 Samedi sécurité : pot-pourri de normalisation de la déviance, Réactions à la publication du 06/07/2024 |
 |
Bienvenue invité ( Connexion | Inscription )
 6 Jul 2024, 12:18
Message
#1
|
|
 Macbidouilleur d'Or !  Groupe : Rédacteurs Messages : 2 274 Inscrit : 19 Nov 2020 Membre no 212 895  |
La normalisation de la déviance.
C'est ce que j'observe, on s'habitue et même on ne fait plus attention aux failles, brèches, fuites de données, rançons, arrêts d'écoles ou d'hôpitaux, blocages de services, et tutti-quanti. Ça s'appelle la normalisation de la déviance, c'est ce qui a donné lieu au problème actuel du Starliner où au lieu de rechercher les causes racines et de résoudre les problèmes identifiés, les responsables ont indiqué que ça n'était pas grave, pas important, qu'ils avaient de la marge, et les problèmes se sont alors multipliés et aggravés, mettant en péril la mission et surtout ses deux astronautes. Au moment où j'écris ces lignes, on ignore quand le Starliner reviendra sur terre, ni si il transportera les deux astronautes amenés à l'ISS. La NASA ne communique plus quotidiennement sur cette mission, pourtant essentielle. Google Ads a envoyé des malware à des navigateurs sur Mac Un groupe de hacker a réussi à se faire enregistrer comme une société légitime sur Google Ads, et a pu ainsi faire envoyer des publicités sur le web contenant un malware et visant les Mac et leurs utilisateurs. Pas besoin de visiter un site spécifique, Google Ads est partout, et la seule sécurité est d'abord d'être à jour, ensuite de mettre fin aux publicités en-ligne via son navigateur et ses extensions. La normalisation de la déviance qu'est l'abus des publicités en ligne. L'application Mac de ChatGPT stockait les échanges en plein texte On se souvient que Copilot de Microsoft avait été critiqué pour stocker nombre d'information en plein texte dans une base SQLite. L'application de ChatGPT fait pire puisque stockant tout en plein texte. Elle a été mise-à-jour pour corriger ce problème qui n'aurait jamais du exister. La normalisation de la déviance est là de stocker des informations personnelles, confidentielles ou intimes en plein texte. Exposable localement et sur les sauvegardes. OpenSSH vulnérable sur les systèmes 32 bits basés sur glibc La bonne nouvelle c'est que ça ne touche que les systèmes 32 bits et uniquement ceux basés sur glibc où OpenSSH est compilé avec cette librairie standard. La mauvaise nouvelle c'est que de nombreux routeurs ou autres IoT sont 32 bits et basés sur glibc, ainsi qu'un nombre incalculable d'appareils de réseautique dont nombreux ne reçoivent plus de mises-à-jours. L'attaque permet d'exécuter du code à distance sans authentification, le pire du pire! Là, la normalisation de la déviance ne vient pas de OpenSSH ou de glibc mais du nombre incroyable d'appareil ne recevant plus de mise-à-jour quand pourtant exposés sur Internet. Pollyfil.io distribue du malware De nombreux sites utilisaient polyfill.io pour assurer la compatibilité d'anciens navigateurs avec des librairies ou frameworks récents, mais ce domaine a été racheté par des malandrins Chinois qui en ont profité pour injecter du code redirigeant des utilisateurs vers des sites pour adultes, qu'ils soient à caractère pornographiques ou de jeu en-ligne. 384 000 sites auraient été touchés, des mesures correctives ont été prises par de nombreux acteurs afin de rediriger les requêtes vers des copies ou serveurs-miroirs sûrs. La normalisation de la déviance est d'utiliser du code JavaScript délivré par un site tiers, et non une version précise après audit et depuis ses propres serveurs (ou son CDN). Patelco Credit Union bloqué par un ransomware Patelco Credit Union est une caisse Californienne avec 450 000 membres, et vient d'être frappé par un ransomware chiffrant leurs données et demandant une rançon pour leur redonner accès à celle-ci (ou pas). Les transactions, retraits, dépôts et paiements sont indisponibles, officiellement temporairement bloqués par la caisse le temps de résoudre son problème, ce qui pourrait durer des semaines dixit leur direction. La normalisation de la déviance est là que ça parait habituel, que dans ce cas le gouvernement Américain et ses agences n'interviennent ni en amont ni en aval, pour prévenir et faire cesser cela, quitte à obliger les banques et caisses à revoir leur infrastructure technique. Authy fait fuiter 33 millions de numéro de téléphone Authy est une App d'authentification TOTP, permettant d'ajouter un second facteur de sécurité (2FA) similaire en cela à Google Authenticator. Évidemment comme cette App est destinée à fonctionner localement, seul une horloge précise est nécessaire mais pas de communication, rien de mieux que de capturer les numéro de téléphone des utilisateurs et les stocker dans le cloud. Que pourrait-il arriver de mal? Eh bien 33 millions de ces numéros de téléphone se baladeraient dans la nature et pourraient servir à du hameçonnage (phishing)... Authy spécialisé en sécurité et 2FA n'a pas communiqué directement auprès des utilisateurs touchés, un point commun de la normalisation de la déviance dans les sociétés "de sécurité". Et le point Darwin... Gay411.com est un site Web de rencontre pour les hommes gays ou bisexuels au Canada, basé à Montréal. Les échanges qui y sont fait sont confidentiels voire intimes. Certains usagers y indiquent d'ailleurs leur statut sérologique au VIH/SIDA, outre leurs vaccinations qui sont aussi des informations médicales intimes extrêmement sensibles. Début 2024, outre un nombre incalculable de failles de sécurité, il stockait les mot-de-passe en plein texte, et les renvoyait aussi en plein texte par email sur la demande de réinitialisation qui d'ailleurs ne réinitialisait rien du tout! Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024! La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer. Ça vient d'être enfin changé... Mais le login est quasi-instantané, ce qui signifie qu'ils n'utilisent pas un framework comme PBKDF2 avec suffisamment de round, peut-être en plein texte encore, en tout cas sans sécurité en cas de fuite des hash des mots-de-passe! On ne se refait pas, quand on a normalisé la déviance, elle reste... Lien vers le billet original -------------------- La liberté d'expression c'est l'extrémisme. La censure c'est la liberté.
