Archives par mot-clé : sécurité

La sécurité des voitures autonomes menacée par le cloud public

Selon certains spécialistes, la sécurité des véhicules autonomes se trouve être menacée par les algorithmes en de machine learning disponible sur le cloud en mode open source.

Cet article va aussi vous intéresser : Tesla : il est possible de voler la voiture électrique par un simple piratage

Comme on a pu le remarquer, les responsables de l’industrie automobile ont regard tourné vers l’avenir. Pour ce faire il propose de plus en plus de nouveau service qui sont censés rendre autonome les véhicules. Ce qui démontre un changement radical de la philosophie au niveau de la construction d’automobile.

Cependant, une telle migration vers le développement de véhicules autonomes va constituer l’un des plus grands bouleversements en matière de production de données. En se référant au prévisions des spécialistes en la matière, il faut s’attendre à une production en moyenne de 10 téra octets de données par jour générées par véhicule, soit un zettaoctets d’ici 2030 pour l’ensemble du secteur. Ce qui fait une quantité similaire à celle des données produite par le trafic Internet pour toute une année 2016.

Ce qui signifie que les constructeurs d’automobiles et de OEM ne seront plus de simples entreprises de fabrication. Ils doivent être dorénavant perçus comme des spécialistes de l’IT, ayant en leur sein, un département spécialisé dans la conception logicielle. Aujourd’hui, on constate nettement que ces grosses entreprises mettent tout en œuvre pour développer des systèmes informatiques nécessaire pour créer des véritables véhicules autonomes. Ce qui nécessite certainement une analyse des données à travers le machine learning.

« Sur ce marché émergent, toutes les entreprises font la course pour obtenir une place de premier plan. Bon nombre d’entre elles préfèrent concevoir de nouvelles plateformes et applications reposant sur des algorithmes tiers et font l’impasse sur le long processus consistant à coder leur logiciel en interne. Mais cette approche constitue un risque de taille, car le recours aux algorithmes open source ou tierces peut compromettre fondamentalement la sécurité et la conformité des véhicules autonomes, les exposant à des accidents dangereux ou à des cyberattaques malveillantes. Dans un cas comme dans l’autre, ces dangers peuvent coûter aux constructeurs des millions d’euros en dommages et intérêts, voire mettre la vie des passagers en danger. », explique Eric Bezille, Directeur technique de Dell Technologies France.  « Les algorithmes sont aujourd’hui largement disponibles dans le cloud public et sous-tendent de nombreux cas d’utilisation émergents de l’IA et du machine learning. Ils permettent à tout type d’entreprise de bénéficier d’une analyse intelligente des données. Mais l’arme est à double-tranchant : les points forts de ces algorithmes – simplicité et accessibilité – pourraient se révéler être des points faibles. », ajoute ce dernier.

Dans la mesure où les algorithmes de cloud public sont généralement développés en boîtes noires, utilisateur lambda, n’aura pas suffisamment d’informations sur la manière dont celles-ci ont été implémenté dans le développement du véhicule autonome. Et même si l’utilisateur était informé de l’intégralité des algorithmes, il faut quand même mentionné que le code peut s’écrire en des centaines et des milliers de lignes. De ce fait, les spécialistes en gestion et analyse de données automobiles, ainsi que les constructeurs n’auront pas le temps ni les ressources suffisantes, peut-être même l’expertise de passer en revue tout ce code. Dans ce contexte, Les constructeurs ont tendance à développer des logiciels qui se servent d’algorithmes tiers, sans chercher véritablement à comprendre les formules mathématiques qui sont implémentée.

« Alors, que peuvent faire les constructeurs et leurs fournisseurs ? Ils doivent innover rapidement, afin de profiter de l’énorme opportunité de marché que représentent les véhicules autonomes. Selon une étude menée par Dell Technologies et WARDS Intelligence en 2020, les constructeurs ont déjà une préférence pour le stockage sur site ou dans un cloud privé, notamment en raison du contrôle et de la sécurité supplémentaires que procurent ces solutions tout au long du cycle de vie du véhicule. Mais il se peut qu’ils soient encore en train d’acquérir l’expertise informatique nécessaire et ne soient pas encore en mesure de développer leurs propres algorithmes en interne. », note Eric Bezille,

