Pirater un ordinateur avec de l’ADN


Vous imaginez pirater un ordinateur avec un code ADN synthétisé ! Alors que les analyses ADN sont de plus en plus populaire avec des informations confidentielles pourraient être tentant pour des pirates. Les chercheurs ont donc vue que ce genre de piratage pourraient devenir possible, il est temps de réagir
Nuage

 

Pirater un ordinateur avec de l’ADN

 

heso59

Des chercheurs viennent de réussir à introduire dans un ordinateur un cheval de Troie à base d’ADN.

(CCM) — Cette percée de l’équipe de chercheurs de l’Université de Washington pourrait révolutionner des pans entiers de la sécurité informatique. En infectant un ordinateur avec une séquence d’ADN synthétique, ils ont réussi à introduire un code informatique malveillant dans la machine.

Le professeur Tadayoshi Kohono est réputé dans le monde de la cybersécurité pour ses thèses avant-gardistes, notamment en matière de hacking d’objets connectés. Aujourd’hui, avec ses équipes du laboratoire DNA SEC de l’Université de Washington (lien en anglais), il franchit une nouvelle frontière, en faisant entrer le piratage informatique dans l’ère de l’ADN. Pour cela, les chercheurs ont synthétisé une séquence d’ADN en y injectant du code informatique. Pour l’expérience, il s’agissait d’un malware, mais rien n’empêche d’imaginer qu’un jour, ce code pourrait également être bienveillant…

Une fois le code embarqué dans l’ADN synthétique, il ne restait plus qu’à infecter l’ordinateur en charge du séquençage. En exploitant la faille classique du dépassement de tampon – buffer overflow – l’équipe de l’Université de Washington s’est retrouvée aux commandes de l’ordinateur, avec la possibilité de prendre le contrôle du réseau à distance.

L’expérience montre la faiblesse de la sécurité en place dans ce type de logiciels de séquençage. Utilisés dans les laboratoires de recherche ou par les entreprises proposant de l’analyse d’ADN en ligne, ils représentent une source supplémentaire de vulnérabilités informatiques. Alors que les données qu’ils manipulent sont extrêmement confidentielles et personnelle, et que ces services d’analyse ADN se démocratisent, il était temps de tirer le signal d’alarme.

http://www.commentcamarche.net

Des hackers peuvent prendre le contrôle de votre PC quand vous regardez un film


Internet, c’est intéressant, mais quand les pirates cherchent des failles pour réussir leur coup, cela devient pour certain un vrai cauchemar, maintenant, ce sont les lecteurs multimédias qui pourraient être une source de problèmes pour ceux qui regarde des films ou des séries via ordinateur, tablette ou Smart TV
Nuage

 

Des hackers peuvent prendre le contrôle de votre PC quand vous regardez un film

 

© thinkstock.

Une nouvelle faille qui concerne les lecteurs multimédias les plus populaires comme VLC, Popcorn Time et Stremio.

Une dizaine de jours après l’attaque informatique « sans précédent » qui a frappé des centaines de milliers de victimes à travers le monde à cause d’un logiciel de rançon, les chercheurs d’une société spécialisée dans la cybersécurité nous mettent en garde contre une nouvelle faille qui pourrait cette fois concerner des millions d’utilisateurs. Une attaque via des sous-titres téléchargés sur le web pour regarder un film ou une série.

Selon CheckPoint, des pirates informatiques peuvent prendre le contrôle d’un ordinateur, d’une tablette ou d’une Smart TV en insérant un code malveillant dans des fichers de sous-titres utilisés par des lecteurs multimédias populaires tels que VLC, Kodi, Popcorn Time ou Stremio. Avec son équipe, le chercheur Yaniv Balmas a démontré qu’il était très simple de placer un fichier de sous-titres en tête du classement sur un site comme OpenSubtitles.org afin d’encourager son téléchargement.

« Ces lecteurs multimédias, vous ne savez pas à quoi ils se connectent, ils le font automatiquement. Je ne pense pas avoir vu quelque chose de ce type auparavant… C’est dangereux », a-t-il expliqué au site Forbes.

Comme toujours, les experts conseillent aux internautes de vérifier les différentes mises à jour de leurs programes afin d’éviter les mauvaises surprises. VLC, Kodi, Popcorn Time et Stremio assurent que le problème est sous contrôle.

http://www.7sur7.be

Les objets connectés vous mettent-ils en danger ?


On parle beaucoup depuis la cyberattaque mondiale du piratage dans le but de demander une rançon. Ce qui est inquiétant, c’est la multitude de possibilités de pirater des objets connectés autres que les ordinateurs, portables, tablettes. Il y a le réfrigérateur, la télévision, les jouets, des automobiles et encore bien d’autres objets qui sont connectés. Sont-ils tous des cibles potentiels … Oui, mais généralement les pirates veulent faire de l’argent et donc, certains objets sont plus susceptibles que d’autres à être piraté.
Nuage

Les objets connectés vous mettent-ils en danger ?

 

Les cyberattaques pourraient viser des outils du quotidien, qui serviraient de relais pour les cybercriminels. Les spécialistes expliquent les risques.

 

SOURCE AFP

 

Les téléviseurs, jouets, réfrigérateurs et autres cafetières connectés seront-ils un jour la cible de cyberattaques ? Les récentes offensives massives de « ransomwares », ces logiciels malveillants exigeant une rançon pour débloquer les ordinateurs qu’ils ont infectés, font craindre pour l’avenir des objets connectés qui se multiplient dans nos foyers.

« Concernant l’attaque du week-end passé, il n’y a pas de risque pour les objets connectés. Elle touchait en particulier des systèmes avec Windows […], et il n’y a pas d’objets connectés grand public aujourd’hui qui embarquent Windows pour fonctionner », assure à l’Agence France-Presse Gérôme Billois, consultant chez Wavestone.

