X

News Partenaire

Attaques DDoS : ne vous laissez pas submerger !

GitHub, OVH ou le Liberia et même récemment l’ANSSI, ont en commun d’avoir été ciblés par des attaques de type DDoS (Distributed Denial of Service) avec des conséquences allant de la perte d’activité, de visibilité jusqu’à une absence totale de connectivité. Ces offensives s’appuient sur des systèmes informatiques (PC, serveurs ou objets connectés) qui envoient massivement des requêtes à un site pour le saturer et au final le faire tomber.

Législatives : 130 000 Français ont voté dangereusement par Internet

Les Français de l’étranger, qui peuvent voter par Internet depuis le 23 mai, ont été potentiellement la cible de détournements de leurs votes. Malgré la dénonciation d’une possible faille lors du vote, rien ne semble avoir bougé. 

Décidément, le vote autre que sur un morceau de papier a du mal à rassurer, et encore… Déjà en 2007, nous relayions dans un papier les alertes des informaticiens concernant le vote électronique (des machines dans les urnes). Aujourd’hui, c’est le vote par Internet qui est la cible de menaces. Et pour la première année, les Français de l’étranger avaient la possibilité d’utiliser ce moyen. 

Sur le papier, la démarche est excellente, puisqu’elle évite de se déplacer dans des bureaux de vote. En revanche, la presse fait état de gros problèmes de sécurité qui d’une part n’ont pas été réglés, d’autre part ont été presque ignorés. Pourtant, dans un document d’une vingtaine de pages (ci-dessous) assorti d’une vidéo en situation réelle, le développeur Laurent Grégoire démontre par A + B comment il est possible de détourner un vote : vous votez pour monsieur X, et c’est finalement madame Y qui reçoit votre vote. 

Une attaque relativement simple

Le document, intitulé « Comment mon ordinateur a voté à ma place (et à mon insu) », est très détaillé et explique, des généralités à l’injection du programme malveillant, comment un vote peut être compromis. L’attaque se déroule en 3 étapes : 

  • Décompilation et analyse du code client utilisé par le vote,
  • Modification de la partie du code permettant de modifier le choix de l’électeur à son insu,
  • Injection du code ainsi modifié dans la machine virtuelle. 

« L’utilisation du code Javascript nous facilite la tâche sur toutes les étapes du processus », note Laurent Grégoire. Il explique ensuite comment, aisément, il récupère le programme (.jar) de vote « non-obfusqué », ce qui rend l’analyse du code plus simple. Le programme est ensuite décompilé avant de créer un profil de débogage. Il est ainsi facile d’analyser les valeurs des différentes variables, avant de les modifier. 

Au fil des pages, on comprend donc que l’utilisateur peut être floué sur son vote, via un malware installé sur sa machine en toute discrétion. Dans la vidéo en situation réelle, Laurent Grégoire démontre la faisabilité de son système, qui modifie le vote entre le choix d’un bulletin et la demande de validation, ce qui peut être visible par l’électeur. Toutefois, le développeur affirme également qu’il est possible de modifier le vote après la validation, ce qui induit que personne ne peut s’en apercevoir. 

130 000 votants

Les français de l’étranger sont 130 000 à avoir voté, depuis le 23 mai, par Internet. Ils sont donc autant à avoir été exposés à un potentiel détournement de leur vote. Un chiffre finalement assez peu élevé puisqu’ils sont environ 1,2 million dans le monde. Outre le vote par Internet, ils avaient 3 autres choix : se rendre dans un consulat, faire une procuration à un proche ou voter par correspondance.

Alerté par cette possibilité de fraude, le ministère des affaires étrangères et européennes a tenté de rassurer. Via une campagne de communication tout d’abord, mais aussi en affirmant que le BVE (Bureau de Vote Electronique) peut à tout moment interrompre ce mode de scrutin s’il soupçonne que sa sécurité est compromise. 

Hors comme l’a démontré Laurent Grégoire, il semble possible de pouvoir compromettre le vote sans que ni les électeurs, ni le BVE ne s’en rende compte.  

