Doit-on craindre des cyber-assassinats dans les hôpitaux ?

infosecÀ force de raisonner essentiellement en termes de vulnérabilités, on parasite la gestion des risques avec d’improbables conjectures – au détriment d’autres hypothèses. Le scénario-catastrophe du moment : le cyber-assassinat de personnes hospitalisées.

L’Internet des objets soulève de plus en plus de questions en matière de sécurité informatique. Ainsi, dans le secteur hospitalier, on redoute  que certains appareils (moniteurs de signes vitaux, perfusions, pompes à insuline, respirateurs homelandartificiels,…) soient utilisés, via les réseaux informatiques, par des personnes malintentionnées afin d’attenter à la santé voire à la vie des patients.

L’hypothèse évoquera à l’amateur de séries télévisées une fameuse séquence de Homeland (saison 2, épisode 10) au cours de laquelle un hacker travaillant pour une organisation terroriste parvient à  tuer le vice-président américain en prenant le contrôle à distance de son stimulateur cardiaque.

Continuer la lecture de Doit-on craindre des cyber-assassinats dans les hôpitaux ?

Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal

TerrorismeLes nouvelles mesures de sureté à l’entrée du parc d’attractions La Ronde de Montréal sont une parfaite illustration du concept de poudre aux yeux sécuritaire. Totalement inefficiente, cette parodie de réponse antiterroriste conduit à se demander si l’on n’a pas rogné sur des budgets autrement plus importants pour la sécurité des clients (entretien des manèges, protection contre les incendies, formation au secourisme,…).

Cette fin de semaine, plein soleil et températures estivales obligent, c’est en famille que nous avons débarqué sur l’Ile-Ste-Hélène, pour profiter de l’ouverture de la saison 2016 à La Ronde, le grand parc d’attractions de Montréal.

LaRonde

Mais à notre arrivée, une file d’attente serpentine s’étendait sur environ 400 mètres. Pourquoi un achalandage aussi massif, tel que je n’en avais jamais constaté (en tant que père de famille, je suis un habitué des lieux) ? La réponse m’est rapidement apparue dans toute son évidence et son horreur : sous le grand porche d’accès au parc, j’ai repéré la silhouette bien connue des portiques détecteurs de métaux !

Continuer la lecture de Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal

Konformität über alles

infosecLa conformité aux normes, plus sécuritaire que la sécurité elle-même… Simple lapsus ou regrettable inflexion des concepts en sécurité de l’information ?

Le site HealthCare IT Security a publié la semaine dernière un article consacré à la sécurité moderne des entrepôts de données dans le secteur de la santé. Son auteur, Bill Kleyman, spécialiste des datacenters, y évoque les trois niveaux de sécurité essentiels en la matière :

  1. la sécurité physique, c’est à dire la protection des locaux qui abritent les serveurs et autres supports physiques d’information contre des attaques matérielles ;
  2. la sécurité logique, autrement dit la protection des informations et des systèmes d’information contre des attaques immatérielles ;
    Et il ajoute :
  3. la conformité aux standards, qu’il justifie de la façon suivante (je souligne) :

guillemetHaving the most secure platform out there still may not make you compliant. This is why it’s critical to work with a data center partner that can offer the full trifecta of physical, logical, and compliance-drive security.

Et de citer divers standards internationaux en sécurité de l’information : PCI, HIPAA/HITECH, SOC 1, SOC 2, Safe Harbor.

Et là, je tique.

Continuer la lecture de Konformität über alles

Une évaluation des risques… sans risque

TerrorismeLe risque est l’éventualité qu’un évènement nuisible se produise dans le futur. Une évaluation du risque terroriste qui s’ajuste principalement en fonction d’évènements passés ne présente aucune pertinence.

Vendredi dernier, le cabinet international Aon, spécialisé dans les assurances et la gestion de risque, a publié son rapport annuel Terrorism and Political Violence Risk Map 2016.

Comme le mentionne le quotidien Les Échos, on est confronté, selon Aon, à une augmentation du risque terroriste global – la première depuis 2013.

Ce constat ne surprendra personne. Mais le problème est ailleurs.

Continuer la lecture de Une évaluation des risques… sans risque

Procès de la Scientologie à Bruxelles – Doit-on s’insurger contre le verdict ?

SectesDroitAu procès de l’Église de scientologie de Bruxelles, les magistrats du siège ont renvoyé les substituts du Procureur à leurs cours de droit de premier cycle universitaire. L’affaire s’achève en un épouvantable gâchis judiciaire. On peut le déplorer, mais la procédure pénale – et une armée d’avocats de la défense -, ça ne pardonne pas la médiocrité.

scientology-crossL’Église de scientologie de Bruxelles et une douzaine de ses adeptes viennent donc d’échapper à des condamnations pour escroquerie, organisation criminelle, association de malfaiteurs, exercice illégal de la médecine,…

La poussière n’a pas eu le temps de retomber sur la 69ème Chambre du Tribunal correctionnel que déjà, outre-Quiévrain, on commence à fustiger la décision des magistrats du siège.

