SSI RH – PSSI PPST – Espionnage chez Airbus

Espionnage chez Airbus ? ZATAZ vous montre trop de possibilités ! – ZATAZ

Damien Bancal

La Chine aurait espionné l’avionneur Airbus via des collaborateurs et des sous-traitants.

ZATAZ vous montre que le mal est bien plus
profond !

Vous avez très certainement lu dans la presse économique comme Capital, Challenge, … les révélations que s’apprête à faire le livre « France-Chine, les liaisons dangereuses » : la Chine aurait infiltré l’avionneur Airbus.Le bouquin, édité chez Stock, affiche les « hacks » subit par le groupe européen par ce qui semble être des « espions » à la solde du pays du soleil du milieu. Airbus s’est séparé, par exemple, de salariés Toulousains et Britanniques. Ils sont soupçonnés de « collaboration » avec les services de renseignement chinois.L’AFP explique que des sous-traitants d’Airbus qui ont servi de « Cheval de Troie ». « Quatre attaques informatiques majeures »
souligne l’agence de presse.Dans les sous-traitants visés, le
spécialiste français de l’ingénierie Expleo ou encore Rolls-Royce. « Des hackers chinois » sont soupçonnés.ZATAZ va vous montrer comment, en UNE heure, le Service Veille ZATAZ a trouvé plus de 800 possibilités d’infiltrations possibles.

Qing bao 3.0

Ma recherche s’est contentée sur la première porte d’entrée d’une entreprise. Vous savez, celle entre la chaise et le clavier.Bilan, les infiltrations et surveillances personnalisées effectuées pour les abonnées du Service Veille ZATAZ (+ de 3 000 sites/forums/… pirates) m’ont donné de quoi faire concernant plusieurs centaines d’employés (contemporains ou passés) d’Airbus.La recherche que je vais vous présenter n’a durée qu’UNE heure. Un délai que je me suis fixé, afin de découvrir si accéder à cette première porte d’entrée était simple.Une collecte de 60 minutes qui laisse le temps d’imaginer ce que peut produire de l’OSINT, des informations collectées, par des services étatiques comme la Chine, la Russie, les Etats-Unis … forts de plusieurs centaines/milliers de personnels dédiés.

https://www-zataz-com.cdn.ampproject.org/c/s/www.zataz.com/espionnage-chez-airbus-zataz-vous-montre-trop-de-possibilites/amp/

SSI RH RGPD – CJUE : un droit à l’oubli limité à l’Union

CJUE : un droit à l’oubli limité à l’Union, un droit à l’effacement des données sensibles

Suite à des procédures nées en
France, la Cour de justice de l’Union européenne (CJUE) a rendu aujourd’hui deux arrêts importants relatifs au droit à l’oubli. Ils concernent le sort des données dites sensibles (opinion religieuses, politiques, les affaires judiciaires, etc) et la portée du droit à l’effacement. Deux arrêts, tout en nuances.

Dans l’arrêt Costeja du 13 mai 2014, la Cour avait consacré le statut de responsables de traitement pour les moteurs de recherche. Depuis, ils sont tenus d’effacer les donnéesobsolètes, sauf évidemment lorsque les intérêts notamment journalistiques prédominent.

https://m.nextinpact.com/news/108228-cjue-droit-a-oubli-limite-a-union-droit-a-effacement-donnees-sensibles.htm?r

SSI DEV – Cobol, 60 ans, toujours aux commandes

Thanks Madame Grace Hopper

Il y a 60 ans naissait un langage orienté entreprise, ouvert et orienté problème, Cobol.

