Un drôle – mais c’est vrai – la blague de TechCrunch est que le bureau de sécurité pourrait tout aussi bien s’appeler le Département des mauvaises nouvelles, puisque, eh bien, avez-vous vu ce que nous avons couvert récemment ? Il existe une quantité infinie de violations dévastatrices, de surveillance omniprésente et de startups douteuses fouettant les personnes carrément dangereuses.
Parfois cependant – quoique rarement – il y a des lueurs d’espoir que nous souhaitons partager. Notamment parce que faire ce qu’il faut, même (et surtout) face à l’adversité, contribue à rendre le cyberespace un peu plus sûr.
Le Bangladesh a remercié un chercheur en sécurité pour la découverte d’une fuite de données citoyennes
Lorsqu’un chercheur en sécurité a découvert qu’un site Web du gouvernement bangladais divulguait les informations personnelles de ses citoyens, quelque chose n’allait manifestement pas. Viktor Markopoulos a trouvé les données exposées grâce à un résultat de recherche Google mis en cache par inadvertance, qui révélait les noms, adresses, numéros de téléphone et numéros d’identité nationaux des citoyens du site Web concerné. TechCrunch a vérifié que le site Web du gouvernement bangladais divulguait des données, mais les efforts visant à alerter le ministère ont d’abord été accueillis par le silence. Les données étaient si sensibles que TechCrunch ne pouvait pas dire quel département gouvernemental divulguait les données, car cela pourrait exposer davantage les données.
C’est alors que l’équipe nationale de réponse aux incidents informatiques d’urgence, également connue sous le nom de CIRT, a pris contact et a confirmé que la fuite de la base de données avait été réparée. Les données provenaient de nul autre que du bureau de l’état civil des naissances, des décès et des mariages du pays. Le CIRT a confirmé dans un avis public qu’il avait résolu la fuite de données et qu’il n’avait « rien négligé » pour comprendre comment la fuite s’était produite. Les gouvernements gèrent rarement bien leurs scandales, mais un e-mail du gouvernement au chercheur les remerciant d’avoir découvert et signalé le bug montre la volonté du gouvernement de s’engager dans la cybersécurité là où de nombreux autres pays ne le feront pas.
Apple jette l’évier de la cuisine sur son problème de logiciels espions
Cela fait plus d’une décennie qu’Apple a abandonné sa désormais célèbre affirmation selon laquelle les Mac ne sont pas infectés par des virus PC (ce qui, bien que techniquement vrai, a tourmenté l’entreprise pendant des années). De nos jours, la menace la plus pressante pour les appareils Apple est constituée par les logiciels espions commerciaux, développés par des sociétés privées et vendus aux gouvernements, qui peuvent percer les défenses de sécurité de nos téléphones et voler nos données. Il faut du courage pour admettre un problème, mais Apple a fait exactement cela en déployant des correctifs Rapid Security Response pour corriger les bogues de sécurité activement exploités par les créateurs de logiciels espions.
Apple a déployé son premier « correctif » d’urgence plus tôt cette année sur les iPhones, iPads et Mac. L’idée était de déployer des correctifs critiques qui pourraient être installés sans avoir à toujours redémarrer l’appareil (sans doute le problème pour les soucieux de sécurité). Apple dispose également d’un paramètre appelé Mode de verrouillage, qui limite certaines fonctionnalités d’un appareil Apple qui sont généralement ciblées par les logiciels espions. Apple affirme ne connaître aucune personne utilisant le mode de verrouillage qui ait ensuite été piratée. En fait, les chercheurs en sécurité affirment que le mode verrouillage a activement bloqué les piratages ciblés en cours.
Le gouvernement de Taiwan ne l’a pas fait clignoter avant d’intervenir après une fuite de données d’entreprise
Lorsqu’un chercheur en sécurité a déclaré à TechCrunch qu’un service de covoiturage appelé iRent – géré par le géant automobile taïwanais Hotai Motors – diffusait des mises à jour en temps réel des données des clients sur Internet, cela semblait être une solution simple. Mais après une semaine d’envoi d’e-mails à l’entreprise pour résoudre la fuite de données en cours – qui comprenait les noms des clients, les numéros de téléphone portable et les adresses e-mail, ainsi que les analyses des licences des clients – TechCrunch n’a jamais eu de réponse. Ce n’est que lorsque nous avons contacté le gouvernement taïwanais pour obtenir de l’aide sur l’incident que nous avons obtenu une réponse. immédiatement.
