ÉCOUTER MAINTENANT
Avec Doug Aamoth et Paul Ducklin.
Musique d'intro et d'outro par Edith Mud.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Zero-days, plus de zero-days, TikTok, et un triste jour pour la communauté de la sécurité.
Tout cela et plus encore, sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast Naked Security, tout le monde.
Je suis Doug Aamoth.
Avec moi, comme toujours, Paul Ducklin.
Paul, comment vas-tu aujourd'hui ?
CANARD. Je vais très très bien, merci Douglas !
DOUG. Eh bien, commençons le spectacle avec notre segment Tech History.
J'ai le plaisir de vous dire : cette semaine, le 09 septembre 1947, un vrai papillon de nuit a été trouvé à l'intérieur de l'ordinateur Mark II de l'Université de Harvard.
Et bien que l'on pense que l'utilisation du terme "bogue" pour désigner des problèmes d'ingénierie ait été utilisée pendant des années et des années auparavant, on pense que cet incident a conduit au "débogage" désormais omniprésent.
Pourquoi ?
Parce qu'une fois que le papillon a été retiré du Mark II, il a été enregistré dans le journal de bord de l'ingénierie et étiqueté "Le premier cas de bogue réel trouvé".
J'adore cette histoire !
CANARD. Moi aussi!
Je pense que la première preuve que j'ai vue de ce terme n'était autre que Thomas Edison - je pense qu'il a utilisé le terme "bugs".
Mais bien sûr, étant en 1947, c'était les tout premiers jours de l'informatique numérique, et tous les ordinateurs ne fonctionnaient pas encore sur des valves ou des tubes, car les tubes étaient encore très chers, et brûlaient très fort, et nécessitaient beaucoup d'électricité.
Donc, cet ordinateur, même s'il pouvait faire de la trigonométrie et tout, était en fait basé sur des relais - des commutateurs électromécaniques, et non des commutateurs électroniques purs.
Assez étonnant que même à la fin des années 1940, les ordinateurs basés sur des relais étaient encore une chose… bien qu'ils n'allaient pas être une chose pendant très longtemps.
DOUG. Eh bien, Paul, disons sur le sujet des choses désordonnées et des bugs.
Une chose désordonnée qui dérange les gens est la question de cette chose TikTok.
Il y a des brèches, et il y a des brèches… est-ce vraiment une brèche ?
CANARD. Comme tu le dis, Douglas, c'est devenu une chose désordonnée…
Parce que c'était une énorme histoire ce week-end, n'est-ce pas ?
"Violation de TikTok - Qu'est-ce que c'était vraiment?"
À première vue, cela ressemble à "Wow, 2 milliards d'enregistrements de données, 1 milliard d'utilisateurs compromis, les pirates sont entrés", et ainsi de suite.
Désormais, plusieurs personnes qui sont régulièrement confrontées à des violations de données, dont notamment Troy Hunt de Ai-je été appelé?, ont pris des exemples d'instantanés des données censées avoir été « volées » et sont partis à leur recherche.
Et le consensus semble soutenir exactement ce que TikTok a dit, à savoir que ces données sont de toute façon publiques.
Donc, ce que cela semble être, c'est une collection de données, disons une liste géante de vidéos… que je suppose que TikTok ne voudrait probablement pas que vous puissiez simplement télécharger par vous-même, car ils voudraient que vous passiez par la plate-forme, et utiliser leurs liens, et voir leur publicité afin qu'ils puissent monétiser les choses.
Mais aucune des données, aucun élément des listes ne semble avoir été confidentiel ou privé pour les utilisateurs concernés.
Lorsque Troy Hunt est allé chercher et a choisi une vidéo au hasard, par exemple, cette vidéo s'afficherait sous le nom de cet utilisateur en tant que public.
