Dans la course effrénée aux dernières technologies de cybersécurité, nombreuses sont les organisations qui négligent l’essentiel : les fondamentaux. Cette négligence s’apparente à une maison construite sur des fondations fragiles, où une stratégie de cybersécurité sans bases solides est vouée à l’échec. Le rapport DBIR 2024 de Verizon met en lumière plusieurs tendances préoccupantes en matière de cybersécurité. Les attaques web basiques continuent de représenter une menace significative, avec environ 20% des violations de données attribuées aux attaques d’applications web. Dans cette catégorie, le vol d’identifiants constitue le vecteur d’attaque prédominant, soulignant l’importance cruciale de la protection des informations d’authentification.
Grâce à un bon ami qui m’a partagé un excellent vidéo sur l’intelligence artificielle [Intelligence artificielle, bullsht, pipotron ? Benjamin Bayart](https://www.youtube.com/live/tTb5wQw_8JE?si=dXUTfccmUbP743mm), j’ai découvert un cours de niveau licence / bacc (selon le bord de l’Atlantique où nous nous trouvons) en l’anthropologie. Pour ceux qui continuent à se taper la tête sur l’irrationalité de l’humain (homo economicus *wink), ce cour permet de mettre en perspective les comportements que nous avons et comment ceux-ci s’inscrivent dans un ensemble plus grand. De plus, au sortir du confinement, nous avons l’impression que les gens agissent de façon plus irrationnelle… Anthropologie politique: Solidarité et violence
À pareil date l’an dernier, Adam Shostack avait publié un article provocateur suggérant que nous devrions pouvoir nous connecter au réseau du DEFCON sans crainte, partant du principe que nos appareils modernes devraient être suffisamment robustes pour résister aux attaques potentielles. Cette idée soulève des questions intéressantes sur la sécurité de nos appareils mobiles et notre dépendance aux services en ligne.
La période de confinement a bouleversé nos vies, transformant radicalement notre façon de travailler et de communiquer. Pour moi, cette époque a été marquée par une multitude de réunions virtuelles via Teams, modifiant profondément ma manière de travailler. D’un mode principalement réflexif et écrit, je suis passé à un monde de prise de décision rapide basée sur des argumentaires verbaux. Cette transition a certes apporté une certaine agilité dans l’action, mais elle a aussi eu des conséquences inattendues.
UPDATE (2024-08-04): Le gouvernement du Canada a rendu disponible un guide complet et hors du seul prisme du DEFCON. Sécurité des appareils lors des déplacements et du télétravail à l’étranger - ITSAP.00.188 et Conseils sur les appareils mobiles à l’intention des voyageurs connus du public (ITSAP.00.088)
Les tendances sont fortes pour exposer ces informations des médias sociaux aux autres. Déjà, je relatais qu’il y a une tendance lourde chez les couples d’adolescents de partager leur mot de passe, c’est maintenant au personnel enseignent et employeur d’exiger ces informations des étudiants ou des futurs employés. Cette deuxième tendance n’est pas de bon augure et encore plus alarmante que la première.
Depuis déjà plusieurs années, les compagnies ont investi des sommes considérables pour protéger l’information à l’intérieur de leurs murs. Nous avons vu les vagues successives des coupe-feu, antiviraux, détecteurs d’intrusion et tout ce qui a suivi. Les opérations de sécurité d’infrastructure sont rendues à un degré de maitrise qui peut sembler adéquat.
UPDATE (2024-08-03): Microsoft a remplacé la publication originale, par une version plus récente et adaptée… qui contient encore la version 2 originale. Les URL originales pointent maintenant vers archive.org et j’ai ajouté la nouvelle page de Microsoft. J’ai également ajouté, à la suite des 10 règles de la version 2, les 10 nouvelles règles qui sont plus adaptées au temps moderne.
La sécurité est une bien drôle de chose. Elle semble farfelue par bien des gens. À en croire certains, nous vivons dans un monde parallèle… Et ils n’ont pas vraiment tort!
Depuis quelques jours, un dossier particulier fait beaucoup de bruit sur Internet. Il est question d’une problématique de redirection sur un site hors domaine à partir d’une URL du domaine usa.gov. En fait, l’URL de laquelle part toute la polémique est:
Lorsqu’une industrie arrive à maturité, celle-ci possède généralement une foule de réglementations, de méthodes approuvées, de normes (respectées… ou non) et de manières de faire. C’est le cas de l’industrie automobile. Ces règles de fonctionnement, généralement mises en place dans le but de protéger le public, sont souvent régies par les autorités en place. Par exemple, pour mettre une voiture en marché, un fabricant automobile doit prouver que son produit répond aux normes de sécurité minimales exigées par les lois en vigueur dans l’état où le véhicule sera utilisé. Ainsi, au cours des années, les fabricants de voitures se sont lentement retrouvés dans l’obligation de procéder à plusieurs tests de collisions, à adapter le système antipollution des voitures, à installer des coussins de sécurité et à intégrer des systèmes de freinage sécuritaire. Les autorités gouvernantes exigent des fabricants automobiles que ceux-ci répondent aux bonnes pratiques éprouvées dans la fabrication et le design des automobiles. D’une année à l’autre, ces normes deviennent de plus en plus pointues, et donc sécuritaires, ce qui nous permet de transporter toute une petite famille dans une minifourgonnette sans avoir peur pour la sécurité des occupants.
