Hier, bon nombre de sites web étaient ralentis voire inaccessibles. Spotify, Reddit, le New York Times, Twitch, LeMonde.fr ou encore les sites de la Maison Blanche et du gouvernement britannique... tous affichaient une erreur 503. Une attaque ? Non, une simple panne chez Fastly, un CDN américain.
Hier mardi 8 juin, en fin de matinée, une panne est venue mettre le Web en émoi. De Reddit au site de la Maison Blanche, de Twitch à Spotify, en passant par les sites Web de plusieurs médias (Le Monde, le Guardian, le New York Times) ou encore Paypal, tous ont renvoyé pendant parfois plusieurs heures à une “Error 503”. Très vite, le responsable s’est fait connaître : Fastly, un CDN (Content Delivery Network) américain.
Certains ont dans un premier temps cru à une attaque. Le contexte récent, avec la multiplication des attaques visant des infrastructures critiques américaines, pouvaient leur donner raison, d’autant que Fastly est une cible bien plus vulnérable qu’un Akamai ou un Cloudflare. Toutefois l’entreprise a rapidement balayé ces soupçons, expliquant qu’il s’agissait d’un problème technique.
Bug
En cause, une mise à jour logicielle déployée mi-mai. Celle-ci contenait un bug qui pouvait être déclenché si, et seulement si, un des clients du CDN implémentait une configuration spécifique, bien que valide selon les règles de la solution. Manque de chance, c’est ce qu’il s’est produit le 8 juin : un des utilisateurs “a poussé un changement de configuration valide qui incluait les circonstances spécifiques qui ont déclenché le bug, ce qui a fait que 85% de notre réseau renvoie des erreurs” explique l’entreprise dans un post de blog.
Malgré l’étendue de la panne, les dégâts ont été limités. “Nous avons détecté la perturbation en une minute, puis identifié et isolé la cause et désactivé la configuration. En 49 minutes, 95 % de notre réseau fonctionnait normalement” explique Fastly. Peu avant 15 heures (heure de Paris), le CDN signalait avoir rétabli l’ensemble des services, quoique certains clients pouvaient encore connaître quelques soucis.
Le déploiement du correctif pour ce terrible bug a débuté en fin de journée. Fastly explique tirer des leçons de cette panne, menant dans un premier temps un post-mortem complet du problème et se penchant sur les raisons qui ont fait que ce bug n’ait pas été détecté avant la mise en production de la mise à jour.
8,4 milliards de mots de passe se retrouvent dans la nature, le monde entier est concerné !
La plus grosse fuite de l’Histoire regroupe 8,4 milliards de mots de passe. Découverte par les chercheurs de Cybernews, elle compile probablement d’anciennes fuites dans un fichier TXT de 100 Go, intitulé RockYou2021. Avec 4,7 milliards d’internautes à travers le monde, c’est potentiellement l’intégralité des utilisateurs qui est concernée.
Crédits : Unsplash
Vous n’avez sûrement pas échappé à celle-ci. Les chercheurs en sécurité de Cybernews ont découvert ce qui est probablement la plus grosse fuite de mots de passe de l’Histoire. Cette dernière regroupe pas moins de 8,4 milliards d’identifiants au sein d’un fichier TXT de 100 Go. L’auteur du post l’a publié sur un forum de hacking populaire. Celui-ci n’est sûrement pas à l’origine du piratage de tous ces comptes, préférant plutôt compiler de précédentes fuites.
Dans le fichier TXT, intitulé « RockYou2021 » en référence à la faille de 2009 de l’application du même nom, on retrouve des mots de passe entre 6 et 20 caractères, sans aucun espace ou caractère de type ASCII. Cette brèche est donc d’une tout autre ampleur. De par sa taille, elle est comparable à Compilation of Many Breaches (COMB), qui a révélé publiquement 3,2 milliards de mots de passe. À date, aucune fuite connue n’a atteint cette taille gargantuesque.
