Émission Underscore #172 du 9 février 2020

Actu

Microsoft corrige une faille majeure dans Windows, signalée par la NSA

La NSA semble vouloir se racheter après avoir gardé sous le coude des failles pour les exploiter elle-même, failles qui avaient fuité et avaient été utilisées par des pirates.

Le support étendu de Windows 7 va coûter cher

Alors que Microsoft abandonne le support de Windows 7, certains clients, comme des administrations, vont pouvoir payer pour obtenir quelques années de répit. Le gouvernement allemand par exemple va payer 800000€ pour les 33000 postes utilisant toujours cet OS. Les australiens vont payer 8,7 millions de dollars. Ça en aurait fait des heures de développement de logiciel libre tout cet argent…

Le Ministère des armées songe à un poste de travail entièrement en logiciel libre

Ça ne veut pas dire que le contrat OpenBar avec Microsoft n’a pas été renouvelé… l’April a d’ailleurs posé la question.

Premier recours de LQDN contre la vidéosurveillance automatisée de l’espace public

La Quadrature du Net, avec la Ligue des droits de l’Homme, vient de déposer un recours en référé devant le tribunal administratif de Marseille pour lui demander d’annuler l’installation dans la ville d’un dispositif de vidéosurveillance automatisée (appelé « vidéoprotection intelligente »).

Wine disponible en version 5.0

Avec notamment le support de Vulkan 1.1 pour la 3D.

La Cour des comptes publie le code source de leur logiciel d’analyse financière OpenAnafi

À l’occasion du hackathon DataFin qui s’est déroulé au Sénat. Le logiciel d’analyse OpenAnafi, développé et utilisé par les juridictions financières, permet, à partir des données comptables des collectivités locales, de réaliser automatiquement des grilles d’analyse financière.

La CNIL publie un guide RGPD pour les développeurs

On peut même y contribuer car les sources sont disponibles sur GitHub.

Apple va « bientôt abandonner totalement » Flash

Mais moi je croyais que c’était déjà fait !?

L’outil de police prédictive de Chicago vient de fermer

Après 8 ans de résultats catastrophiques, le système nommé TRAP passe… à la trappe.

Le noyau Linux sort en version 5.5

Avec notamment le support des stations de travail SGI Octane et Octane II (avec un processeur MIPS).

Chiptune: Martin WallAsteroid Landfill

Sujet : Comme un poisson dans l’eau

Vous l’avez tous remarqué, surtout dans nos faits du mois, régulièrement nous revenons sur des situations où les consommateurs sont tout simplement harponné par des fraudes. Sans le savoir, nos données sont régulièrement aspirées, bien sûr la loi semble vouloir nous protéger et pourtant, les arnaques pullules sur internet.

Il faut s’imaginer que souvent la première chose sur laquelle vous êtes exposé ce sont les hoax, ce qu’on appelle les fausses informations. Elles prendront l’aspect d’une vérité… et si vous creusez, vous pouvez très vite voir à quel point c’est faux.

Mais que dit wiki ?

Exemple d’hameçonnage.
L’hameçonnage (en anglais phishing [ˈfɪʃɪŋ] Écouter) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, numéro ou photocopie de la carte nationale d’identité, date de naissance, etc. En effet, le plus souvent, une copie exacte d’un site internet est réalisée dans l’optique de faire croire à la victime qu’elle se trouve sur le site internet officiel où elle pensait se connecter. La victime va ainsi saisir ses codes personnels qui seront récupérés par celui qui a créé le faux site, il aura ainsi accès aux données personnelles de la victime et pourra dérober tout ce que la victime possède sur ce site. L’attaque peut aussi être réalisée par courrier électronique ou autres moyens électroniques.
Lorsque cette technique utilise les SMS pour obtenir des renseignements personnels, elle s’appelle SMiShing.

Les différents outils pour vous avoir

Tout les outils de communications sont utilisés :

– Les mails
– Les blogs
– Les sites internets
– Les forums
– Les réseaux sociaux : le spear phishing, qui vise une personne précise, par exemple sur des réseaux sociaux, un faux profil ou carrément le hack de profil connu doivent vous alerté (c’est ce qu’on appelle tout simplement l’usurpation d’identité).

Le in-session phishing consiste, comme l’hameçonnage, à récupérer des informations confidentielles chez la cible en lui faisant croire que sa banque ou un autre organisme de confiance lui demande ces informations sensibles.

A travers ça et notamment quelques choses que nous avions évoqué dans un sujet sur les hackeurs est :

L’ingénierie sociale (social engineering en anglais) est, dans le contexte de la sécurité de l’information, une pratique de manipulation psychologique à des fins d’escroquerie. Les termes plus appropriés à utiliser sont le piratage psychologique ou la fraude psychologique. Dans le contexte de la sécurité de l’information, la désignation ingénierie sociale est déconseillée puisqu’elle n’accentue pas le concept de tromperie.

Les pratiques du piratage psychologique exploitent les faiblesses psychologiques, sociales et plus largement organisationnelles des individus ou organisations pour obtenir quelque chose frauduleusement (un bien, un service, un virement bancaire, un accès physique ou informatique, la divulgation d’informations confidentielles, etc.). En utilisant ses connaissances, son charisme, son sens de l’imposture ou son culot, l’attaquant cherche à abuser de la confiance, de l’ignorance et de la crédulité de sa cible pour obtenir ce qu’il souhaite.

