Doit-on craindre des cyber-assassinats dans les hôpitaux ?

À force de raisonner essentiellement en termes de vulnérabilités, on parasite la gestion des risques avec d’improbables conjectures – au détriment d’autres hypothèses. Le scénario-catastrophe du moment : le cyber-assassinat de personnes hospitalisées.

L’Internet des objets soulève de plus en plus de questions en matière de sécurité informatique. Ainsi, dans le secteur hospitalier, on redoute que certains appareils (moniteurs de signes vitaux, perfusions, pompes à insuline, respirateurs artificiels,…) soient utilisés, via les réseaux informatiques, par des personnes malintentionnées afin d’attenter à la santé voire à la vie des patients.

L’hypothèse évoquera à l’amateur de séries télévisées une fameuse séquence de Homeland (saison 2, épisode 10) au cours de laquelle un hacker travaillant pour une organisation terroriste parvient à tuer le vice-président américain en prenant le contrôle à distance de son stimulateur cardiaque.

Continuer la lecture de « Doit-on craindre des cyber-assassinats dans les hôpitaux ? »

25 mai 201613 janvier 2017

Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal

Les nouvelles mesures de sureté à l’entrée du parc d’attractions La Ronde de Montréal sont une parfaite illustration du concept de poudre aux yeux sécuritaire. Totalement inefficiente, cette parodie de réponse antiterroriste conduit à se demander si l’on n’a pas rogné sur des budgets autrement plus importants pour la sécurité des clients (entretien des manèges, protection contre les incendies, formation au secourisme,…).

Cette fin de semaine, plein soleil et températures estivales obligent, c’est en famille que nous avons débarqué sur l’Ile-Ste-Hélène, pour profiter de l’ouverture de la saison 2016 à La Ronde, le grand parc d’attractions de Montréal.

Mais à notre arrivée, une file d’attente serpentine s’étendait sur environ 400 mètres. Pourquoi un achalandage aussi massif, tel que je n’en avais jamais constaté (en tant que père de famille, je suis un habitué des lieux) ? La réponse m’est rapidement apparue dans toute son évidence et son horreur : sous le grand porche d’accès au parc, j’ai repéré la silhouette bien connue des portiques détecteurs de métaux !

Continuer la lecture de « Sureté d’aéroport pour parc d’attractions : le ratage de « La Ronde » à Montréal »

22 février 201620 mai 2016

Hôpital, rançongiciel et cyberperturbation

Un rançongiciel a pour but de prendre en otage les informations essentielles de l’organisation ciblée, lui faisant ainsi craindre pour sa survie.

Mais si ses informations critiques ne sont pas menacées, accepter de payer la rançon simplement pour reprendre au plus vite ses activités normales, c’est encourager le changement de nature de ce type de cyberattaque. Le ransomware devient une arme de cyberperturbation…

Le 5 février dernier, le Hollywood Presbyterian Medical Center (Californie) essuyait une cyberattaque via un rançongiciel (ransomware). Ce programme malveillant a apparemment pénétré le réseau informatique de l’hôpital par l’entremise d’un courriel de hameçonnage. Se répandant rapidement dans les systèmes, il s’est mis à chiffrer tous les fichiers informatiques qu’il rencontrait.

Il n’a pas fallu attendre longtemps pour que le fonctionnement de l’hôpital soit largement perturbé : dossiers-patient inaccessibles, systèmes de rendez-vous, de laboratoire et de pharmacie inopérants, communications par courriel impossibles,… Avec en bout de ligne un allongement des files d’attente et une réorientation de plusieurs patients des urgences vers d’autres hôpitaux.

Continuer la lecture de « Hôpital, rançongiciel et cyberperturbation »

4 janvier 201619 décembre 2018

Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor »

Windows propose par défaut un logiciel de chiffrement de disque dur : BitLocker. Son utilisation n’est toutefois pas souhaitable, en raison notamment des faiblesses que présente son système de récupération de la clé de secours.

Sous couvert d’un service rendu aux utilisateurs, Microsoft n’aurait-il pas implanté intentionnellement ces vulnérabilités pour permettre aux services de police et de renseignement d’accéder aux comptes des utilisateurs ? Tout en assurant ces derniers que BitLocker ne contient pas de porte dérobée…

Au vu des récentes dérives sécuritaires dans les démocraties occidentales – notamment en France -, il me parait important de souligner cet affaiblissement institutionnel d’une solution de chiffrement à destination du grand public.

Continuer la lecture de « Le chiffrement selon Microsoft : quand les autorités n’ont plus besoin de « backdoor » »

28 juillet 20155 janvier 2017

Présentation sur l’abus de faiblesse à la conférence « Getting Clear », à Toronto

En juin dernier, s’est tenue à Toronto (Canada), la conférence internationale Getting Clear, consacrée à la Scientologie.

Le panel d’intervenants était impressionnant et je regrette profondément de n’avoir pu assister en personne aux présentations, ni rencontrer bon nombre de personnes dont j’ai découvert les écrits au cours du dernier quart de siècle (déjà…).

