Accueil

Depuis que madame le maire de Paris projette d'interdire dans la capitale à partir de 2030 toutes les voitures sauf électrique d'autres villes lui emboîtent le pas comme Grenoble, Lille, Lyon, Marseille...

 Dans l'ombre nos amis Chinois construisent déjà les véhicules qui inonderons le marché. Nous nous souvenons des voitures thermiques pas très esthétique qui ne passaient pas les crash test. Mais des erreurs on peut apprendre et aujourd’hui le pays du soleil levant propose une offre de voiture qui correspond aux demandes. Des petits SUV compact Aiways, Lynk & Co,MG, Seres qui discrètement essaiment l'Europe. Pour l'instant l'offre reste confidentielle mais bientôt elle touchera le plus grand nombre.

Rien de plus simple qu'une voiture électrique, une caisse avec une carrosserie esthétique et qui répond aux exigences de la sécurité routière, des moteurs éclectiques, une batterie, un peu d'électronique et surtout pas d'entretien, pas de courroie de distribution, de vidange, etc. Donc inutile de mettre en place un réseau de garages juste des points de distribution pour changer la batterie ou une carte électronique défectueuse. Ainsi attendons nous a voir disparaître nos garages avec ces mécaniciens en cotes maculés de cambouis.

 Que faisons-nous pour contrer ce développement des voitures électriques trop chère ou comme la Dacia Spring fabriquée en Chine.

 Par des choix écologiques à brève échéance et pour satisfaire un électorat, nous ouvrons grand nos portes à une récession économique locale .

 

 

Le principe

Cette application Web, iOS ou Android vous permet de coder un emplacement de 3m sur 3 avec simplement 3 mots de la langue paramétrée. Une géolocalisation, certes grossière, mais plus simple à retenir qu'une suite de chiffres mélangés à des lettres. De surcroît, la recherche accepte la conversion des 3 mots vers ces coordonnées en latitude et longitude et même elle indique le point sur une carte version Google maps. Pour l'utiliser, rien de plus simple, rentrer son adresse, le logiciel vous retourne 3 mots que vous pouvez envoyer à une autre personne. Celle-ci les dicte ou les saisit dans l’application qui en retour lui affiche la position sur la carte. Et voilà, rien de plus simple pour communiquer un rendez-vous et fini les erreurs de saisie. Comme l'application fonctionne sur la plupart des téléphones, votre mobile vous guide jusqu'à votre point de rendez-vous.

Toutefois les 3 mêmes mots correspondent à plusieurs carrés mais très éloignés. Car si l'on découpe le monde en carré de 3 m par 3 on obtient cinquante-sept mille milliards de carrés qui portent 3 mots Anglais mais seulement dix-sept milliards de carrés en Français avec une liste de vingt-cinq mille mots et quarante mille pour l'Anglais,

 La dérive

Pour communiquer un lieu de rendez-vous illicite et passer sous les filtres d'identification de mots clefs, il suffit d'utiliser What3words et pour corser ajouter un ou deux Emoji. Comment identifier dans un flux d'information la phrase :

« Il faut bobiner redite le 🐰 » ce qui correspond à l’adresse de la Sorbonne à Paris, 15 rue de l'école de médecine.

Ainsi deux personnes peuvent se donner rendez-vous sans attirer l'attention. Même si la jonction de certain mot pourrait paraître étrange, la dissimulation derrière une phrase même digne du cadavre exquis des surréalistes peut passer au travers des outils de surveillance qui se basent sur un dictionnaire défini. Impossible de suivre tous les échanges, car il suffit inonder le flux de messages si bien que le rendez-vous devient une trace indécelable.

Comme quoi, une application qui devrait améliorer les échanges de localisation pour le grand public devient un service efficace pour les malfaisants.

Evaluer la menace de l’ingénierie sociale

Fini le mail d’un ami qui a perdu ces bagages et qui vous demande de lui virer de l’argent sur un compte PayPal. La cible des entreprises permet des gains plus importants. Pourquoi l’hackeur va passer du temps à déjouer des protections techniques élaborés alors que l’humain peut lui ouvrir les portes. L’ingénierie sociale dans ce cas consiste à manipuler ou tromper une ou des personnes d’une entreprise pour introduire un malware qui provoquera du rançonnage.

Comprendre la mécanique de l’intrusion.