« Une approche mesurée est donc indispensable. Le cloud public reste une ressource utile pour lancer l’innovation – c’est un moyen pour les entreprises de tester leur base de données avec des algorithmes existants et de réaliser des projets pilotes en vue de valider certains concepts. Un constructeur automobile peut apprendre des meilleurs fournisseurs dans le cloud public et exploiter l’innovation que représentent les API ouvertes. Mais une fois que les algorithmes adaptés auront été conçus, il sera essentiel d’internaliser le travail de développement. », ajoute ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La société Verizon ferait l’expérimentation d’un VPN à sécurité quantique

Pour faciliter et améliorer la sécurité des communications privées contre toute forme d’attaque future et présente, l’opérateur américain Verizon a déclaré faire l’expérimentation de l’utilisation de certaines données cryptographiques de nouvelle génération pour améliorer la protection des réseaux virtuels privés des entreprises dans le monde entier.

L’objectif bien sûr est de lutter massivement contre le piratage informatique et l’espionnage.

Selon son expression, l’opérateur américain qualifie son initiative de VPN « à sécurité quantique ». Cette technologie est censée relier laboratoire basé à Londres au Royaume-Uni à un autre centre de recherche situé Ashburn, dans l’État de Virginie aux États-Unis. Ledit VPN utiliserait des méthodes de cryptographie de type post-quantique. Selon la société Verizon, il sera suffisamment résistant pour faire obstacle aux attaques informatiques émanant d’un ordinateur quantique.

Cet article va aussi vous intéresser : Sommes nous protéger contre le piratage informatique avec un VPN ?

Apparemment grâce aux tests effectués, il est totalement envisageable de remplacer les procédés de sécurisation actuels par ceux pouvant être confronté au quantique.

De façon courante, les réseaux virtuels privés sont utilisés pour protéger les connexions qui sont généralement effectués sur internet. Le procédé consistant tout simplement a créé un tunnel par lequel l’utilisateur pour accéder à mes ressources numériques en ligne, en passant par un serveur distant, configurer des sortes à éviter toute une intrusion et réception mal avisées.

« Beaucoup de communications sécurisées reposent sur des algorithmes qui ont très bien réussi à offrir des clés de cryptographie sécurisées pendant des décennies », détaille Venkata Josyula, le directeur de la technologie chez Verizon. « Mais il existe suffisamment de recherches indiquant que ces algorithmes peuvent être cassés lorsqu’un ordinateur quantique est disponible à une certaine capacité. Lorsque cela sera disponible, vous voudrez protéger l’ensemble de votre infrastructure VPN. », ajoute ce dernier.

En d’autres termes, l’expérimentation de l’opérateur américain a réussi à démontré que dès maintenant, il est possible de mettre en application la cryptographie post quantique dans le fonctionnement d’infrastructures. Dans ce contexte en offrant un meilleur encadrement.

C’est une avancée majeure, car, comme on le sait sûrement, il faudra attendre peut-être une dizaine d’années avant de voir fonctionner correctement le premier ordinateur quantique. Cependant, le développement d’une telle technologie peux avoir un usage certain. Sans oublier la possibilité d’une évolution de la cryptographie.

« Les autorités américaines lancent un processus de normalisation, mais nous ne voulions pas attendre qu’il soit terminé, car faire évoluer la cryptographie dans le monde entier est une tâche assez ardue », note Venkata Josyula. « Cela pourrait prendre 10, voire 20 ans, et nous voulions donc nous y prendre tôt pour comprendre les implications. Verizon possède des quantités importantes d’infrastructures VPN et la société vend des produits VPN, c’est pourquoi l’équipe a commencé à étudier comment commencer à activer la cryptographie post-quantique dès maintenant et dans les services existants », ajoute Venkata Josyula.

Parmi les 15 algorithmes identifiés pour une cryptographie post quantique, le test de Verizon à sélectionner celui possédant la dénomination Saber. Il a été capable de générer des clés cryptographiques favorisant une sécurité quantique du réseau virtuel privé. « Nous avons essayé Saber ici, mais nous allons en essayer d’autres. Nous sommes capables de passer d’un algorithme à l’autre. Nous voulons avoir cette flexibilité, pour pouvoir nous adapter en fonction du processus de normalisation. », explique Venkata Josyula.

