7 Jan, 2018

Alerte : multiples vulnérabilités dans des processeurs

L’existence de plusieurs vulnérabilités sur des processeurs couramment utilisés a été rendue publique. Il n’y a pas à ce jour d’exploitation avérée de ces failles de sécurité appelées Meltdown et Spectre. Pour autant, le CERT-FR* recommande d’appliquer l’ensemble des mises à jour proposées. Voici quelques clés de compréhension.
cybervigilant_hashtag

Qu’est-ce qu’un processeur ?

Un processeur est un composant indispensable au fonctionnement des ordinateurs, ordiphones, tablettes (etc.) et des programmes qui y sont installés. Ces processeurs sont construits par plusieurs industriels, notamment INTEL, AMD et ARM et couvrent à eux seuls la grande majorité de nos outils électroniques quotidiens. La couche intermédiaire entre les logiciels et le processeur s’appelle le système d’exploitation (par exemple : Windows, MacOS, iOS, Android, etc.).

Que se passe-t-il ?

Liées à des défauts de conception de ces processeurs, les failles de sécurité Spectre et Meltdown pourraient, une fois exploitées, accorder un accès non autorisé à de l’information protégée (mot de passe, identifiants…).

  • Ce défaut de conception rend vulnérable tout système d’exploitation utilisant ces processeurs.
    Ces failles ne permettent cependant pas de modifier les informations et aucune exploitation malveillante de ces vulnérabilités n’a été à ce jour avérée.
  • Les hébergeurs d’informatique en nuage (cloud).
    Ces prestataires hébergent régulièrement sur un seul serveur physique, utilisant un processeur, les données de plusieurs clients.
    En exploitant la faille, un attaquant peut donc avoir accès à l’intégralité des données en mémoire.

Que dois-je faire ?

 

*Au sein de l’ANSSI, le CERT-FR est le centre gouvernemental de veille, d’alerte et de réponse aux attaque informatique.
4 Jan, 2018

Lactalis, épisode 6: pointé du doigt, le gouvernement se défend

Que savaient les services du ministère de l’Agriculture? Aucune anomalie n’avait été décelée en septembre dans l’usine Lactalis de Craon lors d’un contrôle sanitaire partiel qui portait sur un seul atelier de l’usine, affirmait mercredi une responsable du service Alimentation au ministère de l’Agriculture.

« L’inspection, comme l’ensemble des activités d’inspection de ce type, portait sur un seul domaine d’activité de l’usine: en l’occurrence, un nouvel atelier de mélange à sec de céréales » a affirmé la responsable, à la suite d’un article du Canard Enchaîné mettant en cause la qualité des contrôles sanitaires menés dans cette usine, où des salmonelles ont été découvertes. Le contrôle a donné lieu à un rapport d’inspection adressé à la direction de Lactalis, « qui n’a relevé aucune non conformité » dans l’atelier en question, a indiqué la même source.

L’inspection a été menée sous l’autorité du Préfet par les services de la Direction départementale en charge de la cohésion sociale et de la protection des populations (DDCSPP), qui réfèrent à plusieurs tutelles: le ministère de l’Agriculture lorsqu’il s’agit de produits d’origine animale (lait) et le ministère de l’Economie lorsqu’il s’agit de produits infantiles, a précisé la même source.

Des « auto-contrôles »

« Comment les contrôleurs s’y sont-ils pris pour ne détecter en septembre aucune salmonelle, alors que l’on sait aujourd’hui, après enquête, que l’usine était infectée depuis février au moins? » s’interrogeait un expert en sécurité sanitaire des aliments, cité de façon anonyme dans le Canard Enchaîné mercredi.

La responsable du ministère de l’Agriculture a par ailleurs noté que d’autres contrôles, ayant repéré des salmonelles sur du matériel de nettoyage et sur les carrelages mais pas sur l’appareil de production et qui dataient du mois d’aout et de novembre, « relevaient vraisemblablement d’auto-contrôles menés par l’entreprise elle-même ».

Le ministère de l’Agriculture « n’a pas eu connaissance » de ces résultats, a ajouté la responsable. « Dans ce cas, il y a une obligation de notification de résultat aux autorités de l’Etat dès lors qu’une non-conformité a été décelée sur un produit mis sur le marché », a précisé la responsable. Lactalis avait évoqué ces deux contrôles le 10 décembre dernier.

