Samedi sécurité : pot-pourri de normalisation de la déviance

La normalisation de la déviance.C'est ce que j'observe, on s'habitue et même on ne fait plus attention aux failles, brèches, fuites de données, rançons, arrêts d'écoles ou d'hôpitaux, blocages de services, et tutti-quanti.Ça s'appelle la normalisation de la déviance, c'est ce qui a donné lieu au problème actuel du Starliner où au lieu de rechercher les causes racines et de résoudre les problèmes identifiés, les responsables ont indiqué que ça n'était pas grave, pas important, qu'ils avaient de la marge, et les problèmes se sont alors multipliés et aggravés, mettant en péril la mission et surtout ses deux astronautes.Au moment où j'écris ces lignes, on ignore quand le Starliner reviendra sur terre, ni si il transportera les deux astronautes amenés à l'ISS.La NASA ne communique plus quotidiennement sur cette mission, pourtant essentielle.Google Ads a envoyé des malware à des navigateurs sur MacUn groupe de hacker a réussi à se faire enregistrer comme une société légitime sur Google Ads, et a pu ainsi faire envoyer des publicités sur le web contenant un malware et visant les Mac et leurs utilisateurs.Pas besoin de visiter un site spécifique, Google Ads est partout, et la seule sécurité est d'abord d'être à jour, ensuite de mettre fin aux publicités en-ligne via son navigateur et ses extensions.La normalisation de la déviance qu'est l'abus des publicités en ligne.L'application Mac de ChatGPT stockait les échanges en plein texteOn se souvient que Copilot de Microsoft avait été critiqué pour stocker nombre d'information en plein texte dans une base SQLite.L'application de ChatGPT fait pire puisque stockant tout en plein texte.Elle a été mise-à-jour pour corriger ce problème qui n'aurait jamais du exister.La normalisation de la déviance est là de stocker des informations personnelles, confidentielles ou intimes en plein texte. Exposable localement et sur les sauvegardes.OpenSSH vulnérable sur les systèmes 32 bits basés sur glibcLa bonne nouvelle c'est que ça ne touche que les systèmes 32 bits et uniquement ceux basés sur glibc où OpenSSH est compilé avec cette librairie standard.La mauvaise nouvelle c'est que de nombreux routeurs ou autres IoT sont 32 bits et basés sur glibc, ainsi qu'un nombre incalculable d'appareils de réseautique dont nombreux ne reçoivent plus de mises-à-jours.L'attaque permet d'exécuter du code à distance sans authentification, le pire du pire!Là, la normalisation de la déviance ne vient pas de OpenSSH ou de glibc mais du nombre incroyable d'appareil ne recevant plus de mise-à-jour quand pourtant exposés sur Internet.Pollyfil.io distribue du malwareDe nombreux sites utilisaient polyfill.io pour assurer la compatibilité d'anciens navigateurs avec des librairies ou frameworks récents, mais ce domaine a été racheté par des malandrins Chinois qui en ont profité pour injecter du code redirigeant des utilisateurs vers des sites pour adultes, qu'ils soient à caractère pornographiques ou de jeu en-ligne.384 000 sites auraient été touchés, des mesures correctives ont été prises par de nombreux acteurs afin de rediriger les requêtes vers des copies ou serveurs-miroirs sûrs.La normalisation de la déviance est d'utiliser du code JavaScript délivré par un site tiers, et non une version précise après audit et depuis ses propres serveurs (ou son CDN).Patelco Credit Union bloqué par un ransomwarePatelco Credit Union est une caisse Californienne avec 450 000 membres, et vient d'être frappé par un ransomware chiffrant leurs données et demandant une rançon pour leur redonner accès à celle-ci (ou pas).Les transactions, retraits, dépôts et paiements sont indisponibles, officiellement temporairement bloqués par la caisse le temps de résoudre son problème, ce qui pourrait durer des semaines dixit leur direction.La normalisation de la déviance est là que ça parait habituel, que dans ce cas le gouvernement Américain et ses agences n'interviennent ni en amont ni en aval, pour prévenir et faire cesser cela, quitte à obliger les banques et caisses à revoir leur infrastructure technique.Authy fait fuiter 33 millions de numéro de téléphoneAuthy est une App d'authentification TOTP, permettant d'ajouter un second facteur de sécurité (2FA) similaire en cela à Google Authenticator.Évidemment comme cette App est destinée à fonctionner localement, seul une horloge précise est nécessaire mais pas de communication, rien de mieux que de capturer les numéro de téléphone des utilisateurs et les stocker dans le cloud. Que pourrait-il arriver de mal?Eh bien 33 millions de ces numéros de téléphone se baladeraient dans la nature et pourraient servir à du hameçonnage (phishing)...Authy spécialisé en sécurité et 2FA n'a pas communiqué directement auprès des utilisateurs touchés, un point commun de la normalisation de la déviance dans les sociétés 'de sécurité'.Et le point Darwin...Gay411.com est un site Web de rencontre pour les hommes gays ou bisexuels au Canada, basé à Montréal. Les échanges qui y sont fait sont confidentiels voire intimes.Certains usagers y indiquent d'ailleurs leur statut sérologique au VIH/SIDA, outre leurs vaccinations qui sont aussi des informations médicales intimes extrêmement sensibles.Début 2024, outre un nombre incalculable de failles de sécurité, il stockait les mot-de-passe en plein texte, et les renvoyait aussi en plein texte par email sur la demande de réinitialisation qui d'ailleurs ne réinitialisait rien du tout!Même pas de MD5, pas plus de salt, sans parler de PBKDF2 avec des dizaines de milliers de round un gros salt et du sha2, du plein texte début 2024!La normalisation de la déviance est d'avoir laissé cela tel-que pendant une vingtaine d'année car ça marche et ça coûte cher de faire évoluer.Ça vient d'être enfin changé...Mais le login est quasi-instantané, ce qui signifie qu'ils n'utilisent pas un framework comme PBKDF2 avec suffisamment de round, peut-être en plein texte encore, en tout cas sans sécurité en cas de fuite des hash des mots-de-passe!On ne se refait pas, quand on a normalisé la déviance, elle reste...