Quant à l’usage de cette technologie, nous pouvons êtes sûrs que ce ne soit pas les secteurs de mise en application qui manquent. « S’il s’agit de votre panier d’achats Amazon, vous ne vous souciez peut-être pas que quelqu’un puisse le voir dans 10 ans », décrit Venkata Josyula. « Mais vous pouvez étendre cela à votre compte bancaire, à votre numéro personnel, et jusqu’aux secrets gouvernementaux. Il s’agit de savoir jusqu’où dans le futur vous voyez de la valeur pour les données que vous possédez – et certaines d’entre elles ont une durée de vie très longue. ».

Cette nouvelle ère du post quantique s’annonce assez palpitante. La technologie quantique commence déjà à émerveiller et à inquiéter. Des 2 côtés, que ce soit au niveau des pirates informatiques ou des défenseurs de systèmes informatiques, on commence déjà à envisager les possibles utilités de l’ordinateur quantique et de toutes les améliorations qu’il pourrait apporter.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité de T-Mobile serait horrible selon le pirate informatique qui l’a récemment attaqué

Il y a une semaine de cela, l’opérateur américain T-Mobile a confirmé avoir été victime d’une cyberattaque affectant les données personnelles d’une dizaine de millions de ses clients.

Si l’opérateur a eu pour réflexe de fermer rapidement les points d’accès compromis, le pirate informatique ayant réussi cet exploit a déjà commencé à mettre en vente les données qu’il avait réussi à voler avant la découverte de son acte de cybermalveillance. Pendant que la société américaine essayait tant bien que mal de réparer les dommages causés par cette faille de sécurité, le cybercriminel revendique son coup de force en accordant même, un entretien au média américain, The Wall Street Journal, une interview assez insolite. Lors de l’entretien, il dit porter le nom de John Binns. Il n’hésite pas apportée des critiques virulentes en l’encontre de T-Mobile et sa manière de gérer sa sécurité informatique.

Selon le pirate informatique, il aurait découvert pour la toute première fois un routeur de T-Mobile qui n’était pas protégé depuis le mois de juillet. Il a donc analysé les adresses internet connus déjà de l’opérateur américain à la recherche de failles de sécurité qu’il pourrait exploiter. Il ajoute même qu’il a utilisé un outil informatique disponible et accessible par tout le monde. Cependant il n’a pas affirmé avoir vendu les données qu’il avait réussi à dérober. Cette information vient de Motherboard, qui dans son rapport initial avait dit que ces données étaient à vendre

« Leur sécurité est horrible », a déclaré le pirate informatique lors de son entretien avec The Wall Street Journal sur Telegram.

Il semblerait que le pirate informatique cherche à attirer l’attention sur une soi-disant persécution qu’il subit de la part de gouvernement américain. Car il a profité pour parler un peu de sa vie personnelle. Ce serait un Américain qui aurait grandi aux États-Unis mais qui a dû déménager en Turquie il y a 3 ans de cela. Il affirme même avoir été kidnappé et placer de force dans un soi-disant hôpital psychiatrique.

« Il s’est extasié sur la façon dont il pouvait faire n’importe quoi avec un ordinateur » a souligné son parent.

« Je n’ai aucune raison d’inventer une fausse histoire d’enlèvement et j’espère que quelqu’un au sein du FBI divulguera des informations à ce sujet », note le pirate informatique.

Selon ce dernier, c’est l’une des raisons qui l’a motivé à vouloir se manifester et parler en public après son attaque informatique.

De son côté, l’opérateur mobile américain a déclaré qu’il était en train de prendre les mesures nécessaires pour améliorer et protéger toutes les personnes qui ont été touchées directement ou indirectement par cette violation massive des données. Par exemple l’entreprise américaine a offert 2 ans de suivi et de protection d’identité gratuite couplé a un service de protection contre le vol d’identité de la société de cybersécurité McAfee. T-Mobile à part ailleurs recommandé à tous ses clients postaux payer de procéder à la modification de leurs codes Pin.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec

Depuis le mercredi dernier, les applications permettant de vérifier la validité du passeport vaccinal ont été lancées par le Ministère de la Santé et des Services sociaux.

Ces applications sont dénommées respectivement VaxiCode et VaxiCode Verif.

Cet article va aussi vous intéresser : La vie privée à l’épreuve des QR codes

Un hacker proche de la communauté des spécialistes du hacking canadien dénommé Hackfest, a réussi de manière illicite, à accéder à des codes QR, de plusieurs membres du parlement québécois et en prime, celui du ministre responsable de la protection des renseignements personnels, Éric Caire. Une situation très dérangeante.

