Samedi sécurité : pot-pourri de normalisation de la déviance, Réactions à la publication du 06/07/2024

[Paul Emploi]

La normalisation de la déviance.

C'est ce que j'observe, on s'habitue et même on ne fait plus attention aux failles, brèches, fuites de données, rançons, arrêts d'écoles ou d'hôpitaux, blocages de services, et tutti-quanti.

Ça s'appelle la normalisation de la déviance, c'est ce qui a donné lieu au problème actuel du Starliner où au lieu de rechercher les causes racines et de résoudre les problèmes identifiés, les responsables ont indiqué que ça n'était pas grave, pas important, qu'ils avaient de la marge, et les problèmes se sont alors multipliés et aggravés, mettant en péril la mission et surtout ses deux astronautes.

Au moment où j'écris ces lignes, on ignore quand le Starliner reviendra sur terre, ni si il transportera les deux astronautes amenés à l'ISS.
La NASA ne communique plus quotidiennement sur cette mission, pourtant essentielle.

Google Ads a envoyé des malware à des navigateurs sur Mac

Un groupe de hacker a réussi à se faire enregistrer comme une société légitime sur Google Ads, et a pu ainsi faire envoyer des publicités sur le web contenant un malware et visant les Mac et leurs utilisateurs.

Pas besoin de visiter un site spécifique, Google Ads est partout, et la seule sécurité est d'abord d'être à jour, ensuite de mettre fin aux publicités en-ligne via son navigateur et ses extensions.

La normalisation de la déviance qu'est l'abus des publicités en ligne.

L'application Mac de ChatGPT stockait les échanges en plein texte

On se souvient que Copilot de Microsoft avait été critiqué pour stocker nombre d'information en plein texte dans une base SQLite.
L'application de ChatGPT fait pire puisque stockant tout en plein texte.


Elle a été mise-à-jour pour corriger ce problème qui n'aurait jamais du exister.

La normalisation de la déviance est là de stocker des informations personnelles, confidentielles ou intimes en plein texte. Exposable localement et sur les sauvegardes.

OpenSSH vulnérable sur les systèmes 32 bits basés sur glibc

La bonne nouvelle c'est que ça ne touche que les systèmes 32 bits et uniquement ceux basés sur glibc où OpenSSH est compilé avec cette librairie standard.

La mauvaise nouvelle c'est que de nombreux routeurs ou autres IoT sont 32 bits et basés sur glibc, ainsi qu'un nombre incalculable d'appareils de réseautique dont nombreux ne reçoivent plus de mises-à-jours.

L'attaque permet d'exécuter du code à distance sans authentification, le pire du pire!

Là, la normalisation de la déviance ne vient pas de OpenSSH ou de glibc mais du nombre incroyable d'appareil ne recevant plus de mise-à-jour quand pourtant exposés sur Internet.

Pollyfil.io distribue du malware

De nombreux sites utilisaient polyfill.io pour assurer la compatibilité d'anciens navigateurs avec des librairies ou frameworks récents, mais ce domaine a été racheté par des malandrins Chinois qui en ont profité pour injecter du code redirigeant des utilisateurs vers des sites pour adultes, qu'ils soient à caractère pornographiques ou de jeu en-ligne.

384 000 sites auraient été touchés, des mesures correctives ont été prises par de nombreux acteurs afin de rediriger les requêtes vers des copies ou serveurs-miroirs sûrs.

La normalisation de la déviance est d'utiliser du code JavaScript délivré par un site tiers, et non une version précise après audit et depuis ses propres serveurs (ou son CDN).

Patelco Credit Union bloqué par un ransomware

Patelco Credit Union est une caisse Californienne avec 450 000 membres, et vient d'être frappé par un ransomware chiffrant leurs données et demandant une rançon pour leur redonner accès à celle-ci (ou pas).

Les transactions, retraits, dépôts et paiements sont indisponibles, officiellement temporairement bloqués par la caisse le temps de résoudre son problème, ce qui pourrait durer des semaines dixit leur direction.

La normalisation de la déviance est là que ça parait habituel, que dans ce cas le gouvernement Américain et ses agences n'interviennent ni en amont ni en aval, pour prévenir et faire cesser cela, quitte à obliger les banques et caisses à revoir leur infrastructure technique.

