Avec un successeur au Secure Hash Algorithm 2 (SHA-2) d'ici cet été, des questions se posent quant à savoir si cette nouvelle norme de chiffrement est vraiment nécessaire. Les fonctions de hashage utilisées pour calculer des numéros courts à partir de grands ensembles de données pour permettre leur authenticité est la base des mécanismes de sécurité. Le National Institute of Standards and Technology (NIST), qui est responsable du processus, a commencé à parler du successeur SHA-3.

Les recherches sur SHA-3 ont été lancées à cause d'attaques réussies sur SHA-1 et MD5 qui peuvent en principe être applicables au SHA-2. Le chercheur en informatique Tim Polk du NIST a dit à la 83ème réunion de l'Internet Engineering Task Force (IETF) qu'aucun des cinq finalistes de la compétition visant à un trouver un nouvel algorithme SHA n'a été affecté par des attaques connues sur MD5, SHA-1, SHA-2 ainsi que le "Merkle–Damgård construction" qui est basé sur les trois précédents algorithmes.

Mais la concurrence et les plus de 400 articles et essais scientifiques présentés lors de cette compétition ont montré que SHA-2 est plus rapide que les cinq finalistes pour de nombreuses tâches. SHA-3 arrive en tête seulement pour de courts hash basés sur le code d'authentification de message (MAC, Message Authentication Code).

Chacun des cinq finalistes a ses propres forces par rapport au SHA-2 mais aucun n'est meilleur vue d'ensemble. C'est une autre raison pour laquelle le NIST a commencé à se demander si le vainqueur de la compétition SHA-3 serait mieux pour l'évolution de l'algorithme SHA-2. Polk dit qu'il s'attendait à ce que le SHA-2 soit cracké avant la fin de la compétition et a ajouté que SHA-2 apparaît encore offrir un excellent niveau de sécurité.

Cet aveu a été un facteur qui fait que les chercheurs en sécurité de l'IETF se demandent si l'évolution du SHA-2 est vraiment nécessaire. Il serait déraisonnable de s'attendre à ce que les utilisateurs entreprennent un processus de migration juste pour le plaisir. Russ Housley, vice-président de l'IETF, a d'ailleurs ajouté que de nombreux administrateurs n'avaient pas encore fait le saut de SHA-1 vers SHA-2. La plupart des experts lors d'entretiens effectués à Paris se sont opposés à l'idée d'introduire encore un autre algorithme seulement pour couvrir le pire scénario qui pourrait compromettre le SHA-2. En gros lorsque les attaques développées sur ces algorithmes seront plus formalisées, un nouvel algorithme sera nécessaire.

J'ai essayé d'être le plus clair possible sur les enjeux en employant des mots simples et en vous glissant pas mal de liens si vous voulez en apprendre un peu plus.

Google a ajouté de nouvelles fonctionnalités à son OAuth 2.0 Playground qui a été lancé en Novembre dernier.

Les développeurs peuvent maintenant passer côté client. Le système a ajouté également le support pour les APIs qui utilisent OAuth 2.0 pour les drafts 10 à 25. Google a également ajouté une fonctionnalité qui permet de voir facilement les opérations prises en charge par l'API en fonction du token de l'utilisateur. Pour rendre plus facile l'utilisation du Playground sur une large période, les développeurs ont désormais la possibilité d'actualiser leurs tokens d'accès automatiquement.

OAuth 2.0 Playground permet aux développeurs de se promener à travers chaque étape du workflow OAuth 2.0 pour les applications web côté serveur. Un gain de temps non négligeable car Playground affiche la requête HTTP complète et les réponses de chaque API pour permettre aux développeurs de déboguer et tester le protocole. Cela laisse le choix au développeur des autorisations à mettre en place pour chaque API.

Pour ceux qui ne le savent pas, OAuth est une norme ouverte pour l'authentification qui permet aux utilisateurs de s'authentifier auprès des sites web sans partager leurs informations d'identification. Cela leur permet d'accorder un accès à leur place aux informations stockées avec un autre service. OAuth 2.0 n'est pour l'instant pas compatible avec OAuth 1.0 mais est actuellement en train d'être normalisé.

Un nouveau rapport provenant de l'ISF (Information Security Forum) et intitulé Threat Horizon 2014: Managing Risks When Threats Collide nous montre que le monde informatique au cours de ces deux prochaines années risque de devenir plus complexe à protéger.

"Alors que les menaces individuelles continueront de poser un risque, il y a un danger encore plus grand quand celles-ci se combinent, comme lorsque des criminels en bade organisée adoptent des techniques développées par certains hacktivistes." C'est le point de vue de Steve Durbin, vice-président de l'ISF lors de la parution du rapport. Il pointe également du doigt la traditionnelle gestion des risques qui n'est pas suffisante pour faire face aux impacts potentiels des nouvelles formes de cybercriminalité.

Le rapport classes 10 menaces dans 3 domaines fondamentaux :

• Les menaces extérieures
• Les menaces de réglementation
• Les menaces internes

Pour les menaces extérieures, le domaine de l'espionnage grandira et se développera et certaines organisations pourraient en pâtir si elles adoptent des vieux protocoles de sécurité. Les cibles principales concerneront n'importe qui du moment qu'elles peuvent apporter un certains avantage/profit. Les attaques seront portées de plus en plus sur des systèmes physiques afin d'instaurer un climat de panique.

