Il y a des jours où la cyber m’énerve – surtout le port 21

Les élections US sont terminées, Trump 2 le retour, et on va certainement assister à une première : l’irruption dans les sphères du pouvoir de patrons Gafam, Musk, mais pas que. Ça sent la dérégulation à plein nez pour « ne pas mettre des freins au business [sic] », et les deux précédentes fois où les US ont dérégulé comme des fous, c’était en 1929 et en 2008, je ne vous fais pas un dessin. Sauf que ces deux fois précédentes, la cyber n’existait pas (même en 2008) de sorte que si l’on assiste, en cyber, à la même Bérézina que ce qui s’est passé dans le monde de la finance à la suite de ces précédentes dérégulations (les deux plus grandes crises mondiales de tous les temps, excusez du peu), on n’est pas sorti de l’auberge. Mon conseil : préparez-vous à couper vos accès Internet les jours pairs et aussi les jours impairs.

Sinon, j’ai assisté récemment à une intervention d’un grand banquier qui expliquait que, parmi les moyens de paiement du futur, on aurait bientôt la généralisation des QR Codes. Bon, l’idée, c’est qu’avec votre smartphone vous flashez le QR Code du fournisseur, et youp la boum ! le paiement est effectué sous la forme d’un virement de banque à banque, instantané tant qu’à faire. Alors là, je dis bravo, ça, c’est de la crétinerie de haute voltige. Non pas de penser que le QR Code sera un des moyens de paiement (c’est inéluctable), mais de déployer ce machin en sachant pertinemment qu’il va générer de la fraude à toute berzingue, et sans penser à la sécurité en amont, « by design », comme ils disent. Mon conseil : achetez-vous une imprimante haute résolution, ouvrez un compte offshore et collez votre propre QR Code partout où vous le pouvez, y a bien des imprudents qui vont vous envoyer de la thune par erreur. Mon conseil sur ce conseil : c’était du troisième degré, ne le faites surtout pas.

Petite discussion autour d’un café avec un auditeur 27001 patenté qui m’explique que ne pas mettre tous ses docs ISO dans une GED est une non-conformité majeure. Ah bon ? C’est écrit où dans la norme ? Nulle part, il est simplement précisé qu’il faut gérer sa doc, et rien de plus. Qu’on se le dise, l’auditeur qui me fait ce coup, je m’en vais lui lire l’article 3 du CCAG FCS sur la récusation de personnel (et là, c’est écrit) avant de le raccompagner moi-même à la porte. Mon conseil : évitez de me la raconter en audit et lisez juste le manuel.

Italie : à force de trouver des municipalités noyautées par la mafia, des chercheurs de l’université de Milan ont développé une IA à partir des milliers de données de ce cas d’usage, afin de faire une analyse prédictive sur les municipalités susceptibles d’être également noyautées sans que des signes visibles soient encore apparus. Un genre de Minority Report en somme, reste juste à espérer que la mafia ne développera pas elle-même ses propres IA d’obfuscation, et que l’administration fiscale française n’a pas déjà eu cette idée. Bon, OK, ça viendra. Mon conseil : payez vos impôts.

Usage du protocole FTP : authentique, un intégrateur me demande d’ouvrir le port FTP 21 à partir d’un PC de mon LAN pour accéder à son serveur de documentation. Petit détail technique : le fonctionnement de FTP 21 nécessite d’ouvrir quasiment tous les ports entre ce PC sur le LAN et le serveur distant. En 2024, on trouve encore des boîtes ayant pignon sur rue qui vous demandent ce genre d’ineptie (mais oui M. Cartau, tous nos autres clients le font, y a que vous qui voulez pas). Mon conseil : en face de ce niveau de bêtise, faites un signalement. Anssi, Swat, FSB, FBI, NSA, tapez large.

Élections US, encore. Apparemment, le futur ministre de la Santé de Trump, Robert F. Kennedy Jr., compte s’attaquer à l’industrie pharmaceutique, aux vaccins, à l’industrie alimentaire, etc. Appuyé bien entendu par une bonne partie d’associations de « trad wifes », genre dames patronnesses locales. Et là je trouve que, côté cyber, ça manque, le mouvement des complotistes : à quand un prédicateur hurlant sur tous les plateaux TV que les malwares n’existent pas, que c’est une invention des RSSI/Ciso pour justifier leurs émoluments ? C’est quasiment le seul truc qui nous manque, et on cumulera tous les ennuis. Mon conseil : oubliez immédiatement cette idée débile.

Sinon, la grosse actualité judiciaire, c’est le procès de Florent Curtet, qui semble avoir joué un rôle pas clair dans une négociation de rançon à la suite d’une attaque en ransomware. Le jugement risque de faire date. Mon conseil : si vous vous trouvez dans cette situation un jour, prenez un bon avocat pour encadrer la prestation.

Ça m’éééééénerve.

1. https://www.lemonde.fr/pixels/article/2024/11/27/infiltre-de-la-dgsi-ou-complice-au-proces-de-florent-curtet-l-autoproclame-hacker-repenti_6417100_4408996.html