dimanche 27 octobre 2019

Ordinateur quantique

J'ai trouvé cette photo du cœur d'un ordinateur quantique d'IBM assez fascinante :





Pour une machine dont la caractéristique principale est de gérer des états incertains (plus que binaires), il y a 2 choses étonnantes dans le montage :

- Dans le coin supérieur gauche, il n'y a que 3 écrous en place quand 4 écrous semble être la norme, 

- Dans le coin inférieur gauche, le 4ème écrou est même manquant, et son trou d'emplacement reste vide.

A mon avis, elle marchotte cette machine ...

lundi 21 octobre 2019

Velib : Le retour des problèmes

Message un peu énervé, envoyé au service client de Velib aujourd'hui :

Bonjour,

Vous m'écrivez :
"Nous vous rappelons que vous restez responsable de votre Velib' jusqu'à sa complète restitution en bornette. Au-delà de la facturation de la durée de votre course pouvant aller jusqu’à 24h. Vous vous exposez à l’application d’une caution pouvant atteindre 300 euros dans le cadre de nos CGAU si le vélo n’est pas retrouvé."

Merci de cette information, vraiment …

Maintenant peut-être pourriez-vous faire en sorte que les vélos se décrochent des bornes après avoir donné le Go ?

Tout au moins, qu'un vélo qui ne s'est pas décroché se raccroche correctement ?

Et puis dans le cas où ce problème de fourche diabolique perdure dans vos systèmes, peut-être pourriez-vous analyser l'information informatique dans vos systèmes, et constater que les vélos n'ont pas parcouru un seul mètre ?

Ou bien par exemple, traiter les codes erreur  50 assortis d'un panneau interdit ?

Une fois que vous aurez résolu tous ces problèmes, vous verrez, vous n'aurez plus besoin de considérer vos clients comme négligents, et ne sachant pas raccrocher un vélo : Pour information, j'ai fait aujourd'hui 4 stations successives et au moins 6 vélos avant de pouvoir en décrocher un et aller à mon RV professionnel (Vous le verrez aisément sur mon historique).

Merci de votre attention, et mettez vous de grâce, à votre travail de professionnel de la mobilité.

Mais voyons le côté positif des choses : On ne vous volera pas tous ces vélos qui ne se décrochent pas.

De la sécurité informatique

Cette enquête du "Monde Informatique" du jour, sur un piratage informatique réalisé chez Marriott, et qui met en cause le gouvernement chinois, est absolument passionnante (et pour une fois dans la presse, très réaliste sur le plan technique) :


Fin 2018, la chaîne hôtelière Marriott a annoncé que l'un de ses systèmes de réservation avait été compromis. Des centaines de millions de dossiers de clients, comprenant les numéros de cartes de crédit et de passeports, ont été aspirés par les pirates. Nos confrères d'IDG reviennent sur cet incident de sécurité.

Le 8 septembre 2018, un outil de sécurité interne de la chaîne hôtelière Marriott signale une tentative suspecte d'accès à la base de données interne des réservations clients des marques Starwood de Marriott, qui comprennent les hôtels Westin, Sheraton, St. Regis et W. S'en est suivi une enquête interne, soutenue par une action judiciairen qui a permis de déterminer, que le réseau Starwood avait été compromis en 2014 – à l'époque où ce groupe était une société distincte. Marriott a acheté Starwood en 2016, mais près de deux ans plus tard, les anciens hôtels Starwood n'avaient pas été migrés vers le système de réservation de Marriott et utilisaient toujours son infrastructure informatique.

Au cours de son enquête, Marriott a trouvé des données que les attaquants avaient chiffré et tenté – sans doute avec succès – de supprimer des systèmes Starwood. En novembre, le groupe avait réussi à déchiffrer ces données et découvert qu'elles comprenaient des renseignements provenant d'un maximum de 500 millions de dossiers clients, avec des doublons ou des dossiers multiples. Bon nombre de ces documents contenaient des renseignements extrêmement sensibles comme les numéros de cartes de crédit et de passeports. Conscient de la gravité de la brèche, Marriott a publié un communiqué le 30 novembre 2018.


Quelle est la cause de cette faille de sécurité ?


Marriott n'a pas rendu publics de nombreux détails de l'attaque, il est donc impossible de dire avec certitude quelle vulnérabilité ou erreur a été la cause directe de l'incident. Le CEO de Marriott, Arne Sorenson, a comparu devant le Sénat américain pour parler de l'attaque, et la transcription de son témoignage apporte tout de même quelques précisions. L'outil de sécurité qui a signalé la requête inhabituelle était en fait supervisé par Accenture, qui dirigeait l'informatique et l'infosécurité pour Starwood avant la fusion et continuait de le faire pour l'ancien réseau. La requête sur la base de données a été effectuée par un utilisateur ayant des privilèges d'administrateur, mais l'analyse a rapidement révélé que la personne à qui ce compte renvoyait n'était pas celle qui avait effectué la requête. En d'autres termes, quelqu'un d'autre avait réussi à prendre le contrôle du compte.