Dans un billet de blog publié ce jeudi sur la page Facebook de Crypto Québec, par la suite supprimé en soirée, il a été dit que des données vaccinales présentes dans le QR code du passeport appartenant au premier ministre François Legault avaient aussi été compromises. Il en serait de même pour Christian Dubé, le ministre de la Santé et des Services sociaux, du co porte-parole de Québec solidaire, monsieur Gabriel Nadeau Dubois ainsi que de Dominique Anglade, le chef du parti libéral.

Étant au fait de cette situation, le regroupement des professionnels de la sécurité informatique le Hackfest a immédiatement porté à la connaissance de gouvernement le problème qui existait, comme l’a signifié son cofondateur, Patrick Mathieu.

Le pirate informatique, a réussi à déjouer le portail libre-service du gouvernement pour être en mesure de glaner suffisamment d’informations. Des informations qui sont en théorie très facilement collectable sur les réseaux sociaux. Cependant l’initiative était de prouver qu’il est facile d’avoir des informations personnelles par ce moyen.

Interrogé sur la question, le ministre monsieur Éric Caire a exprimé que son cabinet prenait très au sérieux cette situation et qu’ils avaient commencé à établir des vérifications nécessaires à ce niveau. « Toute falsification ou tout vol de code QR est un acte passible d’amende, voire [un acte] criminel », souligne la porte-parole, Nathalie Saint-Pierre.

À titre de rappel, dès le 1er septembre, les QR codes fournis par le ministère de la Santé et des Services sociaux de servir de passeport vaccinal. Pour obtenir ses QR code tous les Québécois qui se sont vaccinés doivent s’inscrire sur un portail en ligne du gouvernement. Bien évidemment lors de l’inscription ils doivent y ajouter certaines informations telles que :

– leurs noms et prénoms ;

– leur date de naissance ;

– la date de leur première vaccination contre le covid-19 :

– le type de vaccin reçu ;

– le numéro de l’assurance maladie.

Ce qui a d’ailleurs faciliter la tâche au pirate informatique c’est parce que les personnes qu’il a réussi à cibler avec eux même déjà médiatisé la date de leur vaccination. Tout ce qu’il avait à faire c’est de faire des confirmations.

Selon Monsieur Patrick Mathieu le cofondateur de Hackfest, le système pointé du doigt a été très mal conçu et cela d’A à Z. Le souci majeur c’est que la sécurité des systèmes est fondée sur des informations facilement collectable de sorte à ce que tout le monde peut être sources de compromission pour tout le monde. En fait, la technologie utilisée n’est pas conçue pour être utilisée à grande échelle. « Nous l’avons dit à plusieurs reprises au gouvernement que c’était un mauvais choix de technologie », affirme-t-il.

Selon la députée libérale Marwah Rizqy, la question est de savoir pour quelle raison le gouvernement n’a pas essayé de mettre en place une autre couche de sécurité pour protéger les données disponibles sur le portail. Elle met en évidence le risque d’usurpation d’identité dans une situation ou plusieurs personnes peuvent avoir les mêmes noms. « Heureusement, il n’y a qu’une seule Marwah Rizqy au pays, ça m’étonnerait que quelqu’un essaie de se faire passer pour moi. Mais si j’avais un nom plus commun, comme Réjean Tremblay, ça serait peut-être plus facile d’utiliser un faux code QR, et c’est ça qui est préoccupant », explique cette dernière. « Ça fait depuis le mois de mai que le gouvernement nous parle du passeport vaccinal. Ils avaient le temps de s’assurer que la sécurité soit au point, mais ils ont minimisé tous les problèmes qui ont été soulevés par les gens qui s’y connaissent en sécurité. C’est triste », souligne la députée.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Pegasus Faille 0-Day dans iMessage qui peut mettre en mal la sécurité des iPhones

Toujours autour de l’affaire Pegasus, portant sur l’utilisation de logiciel d’espionnage par certains gouvernements aux organismes pour espionner, l’application produite par la société israélienne NSO Group revient au cœur des débats.

Récemment, une faille de sécurité majeure a été détectée au niveau de l’application de messagerie des iPhones, le iMessage.