La question qui reste en suspens désormais est donc de savoir si les services de la DDCSPP de la Mayenne avaient été informés des résultats des auto-contrôles. « Je n’ai pas cette information (…) C’est l’enquête judiciaire qui le déterminera », a dit la responsable du ministère. « Ce qui nous préoccupe, c’est qu’il n’y ait pas de mise sur le marché de produits dangereux », a-t-elle ajouté. « S’il y a eu dissimulation, fraude ou tromperie, la justice le déterminera, et là ce serait inacceptable et condamnable, mais à ce stade, on ne peut rien dire » a-t-elle ajouté.

3 Jan, 2018

Lactalis, épisode 5 : Le fond de l’affaire bientôt …

 

… Selon Le Canard enchaîné, Lactalis aurait identifié en août et en novembre la présence de salmonelles « sur du matériel de nettoyage et sur les carrelages » sur son site de Craon (Mayenne). « Rien de nouveau » dans ces informations, selon la direction de Lactalis.

Dans son édition du 3 janvier, Le Canard enchaîné affirme que des salmonelles avaient été découvertes lors de contrôles menés en août sur le site de Craon de l’entreprise Lactalis – d’où provenaient les lots de laits infantiles retirés sur le marché fin 2017 pour cause de contamination aux salmonelles. Les bactéries avaient été découvertes « sur du matériel de nettoyage et sur les carrelages ».

Les contrôles avaient été menés en interne par Lactalis Nutrition Santé. Ne pas communiquer sur ces résultats n’a « rien d’illégal », précise toutefois l’hebdomadaire. Il s’étonne en revanche qu’une inspection sanitaire de routine menée en septembre par une délégation du ministère de l’Agriculture ne semble pas avoir identifié ce problème – ainsi qu’en témoigne un compte-rendu rédigé par la DDCSPP (direction départementale de la cohésion sociale et de la protection des populations).

Seul un atelier de mélange de céréales a été inspecté en septembre

« Comment les contrôleurs s’y sont-ils pris pour ne détecter en septembre aucune salmonelle alors que l’on sait aujourd’hui, après enquête, que l’usine était infectée depuis février, au moins ? » s’interroge un expert en sécurité sanitaire, interrogé par le Canard enchaîné.

Dans l’après-midi du 3 janvier, une responsable du service Alimentation au ministère de l’Agriculture a précisé à l’Agence France Presse que le contrôle sanitaire partiel portait sur un seul atelier de l’usine. « L’inspection, comme l’ensemble des activités d’inspection de ce type, portait sur un seul domaine d’activité de l’usine: en l’occurrence, un nouvel atelier de mélange à sec de céréales ».

Le ministère souligne qu’une obligation de notification n’existe que lorsque une non-conformité a été décelée sur un produit mis sur le marché. Lactalis, de son côté, rétorque que « les autorités ont à disposition les résultats des audits en permanence ».

« Rien de nouveau », selon Lactalis

Interrogé par Allodocteurs.fr dans la matinée du 3 janvier, la direction de la communication de Lactalis précise que l’article du Canard enchaîné « ne contient rien de nouveau qui n’ait déjà été évoqué auprès des médias ou des autorités ».  « Les autorités ont été informées de cela. On est dans des activités très contrôlées, et en relation de transparence totale ». « En septembre, lors du contrôle mené [par les autorités sanitaires], rien n’était positif ». Début décembre 2017, Lactalis avait déclaré « [savoir] désormais qu’une contamination dispersée s’est installée [à Craon] suite à des travaux réalisés durant le premier semestre 2017 ».

Lactalis précise que « les lots de produits mis en cause [dans les cas de contamination de nourrissons] ont été fabriqués en début d’année, antérieurement à la période » évoquée par le Canard enchaîné.

La responsable du ministère de l’Agriculture interrogée par l’AFP précise que le ministère de l’Agriculture « n’a pas eu connaissance » des résultats d’auto-contrôles évoqués par le Canard Enchaîné. « Dans ce cas, il y a une obligation de notification de résultat aux autorités de l’Etat dès lors qu’une non-conformité a été décelée sur un produit mis sur le marché », a précisé la responsable. Lactalis avait évoqué ces deux contrôles le 10 décembre dernier lors d’un entretien avec l’AFP. la suite 

La suite au prochaine épisode…

2 Jan, 2018

Warnings du MIT : Six Cyber Threats to Really Worry About in 2018

More huge data breaches

The cyberattack on the Equifax credit reporting agency in 2017, which led to the theft of Social Security numbers, birth dates, and other data on almost half the U.S. population, was a stark reminder that hackers are thinking big when it comes to targets. Other companies that hold lots of sensitive information will be in their sights in 2018. Marc Goodman, a security expert and the author of Future Crimes, thinks data brokers who hold information about things such as people’s personal Web browsing habits will be especially popular targets. “These companies are unregulated, and when one leaks, all hell will break loose,” he says.

