Au programme dans ce billet:
  • Dropbox: pas d'authentification nécessaire?
  • Cloud Computing: pas toujours très sécurisé!
  • 1,3 millions de mots de passe volés à l'éditeur de jeux vidéo SEGA
  • CNN: des sites web vulnérables à des injections SQL
  • Union Européenne et protection des données: le devoir de notifier bientôt étendu à toutes les organisations?
  • Recensement au Royaume-Uni: la base de données des citoyens a-t-elle été volée?


Un. Pas d'authentification nécessaire pour se connecter à DropBox.
Le célèbre service d'hébergement des fichiers en ligne, DropBox, a été victime lundi dernier d'une malencontreuse et minuscule maladresse qui a désactivé le contrôle d'accès aux 25 millions de comptes des clients faisant confiance à ce service (j'ai d'ailleurs rédigé un billet sur une autre bourde de sécurité commise par DropBox il y a environ un mois).

Une nouvelle version du code source a en effet été mise en production aux alentours de 14 heures (heure suisse: 23 heures), dans laquelle les fonctions d'authentification n'étaient pas opérationnelles. L'incident a été identifié un peu moins de quatre heures plus tard, et il a fallu cinq minutes pour que l'éditeur corrige la faille. Selon l'éditeur et prestataire, seul 1 % des utilisateurs s'est authentifié durant ce laps de temps. L'éditeur examine actuellement si oui ou non des accès frauduleux sur les documents ont eu lieu.

[note: Bien entendu, il n'est pas précisé en toutes lettres que 1 % de la masse d'utilisateurs équivaut à 250'000 comptes. Il est particulièrement intéressant de noter la vitesse de réaction du prestataire. Le rôle combiné d'éditeur et de prestataire de services est probablement la raison pour laquelle il a pu réagir en quelques minutes seulement.]


Deux. Cloud Computing: pas toujours très sécurisé...
Des chercheurs allemands en sécurité ont étudié plus d'un millier d'hébergements en environnement Cloud Computing sur la plate-forme AWS, proposée par la société Amazon. Dans plus d'un tiers des cas, la configuration de l'hébergement présentait des failles de sécurité et a permis aux chercheurs d'accéder à diverses données confidentielles telles que des mots de passe, des clés de chiffrement et des certificats numériques.

[note: j'ai beaucoup apprécié le fait que les chercheurs n'ont pas hésité à placer la responsabilité sur les propriétaires des sites, victimes de leur négligence ou de leur ignorance. Une responsabilité que certains états refusent d'attribuer aux bonnes personnes, préférant plutôt concentrer leur temps à l'élaboration de lois punitives, et investir leurs ressources dans la traque aux pirates informatiques.]


Trois. L'éditeur de jeux vidéo et consoles associées SEGA a annoncé la semaine dernière avoir été victime d'une intrusion informatique sur son service SEGA Pass, une communauté en ligne. Selon le communiqué officiel publié vendredi dernier, les pirates auraient obtenu les noms d'utilisateurs, adresse e-mail, date de naissance et mot de passe. La société a confirmé dimanche que l'attaque concerne plus d'1, 3 millions d'utilisateurs. Il est précisé que les mots de passe volés étaient stockés sous forme chiffrée. La plate-forme est hors service depuis le 16 juin.

[note: il est intéressant de noter que l'éditeur a tenté de rassurer en mentionnant que les mots de passe avaient été stockés de manière sécurisée, à savoir, en faisant usage de la cryptographie. Les esprits les plus attentifs ne manqueront pas d'observer en retour que cette affirmation ne fournit aucune garantie: l'usage de la cryptographie lors du stockage de mots de passe est inutile s'il est mal effectué, et c'est souvent le cas.

Autre élément anecdotique: certains journalistes de la société CNN ont malheureusement été un peu trop impatients en attribuant l'attaque au groupe de pirates LulzSec sans vérification préalable, ce qui aura probablement un effet boomerang d'ici quelques jours. Le groupe a immédiatement réfuté toute implication dans l'attaque, déclarant ensuite via son flux Twitter qu'il soutiendrait SEGA en l'aidant à identifier les auteurs du vol]:


[note2: il semblerait que ce soit déjà fait, deux personnes viennent d'être dénoncées par le groupe.]