Les enquêteurs ont commencé à fouiller le système à la recherche d'indices et ont découvert un cheval de Troie d'accès à distance (RAT) ainsi que MimiKatz, un outil permettant de repérer les combinaisons nom d'utilisateur/mot de passe dans la mémoire système. Ensemble, ces deux outils auraient pu donner aux pirates le contrôle du compte administrateur. On ne sait pas clairement comment le RAT a été placé sur le serveur Starwood, mais de tels trojan sont souvent téléchargés à partir de courriels de phishing.

Mais derrière ces vecteurs d'attaque spécifiques se cache une série de facteurs culturels et commerciaux qui peuvent également expliquer cette faille. Car le pire ici n'est pas le succès de l'attaque des systèmes Starwood – la plupart des experts en sécurité indiquent qu'il est presque impossible d’éviter toutes les attaques tout le temps. Le plus inquiétant est que l'attaque n'ait pas été détectée pendant quatre ans. Starwood ne disposait pas la meilleure culture de sécurité avant son acquisition par Marriott. Le Wall Street Journal a rapporté que les employés de Starwood trouvaient toujours le système de réservation difficile à sécuriser. D’ailleurs, une attaque différente s’est produite sur le même système en 2015 et n'a été détecté que huit mois après. Puis, après l'acquisition de Starwood par Marriott en septembre 2016, la plupart des employés de Starwood, y compris ceux qui gèrent l’IT et la sécurité, ont été mis à pied. Ce genre de réduction de la masse salariale sont attendus dans ce genre de fusions, bien sûr, mais Marriott était loin d'être prête à supporter les réservations clients dans les milliers d'hôtels nouvellement acquis avec son propre système interne. D’où le maintien de l'ancien système Starwood pendant deux autres années avant de découvrir le ver dans la pomme.


Quel a été l'impact de cette faille ?


En un mot, catastrophique au premier abord. Des centaines de millions de personnes se sont fait voler leur passeport et leur numéro de carte de crédit, ce qui pourrait avoir des conséquences personnelles désastreuses. Le pire étant que les vols de numéros de carte de crédit ont été rendus possibles par une autre faille de sécurité chez Marriott. Alors que les numéros de carte de crédit étaient chiffrés avant d’être stockés, les clés de chiffrement étaient enregistrées sur le même serveur, et ont donc pu être apparemment récupérées lors du piratage. Quant aux numéros de passeport, bien que certains aient été cryptés, la majorité d'entre eux étaient sauvegardés en clair. Cependant la faille ne semble pas avoir eu l'impact préjudiciable qu'elle aurait pu avoir sur les clients de Starwood. Pour comprendre pourquoi, il faut savoir qui se cache derrière l’attaque et leurs motivations.

Qui a piraté Marriott et pourquoi ?

Même si l'attribution est toujours un exercice difficile, un vol massif de données de consommateurs est souvent associé à des cybercriminels souhaitant usurper une identité ou utiliser des numéros de carte de crédit volés. Mais en décembre 2018, des articles du New York Times et du Washington Post, citant des sources anonymes du gouvernement américain, ont montré du doigt une toute autre direction : des pirates informatiques employés par les services de renseignement chinois.

Les sources du Post et du Times ont eu accès à plus de données sur le piratage autre que celles rendues publiques et affirment que le code et les modèles d'attaque utilisés correspondent aux techniques employées par les pirates chinois parrainés par l'État. Les attaquants ont utilisé un espace d'hébergement dans le cloud fréquemment utilisé par les pirates chinois, par exemple. L'implication du service de renseignement américain dans l'enquête et le caractère sensible de l'attentat expliquent d’ailleurs probablement pourquoi peu de détails techniques ont été rendus publics. Un autre indice est le fait qu'aucun de ces millions de documents sensibles n'a fini sur le darkweb. Il ne s'agissait pas d'une simple opération de pillage.

