Shadow Brokers, une affaire de Cyberespionnage

1) Pourquoi un tel intérêt pour les Shadow Brokers ?

Lundi 15 août, un groupe de hackers appelé Shadow Brokers a annoncé avoir piraté des systèmes informatiques utilisés par Equation, une organisation réputée proche de la NSA. A l’appui de ses affirmations, ce groupe jusqu’alors inconnu a posté deux archives sur des sites de partage. La première, en libre accès, renferme 300 Mo de données, où se mêlent des outils et des techniques pour infiltrer des systèmes…. [lire la suite]

2) Le hacking de la NSA est-il établi ?

Bien entendu, ni la célèbre agence américaine ni le groupe de hackers Equation, réputé proche de celle-ci, n’a confirmé que les outils mis en ligne par les Shadow Brokers provenaient bien de leurs serveurs. Mais plusieurs éléments concordants établissent un lien direct entre les fichiers mis en ligne par les Shadow Brokers et le couple NSA/Equation. D’abord, c’est l’éditeur russe Kaspersky qui remarque que plus de 300 fichiers présents dans la première archive utilisent une implémentation des algorithmes de chiffrement RC5 et RC6 identique à celle utilisée par le groupe Equation. « La probabilité que tout ceci (l’archive mise en ligne, NDLR) soit un faux ou ait été conçu par rétro-ingénierie est extrêmement faible », écrivent les chercheurs de Kaspersky dans un billet de blog. [lire la suite]

3) Que dit cette affaire du groupe Equation ?

Le nom de ce groupe, choisi en raison de sa prédilection pour les techniques de chiffrement de haut vol, a été donné début 2015 par Kaspersky à un groupe de hackers, que l’éditeur russe décrivait alors comme le plus techniquement doué qu’il ait jamais identifié. La société parlait alors « d’une menace qui dépasse tout ce qui est connu en termes de complexité et de sophistication des techniques employées, une menace active depuis au moins deux décennies ». Equation exploitait depuis 2008 des failles zero day qui ne seront mises à jour que plus tard, à l’occasion du piratage du nucléaire iranien par Stuxnet. [lire la suite]

4) Que renferme l’archive des Shadow Brokers ?

Plusieurs chercheurs en sécurité se sont déjà penchés sur le cyber-arsenal mis à disposition par les Shadow Brokers (lire notamment l’analyse de Mustafa Al-Bassam ou la synthèse réalisée par Softpedia). On y trouve des exploits, autrement dit des codes d’exploitation permettant de prendre le contrôle ou d’espionner des pare-feu ou passerelles VPN fournis par de grands constructeurs comme Cisco, Juniper ou Fortinet. Des constructeurs qui ont déjà reconnu que les outils mis en ligne menaçaient bien certains de leurs matériels. Mais, dans tous les cas, il s’agit de générations anciennes de machines. Les appliances Cisco Pix, ciblées par plusieurs outils, ne sont par exemple plus supportées par le constructeur depuis 2009. [lire la suite]

5) L’archive a-t-elle livrée tous ses secrets ?

Et il y a aussi les outils dont la vocation ne se limite pas à cibler une gamme de machines en particulier. The Intercept explique ainsi que des éléments d’une architecture exploitée par la NSA pour mettre en place des attaques de type Man-in-the-Middle, autorisant l’interception de requêtes Web, figurent dans l’archive des Shadow Brokers.Sans risque de se tromper, la réponse est non. « Comme il y a 300 Mo de code, de documentations, de binaires, personne n’a publié d’analyse complète », remarquent Hervé Schauer et Christophe Renard.[lire la suite]

6) Quels sont les risques pour les entreprises ?

