RÉDUIRE LE HYPER INFO SUR LA CYBERSÉCURITÉ
Avec Paul Ducklin et Chester Wisniewski
Musique d'intro et d'outro par Edith Mud.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
[MODÈME MUSICAL]
CANARD. Bonjour tous le monde.
Bienvenue dans un autre épisode du podcast Naked Security.
Je m'appelle Paul Ducklin et je suis accompagné de mon ami et collègue Chester Wisniewski de Vancouver.
Bonjour Chet !
CHET. Bonjour Canard.
Content d'être de retour sur le podcast.
CANARD. Malheureusement, la raison pour laquelle vous revenez sur celui-ci en particulier est que Doug et sa famille ont subi la redoutable lurgie…
..ils ont une épidémie de coronavirus dans leur foyer.
Merci beaucoup d'être intervenu dans un délai très court, littéralement cet après-midi : "Chet, pouvez-vous intervenir ?"
Passons donc directement au premier sujet de la journée, dont vous et moi avons discuté en partie dans le épisode de mini-podcast nous l’avons fait la semaine dernière, et c’est le problème de la violation d’Uber, de la violation de Rockstar et de ce mystérieux groupe de cybercriminalité connu sous le nom de LAPSUS$.
Où en sommes-nous maintenant avec cette saga en cours ?
CHET. Eh bien, je pense que la réponse est que nous ne le savons pas, mais il y a certainement eu des choses qui, je dirai, ont été perçues comme des développements, ce qui est…
… Je n'ai entendu parler d'aucun autre piratage après le piratage de Rockstar Games ou de Take-Two Interactive survenu il y a un peu plus d'une semaine, au moment de cet enregistrement.
Au Royaume-Uni, un mineur a été arrêté, et certaines personnes ont tracé des lignes pointillées en disant qu'il est en quelque sorte le pilier du groupe LAPSUS$ et que cette personne est détenue par la police britannique.
Mais comme ils sont mineurs, je ne suis pas sûr que nous sachions grand-chose.
CANARD. Oui, on a tiré beaucoup de conclusions hâtives !
Certaines d’entre elles peuvent être raisonnables, mais j’ai vu beaucoup d’articles qui parlaient comme si les faits avaient été établis alors qu’ils ne l’étaient pas.
La personne qui a été arrêtée était un jeune de 17 ans originaire d'Oxfordshire en Angleterre, et c'est exactement le même âge et le même lieu de résidence que la personne qui a été arrêtée en mars et qui aurait été liée à LAPSUS$.
Mais nous ne savons toujours pas s’il y a du vrai là-dedans, car la principale source qui a permis de placer une personne LAPSUS$ dans l’Oxfordshire est un autre cybercriminel inconnu avec lequel elle s’est brouillée et qui l’a doxxée en ligne :
Je pense donc que nous devons, comme vous le dites, être très prudents en affirmant comme des faits des choses qui pourraient bien être vraies mais qui pourraient ne pas l’être…
… et en fait, cela n’affecte pas vraiment les précautions que vous devriez prendre de toute façon.
CHET. Non, et nous en reparlerons dans l’une des autres histoires dans une minute.
Mais quand la pression monte après une de ces grandes attaques, bien souvent les gens se mettent à terre, que quelqu’un ait été arrêté ou non.
Et nous l'avons certainement déjà vu auparavant – je pense que dans l'autre podcast, nous avons mentionné le groupe de piratage Lulzsec qui était assez célèbre il y a une dizaine d'années pour faire des choses similaires… des « cascades hacks », je les appellerais – juste des choses pour embarrasser les entreprises et publier un publiquement un tas d'informations à leur sujet, même s'ils n'avaient peut-être pas l'intention de les extorquer ou de commettre un autre crime pour obtenir un avantage financier pour eux-mêmes.
Plusieurs fois, différents membres de ce groupe… un membre était arrêté, mais il y avait clairement, je pense, au final, cinq ou six membres différents de ce groupe, et ils arrêtaient tous de pirater pendant quelques semaines.
Parce que, bien sûr, la police s’est soudainement montrée très intéressée.
Ce n’est donc pas inhabituel.
Le fait est que toutes ces organisations ont succombé à l’ingénierie sociale d’une manière ou d’une autre, à l’exception… Je ne dirai pas à « l’exception » parce que, encore une fois, nous ne savons pas – nous ne comprenons pas vraiment comment elles sont entrées dans ce domaine. Jeux de rock star.