Et les données sur la vidéo dans la « brèche » ne disaient pas non plus : « Oh, et au fait, voici l'identifiant TikTok du client ; voici leur hachage de mot de passe ; voici leur adresse personnelle ; voici une liste de vidéos privées qu'ils n'ont pas encore publiées », etc.
DOUG. OK, donc si je suis un utilisateur de TikTok, y a-t-il un récit édifiant ici ?
Dois-je faire quelque chose ?
Comment cela m'affecte-t-il en tant qu'utilisateur ?
CANARD. C'est juste la chose. Doug - Je suppose que beaucoup d'articles écrits à ce sujet ont été désespérés de trouver une sorte de conclusion.
Que pouvez-vous faire?
Ainsi, la question brûlante que les gens se posent est : « Eh bien, devrais-je changer mon mot de passe ? Dois-je activer l'authentification à deux facteurs ? »… tous les trucs habituels que vous entendez.
Il semble, dans ce cas, qu'il n'y ait aucun besoin spécifique de changer votre mot de passe.
Il n'y a aucune suggestion que les hachages de mot de passe ont été volés et pourraient maintenant être piratés par un million de mineurs de bitcoin en congé [RIRES] ou quelque chose comme ça.
Il n'y a aucune suggestion que les comptes d'utilisateurs peuvent être plus faciles à cibler à la suite de cela.
D'un autre côté, si vous avez envie de changer votre mot de passe… vous pouvez tout aussi bien.
La recommandation générale de nos jours est de changer régulièrement et fréquemment votre mot de passe * selon un calendrier * (comme, "Une fois par mois, changez votre mot de passe au cas où") est une mauvaise idée parce que [ROBOTIC VOICE] il - juste - obtient - vous – en – une habitude – répétitive – qui n'améliore pas vraiment les choses.
Parce que nous savons ce que font les gens, ils vont juste : -01, -02, 03 à la fin du mot de passe.
Donc, je ne pense pas que vous deviez changer votre mot de passe, mais si vous décidez que vous allez le faire, tant mieux pour vous.
Ma propre opinion est que dans ce cas, que vous ayez activé ou non l'authentification à deux facteurs n'aurait fait aucune différence.
D'un autre côté, s'il s'agit d'un incident qui vous persuade enfin que 2FA a une place quelque part dans votre vie…
…alors peut-être, Douglas, c'est une doublure argentée !
DOUG. Formidable.
Nous garderons donc un œil là-dessus.
Mais il semble que les utilisateurs réguliers n'auraient pas pu faire grand-chose à ce sujet…
CANARD. Sauf qu'il y a peut-être une chose que nous pouvons apprendre, ou du moins nous en rappeler.
DOUG. Je pense que je sais ce qui s'en vient. [DES RIRES]
Est-ce que ça rime ?
CANARD. Ça pourrait aller, Douglas. [DES RIRES]
Bon sang, je suis si transparent. [RIANT]
Soyez conscient/Avant de partager.
Une fois que quelque chose est public, c'est *vraiment public*, et c'est aussi simple que cela.
DOUG. OK très bien.
Soyez conscient avant de partager.
En continuant, la communauté de la sécurité a perdu un pionnier en la personne de Peter Eckersley, décédé à 43 ans.
Il était le co-créateur de Let's Encrypt.
Alors, parlez-nous un peu de Let's Encrypt et L'héritage d'Eckersley, si vous voulez.
CANARD. Eh bien, il a fait tout un tas de trucs dans sa vie malheureusement courte, Doug.
Nous n'écrivons pas souvent de nécrologies sur Naked Security, mais c'est l'une de celles que nous avons senti que nous devions le faire.
Parce que, comme vous le dites, Peter Eckersley, parmi toutes les autres choses qu'il a faites, a été l'un des co-fondateurs de Let's Encrypt, le projet qui visait à le rendre bon marché (c'est-à-dire gratuit !), mais surtout fiable et facile d'obtenir des certificats HTTPS pour votre site Web.