« En revanche, il y a déjà eu des attaques massives sur des objets connectés », rappelle-t-il.

Le malware (logiciel malveillant) Mirai a ainsi récemment infecté par centaines de milliers des objets connectés mal sécurisés, non pas pour les bloquer, mais pour les transformer en zombies et créer des relais pour de futures cyberattaques. Mardi à La Haye, le jeune prodige Reuben Paul, 11 ans, a épaté une galerie d’experts en cybersécurité en piratant le Bluetooth de leurs appareils électroniques pour prendre le contrôle d’un ours en peluche.

Siphons ou mouchards

Les objets connectés sont donc des cibles tout à fait crédibles, qui peuvent aussi bien siphonner des données que se transformer en mouchards. Selon des documents révélés en mars par WikiLeaks, les services de renseignement américains sont capables de « hacker » des smartphones, des ordinateurs et des télévisions intelligentes, notamment pour prendre le contrôle de leurs micros et écouter ce qu’il se passe.

« Tous les autres objets connectés sont piratables, ça a été démontré, que ce soit la cafetière, le réfrigérateur, le thermostat, la serrure électronique, le système d’éclairage… » dit à l’Agence France-Presse Loïc Guézo stratégiste cybersécurité Europe du Sud de la société de cybersécurité japonaise Trend Micro.

Plus généralement, comme le résume en toute modestie Mikko Hypponen, le responsable de la recherche du spécialiste finlandais F-Secure, dans sa « loi d’Hypponen » : « Lorsqu’un appareil est décrit comme étant intelligent, vous pouvez le considérer comme vulnérable. »

Cybercriminalité

Ce qui concerne aussi tous ces objets en voie de « connectisation » : des voitures – des démonstrations de prise de contrôle à distance de véhicules ont pu faire froid dans le dos –, des sextoys, des poupées, des vases qui préviennent quand il faut changer l’eau, des sangles de cheval ou des pompes à insuline. Un cyberpirate peut-il donc me priver de café le matin, bloquer mon thermostat à 10°C, ou diriger mon GPS vers un abîme si je ne lui paie pas une rançon ? Théoriquement oui, répondent les spécialistes interrogés par l’Agence France-Presse.

« La logique d’un cybercriminel, c’est de gagner de l’argent », dit cependant Gérôme Billois chez Wavestone.

Il ne s’acharnera donc pas, selon lui, à s’attaquer à des petites séries. Les télévisions connectées, en revanche, semblent être des cibles toutes trouvées, car elles se généralisent plus vite, d’autant qu’elles ont un écran, support idéal pour demander la rançon.

« Demain, on peut imaginer des dispositifs où on attaque votre maison connectée, on la met sous contrôle, et on vous envoie le message par une autre voie », avance Loïc Guézo.

Il suffira de perfectionner un peu les virus que l’on trouve clé en main sur le « darknet », cette cour des miracles des tréfonds de l’Internet.

Questions de sécurité

La question ne laisse évidemment pas indifférents les spécialistes de la cybersécurité, qui multiplient les solutions de protection de la domotique connectée, avec notamment des « box » venant compléter les routeurs des opérateurs télécom. En amont, l’idée est aussi de travailler avec les fabricants pour leur apporter des fonctions de sécurité qu’ils intégreront dès la conception des objets connectés, ce qu’on appelle dans la profession « security by design ». Car la sécurité a été souvent négligée dans l’euphorie de la connexion tous azimuts des objets du quotidien.

« C’est extrêmement difficile d’évaluer la solidité d’un objet connecté sous l’angle de la cybersécurité », dit Gérôme Billois.

« En tant que consommateur, il est aujourd’hui impossible de savoir si l’on achète un objet connecté sécurisé ou pas. Il nous manque un label, comme on a le label CE qui nous garantit que l’objet ne va pas prendre feu, qu’il ne va pas être dangereux pour les enfants, etc. »

http://www.lepoint.fr/

 

Cybersécurité : ne faites plus le « V » de la victoire sur les photos !


Sans aucune technologie, il est possible de copier des empreintes digitales d’une photo d’une personne qui expose ses doigts comme faire le signe de V. Il suffit juste d’une photo qui soit très nette et bien exposée. Cela est d’ailleurs déjà arrivé à la ministre allemande de la Défense à partir de simples photos numériques montrant ses doigts. Ils ont pu cloner ses empreintes digitales
Nuage

 

Cybersécurité : ne faites plus le « V » de la victoire sur les photos !

 

C’est un geste anodin, que des millions de personnes ont déjà fait au moins une fois en posant pour une photo : le « V » de la victoire aussi appelé signe de la paix. Il se trouve qu’au Japon, des chercheurs du National Institute of Informatics (NII) ont réussi à facilement copier les empreintes digitales à partir des images montrant des gens en train de faire ce signe très prisé des jeunes, en particulier au pays du Soleil-Levant. Un cybercriminel pourrait éventuellement créer une reproduction d’une empreinte et s’en servir pour s’authentifier sur un système biométrique en usurpant l’identité de sa victime.

Selon le professeur Isao Echizen qui a conduit cette expérimentation, les énormes progrès accomplis par les appareils photo des smartphones conjugués à la facilité avec laquelle on peut partager des clichés sur les réseaux sociaux favorisent ce risque. Le scientifique explique que la méthode ne nécessite aucune technologie particulière et que quiconque peut copier des empreintes digitales à partir d’une photo. Seule condition, il faut que le cliché soit net et bien exposé.

