X
Peekaboo vous espionne

News Partenaire

Peekaboo vous espionne

Tenable Research a découvert une faille logicielle majeure, baptisée Peekaboo, qui permet aux cybercriminels de contrôler certaines caméras de vidéosurveillance, leur permettant de surveiller secrètement, de manipuler et même de désactiver les flux. Voici un aperçu de ce que Tenable a découvert.

Le Kazakhstan instaure la surveillance généralisée

A partir du 1er janvier prochain, chaque internaute habitant ce pays devra installer une « backdoor » sur son ordinateur permettant ainsi aux autorités de surveiller tout ce qu’il fait sur internet.

C’est simple, pas cher et il suffisait d’y penser. Plutôt que s’embêter à pister les flux de communications de manière légale ou non pour surveiller les communications de ses ressortissants à la manière du Great Firewall des Chinois, pourquoi ne pas installer directement un mouchard sur chaque poste de travail ? Pour des questions de liberté individuelle d’abord et des questions d’efficacité technique, rétorque-t-on immédiatement. 

Pour le premier point, cette question est secondaire aux yeux des autorités du Kazakhstan, un pays de l’ex Union Soviétique connu pour être un régime pour le moins dictatorial. Le second point est plus « sioux » et l’on va regarder attentivement comment la « chose » va être contournée par les internautes eux-mêmes et par les systèmes d’exploitation comme Windows ou MacOS X ainsi que les services web qui s’accommodent mal de certificats non signés. Quant aux utilisateurs sous Linux, ils peuvent dormir et surfer tranquilles puisque rien n’a été prévu pour eux.

Au nom du terrorisme

Personne ne sera surpris du discours officiel qui précise que cette mesure est prise au nom de la lutte contre le terrorisme et de la sécurité nationale, une posture désormais utilisée un peu partout, y compris dans des démocraties comme le Royaume-Uni, pour accroître la surveillance du trafic Internet et des communications.

Selon les termes de la nouvelle loi kazakhe qui entre en vigueur le 1er janvier 2016, chacun devra installer un certificat national de sécurité sur l’ensemble de ces périphériques : PC, tablettes, smartphones. Ce certificat permettra au gouvernement de conduire des attaques de type « Man in the Middle » et ainsi intercepter toute connexion sécurisée, regarder les connexions web, les noms d’utilisateurs et mots de passe et le trafic HTTPS chiffré. Les sociétés de télécommunications sont « invitées » à participer à « l’effort national »en dénonçant les internautes qui n’auraient pas installé ledit certificat.

Comment vont réagir les acteurs du web

Il va être intéressant de voir comment les acteurs comme Google ou Microsoft vont réagir face à ce certificat. Ils peuvent décider de le bannir comme cela avait été fait en 2011 avec DigiNotar et dans ce cas, les communications avec leurs sites et applications seront coupées. Ils peuvent au contraire décider de l’accepter et signaler aux utilisateurs que leurs conversations et connexions sont susceptibles d’être interceptées par des tiers, une information qui n’aura pas échappé à la majorité des internautes du pays.

Un "superfish" étatique

Au-delà des considérations éthiques et morales d’un tel système, les limites techniques sont criantes et montrent la totale incompréhension des dirigeants quant aux subtilités techniques. En effet, comme nous l’avons vu, rien n’est prévu pour installer des certificats sous Linux. En conséquence, tous ceux qui voudront échapper au système de surveillance, pour différentes raisons, basculeront sur ce système. De même, il existe de nombreux autres moyens de passer au travers de ce filet (VPN, etc.) et les hackers déterminés ne se feront pas prendre et, au contraire, pourront prendre un malin plaisir à pénétrer à leur tour des ordinateurs qui ne seront plus du tout sécurisés avec l’introduction de ce certificat, sorte de Superfish à l’échelle nationale. 


Inscription gratuite à la newsletter de L'Informaticien.


Noter cet article (de 1 = Nul à 5 = Excellent) Valider
Autres infos Sécurité


A votre avis...

