Les actualités cybersécurité en bref : Uber, Skype, les failles de 2016 et le chiffrement
Uber met de plus en plus de voitures autonomes sur les routes
Uber a lancé le test de sa voiture autonome à San Francisco, après son essai pilote à Pittsburgh en Septembre dernier. Cette initiative est très intéressante car, d’une part les actualités cybersécurité nous apprennent que Volvo a pris part financièrement à cet essai pilote (Uber, comme tout le monde le sait, n’est pas pressé d’être introduit en bourse, et comme chacun le sait certainement, amasse de la liquidité à la vitesse grand V), d’autre part la technologie utilisée est celle se basant sur “Lidar” (un type de radar pour détecter les obstacles et les contourner), et enfin cela arrive le jour qui suit l’annonce que Google a, via sa filiale Alphabet, déplacé son unité de voitures autonomes de sa division “moonshot”, vers une compagnie séparée et indépendante, appelée Waymo.
Les voitures autonomes incarnent une vision fascinante du futur, bien qu’il y ait de nombreux obstacles pour les organisations qui travaillent plus particulièrement sur cette vision du futur, en partant des problèmes de sécurité (Tesla a eu son premier accident fatal récemment, même si on pouvait sans doute s’y attendre d’un point de vue des statistiques), jusqu’aux questions fondamentales sur le devenir de tous ces gens qui gagnent leurs vies en conduisant.
Notre préoccupation chez Sophos est le manque d’antécédents rassurants concernant Uber et la sécurité des données, et tout particulièrement à la suite des récentes allégations émanant de l’ancien expert scientifique, Samuel Ward Spangenberg. Il faut noter que les déclarations de Spangenberg, au sujet des négligences en matière de sécurité, font partie de sa procédure judiciaire engagée contre l’entreprise pour une discrimination du à l’âge, ainsi que des représailles pour avoir tiré la sonnette d’alarme.
La prolongation de l’essai de Pittsburg à San Francisco est néanmoins à surveiller, dans la mesure où Uber monte d’un cran en termes d’ambitions, pour beaucoup de raisons d’ailleurs.
Assurez-vous de patcher Skype sur MacOS
Dans les actualités cybersécurité vous avez aussi Skype sur MacOS. Assurez-vous de ne pas avoir une vieille version. De récents rapports ont mentionné qu’à partir de la version 7.35, celle-ci comprise, des plugins non autorisés pouvaient se connecter sournoisement à Skype, en se renommant du nom d’un plugin qui avait déjà été autorisé. Il semble qu’aucun chiffrement ni aucune validation n’aient été mis en œuvre.
Au moins un rapport appelle ceci un backdoor, même si cela est plutôt injuste pour Microsoft, car le mot bug serait plus approprié (même si ce dernier est lui aussi peu flatteur). Néanmoins, il n’existe aucune preuve que cette faille soit délibérée pour favoriser tout simplement l’espionnage.
La dernière version de Skype pour Mac est la version 7.43, vérifiez votre version en utilisant “Vérifier les mises à jour” … dans le menu Aide sur Skype.
La quantité de données perdues atteint les 2 milliards
Nous ne sommes pas encore réellement à la fin de l’année, mais nous savons déjà que le nombre total de données perdues à cause de failles de sécurité dépasse le chiffre de 2 milliards : un expert a mentionné le total de 2.14 milliards, bien au-dessus du chiffre de l’an dernier, qui avait atteint le chiffre plutôt insignifiant de 480 millions de données perdues.
Lewis Morgan, du blog IT Governance, a publié récemment sa propre liste, et il s’agit d’un petit rappel qui donne tout de même à réfléchir en ce qui concerne l’intérêt que représentent nos données personnelles. Le total est énorme bien sûr, mais il a été boosté par l’énorme faille chez Yahoo !, qui même si elle s’est produite bien avant, a été comptabilisée cette année car elle a été découverte en 2016.
La base de données des failles de sécurité établie par Gemalto, fourni également une liste pratique de la quantité de données perdues : elle nous rappelle que tout juste derrière la faille de Yahoo! se trouve le piratage de “Adult Friend Finder” le mois dernier, qui a compromis plus de 412 millions de données, avec la faille chez Mossack Fonseca, au cours de laquelle 2.6 To de données ont été volées en Avril, sans parler des autres dont vous n’avez jamais entendu parler.
Espérons tout simplement que 2017 sera meilleure !
Les fabricants d’appareils photo incités à intégrer le chiffrement
Des photographes professionnels et des réalisateurs de films ont demandé aux principaux fabricants d’appareil photos d’intégrer le chiffrement au sein des équipements qu’ils utilisent tous les jours.
Dans une lettre ouverte aux fabricants, comprenant Nikon, Canon, Sony, Olympus et Fuji, les photographes et les réalisateurs de films les ont fortement incités à “construire des fonctionnalités chiffrées au sein des appareils photo et de vidéo fixes”.
Les photographes et les réalisateurs de films travaillent souvent dans des conditions dangereuses, où leurs vies et les vies de ceux qu’ils filment peuvent être en danger. Par exemple filmer des dissidents, dont l’identité devaient être gardées secrètes par le réalisateur, peut les mettre en danger, et décourager les gens de parler aux journalistes ou aux photographes.
La lettre ouverte, émanant de la Freedom of the Press Foundation, souligne que ceux qui prennent des photos ou filment avec leurs téléphones portables peuvent chiffrer leurs équipements, et incitent donc les fabricants d’appareils photo d’intégrer cette technologie à leurs appareils. “En tant que photographes et photojournalistes, nous utilisons nos lentilles pour demander des comptes aux puissants de ce monde, et idéalement changer la société en mieux les fonctionnalités. Le chiffrement nous permettrait de continuer à relater des événements importants, qui se sont déroulés dans les plus dangereux endroits au monde.
Follow @ SophosFrance //platform.twitter.com/widgets.js
Partagez Les actualités cybersécurité en bref : Uber, Skype, les failles de 2016 et le chiffrement : http://wp.me/p2YJS1-380
Billet inspiré de News in brief: Uber goes driverless in SFO; Skype on macOS; 2016’s breaches tallied; encryption call for cameras, par Kate Bevan, Sophos NakedSecurity.