Entre bien et mal : est-ce que le monde déraille ?

#QUANDLEPASSÉNOUSRATTRAPE

Nous avons tout au long de notre vie le choix entre faire de bonnes ou de mauvaises actions, dans le domaine de la sécurité, le choix de faire partie des méchants ou des gentils, en particulier du côté des chercheurs, où la frontière entre bien et mal est parfois difficile à percevoir. En même temps, c’est bien connu, pour savoir défendre, il savoir comment attaquer. Et puis il y a les repentis, ceux qui franchissent le pas de basculer du côté « non obscur » et qui rallient le camp des défenseurs pour y apporter leur expertise, ce qui semblerait être le cas du jeune chercheur britannique de la société Kryptos Logic, Marcus Hutchins aka « MalwareTech » dont le monde entier se rappelle l’action qui a fait de lui un « héro », la découverte du fameux « kill switch » dans le code du rançongiciel Wannacry et l’acquisition du nom de domaine qui a permis de stopper la propagation d’une version très répandue du logiciel malveillant. Pas de bol, son passé de « méchant garçon » semble l’avoir rattrapé. Il a été arrêté la semaine dernière par le FBI, alors qui se rendait sur le sol américain pour participer à deux grands évènements « sécu », le Black Hat de Las Vegas et la Def Con. Il est accusé d’avoir participé au développement du logiciel malveillant Kronos en 2014, un cheval de Troie destiné à dérober des informations bancaires. La chute de la « black boutique » Alphabay il y a quelques semaines, aurait permis de remonter jusqu’à lui. Une affaire qui n’a pas fini de faire débat dans le secteur de la « cyber ».

#ÇAFAITFLIPPER

Les réseaux anonymisés tels que Tor ou I2P permettent de naviguer sur la toile en préservant son anonymat et d’éviter la censure qui peut être mise en place par certains états.
Mais ils sont également le théâtre de nombreuses ventes frauduleuses, de drogues, d’armes, de données (bancaires, d’identité, de santé…) mais, plus terrifiant encore, d’êtres humains !
C’est la police italienne qui relate sur son site, l’arrestation du kidnappeur d’une jeune fille britannique de passage à Milan pour son travail de mannequin. Le kidnappeur aurait réussi à subtiliser 300 000$ de rançon à son agent afin d’éviter qu’elle ne soit vendue aux enchères dans une boutique du type « black market ». Après enquête, il semblerait que le repère du malfrat où il a détenu sa victime pendant six jours, aurait déjà servi à la vente d’autres jeunes filles.

#PIANOENREGISTREUR

La Cour fédérale allemande du travail, vient de statuer en la faveur d’un employé licencié après avoir été espionné par son employeur à l’aide d’un « keylogger » installé à son insu, sur son ordinateur professionnel ! Le développeur Web licencié, travaillait pendant ses pauses déjeuner sur le développement d’un jeu vidéo pour l’entreprise de son père. Il était informé de la surveillance du trafic web, mais pas de l’installation du dispositif qui enregistrait ses frappes clavier, et qui réalisait également à intervalles réguliers, des captures d’écran. Le tribunal considère ce licenciement comme abusif et déclare ce type de recueil d’informations illégal. 

#LEAK&SANTÉ

L’été n’est pas terminé, et les données continuent de s’évaporer dans la santé…
Après une infiltration dans le système de santé Australien, c’est au tour du site de prise de rendez-vous médicaux belge Digitale Wachtkamer de se faire « casser ». Bilan, les données personnelles (coordonnées complètes) et des données de santé (motifs des rendez-vous médicaux) de plus de 500 000 patients partent dans la nature. Une rançon a été demandée au PDG, ainsi qu’aux médecins utilisateurs en échange du silence du voleur. L’entreprise a évidemment refusée le paiement et à portée plainte. [1]
La NHS, le service de santé britannique, revient sous le feu des projecteurs pour ses lacunes en matière de sécurité numérique… Après les dégâts considérables subis par les établissements de santé publics du Royaume Uni lors de la vague Wannacry, le Health Service Journal révèle une important fuite de données qui aurait laissé s’évaporer, non pas les données des patients, mais les données personnelles des employés et des médecins du secteur public.

Avec toutes ces belles surprises cet été, je me demande bien ce que nous allons avoir pour Noël !

(1) http://www.zataz.com/plus-de-500-000-belges-pirates/

 http://www.sudinfo.be/1888638/article/2017-07-18/piratage-un-hacker-a-reussi-a-se-procurer-les-donnees-personnelles-de-plus-d-un