Les tendances sont fortes pour exposer ces informations des médias sociaux aux autres. Déjà, je relatais qu’il y a une tendance lourde chez les couples d’adolescents de partager leur mot de passe, c’est maintenant au personnel enseignent et employeur d’exiger ces informations des étudiants ou des futurs employés. Cette deuxième tendance n’est pas de bon augure et encore plus alarmante que la première.
Il y a un mythe persistant sur le SSL. La prémisse veut que si on utilise de la cryptographie pour protéger la communication, tous les problèmes de sécurité soient réglés. Cette croyance est très forte chez les non-patriciens (la vue d’un cadenas sur une page web est souvent suffisante pour créer une impression de confiance) et étonnamment chez plusieurs praticiens en sécurité. Même Bruce Schneier y croyait dur comme fer lorsqu’il a écrit “Cryptography Applied”. Il s’est vite rendu compte que la sécurité est beaucoup plus complexe et comme il est possible de voir dans ses livres subséquents, son regard a évolué. On parle ici du milieu des années 90!
J’utilise depuis un certain temps Ubuntu comme étant mon principal OS pour ce qui est “serveur” et mes expérimentations. J’ai emprunté ce chemin pour des raisons de facilités et rapidités. Montez un Ubuntu, autant Desktop que Server prend peu de temps et son arbre de packages est relativement à jour… Ce qui, par conséquent, diminue le temps et l’entretien.
Pendant une courte période, il y a eu une tempête sur les imprimantes multifonctions. Semblerait que c’est le nouveau vecteur d’attaque par excellence… Et tenez-vous bien, on peut faire exploser une imprimante à distance!
Nos enfants vivent dans un monde différent de celui de notre enfance. Nos parents nous ont dit la même chose, mais les moyens d’encadrer les enfants maintenant dépassent largement ce que nos parents pouvaient faire. La simple interdiction ou le retrait ne sont plus des approches qui fonctionnent. Cela, combinés au fait que nous avons dans nos maisons autant d’objets connectés qu’une petite PME il y a 5 ans, ça devient un univers complètement nouveau.
À travers de récentes discussions, je me suis rendu compte que de vieux articles que j’avais publiés sur le blogue du Hackfest sont encore d’actualité. Je vais en republier un certain nombre sur mon blogue… Et recommencer à écrire.
À travers de récentes discussions, je me suis rendu compte que de vieux articles que j’avais publiés sur le blogue du Hackfest sont encore d’actualité. Je vais en republier un certain nombre sur mon blogue… Et recommencer à écrire.
S’il y a une résolution à prendre pour 2014, c’est de changer vos mots de passe sur tous les sites que vous utilisez, pour des mots de passe unique à chaque site et robustes. Cela au moins une fois par année. L’occurrence des fuites de mot de passe est telle (Over 2 million stolen Facebook, LinkedIn and Google passwords leaked online) que nous ne pouvons plus ignorer cet élément. À défaut d’avoir un meilleur moyen, il existe une panoplie de gestionnaire de mot de passe. Ces logiciels permettent d’utiliser un mot de passe unique et robuste, sans avoir à en composer un soi-même et faire l’effort de le retenir. J’utilise 1Password depuis un bon bout de temps et je suis très satisfait de son fonctionnement, autant sur mon Mac que mes iDevices. Il y a aussi KeePass ou LastPass qui offrent le même type de fonctionnalité. Je suis encore réticent à utiliser «iCloud Keychain», par méconnaissance du mécanisme de stockage chez Apple. Plusieurs remettent en question la confidentialité des informations qui transitent ou sont hébergés par Apple.
TED entretient des listes de lecture selon des thèmes bien précis. Deux de ces listes s’adressent directement au domaine que j’affectionne, la sécurité.
Mikko Hypponen est l’un des chercheurs et philosophe en sécurité de l’information qui a un point de vue bien balancé. Il vient tout juste de donner un TEDTalks sur les impacts de l’interception massive qu’effectue la NSA, sans prendre un point de vue dogmatique. Je profite aussi de l’occasion pour inclure les deux autres TEDTalks qu’il a donnés, puisque tellement inspirant.
Il n’y a pas si longtemps, Apple a corrigé un problème de sécurité avec son iPhone. Spécifiquement, ce problème permettait de contourner l’écran de verrouillage. Beaucoup de professionnels en sécurité se sont consternés lors de la divulgation de ce problème, autant l’ont été en considérant le temps qu’Apple a pris pour corriger le problème.