Voir de tels outils mis à la disposition de cybercriminels est évidemment inquiétant. « On est ici face à des outils d’attaque de haut niveau, mis librement à disposition sur le Web, explique Gérôme Billois. Les entreprises doivent donc être très attentives, effectuer l’inventaire des matériels exposés sur leur parc et apporter les modifications nécessaires pour protéger leurs infrastructures. Heureusement, les exploits mis au jour sont assez anciens et ciblent donc du matériel âgé. Mais certaines machines peuvent toujours être en exploitation. » Au fur et à mesure que les codes de l’archive des Shadow Brokers seront décortiqués, des correctifs et des indicateurs de compromission vont être publiés. Ce qui permettra aux RSSI de contrer la menace. C’est donc plutôt une course de fond qui s’engage. [lire la suite]

7) Qui a fait le coup ?

La liste des suspects s’est très vite limitée à quelques noms. Très rapidement, Nicolas Weaver, de l’université de Berkeley, pointe la Chine, soupçonnée de nombreux actes de cyber-espionnage contre les intérêts américains, et la Russie. Une seconde hypothèse que défend lui aussi Edward Snowden, précisément réfugié en Russie après avoir été à l’origine de la plus importante fuite de données de l’histoire de la NSA. [lire la suite]

8) Un second lanceur d’alertes à la NSA ?

Car une autre hypothèse a également de nombreux partisans : celle de l’implication d’un ‘insider’, un nouveau lanceur d’alerte à la NSA. Plusieurs éléments viennent étayer cette hypothèse. Primo, l’archive en question renferme différentes versions d’un même outil, des manuels d’utilisation ou des fichiers à vocation interne. Ce qui cadre mal avec l’hypothèse d’un serveur d’attaque, ou d’un serveur de pré-production, qui aurait été compromis par un assaillant externe. [lire la suite]

9) Quelles sont les conséquences possibles ?

D’ores et déjà, la fuite a dû déclencher un branle-bas de combat au sein de la NSA, qui doit chercher l’origine de cette encombrante archive et, surtout, comment mettre fin aux révélations successives sur ses activités offensives. L’agence devra également s’assurer qu’elle n’exploite plus les codes révélés au public pour ses opérations actuelles. Car, très rapidement, les outils de sécurité seront en mesure de détecter les signatures des outils révélés par les Shadow Brokers.[lire la suite]

10) Qu’en pense Bernard Cazeneuve ?

Passée la boutade, le ministre de l’Intérieur français, qui entend prendre la tête d’une initiative internationale permettant d’encadrer le chiffrement, a devant les yeux une autre illustration des limites que pointent de nombreux spécialistes, y compris le Conseil national du numérique (CNNum).Après l’affaire Juniper (le constructeur avait employé un algorithme de chiffrement affaibli par la NSA, qui avait été détourné par un acteur inconnu), les révélations des Shadow Brokers illustrent une fois encore le caractère spécifique des armes cyber.[lire la suite]

Article original de Reynald Fléchaux

Réagissez à cet article

Votre vie privée numérique en danger sur Leakedsource

LeakedSource, nouvelle source d’informations pour pirates informatiques ? Souvenez-vous, on vous parlait en juillet, de données volées appartenant à un ancien garde du corps de Vladimir Poutine, le Président Russe, ou encore de Nicolas Sarkozy, ancien Président de la République Française. Son identité, ses données privées, des courriels… Un piratage qui semblait être particulièrement compliqué à orchestrer tant les sources d’informations concernant ce body guard étaient variés. Après enquête, j’ai découvert que si le résultat pouvait être particulièrement préjudiciable pour la cible, la mise en place et l’exécution de cette attaque était aussi simple que « 1 + 1 font 2« .

Leakedsource, source quasi inépuisable de malveillances

Pour ce garde du corps, mais aussi pour de nombreuses personnalités, le risque est énorme. Tout débute par le piratage de centaines de bases de données de part le monde. Myspace, Adobe, Linkedin, Twitch , Xat , Badoo… ne sont que des exemples parmi d’autres. Je gère, avec le protocole d’alerte ZATAZ, des dizaines de fuites de données par mois  concernant des PME et entreprises Françaises. Imaginez donc ce que brassent des sites comme leaked source.

Leakedsource.com, un espace web tenu par des Russes, a pour mission de regrouper les informations volées par des pirates et de permettre de consulter les informations en question. Les administrateurs du portail expliquent que leur service est fait pour s’assurer que les données volées ne vous concernent pas. Sauf que, des données, il y en a des centaines de millions, et vous pourriez bien vous y retrouver, comme Mark Zuckerberg, cofondateur et directeur général de Facebook, piraté en juin 2016 parce que son mot de passe « DaDaDa » était accessible dans une base de données piratées et stockées chez Leakedsource.

Vous ne risquez rien ? Vraiment ?

Cela n’arrive qu’aux autres ? Allez donc regarder du côté de vos données. C’est d’ailleurs ce qu’aurait dû faire l’auteur des jeux vidéo Garrysmod et de Rust, Garry Newman. J’ai pu avoir une longue conversation avec l’auteur de divertissements vidéo ludique qui ne s’attendaient pas à découvrir sa vie numérique mise en pâture de la sorte. Il faut dire aussi que plusieurs pirates ont contacté la rédaction de ZATAZ.COM pour se vanter d’avoir mis la main sur ses données Paypal, Amazon, gMail de ce créateur de jeux vidéo britannique. Bref, pour 4 dollars (le prix journalier d’un abonnement Leaked source pour accéder aux données) n’importe quel internaute peut se transformer en vulgaire violeur de vie 2.0. Il suffit de rentrer un mail, un pseudonyme ou encore une adresse IP et Leakedsource cherche dans ses bases de données la moindre concordance. Cerise sur le gâteau, quand le mot de passe est hashé, donc illisible à la première lecture, Leaked source propose la version du précieux sésame déchiffré. « Si les personnes [les pirates, NDR) sont malines, elles peuvent faire beaucoup de dégâts avec ce genre d’outil accessible à Monsieur tout le monde » me confirme un utilisateur.

Que faire pour éviter ce type de fuite de données ?

Je vais très rapidement être honnête avec vous, si vous mettez vos données en ligne, dites vous qu’elles ne sont plus en sécurité. Et ce n’est pas notre vénérable CNIL qui pourra vous aider. Avec plusieurs centaines de cas de fuite de données que je traite avec le protocole d’alerte de zataz par an, j’ai déjà pu croiser mes propres informations. Je vous parlais plus haut de Leakedsource, j’ai pu y retrouver mon compte Adobe. Pourtant, le géant du logiciel l’avait juré, il était « secure » [sécurisé, ndr].

Tellement « secure » qu’un de mes mails, et le mot de passe attenant, sont disponible dans ce big data du malveillant. Autant dire que l’adresse mail et le mot de passe en question ont été détruits et ne seront plus utilisés.

Que faire donc ? D’abord, un compte mail par service. Je sais, c’est long est fastidieux. Mais je pense qu’il va être beaucoup plus long et fastidieux pour Garry Newman de revalider l’ensemble de ses comptes « infiltrés », car il utilisait la même adresse électronique pour ses accès Paypal, Amazon…

Ensuite, ne mettez pas le même mot de passe pour l’ensemble de vos services en ligne. On a beau le répéter, cesser de vous croire plus malin que les 010101 qui nous régissent. Mark Zuckerberg et son « DaDaDa » lui ont coûté son Twitter et son Pinterest. Pour Garry, plus grave encore, son compte Amazon et Paypal, avec des données sensibles [adresses postales, données bancaires…] qui ne devraient pas être disponibles à la planètes web. Donc, oui, c’est fastidieux, mais un mot de passe par compte est une obligation.

Pour finir, en ce qui concerne l’IP, n’hésitez plus à utiliser un VPN. L’outil permet de cacher votre véritable adresse de connexion, en plus de chiffrer vos informations transitant sur la toile. Je vous invite à regarder du côté de nos partenaires et amis de chez NoLimitVPN ou encore HMA! pour blinder vos connexions PC, Mac et mobiles.

Article original de Damien Bancal

Réagissez à cet article

1 723 265 nouveaux codes malveillants pour Android

Les menaces informatiques dans le monde du mobile sont légions. Les experts sécurité de l’entreprise Allemande G DATA ont identifié plus de 1,7 millions de codes malfaisants. Exactement 1 723 265 nouveaux échantillons de codes malveillants ciblant Android durant le premier semestre 2016 comme le rapporte Data Security Breach. Une augmentation de 29 % comparé au semestre précédent. Six mois auparavant, « seulement » 1 332 839 malwares, virus, ransomware visant les appareils sous le système d’exploitation de Google avaient été repérés.

En moyenne, 9 468 nouveaux dangers sur le système Android apparaissent chaque jour.

Bref, ça fait tout de même 3 056 104 bestioles pirates qui en veulent aux smartphones, tablettes et autres objets connectés sous Android.

Article original de Damien Bancal

Réagissez à cet article

Des avions de chasse pilotés par une IA seraient déjà supérieurs aux humains

On le sait, l’histoire militaire de demain ressemblera beaucoup plus à une partie de Total Annihilation faite de robots qui s’affrontent, qu’à une bataille de Verdun qui a fait plus de 300 000 morts dans les tranchées. En un sens, c’est un progrès. La guerre sera gagnée par ceux qui ont la puissance technologique pour eux, et la chair à canon devrait progressivement disparaître, remplacée par les bouts de métaux qui reposeront au sol.

Actuellement nous en sommes loin, puisque les drones sont surtout employés pour cartographier les camps adverses, ou pour larguer des bombes sur des humains bien humains. En tout état de cause, ils restent pilotés à distance par des hommes ou des femmes, à l’aide de joysticks. Mais la guerre des drones arrive. En témoigne l’étude publiée dans le Journal Of Defense Management (.pdf) par des ingénieurs de l’entreprise Psibernetix, en coopération avec le Laboratoire de Recherche de l’Armée de l’Air américaine, et l’Université de Cincinnati.

L’IA LA PLUS AGRESSIVE, RÉACTIVE, DYNAMIQUE ET CRÉDIBLE QUE J’AI JAMAIS VUE

Ils y décrivent la mise au point d’ALPHA, une intelligence artificielle spécialement conçue pour piloter une flotte d’avions de chasse en situation de combat, en gérant à la fois les mouvements de chaque avion avec une réactivité très importante, et la stratégie globale à déployer pour annihiler l’adversaire. L’IA est spécialement entraînée à gérer des situations dans lesquelles ses appareils sont moins sophistiqués que ceux de l’ennemi (ils tirent de moins loin, ont moins de munitions, n’ont pas de support radar pour toute la zone de combat…), mais plus nombreux. Or en simulateur, ALPHA gagne systématiquement.

L’armée de l’air américaine et Psibernetix ont aussi demandé à un pilote vétéran, Gene Lee, qui forme lui-même les pilotes à la tactique de combat, d’affronter l’IA. C’est ce qu’il fait déjà depuis une vingtaine d’années, dans les différents simulateurs mis au point par l’US Air Force. Mais cette fois-ci, il n’a pas remporté une seule bataille contre les avions adverses pilotés par ALPHA.

« J’ai été surpris par la manière dont elle était consciente et réactive. Elle semblait être consciente de mes intentions et réagir instantanément à mes changements en vol et à mes déploiements de missiles. Elle savait comment déjouer le tir que je faisais. Elle changeait instantanément entre les actions défensives et offensives en fonction des besoins », s’étonne le militaire dans Popular Science. Il décrit ALPHA comme «  l’IA la plus agressive, réactive, dynamique et crédible que j’ai jamais vue ».

Pour y parvenir, Psibernetix explique qu’elle utilise une technique dérivée des algorithmes de logique floue, qui permettent à l’IA de se concentrer sur l’essentiel et de décomposer ses décisions en étapes à résoudre pour parvenir à un objectif. La méthode employée permet d’aller très vite, pour acquérir la réactivité nécessaire dans un combat aérien.

Actuellement, l’IA fonctionne avec un seul processeur de 3,2 Ghz, et fonctionne à une fréquence de 154 Hz. Elle capte l’intégralité des données de tous ses capteurs toutes les 6,4 millisecondes, organise les données, et crée une cartographie du scénario, analyse l’état du combat, et modifie ses décisions pour s’adapter aux changements enregistrés. Les ingénieurs précisent qu’il reste encore largement possible d’optimiser les temps de calcul, et qu’à terme l’IA pourrait atteindre une vitesse de 1 100 Hz.

« L’esprit humain est une machine extrêmement puissante qui probablement aura toujours des performances imbattables dans certains domaines », tente de rassurer Psibernetix. « Toutefois, les vitesses auxquelles ALPHA peut intelligemment opérer servent d’avantage certain dans le contexte du combat air-air. Combiner ces forces dans des escouades qui combinent appareils avec humain à bord et sans humains à bord pourrait s’avérer être une force de combat extrêmement efficace. Les appareils contrôlés par ALPHA se porteraient joyeusement volontaires pour prendre des risques tactiques, tandis que les appareils avec humains réaliseraient des tâches de support plus sûres ».

Article original de

Réagissez à cet article

Géolocaliser un téléphone mobile en deux clics de souris

Les téléphones portables, de nos jours, sont de véritables ordinateurs aux capacités de traçage, surveillance et cyber surveillance qui fait froid dans le dos. Regardez, prenons les exemples tels que Facebook et son option « amis à proximité » ou encore PokemonGo et sa capacité de géolocalisation. Du traçage au centimètre. Des technologies de « ciblage » qui deviennent simple à créer et à utiliser. Tristan, informaticien Parisien, vient de contacter ZATAZ pour présenter son cas d’étude : un outil de traçage en temps réel capable de tracer l’itinéraire de ses cibles.

Géolocaliser un téléphone : Souriez, vous êtes pistés

Depuis quelques temps Tristan s’intéresse aux applications proposées dans les mobiles, et plus précisément aux logiciels qui font transiter des informations telles que des positions de latitude et de longitude. Avec un associé, il a lancé Lynx Framework, une entité spécialisée dans la création d’outils de sécurité pour les applications web.

A parti de ses recherches, Tristan a créé un outil de « traque », de quoi géolocaliser un téléphone qui met à jour les dangers de nos mobiles et de leurs capacités à indiquer notre emplacement, mais aussi, nos itinéraires. « En analysant les requêtes envoyées par certaines applications je me suis rendu compte qu’il serait possible de récupérer le positionnement de plusieurs personnes en même temps et de les positionner sur une carte de type google map. » m’explique le chercheur.

A l’image des sauvegardes de Google Map que je vous indiquais en 2015, l’outil « privé » de Tristan fait pareil, mais en plus discret encore. Via un outil légal et disponible sur Internet, Burp Suite, notre chercheur a analysé les requêtes envoyées par plusieurs logiciels de rencontres disponible dans le Google Play.

Comment cela fonctionne-t-il ?

« Le tracker prend le contrôle de plusieurs comptes d’application de rencontre et récupère la position des personnes à proximité, indique-t-il à ZATAZ.COM. Il ajoute ces informations dans sa base de données et vérifie l’existence des positions pour cette identité. » Si l’application de Tristan retrouve la même personne, mais pas à la même position, il va créer un itinéraire de l’individu via son ancienne position« . Nous voilà avec la position et le déplacement exacts d’un téléphone, et donc de son propriétaire, à une heure et date données.

Géolocaliser un téléphone : Chérie, tu faisais quoi le 21 juillet, à 12h39, à 1 cm de ta secrétaire ?

Après quelques jours de recherche, Tristan a mis en place une base de données de déplacement dans une ville. Une commune choisie au hasard. Son outil est en place, plusieurs systèmes sont lancés : Une carte avec le positionnement des personnes croisées ; une page plus explicite pour chaque personne avec la date de croisement, son âge… ; une page ou notre chercheur gère ses comptes dans l’application. Bonus de son idée, un système d’itinéraire complet a été créé. Il permet de tracer un « chemin » de déplacement si la personne croisée a déjà été croisée dans le passé, dans un autre lieu. « J’ai positionné un compte au centre de la ville, un autre à l’entrée et le suivant à la sortie, ce qui a données en quelques heures une 50ène de données » confie-t-il « Il est inquiétant de voir autant de données personnelles transitées en clair via ces applications ».

Géolocaliser un téléphone : détournement possible d’un tel « tracker » ?

Vous l’aurez compris, « tracer » son prochain est facilité par ses applications qui ne protègent pas les informations de positionnement des utilisateurs. Il devient possible d’imaginer une plateforme, en local, avec plusieurs comptes positionnés à des endroits différents dans une ville. Bilan, suivre plusieurs individus devient un jeu d’enfant. Si on ajoute à cela les applications de déplacement de type UB, qui communique les données de ses chauffeurs par exemple, ainsi que celles d’autres réseaux sociaux, il devient réellement inquiétant de se dire que positionner une personne et la tracer se fait en quelques secondes. Deux solutions face à ce genre de traçage : jeter votre portable ou, le mieux je pense, forcer les éditeurs d’applications à vérifier la sécurisation des données envoyées, et les chiffrer pour éviter qu’elles finissent en clair et utilisable par tout le monde.

Article original de Damien Bancal

Réagissez à cet article

Découvrez la faille qui ouvre toutes les Volkswagen sans clef

Nul doute que Volkswagen aurait préféré ne pas revoir de sitôt Flavio D. Garcia. Travaillant à l’université de Birmingham, cet ingénieur en informatique présente, lors de la conférence Usenix qui se tient du 10 au 12 août à Austin (Texas), les conclusions d’une étude (« Lock it and still lose it ») sur les télécommandes permettant l’ouverture des voitures de tourisme.

Des conclusions peu flatteuses pour le groupe automobile allemand : la quasi-totalité des véhicules qu’il a vendus ces 20 dernières années, près de 100 millions pour la seule période allant de 2002 à 2015, peuvent être déverrouillés sans clés… et sans plip, du nom de cette fameuse télécommande aujourd’hui livrée en standard avec la plupart des voitures de tourisme.

Flavio D. Garcia étudie depuis plusieurs années les vulnérabilités associées aux systèmes de commande à distance dans l’univers automobile. En 2012, il avait constaté, avec plusieurs collègues, que les récepteurs RFID Magamos Crypto, adoptés par de nombreuses marques de luxe, pouvaient être détournés non seulement pour ouvrir et fermer les portes, mais aussi pour faire démarrer le moteur, le tout sans disposer des clés.

Contacté par ses soins en mai 2013, Volkswagen avait déposé plainte, arguant qu’une publication de ces recherches exposerait ses véhicules à un risque accru de vol. La Haute Cour du Royaume-Uni lui avait accordé une injonction, retardant d’autant la publication, finalement effectuée il y un an et sous une forme très restreinte : une seule phrase, dans les annexes de la conférence Usenix, comme le souligne Bloomberg.

Arduino pour intercepter les données

Cette fois-ci, Flavio D. Garcia s’est épargné les considérations juridiques. Avec deux associés de l’université de Birmingham et la firme allemande Kasper & Oswald, il aborde deux vulnérabilités distinctes ; l’une concernant Volkswagen et l’autre applicable à une longue liste de constructeurs.

Point commun entre ces failles : elles sont fondées sur l’interception des données transmises par les télécommandes, qui fonctionnent sur les bandes de fréquence à 433 ou 868 MHz en Europe et 315 MHz en Amérique du Nord – à l’exception de quelques anciens systèmes basés sur la technologie infrarouge.

Le module d’interception, sur base Arduino.

Pour intercepter les données envoyées par les télécommandes, les chercheurs ont fabriqué un module radio à partir d’une carte Arduino. Et se sont aperçus que, de manière générale, le niveau de protection des données dépendait de l’âge des véhicules. Sur des modèles du début des années 2000, il arrive qu’aucune méthode de cryptographie ne soit appliquée : un code unique est envoyé à chaque appui sur le(s) bouton(s) d’ouverture et de fermeture des portes. Sur des voitures plus récentes, des paramètres ont été ajoutés. Notamment un compteur incrémenté à chaque pression, permettant d’éviter qu’une commande soit exécutée deux fois.

Clonage des clefs

Mais, dans tous les cas, il est possible de déterminer la structure des paquets de données, d’autant plus que ceux-ci sont souvent transmis à plusieurs reprises, sans doute pour s’assurer que la communication aboutisse dans les environnements difficiles sujets à des interférences.

Une télécommande Volkswagen de nouvelle génération.

L’équipe de Flavio D. Garcia a identifié pas moins de 7 schémas de transmission. Parfois, le signal varie en amplitude ; d’autres fois, en fréquence. La quantité de données change elle aussi, au même titre que les algorithmes de chiffrement. Mais dans tous les cas, la sécurité peut être déjouée et la clé, clonée.

Cette opération de clonage ne peut toutefois se faire qu’une fois obtenue la clé logée dans le récepteur RFID de la voiture. Pour cela, les chercheurs en ont extrait le firmware. Et ont alors fait une sacrée découverte : cette « clé maîtresse » est la même sur des dizaines de millions de véhicules du groupe Volkswagen.

Mais aussi Nissan, Dacia, et Renault…

Sur la liste – non exhaustive – des modèles considérés comme vulnérables figurent les Audi A1, Q3, R8, S3 et TT, les Skoda City Go, Roomster, Fabia 1 et 2, Octavia, SuperB et Yeti, les Seat Alhambra, Altea, Arosa, Cordoba, Ibiza, Leon, MII et Toledo… ainsi que les Volkswagen Amarok, (New) Beetle, Bora, Caddy, Crafter, e-Up, Eos, Fox, Golf 4, 5 et 6, Golf Plus, Jetta, Lupo, Passat, Polo, T4, T5, Scirocco, Sharan, Tiguan, Touran et Up.

Dans le prolongement de ces conclusions, Flavio D. Garcia et consorts se sont intéressés aux circuits intégrés PCF7946 et PCF7947, que le fabricant de semi-conducteurs NXP fournit à de nombreux constructeurs automobiles, détaillent nos confrères de ITespresso.

Avec le même mode opératoire, ils sont ainsi parvenus à pirater une Fiat Punto, un Citroën Jumper, un Dacia Duster, une Renault Modus ou encore un Nissan Qashqai. Il leur a toutefois fallu ici pousser l’expérimentation plus loin, en interceptant plusieurs codes (4 à 8, d’après le rapport, car ces codes changent à chaque pression sur la télécommande) et en utilisant un ordinateur pour déchiffrer certaines données. En l’occurrence, une partie des 28 bits du compteur.

Une étape indispensable : sur un grand nombre de véhicules, la télécommande se bloque si ledit compteur, censé augmenter d’une unité à chaque appui, n’est pas synchronisé avec celui du récepteur RFID.

Des vols bien réels

Le déchiffrement prend moins de 10 minutes en exploitant les failles de HiTag2, un algorithme de cryptographie lancé il y a près de 20 ans et associé aux circuits intégrés PCF7946/7947. Pour intercepter plus rapidement le nombre de codes requis, les chercheurs ont bloqué la transmission des signaux afin que les utilisateurs ciblés pressent à nouveau le bouton de leur télécommande.

La principale limitation de la méthode imaginée par les chercheurs réside dans la portée des télécommandes. Généralement quelques dizaines de mètres. Il faut donc impérativement se trouver dans ce périmètre. Dès lors, il est possible d’envisager d’autres scénarios d’attaque. Par exemple, une sorte de DDoS à partir du système de blocage de la télécommande.

