There is security, and security by Sony

Si vous n'avez pas passez ces derniers mois dans une grotte, vous avez dû entendre parler des multiples affaires de piratage dont a été victime l'entreprise de matériel et logiciels informatique Sony.

Cet été, en effet, le hack des infrastructures de Sony est devenu une sorte de sport international, initié par l'infiltration du PlayStation Network (réseau utilisé pour le jeu en ligne sur PS3) et les attaques du collectif de pirates Lulzsec, avant de dégénérer en joyeux bordel, les attaques se succédant à une cadence folle, motivées notamment par les pratiques de Sony en matière de DRM, souvent considérée comme un manque de respect vis à vis de ses clients (voir à ce sujet l'affaire Geohot par exemple)

Durement touchée, l'entreprise a été sévèrement blâmée pour son manque de sérieux et de réactivité en matière de sécurité et de protection des données de ses clients (puisque de nombreux mots de passe et numéro de cartes de crédit ont été exfiltrés). Après bien des rebonds, la mise en place d'une nouvelle équipe de sécurité (la précédente ayant été fortement amputée quelques temps avant les premier hack) et une quintuple nomination et la remise d'un Pwnie Award pour "The Most Epic FAIL" lors de la conférence BlackHat à Las Vegas, les dirigeants ont fait amende honorable et on promis d'arranger les choses et de prêter plus d'attention à la sécurité de leurs installations.

Et c'est clairement ce qu'ils viennent de faire.

Section 15 des conditions d'utilisation de Sony

Sony vient en effet d'ajouter silencieusement un paragraphe au milieu de ses conditions d'utilisation du PSN, sobrement intitulé "Section 15".

Ce nouvel amendement stipule que l'utilisateur "ne devra pas participer à une action judiciaire collective contre Sony", et que toute poursuite éventuelle devra être faite "sur une base individuelle".

Contactés par le New-York Times à propos de l'ajout de cette nouvelle règle, Sony a répondu par le truchement d'un porte-parole que cette dernière était "conçue pour bénéficier à la fois au consommateur et à l'entreprise en s'assurant d'un temps et de procédures adéquates pour résoudre les différents.".

Et voilà ! Comment éviter tous les problèmes liés à la sécurité des informations de ses clients ? En les empêchant simplement de vous poursuivre en justice.
Tout simplement brillant.

Cyberguerre - troupes aéroportées

Cette semaine se déroule comme chaque année à Las Vegas la convention BlackHat, série de conférences, d'ateliers et de présentations pointues autour de la sécurité informatique.

Une des attractions principales de la BlackHat de cette année est un drone de cyber-combat. Eh ouais, ça en jette un max.



 La bête (acronymiquement appelée WASP, pour Wireless Aerial Surveillance Platform) est en fait un petit avion fait maison et télécommandé, dans lequel a été embarqué (notamment) une BackTrack 5, une carte WiFi et une clef 4G. L'ensemble permet (théoriquement bien sûr, personne de sain d'esprit ne s'abaisserait à de telles bassesses; de toute façon c'est illégal) de sniffer et d'espionner des réseaux WiFi peu ou pas protégés, ou d'agir comme une tour relais GSM et de faire du man-in-the-middle sur des communications téléphoniques.

Le gros point fort : tout ça est fabriqué à base de composants standards, ce qui donne un prix final de 6190 dollars; soit largement à la portée de n'importe quel apprenti espion un peu bricoleur.

Bien entendu le modèle réalisé et présenté ici n'est pas destiné à être utilisé ou vendu en kit, il s'agit d'une preuve de concept. Et comme l'explique l'un des deux responsables au journaliste du New York Time qui leur pose la question :
- Une preuve de quel concept ?
- Que c'est faisable.