Moins d’une heure après avoir contacté le gouvernement, la ministre taïwanaise des Affaires numériques, Audrey Tang, a déclaré par courrier électronique à TechCrunch que la base de données exposée avait été signalée à l’équipe taïwanaise de réponse aux incidents informatiques d’urgence, TWCERT, et avait été mise hors ligne. La rapidité avec laquelle le gouvernement taïwanais a réagi a été époustouflante, mais cela ne s’est pas arrêté là. Taïwan a ensuite infligé une amende à Hotai Motors pour ne pas avoir protégé les données de plus de 400 000 clients et a été sommé d’améliorer sa cybersécurité. Dans la foulée, le vice-premier ministre taïwanais Cheng Wen-tsan a déclaré que l’amende d’environ 6 600 dollars était « trop légère » et a proposé une modification de la loi qui multiplierait par dix les amendes pour violation de données.
Les fuites dans les archives judiciaires américaines ont déclenché le bon type d’alarme
Au cœur de tout système judiciaire se trouve son système d’archives judiciaires, la pile technologique utilisée pour soumettre et stocker des documents juridiques sensibles pour les affaires judiciaires. Ces systèmes sont souvent en ligne et consultables, tout en limitant l’accès aux dossiers qui pourraient autrement compromettre une procédure en cours. Mais lorsque le chercheur en sécurité Jason Parker a découvert plusieurs systèmes d’archives judiciaires comportant des bogues incroyablement simples et exploitables à l’aide d’un seul navigateur Web, Parker a compris qu’ils devaient veiller à ce que ces bogues soient corrigés.
Parker a découvert et divulgué huit vulnérabilités de sécurité dans les systèmes d’archives judiciaires utilisés dans cinq États américains – et ce n’était que lors de leur première divulgation groupée. Certaines failles ont été corrigées, d’autres restent en suspens, et les réponses des États ont été mitigées. Le comté de Lee, en Floride, a pris la position autoritaire (et autonome) de menacer le chercheur en sécurité avec les lois anti-piratage de Floride. Mais ces révélations ont également envoyé le bon type d’alarme. Plusieurs RSSI d’État et responsables des systèmes d’archives judiciaires à travers les États-Unis ont vu cette divulgation comme une opportunité d’inspecter leurs propres systèmes d’archives judiciaires pour détecter les vulnérabilités. Govtech est en panne (et est désespérément mal desservi), mais le fait que des chercheurs comme Parker découvrent et divulguent des failles indispensables rend Internet plus sûr – et le système judiciaire plus juste – pour tout le monde.
Google a tué les mandats de géofence, même s’il valait mieux tard que jamais
C’est l’avidité de Google, motivée par la publicité et la croissance perpétuelle, qui a ouvert la voie aux mandats de géofence. Ces mandats de perquisition dits « inversés » permettent à la police et aux agences gouvernementales de fouiller dans les vastes réserves de données de localisation des utilisateurs de Google pour voir si quelqu’un se trouvait à proximité au moment où un crime a été commis. Mais la constitutionnalité (et l’exactitude) de ces mandats d’arrêt a été remise en question et les critiques ont appelé Google à mettre fin à la pratique de surveillance qu’il a largement créée au départ. Et puis, juste avant les fêtes de fin d’année, le cadeau de la vie privée : Google a annoncé qu’il commencerait à stocker les données de localisation sur les appareils des utilisateurs et non de manière centralisée, mettant ainsi fin à la possibilité pour la police d’obtenir une localisation en temps réel à partir de ses serveurs.
La décision de Google n’est pas une panacée et ne répare pas les années de dégâts (ni n’empêche la police de fouiller les données historiques stockées par Google). Mais cela pourrait inciter d’autres sociétés également soumises à ce type de mandats de recherche inversée – bonjour Microsoft, Snap, Uber et Yahoo (la société mère de TechCrunch) – à emboîter le pas et à cesser de stocker les données sensibles des utilisateurs d’une manière qui les rend accessibles au gouvernement. demandes.