Comment mon ordinateur a voté à ma place (et à mon insu)


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider


Quel ultra-portable choisir ?

Quel ultra-portable choisir ?

Cinq ultra-portables Windows 10 et Chromebook en test : de 409 à 1300 euros. Et de 0,75 à 1,68 kg. HP Envy x2, Dell Chromebook 3380, Acer Chromebook Spin 13, Asus NovaGo et HP Chromebook x360.

Conteneurs

Conteneurs

Docker a fait le boulot. Bon nombre de développeurs ont adopté les conteneurs, si bien que désormais tous les fournisseurs de Cloud se battent pour les attirer. Enquête sur le nouveau phénomène cloud du...

Pourquoi IBM rachète Red Hat

Pourquoi IBM rachète Red Hat

Yann Serra
Red Hat détient OpenShift, la clé qui doit permettre à IBM de maintenir, voire dépasser ses 8 % de part sur un marché du service cloud qui, dit-on, représentera en 2019 « mille milliards de dollars...

RSS
Afficher tous les dossiers

CYBER-RÉSILIENCE : une question d'anticipation - Tendances 2019 : Edge, SD-Wan, Cloud hybride, collaboratif, IA/deep learning, Blockchain, SaaS - 5G enjeux sécurité - Cloud chez soi : idée géniale ou idiote ? - Fin des mainframes ? - Langages les plus buggés - Véhicules autonomes : les débouchés pour les informaticiens...

 

ENQUÊTE IAM / IAG : identité, la question de confiance - Cloud Act : Y a-t-il un problème ? - Le reCAPTCHA de Google est-il conforme au RGPD ? - Reportage Eset à Bratislava : À l’Est du nouveau - Les objets connectés, nouvelle cible privilégiée des pirates - Dans l’armurerie de Deutsche Telekom - Portrait John Fokker, tall guy, smart guy...

 

L'IA EN ACTION : 6 exemples d'exploitation concrète - Les frameworks de Machine Learning - Pourquoi IBM rachète Red Hat ? - La fièvre des conteneurs "managés" - Les nouveaux métiers de l'IT - Rencontre avec Salwa Toko, présidente du CNNum - Quel ultra-portable choisir ? Chromebook ou terminal Windows 10 ?...

 

Afficher tous les derniers numéros

Au cours de l'année 2018, VansonBourne a mené une enquête pour le compte de Nutanix afin de connaître les intentions des entreprises en matière d'adoption de clouds privés, hybrides et publics.

 


Pour gérer le risque informationnel et permettre à l'entreprise d'aller de l'avant, vous avez besoin d'une stratégie solide et d'un plan d'ordre en marche. RSA a développé ce livre blanc comme aide sur ces deux besoins. Il vous guide pas à pas pour mettre en place un programme de gestion des risques, basé sur des principes GRC éprouvés.


Plus facile à déployer et plus économique, découvrez le meilleur de la virtualisation et du PC dans un poste de travail de nouvelle génération.


Plus l'entreprise se numérise, plus le risque d'interruption s'accroît. Plus les architectures informatiques se complexifient (services de clouds publics et plateformes hybrides, mondialisation, personnalisation des TI...), plus les reprises après sinistre deviennent difficiles et coûteuses. Face à de tels enjeux, il est essentiel de se demander si l'approche traditionnelle, basée sur les reprises après sinistre, est encore véritablement appropriée.

Ce livre blanc passe en revue toutes les composantes et propose une approche originale pour ne plus subir d'interruption de services.


Avez-vous le contrôle de vos données Office 365 ? Avez-vous accès à tous les éléments dont vous avez besoin ? À première vue, la réponse est en général « Bien sûr » ou « Microsoft s’en occupe ». Mais à bien y réfléchir, en êtes-vous sûr ?


Tous les Livres Blancs
Derniers commentaires
Dans la ferme verticale de Bowery Farming, les employés sont munis de tablettes pour surveiller la pousse des plantes. Tablette à la main, un oeil sur les milliers de données captées en temps réel, les salariés de Bowery Farming s'emploient, dans un grand entrepôt, à cultiver... des salades et des herbes aromatiques. [Lire la dépêche...]

Des chercheurs de l'Agence spatiale japonaise (Jaxa) suivent le périple de la sonde Hayabusa2, le 22 février 2019 dans la salle de contrôle de SagamiharaLa sonde japonaise Hayabusa2 a réussi à se poser vendredi sur un lointain astéroïde, à plus de 300 millions de kilomètres de la Terre, un contact furtif qui a apparemment permis de collecter des poussières du sol de ce corps interstellaire susceptible de nous renseigner sur la formation de notre système solaire. [Lire la dépêche...]

Décollage de la fusée SpaceX portant notamment la sonde israélienne Bereshit, le 21 février 2019 à Cap Canaveral en Floride
La première sonde israélienne à destination de la Lune, et la première développée par une organisation privée, SpaceIL, a entamé jeudi son périple vers la Lune, où elle doit arriver dans sept semaines pour tenter de faire d'Israël le quatrième pays à réussir un alunissage. [Lire la dépêche...]

Photo envoyée par la sonde japonaise Hayabusa2 et transmise par l'agence japonaise d'exploration spatiale  le 3 octore 2018 montre l'ombre de Hayabusa2 sur l'astéroïde RyuguLa sonde Hayabusa2 a réussi à se poser brièvement vendredi matin (heure japonaise) sur l'astéroïde Ryugu, a indiqué l'Agence d'exploration spatiale japonaise (Jaxa) qui gère cette mission délicate avec une extrême prudence. [Lire la dépêche...]

Ben Silbermann, le PDG, de Pinterest, le 28 septembre 2017 à San FranciscoL'application de partage de photos par centres d'intérêt Pinterest, qui revendique 250 millions d'utilisateurs, a déposé discrètement son dossier pour entrer en Bourse, selon le Wall Street Journal jeudi. [Lire la dépêche...]

Photo envoyée par la sonde japonaise Hayabusa2 et transmise par l'agence japonaise d'exploration spatiale  le 3 octore 2018 montre l'ombre de Hayabusa2 sur l'astéroïde RyuguLa sonde japonaise Hayabusa2, depuis plusieurs mois dans l'orbite d'un lointain astéroïde, doit toucher ce corps interstellaire vendredi matin (heure japonaise) pour y collecter des échantillons de sol, une mission risquée que l'Agence d'exploration spatiale Jaxa gère avec une extrême prudence. [Lire la dépêche...]

L'insulte virtuelle a des conséquences "Les réseaux sociaux, c'est la vraie vie". Face à des collégiens et lycéens, Karim Amellal, coauteur d'un rapport sur "la haine internet", répète son message: l'insulte virtuelle a des conséquences "bien réelles" et mène à des "passages à l'acte parfois catastrophiques". [Lire la dépêche...]

YouTube (Google) a assuré jeudi avoir retiré des millions de commentaires et supprimé des comptes visiblement utilisés par des pédophiles pour se transmettre des vidéos d'enfantsYouTube (Google) a assuré jeudi avoir retiré des millions de commentaires et supprimé des comptes visiblement utilisés par des pédophiles pour se transmettre des vidéos d'enfants, un problème qui a poussé certaines marques à retirer leurs publicités du site. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT
Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 1ère étape à Lille (stade Pierre Mauroy) le 5 mars de 8h30 à 17h. Organisé par Nutanix.

BIG DATA

Conférences et exposition sur le Big Data les 11 et 12 mars 2019 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 2ème étape à Lyon (Rooftop 52) le 12 mars de 8h30 à 17h. Organisé par Nutanix.

IT PARTNERS

Événement du "channel" IT, télécoms et audiovisuel, la 13ème édition d'IT Partners a lieu les 13 et 14 mars 2019 à Disneyland Paris (Disney Events Arena-Ventury 1). Organisé par Reed Expositions.

Nutanix propose .NEXT ON TOUR une série de 6 événements partout en France pour une découverte des dernières technologies cloud hybrides. 3ème étape à Marseille(Golf de Marseille La salette) le 14 mars de 8h30 à 17h. Organisé par Nutanix.

RSS
Voir tout l'AgendaIT