En ce qui concerne les menaces de réglementation, une organisation contrainte de signaler les risques de sécurité ou une attaque peut avoir autant à craindre de ses clients ou partenaires que des pirates. L'accent sera mis sur la vie privée, ce qui obligera les organisations à investir dans des contrôles de sécurité drastiques.

Enfin pour les menaces internes, les organisations investiront autant, si ce n'est plus, dans la sécurité que le domaine propre de l'IT. La compétition entre les organisations se jouera à ce niveau là. Il naîtra également un besoin d'informations en ce qui concerne la cybercriminalité afin de se prémunir des futurs schémas de piratage. Peut-être que l'accès à la technologie cybercriminelle sera plus accessible et moins coûteuse qu'aujourd'hui.

Pour résumé, Durbin dit qu'aujourd'hui certaines organisations laissent de côté l'aspect sécuritaire de leur infrastructure informatique. Avec la vitesse et la complexité des menaces à venir, leurs finances et réputation risquent fortement d'être compromises. Comme il le souligne : "Les organisations ont besoin de faire le point dés aujourd'hui afin de s'assurer qu'elles sont bien préparées".

L'ISF est mondiale, indépendante et appuyée par l'industrie. Elle mène des enquêtes sans but lucratif, clarifie et résout les problèmes de sécurité de l'information, de la gestion des risques et développe des méthodologies pour de meilleures pratiques.

Dans une série d'attaques ciblées sur les ONG au Tibet, les assaillants visent non seulement des systèmes Windows, mais aussi Mac. Les pirates ont envoyé des emails à des ONG contenant soit des fichiers Office contaminés ou des liens vers un site web malveillant. Certains des fichiers Office pourraient infecter Mac en exploitant une faille de sécurité dans Office pour Mac. Cette vulnérabilité a été corrigée il y a trois ans mais ne peut bien sûr être efficace que si le patch est bien installé.

Les liens dans les emails ciblent des pages qui contiennent un exploit Java qui a profité d'un "gap" (CVE-2011-3544) qui a été corrigé en Novembre dernier. La particularité de cette attaque est qu'elle utilise un dropper sur le site web qui pourrait infecter à la fois Windows et Mac (en supposant qu'un système de mise à jour de Java n'a pas été installé). Selon le système d'exploitation qui a été utilisé pour charger la page (détecté en analysant le useragent), un malware approprié a été sélectionné qui ouvrirait une backdoor dans le système pour les pirates.

Lors de l'installation sur un système Windows, le malware déployé était une variante de Gh0st RAT (un trojan d'accès à distance). Sur Mac par contre, c'était un nouveau malware nommé OSX / Lamadai.A qui a été utilisé. Eset a analysé ce malware et a constaté qu'il se copiait dans /Library/Audio/Plug-Ins/AudioServer qui, pour les utilisateurs sous OS X 10.7.2 semble signifier qu'il n'est pas persistant. Une fois installé, il tente d'appeler un serveur C&C avec une connexion chiffrée. Eset a observé qu'un pirate s'est connecté sur une de leur machine de test pour parcourir le système de fichier et récupérer le fichier keychain (gestionnaire de mots de passe sous Mac) et les cookies de Safari. La vulnérabilité dans le système Mac Java a été patché dans Java pour Mac OS X 10.7 Update 1 et la 10.6 en Novembre 2011. Pensez donc à vous maintenir à jour

La Commission européenne dit qu'elle veut un centre pour la lutte contre la cybercriminalité qui aidera à protéger les citoyens et les entreprises contre les crédits en ligne, les fraudes bancaires, le piratage de smartphones et les attaques à grande échelle sur les services publics et les infrastructures. "Nous ne pouvons permettre aux criminels informatiques de perturber notre vie numérique", a déclaré Cecilia Malmström, commissaire aux Affaires Intérieures, annonçant l'unité. Elle a ajouté, "Un Centre européen de lutte contre la cybercriminalité, situé dans les locaux d'Europol, se placera au cœur de la coopération dans la défense d'un internet à la fois libre, ouvert et sûr."

Les enquêteurs qui feront partis de cette unité devront prendre les mesures nécessaires pour prévenir les crimes tels que ceux des réservations en ligne sur tout le domaine e-banking, la protection des profils de réseaux sociaux et la lutte contre le vol d'identité en ligne. Ils porteront également leur intérêt sur "la cybercriminalité qui cause un préjudice grave à leurs victimes", une catégorie qui comprends à la fois l'exploitation sexuelle des enfants et les cyber-attaques sur les infrastructures essentielles.

Ces objectifs seront atteints en avertissant les États membres de l'UE de toutes les menaces et de les alerter sur les faiblesses de leur défense en ligne. La Commission envisage également pour eux qu'ils identifient les réseaux criminels et fournissent un soutien opérationnel dans les enquêtes qui viendraient à être ouvertes. Autant dire qu'il y a vraiment beaucoup de travail...

Si cette mesure est appliquée par le conseil d'administration d'Europol, la nouvelle unité devrait entrer en service avec un effectif initial de 30 employés en Janvier 2013 et opérerait au sein d'Europol dans l'Agence européenne de Police prés de The Hague.

Selon la Commission européenne, la cybercriminalité coûte au Royaume-Uni prés de £27 milliards chaque année. La majeure partie de cette perte (£21.7 milliards) est pris en charge par les entreprises, £3.1 milliards perdus par les citoyens et les £2.2 milliards restant perdus par le gouvernement.

Protéger TOUS les citoyens, les entreprises au sein de l'Europe bin voyons...
Encore des postes à 10.000€/mois...