Et parce que nous utilisons les certificats Let's Encrypt sur les sites de blog Naked Security et Sophos News, j'ai senti que nous lui devions au moins une mention pour ce bon travail.
Parce que quiconque a déjà géré un site Web saura que, si vous revenez quelques années en arrière, obtenir un certificat HTTPS, un certificat TLS, qui vous permet de mettre le cadenas dans les navigateurs Web de vos visiteurs ne coûte pas seulement de l'argent, ce que les utilisateurs à domicile, les amateurs , les organismes de bienfaisance, les petites entreprises, les clubs sportifs ne pouvaient pas se permettre facilement… c'était un * vrai tracas *.
Il y avait toute cette procédure que vous deviez suivre; c'était plein de jargon et de trucs techniques; et chaque année, il fallait le refaire, parce qu'évidemment ils expirent… c'est comme un contrôle de sécurité sur une voiture.
Vous devez passer par l'exercice et prouver que vous êtes toujours la personne capable de modifier le domaine dont vous prétendez contrôler, et ainsi de suite.
Et Let's Encrypt a non seulement pu le faire gratuitement, mais ils ont pu faire en sorte que le processus puisse être automatisé… et sur une base trimestrielle, ce qui signifie également que les certificats peuvent expirer plus rapidement en cas de problème.
Ils ont pu établir une relation de confiance assez rapidement pour que les principaux navigateurs disent bientôt : "Vous savez quoi, nous allons faire confiance à Let's Encrypt pour garantir les certificats Web d'autres personnes ; ce qu'on appelle un autorité de certification racine, ou autorité de certification.
Ensuite, votre navigateur fait confiance à Let's Encrypt par défaut.
Et vraiment, c'est toutes ces choses réunies qui pour moi étaient la majesté du projet.
Ce n'était pas seulement que c'était gratuit; ce n'était pas seulement que c'était facile; ce n'est pas seulement que les fabricants de navigateurs (qui sont notoirement difficiles à persuader de vous faire confiance en premier lieu) ont décidé : « Oui, nous leur faisons confiance ».
Ce sont toutes ces choses réunies qui ont fait une grande différence et ont aidé à obtenir le HTTPS presque partout sur Internet.
C'est juste une façon d'ajouter un peu de sécurité supplémentaire à la navigation que nous faisons…
… pas tant pour le cryptage, comme nous le rappelons sans cesse, mais pour le fait que [A] vous avez une chance de vous connecter à un site qui est manipulé par la personne qui est censée le manipuler, et que [B] lorsque le contenu revient, ou lorsque vous lui envoyez une demande, il ne peut pas être altéré facilement en cours de route.
Jusqu'à Let's Encrypt, avec n'importe quel site Web HTTP uniquement, pratiquement n'importe qui sur le chemin du réseau pouvait espionner ce que vous regardiez.
Pire encore, ils pourraient le modifier - soit ce que vous envoyiez, soit ce que vous receviez - et vous *ne pouviez tout simplement pas dire* que vous téléchargiez des logiciels malveillants au lieu du vrai, ou que vous lisiez de fausses nouvelles au lieu du histoire vraie.
DOUG. D'accord, je pense qu'il convient de conclure avec une excellente commentaire d'un de nos lecteurs, Samantha, qui semble avoir connu M. Eckersley.
Elle dit:
"S'il y a une chose dont je me souviens toujours de mes interactions avec Pete, c'est son dévouement à la science et à la méthode scientifique. Poser des questions est l'essence même d'être un scientifique. Je chérirai toujours Pete et ses questions. Pour moi, Pete était un homme qui appréciait la communication et l'échange libre et ouvert d'idées entre individus curieux.
Bien dit, Samantha – merci.
CANARD. Oui!
Et au lieu de dire RIP [abréviation de Rest In Peace], je pense que je vais dire CIP : Code in Peace.
DOUG. Très bien!
Très bien, eh bien, nous avons parlé la semaine dernière d'une série de correctifs Chrome, puis un autre est apparu.