Cet article va aussi vous intéresser : PegasusGate : l’ONU demande un moratoire quant à l’utilisation des technologies d’espionnage

La révélation est le fait du Citizen Lab. Le laboratoire a en effet mis en évidence que le gouvernement du Bahreïn se positionne comme étant l’un des clients qui utilisent l’outil d’espionnage fournie par la société israélienne, le logiciel le plus célèbre au monde Pegasus. Ce dernier exploite des failles de sécurité découvertes sur les smartphones utilisés par des activistes et les défenseurs des droits de l’homme. Un piratage tellement sophistiqué qu’il n’existe de la part de l’utilisateur aucune action particulière telle que la délivrance de permission ou le clic sur un lien malveillant. Tout se passe de manière invisible à l’œil nu si on peut s’exprimer ainsi.

Dans les faits qui nous intéressent ici, les personnes ciblées par le logiciel Pegasus sont particulièrement des utilisateurs d’iPhone. La faille de sécurité qui permet de contourner les mesures de protection de la société américaine constructeur de Apple se situerait dans le service de messagerie iMessage. Une faille de type 0 day, en d’autres termes une vulnérabilité qui n’a pas été corrigée par Apple quand bien même qu’elle en avait la connaissance des puits bon moment.

Face à la situation, la société de Cupertino devrait prendre les mesures nécessaires pour améliorer la sécurisation de ses smartphones. Néanmoins, il faut préciser que les attaques informatiques utilisant Pegasus ce ne sont pas des menaces générales et impersonnelles. C’est le plus souvent des attaques très ciblées en d’autres termes elles sont assez rares. Les profils généralement ciblés sont des journalistes, des activistes, des personnalités politiques ou encore des avocats, en d’autres termes en des personnes généralement très importantes ou haut placées.

Selon un spécialiste de la cybersécurité généralement pour tout ce qui concerne les environnement IOS et Mac OS, Patrick Wardle, les failles de sécurité de ce genre sont connues depuis très longtemps. La frustration que présente ces vulnérabilités résident dans le fait que la société de Cupertino prend trop de temps pour les corriger voir les négligents.

« C’est compliqué de se dire qu’il y a toujours cette application de messagerie sur les appareils iOS qui permet ce genre d’attaques, et que l’on ne peut pas supprimer […] Finalement, n’importe qui dans le monde, à n’importe quel moment, peut être espionné à travers son iPhone sans le savoir et sans rien pouvoir faire à cause de Messages », note le spécialiste.

Cependant, on se rappelle que Apple avait essayé d’une certaine manière de contrecarrer les attaques de Pegasus contre son système d’exploitation à travers IOS 14, notamment en mettant en quarantaine les conversations issues de iMessage pour éviter que cela n’ait d’impact sur l’ensemble du système. Heureusement pour la société de Cupertino, l’initiative connu sur l’expression de « BlastDoor » n’a pas été suffisant pour stopper le logiciel espion de NSO Group.

Face à la situation on envisage alors que Apple va essayer de déployer de nouvelles dispositions au travers de IOS 15. C’est une nouvelle initiative qui doit faire ses preuves si Apple ne veut pas voir son image dégringoler de plus en plus surtout ces derniers temps ou les choses ne vont pas de bon train pour sa réputation, mettant ainsi en mal, l’une des principales bases de son marketing.

« Les attaques comme celles décrites sont très sophistiquées, leur développement coûte des millions de dollars, leur durée de vie est souvent courte et elles sont utilisées pour cibler des individus spécifiques […] Bien que cela signifie qu’elles ne constituent pas une menace pour l’écrasante majorité de nos utilisateurs, nous continuons à travailler sans relâche pour défendre tous nos clients », souligne Ivan Krstić, le responsable de la sécurité informatique de Apple.

D’une manière ou d’une autre, l’une des options les plus évidentes pour lutter contre cette faille de sécurité serait de permettre aux utilisateurs qui pourraient se sentir visés par le logiciel Pegasus, de soit bloquer l’application iMessage, soit la désinstaller. Bien évidemment une alternative qui porterait un grand coup à la société américaine qui verra là comme une défaite cuisante. « Si Apple pouvait trouver un moyen de désactiver complètement iMessage, ce serait formidable […] Des protections comme BlastDoor peuvent être ajoutées par-dessus, mais ça revient à renforcer un château de sable », souligne Patrick Wardle.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage