-protect-you">Making Facebook private won’t protect you</a></p>
<p><a href="http://redtape.msnbc.msn.com/_news/2012/03/06/10585353-govt-agencies-colleges-demand-applicants-facebook-passwords">Govt. agencies, colleges demand applicants’ Facebook passwords</a></p>nicolasLes tendances sont fortes pour exposer ces informations des médias sociaux aux autres. Déjà, je relatais qu’il y a une tendance lourde chez les couples d’adolescents de partager leur mot de passe, c’est maintenant au personnel enseignent et employeur d’exiger ces informations des étudiants ou des futurs employés. Cette deuxième tendance n’est pas de bons augures et encore plus alarmante que la première.[Hackfest::Archive] Si tu m’aimes, ne me demande pas mon mot de passe!2017-11-10T02:18:27-05:002017-11-10T02:18:27-05:00/2017/11/hackfestarchive-si-tu-maimes-ne-me-demande-pas-mon-mot-de-passe<p>Pour faire écho à la <a href="http://www.branchez-vous.com/affaires/benefice-net/blogues/mediabiz/2012/01/si_tu_maimes_donne-moi_ton_mot.html">dernière mode</a>… Et au thème de la journée!</p>
<p>Il est vrai que cette transparence peut être associée avec une preuve d’amour chez les jeunes. Il y a des préoccupations et passions qui sont propres à chaque tranche d’âge et non à chaque génération. Depuis qu’humain est humain, l’adolescence est une période où tout est extrême. L’amour passionnel de Roméo et Juliette est une belle démonstration de cette folie que vit la jeunesse dans leur passion amoureuse… Qui s’adoucit avec l’âge 😉</p>
<p>Je crois que le goût de s’exhiber de la sorte est ancré profondément dans la psyché humaine et que la technologie permet enfin d’assouvir cette quête facilement. Vedettariat instantané, sans avoir besoin de passer à travers la sélection qu’impose l’univers télévisuel.</p>
<p>D’un point de vue de la sécurité, donner son mot de passe va à l’encontre du bon sens, peut-être faute de meilleurs moyens mis à la disposition des jeunes. Car donner son mot de passe à tout vent, c’est bien plus que donner un droit de regard sur nos choses, mais bien un contrôle total de nos actions en ligne. On devient ainsi la marionnette virtuelle des personnes avec qui nous partageons notre mot de passe, puisqu’elles peuvent faire ce qu’elles veulent avec, modifier nos informations, émettre des commentaires en notre nom, agir à notre place, prendre des engagements à notre place. Avec une reconnaissance de notre responsabilité légale de nos actions en ligne, ça revient à donner un entier contrôle de notre vie et responsabilité civile à une autre personne… qui ne nous veut pas nécessairement toujours du bien. C’est une forme de tyrannie du groupe pour en contrôler ses membres.</p>
<p>Dans le respect de cette volonté d’ouverture, il faudrait que les systèmes développent des mécanismes qui permettent de partager nos informations sans permettre de les modifier. En entreprise, c’est un concept qui est très utilisé dans les boites de courriel ou l’accès à de l’information, où il est possible de déléguer des accès, sans pour autant devoir partager son mot de passe avec tout le monde.</p>nicolasPour faire écho à la dernière mode… Et au thème de la journée![Hackfest:Archive] Petite démonstration sur la fuite d’information (remix no tech hacking)2017-11-08T04:13:16-05:002017-11-08T04:13:16-05:00/2017/11/hackfestarchive-petite-demonstration-sur-la-fuite-dinformation-remix-no-tech-hacking<p>Depuis déjà plusieurs années, les compagnies ont investi des sommes considérables pour protéger l’information à l’intérieur de leurs murs. Nous avons vu les vagues successives des coupe-feu, antiviraux, détecteurs d’intrusion et tout ce qui a suivi. Les opérations de sécurité d’infrastructure sont rendues à un degré de maitrise qui peut sembler adéquat.</p>
<p>Les gens perdent vite leur inhibition, même en public, dès qu’ils sont placés dans un contexte où ils ont l’habitude d’être en confiance. Le cellulaire et l’ordinateur portable sont porteurs d’un contexte qui suppose d’être dans le confort du bureau ou de la maison. Une fois que les gens changent de contexte, soit en ouvrant leur ordinateur portable ou en prenant un appel sur leur cellulaire, leur environnement immédiat cesse d’exister. Cela explique pourquoi nous voyons autant de gens étaler leur vie privée ou professionnelle dans des endroits publics au cellulaire ou sur leur ordinateur portable.</p>