Quelle serait la motivation de l'attaque, alors ? Les sources gouvernementales spéculent qu'elle s'inscrivait dans le cadre d'un effort chinois plus vaste visant à acquérir des quantités massives de données sur les employés du gouvernement américain et les agents de renseignement. Marriott est le principal fournisseur hôtelier du gouvernement et de l'armée américaine. Les numéros de passeport volés, en particulier, pourraient être utilisés pour suivre les déplacements de ces personnes dans le monde entier. La violation des systèmes du Bureau de la gestion du personnel faisait probablement partie de la même campagne. Les données de millions de personnes ont été volées mais aucune d’entre elles ne se sont retrouvées sur le darkweb ou ont été utilisées à des fins frauduleuses. L'objectif à long terme serait de créer un lac de données sur les employés et agents du gouvernement américain et de les analyser grâce à des techniques de big data.

Autre piste, rétrospectivement, Marriott a dû, de façon quelque peu suspecte, repousser une offre d'Anbang, une société chinoise, au moment du rachat de Starwood. On pourrait penser à une représailles mais, lorsque tout cela s'est produit en 2016, les pirates étaient déjà entrés dans les systèmes de Starwood, alors il s’agit peut-être d’une coïncidence.


Comment Marriott a-t-il réagi à cette brèche ?


Peut-être parce qu'il ne semble pas y avoir de menace immédiate sur l’utilisation frauduleuse des données volées, Marriott n'a pas fait tout son possible pour indemniser les clients qui ont été volés. Le New York Times cite un porte-parole de Marriott affirmant que l'entreprise paierait le coût de remplacement d'un passeport avec un nouveau numéro ou couvrirait les frais de carte de crédit « s'il y a eu fraude ». Bien que les dommages potentiels causés par les données personnelles stockées chez les renseignements chinois soient en théorie importants, il est difficile de les quantifier, surtout pour chaque individu.

Y a-t-il un recours collectif pour atteinte à la protection des données dans l'affaire Marriott ?

Bien sûr, ce n'est qu'un bien piètre réconfort si vous êtes l'une des personnes touchées et, en fait, les clients de Marriott et de Starwood ne prennent pas les choses à la légère. De multiples recours collectifs ont déjà été intentés, et le défaut de Marriott de faire preuve de diligence raisonnable à l'égard de la sécurité de l'information de Starwood (ou l'absence de celle-ci) a été spécifiquement mis en évidence dans les documents judiciaires par les plaignants. Accenture, la société de conseil à laquelle Starwood (et par la suite Marriott) avait confié une grande partie de ses opérations informatiques quotidiennes, est également poursuivie dans le cadre du même procès.

Cependant, il ne faut pas compter sur ces plaintes d'atteinte à la protection des données de Marriott pour obtenir une grosse somme d'argent. Consumer Reports donne plus de détails sur les clients qui seront automatiquement inclus dans le recours collectif et sur la façon dont il est possible de s’en exclure ; et prédit que toute compensation aux individus sera modeste.


Combien a coûté cette faille ?


En mars 2019, Marriott avait engagé des dépenses de 28 millions de dollars liées à une atteinte à la sécurité des renseignements personnels, ce qui n'a fait baisser que de 3 millions de dollars ses résultats nets. En mai, l'entreprise avait réduit ses pertes à seulement un million de dollars. Comment ? La cyberassurance, qui a couvert une grande partie des coûts initiaux associés à la crise. L'assurance contre les cyberattaques est une offre relativement nouvelle, mais elle semble avoir été bien utile à Marriott.

Mais ces coûts initiaux ne sont qu’un début. Nos confrères de ZDnet a estimé qu'entre les coûts directs et les pertes indirectes causées par la perte de clients à l'égard de l'entreprise à l'avenir, Marriott pourrait perdre des milliards de dollars en revenus à la suite de la violation.

Marriott a-t-il été condamné à une amende pour atteinte à la protection des données ?

En juillet 2019, un coup beaucoup plus dur est porté à l'entreprise. L'Information Commissioner's Office (ICO) du Royaume-Uni a imposé une amende de 99 millions de livres sterling pour violation du droit à la vie privée des citoyens britanniques dans le cadre du RGPD. Une fois de plus, l'ICO a spécifiquement cité le fait que Marriott n'a pas fait preuve de diligence raisonnable à l'égard de l'infrastructure IT de Starwood pour expliquer cette décision. L'amende massive n'est peut-être qu'un début, car d'autres juridictions pourraient également chercher à punir l'entreprise pour ses manquements.


Qu’apprendre des erreurs de Marriott ?


Starwood et Marriott étaient coupables de manquements élémentaires en matière de sécurité : une absence de défense en profondeur qui a permis aux attaquants de rester dans le système pendant des années après l'avoir compromis, par exemple, et la non-conservation des données chiffrées séparément de leurs clés de sécurité. Marriott n'a pas suivi la règle la plus importante en matière de cybersécurité : supposer que son système était compromis et agir en conséquence.

