La Suisse offre une récompense pour trouver des failles dans son système de vote électronique Tomáš Foltýn

Tomáš Foltýn

Parce que quiconque ayant des talents de piratage pourrait essayer de parvenir à lire les votes, voire même de carrément truquer le décompte des votes.

La Suisse invite les pirates éthiques (ou white hats) des quatre coins du globe à tenter de compromettre son futur système de vote électronique lors d’une élection simulée qui se déroulera sous peu. L’objectif est de détecter et de supprimer toutes les failles logicielles, avant que le système ne soit bel et bien utilisé.

Ce « test d’intrusion publique » s’amorcera le 25 février et se poursuivra jusqu’au 24 mars, date à laquelle l’urne sera déchiffrée et ouverte, selon l’annonce publiée sur le blog de la Poste Suisse, qui exploite le système.

« Un test d’intrusion est déjà effectué par un organisme accrédité dans le cadre du processus de certification. Le test d’intrusion publique a l’avantage supplémentaire d’inclure un grand nombre de personnes pour tester la sécurité d’un système, » peut-on lire dans la section du site Web consacrée à ce test.

Le site s’occupera également de la soumission des vulnérabilités que l’on peut trouver dans le système de vote électronique. Chaque faille découverte sera analysée par une société indépendante et pourra être récompensé par un montant allant jusqu’à 50 000 francs suisses (environ 50 000 $US), si elle mène à une attaque non détectée de manipulation du vote. Au total, 150 000 francs suisses seront à gagner.

Le test est ouvert à tous, où qu’on se trouve dans le monde. Pour participer, il suffit de s’inscrire sur le site dédié et de télécharger les fausses cartes de vote électronique associées.

La Suisse est connue pour avoir organisé de nombreux votes, en particulier des référendums sur des questions spécifiques. Rien qu’en 2018, les Suisses ont été appelés quatre fois aux urnes, pour un total de 10 référendums. Depuis 2004, la plupart des 26 cantons de Suisse permettent aux Suisses de l’étranger de voter par voie électronique à titre d’essai, et plusieurs cantons offrent la même possibilité aux résidents. Le gouvernement vise à faire du vote électronique un élément de plus en plus important dans le processus électoral du pays comme solution de rechange au vote en personne et au vote par correspondance.

Entre-temps, la sécurité des systèmes de vote électronique (et surtout, ses défaillances) est considérée comme une préoccupation sérieuse dans de nombreux pays. Le rapport des Tendances 2018 d’ESET a lui-aussi abordé les implications possibles pour la démocratie que font planer les faiblesses dans la sécurité des systèmes de vote en ligne.

https://www.welivesecurity.com/fr/2019/02/20/suisse-recompense-vote-electronique/

Siegeware : quand les criminels s’emparent de votre bâtiment intelligent

Stephen Cobb 

Le siegeware provient de cybercriminels combinant le concept des rançongiciels avec les systèmes d’automatisation des bâtiments. Résultat : abus de logiciels de contrôle des équipements pour menacer l’accès aux installations physiques

Supposons que vous soyez responsable des opérations pour une société immobilière gérant une douzaine d’immeubles dans plusieurs villes. Comment réagiriez-vous si vous receviez le message texte suivant sur votre téléphone?

« Nous avons piraté tous les systèmes de contrôle de votre immeuble du 400 Main Street et nous le bloquerons pendant trois jours si vous ne nous payez pas 50 000 $ en Bitcoin dans les 24 prochaines heures. »

Dans le présent scénario, on imagine que l’immeuble visé est l’une des nombreuses cliniques médicales haut de gamme du portefeuille de votre entreprise. Les bâtiments utilisent tous un système appelé BAS (Building Automation System), permettant de gérer à distance le chauffage, la climatisation et la ventilation (HVAC), ainsi que les alarmes et contrôles d’incendie, l’éclairage, les systèmes de sécurité, etc. Jusqu’à huit systèmes différents peuvent être accessibles à distance.

Dans ce scénario, si quelqu’un a en fait pris le contrôle du BAS, il est tout à fait possible que l’expéditeur du message de menace puisse mettre sa menace à exécution. Ce n’est pas qu’un scénario imaginaire. J’ai rencontré quelqu’un qui a reçu un tel message et ce n’était pas un canular. Lorsque sa compagnie a courageusement refusé de payer les attaquants, l’utilisation du bâtiment ciblé a effectivement été perturbée.

Le siegeware, un problème réel

Je n’écrirais pas sur cette forme de cybercriminalité si je pensais qu’on ne parlait que d’un seul incident isolé. Aucun chercheur en sécurité ne veut répandre une peur injustifiée ou donner des idées aux criminels. Mais il s’avère que les agents des forces de l’ordre qui ont été contactés pour obtenir de l’aide par le directeur des opérations dans cette affaire lui ont dit : « On a déjà vu ça avant. » En d’autres termes, ce n’était pas la première fois que des criminels tentaient d’utiliser ce type d’attaque et, à mon avis, il est préférable d’informer les victimes potentielles des menaces afin qu’elles puissent planifier comment se défendre contre elles, plutôt que d’espérer que ces menaces ne se concrétisent pas.

De toute évidence, prendre possession d’un immeuble et demander une rançon avant de redonner l’accès à ce dernier, en tirant parti de sa dépendance à l’égard d’un logiciel fait maintenant partie de l’arsenal croissant de techniques permettant de tirer profit de l’abus de la technologie. D’après mon expérience, le fait de donner un nom à différents types d’attaques permet de les faire connaître et de concentrer les efforts pour se défendre contre elles. Donc, au lieu de parler de « rançonner un immeuble en tirant parti de sa dépendance à l’égard des logiciels », je suggère que nous l’appelions siegeware (formé de la conjonction de « siege » et de « ware »), qu’on pourrait traduire littéralement par logiciel de siège.

Du néolithique jusqu’aux châteaux médiévaux et aux villes fortifiées, les structures humaines ont toujours été la cible d’activités répréhensibles, souvent assiégées par des agresseurs parce que leur accès est essentiel à leur fonctionnalité, que ce soit pour vivre, travailler, rencontrer, commercer, stocker des matériaux ou recevoir des soins médicaux. Aujourd’hui, les fonctionnalités de nombreux bâtiments – comme la possibilité de contrôler la température ambiante, les serrures de porte et les alarmes – sont contrôlées par un système d’automatisation du bâtiment (BAS).

De nombreux avantages pratiques et financiers peuvent découler de l’accès à distance à un BAS, mais lorsque vous combinez une intention criminelle avec un accès à distance mal protégé à un logiciel qui exécute un système d’automatisation de bâtiment, les siegeware sont une possibilité très réelle. En d’autres termes, le siegeware est la capacité codée de faire une demande crédible d’extorsion basée sur une fonctionnalité de bâtiment numérique déficiente.

Lisez le texte complet sur : https://www.welivesecurity.com/fr/2019/02/20/siegewares-batiment-intelligent/

Grootste nonprofit zorgdatanetwerk van Californië biedt zorgaanbieders beter zicht op patiëntinformatie

Manifest MedEx helpt grote zorgaanbieders om via HealthShare value-based zorg te leveren door data-eilanden te verbinden en innovatie te stimuleren

CAMBRIDGE, Massachusetts & SAN FRANCISCO, februari 2019  – InterSystems, een mondiale speler in databeheer voor zorgaanbieders, bedrijven en overheden, maakt bekend dat Manifest MedEx, een zorginformatieplatform dat real-time informatie levert voor de zorg aan miljoenen patiënten, InterSystems HealthShare heeft gekozen als basistechnologie voor haar nonprofit netwerk, het grootste en snelstgroeiende van de staat Californië.

HealthShare bestaat uit een serie gekoppelde oplossingen voor integrale patiëntendossiers en stelt Manifest MedEx in staat haar innovatieve databasemodel te blijven ontwikkelen. Dat model combineert miljoenen klinische en vergoedingsdossiers in een betrouwbare zorginformatietool voor alle aangesloten instellingen. Zorgaanbieders vragen steeds meer naar tools en informatie voor het administreren en helpen van patiënten die deelnemen aan value-based zorgprogramma’s en het leveren van proactieve, preventieve zorg.

Bij Manifest MedEx zijn meer dan 200 zorginstellingen aangesloten, waaronder meer dan 80 ziekenhuizen, en vijf van de grootste zorgverzekeraars van Californië, zoals Blue Shield en Anthem Blue Cross. Het netwerk biedt real-time informatie van meer dan 11 miljoen vergoedingendossiers en meer dan 5 miljoen klinische dossiers.

“Zorgorganisaties hebben behoefte aan een datatool die aansluit bij hun werkprocessen, en ze willen een flexibel, betrouwbaar netwerk, dat de patiënt snel en kosteneffectief ondersteunt. We werken samen met InterSystems aan een totaal nieuwe aanpak van zorginformatie,” zegt Claudia Williams, CEO van Manifest MedEx. “Het koppelen van data-eilanden is nog maar de eerste stap naar zorgvernieuwing en zal uiteindelijk de gezondheid van de patiënt ten goede komen.”

Manifest MedEx heeft drie primaire productlijnen waarmee aangesloten organisaties hun kosten kunnen drukken en de ervaring van patiënt en zorgverlener verbeteren.

·         MX Notify is een instelbare tool voor real-time meldingen van opname, ontslag en verplaatsingen, waarmee zorgleveranciers direct kunnen zien wanneer een patiënt in het ziekenhuis is geweest, zodat ze tijdig hulp kunnen bieden.

·         MX Access biedt een integraal, gebruiksvriendelijk overzicht van klinische en vergoedingsdossiers over een periode van vijf tot zeven jaar. Daarmee kunnen zorgverleners een groot aantal gegevenstypen van uiteenlopende bronnen bekijken, wat resulteert in een completer en betrouwbaarder beeld van de medische historie van patiënten.