Stockage nouvelle génération

Stockage nouvelle génération

Le volume des données, structurées ou non, augmente sans cesse sous la montée en puissance de nouvelles applications : IoT, IA, Big Data… de ce fait, le stockage fait régulièrement sa révolution...

Multicloud

Multicloud

Le multicloud est le buzzword de 2018. Une stratégie que, selon les cabinets de conseil, la majorité des entreprises vont mettre en place au nom de la flexibilité. C’est qu’il serait dommage de mettre tous ses...

Sécurité du poste de travail

Sécurité du poste de travail

Yann Serra
Les hackers considèrent désormais qu’il est bien plus rentable de concevoir des attaques sur-mesure pour dévaliser les entreprises. Le ciblage des salariés atteint un niveau de personnalisation tel que les...

RSS
Afficher tous les dossiers

L'IA EN ACTION : 6 exemples d'exploitation concrète - Les frameworks de Machine Learning - Pourquoi IBM rachète Red Hat ? - La fièvre des conteneurs "managés" - Les nouveaux métiers de l'IT - Rencontre avec Salwa Toko, présidente du CNNum - Quel ultra-portable choisir ? Chromebook ou terminal Windows 10 ?...

 

STOCKAGE NOUVELLE GÉNÉRATION - Prélèvement à la source : les éditeurs confiants - Multicloud : les Français entrent dans la danse - DEV : les langages à connaître... et ceux à éviter - Se former à l'IoT gratuitement - IPV6 : il est plus que temps ! - Rencontre avec Jean-Noël de Galzain, fondateur de Wallix et d'Hexatrust...

 

ENQUÊTE IA & SSI : une attente forte et déjà des solutions concrètes - DPO/DPD : premier bilan du RGPD, pauvre DPO... - Entretien avec Laure de la Raudière, députée - Reportage #Room42 : pas de cyber panique au Luxembourg ! - Cryptojacking - Office 365, cible adorée des pirates - Prophétique Black Mirror - Portrait Nora Cuppens, tête chercheuse...

 

Afficher tous les derniers numéros

Avez-vous le contrôle de vos données Office 365 ? Avez-vous accès à tous les éléments dont vous avez besoin ? À première vue, la réponse est en général « Bien sûr » ou « Microsoft s’en occupe ». Mais à bien y réfléchir, en êtes-vous sûr ?


Tous les secteurs industriels dans le monde sont confrontés à des défis informatiques spécifiques qui conditionnent le succès ou l’échec de l’entreprise.


Au cours de la dernière année, les données volées et vulnérables se sont révélées des armes précieuses pour les adversaires de tous les horizons, dans toutes les régions, et pour toutes les motivations.


Au fur et à mesure que votre exposition à d’autres entreprises augmente, votre exposition au risque augmente également. Il ne s’agit pas uniquement de vos propres fournisseurs mais également les leurs. Comment pouvez-vous suivre toutes ces relations afin de gérer vos risques?


Pour répondre aux exigences de rapidité du modèle DevOps en conservant une cybersécurité efficace, de nouvelles approches doivent être adoptées en matière de sécurité de l'information, comme la sécurité intégrée, l’automatisation et la prévention proactive.


Tous les Livres Blancs
Derniers commentaires
L'amende de 50 millions d'euros infligée lundi à Google par la Cnil au nom de la défense de la vie privée n'est probablement que le début d'une longue série de batailles juridiquesL'amende de 50 millions d'euros infligée lundi à Google par la Cnil au nom de la défense de la vie privée n'est probablement que le début d'une longue série de batailles juridiques, cruciales pour le secteur de la publicité en ligne, estiment les juristes. [Lire la dépêche...]

WhatsApp compte plus de 1,5 milliard d'utilisateurs, qui s'échangent quelque 65 milliards de messages par jourL'application de messagerie instantanée de l'entreprise WhatsApp, filiale de Facebook, a annoncé lundi sa décision de limiter le partage de messages dans le cadre de la lutte contre les "fake news". [Lire la dépêche...]