Et celui-ci était un important un…
CANARD. C'était bien Doug.
Et parce qu'il s'appliquait au noyau Chromium, il s'appliquait également à Microsoft Edge.
Donc, pas plus tard que la semaine dernière, nous parlions de ces… qu'est-ce que c'était, 24 failles de sécurité.
Un était critique, huit ou neuf étaient élevés.
Il y a toutes sortes de bogues de mauvaise gestion de la mémoire, mais aucun d'entre eux n'était de zéro jour.
Et donc nous en parlions en disant: «Écoutez, c'est une petite affaire du point de vue du jour zéro, mais c'est un gros problème du point de vue du correctif de sécurité. Allez de l'avant : ne tardez pas, faites-le aujourd'hui.
(Désolé - j'ai encore rimé, Doug.)
Cette fois, c'est une autre mise à jour qui est sortie quelques jours plus tard, à la fois pour Chrome et pour Edge.
Cette fois, il n'y a qu'un seul trou de sécurité corrigé.
Nous ne savons pas très bien s'il s'agit d'une élévation de privilèges ou d'une exécution de code à distance, mais cela semble sérieux, et c'est un jour zéro avec un exploit connu déjà dans la nature.
Je suppose que la bonne nouvelle est que Google et Microsoft, ainsi que d'autres fabricants de navigateurs, ont pu appliquer ce correctif et le publier très, très rapidement.
Nous ne parlons pas de mois ou de semaines… juste quelques jours pour un jour zéro connu qui a évidemment été trouvé après la sortie de la dernière mise à jour, qui n'était que la semaine dernière.
C'est donc la bonne nouvelle.
La mauvaise nouvelle est, bien sûr, qu'il s'agit d'un jour 0 - les escrocs sont dessus ; ils l'utilisent déjà.
Google a été un peu timide sur "comment et pourquoi"... cela suggère qu'il y a une enquête en cours en arrière-plan qu'ils ne veulent peut-être pas compromettre.
Donc, encore une fois, il s'agit d'une situation de « patcher tôt, patcher souvent » - vous ne pouvez pas simplement laisser tomber celle-ci.
Si vous avez patché la semaine dernière, vous devez le refaire.
La bonne nouvelle est que Chrome, Edge et la plupart des navigateurs de nos jours devraient se mettre à jour.
Mais, comme toujours, il vaut la peine de vérifier, car que se passe-t-il si vous comptez sur la mise à jour automatique et, juste cette fois, cela n'a pas fonctionné ?
Ne serait-ce pas 30 secondes de votre temps bien dépensé pour vérifier que vous avez bien la dernière version ?
Nous avons tous les numéros de version pertinents et les conseils [sur Naked Security] sur où cliquer pour Chrome et Edge pour vous assurer que vous disposez absolument de la dernière version de ces navigateurs.
DOUG. Et des nouvelles de dernière heure pour tous ceux qui tiennent le score…
Je viens de vérifier ma version de Microsoft Edge, et c'est la bonne version à jour, donc elle s'est mise à jour.
OK, enfin, mais certainement pas le moindre, nous avons un rare mais mise à jour Apple urgente pour iOS 12, ce que nous pensions tous avoir été fait et dépoussiéré.
CANARD. Oui, comme je l'ai écrit dans les cinq premiers mots de l'article sur Naked Security, "Eh bien, nous ne nous attendions pas à ça !"
Je me suis permis un point d'exclamation, Doug, [RIRES] parce que j'ai été surpris…
Les auditeurs réguliers du podcast sauront que mon iPhone 6 Plus bien-aimé, si ancien mais autrefois vierge, a subi un accident de vélo.
Le vélo a survécu; J'ai repoussé toute la peau dont j'avais besoin [RIRE]… mais l'écran de mon iPhone est toujours en cent milliards de milliards de milliards de morceaux. (Tous les morceaux qui vont sortir dans mon doigt, je pense l'ont déjà fait.)