IL EST URGENT DE CHANGER VOTRE MOT DE PASSE
Au total, on compte 4,7 milliards d’internautes à travers le monde. Autant dire qu’avec cette fuite regroupant quasiment le double de mots de passe, c’est potentiellement l’intégralité des utilisateurs qui sont concernés. D’autant que la plupart d’entre eux reprennent le même mot de passe sur plusieurs comptes différents. Le nombre de données personnelles corrompues atteint alors des chiffres astronomiques.
On ne peut donc que vous conseiller de vérifier si votre mot de passe fait partie de la liste. Pour cela, vous pouvez consulter la base de données HaveIPwnd, ou celle de Cybernews qui sera sûrement plus complète sur le sujet. Si votre mot de passe n’apparaît pas de suite, retentez après quelques jours, le temps que la base de données soit entièrement mise à jour. Si malheureusement vous faites partie des victimes, vous pouvez suivre nos conseils pour trouver un mot de passe solide.
Il y a un projet intéressant qui commence à se dessiner au niveau de l’Union européenne et j’aimerais vous en parler, car ça résonne beaucoup en moi, notamment sur les aspects de décentralisation et de vie privée. Et j’y vois également beaucoup de parallèles à faire avec la DeFi (finance décentralisée).
La Commission européenne vient de proposer un cadre de travail pour construire au niveau européen une identité numérique qui sera accessible à tous les citoyens, résidents et entreprises de l’UE. Avec ce système, les citoyens pourront prouver leur identité et partager des documents électroniques à partir de leur portefeuille d’identité numérique directement depuis leur smartphone.
Ils pourront également accéder à des services en ligne grâce à leur identification numérique nationale, qui sera ainsi reconnue dans toute l’Europe.
Louer un appartement, s’enregistrer pour un vol à l’aéroport, louer une voiture, ouvrir un compte bancaire y compris en dehors de notre pays d’origine sera donc faisable facilement, de manière sûre et transparente d’après ce qu’ils annoncent. Et c’est le citoyen qui a bien sûr la main sur la façon dont il souhaite partager ses données.
Ainsi, en tant que citoyens européens, nous aurons un portefeuille numérique qui liera à la fois notre état civil (nom, prénom, date de naissance…etc.) à d’autres attributs tels que nos comptes bancaires, notre permis de conduire, nos diplômes…etc.
Ainsi l’identité numérique européenne sera disponible pour tous les citoyens, mais également les résidents et les entreprises de l’UE. Et il est question de contraindre évidemment les sociétés privées d’accepter cette méthode d’identification comme preuve d’identité au même titre que la carte d’identité.
Les portefeuilles d’identité numérique nous permettront également de choisir quels aspects de notre identité nous partagerons et avec quels tiers. Et tout sera loggé pour une traçabilité parfaite.
On n’y est pas encore et le chantier devrait démarrer en septembre 2022, mais en attendant j’ai plein de choses à dire là-dessus et surtout beaucoup d’interrogations.
Tout d’abord, ce n’est pas nouveau.
Je connais déjà ça, car j’ai eu le plaisir de me rendre en Estonie en 2019 pour justement rencontrer des gens qui traitent cette problématique. En effet, l’Estonie est un petit pays avec une force vive de fonctionnaire réduite à son minimum. Et pourtant c’est très efficace, car ils disposent d’une carte d’identité qui leur donne accès à ce que je viens de vous décrire plus haut.
Cette carte fait office de carte d’identité, de permis de conduire, de casier judiciaire, de carte vitale…etc., etc. Et tout passe par un fichier centralisé où les données sont chiffrées et où tout est loggé. Ainsi, un médecin qui accède frauduleusement à un dossier médical laissera forcément une trace. Et ce même médecin ne pourra pas consulter un permis de conduire par exemple tout comme une banque ne pourra pas consulter un dossier médical. Bref, c’est segmenté et tracé.
Et je dois dire que ça fonctionne bien.