<p>Mais l’information n’est-elle pas le nerf de la guerre?</p>
<p><img src="webkit-fake-url://B2BE233C-93EB-4D89-A05A-C5CEE6A26008/Pasted%20Graphic.pdf" alt="Pasted Graphic.pdf" /></p>
<p>Rien comme deux exemples pour illustrer l’étendue. Le premier dans un édifice à bureaux et le second dans le train.</p>
<p><strong>Édifice à bureaux</strong></p>
<p>Les gens assument que du moment qu’ils ne sont plus au niveau du sol (et encore!), personne ne peut voir ce qu’ils font. Sans être équipé comme James Bond, il est facile de capturer des informations intéressantes.</p>
<p>Les gens vont laisser à la vue sur leur bureau ou sur leur écran une panoplie d’informations qui sont généralement confidentielles ou à tout le moins vont être instrumentales dans le montage d’une attaque à plus grand déploiement. Connaitre l’agenda d’une personne permet d’en connaitre les déplacements et de créer une coïncidence qui va favoriser la mise en œuvre d’un scénario d’ingénierie sociale.</p>
<p><img src="webkit-fake-url://B2BE233C-93EB-4D89-A05A-C5CEE6A26008/Pasted%20Graphic%201.pdf" alt="Pasted Graphic 1.pdf" /></p>
<p><strong>Train</strong></p>
<p><img src="webkit-fake-url://B2BE233C-93EB-4D89-A05A-C5CEE6A26008/Pasted%20Graphic%202.pdf" alt="Pasted Graphic 2.pdf" /></p>
<p>Le train est un endroit intéressant quant à l’étude de ces comportements humains, puisque les gens sont contraints d’attendre… Ils sont prisonniers tout au long du voyage. Plusieurs profitent de cette occasion pour travailler. Du moment que les gens ouvrent leur ordinateur portable, ils changent de contexte et ils agissent comme s’ils étaient au bureau… et la vigilance qu’exige d’être dans un lieu public disparait. J’ai vu plusieurs personnes lire leur courriel, souvent à propos d’information privilégiée, ou encore lire des documents qui, en tant normal, ne devraient pas être vu par une personne de l’extérieur.</p>
<p><img src="webkit-fake-url://B2BE233C-93EB-4D89-A05A-C5CEE6A26008/Pasted%20Graphic%203.pdf" alt="Pasted Graphic 3.pdf" /></p>
<p>L’image de gauche est un exemple intéressant, puisqu’il expose un problème tout autre. Cet ordinateur dispose d’un protecteur d’écran qui empêche les yeux curieux de voir… Sauf que cette protection est efficace que lorsque nous sommes en angle par rapport à l’écran… Comme vous pouvez voir, je n’étais pas dans l’angle de protection. Cette information est intéressante, puisque ça indique que la compagnie est soucieuse de préserver la confidentialité des informations et que l’utilisateur n’a pas été correctement conscientisé à la valeur de l’information qu’il transporte et l’usage adéquat du protecteur d’écran. De plus, cela signale que le contenu est précieux et devient de facto une cible pour le vol. Cette personne m’a exposé son Facebook pendant une bonne partie du voyage! Ça, c’est sans compter qu’il a divulgué une foule d’information sur son employeur et le mandat sur lequel il est, pendant une conversation téléphonique… Pour un concurrent de sa firme ou de son client, l’information ainsi divulguée vaut de l’or!</p>
<p><img src="webkit-fake-url://B2BE233C-93EB-4D89-A05A-C5CEE6A26008/Pasted%20Graphic%204.pdf" alt="Pasted Graphic 4.pdf" /></p>
<p>Ce n’est pas juste les écrans d’ordinateur qui divulguent de l’information. J’ai eu devant mes yeux des rapports papier, tout aussi confidentiels que ce que j’ai vu sur des écrans d’ordinateur.</p>
<p>Cela n’est que la pointe de l’iceberg, puisqu’il est tellement courant d’entendre une conversation remplie d’information confidentielle, cela dans un lieu public.</p>
<p>Exposer des problèmes c’est facile. Exposer des solutions ça l’est moins.</p>