Ransomware in the cloud

The past 12 months have seen a plague of ransomware attacks, with targets including Britain’s National Health Service, San Francisco’s light-rail network, and big companies such as FedEx. Ransomware is a relatively simple form of malware that breaches defenses and locks down computer files using strong encryption. Hackers then demand money in exchange for digital keys to unlock the data. Victims will often pay, especially if the material encrypted hasn’t been backed up.

Related Story

Hacking Back Makes a Comeback—But It’s Still a Really Bad Idea

Some politicians want to make it legal for individuals and companies in America to pursue digital assailants.

That’s made ransomware popular with criminal hackers, who often demand payment in hard-to-trace cryptocurrencies. Some particularly vicious strains, such as WannaCry, have compromised hundreds of thousands of computers (see “The WannaCry Ransomware Attack Could’ve Been a Lot Worse”). One big target in 2018 will be cloud computing businesses, which house mountains of data for companies. Some also run consumer services such as e-mail and photo libraries. The biggest cloud operators, like Google, Amazon, and IBM, have hired some of the brightest minds in digital security, so they won’t be easy to crack. But smaller companies are likely to be more vulnerable, and even a modest breach could lead to a big payday for the hackers involved.

The weaponization of AI

This year will see the emergence of an AI-driven arms race. Security firms and researchers have been using machine-learning models, neural networks, and other AI technologies for a while to better anticipate attacks, and to spot ones already under way. It’s highly likely that hackers are adopting the same technology to strike back. “AI unfortunately gives attackers the tools to get a much greater return on their investment,” explains Steve Grobman, chief technology officer at McAfee.

Recommended for You
  1. 18 Exponential Changes We Can Expect in the Year Ahead
  2. The Biggest Technology Failures of 2017
  3. 23andMe Launches Giant Weight-Loss Study
  4. Best Online Classes for Job Skills
  5. While U.S. Workers Fear Automation, Swedish Employees Welcome It

An example is spear phishing, which uses carefully targeted digital messages to trick people into installing malware or sharing sensitive data. Machine-learning models can now match humans at the art of crafting convincing fake messages, and they can churn out far more of them without tiring. Hackers will take advantage of this to drive more phishing attacks. They’re also likely to use AI to help design malware that’s even better at fooling “sandboxes,” or security programs that try to spot rogue code before it is deployed in companies’ systems.

Cyber-physical attacks

More hacks targeting electrical grids, transportation systems, and other parts of countries’ critical infrastructure are going to take place in 2018. Some will be designed to cause immediate disruption (see “A Hack Used to Plunge Ukraine into Darkness Could Still Do Far More Damage”), while others will involve ransomware that hijacks vital systems and threatens to wreak havoc unless owners pay swiftly to regain control of them. During the year, researchers—and hackers—are likely to uncover more chinks in the defenses of older planes, trains, ships, and other modes of transport that could leave them vulnerable.

Mining cryptocurrencies

Hackers, including some allegedly from North Korea, have been targeting holders of Bitcoin and other digital currencies. But the theft of cryptocurrency isn’t the biggest threat to worry about in 2018; instead, it’s the theft of computer processing power. Mining cryptocurrencies requires vast amounts of computing capacity to solve complex mathematical problems. As my colleague Mike Orcutt has noted, that’s encouraging hackers to compromise millions of computers in order to use them for such work (see “Hijacking Computers to Mine Cryptocurrency Is All the Rage”). Recent cases have ranged from the hacking of public Wi-Fi in a Starbucks in Argentina to a significant attack on computers at a Russian oil pipeline company. As currency mining grows, so will hackers’ temptation to breach many more computer networks. If they target hospital chains, airports, and other sensitive locations, the potential for collateral damage is deeply worrying.

Hacking elections (again!)

Fake news isn’t the only threat facing any country running an election. There’s also the risk of cyberattacks on the voting process itself. It’s now clear that Russian hackers targeted voting systems in numerous American states ahead of the 2016 presidential election (see “Latest NSA Leak Reveals Exactly the Kind of Cyberattack Experts Had Warned About”). With midterm elections looming in the U.S. in November, officials have been working hard to plug vulnerabilities. But determined attackers still have plenty of potential targets, from electronic voter rolls to voting machines and the software that’s used to collate and audit results.