Pour le citoyen, ça simplifie les démarches et la vie de tous les jours. Pour le gouvernement, ça permet de réduire les administrations et la paperasse de manière drastique. Et pour les forces de l’ordre, ça permet d’avoir accès à l’ensemble des données, sans laisser de trace à priori. Quand je dis à priori, je veux dire que si vous êtes soupçonné d’un truc, la police accédera à votre fichier et vous n’en saurez rien. Mais une fois que l’affaire sera clôturée, les traces de consultation apparaîtront dans le fichier. En tout cas, c’est comme ça que ça fonctionne en Estonie.
En ce moment, tout le monde respire blockchain, moi le premier et c’est vrai qu’on aurait tendance à rêver en se disant que ce portefeuille d’identité électronique serait similaire à un genre de Metamask (porte feuille cryptomonnaie) où lors de la création, on aurait en tant que citoyen, une phrase de récupération et nous pourrions y stocker toutes nos données et ainsi autoriser ou pas les tiers (sites web du gouvernement, médecin, impôts, banques…etc. à y accéder). Ce serait formidable, car nous serions vraiment aux commandes de notre identité numérique. À la fois propriétaire de nos données et garant de celles-ci. Il y a d’ailleurs des projets blockchain qui travaillent en ce sens comme Civic ou Sovrin.
Et je trouverai ça bien… Même s’il y a certaines problématiques techniques comme : que se passe-t-il si un citoyen perd son portefeuille d’identité numérique et n’a plus la clé pour le restaurer ?
J’imagine qu’il devrait s’en recréer un nouveau et récupérer la donnée ailleurs… Car oui ces données de santé, financières, de police ou d’état civil sont des données qui finalement ne nous appartiennent pas vraiment. C’est ce que le système produit comme data sur nous.
Donc même si l’idée d’une blockchain pour faire de l’identité numérique décentralisée est vraiment séduisante pour le citoyen, pour les gouvernements, ce n’est pas la même histoire. Car cela voudrait dire abandonner cette donnée pour en confier la propriété aux citoyens. Et ça, je ne pense pas que ce soit dans la todo list « respect des libertés fondamentales » de nos dirigeants.
Je pense, mais je peux me tromper, que ce projet de l’Union européenne est tout simplement un fork de ce qui a été fait en Estonie.
C’est tout.
Il s’agit d’un système bien rodé, qui fonctionne depuis des années et je ne vois pas pourquoi l’Europe prendrait le risque d’innover.
Qu’on le veuille ou non, toute cette donnée qui nous concerne existe déjà dans des bases de données éclatées, parfois mal sécurisée, dupliquée à l’infini, sans date de péremption et pire, on n’y a pas du tout accès sans passer par un tiers et on ne sait pas qui y accède.
Et le fait de recentraliser ces données dans un seul gros fichier a évidemment des avantages et des inconvénients.
Les avantages
Moi qui suit encore plus phobique administratif que Thevenoud, je peux vous dire que pour moi ce serait le paradis.
1 seule carte d’identité, toute numérique, toute centralisée, tout est simple, tout est beau.
C’est séduisant et pratique dans la vie de tous les jours. Fini les complications et les formulaires, finis les 50 pièces justificatives à fournir en 10 exemplaires, finis le renouvellement des papiers…etc. Et tout cela au niveau européen, quel pied ! On pourra faire tout ce qu’on peut faire actuellement, mais beaucoup plus facilement et rapidement.
Et l’un des gros avantages, c’est que tout sera tracé. On saura ainsi précisément qui accède à quoi nous concernant et apparemment, on pourra dire si on est d’accord ou pas de partager telles ou telles infos avec des tiers.
Les inconvénients
En cas de hack ou d’abus de position, il est possible qu’une personne mal intentionnée sache tout de vous (administrativement parlant) et puisse altérer ces données. Une identité numérique pourrait également être entièrement dérobée et attribuée à quelqu’un d’autre.
Évidemment, il pourrait aussi y avoir des bugs… pardon, il y aura des bugs, c’est certain. Et on en mesurera les impacts qu’une fois que le système sera déployé.