<p>Ce qui ressort de cette petite expérimentation, c’est que les gens ne sont pas conscients qu’ils exposent autant d’information parce qu’ils changent de contexte. Une petite introduction à la notion de « situation awareness » permettrait de les sensibiliser qu’ils changent de contexte lorsqu’ils prennent un appel ou ouvrent leur ordinateur portable, et de garder la vigilance qu’exige d’être dans un lieu public. Il est aussi important d’expliquer aux gens pourquoi ils doivent faire attention et quelles sont les mesures à leur disposition pour protéger l’information. Une fois que les gens comprennent la valeur de l’information qu’ils manipulent et les conséquences de leurs pertes, ils vont protéger l’information sans aucun effort particulier. Ça va devenir aussi évident que de protéger leur NIP ou de barrer la porte de leur maison.</p>nicolasDepuis déjà plusieurs années, les compagnies ont investi des sommes considérables pour protéger l’information à l’intérieur de leurs murs. Nous avons vu les vagues successives des coupe-feu, antiviraux, détecteurs d’intrusion et tout ce qui a suivi. Les opérations de sécurité d’infrastructure sont rendues à un degré de maitrise qui peut sembler adéquat.[Hackfest::Archive] Les 10 lois immuables de la sécurité selon Microsoft (v2.0)2017-11-06T03:08:51-05:002017-11-06T03:08:51-05:00/2017/11/hackfestarchive-les-10-lois-immuables-de-la-securite-selon-microsoft-v2-0<p>UPDATE: Maintenant plus d’une quinzaine d’années!!!</p>
<p>Il y a une dizaine d’années, Microsoft publiait les 10 lois immuables de la sécurité. Ces 10 lois m’ont beaucoup aidé à vendre mes dossiers par le passé. Depuis, ils ont décidé de les rafraichir au goût du jour, à la 2.0 😉 Croyez-vous qu’en 10 ans, nous avons beaucoup avancé sur ces 10 lois?</p>
<p><strong>The 10 Immutable Laws</strong></p>
<ul>
<li>Law #1: If a bad guy can persuade you to run his program on your computer, it’s not solely your computer anymore.</li>
<li>Law #2: If a bad guy can alter the operating system on your computer, it’s not your computer anymore.</li>
<li>Law #3: If a bad guy has unrestricted physical access to your computer, it’s not your computer anymore.</li>
<li>Law #4: If you allow a bad guy to run active content in your website, it’s not your website any more.</li>
<li>Law #5: Weak passwords trump strong security.</li>
<li>Law #6: A computer is only as secure as the administrator is trustworthy.</li>
<li>Law #7: Encrypted data is only as secure as its decryption key.</li>
<li>Law #8: An out-of-date antimalware scanner is only marginally better than no scanner at all.</li>
<li>Law #9: Absolute anonymity isn’t practically achievable, online or offline.</li>
<li>Law #10: Technology is not a panacea.</li>
</ul>
<p><a href="http://blogs.technet.com/b/msrc/archive/2011/06/09/june-advance-notification-service-and-10-immutable-laws-revisited.aspx">http://blogs.technet.com/b/msrc/archive/2011/06/09/june-advance-notification-service-and-10-immutable-laws-revisited.aspx</a></p>
<p>https://technet.microsoft.com/en-us/library/hh278941.aspx</p>nicolasUPDATE: Maintenant plus d’une quinzaine d’années!!![Hackfest::Archive] Dur dur la sécurité physique2017-11-03T03:29:42-04:002017-11-03T03:29:42-04:00/2017/11/hackfestarchive-dur-dur-la-securite-physique<p>La sécurité est une bien drôle de chose. Elle semble farfelue par bien des gens. À en croire certains, nous vivons dans un monde parallèle… Et ils n’ont pas vraiment tort!</p>
<p>Je vais prendre un exemple pour illustrer mon énoncé d’introduction. Il m’est arrivé à plusieurs reprises dans ma carrière de voir des mesures de sécurité qui sont d’apparence efficace, mais lorsque nous creusons un peu, ne le sont pas tant que ça. La meilleure illustration est la sécurité physique. Beaucoup d’endroits ont installé des tourniquets pour contrôler les entrées et sorties des gens. C’est une très bonne mesure qui permet de bien contrôler qui entre et sort de l’édifice. Là où ça se gâte, c’est que plusieurs de ces places laissent des voies de contournement qui sont majeures… Et je ne parle pas de la porte actionnée manuellement par un responsable de la sécurité physique, je parle d’une porte qui permet l’entrée/sortie de plusieurs personnes à la fois, hors du contrôle immédiat d’un responsable de la sécurité. Le « piggybacking » est roi et maître comme façon illicite d’entrer… Et même moi qui ai peu de talent d’ingénierie social je réussis à faire des choses assez inusitées.</p>