Authy fait fuiter 33 millions de numéro de téléphone

Authy est une App d'authentification TOTP, permettant d'ajouter un second facteur de sécurité (2FA) similaire en cela à Google Authenticator.


Évidemment comme cette App est destinée à fonctionner localement, seul une horloge précise est nécessaire mais pas de communication, rien de mieux que de capturer les numéro de téléphone des utilisateurs et les stocker dans le cloud. Que pourrait-il arriver de mal?

Eh bien 33 millions de ces numéros de téléphone se baladeraient dans la nature et pourraient servir à du hameçonnage (phishing)...
Authy spécialisé en sécurité et 2FA n'a pas communiqué directement auprès des utilisateurs touchés, un point commun de la normalisation de la déviance dans les sociétés "de sécurité".

Et le point Darwin...

Gay411.com est un site Web de rencontre pour les hommes gays ou bisexuels au Canada, basé à Montréal. Les échanges qui y sont fait sont confidentiels voire intimes.
Certains usagers y indiquent d'ailleurs leur statut sérologique au VIH/SIDA, outre leurs vaccinations qui sont aussi des informations médicales intimes extrêmement sensibles.

Début 2024, outre un nombre incalculable de failles de sécurité, il stockait les mot-de-passe en plein texte, et les renvoyait aussi en plein texte par email sur la demande de réinitialisation qui d'ailleurs ne réinitialisait rien du tout!

Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024!
La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer.

Ça vient d'être enfin changé...

Mais le login est quasi-instantané, ce qui signifie qu'ils n'utilisent pas un framework comme PBKDF2 avec suffisamment de round, peut-être en plein texte encore, en tout cas sans sécurité en cas de fuite des hash des mots-de-passe!
On ne se refait pas, quand on a normalisé la déviance, elle reste...

Lien vers le billet original

[theCapsaga]

Bonjour
Cette liste (hélas non exhaustive) est hallucinante
Je note une recommandation de bloquer les pubs avec une extension ad-hoc: j’ai installé AdBlock + sur mon mac
Sur certains sites (et de plus en plus nombreux) il est détecté illico et un message invitant a le désactiver s’affiche, bloquant la navigation (MacBidouille se contente de signaler la présence d’un bloqueur de pub, mais n’interdit pas de poursuivre la navigation)
Ma question est (bien évidemment): ça existe un bloqueur de pub non détecté ? Et bien sur, si « oui », lesquels?
Bonne journée

[malloc]

Comme d’hab le fond est intéressant mais la forme… la forme, nom de nom!

Ce post aurait plus eu sa place comme post de forum depuis ton ancien compte utilisateur qu’article en tant que rédacteur.
Faudrait quand meme mettre un petit filtre la…

Ce message a été modifié par malloc - 6 Jul 2024, 13:04.

[Paul Emploi]

Ma question est (bien évidemment): ça existe un bloqueur de pub non détecté ? Et bien sur, si « oui », lesquels?
Bonne journée

En fait on ne peut faire de bloqueur de publicité indétectable, car Youtube et les autres ne détectent pas directement celui-ci, mais ses effets.
Il y a un jeu du chat et de la souris là-dedans, par exemple Pi Hole ou des DNS qui filtrent peuvent être identifiés comme des bloqueurs de publicités car effectivement bloquant l'accès à certaines ressources.

Pour ma part j'utilise uBlock, Ad Block Plus, ma propre extension (!!!) et Pi Hole associé à des services de DNS filtrants.
Et dans 99% des cas, si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site et on est beaucoup dans ce cas, ce qui a amené à réviser la position des éditeurs sur le sujet.

[jesopog]

si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site

+1

[g4hd]

… si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site…

Bah, oui… et agrémenté d'un doigt d'honneur bien senti !

Le mot Déviance… je ne comprends pas : serait-ce une invention à la chatGPT ?
"La déviance est une notion de sociologie désignant des comportements non conformes aux normes sociales (au sens restreint)." (W)
Perso j'aurais choisi "les effets pervers du j'm'en foutisme imbécile"

[scoch]

Trois fois « plein texte » pour « plain text » ? Encore une translation… une déviance ? En français, c'est « texte brut ».

[Paul Emploi]

Trois fois « plein texte » pour « plain text » ? Encore une translation… une déviance ? En français, c'est « texte brut ».

La véritable traduction serait probablement "texte non-chiffré", et non "texte brut" qui n'exprime pas l'idée de chiffrement ni d'obfuscation associée.
Désolé les pédants!