Quatre. Des sites Web de CNN vulnérables à des injections SQL
Le magazine Hacker News a annoncé dimanche dernier la présence de plusieurs vulnérabilités de type injection SQL sur des sites appartenant à CNN. Les détails de la vulnérabilité ont été communiqués directement sur le site, rendant ainsi l'organisation exposée à l'attaque dont les conséquences sont généralement considérées comme les plus sévères. L'organisation OWASP positionne les injections de type SQL en première position des risques pesant sur les applications Web.

[note: on remarquera le petit élément intéressant constitué par la publication de l'information un dimanche matin. Les vulnérabilités ont tout de même été immédiatement corrigées.]


Cinq. Union Européenne et protection des données : l'obligation de notifier bientôt étendue à toutes les entreprises?
L'annonce de la porte-parole de la commission judiciaire de l'Union Européenne, Viviane Reding, qui s'est exprimée lundi dernier lors d'une conférence sur la protection des données organisée par la British's Bankers Association, a fait l'effet d'une bombe lâchée en pleine audience.

La porte-parole a en effet confirmé vouloir étendre la portée des directives sur la protection des données, et plus spécifiquement celles concernant le devoir de notifier, à toutes les organisations stockant des données personnelles. Le devoir de notification, instauré par la directive européenne 95/46/EC, s'étendait en effet jusque-là aux entreprises fournissant des services de télécommunications, l'obligeant à notifier les autorités lorsqu'une brèche survient dans leur système d'information et que des données personnelles sont concernées. La porte-parole précise que l'extension de l'obligation de notifier à toutes les entreprises stockant des données personnelles aura pour effet de les responsabiliser.

Le premier pays dans lequel cette directive pourrait prendre effet sera le Royaume-Uni.

[note: la directive européenne 95/46/EC, publiée en 1995, a pour objet la protection des données personnelles des consommateurs au sein de ce l'union européenne. Le devoir de notifier en cas de brèche sur les données personnelles devait à l'origine s'étendre à toutes les organisations, mais le périmètre a été restreint aux entreprises de télécommunications avant sa mise à jour finale (je vous laisse deviner pourquoi). L'action de Mme Reding n'est finalement qu'un retour aux origines...]


Six. UK census: la base de données des citoyens britanniques bientôt en ligne?
Des pirates informatiques ont annoncé avoir volé la base de données du recensement national réalisé cette année au Royaume-Uni. Selon le communiqué, les données seront prochainement publiées sur Internet. La base de données, si elle venait à être publiée, contiendrait potentiellement les données personnelles (nom et prénoms, adresse résidentielle, structure des ménages, adresses antérieures et dates de naissance) de 62 millions de citoyens.

[note: rien à dire ici, lisez l'élément suivant!]


Sept. UK census: un auteur potentiel du vol arrêté?
Selon le journal Telegraph, un membre du groupe de pirates informatiques LulzSec aurait été arrêté hier matin (mardi) par Scotland Yard. Le suspect est âgé de 19 ans.

[note: rien à dire ici non plus, continuez de lire.]


Huit. UK census: le recensement organisé chaque décennie a été réalisé par... Lockheed Martin
Comme l'indique si clairement dans ses entrailles l'encyclopédie en ligne Wikipedia, le recensement national de l'année 2011 a été effectué par la division britannique de Lockheed Martin, Lockheed Martin UK.

[note: Si vous lisez régulièrement l'actualité de la sécurité informatique, vous savez sans doute que le fournisseur d'équipements de défense a récemment fait parler de lui en annonçant une intrusion informatique dans ses systèmes (sujet abordé ici le 31 mai dernier), réussie grâce au contournement du dispositif d'authentification forte produit par la société RSA. L'annonce avait eu un effet boule de neige et contraint cette dernière à divulguer 24 heures plus tard que sa base de données de 40 millions d'identifiants de jetons d'authentification forte avait été volée (ça aussi, abordé ici-même) lors d'un incident survenu en mars 2011 (et rebelote). Les détails de l'intrusion n'avaient pas été divulgués au public. Pour l'instant, aucun lien direct ne semble être publiquement annoncé entre l'intrusion survenue chez Lockheed Martin US et le vol des données du recensement.]