<p>La finalité, c’est à nous de mieux vendre nos dossiers, afin que ceux qui approuvent les budgets soient en mesure de bien comprendre les raisons de ce que nous faisons. La défaillance démontrée n’est pas la faute de l’organisation ou de la personne qui l’a mis en place, mais bien de ceux qui ont proclamé dans les organisations, rapport payé à vil prix à la main, que la sécurité physique n’était pas adéquate. Résultat, nous avons l’apparence de sécurité… Puisque le rapport mentionnait que la porte principale 😉</p>
<p>Je termine en disant que l’apparence de sécurité est bien plus dangereuse qu’une absence de sécurité… Car les gens vont croire à l’efficacité de la mesure et cesseront de s’inquiéter de la sécurité… Car nous savons tous que la sécurité est un processus constant, qui doit être ajusté pour s’adapter au changement de la menace et les nouvelles technologies… N’est-ce pas?</p>
<p>Je suis incapable de terminer. Je dois dire que les meilleures mesures de sécurité physique qu’il m’est arrivé de voir sont dans des endroits où on s’attendrait le moins. Certaines compagnies manufacturières ont mis en place il y a déjà longtemps des mesures de sécurité physique que nous voyons timidement apparaitre dans les endroits où de l’information sensible réside. Comme quoi il est difficile de protéger l’intangible 😉</p>
<p> </p>nicolasLa sécurité est une bien drôle de chose. Elle semble farfelue par bien des gens. À en croire certains, nous vivons dans un monde parallèle… Et ils n’ont pas vraiment tort![Hackfest::Archive] La cuillère n’existe pas2017-11-01T03:32:20-04:002017-11-01T03:32:20-04:00/2017/11/hackfestarchive-la-cuillere-nexiste-pas<p>Depuis quelques jours, un <a href="http://www.scmagazine.com/redirect-flaw-on-gov-sites-leaves-open-door-for-phishers/article/264520/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed:+SCMagazineNews+(SC+Magazine+News)">dossier</a> particulier fait beaucoup de bruit sur Internet. Il est question d’une problématique de redirection sur un site hors domaine à partir d’une URL du domaine usa.gov. En fait, l’URL de laquelle part toute la polémique est:</p>
<p><em>1.usa.gov/[Données supplémentaires]</em></p>
<p>Il faut savoir que les URLs <em>1.usa.gov/</em> sont obtenues par l’utilisation d’un service pour obtenir de “petites” URLs. Ainsi, lorsqu’un utilisateur visite la page en question, ce dernier est redirigé sur une page du gouvernement vulnérable à une redirection hors domaine. Il tombe ainsi non pas sur un site gouvernemental mais sur une page sous le contrôle d’un possible pirate. Le groupe de recherche <a href="http://www.secureworks.com/cyber-threat-intelligence/blog/spam/government-websites-abused-ongoing-spam-campaign/">Dell SecureWorks Counter Threat Unit</a> offre une analyse complète de la problématique sur sa <a href="http://www.secureworks.com/cyber-threat-intelligence/blog/spam/government-websites-abused-ongoing-spam-campaign/">page</a>. Ainsi, le présent article ne s’intéresse pas à la faille de redirection elle même car toute le monde en parle. L’article s’intéresse plutôt à une autre problématique, que personne ne semble soulever pour l’instant, qui pourrait certainement faire surface dans les jours à venir.</p>
<p>En lisant sur cette problématique, un détail important a attiré mon attention. Voici un extrait du site de Dell cité plus haut:</p>
<p><em>The 1.usa.gov short URL service is run by the U.S. government, in partnership with bitly.com</em>.</p>
<p>Ainsi, l’obtention d’une short URL de type <em>1.usa.gov</em> est possible en raison d’une collaboration entre le gouvernement et le service <em>bitly.com</em>. Le gouvernment peut donc faire une utilisation tout à fait légitime, requise dans le monde d’aujourd’hui, de ce service. Cependant, la lecture de cet énoncé soulève une question importante:</p>
<p><em>Est-il possible que des employés du gouvernement aient utilisé ce service dans le but de créer des short URLs pointant vers des serveurs et ressources internes des différents organismes gouvernementaux?</em></p>