Parmi ses concepteurs, les informaticiennes Grace Hopper et Jean Sammet. Aujourd’hui, de nombreux systèmes critiques dans les secteurs de la banque, de la santé et des communications, continuent
à s’appuyer sur sa puissance et sa stabilité.

https://www-lemondeinformatique-fr.cdn.ampproject.org/c/s/www.lemondeinformatique.fr/actualites/lireamp-cobol-60-ans-toujours-aux-commandes-76385.html

SSI RES – Dark web : Tor est né dans un laboratoire militaire

Aux origines du dark web : la naissance de Tor dans un laboratoire militaire de l’US Navy

Avant d’être un repère d’artistes, d’activistes et de criminels, le réseau Tor était utilisé par des espions.

https://www-vice-com.cdn.ampproject.org/c/s/www.vice.com/amp/fr/article/mbmbbn/aux-origines-du-dark-web-la-naissance-de-tor-dans-un-laboratoire-militaire

SSI GOV ORG – Cybersécurité, la remise à plat

Cybersécurité : une rentrée sous le signe de la remise à plat

Valéry Marchive rédacteur en chef adjoint Lemagit.fr

Extraits :

10 ans après Pailloux, le travail est effectivement toujours aussi gigantesque. La sensibilisation en moins peut-être. Quoi que. Le plus dur est d’expliquer de l’importance du tout. Une gestion des droits sans gestion des identités… Une cartographie sans gestion de la vulnérabilité…

—(@AHCybSec)
September 5, 2019

Retour aux fondamentaux

Il y a peut-être comme une lassitude à l’égard du discours marketing de fournisseurs qui cherchent toujours à (sur-?) vendre une avance technologique revendiquée.

Face à cela, certains renvoient à l’importance des bases de la sécurité, entre gestion des droits, des identités, cartographie, gestion des vulnérabilités, etc.

Bertrand Carlier, de Wavestone, ne dit pas autre chose : « […] Get the basics first ! »

[…]Patrick Pailloux, l’ancien directeur général de l’Agence nationale pour la sécurité des systèmes d’information (Anssi), à l’occasion de l’édition 2011 des Assises de la Sécurité […] avait appelé à un « retour aux fondamentaux », aux bonnes pratiques, à une « hygiène élémentaire » de la sécurité informatique.

Des sérieuses réflexions sur l’organisation

Et puis l’heure est peut-être moins aux questions de solutions technologiques que d’organisation. De quoi aussi venir ponctionner les budgets.

Chez Wavestone, Matthieu Garin constate « depuis quelques mois, de plus en plus de demandes liées à l’organisation de la filière cybersécurité », en interne. Parce qu’une très large majorité des clients du cabinet sont organisés suivant « des schémas classiques » où des RSSI entités sont rattachés à un RSSI groupe. Et dans de nombreux cas, la fonction RSSI est elle-même rattachée à la fonction DSI.

Las, conseil d’administration ou comité de direction veulent « de plus en plus disposer d’une vision claire de la stratégie et de sa mise en œuvre homogène à l’échelle du groupe », une chose « compliquée » avec de telles organisations très éclatées.

Mais dans certains secteurs, notamment industriels, où la sûreté est essentielle, la tentation peut être de rapprocher la cybersécurité de la sûreté, justement, « pour profiter de sa maturité ».

Mais si Matthieu Garin a une certitude, c’est que la gouvernance est appelée à être plus contrainte, « avec un renforcement des programmes et des mécanismes de contrôle de leur réalisation ». Et cela aussi en réponse à des besoins d’optimisation financière.

Quentin Bédéneau, consultant indépendant en cybersécurité pour Data Templar, relève de son côté que, si les processus de gouvernance du domaine ont été longtemps alignés sur ceux de l’IT, c’est de moins en moins le cas, notamment dans les grands groupes.

Au point que la fonction RSSI apparaît de plus en plus organisée comme un centre de services interne. De quoi aider « à rompre avec l’image de la sécurité centre de coût », mais également venir concurrencer des ESN externes.

Mais s’il y a bien deux points sur lesquels les regards de Matthieu Garin et de Quentin Bédéneau se rejoignent, c’est sur l’objectif d’industrialisation – et avec elle, notamment, l’optimisation financière – et de visibilité complète, cohérente et précise, au plus haut niveau de la hiérarchie.

Jusqu’à la définition des crises

Le regard de Jérôme Saiz, du cabinet Opfor Intelligence, est plus centré sur la gestion des crises.

Mais lui aussi pointe dans la direction d’une cybersécurité se détachant de l’IT : « j’observe une prise de conscience du fait qu’une crise cyber n’est pas une crise IT ; que les plans de continuité et de reprise de l’activité historiques n’y sont pas adaptés ».