Un film transparent pour protéger les empreintes contre le vol

Lors des essais, l’équipe du NII dit avoir pu récupérer des empreintes à partir de photos prises à trois mètres de distance. Parallèlement à cela, les chercheurs ont développé une solution pour prévenir ce genre de risque. Il s’agit d’un film transparent contenant de l’oxyde de titane qui se colle sur l’extrémité des doigts et empêche de pouvoir copier les empreintes digitales depuis une photo. Une technologie qui demandera encore au moins deux années de développement, ont prévenu les chercheurs.

Ce n’est pas la première fois qu’une telle démonstration est faite. Il y a deux ans de cela, un hacker membre du Chaos Computer Club surnommé Starbug avait fait la démonstration d’une technique qui lui avait permis de cloner les empreintes digitales de la ministre allemande de la Défense à partir de simples photos numériques montrant ses doigts.

http://ici.radio-canada.ca/

5 raisons qui vont vous donner envie de protéger vos données sur Internet en 2017


Internet, les technologies connectées, intelligences artificielles sont tous susceptible d’être piratés pour avoir des renseignements sur des personnes, des sociétés, des hôpitaux, le gouvernement tout.
Nuage

 

5 raisons qui vont vous donner envie de protéger vos données sur Internet en 2017

 

Emmanuel Mériot

Directeur France chez Darktrace

Les cyberattaques qui ont fait la une des journaux cette année, tels que le vol d’argent à la Bangladesh Bank et le piratage des comptes Yahoo !, n’offrent qu’un aperçu de la cyberguerre que se livrent chaque jour, à grande échelle, les hackers et les spécialistes de la sécurité. Cette année nous a montré, plus que jamais, que si quelqu’un entend réellement forcer votre réseau, il y parviendra.

Voici les prévisions en matière de cybersécurité pour l’année 2017.

1. Les pirates ne se contenteront plus de voler les données, ils les modifieront

Aujourd’hui, les hackers les plus compétents ne s’arrêtent pas au simple vol de données, ils se fixent un objectif plus subtil: l’intégrité des données.

Ce scénario est particulièrement inquiétant pour les secteurs qui s’appuient fortement sur une relation de confiance avec le public. Un laboratoire qui ne peut plus garantir la fidélité des résultats de ses essais cliniques, ou une banque dont les soldes de comptes ont été falsifiés, constituent les exemples les plus évidents d’entreprises présentant un risque majeur. Les pouvoirs publics pourraient également faire les frais de ce type d’attaques, engendrant une défiance croissante des citoyens à l’égard des institutions nationales.

Ces «attaques de réputation» pourraient également être déployées pour perturber les marchés financiers. Nous avons déjà eu un aperçu de ce risque potentiel de cyberattaques lors d’opérations de fusion-acquisition. Est-ce une coïncidence si le hack de Yahoo! est survenu alors que Verizon s’apprêtait à racheter la société?

Ces attaques ont également la faculté d’influencer l’opinion publique. Une nation ou tout autre groupe possédant une technologie avancée pourrait non seulement divulguer des courriels, mais les manipuler pour donner l’impression trompeuse qu’un candidat a commis une action illégale ou malhonnête.

2. Les attaques (et les menaces latentes) proviendront davantage de l’intérieur

Les initiés représentent souvent la source des attaques les plus dangereuses. Ils sont plus difficiles à détecter, car ils utilisent des identifiants utilisateurs valables. Ils peuvent provoquer un maximum de dommages du fait qu’ils connaissent les informations nécessaires à leur mission et sont autorisés à y accéder; ils peuvent ainsi circuler entre les segments des réseaux.

Mais les menaces intérieures ne proviennent pas seulement de salariés remontés contre une institution. Des initiés n’ayant aucune intention malveillante peuvent tout à fait constituer une faille, au même titre que des saboteurs réfléchis. Combien de fois avez-vous cliqué sur un lien sans revérifier l’adresse courriel de l’envoyeur?

Pour la seule année passée, les techniques de défense des systèmes immunitaires en entreprise ont capté une multitude de menaces intérieures, notamment un employé exfiltrant délibérément une base de données client une semaine avant l’échéance de son contrat; un développeur de jeu transmettant le code source à son adresse courriel personnelle afin de pouvoir travailler de chez lui le week-end… Cette liste n’est pas exhaustive.

3. L’Internet des objets va devenir l’Internet des failles

En 2016, certains des piratages les plus sophistiqués contre des entreprises impliquaient des objets connectés. Lors de la brèche dans le service DNS Dyn en octobre, un malware s’est rapidement répandu dans un nombre inédit d’appareils. Mais la plupart des piratages d’IdO survenus dans l’année n’ont pas été divulgués; ils incluent des imprimantes, des unités d’air conditionné, des caméras de vidéoconférence, et même des machines à café.

Parmi ces attaques, nombre d’entre elles ont utilisé les appareils IdO comme porte d’entrée pour atteindre des périmètres du réseau plus intéressants. Cette année, l’une des menaces les plus marquantes que nous avons connues portait sur le scanner d’empreintes digitales contrôlant l’accès à une importante usine. Cette menace a été déjouée, les pirates ayant été attrapés alors qu’ils s’apprêtaient à remplacer certaines données biométriques par leur propres empreintes afin d’obtenir un accès physique au site.

4. Les appareils des utilisateurs serviront à demander des (cyber-) rançons

Les ransomware, ces logiciels de rançon malveillants, ont mis à mal de nombreuses sociétés à travers le monde. Ces malwares sont utilisés pour crypter des fichiers à une vitesse telle qu’il est virtuellement impossible de suivre le rythme, et forcent les sociétés à payer des rançons élevées pour s’en libérer.

Les hôpitaux constituent aujourd’hui des cibles de choix, étant devenus de véritables jungles numériques particulièrement bien garnies, depuis les équipements médicaux vitaux et les fichiers patients essentiels, jusqu’aux appareils des patients et aux ordinateurs des employés. Cette année, le Hollywood Presbyterian Medical Center de Los Angeles a payé l’équivalent de 17 000 $US en Bitcoin à des maîtres chanteurs, après que ses ordinateurs aient été mis hors service pendant une semaine.