<p>Si l’utilisation de ce service est connu et acceptée comme normale dans les différents organismes, il est plus que possible que certaines personnes aient utilisé ce service dans cet objectif. Ainsi, il serait, peut-être, possible de mettre en place une attaque de force brute contre le service en question dans le but de déterminer quels sont les <em>short URLs</em> valides pour l’URL de base 1.usa.gov. Dans la situation où une URL ou une référence à une ressource interne était découverte, ceci causerait donc une fuite d’information, pouvant aller de la divulgation d’adresses interne jusqu’à l’accès à des ressources internes advenant le cas où celle-ci seraient mal sécurisées.</p>
<p>Pour mieux comprendre la situation, prenons par exemple les URLs suivantes:</p>
<li style="list-style-type: none">
<ol>
<li>
1.usa.gov/a
</li>
<li>
1.usa.gov/b
</li>
<li>
1.usa.gov/c
</li>
<li>
1.usa.gov/d
</li>
<li>
1.usa.gov/e
</li>
</ol>
</li>
<p> </p>
<p>Dans un monde parfait, où il n’y a pas de problème de sécurité, l’ensemble de ces URLs devrait faire référence à des site publics. Ainsi, lorsque qu’un utilisateur visite le premier lien, ce dernier peut être redirigé vers: <a href="http://www.nasa.gov/mission_pages/chandra/multimedia/index.html">http://www.nasa.gov/mission_pages/chandra/multimedia/index.html</a> (ceci n’est qu’un exemple). La redirection est rendu possible car le service de <em>short URLs</em> conserve une table associative entre les <em>short URLs</em> et les URLs complets. Ainsi, une visite à 1.usa.gov/a cause une redirection vers le site associé chez le fournisseur de <em>short URLs</em>. Maintenant, imaginons qu’un employé gouvernemental, bien intentionné, a utilisé le service de _short URLs _pour obtenir une petite URL pointant vers:</p>
<p><em>topsecret.usa.gov/ceciEstUnDossierSuperTopSecretAvecUneURLBeaucoupTropLongPourQuUnePersonneAccepteDeLaTaperSurUnClavier.aspx?param1=1&param2=2&param3=3&param4=4</em></p>
<p>Ceci pourrait ainsi causer une association entre l’URL: <em>1.usa.gov/x,</em> beaucoup plus plaisante à utiliser, et l’URL contenant une référence à une ressource de nature confidentielle citée plus haut. Hors, que ce passerait-t-il si un pirate connaissant l’utilisation des <em>short URLs _au gouvernement américain montait une attaque de force brute pour découvrir l’ensemble des URLs associées aux _short URLs</em>? Et bien, l’attaquant tomberait inévitablement sur l’URLs pointant sur une ressource confidentielle du domaine fictif: <em>topsecret.usa.gov</em> résultant en une fuite d’informations confidentielles.<em> _Et que ce passe-t-il si une faille est découverte dans le service de _short URLs</em> menant à la divulgation de toutes les associations en les <em>short URLs_de type _1.usa.gov</em> et les long URLs associées? Dans ce cas, nul besoin pour un pirate d’user de la force brute ce qui rendrait la découverte de l’information encore plus facile.</p>
<p>Bref, l’utilisation de ce vecteur pour découvrir de telles informations est équivalente à la découverte d’informations “oubliées” par les programmeurs dans les commentaires d’une page web par exemple. Il n’en demeure pas moins qu’il est question d’une possible divulgation d’informations confidentielles.</p>
<p>Au final, ce qui est, présentement, une campagne de spam utilisant des URLs de confiance pourrait très bien se transformer en fuite d’information pour les organismes utilisant le service de <em>short URLs</em>. La vrai question est de savoir si les employés qui connaissent ce service ont été oui ou non conscientisé aux risques de l’utilisation de ce service. Dans l’éventualité ou ce risque n’a pas été pris au sérieux, cela pourrait avoir des conséquences importantes.</p>nicolasDepuis quelques jours, un dossier particulier fait beaucoup de bruit sur Internet. Il est question d’une problématique de redirection sur un site hors domaine à partir d’une URL du domaine usa.gov. En fait, l’URL de laquelle part toute la polémique est:[Hackfest::Archive] Crash test dummies2017-10-30T06:30:03-04:002017-10-30T06:30:03-04:00/2017/10/hackfestarchive-crash-test-dummies<p>Lorsqu’une industrie arrive à maturité, celle-ci possède généralement une foule de réglementations, de méthodes approuvées, de normes (respectées…ou non) et de manières de faire. C’est le cas de l’industrie automobile. Ces règles de fonctionnement, généralement mises en place