Rage against the machine.

Version une-journée-plus-tard-que-d’habitude, festival annuel païen des récoltes (potentiellement calamiteuses) oblige. Pas beaucoup de bonnes nouvelles dans cette édition, c’est un peu dark mais on ne peut pas être plus dans le zeitgeist que ça. Au menu: le CRTC veut que les services de diffusion en ligne s’enregistrent auprès du gouvernement canadien, l’ancien agent double de Phantom Secure refait parler de lui et le test du système d’alerte national aux États-Unis alimente la paranoïa.

Have phun (essayons, du moins).

🖥️ Hacking et fuites de données

• Threat Actors Exploit the Tensions Between Azerbaijan and Armenia. La cible serait une compagnie azerbaidjanaise; sous-entendu d’hacktivisme arménien, ici? À voir. Un autre exemple que la géopolitique est une force motrice des cyberattaques.

• Surprise: When Dependabot Contributes Malicious Code. Un acteur de menace compromet en série des centaines de dépôts GitHub.

• RCMP found secret documents, email chains in raid of Ortis’ apartment: Crown. Le PDG de Phantom Secure, cette compagnie canadienne ultra-louche, était à l’intersection des services de renseignement de la GRC, du SCRS, du CST et des Five Eyes… c’était BEAUCOUP d’information sensible, surtout pour un civil au sein de la Gendarmerie royale du Canada. Il y aura clairement un suivi à faire sur cette histoire (“[…] someone using an anonymous email was offering to sell information about police intelligence on Phantom Secure to Ramos” 🤔).

• Russian flight booking system suffers ‘massive’ cyberattack. Une nouvelle semaine, une nouvelle couverture de DDoS… cette fois-ci, c’est légèrement plus intéressant puisqu’une infrastructure critique russe - soit le plus gros aéroport de Moscou - a été indirectement affectée par une attaque de déni de service sur un système de réservation de vols. Le tout est courtoisie de l’IT Army Of Ukraine (sujet de ma plus récente conférence à GSX+, d’ailleurs).

• Release: Patron Papers (500 MB). Un rare cas de publication intégrale d’une fuite publiée par Distributed Denial Of Secrets. C’est l’ancien président du Paraguay et ses relations douteuses qui sont écorchées, la. (J’en profite pour vous rappeler - vous faire découvrir? - l’existence de ce groupe important/controversé, héritier en quelques sortes des belles années de Wikileaks. De rien.)

🧑‍🦲 Surveiller et punir

• Le CRTC franchit une étape majeure pour moderniser le cadre de radiodiffusion du Canada. Traduction: le CRTC va obliger les fournisseurs de “services de diffusion continue en ligne” (très large comme définition) à s’enregistrer auprès du gouvernement. Glenn Greenwald a eu une crise d’apoplexie à cet effet mais je dirais que la position du professeur de droit canadien spécialisé dans l’application de la propriété intellectuelle, Michael Geist, est la plus nuancée à là-dessus (“it is not as bad as critics would suggest, but not nearly as benign as the CRTC would have you believe“). Je ne sais pas comment le CRTC va être en mesure d’imposer concrètement ces nouveaux requis, honnêtement.

• Who Exactly Is Ashton Kutcher’s Anti-Sex-Trafficking Tech Company Helping? ‘Spotlight’ est un gros filet pour de la pêche en haute mer; je ne suis pas convaincu que ce genre d’outil est réellement efficace pour combattre le trafic humain en ligne. Dur de réellement protéger un groupe de gens avec un outil de surveillance si on en ostracise un autre. “If it were to go away, that would bring law enforcement back to the stone age,” ouin, c’est pas une bonne nouvelle, ça.

• Revealed: UK government keeping files on education critics’ social media activity. Ils le font parce qu’ils le peuvent; c’est pas obligé d’être plus compliqué que ça.

• Ouvrir un bureau en Chine, c’est s’exposer directement aux capacités de captations de Pékin, qui sont systématiques et récurrentes, comme le démontre ce fil d’un CISO sur X. Anecdotique, soit, mais qui s’inscrit aussi dans une logique de continuité pour le Ministère de la sécurité de l’État là-bas.

⚠️ Varia et paranoïa

• Conspiracy theorists fear Emergency Alert System test will turn the vaccinated into ‘zombies’. J’aimerais pouvoir dire que ce délire était marginal, que les médias en ont fait un plat pour rien, mais si je me fie à ma veille des réseaux sociaux cette semaine, c’était tout sauf ça. J’ai vu vraiment beaucoup de gens - incluant des canadiens, qui ne sont pas du tout affectés par ce test - dire “je vais éteindre mon cellulaire le 4 octobre, au cas ou.” Comment dire… c’est pas de même que ça marche, tsé. C’est quand même un bon moment de plugger ce channel YouTube.

• Senior Pentagon official ran vicious dogfighting ring — and executed losers with jumper cables: feds. Le gars était cadre exécutif, Chief Information Officer-adjoint. Ce dude fait honte au milieu élargi de la sécurité de l’information. J’adore les chiens, j’en ai deux, et c’est le genre d’histoire qui me donne la rage. Imaginez le niveau de sociopathe nécessaire pour faire - et gérer! - un tel truc… et c’était un décideur avec une “carrière prestigieuse” au Pentagon, en plus.

C’est si difficile…?

Du gros n’importe quoi et un bordel à la Grace Hopper Conference, un rassemblement qui veut attirer principalement des femmes travaillant en technologie de l’information (historiquement sous-représentées en STIM), alors qu’un paquet d’hommes s’identifiant comme non-binaires ont investis les lieux. inb4 “t’assumes leur genre LoL” - il y a clairement eu quelque chose de différent cette année et c’est pas pour le mieux, à en voir les vidéos et comptes rendus. Je veux bien croire que le marché est pas facile pour les jeunes mais franchement, ce genre d’action, c’est juste con et ça n’aide personne.

(Meta: l’International Intellectual Property Alliance a récemment dit que la Chine pourrait faire plus côté vol de propriété intellectuelle. La réponse de la Chine: mettre en ligne une version piraté de Mission Impossible: Dead Reckoning Part One avant même sa sortie en version numérique. Eh ben.)