En 2017 et au-delà, nous allons assister au début d’un nouveau type d’extorsion au niveau micro, avec des utilisateurs pris pour cible via un large choix d’objets connectés. Imaginez: si le nouveau GPS installé dans votre voiture était piraté alors que vous êtes déjà en retard pour un rendez-vous, combien seriez-vous prêt à débourser pour le rendre de nouveau utilisable?

5. L’intelligence artificielle deviendra malveillante

L’intelligence artificielle est formidable dans bien des domaines: voitures autonomes, assistants virtuels, amélioration des prévisions météorologiques, la liste est longue. Mais l’intelligence artificielle peut également être utilisée par des pirates pour mener des attaques hautement sophistiquées et persistantes, qui se perdent dans le bruit des réseaux.

En 2017, il faut s’attendre à ce que l’IA soit utilisée à tous les niveaux d’une cyberattaque. Cela inclut la faculté de mener des campagnes d’hameçonnage sophistiquées et sur mesure qui parviendront à tromper même le plus méfiant des employés.

Les pirates de l’année prochaine en savent plus sur vous que ce que dit votre profil sur les réseaux sociaux. Ils savent que votre rendez-vous de 10h00 avec votre fournisseur aura lieu à son nouveau siège social. À 9h15, un courriel dont l’objet sera: «Adresse de nos nouveaux locaux» arrivera dans votre boîte aux lettres, apparemment en provenance de la personne avec qui vous avez rendez-vous, alors même que vous descendez du train. Question: cliquez-vous sur le lien avec le plan qui figure dans le message?

http://quebec.huffingtonpost.ca/

Au lieu de se moquer, aidons les seniors à mieux comprendre internet


Les personnes âgées veulent profiter d’internet en toute quiétude sans être obligées de se méfier de tout. Si on ne fait que donner des directives directes, ils disent souvent : Je ne connais rien, c’est trop compliqué, je ne suis pas bon là-dedans. Pourtant, ce n’est pas compliqué, mais nous devons prendre le temps de discuter, de conseiller ..
Nuage

 

Au lieu de se moquer, aidons les seniors à mieux comprendre internet

 

Mireille Caunesil, considérée en 2010 comme «la doyenne de l'internet» I PHILIPPE DESMAZES / AFP

Mireille Caunesil, considérée en 2010 comme «la doyenne de l’internet» I PHILIPPE DESMAZES / AFP

Jamie Winterton

Directrice stratégique

Traduit par Nora Bouazzouni

Ce n’est pas parce qu’ils sont bêtes que les seniors se font arnaquer sur internet. C’est parce qu’on ne leur apprend pas à s’en prémunir.

En juin dernier, l’internet tout entier a poussé un «aaawww» en découvrant l’histoire de cette grand-mère très polie qui commençait et finissait chacune de ses recherches sur Google par s’il vous plaît et merci.

«Je me suis dit que comme quelqu’un avait dû mettre [ces résultats] là, il fallait le remercier, a-t-elle expliqué à la Canadian Broadcasting Corp.Pour tout vous dire, je ne sais pas comment ça marche. Ça reste un mystère pour moi.»

Si les jeunes américains constituent la majorité des internautes, les seniors, eux, sont plus nombreux à s’y mettre que leurs enfants. En 2015, 81% des Américains âgés de 50 à 64 ans disaient se servir d’internet au moins de manière occasionnelle, tout comme 58% des 65 ans et plus. Une ressource fantastique pour les seniors, en particulier pour les personnes à capacité physique restreinte. Internet leur permet de rester en contact plus facilement avec leur famille, se découvrir de nouvelles passions et communiquer avec des gens qui partagent leurs centres d’intérêts.

Les victimes idéales

Mais ce nouveau monde qui s’ouvre à eux n’est pas tendre avec les personnes les plus vulnérables.

D’après le FBI, les seniors sont des cibles privilégiées des escroqueries sur internet «car ils sont les plus susceptibles d’avoir des “bas de laine”, d’être propriétaires de leur maison ou d’avoir une excellente solvabilité –ce qui fait d’eux les victimes idéales».

De plus, «les gens nés dans les années 1930, 1940 et 1950 ont reçu une éducation basée sur la politesse et la confiance. Les malfaiteurs profitent de cela, sachant qu’il est compliqué, voire impossible pour ces personnes de dire “non” ou bien de leur raccrocher au nez». Des escrocs conscients de l’exceptionnelle vulnérabilité de cette population et qui rivalisent d’imagination pour exploiter leurs faiblesses.

Certaines de ces cyberarnaques copient leurs méthodes sur celles du porte-à-porte, des escroqueries par courrier ou par téléphone, excepté qu’elles tirent désormais profitent de l’incroyable efficacité des communications sur internet. Pensez à toutes ces histoires déchirantes reçues par e-mail, conclues par des demandes de virements exorbitants; ces sollicitations pour des associations caritatives imaginaires; ces prix ou ces cadeaux gagnés; ou encore toutes ces menaces de clôturer un compte en banque, résilier une mutuelle ou suspendre des remboursements de la sécu dans le but de récupérer des données personnelles.

Ou, plus courant, ce stratagème visant à faire apparaître une fenêtre pop-up sur l’ordinateur d’un internaute, l’informant que sa machine a été infectée et va s’éteindre à moins de laisser un tiers y accéder. Ou bien ce message, vraisemblablement envoyé par un proche, enjoignant l’utilisateur à aller «voir ce super site!». Ces combines ne touchent pas que les seniors, mais ceux qui les envoient partent du principe que leur méconnaissance des usages du web en font des cibles privilégiées, plus faciles à piéger.