Mais je pense que c’est l’occasion de revenir en arrière et de revoir comment et où vous utilisez l’authentification multifacteur [MFA] et peut-être d’augmenter d’un cran la façon dont vous avez pu la déployer.
Dans le cas d'Uber, ils utilisaient un système de notification push qui affiche une invite sur votre téléphone indiquant : « Quelqu'un essaie de se connecter à notre portail. Voulez-vous autoriser ou bloquer ? »
Et c'est aussi simple que d'appuyer simplement sur le gros bouton vert qui dit [Allow].
On dirait que, dans ce cas, ils ont fatigué quelqu'un au point d'être tellement ennuyé après avoir reçu 700 de ces invites sur son téléphone qu'il vient de dire [Allow] pour que cela cesse d'arriver.
J'ai écrit un article sur le blog Sophos News discutant de quelques-unes des différentes leçons qui peuvent être tirées de la défaillance d'Uber, et de ce qu'Uber pourrait être en mesure de mettre en œuvre pour empêcher que ces mêmes choses ne se reproduisent :
CANARD. Malheureusement, je pense que la raison pour laquelle beaucoup d'entreprises optent pour cette solution : « Eh bien, vous n'êtes pas obligé de saisir un code à six chiffres, il vous suffit d'appuyer sur le bouton », c'est que c'est le seul moyen pour elles d'inciter les employés à vouloir assez pour vouloir faire du 2FA.
Ce qui semble un peu dommage…
CHET. Eh bien, la façon dont nous vous demandons de le faire aujourd’hui évite de transporter un jeton RSA sur votre trousseau comme nous le faisions auparavant.
CANARD. Un pour chaque compte ! [DES RIRES]
CHET. Oui, cela ne me manque pas de porter le petit porte-clés sur mon porte-clés. [DES RIRES]
Je pense que j'en ai un ici quelque part qui dit « Chauve-souris morte » sur l'écran, mais ils n'ont pas écrit « morte » avec un A.
Il était dEdbAt...
CANARD. Oui, ce n'est que six chiffres, n'est-ce pas ?
CHET. Exactement. [DES RIRES]
Mais les choses se sont améliorées et il existe désormais de nombreux outils multifactoriels très sophistiqués.
Je recommande toujours d'utiliser des jetons FIDO autant que possible.
Mais en dehors de cela, même dans les systèmes logiciels, ces éléments peuvent être conçus pour fonctionner de différentes manières pour différentes applications.
Parfois, il suffit peut-être de cliquer [OK] parce que ce n’est pas quelque chose de super sensible.
Mais lorsque vous faites quelque chose de sensible, vous devrez peut-être saisir un code.
Et parfois, le code va dans le navigateur, ou parfois le code va dans votre téléphone.
Mais tout cela… Je n'ai jamais passé plus de 10 secondes à m'autoriser à me lancer dans quelque chose lorsque le multifactoriel est apparu, et je peux consacrer 10 secondes à la sûreté et à la sécurité non seulement des données de mon entreprise, mais aussi de nos employés et de nos clients. données.
CANARD. Je ne pourrais pas être plus d’accord, Chester !
Notre prochaine histoire concerne une très grande entreprise de télécommunications en Australie appelée Optus :
Maintenant, ils ont été piratés.
Ce n’était pas un hack 2FA – c’était peut-être ce que vous pourriez appeler un « fruit à portée de main ».
Mais en arrière-plan, il y avait tout un tas de manigances lorsque les forces de l’ordre s’en mêlaient, n’est-ce pas ?
Alors… dites-nous ce qui s'est passé là-bas, au meilleur de vos connaissances.
CHET. Exactement – je n’ai pas lu cela de manière détaillée, car nous ne sommes pas impliqués dans l’attaque.
CANARD. Et je pense qu’ils enquêtent toujours, évidemment, n’est-ce pas ?
Parce que c'était quoi, des millions de disques ?
CHET. Oui.
Je ne connais pas le nombre précis de dossiers volés, mais cela a touché plus de 9 millions de clients, selon Optus.
Et cela pourrait être dû au fait qu’ils ne savent pas exactement quelles informations sur les clients ont pu avoir accès.
Et il s’agissait malheureusement de données sensibles.