dans le but de protéger le public, sont souvent régies par les autorités en place. Par exemple, pour mettre une voiture en marché, un fabriquant automobile doit prouver que son produit répond aux normes de sécurité minimales exigées par les lois en vigueur dans l’état où le véhicule sera utilisé. Ainsi, au cours des années, les fabriquants de voitures se sont lentement retrouvé dans l’obligation de procéder à plusieurs tests de collisions, à adapter le système antipollution des voitures, à installer des coussins de sécurité et à intégrer des systèmes de freinage sécuritaire. Les autorités gouvernantes exigent des fabriquants automobiles que ceux-ci répondent aux bonnes pratiques éprouvées dans la fabrication et le design des automobiles. D’une année à l’autre, ces normes deviennent de plus en plus pointues, et donc sécuritaires, ce qui nous permet de transporter toute une petite famille dans une mini-fourgonnette sans avoir peur pour la sécurité des occupants.</p>
<p>L’industrie de l’informatique peut-elle s’inspirer des normes du secteur de la production automobiles?</p>
<p>Pourquoi pas? Dans le monde automobile, des agences indépendantes remettent des prix pour la conception des voitures les plus sécuritaires. Par la suite, les fabriquants crient haut et fort, dans leurs messages publicitaires, que leurs produits ont gagnés tel ou tel prix. N’observons-nous pas un manque de fiereté de la part des fabriquants de logiciels? Est-ce vraiment un manque où est-ce simplement une carence législative? Pourtant, à la même manière que certains fabriquants de voitures utilisent leur propres normes, plus sévères, de sécurité, certains fournisseurs de solutions informatiques optent tout de même pour la qualité avant le prix. Cependant, rien ne les y obligent. Ainsi dans certaines situations, les bonnes pratiques peuvent rapidement être mises de côté “en attendant que le reste soit terminé”. Finalement, le produit arrive sur le marché sans jamais avoir subit de validation de sécurité. Aussi longtemps que le développement d’applications commerciales ne sera pas régit par un “code de développement” exprimant de manière explicite les normes et règles pour qu’un logiciel soit mis en marché, l’industrie demeurera immobile. De plus, celle-ci ne peut pas être blamée pour son comportement: les coûts associés à la sécurisation des logiciels peuvent être prohibitifs. Bien entendu, la correction des problèmatiques de sécurité ultérieurement à la mise en marché d’un logiciel s’avèrera généralement beaucoup plus onéreuse. Mais…</p>
<p>Au final, permettez que je pose une question. Accepteriez-vous de conduire une voiture pour laquelle aucun test de sécurité routière n’a été fait?</p>
<p>C’est à nous de voir à ce que les autorités en place voient clair dans cette question. C’est à nous comme citoyens d’exiger que la situation change. L’industrie de l’automobile, bien qu’elle n’ait rien à voir avec notre secteur a vécu les “mêmes” défis auxquels fait face l’industrie de l’informatique actuellement. Le résultat est bien simple, des voitures plus sécuritaires et des campagnes massives de sensibilitation des utilisateurs (les conducteurs), ont largement aidées à diminuer le bilan routier. Les mêmes moyens peuvent facillement être appliqués au monde de l’informatique. Il suffit de suivre l’exemple…</p>nicolasLorsqu’une industrie arrive à maturité, celle-ci possède généralement une foule de réglementations, de méthodes approuvées, de normes (respectées…ou non) et de manières de faire. C’est le cas de l’industrie automobile. Ces règles de fonctionnement, généralement mises en place dans le but de protéger le public, sont souvent régies par les autorités en place. Par exemple, pour mettre une voiture en marché, un fabriquant automobile doit prouver que son produit répond aux normes de sécurité minimales exigées par les lois en vigueur dans l’état où le véhicule sera utilisé. Ainsi, au cours des années, les fabriquants de voitures se sont lentement retrouvé dans l’obligation de procéder à plusieurs tests de collisions, à adapter le système antipollution des voitures, à installer des coussins de sécurité et à intégrer des systèmes de freinage sécuritaire. Les autorités gouvernantes exigent des fabriquants automobiles que ceux-ci répondent aux bonnes pratiques éprouvées dans la fabrication et le design des automobiles. D’une année à l’autre, ces normes deviennent de plus en plus pointues, et donc sécuritaires, ce qui nous permet de transporter toute une petite famille dans une mini-fourgonnette sans avoir peur pour la sécurité des occupants.[Hackfest::Archive] Tromper pour entrer2017-10-27T04:26:06-04:002017-10-27T04:26:06-04:00/2017/10/hackfestarchive-tromper-pour-entrer<p>Je suis tombé sur cet article:</p>