J'en reste à "plein texte"...

J'aime aussi "déviance", qui dévie de la norme, avec une connotation péjorative.
Genre on sait qu'on a des problèmes de fuite, de propulseurs, et par déviance non seulement on communique sur leur prétendue bénignité mais de sus on lance le bousin dans l'espace avec 2 astronautes à bord, des vies humaines irremplaçables.

La suite m'a donné raison, c'est de la déviance!

[malloc]

Trois fois « plein texte » pour « plain text » ? Encore une translation… une déviance ? En français, c'est « texte brut ».

[twist67]

Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024!
La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer.

Par expérience c'est extrêmement compliqué de faire bouger les choses.
J'ai par exemple alerté régulièrement pendant plus de deux ans qu'un système était obsolète et non sécurisé et qu'il fallait le faire évoluer.
Tout ce que j'ai récolté comme résultat c'est des réponses du genre "arrête de nous emm.... avec ça".
J'ai changé de crèmerie depuis, et je pense que la situation n'a pas évoluée depuis.

[Paul Emploi]

Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024!
La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer.

Par expérience c'est extrêmement compliqué de faire bouger les choses.
J'ai par exemple alerté régulièrement pendant plus de deux ans qu'un système était obsolète et non sécurisé et qu'il fallait le faire évoluer.
Tout ce que j'ai récolté comme résultat c'est des réponses du genre "arrête de nous emm.... avec ça".
J'ai changé de crèmerie depuis, et je pense que la situation n'a pas évoluée depuis.

C'est plus courant que les utilisateurs l'imaginent, j'ai aussi buté là-dessus et refusé au nom de l'éthique d'ajouter des fonctions ou les modifier tant que la sécurité de base des comptes utilisateurs n'était pas assuré. Des centaines de milliers de comptes sur un site de vente de billets d'évènements. Des années de vente, des millions de tickets, des sommes à faire pâlir.
Un site Américain appartenant au deuxième groupe mondial de vente de billets, évidemment en liaison comme concurrent mais aussi partenaire de Ticketmaster...
Ça m'a d'ailleurs valu d'être lourdé en 2020 (mais je n'attendais que ça!).

[Anibé]

Je ne retrouve pas la source, mais quelqu'un a dit un jour : «C'est un honneur d'être viré par des cons.»

[solex46]

Ton article est intéressant, comme d'habitude, merci.
Mais pas très précis.
Par exemple, tu écris "Un groupe de hacker a réussi à se faire enregistrer comme une société légitime sur Google Ads, et a pu ainsi faire envoyer des publicités sur le web contenant un malware et visant les Mac et leurs utilisateurs."

Ce n'est pas du tout ça.
Aucune publicité ne "contient un malware".
Il ne manquerait plus que ça !!!
Ton article laisse entendre qu'il suffit d'afficher une page web avec des pubs google ads pour être infecté.
Mais pour que le malware agisse, il faut CLIQUER sur la pub, et télécharger l'installeur DMG lié.
Rien de nouveau, quoi, à part que ça passe à travers les vérifications de google.

Faudrait corriger, quand même.

Par ailleurs, comme toujours, je te trouve assez radical quand tu préconise d'être à jour pour ne rien risquer.
Plus le temps passe, et plus je pense le contraire : pour moi, la meilleure manière de ne jamais être infecté est d'utiliser un OS si ancien que plus rien ne marche dessus… surtout les malwares !

En tous cas, de mon côté, vu que j'utilise mavericks 10.9 toute la journée, et que je traine pas mal sur beaucoup de sites que la décence, le bon goût et/ou l'honnêteté m'interdisent de nommer, je devrais - logiquement - être vérolé jusqu'à la moelle.
Il n'en est rien.
Je me demande pourquoi ?
Mais c'est assez logique : pourquoi s'emmerder à coder un virus qui fonctionne (aussi) sur un OS vieux de 14 ans ? pas si facile : apple passe son temps à modifier ses APIs et il est si tentant d'utiliser les dernières en date.
Et puis chaque OS est légèrement différent des autres au niveau de l'organisation des fichiers et des dossiers.