Il comprenait des noms, des adresses, des adresses e-mail, des dates de naissance et des documents d'identité, qui sont vraisemblablement des numéros de passeport et/ou des permis de conduire délivrés par l'Australie.
C’est donc un très bon trésor pour quelqu’un qui cherche à commettre un vol d’identité – ce n’est pas une bonne situation.
Le conseil aux victimes qui reçoivent une notification d'Optus est que si elles ont utilisé leur passeport, elles doivent le remplacer.
Ce n’est pas une chose bon marché à faire !
Et, malheureusement, dans ce cas, l’auteur aurait obtenu les données en utilisant un point de terminaison API non authentifié, ce qui signifie essentiellement une interface de programmation faisant face à Internet qui ne nécessitait même pas de mot de passe…
…une interface qui lui permettait de parcourir en série tous les dossiers clients, de télécharger et de siphonner toutes ces données.
CANARD. C'est donc comme si j'y allais example.com/userrecord/000001 et je reçois quelque chose et je pense: "Oh, c'est intéressant."
Et puis je fais, -2, -3, -4, 5, -6… et ils sont tous là.
CHET. Absolument.
Et nous discutions, en préparation du podcast, de la façon dont cela faisait écho au passé, lorsqu'un pirate informatique connu sous le nom de Weev avait lancé une attaque similaire contre AT&T lors du lancement de l'iPhone original, énumérant les informations personnelles de nombreuses célébrités à partir d'une API AT&T. point final.
Apparemment, on n’apprend pas toujours les leçons, et on refait les mêmes erreurs…
CANARD. Parce que Weev, de façon célèbre, ou tristement célèbre, a été inculpé pour cela, condamné et allé en prison…
…et puis c'était renversé en appel, n'est-ce pas ?
Je pense que le tribunal a estimé que même s’il avait peut-être enfreint l’esprit de la loi, je pense qu’il a été estimé qu’il n’avait en réalité rien fait qui impliquait réellement une sorte d’« introduction par effraction » numérique.
CHET. Eh bien, la loi précise aux États-Unis, la Loi sur la fraude et l'abus informatique, est très précis sur le fait que vous enfreignez cette loi lorsque vous outrepassez votre autorité ou que vous avez un accès non autorisé à un système.
Et difficile de dire que c’est interdit quand c’est grand ouvert sur le monde !
CANARD. Maintenant, d’après ce que je comprends dans l’affaire Optus, la personne censée avoir obtenu les données semblait avoir exprimé son intérêt à les vendre…
…au moins jusqu'à ce que la police fédérale australienne [AFP] intervienne.
Est-ce exact?
CHET. Oui. Il avait posté sur un forum du marché sombre proposant les dossiers, qui, selon lui, concernaient 11.2 millions de victimes, les proposant à la vente pour 1,000,000 XNUMX XNUMX $.
Eh bien, je devrais dire un million de dollars non réels… 1 million de Monero.
De toute évidence, Monero est un jeton de confidentialité couramment utilisé par les criminels pour éviter d'être identifié lorsque vous payez la rançon ou effectuez un achat chez eux.
En moins de 72 heures, lorsque l'AFP a ouvert son enquête et fait une déclaration publique, il semble avoir renoncé à son offre de vente des données.
Alors peut-être qu’il s’est écroulé, comme je l’ai dit dans l’article précédent, dans l’espoir que peut-être l’AFP ne le retrouverait pas.
Mais je soupçonne que quelles que soient les miettes de cookies numériques qu’il laisse derrière lui, l’AFP est sur la piste.
CANARD. Donc, si nous ignorons les données qui ont disparu et le caractère criminel ou non de leur accès, quelle est la morale de l'histoire pour les personnes qui fournissent des API RESTful, des API d'accès Web, aux données des clients ?
CHET. Eh bien, je ne suis pas un expert en programmation, mais il semble qu'une certaine authentification soit de mise… [RIRES]
…pour garantir que les gens n’accèdent à leur propre dossier client que s’il existe une raison pour que celui-ci soit accessible au public.
En plus de cela, il semblerait qu’un nombre important de dossiers aient été volés avant que quoi que ce soit ne soit remarqué.