Le travail serait également plus facile pour les forces de police. Et la centralisation des données permettra par exemple aux banques et aux assurances de mieux évaluer votre profil (impôts, dossier médical ou situation judiciaire) avant de vous accorder un prêt ou un contrat d’assurance. Même si les données médicales ne sont pas accessibles en clair pour ces entités (enfin, j’espère, mais ce n’est pas gagné) , il est envisageable d’imaginer des « notes » générées à partir de votre fichier qui seront alors communiquées à des entités tierces.
Android : Google a caché les paramètres de confidentialité pour que les utilisateurs ne les désactivent pas
Des documents contenus dans le procès intenté par l'Arizona à Google ont dévoilé que les dirigeants et les ingénieurs de l'entreprise savaient que le géant de la recherche avait fait en sorte que les utilisateurs de smartphones aient du mal à préserver la confidentialité des informations de localisation.
Alors que Google a récemment amélioré la protection de la vie privée avec Android 12, l’entreprise américaine n’a pas toujours été un bon élève dans ce domaine. En effet, selon des documents découverts par nos confrères de Business Insider, Google a rendu les paramètres de localisation plus difficiles à trouver dans son système d’exploitation Android afin que les gens ne les désactivent pas.
GOOGLE A FORCÉ LES FABRICANTS À CACHER LES PARAMÈTRES DE CONFIDENTIALITÉ
Google aurait décidé de cacher les paramètres relatifs à la localisation après avoir constaté une « augmentation substantielle » du nombre d'appareils désactivant ces paramètres lorsqu'on leur présentait des options facilement accessibles. Cela posait un problème au géant du numérique, puisqu’il se sert de ces données collectées pour faire des campagnes de publicité ciblées. Google aurait donc pris la décision d’enfouir ces paramètres dans les options d’Android, afin de rendre la tâche plus difficile à ceux qui souhaitaient les désactiver.
Selon les avocats de l'Arizona, le géant de la technologie a également « réussi à faire pression » sur des fabricants de smartphones comme LG pour qu'elles enterrent les paramètres de localisation dans leurs smartphones. Pourtant, le document révèle également que Google continuait tout de même à collecter des données de localisation même lorsque les utilisateurs avaient désactivé le partage de la localisation, on peut donc se demander pourquoi l’entreprise s’est donné autant de mal à cacher ces paramètres.
Pour les utilisateurs qui souhaitent vraiment ne pas être pistés par Google, la tâche ne serait pas si simple. La difficulté de cacher son emplacement à Google a été révélée dans une déposition de Jack Menzel, ancien vice-président de Google chargé de Google Maps. En effet, il a déclaré que les internautes devaient intentionnellement tromper Google en définissant leurs adresses enregistrées comme des lieux aléatoires, afin qu'il ne pas puisse déterminer correctement leurs lieux de résidence et de travail.
Voilà qui n’est pas rassurant. Plusieurs nouveaux groupes de pirates sont apparus dans la scène des malveillants informatiques spécialisés dans le rançonnage numérique. Des adeptes du ransomware qui affichent déjà plusieurs dizaines de victimes dont un assureur français ou encore Coca-Cola Chili et Bolivie.
Ils signent leurs malveillances numériques sous les pseudonymes de Promotheus, Elon musknow, leakleakleak, Payload ou encore Grief.
ZATAZ surveille les actions de 72 groupes de rançonnages et j’avoue être étonné de l’apparition d’autant de groupes en si peu de temps (15 jours). Des pirates qui agissent dans l’ombre depuis des mois. Est-ce des « affiliés » venus de chez Darkside. Ce groupe a fermé boutique aprés l’arrestation d’un de ses utilisateurs. Un Québécois qui serait le présumé auteur de la cyberattaque de Colonial Pipeline. Une arrestation par la GRC qui aurait obligé les « chefs » de Darkside à plier bagage.
Promotheus, le plus vorace de ces nouveaux terroristes du numérique, affiche 27 victimes depuis la fin mars 2021.