Les 28 Etats membres de l'UE continuent de se déchirer sur la très controversée réforme européenne du droit d'auteurLes 28 Etats membres de l'UE continuent de se déchirer sur la très controversée réforme européenne du droit d'auteur, objet depuis des mois d'une bataille rangée entre médias et géants du numérique, au moment où les négociations entrent dans leur phase finale. [Lire la dépêche...]

La Cnil inflige une amende record de 50 millions d'euros à GoogleLe géant américain Google a écopé lundi d'une amende record de 50 millions d'euros infligée par l'autorité française chargée de la protection des données privées qui estime insuffisante l'information sur l'exploitation des données personnelles de ses utilisateurs. [Lire la dépêche...]

Le président iranien Hassan Rohani lors de la présentation du budget 2019 au Parlement, le 25 décembre 2018 à TéhéranLe président iranien Hassan Rohani a jugé lundi "désuète" la résistance aux nouvelles technologies numériques, critiquant à nouveau le blocage par les autorités judiciaires des réseaux sociaux en Iran. [Lire la dépêche...]

Faute d'accord pour l'instant au niveau européen, la France va bien mettre en œuvre une taxation spéciale des entreprises proposant des services numériques, l'idée étant de présenter un projet de loi le mois prochainFaute d'accord pour l'instant au niveau européen, la France va bien mettre en œuvre une taxation spéciale des entreprises proposant des services numériques, l'idée étant de présenter un projet de loi le mois prochain pour une application rétroactive à partir du 1er janvier.  [Lire la dépêche...]

Le pape François montre une tablette sur la place Saint-Pierre au Vatican pour inciter les fidèles à télmécharger l'application Le pape François a invité dimanche les jeunes à télécharger "Click to Pray", une application qui permet aux utilisateurs de partager leurs prières en ligne, avant les Journées mondiales de la jeunesse à Panama où il se rendra cette semaine. [Lire la dépêche...]

Mi-décembre, le gouvernement français, à la recherche de recettes pour financer les mesures sociales annoncées par le président Macron, avait annoncé qu'il taxerait dès le 1er janvier les géants du numérique, sans attendre un éventuel accord au sein de l'UEUn "projet de loi spécifique" portant sur une taxe qui touchera "dès cette année" les entreprises proposant des services numériques en France sera présenté "en Conseil des ministres d'ici à fin février", a annoncé le ministre de l'Economie Bruno Le Maire. [Lire la dépêche...]

Toutes les dépêches AFP
AgendaIT

FIC

FIC FIC
Le 11ème Forum International de la Cybersécurité occupe les 22 et 23 janvier 2019 le Grand Palais de Lille. Organisé par la Région Hauts-de-France et Euratechnologies, la Gendarmerie Nationale et CEIS.

AP CONNECT

La 2ème édition d'AP Connect qui vise à réunir les innovations, technologies et solutions dédiées à la transition numérique des administrations publiques centrales et des collectivités territoriales a lieu les 29 et 30 janvier 2019 à Espace Grand Arche, Paris La Défense. Organisé par PG Promotion.

RENCONTRES AMRAE

Les 27èmes Rencontres de l'AMRAE (Association française des professionnels de la gestion des risques et des assurances), le congrès annuel de référence des métiers du risque et des assurances, ont lieu du 6 au 8 février 2019 à Deauville (Centre International) sur le thème : "Le risque au coeur de la transformation". Organisées par l'AMRAE.

BIG DATA

Conférences et exposition sur le Big Data les 11 et 12 mars 2019 à Paris, Palais des Congrès de la Porte Maillot. Organisé par Corp Agency.

IT PARTNERS

Événement du "channel" IT, télécoms et audiovisuel, la 13ème édition d'IT Partners a lieu les 13 et 14 mars 2019 à Disneyland Paris (Disney Events Arena-Ventury 1). Organisé par Reed Expositions.
RSS
Voir tout l'AgendaIT