Et de la même manière, nous devrions surveiller, par exemple, la limitation du débit de notre propre authentification par rapport à nos VPN ou à nos applications Web pour nous assurer que quelqu'un ne lance pas d'attaque par force brute contre nos services d'authentification…
… vous espérez qu’une fois que vous avez interrogé un million d’enregistrements via un service qui semble être conçu pour vous permettre d’en rechercher un, une certaine surveillance s’impose peut-être !
CANARD. Absolument.
C’est une leçon que nous aurions tous pu tirer du hack de Chelsea Manning, n’est-ce pas, où elle a copié, qu’est-ce que c’était ?
30 ans de câbles du Département d'État copiés sur un CD… avec des écouteurs, en prétendant qu'il s'agissait d'un CD de musique ?
CHET. Britney Spears, si je me souviens bien.
CANARD. Eh bien, c’était écrit sur le CD, n’est-ce pas ?
CHET. Oui. [DES RIRES]
CANARD. Cela donnait donc une raison pour laquelle il s'agissait d'un CD réinscriptible : "Eh bien, je viens de mettre de la musique dessus."
Et à aucun moment la sonnette d’alarme n’a été déclenchée.
Vous pouvez imaginer, peut-être, que si vous copiiez les données du premier mois, cela pourrait être acceptable.
Un an, une décennie peut-être ?
Mais 30 ans ?
On espère qu’à ce moment-là, le détecteur de fumée sonnera très fort.
CHET. Oui.
«Sauvegardes non autorisées», vous pourriez les appeler, je suppose.
CANARD. Oui…
… et c’est, bien sûr, un problème majeur dans les ransomwares modernes, n’est-ce pas, où de nombreux escrocs exfiltrent des données à l’avance pour leur donner un levier de chantage supplémentaire ?
Alors, quand vous revenez et dites : « Je n'ai pas besoin de votre clé de déchiffrement, j'ai des sauvegardes », ils répondent : « Oui, mais nous avons vos données, donc nous les divulguerons si vous ne nous les donnez pas. l'argent."
En théorie, vous espériez qu’il serait possible de détecter le fait que toutes vos données ont été sauvegardées mais n’ont pas suivi la procédure habituelle de sauvegarde dans le cloud que vous utilisez.
C’est facile à dire… mais c’est le genre de chose à laquelle il faut faire attention.
CHET. Il y a eu un rapport cette semaine selon lequel, en fait, comme la bande passante est devenue si prolifique, l'un des groupes de rançon ne chiffre plus.
Ils retirent toutes vos données de votre réseau, tout comme les groupes d'extorsion le font depuis un certain temps, mais ensuite ils effacent vos systèmes plutôt que de les chiffrer et disent : « Non, non, non, nous vous donnerons le les données lorsque vous payez.
CANARD. C'est "Exmatter", n'est-ce pas ?
CHET. Oui.
CANARD. « Pourquoi s'embêter avec toute la complexité de la cryptographie à courbe elliptique et de l'AES ?
Il y a tellement de bande passante qu'au lieu de [RIRE]… oh, mon Dieu, je ne devrais pas rire… au lieu de dire : « Payez-nous l'argent et nous vous enverrons la clé de déchiffrement de 16 octets », c'est « Envoyez-nous l'argent et nous vous rendrons les fichiers.
CHET. Cela souligne une fois de plus à quel point nous devons rechercher les outils et les comportements de quelqu'un qui fait des choses malveillantes sur notre réseau, car il peut être autorisé à faire certaines choses (comme Chelsea Manning), ou il peut s'agir de choses intentionnellement ouvertes et non authentifiées qui le font. avoir un but.
Mais nous devons surveiller le comportement de leurs abus, car nous ne pouvons pas nous contenter de surveiller le cryptage.
Nous ne pouvons pas simplement surveiller quelqu’un qui devine un mot de passe.
Nous devons surveiller ces activités plus vastes, ces modèles, qui indiquent que quelque chose de malveillant se produit.
CANARD. Absolument.
Comme je pense que vous l'avez dit dans le mini-sode Comme nous l’avons fait, il ne suffit plus d’attendre que des alertes apparaissent sur votre tableau de bord pour vous informer que quelque chose de grave s’est produit.