·         MX Analyze is een binnenkort beschikbare tool voor risico-inschatting en kwaliteitsmeting voor zorgbeheer van grotere populaties.

Dankzij de nieuwe samenwerking met InterSystems en het gebruik van of HealthShare kan Manifest MedEx nu een brede verscheidenheid aan datatypen van uiteenlopende bronnen combineren en ze in één helder overzicht aan zorgverleners aanbieden.

J2 Interactive was implementatiepartner voor de migratie van het oude systeem naar HealthShare.

“Manifest MedEx is een pionier in het opzetten van systeemkaders voor zorginformatie,” zegt Don Woodlock, Vice President HealthShare van InterSystems. “Hun inspanningen om bruikbare informatie en meldingen te genereren uit enorme hoeveelheden heterogene gegevens is van cruciaal belang voor leveranciers in de frontlinies van de patiëntenzorg.”

Over Manifest MedEx
Manifest MedEx is het grootste nonprofit zorgdatanetwerk van de staat Californië en levert real-time informatie om zorgaanbieders te ondersteunen in hun dagelijkse activiteiten voor miljoenen patiënten. Samen met die zorgaanbieders transformeren we de medische zorg van Californië en versterken we de positie van de staat als leider in betaalbare, proactieve en betrokken medische zorg. Ga voor meer informatie naar www.manifestmedex.org.

Over InterSystems
InterSystems is de informatiemotor achter een aantal van ’s werelds belangrijkste applicatieplatforms. De onderneming is sinds 1978 leveranciers van strategische technologie voor sectoren als gezondheidszorg, financiële dienstverlening, overheid en andere sectoren waarin het over mensen en kwaliteit van leven gaat. InterSystems is een private onderneming met haar hoofdzetel in Cambridge, Massachusetts en kantoren over de hele wereld. De producten van InterSystems worden dagelijks gebruikt door en voor miljoenen mensen in meer dan 80 landen.

L’attaque d’un fournisseur de messagerie cause la suppression de près de deux décennies de données

Tomáš Foltýn 

Au lieu d’un gain financier ou d’autres objectifs, plus habituels, un attaquant opte pour la politique de la terre numérique brûlée.

Un attaquant inconnu a fait de ravages d’une ampleur peu commune sur le fournisseur de services de messagerie VFEmail, effaçant toutes les données de l’entreprise stockées aux États-Unis, selon un message publié sur le site Web de l’entreprise.

Décrivant l’incident de « catastrophique », la société a déclaré que l’intrus avait détruit non seulement les données primaires sur les serveurs américains de la société, mais aussi toutes les sauvegardes. L’attaque a mis à mal 18 ans de données d’utilisateurs et de sauvegardes d’une entreprise qui a fourni des services de courrier électronique gratuits et payants aux entreprises et aux utilisateurs finaux. Cela signifie, bien sûr, d’innombrables messages électroniques envoyés et reçus par ses utilisateurs au fil des ans.

L’attaque contre la compagnie basée au Wisconsin se serait déroulée sur plusieurs heures lundi. Peu de temps après que les utilisateurs aient commencé à se plaindre que quelque chose n’allait pas, VFEmail a reconnu l’attaque sur l’ensemble de son infrastructure basée aux États-Unis.

« À ce moment, l’attaquant a formaté tous les disques sur chaque serveur. Chaque VM[machine virtuelle] est perdue. Chaque serveur de fichiers est perdu, chaque serveur de sauvegarde est perdu », a VFEmail tweeted plus tard, évaluant les dégâts.

De plus, l’attaquant a fait un zoom sur les ressources de l’entreprise aux Pays-Bas. C’est là que, comme l’a rapporté le journaliste en sécurité Brian Krebs, VFEmail « a attrapé un pirate en train de formater l’un des serveurs de messagerie de l’entreprise. ».

Les données primaires aux Pays-Bas ont également été détruites mais, selon CNET, au moins une partie des sauvegardes a été récupérée. Cependant, la situation « n’est pas près d’une restauration complète » indique le site, citant le propriétaire de VFEmail, Rick Romero.

Dans l’intervalle, le site aurait rétabli la capacité de livrer et d’envoyer des courriels au moins pour une partie de ses utilisateurs. VFEmail indique que l’entreprise continue à travailler pour la récupération de n’importe quelles données utilisateur qui peuvent l’être

Cela dit, Romero a dépeint un sombre portrait de la situation sur son compte Twitter personnel : « Oui, @VFEmail a effectivement disparu. Il est probable qu’il ne reviendra pas. »

Krebs a souligné les problèmes passés du service avec les cybercriminels. Au fil des ans, VFEmail a été confronté à de multiples attaques de déni de service distribué (DDoS) incapacitantes, y compris certaines impliquant des tentatives d’extorsion. Cependant, aucune de ces attaque n’a entraîné ce qui est apparemment une perte de données irrémédiable.

https://www.welivesecurity.com/fr/2019/02/14/attaque-messagerie-suppression/