L’ordinateur, un problème?

Alors, que faire? De nombreux éditeurs de logiciels et autres professionnels de la sécurité, exaspérés par le succès de ces arnaques en tous genres, estiment qu’on ne peut rien pour ces soi-disant «utilisateurs débiles» et leurs mots de passe moisis. S’il est vrai, au sens tautologique, que vider internet de tous les êtres humains en ferait un réseau exceptionnellement sûr, être «débile» et être «mal informé» sont deux choses très différentes. Des tas de gens intelligents n’ont simplement aucune idée de comment se prémunir des escroqueries sur internet –les seniors, par exemple.

Comme l’écrivait sur Slate la journaliste Josephine Wolff, dans son article judicieusement intitulé Dire que les humains sont le «maillon faible» de la sécurité informatique est dangeureux et n’aide personne, autant d’erreurs de jugement prouvent que c’est la technologie qui est en échec face aux humains, pas l’inverse.

«Un ordinateur est censé améliorer la vie des gens, dit-elle, et pourtant, bizarrement, on a fini par leur dire que c’était eux, le problème.»

Arracher papi et mamie de leur clavier (ou quiconque ne sait pas quoi faire devant une pop-up jargonneuse sur les contrôles ActiveX) n’est clairement pas la solution. Mais à voir le rythme auquel se multiplient les escroqueries visant les seniors, nous devrions être capables de mieux informer ce public particulièrement vulnérable. De nombreuses ressources pédagogiques sur la cybersécurité et les données privées sont pourtant mises à disposition des seniors, notamment par l’Association américaine des personnes retraitées, (AARP), mais ne parviennent pas, semble-t-il, à toucher leur cible. Pour comprendre ce qui empêche ces informations de circuler correctement, j’ai dû contacter des personnes qui ne travaillent pas dans la sécurité informatique et qui ne sont pas, comme moi, des digital natives. Il me fallait des gens très, très différents de moi. J’ai donc appelé mes parents.

Dialogue entre générations

Ma mère est assistante juridique dans un grand cabinet d’avocats, et elle le fait très bien. Elle navigue entre les détails les plus complexes des législations fiscale et immobilière, telle une Isabelle Autissier du droit. Avant de prendre sa retraite, mon père a travaillé dans le secteur bancaire –simple guichetier, il a terminé vice-président. Ce sont des gens très intelligents, mais qui n’ont pas grandi avec internet.

-«Donc, ai-je commencé, affalée dans le canapé de la maison où j’ai grandi, où est-ce que vous allez pour trouver des informations sur la sécurité informatique?»

-«On t’appelle», ont-ils répondu à l’unisson, sans la moindre hésitation.

-«Bon, OK, mais imaginez que je travaille, je ne sais pas, pour l’Office national des forêts. Vous iriez où?»

-«Il n’y a nulle part part où trouver de bonnes infos» a répondu mon père, après un instant de réflexion. La télé m’angoisse, parce qu’elle joue sur la peur, mais sans fournir de réponse.»

-«Donc vous pensez qu’il faudrait une espèce de programme pédagogique sur la cybersécurité? Qui soit à la portée de tous?»

Ma mère a froncé les sourcils et secoué la tête. «Non, je ne crois pas. S’ils passaient ce genre de chose, les gens zapperaient sûrement sur Star Trek.» Elle n’avait pas tort.

-«J’apprends beaucoup de choses au travail, a-t-elle ajouté. On a un chouette service informatique. Je pourrais aussi prendre des cours à la fac. Mais ce genre de choses n’intéresse pas les gens dont ce n’est pas le métier.»

-«Mais ce que t’apprennent les gens au travail ne s’applique pas forcément à la maison,a nuancé mon père. J’ai davantage de quoi être inquiet ici qu’avant, au bureau.»

Mon père a raison, l’apprentissage de l’informatique sur le lieu de travail n’est pas exhaustif. Mais ça les a vraiment aidés. Par exemple, ils sont passés maîtres dans l’art de débusquer le spear-phishing. Ils savent qu’un e-mail n’est pas toujours ce qu’il prétend être, qu’il peut s’agir d’une entourloupe imaginée par quelqu’un qui connaît bien leurs habitudes, ce qu’ils aiment ou n’aiment pas, et utilise ces données pour les pousser à cliquer sur un lien malveillant ou à fournir des informations personnelles.

Méfiance, méfiance

«Je suis devenu paranoïaque quand j’ouvre un e-mail, m’a avoué mon père. D’abord, il faut s’assurer de connaître l’expéditeur.»

Très bon conseil. Au travail de ma mère, le service de sécurité informatique envoie même de faux messages de spear-phishing aux employés qui, s’ils cliquent, les redirigent vers des ressources pédagogiques sur la cybersécurité. C’est une super idée –mais qui nécessite d’embaucher quelqu’un qui s’y connaît.

«Il faut que ce soit tous publics, insiste ma mère. J’aime bien apprendre de nouvelles choses, mais il faut que ça aille vite. Quels éléments doivent me faire tiquer? Ça peut être des choses bizarres dans l’adresse e-mail, par exemple. Ou bien le fait de ne jamais cliquer sur un lien qu’on nous envoie si on ne sait pas ce qu’il y a derrière. Ce sont des choses qui peuvent servir à tout un chacun.»

On a continué à parler de sécurité sur internet et mes parents ont reconnu que sans leur service informatique (et dans un univers parallèle où je serais garde forestière), ils n’auraient aucune information adéquate sur le sujet. Puisque les 65 ans et plus représentent aujourd’hui 13% de la population des États-Unis, et que ce chiffre est en augmentation, on ne peut laisser aux employeurs l’entière responsabilité de la sécurité de nos seniors sur internet.

