mardi 29 mars 2016

Le chiffrement bout-en-bout de WhatsApp empêche des enquêteurs d'avancer dans une affaire criminelle

Les enquêteurs dans l'impasse vu les enjeux

Alors que les regards sont tournés du côté de la bataille opposant Apple et la justice américaine sur le déchiffrement de l’iPhone de l’un des malfaiteurs de la fusillade de San Bernardino, la presse se fait le relais d’une affaire similaire du côté de WhatsApp.

L’application de messagerie instantanée WhatsApp utilise depuis 2014 le chiffrement bout-en-bout pour les dispositifs Android. Et pour les appareils fonctionnant avec iOS, le chiffrement est actif depuis 2015. La conséquence d’une telle mesure de sécurité est que ni l’éditeur ni des tiers ne peuvent avoir accès au contenu des messages transmis entre les utilisateurs de cette plateforme. Seuls les destinataires peuvent lire les messages qui leur parviennent.

Cette mesure de sécurité bien que rassurante pour les utilisateurs de cette messagerie constitue un problème insoluble pour les responsables du gouvernement américain. En effet, dans une récente affaire criminelle un juge fédéral a approuvé une écoute téléphonique, rapporte le New York Times.

Toutefois, les enquêteurs sur cette affaire se trouvent dans l’impasse, car les messages à espionner sont diffusés avec l’application WhatsApp qui chiffre le contenu des messages de bout-en-bout. Le comble de cette affaire est que la technologie en arrière-plan utilisée par WhatsApp pour chiffrer les conversations de ses utilisateurs a été financée en partie et de manière interposée par le gouvernement américain.

En 2014, WhatsApp a conclu un partenariat avec Open Whisper Systems, afin d’améliorer la sécurité de ses communications. Et toujours dans la même année, Open Whisper Systems aurait reçu 900 000 dollars de Open Technology Fund, un groupe de coordination dont le principal bailleur de fonds est le gouvernement des États-Unis.

Cette situation pourrait donc mettre mal à l’aise le gouvernement américain, car après avoir contribué à créer un mécanisme de chiffrement, ce serait plutôt contreproductif que de demander son affaiblissement.

Pour certaines personnes, cette affaire avec WatsApp est bien plus importante que celle avec Apple, car elle toucherait le cœur même de l’écoute téléphonique. De tout temps, les agences gouvernementales se sont toujours appuyées sur les faiblesses de la sécurité pour écouter les communications des utilisateurs. Si le chiffrement des communications empêche d’espionner les conversations, cette méthode fréquemment utilisée dans les enquêtes judiciaires devrait être abandonnée à la faveur des malfaiteurs et autres délinquants du genre.

C’est pourquoi certains préconisent de forcer WhatsApp à fournir les informations qui ont été chiffrées. D’autres par contre estiment qu’il serait gauche d’aggraver le conflit d’autant plus qu’on n’a pas encore fini avec l’affaire d’Apple.

Nous rappelons que WhatsApp n’en est pas à sa première affaire avec la justice. En effet au début de ce mois, la police fédérale brésilienne a mis aux arrêts, Diego Dzodan, un vice-président de Facebook, à cause du refus par l’entreprise de fournir des messages WhatsApp exigés par la police dans une enquête de trafic de drogue. La firme a déclaré qu’elle ne peut fournir une information qu’elle ne possède pas.

Et en ce qui concerne cette affaire d’écoute téléphonique, le New York Times souligne que ceux qui soutiennent la vie privée numérique craignent que si le ministère de la Justice réussit à forcer Apple afin d’avoir accès à l’iPhone dans le cas de l’affaire San Bernardino, la prochaine étape du gouvernement soit de forcer les entreprises comme WhatsApp à réécrire leur logiciel pour supprimer le chiffrement des comptes de certains clients. « Ce serait comme aller en guerre nucléaire contre la Silicon Valley », a déclaré Chris Soghoian, un analyste de la technologie auprès de l’American Civil Liberties Union.

Source : The New York Times
Publié par à Aucun commentaire:

Quels sont les risques de sécurité majeurs du cloud computing ?

Une étude du CSA en révèle douze

Fragilité dans la gestion des accès et des identités - 13.16%Brèche de sécurité au niveau des Datacenters - 11.84%Perte de données - 11.84%Piratage de compte - 10.53%Action malveillante initiée, en interne, dans les effectifs du fournisseur - 10.53%Utilisation d’API non sécurisés pour l’intégration des applications avec les services cloud - 10.53%Utilisation frauduleuse des technologies cloud en vue de se cacher et perpétuer des attaques - 9.21%Exploit de vulnérabilités des systèmes d’exploitation et des applications hébergées - 9.21%Insuffisances dans les stratégies d'entreprise d’adoption ou de passage au cloud - 7.89%Failles liées à l’hétérogénéité des technologies imbriquées - 1.32%Attaque par déni de services - 1.32%Menaces persistantes avancées - 1.32%Autres, pouvez-vous préciser ? - 1.32%Pas d'avis - 0.00%
76 participants
Les avantages du cloud computing sont aujourd’hui une évidence. Les plus notables sont : la réduction des coûts de maintenance de son infrastructure informatique, la réduction de la consommation énergétique, la disposition rapide d'une plateforme prête à l'emploi pour le déploiement des applications, la disposition d'une solution de sauvegarde simple et accessible à tous, même aux non-informaticiens, etc.

Cependant, devant toutes les possibilités offertes par ce nouveau concept de l’informatique, il demeure des réticences dans son adoption. Ces réticences sont liées, pour la plupart, au facteur de sécurité, qui reste encore un véritable challenge.

Pour rappel, le cloud computing est une approche informatique qui consiste à exploiter via Internet (ou tout autre réseau WAN) des ressources système et applicatives (serveurs, stockage, outils de collaboration et d'administration, etc.). Ces ressources distantes sont dites en cloud (dans le nuage).

Plusieurs études menées par des spécialistes tels que ISACA (Information Systems Audit and Control Association) et CSA (Cloud Security Alliance) ont permis d’identifier douze points qui constituent les menaces majeures à la sécurité des données et à celles des applications en cloud.


Ce sont notamment :

  1. L’existence de brèches de sécurité tant sur l’une des couches logiques du Datacenter que celles issues d’erreurs humaines ;
  2. La fragilité dans la gestion des accès et des identités, bien que certains fournisseurs renforcent les interfaces d’authentification avec d’autres moyens tels que les certificats, les smartcards, la technologie OTP et bien d’autres ;
  3. L’utilisation d’API non sécurisées pour l’intégration des applications avec les services cloud ;
  4. L’exploit de vulnérabilités des systèmes d’exploitation sur les serveurs du cloud et même sur les applications hébergées ;
  5. Le piratage de compte, qui est un vieux type d’attaque informatique, vient avec une forte recrudescence depuis l’avènement d’Internet et encore celui du cloud computing ;
  6. Une action malveillante initiée en interne dans les effectifs du fournisseur. Une personne malveillante dans l’équipe de gestion du Datacenter peut facilement nuire à la confidentialité et l’intégrité des environnements hébergés ;
  7. Les menaces persistantes avancées (en anglais, APT : Advanced Persistent Threats) qui consistent en une forme d’attaque où le hacker réussit à installer d’une façon ou d’une autre un dispositif dans le réseau interne de l’organisation, à partir duquel il peut extirper des données importantes ou confidentielles. C’est une forme d’attaque difficile à détecter pour un fournisseur de services cloud ;
  8. La perte de données qui peut être causée par une attaque informatique (logique) du Datacenter, une attaque physique (incendie ou bombardement), une catastrophe naturelle, ou même simplement à un facteur humain chez le fournisseur de services, par exemple en cas de faillite de la société ;
  9. Les insuffisances dans les stratégies internes d’adoption ou de passage au cloud. Les entreprises ou les organisations ne prennent pas souvent en compte tous les facteurs de sécurité liés à leur fonctionnement avant de souscrire à un service cloud. Certaines négligences, tant au niveau du développement d’application qu’au niveau de l’utilisation basique, leur sont parfois fatales ;
  10. Utilisation frauduleuse des technologies cloud en vue de cacher l'identité et de perpétrer des attaques à grande échelle. Généralement, il s’agit de comptes créés pendant les périodes d’évaluation (la plupart des FAI proposent 30 jours d’essai gratuits) ou des accès achetés frauduleusement ;
  11. Le déni de service qui est une attaque qui consiste à rendre indisponible un service par une consommation abusive des ressources telles que les processeurs, la mémoire ou le réseau. L’idée, pour le pirate, c’est de réussir à surcharger les ressources du Datacenter en vue d’empêcher d’autres utilisateurs de profiter des services ;
  12. Les failles liées à l’hétérogénéité des technologies imbriquées dans l’architecture interne du cloud, et l'architecture externe d'interfaçage avec les utilisateurs.