|
 |
 
|
 |
Réponse(s)
|
6 Jul 2024, 17:36
Message
#2
|
|
|
Adepte de Macbidouille Groupe : Membres Messages : 82 Inscrit : 17 Oct 2022 Membre no 216 806 |
Citation (Paul Emploi @ 6 Jul 2024, 13:18)  Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024! La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer. Par expérience c'est extrêmement compliqué de faire bouger les choses. J'ai par exemple alerté régulièrement pendant plus de deux ans qu'un système était obsolète et non sécurisé et qu'il fallait le faire évoluer. Tout ce que j'ai récolté comme résultat c'est des réponses du genre "arrête de nous emm.... avec ça". J'ai changé de crèmerie depuis, et je pense que la situation n'a pas évoluée depuis. |
|
|
|
|
6 Jul 2024, 18:10
Message
#3
|
|
|
Macbidouilleur d'Or ! Groupe : Rédacteurs Messages : 2 274 Inscrit : 19 Nov 2020 Membre no 212 895 |
Citation (twist67 @ 6 Jul 2024, 17:36) Citation (Paul Emploi @ 6 Jul 2024, 13:18) Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024! La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer. Par expérience c'est extrêmement compliqué de faire bouger les choses. J'ai par exemple alerté régulièrement pendant plus de deux ans qu'un système était obsolète et non sécurisé et qu'il fallait le faire évoluer. Tout ce que j'ai récolté comme résultat c'est des réponses du genre "arrête de nous emm.... avec ça". J'ai changé de crèmerie depuis, et je pense que la situation n'a pas évoluée depuis. C'est plus courant que les utilisateurs l'imaginent, j'ai aussi buté là-dessus et refusé au nom de l'éthique d'ajouter des fonctions ou les modifier tant que la sécurité de base des comptes utilisateurs n'était pas assuré. Des centaines de milliers de comptes sur un site de vente de billets d'évènements. Des années de vente, des millions de tickets, des sommes à faire pâlir. Un site Américain appartenant au deuxième groupe mondial de vente de billets, évidemment en liaison comme concurrent mais aussi partenaire de Ticketmaster... Ça m'a d'ailleurs valu d'être lourdé en 2020 (mais je n'attendais que ça!). -------------------- La liberté d'expression c'est l'extrémisme. La censure c'est la liberté.
|
|
|
|
Les messages de ce sujet
Paul Emploi Samedi sécurité : pot-pourri de normalisation de la déviance 6 Jul 2024, 12:18
theCapsaga Bonjour
Cette liste (hélas non exhaustive) est ha... 6 Jul 2024, 12:55
Paul Emploi Citation (theCapsaga @ 6 Jul 2024, 12:55)... 6 Jul 2024, 13:13 jesopog Citation (Paul Emploi @ 6 Jul 2024, 14:13... 6 Jul 2024, 14:30 malloc Comme d’hab le fond est intéressant mais la for... 6 Jul 2024, 13:02 g4hd Citation (Paul Emploi @ 6 Jul 2024, 14:13... 6 Jul 2024, 15:12 scoch Trois fois « plein texte » pour « plain text »... 6 Jul 2024, 15:48 Paul Emploi Citation (scoch @ 6 Jul 2024, 15:48) Troi... 6 Jul 2024, 15:55 ekami Citation (Paul Emploi @ 6 Jul 2024, 15:55... 7 Jul 2024, 09:29 malloc Citation (scoch @ 6 Jul 2024, 16:48) Troi... 6 Jul 2024, 16:08 Anibé Je ne retrouve pas la source, mais quelqu'un a... 6 Jul 2024, 18:32 solex46 Ton article est intéressant, comme d'habitude... 6 Jul 2024, 22:54 aranaud Citation (solex46 @ 6 Jul 2024, 23:54) To... 7 Jul 2024, 10:09 cfendt Étant moi même « architecte développeur de so... 7 Jul 2024, 08:49 Rorqual QUOTE (Paul Emploi @ 6 Jul 2024, 13:18) L... 7 Jul 2024, 09:42 Paul Emploi Citation (Rorqual @ 7 Jul 2024, 09:42) Ci... 7 Jul 2024, 11:45 Sethy Citation (Paul Emploi @ 7 Jul 2024, 12:45... 9 Jul 2024, 14:57 XiliX Citation (Rorqual @ 7 Jul 2024, 10:42) Ci... 8 Jul 2024, 08:41 g4hd Citation (Rorqual @ 7 Jul 2024, 10:42) Ci... 7 Jul 2024, 10:37 patrick_a_a Bonjour,
Concept intéressant.
Pour moi, c'es... 8 Jul 2024, 14:24 |
3 utilisateur(s) sur ce sujet (3 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :
| Nous sommes le : 8th December 2025 - 11:20 |