Ok

En poursuivant votre navigation sur ce site, vous acceptez l'utilisation de cookies. Ces derniers assurent le bon fonctionnement de nos services. En savoir plus.

17/12/2016

Tout connecter? N'est ce pas inquiétant?

C’est sur une « lettre » de Futura Tech que j’ai découvert qu’en juillet 2015, 2 chercheurs en sécurité informatique avaient crée la «  stupeur en prenant le contrôle d’une Jeep Cherokee a distance grâce a une simple connexion cellulaire. » Bilan, 1,4 million de véhicules avaient du être rappelés pour une mise à jour.

L’utilisateur de tous les jours oublie que les voitures modernes sont devenues des ordinateurs donc peuvent être piratés. Aux USA, le FBI a tiré la sonnette d’alarme. Il estime que « des failles de sécurité peuvent exister au niveau des fonctions de communication sans fil d'un véhicule, sur un téléphone cellulaire ou une tablette connectés au véhicule via USB, Bluetooth ou WiFi ou également au niveau d'appareils tiers branchés sur la prise de diagnostic».
Conclusion, il est facile pour le «  pirate » d’ agir sur le freinage, la direction, l’accélérateur éclairage, l’essuie-glace etc….
Même si la voiture n’est pas équipée par le fabricant, sur Internet, pour quelques dizaines d’€, on peut trouver des boitiers qui permettent via son smartphone d’avoir accès aux données de conduite. Il y a aussi des compagnies d’assurance qui proposent des « boites noires «  pour analyser leur style de conduite. Tous ces outils tiers peuvent être piratés et permettent de prendre le contrôle de la voiture.
Le FBI a édité des mises en garde et exprimé des inquiètudes pour les voitures connectées autonomes (250 millions en 2020, dit-on) dont le fonctionnement repose entièrement sur des systèmes informatises.

Tesla a compris le problème le jour où une équipe de chercheurs chinois a transformé une Tesla Model S « en jouet  téléguidé ». Alors, puisqu’on ne peut empêcher les hackers d’agir, Tesla a engagé une équipe de « gentils hackers » pour déceler et réduire les risques de faille. Mais il faut croire que le piratage devient bien inquiétant car le sénat américain a déposé une proposition de loi pour punir ce délit d’une peine de prison a vie.
Alors maintenant les constructeurs suivent l’exemple de Tesla, ils engagent des hackers pour mettre les failles en lumières et sécuriser les véhicules. Et leurs « récompenses » peuvent atteindre des sommes records.

Je lis souvent Clubic et c’est à ce site informatique que j’emprunte les exemples suivants.
En 2010, un employé d'une société de location de voitures au Texas, mécontent d'avoir été licencié, avait réussi à immobiliser une centaine de véhicules en réécrivant une partie du code du logiciel qui permettait de contrôler le système de démarrage à distance des véhicules du loueur.
Un piratage en plein essor , paraît-il, c'est le vol , il concerne toutes les voitures dotées d'un système de verrouillage électronique à distance . Le matériel coute de 20 à 40€. Le voleur guette l’automobiliste qui gare son véhicule et à l’aide d’un « brouilleur de signal », il empêche la fermeture des portières et le déclenchement de l'alarme s'il y en a une.
D’autres outils plus sophistiqués existent, par exemple a partir de la valise test des garagiste trafiquées pour prendre le contrôle total de la voiture, reprogrammer des clés, débloquer l'antidémarrage, effacer l'historique d'entretiens, voire de modifier le kilométrage.
Et Clubic relate l’expérience d’un journaliste au volant de sa voiture et 2 hackers dans une maison a 15 km de là, « Adam Greenberg n'a aucune idée du type d'attaques prévues par les deux experts. Confortablement installés au fond d'un canapé, ils lancent des commandes à l'aide d'un ordinateur portable et commencent à jouer à distance avec l'air conditionné, la radio, ou encore les essuie-glaces du véhicule. La situation devient beaucoup plus inquiétante lorsqu'ils parviennent à prendre le contrôle total de la voiture en lieu et place du conducteur et à décélérer, freiner, éteindre le compteur de vitesse, etc. Visiblement pris de panique, le journaliste, sur autoroute, finira par les appeler pour mettre fin à son calvaire. »
Ces technologies ont pour but d'apporter confort et sécurité au volant, elles exposent également les automobilistes à de nouveaux risques.