Alors j'ai pensé… iOS 12, cela fait un an que j'ai eu la dernière mise à jour, donc évidemment c'est complètement hors du radar d'Apple.
Il ne recevra aucun autre correctif de sécurité.
J'ai pensé, "Eh bien, l'écran ne peut plus être brisé, donc c'est un excellent téléphone d'urgence à prendre quand je suis sur la route"... si je vais quelque part, si j'ai besoin de passer un appel ou de regarder le carte. (Je ne vais pas envoyer d'e-mails ou de trucs liés au travail dessus.)
Et, ô surprise, il a reçu une mise à jour, Doug !
Du coup, presque un an jour pour jour après le précédent… Je pense que le 23 septembre 2021 était le dernière mise à jour J'ai eu.
Soudain, Apple a publié cette mise à jour.
Il concerne la correctifs précédents dont nous avons parlé, où ils ont fait la mise à jour d'urgence pour les iPhones et iPads contemporains, et toutes les versions de macOS.
Là, ils corrigeaient un bogue WebKit et un bogue du noyau : les deux jours zéro ; tous deux utilisés à l'état sauvage.
(Est-ce que ça sent le logiciel espion pour vous ? Ça m'a fait ça !)
Le bogue WebKit signifie que vous pouvez visiter un site Web ou ouvrir un document, et il prendra le contrôle de l'application.
Ensuite, le bogue du noyau signifie que vous mettez votre aiguille à tricoter directement dans le système d'exploitation et que vous percez un trou dans le système de sécurité tant vanté d'Apple.
Mais il n'y avait pas de mise à jour pour iOS 12, et, comme nous l'avons dit la dernière fois, qui savait si c'était parce qu'iOS 12 était simplement invulnérable, ou qu'Apple n'allait vraiment rien faire à ce sujet parce qu'il est tombé bord de la planète il y a un an ?
Eh bien, on dirait qu'il n'est pas tout à fait tombé du bord de la planète, ou qu'il a vacillé au bord du gouffre… et qu'il *était* vulnérable.
Bonne nouvelle… le bogue du noyau dont nous avons parlé la dernière fois, la chose qui permettrait à quelqu'un de prendre le contrôle de l'ensemble de l'iPhone ou de l'iPad, ne s'applique pas à iOS 12.
Mais ce bogue WebKit - qui, rappelez-vous, affecte * n'importe quel * navigateur, pas seulement Safari, et toute application qui effectue tout type de rendu lié au Web, même si ce n'est que dans sa À propos filtrer…
… ce bogue * existait * dans iOS 12, et évidemment Apple en était très conscient.
Donc, voilà : si vous avez un iPhone plus ancien, et qu'il est toujours sur iOS 12 parce que vous ne pouvez pas le mettre à jour vers iOS 15, alors vous devez aller le chercher.
Parce que c'est le Bug WebKit dont nous avons parlé la dernière fois - il a été utilisé à l'état sauvage.
Et le fait qu'Apple se soit donné tant de mal pour prendre en charge ce qui semblait être une version du système d'exploitation au-delà de la fin de vie suggère, ou du moins vous invite à en déduire, qu'il a été découvert qu'il a été utilisé de manière néfaste pour toutes sortes de trucs coquins.
Donc, peut-être que seules quelques personnes ont été ciblées… mais même si c'est le cas, ne vous laissez pas être la troisième personne !
DOUG. Et pour emprunter une de vos phrases de rimes :
Ne tardez pas/faites-le aujourd'hui.
[RIRES] Qu'en pensez-vous ?
CANARD. Doug, je savais que tu allais dire ça.
DOUG. je me rattrape !
Et alors que le soleil commence à se coucher lentement sur notre émission d'aujourd'hui, nous aimerions entendre l'un de nos lecteurs sur l'histoire du jour zéro d'Apple.