Tout commence par Kahneman, le prix Nobel d’économie et ces recherches en psychologie sur la prise de décision du cerveau. En fait Kahneman distingue deux systèmes de décision le système 1 et le système 2. Le système 1 va répondre le premier car il demande moins de ressource au cerveau et si vous accumulez des questions avec le système 1, vous n’engagerez pas le système 2 qui lui implique une réflexion. Par exemple si je pose comme question 2+2 vous répondrez facilement, la capitale de la France c’est aussi facile puis X+Y =110 mais X est 100 fois plus grand que Y si vous répondez avec le système 1 : 100+10 =110 alors que la bonne réponse est 105+5=110 mais seulement vous devez mener une réflexion. Si je transpose à un mail, vous ouvrez le mail, vous télécharger le PDF en PJ, vous lisez le document et dans votre lecture vous cliquez sur un lien pour en savoir plus toujours en mode système 1 sauf que vous venez de télécharger un morceau de code malveillant qui ne sera pas détecté par votre antivirus car inoffensif.

Scénario d’une attaque par ingénierie sociale

Votre société recherche des candidats et vous disposer d’un site web avec une adresse mail pour envoyer une candidature. Vous ouvrez une porte idéale pour les hackers puisqu’un inconnu peut vous envoyez un CV qui peut inclure un lien malveillant. Facile de trouvez un CV sur LinkedIn qui correspond à votre recherche. En toute logique votre adresse mail est lisible par votre responsable RH sur son poste de travail au même niveau que son adresse personnelle et soyons fou elle est aussi en lecture sur d’autres ordinateurs de collaborateurs. Vous donnez à l’hackeur une porte idéal pour introduire un malware dans votre réseau. Le bout de code téléchargé sur votre ordinateur se déclenchera sur une date, une action sur votre navigateur ou un site que vous consulterez peu importe car il va télécharger le cryptolocker lui-même déjà crypté pour tromper votre antivirus. Il se décrypte dans votre RAM. Puis Il commence à crypter vos documents sur votre poste après il continue sur les partages et si vous disposez de droits élevés les dégâts sont considérables.

Reste à payer la rançon ou reformater tous les pcs et recharger les data des serveurs partagés sans certitude que le malware ne réapparaisse pas car le code d’importation peut être attaché à un fichier sur le serveur partagé.

Piste pour la prévention

Toujours se méfier d’un mail d’un inconnu. Réflexion en système 2 obligatoirement
Toujours relire l’adresse de redirection ainsi que l’extension qui termine l’url.
Déposer sur les sites qui demande votre adresse mail public éviter votre adresse pro.
Mettre à jours toutes les applications, système d’exploitation et antivirus.
Ce n’est pas parce que j’ai un Mac ou je suis sur linux que je suis en sécurité.
Former continuellement tout le personnel de l’entreprise au risque.
Limiter les droits des utilisateurs du réseau.
Mettre en place des machines virtuelles sur un poste de travail pour des opérations différentes ( consultation de sa messagerie, projet sur des data confidentielles ou avec des accès à des sites sécurisés, navigation sur le web). Les machines virtuelles peuvent avoir accès ou pas au réseau à internet. Mais cette solution demande des postes de travail très puissants et une installation longue et minutieuse.
Recevoir les mails d’inconnu comme les candidatures sur un ordinateur hors réseau relié à internet avec une clé 4G.

Pour conclure

Les ransomwares touchent pour l’instant de puissantes entreprises avec de nombreux utilisateurs mais la simplicité de mise en place et les gains obtenus incitent à la multiplication de ce type d’attaque. Il faut bénéficier de l’expérience des autres entreprises et mettre en place une politique rigoureuse sur la sécurité informatique tout en sachant qu’une faille est toujours possible mais que tous les moyens auront été engagé pour cela n’arrive pas.

Si nous levons la tête dans les rues, nous constatons le nombre croissant de dômes contenant des caméras. Les mairies se targuent de sécuriser leurs communes avec de la vidéo surveillance. La plupart des distributeurs de billets, certain magasin et centres commerciaux se protègent contre le vol via un réseau de caméras. Les péages et les parkings captent notre plaque et par fois plus. L’état appuie les contrôles douaniers des aéroports pour qu’ils s’effectuent automatiquement en relation avec le passeport biométrique.