Parfois nous pouvons êtres victime de Le pharming (ou dévoiement en français) est une technique de piratage informatique exploitant des vulnérabilités des services DNS. Dans cette technique, les requêtes DNS de résolution des noms de domaines, sont détournée pour renvoyer l’utilisateur vers des sites frauduleux en fournissant l’adresse IP de ces derniers au lieu de celles des sites légitimes.

Il existe deux types d’attaques par pharming :

La première consiste à modifier un serveur DNS local. Les internautes demandant un nom de domaine se feront ainsi rediriger vers le serveur frauduleux.

La seconde est réalisée au moyen d’un logiciel malveillant reconfigurant les paramètres réseau du matériel informatique infecté, que ce soit un poste de travail ou un routeur. Cette reconfiguration agit de manière que l’internaute soit pour les noms de domaines prédéterminés redirigé vers le serveur frauduleux.

Ce type d’hameçonnage permet de voler des informations (principalement des mots de passe) après avoir attiré la victime sur un site web maquillé afin de ressembler au site demandé par l’utilisateur, et ce même si le nom de domaine est correctement saisi.

Il faut dire que certains ne facilitent pas les choses, comme les banques qui envoient des mails depuis des domaines improbables et pas toujours identiques. Sans parler de signature GnuPG, elles ne savent pas ce que c’est, ni leurs clients.

Comment s’en prémunir

  1. Vérification de l’orthographe du nom de domaine
  2. Vérifier les certificats électroniques
  3. Écrire manuellement les URL
  4. Ayez de bonnes habitudes et ne répondez pas aux liens dans les e-mails non sollicités ou sur Facebook.
  5. N’ouvrez pas les pièces jointes des e-mails non sollicités.
  6. Protégez vos mots de passe et ne les révélez à personne.
  7. Ne donnez pas d’informations sensibles, que ce soit au téléphone, en personne ou par e-mail.
  8. Vérifiez l’URL (adresse web) des sites web. Dans de nombreux cas d’hameçonnage, l’adresse web peut sembler légitime, mais l’URL peut comporter une faute d’orthographe ou le domaine peut être différent (.com au lieu de .gov).
  9. Maintenez votre navigateur à jour et appliquez les correctifs de sécurité.

Ce que propose la cnil

Signalez les escroqueries auprès du site https://www.internet-signalement.gouv.fr/

Supprimez les messages puis videz la corbeille.

S’il s’agit de votre messagerie professionnelle, transférez courriels au service informatique et au responsable de la sécurité des systèmes d’information de votre employeur pour vérification. Attendez leur réponse avant de supprimer le courrier électronique.

Allez sur la plateforme cybermalveillance.gouv.fr : que vous soyez professionnel ou particulier, vous y trouverez des conseils et serez guidés pour tenter d’identifier la nature de l’incident dont vous êtes victime.

Contactez, si vous le souhaitez, Info Escroqueries au 0811 02 02 17 (prix d’un appel local depuis un poste fixe ; ajouter 0.06 euros/minute depuis un téléphone mobile) – Du lundi au vendredi de 9h à 18h

Du coté des sms

Signaler le message abusif au 33700 :
Ce service est ouvert aux clients de tous les opérateurs, et gratuit pour ceux de Bouygues Télécom, Orange France et SFR.

Lorsque vous recevez un spam par SMS, transférez-le au numéro 33700, sans commentaires. Vous recevrez alors un message du 33700 vous invitant à compléter un signalement. Les opérateurs mèneront ensuite des actions auprès des sociétés concernées.

Vous pouvez également :

adresser une plainte à la CNIL si vous avez pu identifier l’expéditeur des messages que vous avez reçus ;

déposer une plainte pénale auprès des services de police, de gendarmerie ou du procureur de la République.

Chiptune: Human Traffic by Ghostown-Loonies (Revision 2011)

Agenda

Rappelons que l’agenda est celui de la semaine passée lors des rediffusions le samedi.

Contrib’atelier Framasoft à Grenoble

Fini la consommation, passons à la contribution! Que vous soyez familier du code ou novice du numérique, Framasoft vous propose de découvrir comment contribuer sur ses logiciels dans la convivialité et autour d’un apéro partagé. Une manière de contribuer aussi à la culture du libre!

Le mardi 11 février 2020 de 19h00 à 21h30.
La Turbine.Coop, 3-5 esplanade Andry Farcy, Grenoble.

Natron, l’effet c’est magique

Découverte et expérimentation de logiciels libres d’infographie et de retouche d’images, avec les étudiants en communication de la licence Colibre.
Chaque séance sera l’occasion de découvrir une technique de création visuelle utilisant un logiciel libre pratique et adapté.
Cette séance, nous aborderons Natron, un logiciel qui permet de créer des animations graphiques et de retoucher des vidéos en y ajoutant des effets spéciaux.
Vous pourrez animer des personnages, composer des génériques de film et donner vie à toutes vos idées…

GRATUIT – inscription obligatoire
Le jeudi 13 février 2020 de 19h00 à 21h00.
Maison pour tous, 249 rue Vendôme, Lyon.

Astrologeek

  • sysadmin : T’as un docker-compose ? Non, c’est juste un docker qu’on pose…
  • technophile : C’est un joli jumper… c’est un peu cavalier !
  • codeur : – Est-ce que c’est non nul ? – Non – Est-ce que c’est défini ? – Oui… JS, un jeu MB !
  • hacker : C’est bon t’as démarré ? Non pas trop en Méditerranée…
  • devops : « J’adore qu’une intégration continue se déroule sans accroc ! »
  • microsofteux : Y-a-t-il un pilote dans Windows ?