En écrivant cette note, j’écoute «  piratage informatique qui ont perturbé l’élection américaine»
Et si un service secret d’un pays ou l’autre décidait de pirater les voitures de ses « ennemis »? Nouvelle sorte de guerre? D’autant plus que tout bon informaticien peut apprendre à hacker. Demandez à Google de vous offrir des sites d’apprentissage, vous avez tous les choix.
Après ces 3 notes, on peut dire que l’informatique est la plus merveilleuse ou la plus inquiétante des découvertes. Faut-il croire à la sagesse de l’homme?

10/12/2016

Tout connecter! Est ce bien raisonnable?

30 novembre, Encore lu sur le Monde. « Un logiciel malveillant, baptisé Gooligan, s’est installé sur 57 % des terminaux Android en Asie, et 9 % en Europe », selon Check Point, une société de sécurité informatique.Ce « malware » s’installe dans les smartphones et tablettes Android, récupère les adresses e-mail et les authentifications stockées sur les appareils, et s’en sert pour installer à l’insu de l’utilisateur des applications frauduleuses permettant de générer des revenus. 2 millions d’applications ont été installées par Gooligan à l’insu des utilisateurs depuis son apparition, affirme l’entreprise israélienne. Ce qui rapporte, à chaque fois, un peu d’argent aux créateurs du malware : il est en effet courant, dans le domaine publicitaire, de rémunérer les organismes tiers à chaque téléchargement d’application qu’ils ont pu générer. Voilà pourquoi l’ouverture de chaque site nous oblige à ‘« ingurgiter »  des pubs dont on n’a que faire, c’est ainsi que le site vit et s’enrichit

Plus grave, il y a maintenant le ranconware. Qu’est ce qu’un Ranconware? C’est un logiciel de rançon: un virus bloque votre ordinateur ou crée des restrictions dans son utilisation et on vous propose le paiement d’une rançon pour (peut-être) vous rendre votre ordinateur en état de marche. Vous payez et alors, le pirate procède à la désinfection du virus.
Non, ce n’est pas une blague!
4 Decembre ( Sciences et Avenir) Un logiciel malveillant, exigeant une rançon, a ainsi pris le contrôle des opérateurs de paiement des transport en commun de San Francisco.. et permis aux usagers de voyager gratuitement pendant deux jours. Quand les passagers voulaient acheter leur titre de transport... l'automate bancaire affichait «  hors service » et un message rouge sybillin indiquait qu’un pirate avait bloqué la machine afin de soutirer une rançon à l'opérateur, et qu'aujourd'hui vous voyageriez « à l'oeil ». On demandait 70000€ à l’agence de transport, mais on a trouvé le hacker qui avait bâti un véritable business fort lucratif!

Les risques liés à la sécurité informatique, avec le progrès galopant de la digitalisation de tous les pans de la vie numérique … et physique, la vulnérabilité des systèmes peut vite devenir une faille critique... et notamment avec l'essor des smartgrids (dénominations d'un réseau de distribution d'électricité ou d’eau dit « intelligent », c'est-à-dire utilisant des technologies informatiques d'optimisation de la production, de la distribution et de la consommation)..qui entremêlent réseaux de distribution (énergie, électricité, eau...) et réseaux numériques. Les précédents existent . Un rapport ne recense pas moins de cinq cents incidents de cybersécurité dans quarante pays en 2015 , dont le piratage d’un petit réseau de distribution électrique aux USA. touchant 50000 abonnés. Mais l’un attire tout particulièrement l'attention : il concerne une station d’épuration bien réelle mais dont le nom a été changé et le pays d'implantation non divulgué pour éviter de la compromettre. Et pour cause ! le rapport relate la façon dont des hackers ont réussi, très facilement, à manipuler la composition chimique de l’eau qui est redistribuée aux habitants!