La principale différence tient au fait qu’un PRA traditionnel ne tient pas compte de la présence d’un assaillant : il s’agit de « remettre l’outil informatique debout le plus vite possible », quitte à effacer des traces ou à prendre des raccourcis susceptibles de conduire à une re-compromission très rapide.

Par exemple, « dans une crise cyber, il faut considérer que l’on n’a plus confiance en ses moyens de communication », avec tout cela peut avoir de vastes implications – hors, « les plans de secours informatiques considèrent, implicitement ou explicitement, que les moyens de communication sont accessibles ».

Et cela peut aller plus loin : « comment gérer une crise IT sans passer à côté de la crise de cybersécurité qu’elle peut cacher ? »

https://www-lemagit-fr.cdn.ampproject.org/c/s/www.lemagit.fr/actualites/252470320/Cybersecurite-une-rentree-sous-le-signe-de-la-remise-a-plat?amp=1

RGPD – Portabilité des données – Facebook

Portabilité des données

Cette expression technique prend de plus en plus d’importance dans le domaine numérique : elle symbolise la possibilité pour un utilisateur d’un réseau social de récupérer ses contacts ou ses contenus pour les emmener vers un service concurrent.

De plus en plus de pouvoirs publics ou d’associations y voient un moyen de limiter le pouvoir de plates-formes dominantes comme Facebook ou YouTube. Conscient de cette pression, le réseau social de Mark Zuckerberg publie ce mercredi 4 septembre un Livre blanc sur la question.

Son but : montrer que la mise en œuvre de cette portabilité soulève des questions juridiques et techniques.

La Quadrature du Net n’est toutefois pas convaincue :

« Voir Facebook donner des leçons sur la vie privée, c’est ironique…

L’interopérabilité, c’est justement l’idée que les gens puissent contrôler quelles données ils mettent sur quel réseau social, explique Martin Drago, juriste de l’association.

Et l’interopérabilité entre Orange et SFR, pour le téléphone, ou entre Gmail et La Poste, pour les e-mails, cela n’a pas vraiment posé de question de vie privée… »

https://www.lemonde.fr/economie/article/2019/09/04/portabilite-des-donnees-sous-pression-facebook-riposte_5506480_3234.html

SSI PDT – Retadup 0 / C3N Gendarmerie Nationale 960.000

Retadup : La Gendarmerie Nationale Française met fin aux agissements d’un groupe de pirates du Moyen Orient

By : Damien Bancal

Les Gendarmes du C3N mettent fin à une infection malveillante qui agissait en sourdine. Plus de 900 000 machines infectées par Retadup désinfectées par les militaires Français.

https://www.zataz.com/retadup-la-gendarmerie-nationale-francaise-met-fin-aux-agissements-dun-groupe-de-pirates-du-moyen-orient/

SSI RES – BIG-IP de F5, un grave défaut de sécurité

DataSecurityBreach

Damien Bancal

Intrusions : Un chercheur en cybersécurité a identifié un défaut de sécurité susceptible de transformer des centaines de milliers d’équilibreurs de charge en vecteurs de cyber attaques.

Des chercheurs en cybersécurité invitent les organisations utilisant l’équilibreur de charge BIG-IP de F5 Networks, à remédier aux problèmes de sécurité posés par plusieurs configurations.

BIG-IP est notamment populaire auprès des gouvernements, des banques et d’autres grandes entreprises. Mal configuré, cet équilibreur de charge peut servir de porte d’entrée pour les pirates informatiques. Ces derniers peuvent alors s’infiltrer sur les réseaux et effectuer de nombreuses attaques contre les entreprises et particuliers utilisant les services web gérés par le produit corrompu.

Le défaut de sécurité réside dans le langage de programmation Tcl utilisé pour définir les règles iRules (la fonctionnalité utilisée par BIG-IP pour diriger le trafic web entrant). Certaines pratiques de codage permettent aux hackers d’injecter des commandes Tcl arbitraires pouvant être exécutées dans le script Tcl cible.

https://www.datasecuritybreach.fr/big-ip-de-f5-un-grave-defaut-de-securite-peut-donner-lieu-a-des-intrusions-informatiques/