Le lecteur Bryan commente :
"L'icône des paramètres d'Apple a toujours ressemblé à un pignon de vélo dans mon esprit. En tant que motard passionné, utilisateur d'un appareil Apple, je m'attends à ce que vous aimiez ça ? »
Cela s'adresse à vous, Paul.
Tu aimes ça?
Pensez-vous que cela ressemble à un pignon de vélo?
CANARD. Ça ne me dérange pas, parce que c'est très reconnaissable, dis si je veux aller à Paramètres > Général > Mise à jour logicielle.
(Indice, indice : c'est ainsi que vous vérifiez les mises à jour sur iOS.)
L'icône est très distinctive et il est facile de la frapper, donc je sais où je vais.
Mais non, je ne l'ai jamais associé au cyclisme parce que s'il s'agissait de plateaux avant sur un vélo à engrenages, ils sont tout simplement faux.
Ils ne sont pas correctement connectés.
Il n'y a aucun moyen de leur donner du pouvoir.
Il y a deux pignons, mais ils ont des dents de tailles différentes.
Si vous pensez à la façon dont les engrenages fonctionnent sur les engrenages de vélo de type jumpy gear (dérailleurs, comme on les appelle), vous n'avez qu'une seule chaîne, et la chaîne a un espacement spécifique, ou pas comme on l'appelle.
Donc, tous les pignons ou pignons (techniquement, ce ne sont pas des pignons, car les pignons entraînent les pignons et les chaînes entraînent les pignons)… tous les pignons doivent avoir des dents de la même taille ou du même pas, sinon la chaîne ne rentrera pas !
Et ces dents sont très pointues. Doug.
Quelqu'un dans les commentaires a dit qu'ils pensaient que cela leur rappelait quelque chose à voir avec le mouvement d'horlogerie, comme un échappement ou une sorte d'engrenage à l'intérieur d'une horloge.
Mais je suis presque sûr que les horlogers diraient : « Non, nous ne façonnerions pas les dents comme ça », car ils utilisent des formes très particulières pour augmenter la fiabilité et la précision.
Je suis donc assez content de cette icône Apple, mais non, cela ne me rappelle pas le vélo.
L'icône Android, ironiquement…
… et j'ai pensé à toi quand j'ai pensé à ça, Doug [RIRE], et j'ai pensé : « Oh, bon sang, je n'entendrai jamais la fin de tout ça. Si je le mentionne »…
..cela ressemble à un pignon arrière sur un vélo (et je sais que ce n'est pas un pignon, c'est un pignon, parce que les pignons entraînent des pignons et les chaînes entraînent des pignons, mais pour une raison quelconque, vous les appelez pignons quand ils sont petits au arrière d'un vélo).
Mais il n'a que six dents.
Le plus petit pignon de vélo arrière que je puisse trouver est de neuf dents - c'est très petit, une courbe très serrée, et seulement dans des usages spéciaux.
Les gars du BMX les aiment parce que plus le pignon est petit, moins il est susceptible de toucher le sol lorsque vous faites des figures.
Donc… cela n'a pas grand-chose à voir avec la cybersécurité, mais c'est un aperçu fascinant de ce que je crois être connu de nos jours non pas comme «l'interface utilisateur», mais «l'expérience utilisateur».
DOUG. D'accord, merci beaucoup, Bryan, pour ce commentaire.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @Naked Security.
C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle jusqu'à la prochaine fois pour…
TOUS LES DEUX. Restez en sécurité!
[MODÈME MUSICAL]
- blockchain
- cognitif
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- département de la Sécurité intérieure
- portefeuilles numériques
- Eckersley
- pare-feu
- Kaspersky
- Permet de crypter
- malware
- Mcafee
- Sécurité nue
- Podcast de sécurité nu
- NexBLOC
- Peter
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- Podcast
- TikTok
- VPN
- la sécurité d'un site web
- zéphyrnet
