Dernier billet philosohico-cyber avant la plage

Avouez tout de même que les arnaques bancaires sont assez fascinantes : je reste émerveillé par la capacité du quidam à filer, par téléphone et sans aucune violence, son code de CB, son numéro de RIB, et à donner ensuite le rectangle de plastique à un « coursier » qui se pointe devant sa porte. Qu’une mamie octogénaire se fasse blouser passe encore, mais quand il s’agit de cadres, de personnes ayant manifestement toute leur tête, je reste pantois. L’article L. 133-18 du code monétaire et financier impose un remboursement à la banque, partant du principe que le client est de bonne foi, et d’ailleurs dans la plupart des cas la défense argue du fait que l’appel semblait provenir du numéro de l’agence bancaire.

Vous noterez à ce stade qu’un point technique interroge. Les banques (qui en ont certainement marre de devoir rembourser les escroqueries des uns et les têtes en l’air des autres) commencent – enfin – à mettre en place des sécurités à tout va, y compris sur les prélèvements bancaires, y compris sur les virements en vérifiant l’intitulé du compte. Mais quid des opérateurs telco, qui sont à un degré préhistorique de vérification : car, enfin, tout part du fait que n’importe qui peut acheter une carte SIM et modifier le paramétrage de son smartphone pour se présenter avec le numéro d’appelant du téléphone de n’importe qui d’autre : le zéro trust manifestement on ne connaît pas dans ce monde.

Mais la question que je me pose est la suivante : quand les banques auront tout MFA-isé (et c’est en bonne voie), il restera quoi comme arguments aux associations d’usagers bancaires et aux juges pour excuser la bêtise ?

Sans transition, depuis quelques temps je joue avec Midjourney, et les possibilités de l’outil sont assez fascinantes. Au delà de la maîtrise fine des options du logiciel en ligne (par exemple demander des variations plus ou moins subtiles d’une image venant juste d’être générée, ou passer en mode draft), il apparaît que la maîtrise des prompt est assez centrale, sachant qu’il est très facile de récupérer un prompt existant pour en faire des variations à la main. C’est ainsi que votre serviteur a testé cela en récupérant une vidéo d’un couteau de cuisine découpant un kiwi de verre en mode ultra réaliste pour changer de fruit et demander un pamplemousse bleu : ça en jette grave. On va bientôt voir apparaître, si ce n’est pas déjà le cas, des artistes du prompt malveillant sur un Hacker-GPT quelconque. Ça va être joyeux dans les équipes SOC ! Ah c’est peut-être là la prochaine excuse pour se faire rembourser les arnaques bancaires...

Sinon vous comptez dépenser des sous auprès d’un cabinet de consultants pour vous aider à construire votre Gosplan cyber à 3-5 ans ? Inutile, cela prend 2mn max :

- passer en zéro trust les VPN fournisseur ;

- blinder l’antispam avec un produit en SaaS dans le coin supérieur gauche du quadrant magique Gartner ;

- blinder la DMZ, aucune vulnérabilité ;

- MFA généralisé intra LAN et en dehors ;

- blinder les core-serveurs (AD, DNS, Sauvegarde, etc.).

De rien.

Tant que j’y pense, j’ai une technique révolutionnaire à proposer pour lutter contre les fuites de données que l’on voit fleurir sur le Dark Web (cf les récents articles de ZATAZ sur les méga fuite de milliards de ID / MDP) : inonder soi-même les dark-bases avec des informations erronées sur nous, afin de polluer tout cela tellement que cela en devient inexploitable. Y’a une idée à creuser.

Autrement la mode en ce moment c’est de contacter les types dans mon genre sur les réseaux, pour leur demander un avis pour valider un produit qui sort tout juste de leur R&D. C’est vrai que je n’ai que cela à faire, passer mes journées en Teams pour regarder défiler des slides d’un produit révolutionnaire – le dernier en date, un illuminé qui prétend avoir inventé un PC qui ne se met jamais à jour (authentique).

On finit par un sujet de fond. En regardant des extraits des auditions à l’Assemblée sur les aides publiques aux entreprises, un truc saute aux yeux de mon cerveau déformé par l’ISO : l’absence d’indicateurs et de contrôles (et sans préjuger de l’orientation politique sur ce sujet, qui n’est pas l’objet de ce billet). Je m’explique : quel que soit le dispositif que vous mettez en place (une DMZ, un AV, un DPI, etc.), il y a au moins 3 items à ne pas oublier, sous peine de balancer les sous et le temps à fonds perdus :

- les indicateurs d’activité, servant à suivre ce qui est fait (quantité d’argent dépensé, de malwares stoppés, etc.)

- les indicateurs de performance, servant à mesurer l’efficacité du dispositif mis en place (le précédent indicateur prouve juste que l’on s’agite, pas que cela sert) ;

- les contrôles visant à débusquer les inévitables dérives qui s’installent dans tous les systèmes.

Dépenser de l’argent dans un dispositif qui n’est ni mesuré ni contrôlé, c’est 100 % de chances de le balancer par les fenêtres.

Bons coups de soleils à tous.