Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

infosecEn matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Continuer la lecture de Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

‘iPad Bombs': Batteries not included (4/4)

4ème partie – « Oui mais, les scanneurs à bagages peuvent être hackés ! »

Introduction et sommaire de cette série d’articles

Aviation civileNous l’avons vu, allumer son iPad Air ou son Galaxy SIII sous le nez d’un agent de contrôle avant d’embarquer ne présente aucun intérêt en termes de sureté de l’aviation civile.

Parmi les différentes raisons précédemment évoquées, la principale tient dans le fait que tous les objets détenus par un passager font l’objet d’un contrôle au scanneur à bagages amplement suffisant pour détecter un éventuel iPad piégé.

Toutefois, qu’en serait-il si un individu malintentionné parvenait à prendre indûment le contrôle de la console d’opération de ce scanneur ? C’était précisément le sujet d’une présentation fort médiatisée lors de la dernière édition du Black Hat, une conférence de hackers informatiques. On apprenait ainsi de la bouche de Billy Rios, Director of Vulnerability Research chez Qualys, que ces consoles de scanneur sont vulnérables à des attaques informatiques.

Si l’on peut pirater les scanneurs à bagage, les conclusions que j’ai précédemment tirées dans cet article sont-elles ipso facto obsolètes ? Pas le moins du monde.

Continuer la lecture de ‘iPad Bombs': Batteries not included (4/4)

Un « bris de sureté » n’est pas nécessairement… un bris de sureté.

Aviation civileCette fin de semaine, l’Australie a été une fois encore le théâtre d’un incident révélateur d’une bien piètre gestion du risque de sûreté aéroportuaire.

Cette fois, l’incident s’est déroulé à l’aéroport de Sydney, dans le terminal 3 – réservé aux vols intérieurs de la compagnie Qantas. Un passager descendant d’un vol domestique, tout occupé à consulter son iPad, est sorti de la zone réglementée. Se rendant compte rapidement de son erreur, il a fait demi-tour sur-le-champ et est retourné dans ladite zone réglementée pour aller prendre sa correspondance.

C’est ce que les règlements et les standards internationaux de l’aviation civile aérienne appellent – mal à propos – un « security breach » (bris de sureté).

Continuer la lecture de Un « bris de sureté » n’est pas nécessairement… un bris de sureté.

La scientologie vers une reconnaissance officielle comme religion en Russie

SectesLa Russie n’a aucune raison valable de refuser à la scientologie le statut de religion. C’est en substance ce que vient de décider la Cour européenne des droits de l’homme. Et c’est normal : la lutte contre les sectes nocives doit se faire dans le respect du droit – national et international.

RussiaVoilà des années et des années que les autorités russes multipliaient les refus de reconnaitre la scientologie comme une religion, usant d’arguments abscons et d’excès bureaucratiques.

scientology-crossQue l’on soit pour ou contre l’organisation de L. Ron Hubbard ne change rien à l’affaire. Une telle obstination de la part des autorités publiques relève de l’aveuglement. Je l’avais déjà expliqué à deux occasions (12) à l’endroit de l’Angleterre. Cette fois, la messe est dite aussi à l’encontre de la Russie, par une instance judiciaire européenne. Et pour la deuxième fois en 5 ans !

Continuer la lecture de La scientologie vers une reconnaissance officielle comme religion en Russie

‘iPad Bombs': Batteries not included (3/4)

3ème partie – Combien faut-il d’iPhones pour faire exploser un avion de ligne ?

Introduction et sommaire de cette série d’articles

Aviation civileAdmettons qu’un terroriste puisse embarquer une coque de tablette ou de téléphone intelligent remplie d’explosif sans qu’elle soit détectée par le scanneur à bagage de cabine.

Mais cette coque peut-elle contenir une charge suffisante pour endommager l’aéronef au point d’entrainer sa destruction ?

Continuer la lecture de ‘iPad Bombs': Batteries not included (3/4)

« Des p’tits trous, des p’tits trous, encore des p’tits trous…»

ou
La TSA et le complexe du poinçonneur des Lilas.

Aviation civileIl y a quelques jours, on apprenait que la Transportation Security Administration (TSA) allait supprimer tous les agents de profilage comportemental (Behavior Detection Officers – BDO) à temps plein dans 35 aéroports américains, soit 246 postes.

L’administration a justifié ces coupes par des restrictions budgétaires, mais aussi par des considérations de gestion du risque. Comprenne qui pourra…

 L’AFGE – le syndicat représentant les agents de contrôle de la TSA – a aussitôt dénoncé cette décision :

guillemet_AFGE once again argued its position that, particularly in light of the LAX shooting incident, the union believes there is a need for more BDOs, not less.

On ne saurait mieux dire.

Continuer la lecture de « Des p’tits trous, des p’tits trous, encore des p’tits trous…»

‘iPad Bombs': Batteries not included (2/4)

2ème partie – Deux possibles explications… aussi peu convaincantes l’une que l’autre

Introduction et sommaire de cette série d’articles

Aviation civileLes scanneurs à bagages semblent donc efficaces pour détecter les tablettes et téléphones intelligents bourrés d’explosifs. Alors pourquoi cela ne suffit-il pas au ministère américain de la sécurité intérieure ?

On peut tenter deux explications – non exclusives l’une de l’autre – mais qui ne s’avèrent guère convaincantes.

Continuer la lecture de ‘iPad Bombs': Batteries not included (2/4)

‘iPad Bombs': Batteries not included (1/4)

Airplane!En inaugurant en juillet sa nouvelle mesure sur l’allumage des appareils électroniques avant embarquement, le Ministère américain de la sécurité intérieure visait encore et toujours l’inatteignable Risque zéro. De fait, cette disposition multiplie les incohérences et suscite la confusion. On espère la voir tomber en désuétude dans les prochains mois.

Sommaire de cette série :
  1. La question qui fâche
  2. Deux possibles explications… aussi peu convaincantes l’une que l’autre
  3. Combien faut-il d’iPhones pour faire exploser un avion de ligne ?
  4. « Oui mais… les scanneurs à bagage peuvent être hackés ! »

1ère partie – La question qui fâche

Le 2 juillet dernier, le Ministère américain de la sécurité intérieure (Department of Homeland Security – DHS) a annoncé le renforcement, dans les aéroports, des mesures de sûreté avant l’embarquement ; désormais, avant de monter à bord d’un avion en partance pour les États-Unis, au départ de certains aéroports d’Europe et du Moyen-Orient, tout ordinateur portable, tablette ou téléphone intelligent qui ne peut pas être allumé ne pourra être monté à bord.

Raison invoquée : la communauté américaine du renseignement disposerait d’informations selon lesquelles des groupes terroristes tenteraient de construire de nouveaux engins explosifs artisanaux indétectables par les instruments de contrôle préembarquement de la sûreté de l’aviation civile.

Continuer la lecture de ‘iPad Bombs': Batteries not included (1/4)

Arrestation mortelle du NYPD : une bavure policière… mais pas par étranglement

judo

Les apparences sont souvent trompeuses : l’étranglement est l’une des techniques les plus appropriées pour contrôler un individu agité lors d’une arrestation policière.

La semaine dernière, à Staten Island (New York), un homme de 43 ans, Eric Garner, est décédé lors de son arrestation par plusieurs policiers du New York Police Department (NYPD).

L’arrestation, filmée par des passants, a été largement médiatisée. On peut y voir le suspect se faire amener au sol, puis être maintenu à terre par rien moins que six policiers.

Continuer la lecture de Arrestation mortelle du NYPD : une bavure policière… mais pas par étranglement

Sélection des voyageurs au point de contrôle – Le mieux est l’ennemi du bien (1/2)

1ère partie – État sommaire du système de contrôle passagers en vigueur dans les aéroport américains

Aviation civile

Le nouveau système aéroportuaire de contrôle des passagers développé par la TSA tranche avec les précédentes initiatives. Baptisé Managed Inclusion, il instaure une véritable synergie entre les diverses mesures de sureté qu’il intègre. Devant le succès rencontré depuis quelques mois, la TSA a récemment décidé d’élargir rapidement son application. Paradoxalement, cela risque de déplaire à toute une frange de voyageurs ; mais surtout de rendre les contrôles moins sécuritaires.

Depuis plusieurs mois, la Transportation Security Administration (TSA) a mis en place un nouveau système de sélection et de contrôle des passagers avant l’embarquement. Cette initiative, baptisée Managed Inclusion, n’introduit pas de nouvelles technologies. Il s’agit en fait d’une inédite façon de procéder avec des outils préexistants.

Continuer la lecture de Sélection des voyageurs au point de contrôle – Le mieux est l’ennemi du bien (1/2)

Analyses alternatives [renseignement et sureté]