Vous êtes dans : Accueil > Tribunes libres >

Revue d’actualité cyber un tantinet décalée

Cédric Cartau, MARDI 02 AVRIL 2024

Il s’en passe des choses en ce moment : est-ce le printemps ou la fin d’un hiver pourri ? Toujours est-il que l’on ne sait plus où donner de la tête.

On commence par la condamnation à 25 ans de prison de Sam Bankman-Fried, le fondateur de l’opérateur de cryptomonnaie FTX qui a eu une légère tendance à confondre l’argent de ses clients avec le sien et a mené grand train pendant des années, engendrant une fraude de 11 milliards de dollars – une paille. Comme quoi la monnaie dérégulée et décentralisée n’est pas à l’abri du dépouillement.

On continue avec la pénurie de chiens renifleurs pour les JO, à tel point que les forces de l’ordre ont dû faire appel à des services de police étrangers. Si l’on a une vision « big picture » de la situation, à bien y réfléchir, chien renifleur = EDR et appel à des aides étrangères = problème de souveraineté. Bon, on est rassuré, y a pas que dans la cyber qu’on marche avec les béquilles des autres.

L’excellente chaîne ScienceClic nous propose ce numéro[1] sur la possibilité de stockage d’informations sur un brin d’ADN. Bon, je vous la fais courte : l’ADN offre des capacités de stockage absolument énormes, mais d’une part il est très long d’écrire et de lire les données, et en plus il vous en coûtera une blinde. Pour le moment en tout cas. Mais quels que soient les progrès technologiques à venir pour faire tomber les prix et améliorer la rapidité, il est sûr, absolument certain, qu’à terme on finira par y stocker des photos de chats, de week-ends à la mer, sans parler bien entendu de YouPorn ou xHamster. Parce que cela se termine toujours comme cela, croyez-en un survivant de l’époque des cassettes VHS.

Lancement du programme Care : on va devoir tous nettoyer nos AD et sécuriser nos DMZ. Ça fait des années que les DSI nous disent qu’il est impossible de sécuriser les AD justement, trop compliqué, trop de dépendance, trop de boulot, trop de RSSI sur le dos. Vous allez voir que dès que l’on met des sousous en guise de carotte au bout de la canne à pêche, les hamsters-adminsys vont se mettre à courir beaucoup plus vite. Vous voulez parier ?

Sinon, la série du moment, c’est Le Problème à trois corps, du célébrissime roman SF éponyme. On y trouve du hacking, des meurtres, un peu de quantique, de la SF un peu déjantée et de bons acteurs. Go.

Breaking news : la plateforme Cybermalveillance.gouv.fr vient d’étendre aux particuliers son dispositif de sensibilisation cyber jusque-là surtout consacré aux entreprises. C’est ici[2], et c’est à consommer sans modération. Entre les divers Mooc, dont celui de la Cnil, de BPI France[3] ou encore celui qui est dédié à nos enfants[4], plus aucune excuse pour ne pas se former.

Piratage des ENT, apparemment par du phishing classique. Un mineur serait en garde à vue, et il faut lire l’article de Zataz[5] sur le témoignage d’un papa dont le fils a reçu des messages menaçants. Seule façon d’éviter ce genre d’attaque : le MFA, partout. On n’est pas rendu !

Piège des placements en ligne, une nouvelle arnaque concerne l’investissement (totalement bidon) dans des caves à vin et des bouteilles de pinard haut de gamme. C’est sûr qu’après l’affaire FTX (voir ci-dessus) on se méfie un peu plus des cryptos – alors que c’est loin d’être le pire. Investissement dans le vin, les diamants, les parts de bateau de luxe, il y en a pour tous les goûts. À titre personnel, je préfère largement l’histoire qui s’est déroulée dans les années 1960 à Rio de Janeiro, où une voyante réputée, Leonora Da Silva, vendait à sa clientèle des appartements d’un genre bien particulier puisqu’ils n’étaient pas situés sur notre planète, mais au paradis. Y a pas à dire, c’est quand même dans les plus veilles marmites que l’on fait les meilleures soupes.

Sinon, concernant le piratage de la base de données de France Travail, un « bête » phishing avec déploiement d’un rootkit sur les PC des employés ciblés en serait à l’origine. Quand on voit le profil des attaquants, qui ne semblent pas spécialement experts du sujet, on a un peu la frousse pour nos SI de santé. À moins que l’on fiche volontairement la totalité des données sur le Web, y aura plus rien à voler ! Bon, OK, je sors.

Et dans le même temps, Tor améliore ses protocoles pour se fondre toujours mieux dans le trafic HTTPS régulier[6].

Et juste parce que c’est drôle, AiApply propose des solutions pour les entretiens de recrutement par des IA. Bientôt on enverra nos IA passer nos entretiens avec les IA des recruteurs. Enjoy.

Avril, ne quitte pas ton antimalware.

[1]   https://www.youtube.com/watch?v=FOJKHCu0Mw0&list=WL&index=34

[2]   https://www.cybermalveillance.gouv.fr/sens-cyber/apprendre

[3]   https://www.bpifrance-universite.fr/formation/e-parcours-cybersecurite/

[4]   https://www.internetsanscrainte.fr/

[5]   https://www.zataz.com/piratage-dent-un-papa-raconte/

[6]   https://www.zataz.com/tor-loutil-peut-simuler-le-trafic-https/ 

L'auteur

Responsable Sécurité des systèmes d’information et correspondant Informatique et Libertés au CHU de Nantes, Cédric Cartau est également chargé de cours à l’École des hautes études en santé publique (EHESP). On lui doit aussi plusieurs ouvrages spécialisés publiés par les Presses de l’EHESP, dont La Sécurité du système d’information des établissements de santé.

 

#ad#sécurité