[cfendt]

Étant moi même « architecte développeur de solutions pour l’IoT » (terme officiel et très très pompeux vous en conviendrez !!), je ne comprends pas trop l’inertie qui existe dans le domaine…
Du point de vu du concepteur :
- les bonnes pratiques sont connues: par défaut on n’active que le minimum! SSH ne doit jamais être activé par défaut! Le plus grand nombre ne sait même pas s’en servir!
- un Firewall sur un boîtier connecté 24/24 7/7 n’est pas optionnel (et la règle par défaut sur input c’est drop!)
- les données stockées comportent toujours une « version » dans le format de stockage ! (Et c’est comme ça qu’on peut migrer de N*PBKDF2 à Argon2 pour les mots de passe par exemple ! )
- un produit n’est pas fini quand on commence à le vendre! Il faut un mécanisme de mises à jour… et il faut en publier !!!

Et c’est comme ça que, sans trop chercher à blinder les produits dont je m’occupe, je me retrouve avec l’expert sécurité chargé d’un audit qui me fait des louanges car notre boîtier est « super sécurisé »… en comparaison avec les produits concurrents !
????

Je rejoins donc 100% la news: la norme est devenue la passoire… Le trou de sécurité ambulant…
La conception de produits cloud/IoT/smart/connecté est aujourd’hui majoritairement très mal faite!!!
Et après on s’étonne.

Je vais me permettre d’en ajouter une couche (sans donner de nom): un produit conçu pour être connecté à internet 100% du temps qui arrive sur le marché avec un Kernel Linux qui ne reçoit plus de mise à jour depuis 6 mois… et le tout même pas dans sa dernière version ! C’est donc un produit tout neuf, même pas encore arrivé sur une étagère, qui sort avec des CVE critiques, connues, documentées, et dont des applications de démo sont disponibles !!! Pour un produit avec un prix de vente hors taxe à 4 chiffres… 😳🤬😱

[ekami]

Trois fois « plein texte » pour « plain text » ? Encore une translation… une déviance ? En français, c'est « texte brut ».

La véritable traduction serait probablement "texte non-chiffré", et non "texte brut" qui n'exprime pas l'idée de chiffrement ni d'obfuscation associée.
Désolé les pédants!

J'en reste à "plein texte"...

Désolé Paul mais Scoch à raison; je viens de vérifier, et "Plain text" est bien traduit par "Texte brut" en français, un libellé indiquant qu'aucun style n'est appliqué au texte.
C'est donc une erreur d'utiliser "Plain text" en anglais pour indiquer que le texte n'est pas chiffré: il faudrait écrire "Unencrypted text" et logiquement le traduire en français par "Texte non chiffré".

[Rorqual]

La normalisation de la déviance qu'est l'abus des publicités en ligne.

Ecrite par un rédacteur d'un site qui affiche des publicités qui prennent près d'un tiers de la surface de la page, cette remarque est particulièrement cocasse (et à côté de la plaque à mon avis).

… si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site…

Bah, oui… et agrémenté d'un doigt d'honneur bien senti !

Et je suppose que si le site propose de payer pour ne pas avoir de pub, le résultat est un doigt d'honneur aussi. Pourtant ça m'étonnerait que tous les râleurs soient des gens qui travaillent bénévolement et n'ont pas besoin d'argent pour vivre et payer les factures. Bref, chacun veut le beurre et l'argent du beurre.

Ce message a été modifié par Rorqual - 7 Jul 2024, 09:48.

[aranaud]

Ton article est intéressant, comme d'habitude, merci.
Mais pas très précis.
Par exemple, tu écris "Un groupe de hacker a réussi à se faire enregistrer comme une société légitime sur Google Ads, et a pu ainsi faire envoyer des publicités sur le web contenant un malware et visant les Mac et leurs utilisateurs."

Ce n'est pas du tout ça.
Aucune publicité ne "contient un malware".
Il ne manquerait plus que ça !!!
Ton article laisse entendre qu'il suffit d'afficher une page web avec des pubs google ads pour être infecté.
Mais pour que le malware agisse, il faut CLIQUER sur la pub, et télécharger l'installeur DMG lié.
Rien de nouveau, quoi, à part que ça passe à travers les vérifications de …

C’est surtout sur le smartphone que j’ai des problèmes de redirection automatique vers des sites douteux sans aucun action de ma part. À l’ordinateur, j’ai rarement eu le cas sauf à aller sur des sites douteux.

[g4hd]

… si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site…

Bah, oui… et agrémenté d'un doigt d'honneur bien senti !