Les organisateurs m’avaient demandé de faire une intervention, que j’ai réalisée en vidéo, et qui a été diffusée aux auditeurs le 25 juin.

Continuer la lecture de « Présentation sur l’abus de faiblesse à la conférence « Getting Clear », à Toronto »

13 février 201520 mai 2016

Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche

En matière de sûreté dans des environnements complexes, il convient de résister à la tentation de multiplier dans l’urgence les protections. Il s’agit plutôt de se concentrer en premier lieu sur un nombre restreint de mesures, afin de parer aux risques les plus importants. Cela est valable aussi bien en sûreté physique qu’en sécurité de l’information, comme nous le montre un cas récent – et grave – de piratage informatique dans le secteur de la santé aux États-Unis.

On apprenait la semaine dernière que le deuxième groupe d’assurances de santé américain, la compagnie Anthem, avait subi une attaque informatique d’envergure. Les pirates auraient en effet eu accès aux informations personnelles de 80 millions (oui, quatre-vingts millions) d’Américains.

Bien que ce ne soit pas le premier événement du genre dans le secteur de la santé, le « hack » d’Anthem semble cette fois avoir constitué un véritable électrochoc. Il est vrai qu’il survient peu après un autre piratage emblématique de l’ampleur du problème, celui de Sony Pictures Entertainment.

Continuer la lecture de « Protection de l’information : Pour une approche multi-dimensionnelle – et non multi-couche »

10 novembre 201418 février 2015

‘iPad Bombs’: Batteries not included (4/4)

4ème partie – « Oui mais, les scanneurs à bagages peuvent être hackés ! »

Introduction et sommaire de cette série d’articles

Nous l’avons vu, allumer son iPad Air ou son Galaxy SIII sous le nez d’un agent de contrôle avant d’embarquer ne présente aucun intérêt en termes de sureté de l’aviation civile.

Parmi les différentes raisons précédemment évoquées, la principale tient dans le fait que tous les objets détenus par un passager font l’objet d’un contrôle au scanneur à bagages amplement suffisant pour détecter un éventuel iPad piégé.

Toutefois, qu’en serait-il si un individu malintentionné parvenait à prendre indûment le contrôle de la console d’opération de ce scanneur ? C’était précisément le sujet d’une présentation fort médiatisée lors de la dernière édition du Black Hat, une conférence de hackers informatiques. On apprenait ainsi de la bouche de Billy Rios, Director of Vulnerability Research chez Qualys, que ces consoles de scanneur sont vulnérables à des attaques informatiques.

Si l’on peut pirater les scanneurs à bagage, les conclusions que j’ai précédemment tirées dans cet article sont-elles ipso facto obsolètes ? Pas le moins du monde.

Continuer la lecture de « ‘iPad Bombs’: Batteries not included (4/4) »

3 octobre 201429 juillet 2015

Un « bris de sureté » n’est pas nécessairement… un bris de sureté.

Cette fin de semaine, l’Australie a été une fois encore le théâtre d’un incident révélateur d’une bien piètre gestion du risque de sûreté aéroportuaire.

Cette fois, l’incident s’est déroulé à l’aéroport de Sydney, dans le terminal 3 – réservé aux vols intérieurs de la compagnie Qantas. Un passager descendant d’un vol domestique, tout occupé à consulter son iPad, est sorti de la zone réglementée. Se rendant compte rapidement de son erreur, il a fait demi-tour sur-le-champ et est retourné dans ladite zone réglementée pour aller prendre sa correspondance.

C’est ce que les règlements et les standards internationaux de l’aviation civile aérienne appellent – mal à propos – un « security breach » (bris de sureté).

Continuer la lecture de « Un « bris de sureté » n’est pas nécessairement… un bris de sureté. »

16 septembre 20149 mai 2015

‘iPad Bombs’: Batteries not included (3/4)

3ème partie – Combien faut-il d’iPhones pour faire exploser un avion de ligne ?

Introduction et sommaire de cette série d’articles

Admettons qu’un terroriste puisse embarquer une coque de tablette ou de téléphone intelligent remplie d’explosif sans qu’elle soit détectée par le scanneur à bagage de cabine.

Mais cette coque peut-elle contenir une charge suffisante pour endommager l’aéronef au point d’entrainer sa destruction ?

Continuer la lecture de « ‘iPad Bombs’: Batteries not included (3/4) »

25 août 201414 avril 2015

‘iPad Bombs’: Batteries not included (2/4)

2ème partie – Deux possibles explications… aussi peu convaincantes l’une que l’autre

Introduction et sommaire de cette série d’articles

Les scanneurs à bagages semblent donc efficaces pour détecter les tablettes et téléphones intelligents bourrés d’explosifs. Alors pourquoi cela ne suffit-il pas au ministère américain de la sécurité intérieure ?

On peut tenter deux explications – non exclusives l’une de l’autre – mais qui ne s’avèrent guère convaincantes.

Continuer la lecture de « ‘iPad Bombs’: Batteries not included (2/4) »