J’ai quitté le domicile parental plutôt satisfaite de leurs connaissances sur le sujet. Je mesurai aussi leur chance: ils ont beaucoup appris grâce à leur service informatique, et leur fille qui travaille dans la sécurité en ligne s’engage, dès qu’ils seront tous deux à la retraite, à les tenir au courant des évolutions en matière de cyber-escroqueries. Il est difficile de créer de nouvelles passerelles d’apprentissage, surtout si elles doivent être accessibles à tous. Comme me l’a rappelé ma mère, la caricature du senior incapable d’apprendre de nouvelles choses ne s’applique pas à la majorité des personnes concernées. Le problème, ce n’est pas la capacité d’apprentissage des seniors; c’est qu’il n’y a personne pour leur apprendre quoi que ce soit.

Une solution: vous

Certains employeurs se sont donné pour mission de remplir ce rôle, mais ça ne suffit pas. Quand ils auront pris leur retraite, les gens auront toujours besoin d’aide pour continuer d’assurer leur protection sur internet. Comme mentionné plus haut, l’AARP a d’excellentes ressources à disposition des seniors, des astuces pour empêcher l’usurpation d’identité ou repérer le spear-phishing sur les réseaux sociaux aux fiches expliquant ce qu’est le ransomware –mais il faut les chercher pour les trouver. Certaines associations de seniors ont commencé à proposer des cours sur la sécurité informatique. Une intention louable, mais ceux qui en ont le plus besoin ne pourront ou ne voudront pas forcément en profiter. La télé caricature éhontément le sujet et la couverture médiatique grand public est bien trop sporadique pour que l’on puisse compter sur elle pour toucher un maximum de gens.

Mais si vous êtes inquiet pour vos parents, il reste une solution: vous. Alors préparez-leur un bon gâteau au chocolat, asseyez-vous avec eux et parlez d’internet. Il y aura peut-être un malaise, comme le jour où vous avez eu la discussion. Mais en matière de cybersécurité, la seule façon d’avancer, c’est la protection –et non l’abstinence. Et qui sait, ils ne seront peut-être pas les seuls à apprendre quelque chose.

http://www.slate.fr/

Hôpital : les pompes à perfusion aussi peuvent être piratées


La technologie a de très bons côtés, mais avec aussi des conséquences qui pourraient être désastreuses. Des pompes à perfusion informatisées peuvent être piratées. Imaginez un patient qui reçoit une quantité de morphine pour la douleur, mais qu’un hacker décide de lui mettre double dose où plus.
Nuage

 

Hôpital : les pompes à perfusion aussi peuvent être piratées

 

Les pompes à perfusion utilisées pour administrer de grandes quantités de solutions injectables (médicament ou nutriments) peuvent aussi être piratées. ©ASTIER / BSIP/AFP

Les pompes à perfusion utilisées pour administrer de grandes quantités de solutions injectables (médicament ou nutriments) peuvent aussi être piratées. ©ASTIER / BSIP/AFP

Par Arnaud Devillard

Un spécialiste américain de la cybersécurité a découvert que certaines pompes électroniques utilisées dans les hôpitaux pour délivrer des traitements peuvent être contrôlées à distance.

Billy Rios est un expert américain en sécurité informatique, fondateur de la société Laconicly. Et il ne doit pas avoir beaucoup d’amis chez Hospira, fournisseur américain de matériels médicaux racheté par Pfizer en février. Il a en effet découvert qu’un modèle de pompe à perfusion électronique, LifeCare PCA, souffrait d’une faille de sécurité au niveau du module de communication.

Résultat : n’importe qui, dans un hôpital, peut y accéder depuis le réseau interne et modifier les quantités limites d’un dosage de médicament sensées être délivrées à un patient. Sans qu’aucune alerte ne soit émise.

Modifier les dosages eux-mêmes

Ayant conseillé en vain à Hospira de vérifier ses autres modèles, comme il le raconte sur son blog, Billy Rios a continué ses recherches. Et a trouvé mieux. Ou plutôt pire ! En fait, cinq modèles de pompes informatisées de la société sont fondées sur le même logiciel, utilisent les mêmes clefs de cryptage et souffrent de la même faille. Mais Billy Rios a aussi montré qu’un hacker (pirate) pouvait carrément modifier les dosages eux-mêmes et non plus seulement la quantité maximale ou minimale administrée. Ce qui semble inquiétant puisque pour l’un des modèles de pompes incriminées, le Plum A+, Hospira revendique pas moins de 325.000 exemplaires vendus dans le monde…

Les matériels de Hospira ont fait l’objet d’une alerte de la part du ministère américain de la sécurité intérieure (DHS) et de la Food and Drug Administration (FDA).

http://www.sciencesetavenir.fr/

Des chercheurs piratent à distance un robot de chirurgie


La robotique dans le domaine de la chirurgie est une grande avancée surtout quand il est impossible pour un chirurgien de se rendre sur place, il peut quand même utiliser Internet pour opérer un patient à distance. Mais qui dit Internet, dit risque de piratages. Ce domaine devra donc être de plus en plus sécurisé pour qu’une opération ne soit pas un carnage
Nuage

 

Des chercheurs piratent à distance un robot de chirurgie

 

La première opération de chirurgie menée à l’aide d’un robot commandé à distance a eu lieu en 2001 avec un chirurgien basé à New York qui a opéré un patient situé en France. Aux États-Unis, le département de la Défense compte se munir de ce genre de technologie d’ici 2025 pour pouvoir le déployer sur des théâtres d’opérations afin que des chirurgiens puissent opérer des soldats blessés à des milliers de kilomètres de distance. © SRI International via Wikimedia Commons, CC by SA 3.0

Par Numerama.com, licence CC

Une équipe de chercheurs de l’université de Washington est parvenue à pirater un robot de chirurgie télécommandé à distance en exploitant plusieurs failles de sécurité, notammentvia la connexion Internet qui relie le praticien au robot. S’il faut évidemment renforcer la protection du système, les solutions techniques existantes ne sont pas forcément compatibles avec les besoins de la chirurgie robotique téléopérée.