Et le titre de la Tribune du 2 décembre «  Il suffit de 6 secondes pour pirater votre carte bleue ». Des chercheurs sont parvenus à contourner facilement ls systèmes de paiement sécurisés mis en place et ce, sans même posséder la carte bancaire physique utilisée et sans connaître aucun détail de celle-ci. Il suffit d’un ordinateur, d’un accès Internet et 6secondes ( Université de Newcastle au Royaume Uni)
Connectée sur différents sites, l'équipe de chercheurs a généré de façon répétée et continue des variations des différentes informations sécurisés de cartes de paiement (numéro de carte, date d'expiration et cryptogramme visuel) jusqu'à obtenir un résultat favorable. D'après l'étude, c'est vraisemblablement une attaque du genre qui était au cœur de l'attaque informatique contre la filiale bancaire du géant britannique Tesco. D’arès el journal la Tribune,40000 comptes ont été piratés et 20000 se sont vus retiré de l’argent!

Pour clore la série, il y a quelques jours, on apprenait que Daily Motion, entreprise française de vidéos, avait été piratée au mois d’octobre: vol de 85 millions d’adresses mails et d’identifiants et de 18,3 millions de mots de passe.

Il y aura encore une note la dernière pour parler des voitures connectées et des facilités a apprendre a hacker , ce qui est toujours possible pour un bon informaticien.

06/12/2016

Tout connecter! est-ce bien prudent?

Ecouter les journalistes parler du monde futur devenu entièrement informatisé avec tout évènement, même le plus anodin de notre vie, transitant par notre smartphone ou un objet connecté, c’est entrer dans le monde merveilleux de l’avenir ou tout sera simple, radieux et où même la mort n’existera plus.
Mais lire les revues et sites techniques qui me passionnent ouvre d’autres perspectives moins réjouissantes. En l’espace d’un mois, j’ai découvert des choses bien insoupçonnées.

29 novembre: Mac Bidouille titre «  une faille de sécurité touche des millions de routeurs dans le monde » . Ce qui veut dire que des millions d’ordinateurs ont échappé au contrôle de leur utilisateurs. On les appelle alors des « machines zombies ». Le cybercriminel a accès à son contenu et ce qui y transite, mais plus grave il peut alors attaquer d'autres machines en dissimulant sa véritable identité, puisqu'il emploie celle du propriétaire de l'ordinateur. A cette date, il donnait l'exemple de Deutsche Grammophon qui avait été complètement paralysé

21 Octobre: C’est dans le Monde  que je lis « Une attaque informatique massive a paralysé une partie du Web, essentiellement aux Etats-Unis", En fin d’après-midi il y avait eu  2 attaques différentes. 
La première du type « déni de service », qui consiste à saturer un service de connexion pour le rendre inaccessible aussi longtemps qu’on le souhaite. La seconde n'a pas été expliquée mais elle a touché des sites parmi les plus importants de la planète. Twitter, Netflix, d’autres moins connus et le site du New York Times . M. Bonnenfant, directeur de produit français explique: « Ce qui est particulier dans cette attaque, c’est sa durée, qui est assez exceptionnelle. C’est très préoccupant, car ces infrastructures sont censées être les plus robustes »... « On peut se poser de grosses questions sur la robustesse de certaines ressources Internet dans les mois venir notamment à cause de l’Internet des objets . Le nombre de terminaux facilement accessibles augmente , ils peuvent être mobilisés à l’insu de leur propriétaire pour lancer des attaques. ». Pas très rassurant!

Et  je ne résiste pas au plaisir de raconter quel peut être le rôle des objets connectés. J’ai lu le 6 novembre une étude, menée par des chercheurs israéliens concernant les ampoules Philips Hue, ampoules intelligentes connectées au smartphone, qui seraient, disent-ils, "futures cibles des hackers"
Ils ont créé un “ver” informatique à l’aide d’un protocole peu connu et expliquent “Le ver se répand en sautant directement d’une lampe à ses voisines et l’attaque a rendu folles les lumières connectées d’un bâtiment ». Les chercheurs affirment n’avoir utilisé que des équipements bon marché du commerce. et concluent: “Ceci démontre une fois de plus la difficulté d’assurer une sécurité correcte même pour une grande entreprise qui utilise des techniques standards de cryptographie pour protéger un produit majeur”.

Ce sera tout pour aujourd'hui, mais j'ai accumulé tant d'exemples que je pense écrire 3 notes sur ce sujet. Je me demande si l'avenir tout connecté sera si radieux que çà!