Continuer la lecture de Procès de la Scientologie à Bruxelles – Doit-on s’insurger contre le verdict ?

Ordre du temple solaire : un simple documentaire de plus ? Pas tout-à-fait.

SectesLe mois dernier, la chaine de télévision québécoise CanalD a diffusé un documentaire consacré aux massacres de l’Ordre du Temple solaire (OTS).

D’aucuns affirmeront : « Ça ne fera jamais qu’un de plus, voilà tout.»
Oui… et non.

Certes, les personnes qui ont un tant soit peu suivi ces affaires n’apprendront pas grand chose. Le principal intérêt de ce documentaire est ailleurs : la production a choisi de donner la parole quasi-exclusivement à des tenants de la thèse officielle – celle des « assassinats-suicides collectifs ». Les quatre principaux intervenants sont en effet :

  • Arnaud Bédat, journaliste suisse, auteur de deux ouvrages sur l’OTS,
  • Jean-François Mayer, historien suisse des religions et auteur d’un livre consacré à la secte,
  • Jacques St-Pierre, ex-enquêteur de la Sûreté du Québec, chargé de l’investigation sur le massacre de Morin Heights,
  • votre serviteur, en tant qu’ancien analyste des services de renseignement français.

Continuer la lecture de Ordre du temple solaire : un simple documentaire de plus ? Pas tout-à-fait.

Hôpital, rançongiciel et cyberperturbation

infosecUn rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Continuer la lecture de Hôpital, rançongiciel et cyberperturbation

Ce qu’une série télé américaine nous apprend sur l’état d’urgence en France

TerrorismeMercredi matin, je découvrais dans la presse les derniers avatars de la lutte contre le terrorisme menée par le gouvernement français.

Il s’agissait cette fois :

  • d’élargir considérablement le Droitrégime de la légitime défense des policiers,
  • de permettre des fouilles à la tête du client,
  • d’effectuer des perquisitions de nuit même en enquête préliminaire,
  • de transférer certains pouvoirs du juge au préfet (ce grand défenseur des libertés qui s’ignore),…

Pire encore : il était question de faire passer cette réforme tout sauf anodine par voie d’ordonnances, court-circuitant ainsi largement le vote par la représentation nationale !

Mon sang de juriste criminaliste n’a fait qu’un tour.

Continuer la lecture de Ce qu’une série télé américaine nous apprend sur l’état d’urgence en France

Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor »

infosecWindows propose par défaut un logiciel de chiffrement de disque dur : BitLocker. Son utilisation n’est toutefois pas souhaitable, en raison notamment des faiblesses que présente son système de récupération de la clé de secours.

Sous couvert d’un service rendu aux utilisateurs, Microsoft n’aurait-il pas implanté intentionnellement ces vulnérabilités pour permettre aux services de police et de renseignement d’accéder aux comptes des utilisateurs ? Tout en assurant ces derniers que BitLocker ne contient pas de porte dérobée

Au vu des récentes dérives sécuritaires dans les démocraties occidentales – notamment en France -, il me parait important de souligner cet affaiblissement institutionnel d’une solution de chiffrement à destination du grand public.

Continuer la lecture de Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor »

Les sectes, c’est comme une boite de chocolats…

SectesSelon l’auteur d’une récente future thèse de doctorat en sociologie, les organisations religieuses controversées que l’on appelle communément « sectes » ne seraient pas néfastes ; au contraire, elles amélioreraient la vie de leurs adeptes. Devant la méthodologie de ladite thèse, le concept de science molle prend tout son sens.

Note – Cet article a été mis à jour le 17 aout, suite aux échanges que j’ai eus avec le doctorant, dans les commentaires, reproduits au bas de cette page.

J’ai coutume sur ce blogue – lorsque je le juge nécessaire – de critiquer les institutions chargées de lutter contre les sectes. Mais j’éprouve un intérêt similaire à démonter le discours d’universitaires qui se complaisent dans la défense systématique de ces mêmes organisations religieuses controversées. Me revoici donc de retour en Terra cognita.

Se convertir à soi en contexte « sectaire » : subjectivation
 et
 agentivité
 des
 membres
 de
 l’Église 
de 
Scientologie
 et 
du 
Mouvement
 Raëlien 
en 
France
 au 
prisme
 des
 rapports
 sociaux

Tel est le titre d’une thèse de doctorat que rédige rédigée par un étudiant en sociologie, Guillaume Roucoux, à l’origine sous la direction de Régis Dericquebourg, à l’École pratique des hautes études (EPHE) à Paris.

Continuer la lecture de Les sectes, c’est comme une boite de chocolats…