La première opération de chirurgie menée à l’aide d’un robot commandé à distance a eu lieu en 2001 avec un chirurgien basé à New York qui a opéré un patient situé en France. Aux États-Unis, le département de la Défense compte se munir de ce genre de technologie d’ici 2025 pour pouvoir le déployer sur des théâtres d’opérations afin que des chirurgiens puissent opérer des soldats blessés à des milliers de kilomètres de distance. © SRI International via Wikimedia Commons, CC by SA 3.0

Ce n’est pas la nouvelle la plus rassurante du jour, mais elle n’a rien de très surprenant. Des chercheurs de l’université de Washington ont voulu tester la sécurité informatique des robots qui permettent aux chirurgiens de téléopérer des patients, et ont découvert une série de vulnérabilités très dangereuses dans celui qu’ils ont testé, le Raven II, développé par le laboratoire de biorobotique de leur université.

Pour reproduire à distance les gestes du chirurgien, le robot qui opère reçoit les instructions depuis une connexion à Internet. Mais, comme le rapporte The Register, plusieurs techniques de piratage sont détaillées dans l’étude publiée sur arxiv le 17 avril dernier, qui permettent à un hacker malintentionné de parasiter une opération en cours, voire de prendre le contrôle du robot pour lui faire effectuer des gestes pouvant coûter la vie au patient opéré.

L’une des techniques tire profit d’une mesure de sécurité implémentée dans le robot. Un mécanisme de protection baptisé « E-Stop » interdit en effet au robot de reproduire un ordre qui serait trop brutal ou trop dangereux, et bloque la machine en attente d’un nouvel ordre. Or il serait possible d’envoyer des instructions au contrôleur de l’E-Stop, pour l’obliger à y voir une anomalie et à arrêter les mouvements en cours, ce qui peut profondément remettre en cause le succès de l’opération, voire laisser le patient dans un état plus dangereux encore qu’au début de l’opération.

Concilier sécurité et efficacité

Plus grave, les chercheurs ont découvert qu’il était possible de prendre le contrôle du robot en mélangeant intentionnellement l’ordre des paquets TCP/IP reçus, et ainsi faire croire au robot que la connexion a été perdue, pour l’obliger à réinitialiser une session avec le pirate. Une technique rendue possible en conditions réelles par les techniques de spoofing ARP.

Les auteurs de l’étude préviennent que certaines des techniques pourraient être évitées en utilisant une connexion chiffrée de bout en bout (car, oui, ce n’est apparemment pas le cas), ce qui n’est pas toujours compatible avec la nécessité de disposer de la connexion et du flux vidéo le plus près possible du temps réel entre le chirurgien et le robot qui reproduit les gestes.

« Des tensions entre la cybersécurité, la sécurité et les besoins fonctionnels de la chirurgie robotique téléopérée rendront beaucoup des solutions de sécurité actuelles inapplicables pour la chirurgie télérobotique, exigeant que de nouvelles approches de sécurité soient développées »,

concluent les chercheurs

http://www.futura-sciences.com/

Un avion peut-être piraté par l’Internet sans fil, dit un chercheur


Les avions de ligne sont à la page de la technologie, mais qui dit technologie, Internet, dit aussi pirate informatique. Voyager en avion sera-t-il aussi un risque d’être en plein milieu d’un événement de piratage ? Les risques sont-ils réels ?
Nuage

 

Un avion peut-être piraté par l’Internet sans fil, dit un chercheur

 

Un homme utilise son ordinateur à bord d’un avion. Photo :  ? Lucas Jackson / Reuters

Le chercheur en cybersécurité Ruben Santamarta affirme qu’il a réussi à trouver un moyen de pirater les équipements servant aux communications satellites à bord d’un avion de ligne, en passant notamment par le réseau sans fil de l’aéronef.

Si sa recherche est confirmée par la communauté scientifique, elle pourrait soulever des questions importantes au sujet de la sécurité aérienne.

« Ces dispositifs sont complètement ouverts », se désole M. Santamarta, qui travaille pour la firme IOActive.

Le consultant en cybersécurité doit présenter les détails techniques de sa recherche cette semaine dans le cadre d’un congrès à Las Vegas. Le congrès annuel attire chaque année des pirates informatiques et des experts en sécurité informatique, afin de discuter des nouvelles formes de menaces. Les observateurs estiment que la présentation de M. Santamarta ne manquera pas d’attirer l’attention des participants, jeudi.

Le chercheur estime que le réseau d’Internet sans fil et les dispositifs permettant aux passagers de regarder des films à partir de leur siège dans l’avion ne sont pas sécurisés.

« Le but de cette discussion, c’est d’aider à faire changer la situation. » — Ruben Santamarta, chercheur en cybersécurité

En théorie, un pirate informatique pourrait utiliser les systèmes d’Internet sans fil et de divertissement, afin de prendre le contrôle des appareils électroniques de l’avion et modifier les communications satellites de l’avion.

La recherche permettant de déceler les vulnérabilités soulevées par M. Santamarta a été effectuée dans un environnement contrôlé et il pourrait s’avérer difficile de la reproduire dans le monde réel.

M. Santamarta a indiqué que les appareils des avions fabriqués notamment par les compagnies Cobham, Harris, Hughes et Iridium présentent des failles de sécurité. Les représentants de ces compagnies ont confirmé plusieurs des découvertes du chercheur, mais ont minimisé les risques.

