Comment tu faire passer clandestinement des informations en URSS sous le nez du KGB ? Créez votre propre système de cryptage, bien sûr. C’est exactement ce que le saxophoniste et professeur de musique Merryl Goldberg a fait dans les années 1980. Cette semaine, Goldberg a révélé qu’elle avait utilisé la notation musicale pour cacher les noms et adresses des militants et les détails des réunions lors d’un rare voyage en Union soviétique. Pour ce faire, elle a concocté son propre système de cryptage. Chaque note de musique et chaque marquage représentaient des lettres de l’alphabet et contribuaient à dissimuler les informations sensibles. Lorsque les officiers soviétiques ont inspecté les documents, aucun soupçon n’a été soulevé.
L’histoire de Goldberg a été racontée à la conférence RSA à San Francisco cette semaine, où Lily Newman de WIRED a déterré des histoires. Egalement sorti de RSA : un avertissement selon lequel, à mesure que les rançongiciels deviennent moins rentables, les attaquants peuvent se tourner vers les escroqueries par compromission des e-mails professionnels (BEC) pour gagner de l’argent ; les attaques BEC sont déjà très rentables.
Cette semaine également, le marché du dark web AlphaBay est sur le point de terminer son voyage de retour au sommet de la pègre en ligne. Le site AlphaBay d’origine, qui contient plus de 350 000 listes de produits, allant des médicaments aux services de cybercriminalité, a été purgé du dark web en juillet 2017 dans le cadre d’une vaste opération de maintien de l’ordre. Cependant, le commandant en second d’AlphaBay, un acteur du nom de DeSnake, a survécu à l’opération des forces de l’ordre et a relancé le site l’année dernière. Désormais, AlphaBay connaît une croissance rapide et est sur le point de reprendre sa position dominante sur le marché du dark web.
Ailleurs, Apple a tenu sa conférence mondiale annuelle des développeurs cette semaine et a dévoilé iOS 16, macOS Ventura et quelques nouveaux MacBook. L’équipe Gear de WIRED vous a couvert sur tout ce qu’Apple a annoncé à la WWDC. Cependant, il y a deux nouvelles fonctionnalités de sécurité qui méritent d’être mentionnées : Apple remplace les mots de passe par de nouveaux mots de passe cryptographiques et introduit une fonction de contrôle de sécurité pour aider les personnes dans des relations abusives. La société de bases de données MongoDB a également organisé son propre événement cette semaine, et bien qu’il n’ait peut-être pas été aussi médiatisé que la WWDC, le nouvel outil de cryptage interrogeable de MongoDB peut être une défense clé contre la prévention des fuites de données.
Cette semaine également, nous avons signalé une faille Tesla qui permet à n’importe qui de créer sa propre clé de voiture NFC. De nouvelles recherches de la Fondation Mozilla ont révélé que la désinformation et les discours de haine inondent TikTok avant les élections au Kenya, qui ont lieu début août. Elon Musk aurait eu accès à la « lance à incendie » de Twitter, ce qui soulève des problèmes de confidentialité. Et nous avons plongé dans les nouvelles preuves choquantes télévisées par le comité de la Chambre le 6 janvier.
Mais ce n’est pas tout, les amis. Chaque semaine, nous rassemblons les grandes nouvelles sur la sécurité et la confidentialité que nous n’avons pas couvertes nous-mêmes. Cliquez sur les liens pour les histoires complètes et restez en sécurité là-bas.
Au cours des deux dernières années, des pirates informatiques parrainés par l’État travaillant pour le compte du gouvernement chinois ont ciblé des dizaines de technologies de communication, allant des routeurs domestiques aux grands réseaux de télécommunications. C’est selon la NSA, le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), qui ont publié cette semaine un avis de sécurité détaillant le piratage “généralisé”.
Depuis 2020, des acteurs soutenus par la Chine exploitent des failles logicielles connues du public dans le matériel et intègrent des appareils compromis dans leur propre infrastructure d’attaque. Selon les agences américaines, les attaques comportaient généralement cinq étapes. Les pirates informatiques chinois utiliseraient des outils accessibles au public pour rechercher les vulnérabilités des réseaux. Ils obtiendraient alors un accès initial via des services en ligne, accéderaient aux informations de connexion des systèmes, auraient accès aux routeurs et copieraient le trafic réseau, avant de finalement « exfiltrer » les données des victimes.