Dans leur tableau de chasse : Coca-Cola Embonor, la filiale Chilienne et Bolivienne de la boisson à bulles ou encore l’assureur français Arca.
En Belgique, le système informatique du ministère de l’intérieur a été piraté depuis deux ans
La Chine est soupçonnée d’avoir profité d’une faille du système Microsoft Exchange pour mener une attaque de grande ampleur depuis le printemps 2019.
La Belgique a subi, au cours des deux dernières années, un piratage informatique de très grande ampleur, au point qu’il a, pour la première fois, été classé dans la catégorie « crise nationale ». Ceci équivaut à un signal d’alarme adressé à toutes les branches du service public pour qu’elles renforcent leurs mesures de protection.
Attribuée à « un Etat étranger » – la Chine, « à 99,9 % » selon un expert cité mercredi 26 mai par le quotidien De Morgen –, la cyberattaque a visé le ministère fédéral de l’intérieur, dont presque tout le système aurait été violé, hormis, cependant, ses éléments les plus sensibles au plan sécuritaire, affirment des sources officielles, dont le parquet fédéral chargé du terrorisme et de la grande criminalité.
C’est en mars que les autorités auraient découvert cette intrusion, qui a commencé au printemps 2019 et est, en réalité, un exercice d’espionnage à très vaste échelle. Les services du renseignement intérieur, du renseignement militaire et le Centre national de crise sont chargés de l’enquête. La complexité de l’opération et l’ampleur des moyens utilisés renvoient, presque à coup sûr, à l’action d’une puissance étrangère que le ministère de l’intérieur se refuse, cependant, à désigner.
Défaut identifié en 2020
Inti de Ceukelaire, spécialiste de la cybersécurité qui se définit comme un « hackeur éthique » et s’était rendu célèbre en manipulant le compte Twitter de Donald Trump en 2018, désigne, lui, Pékin comme l’organisateur d’un piratage qui a utilisé une faille du système Microsoft Exchange. Celui-ci permet notamment les échanges de courriels au sein d’une organisation.
Ce défaut, inconnu jusque-là, a été identifié et corrigé en 2020. A cette occasion, c’est un groupe de hackeurs chinois appelé « Hafnium » – du nom d’un élément chimique – qui a été désigné comme le seul capable d’avoir identifié ce défaut. Il serait directement lié à l’Etat chinois.
Hafnium a également été montré du doigt lors d’attaques qui avaient ciblé, aux Etats-Unis, des instituts de recherche travaillant notamment sur les maladies infectieuses, des universités, des ONG, des acteurs du secteur de la défense, etc. Pour les spécialistes belges, c’est ce groupe qui était donc à l’œuvre en 2019, quand le ministère de l’intérieur a été ciblé. Celui-ci chapeaute tous les services de sécurité, possède toutes les données d’identité des citoyens regroupées dans un « registre national », ainsi que les informations sur les résidents étrangers, organise les élections, etc.
C’est la deuxième fois en quelques semaines que la Belgique met au jour une cyberattaque. Mardi 4 mai, Belnet, un service public qui assure l’accès à Internet du Parlement, des universités, des organismes de recherche, des hôpitaux, etc., a été paralysé.
Les services de renseignement ont refusé, cette fois-là aussi, de désigner l’éventuel responsable de la cyberattaque mais tous les regards se sont tournés vers la Chine. D’autant que le Parlement débattait, ce jour-là, de la situation de la minorité ouïgoure du Xinjiang en vue du vote éventuel d’un texte condamnant l’attitude du gouvernement chinois en la qualifiant de « génocide ».
Nous utilisons des cookies sur notre site web. Certains d’entre eux sont essentiels au fonctionnement du site et d’autres nous aident à améliorer ce site et l’expérience utilisateur (cookies traceurs). Vous pouvez décider vous-même si vous autorisez ou non ces cookies. Merci de noter que, si vous les rejetez, vous risquez de ne pas pouvoir utiliser l’ensemble des fonctionnalités du site.
