mardi 2 juin 2020    || Inscription
BanniereNews
 
 
Le fondateur de la société éponyme considère que le site de rencontres n’a pas été hacké mais a fait l’objet d’un vol de données par une femme qui travaillait pour l’entreprise.

Voilà des mois que nous n’avions plus entendu parler du délirant fondateur de l’entreprise de sécurité qu'il a vendu voici 15 ans et qui depuis a été rachetée par Intel. Lui-même s'est reconverti dans de nouvelles aventures et devrait prochainement proposer une box sécurisée.

Dans l’univers aseptisé de l’IT, le côté Sex, Guns and Rock&Roll, de John McAfee, assorti des épisodes scabreux à Belize en ont fait une personnalité plus que controversée. Il n’empêche : quoi que l’on puisse penser de son comportement actuel, M. McAfee est à l’origine un ingénieur de très grand talent et il s’y connaît certainement bien plus en sécurité que bon nombre d’ « experts autorisés » au parler tout aussi creux que leurs compétences.

Une femme en interne

La tribune de John McAfee a été publiée dans International Business Times (http://www.ibtimes.co.uk/john-mcafee-ashley-madison-database-stolen-by-lone-female-who-worked-avid-life-media-1516833). L’auteur ne s’embarasse pas de précautions oratoires et affirme que Ashley Madison n’a pas été hacké mais que les données ont (pas auraient) été dérobées par une femme travaillant à son compte et qui aurait précédemment travaillé au sein d’Avid Life Media, l’éditeur du site.

The Impact Team n'existe pas

Les arguments développés par l’auteur sont loin d’être insignifiants. En premier lieu, il affirme que le groupe The Impact Team qui a revendiqué le hack n’existe tout simplement pas, ceci après des recherches effectuées sur le Dark Web. Ensuite, il affirme que c’est l’œuvre d’une unique personne se fondant sur la logorrhée utilisée dans la revendication de l’attaque. Enfin, et c’est sans doute le plus significatif, la quantité de données fait réellement penser à une attaque interne. « Un hacker est quelqu’un qui utilise une combinaison de d’outils cyber et de l’ingénierie sociale pour obtenir un accès illicite à des données de quelqu’un d’autre. Mais ce travail a été fait par quelqu’un qui avait déjà les clés du royaume. C’est un job interne ».

Il va ensuite plus loin et affirme que le piratage est l’œuvre d’une femme qui a travaillé récemment pour Avid Life Media. John McAfee précise : « j’ai donné à IBT UK toutes les informations et les éléments pertinents du « dump » de données de cette femme pour prouver à la fois mon accès aux données et également pour confirmer les éléments de ma recherche, aux strictes conditions que cela soit référencé puis détruit. Les données que j’ai fournies comprennent des matériaux sensibles comme les tables de hachage décodées des mots de passe de tous les employés de Ashley Madison et Avid Life que j’ai également depuis détruites. »
Il poursuit : « comment suis-je arrivé à cette conclusion ? Très simplement. J’ai passé l’intégralité de ma carrière dans l’analyse des brèches de cybersécurité et suis capable de reconnaître un boulot interne lorsqu’il y a suffisamment de données – et 40 Go sont plus que suffisants ». Il indique ensuite avoir étudié l’ingénierie sociale et être persuadé qu’il s’agit d’un job interne par la connaissance profonde de l’architecture interne de l’IT de l’entreprise. La nature des documents qui ont fuité montre également, selon lui, que le piratage a été effectué de l’intérieur : les plans entiers des bureaux, les listes d’agréments des « stock options », les adresses IP et statuts de tous les serveurs d’Avid Life ainsi que le code source de pratiquement tous les programmes écrits par l’entreprise...

Une affaire de fripouilles

Si l’on peut raisonnablement entendre l’argumentation de M. McAfee sur le côté interne de ce piratage, l’explication quant au "genre" du pirate nous semble plus spécieuse. John affirme que l’emploi du mot scumbags (fripouilles, salauds) est uniquement employée par des personnes du sexe féminin. L’autre « preuve » est une référence à la Saint-Valentin, un jour plus important que Noël pour les femmes selon notre limier et dont les hommes se soucieraient comme d’une guigne. Bien évidemment, de nombreux autres experts se sont moqués de ses déductions « féminines » mais le côté interne du piratage a suscité moins d’ironie, même si d’aucuns affirment que cela n’a finalement pas d’importance, un point avec lequel nous sommes en désaccord.

Pour terminer et revenir sur le côté sulfureux de notre Sherlock, nous ne résistons pas au plaisir de vous faire profiter de l’une de ces délicieuses et délicates vidéos qui finiront de vous convaincre sur le côté disjoncté du personnage se décrivant lui-même comme un millionnaire excentrique.

 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Dossier

Droit d’accès et comptes à privilèges

Jacques Cheminat 0 142661
Equifax, Deloitte, Uber, les récentes violations de données ont souvent des techniques de piratages différentes, mais un élément commun, obtenir l’accès à des applications critiques comme les bases de données, les bases clients, les informations bancaires. En général ces programmes sont soumis à habilitation et rattachés à des comptes à privilèges. leur protection est donc une nécessité dans un monde de plus en plus ouvert et insécurisé. Dossier publié avec le concours de Kleverware.
RSS
12



Événements SSI