Parce que… c’est l’épisode 0x710! Shameless plug 25 et 26 février 2026 - SéQCure 202631 mars au 2 avril 2026 - Forum INCYBER - Europe 202614 au 17 avril 2026 - Botconf 202628 et 29 avril 2026 - Cybereco Cyberconférence 20269 au 17 mai 2026 - NorthSec 20263 au 5 juin 2026 - SSTIC 202619 septembre 2026 - Bsides Montréal Description Genèse du projet Hacklore Dans cet épisode spécial du Policé Sécure, l’animateur reçoit Guillaume Ross pour discuter d’un projet qui a fait couler beaucoup d’encre dans la communauté de la cybersécurité : Hacklore (hacklore.org). L’initiative a été fondée par Bob Lord, un vétéran de l’industrie qui a notamment été le premier CISO de Twitter, a découvert la mégabrèche chez Yahoo et a travaillé pour le Comité national démocrate (DNC) après l’ingérence russe lors des élections américaines. Fort de ces expériences face à de véritables menaces, Bob Lord a voulu s’attaquer à un problème bien précis : les recommandations de sécurité périmées qui font perdre du temps aux gens sans réellement améliorer leur posture de sécurité. Le principe central du projet est simple — arrêter de distraire le grand public avec des conseils qui ne correspondent plus à la réalité technologique actuelle, pour mieux concentrer les efforts sur ce qui fonctionne vraiment. La lettre fondatrice du projet a été signée par de nombreux professionnels reconnus du milieu. Elle a suscité autant d’adhésion que de controverse, certains experts techniques reprochant aux signataires de négliger des détails techniques pointus. Guillaume répond à ces critiques : savoir qu’un risque existe théoriquement, c’est très différent d’estimer si ce risque est pertinent pour madame et monsieur Tout-le-Monde. Les six « hacklores » décryptés 1. Éviter le Wi-Fi public C’est probablement le mythe qui a généré le plus de débat. À l’époque de Firesheep — une extension Firefox qui permettait de voler des sessions authentifiées sur des réseaux non chiffrés —, l’avertissement était légitime. Mais aujourd’hui, plus de 99 % du trafic web est chiffré via TLS. Les applications mobiles modernes, notamment sur iOS, ne peuvent même plus se connecter en HTTP sans une configuration explicite. Les réseaux Wi-Fi publics d’une certaine taille intègrent généralement l’isolation entre clients. Le conseil pertinent serait plutôt : si vous voyez une erreur de certificat dans un café, ne cliquez pas sur « continuer ». 2. Ne jamais scanner de codes QR Certes, des cas de faux codes QR collés sur des parcomètres ont été documentés. Mais la réalité est que la majorité des gens sont incapables de distinguer un nom de domaine légitime d’un faux, que ce soit dans un lien texte ou via un code QR. Le vrai conseil à retenir : ne jamais entrer ses identifiants bancaires après avoir scanné un code QR, tout comme on ne le ferait pas après avoir cliqué sur un lien reçu par SMS. Le code QR, en soi, n’t est pas plus dangereux qu’une URL. 3. Ne jamais utiliser les ports USB publics (juice jacking) Le terme juice jacking a été inventé autour de 2014, à une époque où connecter un iPhone en USB permettait pratiquement d’en télécharger tout le contenu. Depuis, les systèmes d’exploitation mobiles ont radicalement évolué : demande de confiance explicite, désactivation de l’accès USB lorsque l’écran est verrouillé, etc. Surtout, aucun cas documenté de juice jacking n’a affecté un utilisateur ordinaire. Exploiter cette vulnérabilité nécessiterait un zero-day iOS ou Android valant facilement un million de dollars — des outils que personne ne déploierait dans un aéroport pour hacker n’importe qui. Le conseil utile : ne pas appuyer sur « faire confiance à cet ordinateur » quand vous branchez votre téléphone sur un port inconnu. 4. Désactiver le Bluetooth, le NFC et les connexions sans fil Des vulnérabilités Bluetooth ont existé, notamment au moment du jumelage des appareils. Mais ce type d’attaque exige une proximité physique au moment précis du pairing — une contrainte majeure pour n’importe quel attaquant opportuniste. De plus, les téléphones modernes ne diffusent plus leur présence Bluetooth en permanence et font tourner des clés rotatives. Dire aux gens de désactiver leur Bluetooth, c’est leur demander de renoncer à leurs écouteurs, leur souris ou leur clavier sans fil — pour les remplacer, ironiquement, par des périphériques RF bon marché souvent bien moins sécurisés. 5. Effacer régulièrement ses cookies Ce conseil crée plus de problèmes qu’il n’en résout : les utilisateurs se retrouvent constamment déconnectés de leurs services, doivent ressaisir leurs mots de passe en boucle, et perdent leurs préférences. La peur des cookies est largement entretenue par les bannières de consentement omniprésentes, mais les navigateurs modernes bloquent déjà ...
続きを読む
一部表示
38 分