As these and other risks grow in 2018, so will the penalties for companies that fail to address them effectively. On May 25, the General Data Protection Regulation will come into effect in Europe. The first big overhaul of the region’s data protection rules in more than two decades, the GDPR will require companies to report data breaches to regulators—and inform customers their data has been stolen—within 72 hours of discovering a breach. Failure to comply could lead to fines of up to 20 million euros or 4 percent of a company’s global revenues, whichever is greater.

The recent revelation that Uber covered up a big cyberattack last year has sparked calls for breach disclosure rules to be toughened in America too. All this means that lawyers as well as hackers will have a very busy 2018.

2 Jan, 2018

Apple et les crises … et face au bashing constant

Des crises, Apple en a affronté des centaines. Entre des explosions de batterie, des poursuites en justice pour violation de brevets technologiques, des mises en cause d’ONG sur le travail des enfants chez certains de ses fournisseurs asiatiques ou encore ses pratiques borderline d’optimisation fiscale (et la liste est loin d’être close), la vie de l’iconique pomme n’a rien d’un long fleuve tranquille. Longtemps immunisé par la figure mythique de Steve Jobs, son innovation produit disruptive et sa communauté d’Applemaniacs, Cupertino s’est toujours contenté de faire le service minimum et formaté en matière de communication envers ses parties prenantes. A la différence près qu’être une marque qualifiée de « love brand » ne dispense pas d’être scrutée en permanence et avec des impacts potentiellement grandissants depuis que les produits Apple sont quelque peu rentrés dans le rang en termes d’innovation technologique (pas les prix en revanche !). L’affaire des iPhone 6 et 7 ralentis vient démontrer qu’il va falloir sérieusement dépoussiérer cette culture du revers de main et du communiqué corporate qui frôle la caricature. Lire la suite dans le blog du communicant

21 Déc, 2017

Lactalis, épisode 4 : Les commentaires sur la communication trop pauvre mais rien sur le fond du dossier

L’affaire des laits infantiles contaminés par la salmonelle dure depuis trois semaines. Un feuilleton où le principal concerné, Lactalis, réagit très peu. Méthode désuète et contre-productive, selon un communicant spécialisé dans les périodes de crise. Des promesses d’analyse, un communiqué d’excuses pour les parents dont les enfants auraient été contaminés, et c’est presque tout. Le géant laitier mayennais a très peu communiqué sur l’affaire des laits infantiles contaminés par la salmonelle depuis trois semaines déjà. Une habitude pour le groupe qui se veut très discret. Et un sacré paradoxe quand on sait que Lactalis possède de nombreuses marques connues par les Français : Lactel, Société, Salakis ou encore Galbani. La suite

20 Déc, 2017

Communication du risque : Exposition des femmes enceintes aux contaminants

Le monde- Les femmes enceintes françaises surexposées à l’arsenic et au mercure – Le pictogramme qui préconise aux femmes de ne pas boire la moindre goutte d’alcool pendant la grossesse, même pendant les fêtes, doit-il également être accolé sur les bourriches d’huîtres ou les plateaux de saumon et de fruits de mer ? On savait déjà que ces mets, consommés crus, étaient déconseillés en raison des risques de listériose. Une étude inédite publiée mardi 19 décembre par Santé publique France (ex-Institut de veille sanitaire), quelques jours avant les agapes de fin d’année, montre que les femmes enceintes françaises sont surexposées à l’arsenic et au mercure, et que cette « surimprégnation » (par rapport notamment aux Américaines et aux Canadiennes) « trouverait une explication dans la consommation plus élevée de produits de la mer ».

Ces résultats préoccupants sont issus du volet périnatal du programme national de biosurveillance que les ministères de la santé et de l’environnement ont demandé à Santé publique France de mettre en œuvre, considérant que « la connaissance des niveaux d’exposition des femmes enceintes [aux polluants de l’environnement] et le mode d’imprégnation sont des enjeux majeurs de santé publique ». L’exposition prénatale à ces polluants est soupçonnée d’avoir des répercussions sur la grossesse (prématurité, malformations congénitales, petit poids à la naissance) et sur le développement et la santé de l’enfant (atteintes du système reproducteur, du métabolisme, du développement psychomoteur et intellectuel ou augmentation du risque de cancer).

Cobalt et plomb

L’étude a été conduite sur un échantillon représentatif de 4 145 femmes ayant accouché en 2011 en France continentale (hors Corse) à partir de prélèvements recueillis au moment de l’accouchement : sang de cordon, urines, cheveux et sérum. Une première salve de résultats, publiée en décembre 2016, a déjà montré la présence de polluants organiques (bisphénol A, phtalates, pesticides, PCB ou composés perfluorés) La suite