Nous sommes à notre insu surveillé dans nos déplacements. Nous ne pouvons que subir ce contrôle qui toutefois assure notre sécurité et prouve notre présence dans un lieu et un temps.

Notre image faciale devient une clé de recherche

La reconnaissance faciale permet de suivre nos déplacements sur de multiples vidéos mais aussi de rechercher de l’information, sur nous, dans l’immense base de données d’internet ou nous avons laissé, au fil du temps, des informations personnelles. Notre visage apparaît sur des photos en provenances diverses sources et de façon volontaire comme Facebook ou professionnel comme LinkedIn ou pour d’autres sur Meetic. A notre image nous agrégeons une quantité d’informations anodines, à prime abord, mais une fois captées et agrégées détermine un profil. L’exploitation peut en être faite dans un but commercial mais aussi politique ou alors sur notre santé.

Les acteurs de la reconnaissance faciale

Les grands faiseurs de l’informatique planchent sur des algorithmes inclus dans des logiciels ou des API nous pouvons citer Google avec FaceNet, FaceBook avec DeepFace, Amazon avec son API de reconnaissance des visages Rekognition , Microsoft Azure… ou moins connu comme FACE++ ou le Français avec Thales. Les résultats frôlent les 100% même si le visage comporte un accessoire comme un chapeau ou maintenant un masque. Nous restons dans le domaine de la sécurité pour le suivi de malfaisant ou grand public pour classer ou rechercher des photos sur son téléphone.

Mais d’autres sociétés n’hésitent pas à collecter des millions de photos de visages ( on parle de 3 milliards sans preuve ) sur le net ( Twitter, Facebook, LinkedIn, Venmo etc… Pour récupérer l’empreinte biométrique et surtout l’information associée comme le nom, l’adresse mail, la localisation, l’employeur etc.. qui vont lui permettent de faire un lien vers d’autres informations plus sensibles. L’entreprise Américaine Clearview.ai, leader sur les dispositifs de reconnaissance faciale utilisé par le FBI et de nombreuses sociétés de sécurité dont certaines reliées à des parties politiques vient d’être la cible d’accusations et suit des recours collectifs au Etats Unis mais aussi en Australie.

Si une société se permet de telle dérive, il en existe forcément d’autres moins visibles pour le moment mais qui agisse dans ce créneau juteux.

Une parade pas une certitude

Il n’existe pas d’outils fiable à 100% pour protéger une photo d’identité. Le plus connue provient du laboratoire SAND de l’université de Chicago qui met à disposition le logiciel Fawkes qui permet d’effectuer de minuscules changements invisibles à l’œil mais qui trompent les algorithmes de reconnaissance faciale. Ce camouflage ne vous garantie pas à vie que votre identité ne soit pas un jour rapprochée d’une image de vidéo-surveillance. Pour détourner la vérité sur votre profil, ne pas hésiter à créer des honeypots ou pots de miel avec des informations erronées afin leurrer les algorithmes. Sans pour cela mettre de l’informations délirantes juste ce qu’il faut pour que votre profil n’intéresse plus car trop complexe à exploiter.

Conclusion

Avant de mettre volontairement sa photo d’identité sur un site internet, bien réfléchir sur les conséquences et préférer utiliser un avatar qui vous définisse mieux et vous remplace. Mais, naïf, vous avez déjà coller votre image sur un site web social ou professionnel n’hésitez pas à la mettre à jour avec une photo ressemblante mais techniquement truquée. Mais aussi veiller en aval à l’information que l’on vous communique via les réseaux sociaux, vos mails, vos notifications, vos recherches sur internet ne convergent-elles pas vers de l’information que l’on souhaite que vous lisiez.

.

RTE (Réseau de Transport d’Electricité) présente un site très complet de la consommation en temps réel d’électricité.  Vous disposez de plusieurs vignettes synthétiques qui résument la production, la consommation, les interconnexions et le mécanisme d'ajustement. Je vous laisse le découvrir http://clients.rte-france.com/lang/fr/visiteurs/vie/tableau_de_bord.jsp"">Ici.  Vous pouvez aussi connaître l’historique des consommations demi-heure par demi-heure à partir de 1996.  Et si  vous le souhaitez vous pouvez les télécharger http://clients.rte-france.com/lang/fr/visiteurs/vie/vie_stats_conso_inst.jsp"">Ici.