Vous devez être conscient du type de comportements qui se produisent dans votre réseau et qui ne sont peut-être pas encore malveillants, mais qui constituent néanmoins un bon signe que quelque chose de grave est sur le point de se produire, car, comme toujours, la prévention est bien meilleure que la prévention. guérir:
Chester, j'aimerais passer à un autre point – cette histoire est quelque chose que j'ai écrit sur Naked Security aujourd'hui, simplement parce que j'étais moi-même confus.
Mon fil d’actualité regorgeait d’histoires sur WhatsApp ayant un jour zéro :
Pourtant, lorsque j’ai examiné toutes les histoires, elles semblaient toutes avoir une source principale commune, qui était un avis de sécurité assez générique de WhatsApp lui-même remontant au début du mois.
Le danger évident et présent que les gros titres de l’actualité m’ont fait croire…
…s'est avéré que ce n'était pas du tout vrai d'après ce que j'ai pu voir.
Racontez-nous ce qui s'est passé là-bas.
CHET. Vous dites : « Zero-day ».
Je dis : « Montrez-moi les victimes. Où sont-elles?" [RIRE]
CANARD. Eh bien, parfois, vous ne pourrez peut-être pas le révéler, n'est-ce pas ?
CHET. Eh bien, dans ce cas-là, vous nous diriez ça !
Il s’agit d’une pratique normale dans l’industrie pour divulguer les vulnérabilités.
Vous verrez fréquemment, lors du Patch Tuesday, Microsoft faire une déclaration telle que « Cette vulnérabilité est connue pour avoir été exploitée dans la nature », ce qui signifie que quelqu'un a découvert cette faille, a commencé à l'attaquer, puis nous l'avons découvert et sommes allés en arrière et je l'ai réparé.
*C'est* un jour zéro.
Trouver une faille logicielle qui n’est pas exploitée, ou dont aucune preuve n’a jamais été exploitée, et la corriger de manière proactive s’appelle « bonnes pratiques d’ingénierie », et c’est quelque chose que font presque tous les logiciels.
En fait, je me souviens que vous avez mentionné la récente mise à jour de Firefox corrigeant de manière proactive de nombreuses vulnérabilités que l’équipe de Mozilla documente et signale heureusement publiquement – nous savons donc qu’elles ont été corrigées malgré le fait que personne ne les ait jamais attaquées.
CANARD. Je pense qu’il est important que nous gardions de côté le mot « jour zéro » pour indiquer à quel point le danger est clair et présent.
Et appeler tout un jour zéro parce que cela pourrait provoquer l'exécution de code à distance perd l'effet de ce que je pense être un terme très utile.
Serais-tu d'accord avec ça?
CHET. Absolument.
Cela ne veut bien sûr pas diminuer l’importance d’appliquer ces mises à jour – chaque fois que vous voyez « exécution de code à distance », quelqu’un peut maintenant revenir en arrière et découvrir comment attaquer ces bogues et les personnes qui n’ont pas mis à jour leur application.
Il est donc toujours urgent de vous assurer que vous obtenez la mise à jour.
Mais en raison de la nature du jour zéro, il mérite vraiment son propre terme.
CANARD. Oui.
Essayer de faire des histoires zero-day à partir de choses intéressantes et importantes mais qui ne représentent pas nécessairement un danger clair et présent est tout simplement déroutant.
Surtout si le correctif est effectivement sorti un mois avant et que vous le présentez comme une histoire comme si « cela se produit en ce moment ».
Quiconque utilise son iPhone ou son Android dira : « J’ai un numéro de version bien avant celui-là. Qu'est-ce qui se passe ici?"
La confusion n’aide pas lorsqu’il s’agit d’essayer de faire ce qu’il faut en matière de cybersécurité.
CHET. Et si vous découvrez une faille de sécurité qui pourrait être de type zero-day, veuillez la signaler, surtout s'il existe un programme de bug bounty proposé par l'organisation qui développe le logiciel.
J'ai vu, cet après-midi, quelqu'un au cours du week-end a découvert une vulnérabilité dans OpenSea, qui est une plateforme d'échange de jetons non fongibles ou de NFT… que je ne peux recommander à personne, mais quelqu'un a trouvé une vulnérabilité non corrigée qui était critique dans son système au cours du week-end, l'a signalé et a reçu une prime de bug de 100,000 XNUMX $ aujourd'hui.
Cela vaut donc la peine d'être éthique et de rendre ces choses lorsque vous les découvrez, pour éviter qu'elles ne se transforment en un jour zéro lorsque quelqu'un d'autre les trouve.