<p><a href="http://www.csoonline.com/article/701040/how-to-sneak-into-a-security-conference">How to sneak into a security conference</a></p>
<p>C’est toujours amusant de prendre comme cible un événement de sécurité et de le tourner en ridicule en montrant certaines faiblesses. Cela dit, ça n’a pas tellement de mérite puisque c’est un mélange des genres, où le contenu (sécurité) est confondu avec le contenant (organiser des conférences). À cela, il faut aussi comprendre que la perte financière associée à ce qu’un petit nombre de personnes entre sans autorisation est sans conséquence sur un événement comme le RSA. Conséquemment, les énergies qui sont déployées pour limiter autant que possible, <a href="http://www.hackfest.ca/2012/mythe-de-securite-1-plus-de-securite-cest-toujours-mieux">mais pas à tout prix</a>. Ça ne serait pas la même chose si des secrets d’État étaient dans ces lieux 😉</p>nicolasJe suis tombé sur cet article:[Hackfest:: Archive] Traçabilité des actions sur Internet2017-10-25T05:24:13-04:002017-10-25T05:24:13-04:00/2017/10/hackfest-archive-tracabilite-des-actions-sur-internet<p>Il est parfois étonnant que plusieurs croient encore à l’anonymat fourni par Internet.</p>
<p>Lors des débuts de l’Internet « commercial », il y avait une forte croyance que tout ce qui se passait sur Internet était anonyme. C’était une notion partiellement vraie, puisque les systèmes journalisaient peu de choses et que le besoin d’authentification était marginal. Cette situation était normale, puisqu’Internet a été bâti pour desservir un nombre limité d’institutions qui se connaissaient et qui étaient dispersées sur un grand territoire.</p>
<p>Si cette situation prévalait encore de nos jours, nous pourrions encore considérer qu’il y a un certain anonymat sur Internet. Sauf que la commercialisation d’Internet a changé radicalement le paradigme de fonctionnement. Ce n’est plus un nombre limité d’institutions qui se branche, c’est maintenant la planète entière qui se branche sur Internet. À tous les paliers (du fournisseur Internet, au transporteur intermédiaire, jusqu’au prestataire de service), la journalisation a été activée pour mieux comprendre l’utilisation et ainsi optimiser l’usage des ressources. Les grandes corporations veulent maximiser au maximum les ressources investies.</p>
<p>L’apothéose de l’analytique est portée par Google, qui est l’outil d’analyse et d’agrégation par excellence. L’un des produits offerts est le Google Analytics, qui permet au webmestre d’avoir un outil d’analyse des comportements sur les sites web. Sa gratuité à l’utilisation (en échange que Google puisse utiliser ces informations pour améliorer la publicité qu’il vend) et la profondeur de l’analyse en font un outil par excellence.</p>
<p>Alors, est-ce que l’usage de Google Analytics est un signe de la traçabilité des actions sur Internet? C’est un outil parmi d’autres. Il est plus visible que les autres, puisqu’il s’injecte dans les pages web concernées. Par ailleurs, le site web continue de journaliser les accès qui sont faits, les routeurs intermédiaires entre la source et la destination journalisent certaines informations sur ce qui passe et finalement le fournisseur d’accès journalise aussi ce qui se passe sur ses infrastructures. Votre fournisseur Internet à la connaissance de tout ce que vous faites sur Internet.</p>