Et je suppose que si le site propose de payer pour ne pas avoir de pub, le résultat est un doigt d'honneur aussi. Pourtant ça m'étonnerait que tous les râleurs soient des gens qui travaillent bénévolement et n'ont pas besoin d'argent pour vivre et payer les factures. Bref, chacun veut le beurre et l'argent du beurre.

Ça se tient, ton raisonnement ! Tu as raison !
Sauf que je suis plutôt d'accord pour apporter mon soutien aux créateurs plutôt qu'à des sites de morts de faim !
Avec une ligne de conduite : je quitte dès qu'on me réclame une connexion Google ou Facebook ou Instagram ou Linkedin ou TikTok voire russe … ça aide pour éliminer !
Je n'ai qu'un seul site soutenu au mois le mois et qui est affilié à Google : je songe d'ailleurs à me désabonner.

[Paul Emploi]

La normalisation de la déviance qu'est l'abus des publicités en ligne.

Ecrite par un rédacteur d'un site qui affiche des publicités qui prennent près d'un tiers de la surface de la page, cette remarque est particulièrement cocasse (et à côté de la plaque à mon avis).

C'est plutôt la marque de deux choses: je pratique ce que je prêche, je n'ai donc jamais vu de popup de publicité sur MacBidouille, et @Lionel me donne une liberté d'expression exemplaire ce qui n'est pas le cas de nombreux médias où la publicité et les collaborations imposent la ligne éditoriale.

Comme exemple, j'ai été totalement libre d'écrire un samedi un article sur les VPN, sans en citer de commerciaux, encore moins des produits avec lesquels MacBidouille a une collaboration, en critiquant certains de leurs aspects, et aucune remarque ne m'a été faite par après.
Si demain un produit cité dans nos collaborations avait un gros problème de sécurité, son cloud une fuite de données ou la société un scandale, j'écrirais librement sur le sujet.

MacBidouille est vraiment un média libre, et pour avoir fréquenté ce monde depuis 40 ans, comme sujet d'article, collaborateur, éditeur, directeur de publication, développeur, client publicitaire, tant presse papier que minitel, radio, télévision ou sur le Web, c'est rare et rafraîchissant!

[XiliX]

… si on me refuse l'accès au motif que j'ai un bloqueur de publicité détecté, je quitte le site…

Bah, oui… et agrémenté d'un doigt d'honneur bien senti !

Et je suppose que si le site propose de payer pour ne pas avoir de pub, le résultat est un doigt d'honneur aussi. Pourtant ça m'étonnerait que tous les râleurs soient des gens qui travaillent bénévolement et n'ont pas besoin d'argent pour vivre et payer les factures. Bref, chacun veut le beurre et l'argent du beurre.

Je plussoie
J'aimerai bien les recruter pour faire du bénévolat ces râleurs

[patrick_a_a]

Bonjour,

Concept intéressant.
Pour moi, c'est l'idée de redémarrer un Ordinateur.
De 1978 à 1984, j'ai travaillé sur des minis (DEC PDP 11, IBM Serie 1, Data General Nova 2, ...) et quelques micros sous CP/M.
Le PDP 11 de l'ESIEE était démarré à la rentrée scolaire début septembre et éteint à la mi-juillet, pour cause d'économie d'énergie (climatisation + usage).

Pour moi, un ordinateur n'avait aucune raison de redémarrer. Comme un réfrigérateur.
Jusqu'à que je développe sur des PC, puis des Macs...

Mon pire souvenir est mon père, qui voulait avoir un simulateur de vol, qui ne connaissait rien à l'informatique, avait un gros PC Compaq, avec un palonnier, un grand écran, des haut-parleurs externes.
Au bout de 3 à 4 semaines d'utilisation, en le redémarrant tous les jours, le son disparaissait. Malgré de nombreuses interventions techniques (réinstallation, changement de carte mère, ...), le problème a persisté et mon père a appris tout seul à réinstaller tous les mois DirectX pour que Flight Simulator ne soit pas muet. Ses seules connaissances en informatique était l'utilisation de Flight Simulator et l'installation de DirectX.

Lui n'avait pas le choix, il a accepté, mais moi en tant qu'ingénieur (hardware, firmware et software), j'ai trouvé cela insupportable.

[Sethy]

Ce petit message pour signaler qu'il manque la possibilité de réagir sur la news Qualcomm/Snapdragon/ARM/Windows.

Merci