CANARD. Absolument.
Vous vous protégez, vous protégez tout le monde, vous faites ce qu'il faut de la part du fournisseur… Pourtant, grâce à une divulgation responsable, vous fournissez cette « mini-épée de Damoclès » qui signifie que les fournisseurs contraires à l'éthique, qui dans le passé auraient pu balayer les rapports de bogues sous le tapis, ne peuvent pas le faire parce qu'ils savent qu'ils finiront par se faire dénoncer.
Alors autant faire quelque chose maintenant.
Chester, passons à notre dernier sujet de cette semaine, à savoir ce qui arrive aux données sur les appareils lorsque vous n’en avez plus vraiment besoin.
Et l’histoire à laquelle je fais référence est l’amende de 35,000,000 2016 XNUMX $ qui a été infligée à Morgan Stanley pour un incident remontant à XNUMX :
Il y a plusieurs aspects dans l’histoire… c’est une lecture fascinante, en fait, la façon dont tout s’est déroulé et la durée pendant laquelle ces données ont survécu, flottant dans des endroits inconnus sur Internet.
Mais l'essentiel de l'histoire est qu'ils avaient… Je pense qu'il s'agissait d'environ 4900 XNUMX disques durs, y compris des disques issus de matrices RAID, des disques de serveur contenant des données client.
« Nous n’en voulons plus, alors nous les enverrons à une entreprise qui les effacera puis les vendra, afin de récupérer un peu d’argent. »
Et en fin de compte, l’entreprise a peut-être effacé certains d’entre eux, mais elle a simplement envoyé certains d’entre eux à la vente sur un site d’enchères sans les effacer du tout.
Nous continuons à commettre les mêmes vieilles erreurs !
CHET. Oui.
La toute première violation de la HIPAA, je crois, constatée aux États-Unis – la législation sur les soins de santé concernant la protection des informations sur les patients – concernait des piles de disques durs dans un placard de conciergerie qui n'étaient pas cryptés.
Et c’est le mot clé pour commencer le processus de décision à ce sujet, n’est-ce pas ?
Il n’existe aucun disque au monde qui ne devrait pas être entièrement chiffré à ce stade.
Chaque iPhone existe depuis aussi longtemps que je me souvienne.
La plupart des androïdes existent depuis aussi longtemps que je me souvienne, à moins que vous n'utilisiez toujours des téléphones à graveur chinois avec Android 4 dessus.
Et les ordinateurs de bureau ne sont malheureusement pas cryptés assez fréquemment.
Mais ils ne devraient pas être différents de ces disques durs de serveur, de ces matrices RAID.
Tout doit être crypté au départ, pour rendre la première étape du processus difficile, voire impossible…
… suivi de la destruction de cet appareil si et quand il atteint la fin de sa durée de vie utile.
CANARD. Pour moi, l’un des éléments clés de cette histoire de Morgan Stanley est que cinq ans après le début de cette histoire… cela a commencé en 2016, et en juin de l’année dernière, les disques de ce site d’enchères qui étaient tombés dans le grand inconnu étaient toujours rachetés par Morgan Stanley.
Ils n’étaient toujours pas effacés, non chiffrés (évidemment), fonctionnaient correctement et avec toutes les données intactes.
Contrairement aux vélos qui sont jetés dans le canal ou aux déchets de jardin que vous mettez dans le bac à compost, les données stockées sur les disques durs ne se dégradent pas, peut-être pendant très longtemps.
Alors en cas de doute, effacez-le complètement, hein ?
CHET. Oui, à peu près.
Malheureusement, c’est comme ça.
J'aime voir les choses être réutilisées autant que possible pour réduire nos déchets électroniques.
Mais le stockage de données ne fait pas partie de ces choses pour lesquelles nous pouvons nous permettre de prendre ce risque…
CANARD. Cela pourrait représenter une véritable économie de données, non seulement pour vous, mais aussi pour votre employeur, vos clients et le régulateur.
Chester, merci beaucoup d'être intervenu à nouveau dans un délai très, très, court.
Merci beaucoup d'avoir partagé avec nous vos idées, en particulier votre regard sur cette histoire d'Optus.
Et comme d'habitude, à la prochaine fois...
TOUS LES DEUX. Restez en sécurité.
[MODÈME MUSICAL]
