Août 2014: Lettre RePeGlio 

 Bonjour {Genre} {Nom},

L'été des méchants Russes

    L’actualité informatique a été aussi délirante que l’été pluvieux. Selon une information de Hold Security repris par le New York Times et toute la presse informatique mondiale, un groupe de hackers Russes aurait réussi à pirater 1,2 milliards de mots de passe sur les sites de 420.000 sociétés, soit 500 millions d’adresses e-mail, soit rien de moins que 50% des emails de la planète ! En tant que scientifique, nous avons toujours appris que la charge de la preuve doit être proportionnelle à l’importance d’un fait, or il est question ici du piratage du siècle.

     Première interrogation : comment la société Hold Security qui a découvert le piratage, connait-elle le volume des mots de passe et des emails piratés ? Comment ses experts ont-ils pu identifier un cyber gang Russe de douze individus nommé « CyberVor » ? Nous ne le savons pas.
    Outre l’absence de preuves fournies, ce qui pose question est la technique même décrite par Hold Security à l’origine des vols, à savoir « botnet » suivie d’une injection SQL. Comme le fait remarquer la société Kaspersky spécialisée dans les produits de sécurité, les sites professionnels sont depuis très longtemps protégés des failles dues aux attaques de type injection SQL. D’autre part, la technique du botnet s’apparente plus à celle des voleurs parking qui tentent d’ouvrir systématiquement toutes les voitures en espérant tomber par hasard sur une porte ouverte. Cette technique aléatoire de voleurs de poules ne semble pas être en adéquation avec l’importance des volumes vertigineux qui auraient été dérobés.
    Cependant, ajoute Hold Security, si une entreprise veut savoir si elle est concernée par la fuite, Hold Security propose un essai gratuit suivi d’un service payant de 120 dollars par mois destiné aux entreprises. Comme nous le voyons, beaucoup n’hésitent pas à y aller, actualité Russe oblige, au son du canon.
    A notre tour nous allons donner un conseil de sécurité qui a fait ses preuves et qui présentera l’avantage ne pas nous rapporter un seul kopeck.
    Selon nous, la sécurité commence par le choix du système d’exploitation où s’exécute le logiciel. En effet, nous partons du principe qu’il est préférable d’éviter de passer ses vacances dans un pays en guerre comme à Donetsk en Ukraine et de préférer des pays encore protégés par un Etat de droit.
    La règle fondamentale que nous proposons est la suivante : si un système d’exploitation n’établit aucune distinction entre un programme exécutable et un fichier de données, ce système d’exploitation est une passoire et il faut l’éviter. Autrement dit, s’il est possible de cacher un programme dans un fichier, il convient alors non pas de parler d’une faille mais d’une ineptie relativement à la sécurité.
    Partant de ce principe, pour sécuriser les précieuses données de gestion d’une entreprise, la toute première des précautions consiste à s’écarter des OS structurellement à risque et choisir un OS basé objet où le fichier est un objet indépendant et où le programme est un autre objet 100% distinct du précédent. Cette règle devrait être le socle de toute politique sécuritaire.
    A notre connaissance il n’existe qu’un seul OS de gestion basé objet qui répond à cette indépendance stricte des objets programmes relativement aux objets fichiers. Par expérience, l’OS auquel nous pensons n’a subi aucune attaque due à un programme espion camouflé dans un fichier, y compris en provenance des méchants Russes, en plus de vingt ans d’existence. C’est donc du vite vu bien vu ! Spasiba ! Vodka !

 Jean Mikhaleff/RePeGlio

Les conseils de Kaspersky suite aux problèmes des vols:

 Voici les conseils de la société Kaspersky à propos de la gestion des mots de passe (en Anglais):
http://blog.kaspersky.com/1-2-bln-password-leak/

Nos références:

Notre Site: www.repeglio.com

Pour un commentaire libre ou pour abonner quelqu'un: jean@repeglio.com


Pour retirer votre email d'envoi  de notre liste de diffusion: 

- Retourner-nous la lettre avec en objet OPTOUT et votre email d'envoi:  {Email}    sera retiré de notre liste de diffusion.