Ces douze points, tels que cités, pourraient davantage conforter les paranoïaques dans leur méfiance vis-à-vis du cloud, mais devront surtout encourager les utilisateurs (particuliers et entreprises) à être plus exigeants sur les niveaux de service (en anglais, SLA : Service Level Agreement) conclus avec les fournisseurs.

Source :

Rapport du CSA

Rapport de l'ISACA
Publié par à Aucun commentaire:

lundi 21 mars 2016

Une erreur de frappe dans une instruction de virement bancaire a permis de démasquer des pirates

Qui ont volé plus de 80 millions de dollars


 Une erreur de frappe dans une instruction de virement bancaire a permis d’arrêter le vol de près d’un milliard de dollars d’une banque au mois de février dernier. Les responsables de la banque affirment que les pirates ont tout de même réussi à voler plus de 80 millions de dollars avant de se voir faire stopper leur manœuvre. Les pirates dont l’identité n’est toujours pas connue avaient réussi à entrer dans le système de transfert et de paiement, d’après deux hauts fonctionnaires de la banque. Ils ont, par la suite, envoyé près de trois douzaines de demandes de virement à la Federal Reserve Bank de New York du compte de la banque centrale du Bangladesh, vers des entités en Philippines et au Sri Lanka.

Au bout de quatre requêtes exécutées avec succès, les voleurs ont réussi à emporter un total de 81 millions vers les Philippines. Cependant, pour la cinquième requête qui devait effectuer le transfert de 20 millions de dollars vers le compte d’une organisation à but non lucratif au Sri Lanka, les pirates ont mal orthographié le non de l’ONG en question, ce qui leur a couté près d’un milliard de dollars. En effet en lieu et place de Shakila Foundation, les pirates ont écrit Shakila Fandation ce qui a alerté la Deutche par laquelle devait passer la transaction. Cette dernière a alors contacté les autorités de la banque centrale du Bangladesh pour demander des clarifications. C’est ainsi que cette transaction a été annulée.

Au même moment, le nombre inhabituel de demandes de paiement et de transfert vers des entités privées a alerté les autorités de la Federal Reserver Bank de New York qui ont à leur tour contacté la banque centrale du Bangladesh pour le leur signaler. En somme, c’est près de 870 millions de dollars qui ont été sauvés grâce à la faute d’orthographe des pirates. Les vols de ce genre ont fait beaucoup de dégâts dans le milieu bancaire au cours de ces deux dernières années. En effet, la société de sécurité russe Kapersky a déclaré que des bandes de cybercriminels internationaux ont réussi à voler plus d’un milliard de dollars dans une centaine d’institutions financières à travers le monde.

La banque centrale du Bangladesh a déclaré avoir récupéré une partie de l’argent qui a été volé et travaille en collaboration avec les autorités philippines de lutte contre le blanchiment d’argent pour essayer de récupérer le reste. Un fonctionnaire de la banque affirme que les autorités font allusion à la transaction qui était destinée à l’ONG au Sri Lanka. Cette transaction avait atteint la Pan Asia Banking Group (PACB) qui a redirigé la requête vers la Deutsche Bank pour vérification en raison de la taille exceptionnellement grande des paiements, ajoute un fonctionnaire de la PACB.

Ces attaques contre les banques démontrent qu’une menace de cybercriminelle pèse sur le monde au vu du fait que même les réseaux informatiques les plus sécurisés arrivent à être piratés par des attaquants. Cela pose également la question de savoir comment font ces pirates pour trouver des failles dans de tels systèmes. Plus d’un mois après l’incident, la banque centrale du Bangladesh est toujours sur la trace des malfrats sans avoir réussi pour le moment à retracer l’argent volé. La banque travaille également à renforcer son système de sécurité en identifiant les failles qui ont permis aux pirates de s’y infiltrer. D’après des experts en sécurité interrogés sur la question, les auteurs du vol avaient une connaissance approfondie du fonctionnement interne de la banque. Quant aux autorités du Bangladesh, ils blâment la banque fédérale américaine de n’avoir pas arrêté les opérations plus tôt. Le ministre des Finances du pays envisage même une poursuite contre la banque fédérale pour récupérer l’argent.

Source : Reuters
Publié par à Aucun commentaire:
Inscription à : Articles (Atom)