Dans le cas de Cobham, dont le système de communications satellites Aviation 700 a été au centre de la recherche de M. Santamarta, l’entreprise indique que les pirates ne peuvent pas utiliser l’Internet sans fil de l’avion pour avoir accès aux équipements de navigation et aux systèmes de sécurité. Le porte-parole de la firme Harris, Jim Burke, indique que sa compagnie a pris connaissance de l’analyse de M. Santamarta.

« Nous avons conclu que le risque de compromis est très minime », dit-il à Reuters.

De son côté, Iridium indique aussi que le risque est minime, mais que des mesures ont été prises pour protéger les utilisateurs, à titre préventif. Un des problèmes soulevés par M. Santamarta dans sa recherche est que les techniciens qui effectuent l’entretien des appareils fabriqués par ces compagnies utilisent souvent les mêmes mots de passe. Mais les pirates peuvent retrouver ces mots de passe en s’introduisant dans les systèmes informatiques des entreprises, selon le chercheur.

Un porte-parole de la compagnie Hughes a indiqué que l’utilisation de mots de passe identiques était nécessaire pour permettre aux techniciens d’assurer le service à la clientèle et que les pirates informatiques ne pouvaient, dans les faits, prendre le contrôle des appareils de l’avion.

http://ici.radio-canada.ca

Médecine ►Prochaine cible des cyberpirates: le corps humain


Même si je suis contre le piratage, il y en a parmi les cyberpirates qui ont piraté pour de bonnes causes et fut appuyer par nombre d’internautes. Cependant, il y a quand même des domaines qu’on ne devrait jamais attaquer comme les comptes personnelles de Monsieur et Madame tout le monde, car elles peuvent atteindre la vie des personnes qui sans la technologie ne pourraient vivre
Nuage

 

Médecine ►Prochaine cible des cyberpirates: le corps humain

 

Médecine - Prochaine cible des cyberpirates: le corps humain

Photo Sean Gladwell / Fotolia

WASHINGTON – Pirater des appareils médicaux? Cela ne relève pas forcément de la fiction. Des experts américains jugent la menace sérieuse, avec des cibles allant du pacemaker à la pompe à insuline, et des conséquences pouvant être mortelles.

La très sérieuse Food and Drug Administration, garante de la sécurité sanitaire aux États-Unis, vient d’appeler les fabricants à la vigilance.

Elle s’inquiète de «vulnérabilités en termes de cybersécurité et d’incidents qui pourraient toucher directement des appareils médicaux, ou des réseaux d’hôpitaux».

Le scénario a déjà été envisagée à la télévision: dans la série Homeland, des pirates informatiques assassinent le vice-président des États-Unis en s’infiltrant dans son pacemaker, et en déclenchant un choc électrique fatal.

«La bonne nouvelle, c’est que nous n’avons connaissance d’aucun accident dans le monde réel. Mais la mauvaise nouvelle, c’est qu’il n’y a personne qui s’intéresse scientifiquement au sujet», commente Kevin Fu, un professeur d’informatique de l’université du Michigan, spécialisé dans le domaine de la santé. Or «un virus informatique peut s’attraper en un clin d’oeil».

Kevin Fu est co-auteur d’une étude qui, dès 2008, soulignait les risques présentés par des engins implantés dans le corps humain, tels les défibrillateurs cardiaques, car des pirates peuvent les reprogrammer en s’infiltrant dans le réseau sans fil qui sert à les commander.

Pour lui toutefois, «le plus grand risque est un virus qui entrerait par accident dans un appareil médical, plutôt que les attaques imaginées dans la fiction».

«Les virus ralentissent souvent un ordinateur, et quand vous ralentissez un appareil médical, il n’a plus l’intégrité nécessaire pour fonctionner comme il devrait», explique-t-il.

D’après Barnaby Jack, un expert de la société de sécurité IOActive, le scénario présenté dansHomeland est «tout à fait réaliste». Il dit vouloir faire une présentation d’attaque similaire lors d’un prochain forum de pirates informatiques.

Pacemakers vulnérables

Barnaby Jack a étudié les pacemakers et défibrillateurs cardiaques implantables d’un grand fabricant et les a trouvés «particulièrement vulnérables».

Depuis une distance de 10 à 15 mètres, «je peux récupérer les codes nécessaires pour interroger les implants individuels à distance», affirme-t-il.

Un autre expert en sécurité informatique, Jay Radcliffe, lui-même diabétique, avait démontré en 2011 qu’il était possible de pirater une pompe à insuline et d’en changer les dosages.

Au-delà des engins implantables, beaucoup d’équipements hospitaliers (moniteurs cardiaques, scanners, respirateurs artificiels, appareils de radiothérapie ou de mélange de produits pour intraveineuses) sont connectés à des réseaux, parfois sans fil, dont la sécurité peut présenter des failles.

Leurs mots de passe peuvent aussi être piratés. La société de sécurité Cylance en a publié récemment toute une liste.

«Nous aurions pu en publier 1000, nous aurions même pu aller jusqu’à 10 000. Nous nous sommes arrêtés à 300 parce que nous pensions que 300 suffisaient pour faire passer le message», a commenté Cylance sur son blogue.

«Les chances d’une attaque contre l’appareil médical de quelqu’un sont extrêmement faibles», relativise Barnaby Jack.

«Tout risque, aussi bas soit-il, doit être supprimé», juge-t-il néanmoins, espérant qu’attirer l’attention sur le problème poussera les fabricants à améliorer la sécurité des appareils.

«La plupart des problèmes de sécurité peuvent être retracés jusqu’à la conception» de l’appareil, note aussi Kevin Fu, disant avoir «des doutes qu’une stratégie seulement basée sur des antivirus ou des pare-feux soit efficace».

http://fr.canoe.ca/