<p>Il n’y a pas beaucoup de place pour l’anonymat sur Internet. D’ailleurs, avec la hausse des crimes, de la diffamation et d’autres activités qui sont punissables par la loi, les forces policières ont de plus en plus recours à cette information (déjà disponible pour d’autres fins) pour mener leurs enquêtes et intenter des poursuites. De même dans le cadre de poursuite civile, un simple subpoena permet l’obtention des journaux de l’hébergeur web. Tous ceux qui ont abusé sont responsables de l’érosion progressive de l’anonymat sur Internet.</p>
<p>Est-ce une mauvaise chose? Justement avec la prolifération des crimes contre la personne et la propriété qui ont lieu sur Internet, c’est le malheureux chemin que nous devons prendre pour maintenir une certaine forme d’ordre et de paix sur Internet. Malgré cela, il existe des moyens technologiques qui permettent de conserver un certain anonymat sur Internet. L’usage de Tor est un exemple.</p>
<p>Avant de vous lancer dans l’usage de Tor, il est bon de savoir que les noeuds de sorties ne protègent pas la confidentialité du contenu, seulement l’anonymat de la source. Il y a eu plusieurs cas de personnes qui utilisent des services non chiffrés et sont surprises que leur mot de passe devienne public. De même il faut considérer que plusieurs des noeuds de sorties sont contrôlés par les agences de renseignements à travers le monde, car ils sont les seules organisations avec assez de budgets pour fournir gracieusement des noeuds de sorties. Sachez aussi qu’une seule erreur dans la protection de ce que vous êtes est généralement suffisante pour bousiller votre couverture… Parlez-en à Sabu.</p>nicolasIl est parfois étonnant que plusieurs croient encore à l’anonymat fourni par Internet.[Hackfest::Archive] La boite à outil d’ingénierie social2017-10-23T04:22:21-04:002017-10-23T04:22:21-04:00/2017/10/hackfestarchive-la-boite-a-outil-dingenierie-social<p>Il fallait bien que je trouve une traduction française pour « <a href="http://www.social-engineer.org/framework/Computer_Based_Social_Engineering_Tools:_Social_Engineer_Toolkit_(SET)">Social Engineering Toolkit</a> » ou le SET pour les intimes.</p>
<p>Je suis un grand amateur d’ingénierie sociale, pas parce que je suis bon, mais parce que ça me fascine de voir ce qui est possible de faire. Au même titre que je fais du « hardening » sur mes ordinateurs, je trouve important de faire du « hardening » mon esprit. Pour se faire, j’écoute avec assiduité le <a href="http://www.social-engineer.org/podcast/">podcast</a> de <a href="http://social-engineer.org/">social-engineer.org</a> et j’ai lu <a href="http://www.amazon.ca/dp/0470639539">Social Engineering: The Art of Human Hacking</a> de Christopher Hadnagy, ainsi que plusieurs autres livres sur le sujet.</p>
<p>Ce qui me mène à parler du SET, c’est que lors du dernier podcast que j’ai écouté, il mentionnait qu’ils donnaient de la <a href="http://www.social-engineer.org/social-engineering/social-engineer-org-in-2012-more-growth-and-exciting-news/">formation</a> (5 jours de formation + une certification). Cette formation vient entre autres parler du SET. Il y a déjà quelque temps que ce toolkit a été rendu disponible. C’est essentiellement des outils d’intrusion qui ont été adaptés pour s’inscrire dans un cadre d’ingénierie sociale. Qu’est-ce que ça veut dire? C’est que dans l’exécution d’un test d’ingénierie social, certaines manoeuvrent, comme l’envoi de « spear phising » demande l’usage d’outils technologique qui n’est pas toujours à la portée de tous… Ainsi, il a été rassemblé dans une suite d’outils toutes les fonctions pour amener un test d’ingénierie sociale à un niveau supérieur. En même temps, le SET ne remplace pas la personne qui effectue le test, puisque comme dans tous les domaines, une personne de talent ne peut être remplacée par des outils.</p>
<p>Le SET s’inscrit dans un cadre plus grand, soit le « Social Engineering Framework », qui lui explique toutes les manoeuvres possibles pour mettre en oeuvre des scénarios d’ingénierie sociale. Comme je ne suis pas un expert en SE, je ne m’aventurerai pas dans l’explication du framework… Je fais seulement vous pointer une excellente source d’information gratuite sur le sujet.</p>
<p>Souvenez-vous, à grand pouvoir, grande responsabilité 😉</p>nicolasIl fallait bien que je trouve une traduction française pour « Social Engineering Toolkit » ou le SET pour les intimes.