La transition cahoteuse après à la fusion Marriott-Starwood – le licenciement du personnel informatique de Starwood et la longue période pendant laquelle les anciens systèmes de Starwood ont été maintenus – a aggravé le problème. La lourde amende infligée par le Royaume-Uni laisse entendre que les autorités de réglementation tiendront les entreprises pour responsables de ce genre de questions après une fusion.

Les données sur les voyages sont riches en informations qui peuvent donner un aperçu des modes de vie, des goûts et des relations des individus, mais l'industrie du voyage est loin derrière des secteurs comme les banques en ce qui concerne la cybersécurité et doit rattraper son retard maintenant. Enfin, le piratage a montré que même des particuliers peuvent devenir des dommages collatéraux dans le monde de l'espionnage gouvernemental.


Quelle est l’arnaque qui pourrait se produire derrière l’attaque ?


Une escroquerie courante à la suite d'infractions aussi graves prend la forme de courriels d'hameçonnage prétendant provenir de l'entreprise concernée, et vous demandant de réinitialiser votre mot de passe et ainsi remettre vos identifiants de connexion. Soyez très vigilant et à l'affût d'escroqueries de ce genre. Marriott n'a pas aidé les choses en publiant du matériel lié à la brèche sur des sites web avec une variété déconcertante d'URL…


Article rédigé par Josh Fruhlinger, CSO (adapté par Nicolas Certes)


mardi 8 octobre 2019

Le paradoxe de la tolérance


Bourdieu 1989

Bourdieu en 1989, disait déjà à propos des Ecoles de Commerce (in "Noblesse d'Etat") :


"Ces institutions scolaires paradoxales doivent encourager et favoriser chez des élèves déjà à demi convertis, des dispositions anti-scolaires, tout en leur assurant les prestiges plus ou moins trompeurs d'un titre scolaire fallacieux."



samedi 5 octobre 2019

Sed contra

Il faut écouter ce que dit un jeune spécialiste de rhétorique, Clément Victorovitch du discours de notre président à nous et de son art de manier les tropes pour plaire aux uns et aux autres. En France, il faut savoir parfois ne pas trancher un débat en cours quand on est un homme politique...

vendredi 4 octobre 2019

Mise en pêche

Hier soir, le président Trump a changé de stratégie. Il a affirmé sur son compte Twitter :

« en tant que président des Etats-Unis, j’ai le droit absolu, voire même le devoir, d’enquêter ou de faire enquêter sur la corruption, même si cela inclut de demander ou de suggérer à d’autres pays de nous aider ! ».

Cette affirmation totalement illicite a fait bondir la présidente de la commission électorale fédérale, Ellen Weintraub, qui a republié sur Twitter, un rappel à l’ordre déjà exprimé en juin : 

« Permettez-moi de clarifier à 100 % quelque chose au public américain et à quiconque se portant candidat à une charge publique.
Il est illégal pour toute personne de solliciter, d’accepter ou de recevoir quelque chose de valeur d’un ressortissant étranger dans le cadre d’une élection américaine.
Ce n’est pas un concept nouveau. »


Ce qui est incroyable, c'est que personne à la Maison Blanche n'a plus le courage d'apprendre la loi américaine au président américain.






mardi 1 octobre 2019

Lorenzo

Dorian
Erin
Fernand
Gabrielle
Humberto 
Imelda
Jerry
Karen..
et maintenant voici Lorenzo, douzième ouragan tropical d'ampleur de cette année de grâce 2019, comme la douzième lettre de l'alphabet, selon la célèbre liste publiée dès 1953 par la NHC (National Hurricane Center). Cette liste est réutilisée tous les 6 ans et mise à jour par un comité international, la World Meteorological Organization (WMO). Les ouragans les plus meurtriers comme Katrina, étant retirés de la liste.

Avec des vents dépassants 250 km/h, cet Ouragan vient de décrocher la classification 5, comme le meurtrier ouragan Dorian il y a quelques semaines. Il se dirige et va passer sur les Açores cette nuit... Peu commun pour un ouragan tropical de dépasser le 35e parallèle, surtout à cette époque de l'année. On est plus habitué à ce que les cyclones tropicaux restent sous les tropiques et touchent Cuba, les Bahamas et viennent s'échouer en Floride. Celui-ci s'aventure même au large de l'Europe et semble suivre les vents dominants de ces hautes latitudes au lieu de la direction Est-Ouest habituelle des alizés tropicaux. On vit une époque formidable (au sens premier de formidable)...

Bulletin méteo de The Independent


Carte de prévision pour jeudi 0h