Ces recherches permettent de mettre le doigt sur un phénomène en pleine explosion : aux États-Unis, les forces de l’ordre constatent de plus en plus de vols de voitures sans effraction. Les images de vidéosurveillance révèlent souvent l’utilisation d’un simple boîtier électronique. Ce mois-ci, une trentaine de Jeep ont ainsi été volées dans le Texas avec un simple ordinateur.

Article original de Silicon

Réagissez à cet article

« AITEX – AFRICA IT EXPO » : le Sénégal et la Côte d’Ivoire à l’honneur au Maroc, du 21 au 24 septembre 2016

Dans un communiqué transmis à notre Rédaction, la Fédération marocaine des technologies de l’information, des télécommunications et de l’Offshoring (APEBI), chef d’orchestre de l’AFRICA IT EXPO, explique le choix du Sénégal et de la Côte d’Ivoire par le souci d’établir une connexion sud-sud des ressources du continent. Un défi majeur que le Royaume chérifien veut relever en commençant par ces deux pays qui sont la locomotive économique de la sous-région ouest-africaine. La Côte d’Ivoire connaît une forte croissance économique qui se situe entre 7 et 8 % par an. Une performance portée en partie par un secteur privé qui fait de la transformation numérique, un vecteur de compétitivité. Le Sénégal, deuxième économie de l’Afrique de l’Ouest francophone derrière la Côte d’Ivoire, est plébiscitée pour les efforts fournis dans le domaine du digital. Là où l’Afrique a atteint un taux de pénétration moyen autour de 100%, le Sénégal lui signe un taux de 113,66% en mars 2016. En choisissant ces deux pays, le Maroc veut leur apporter son « soutien pour conforter leur leadership régional et aussi pour accélérer leur transformation numérique ».

Le communiqué :

« Salon des Technologies de l’Information  « AITEX – AFRICA IT EXPO » – 21 – 24 septembre 2016 à Casablanca

Le 1er salon de l’innovation et de la transformation digitale du continent met à l’honneur le Sénégal et la Côte d’Ivoire

La Fédération marocaine des technologies, de l’information, des télécommunications et de l’Offshoring (APEBI) organise la 1^ère édition du Salon des Technologies de l’Information  « AITEX – AFRICA IT EXPO », qui aura lieu du 21 au 24 septembre 2016 à la foire internationale de Casablanca. « AITEX – AFRICA IT EXPO » est la première plateforme de l’innovation et de la transformation digitale en Afrique, qui va réunir 150 exposants – tous issus des entreprises référencées dans le domaine -,  200 donneurs d’ordre, mais aussi des experts et des utilisateurs venus d’Afrique, du Moyen Orient et d’Europe. Pour cette édition, l’APEBI met à l’honneur le Sénégal et la Côte d’Ivoire, deux pays amis avec lesquels le Royaume entretient des relations de longue date, qui constituent un modèle de coopération exemplaire, et qui jouent par ailleurs un rôle de locomotive en Afrique de l’Ouest dans le domaine des TIC.

Aujourd’hui, la transformation digitale est devenue un enjeu majeur pour les sociétés, une mutation indispensable pour les entreprises et l’économie. A l’ère du numérique, cette transformation constitue un avantage fort pour nos sociétés, qui crée de la valeur… L’évolution très rapide des TIC -Technologies de l’Information et de la Communication- a profondément façonné le changement de nos modes de vie. Face à la généralisation des TIC dans les pays industrialisés, l’intégration de ces compétences (mais surtout leur maîtrise et leur exploitation) est un enjeu stratégique, sociétal, culturel et technologique en Afrique.

Le continent,  qui poursuit son processus de mondialisation et sa dynamique d’émergence doit se « mettre à niveau » pour améliorer l’efficience de son économie  et « booster » sa compétitivité locale et internationale. Grâce à une approche bien encadrée, qui va intégrer tous les paramètres, les enjeux et aussi les risques induits, la transformation digitale est sans conteste un levier de croissance économique et de compétitivité, créateur de valeur ajoutée.

La Fédération marocaine des technologies, de l’information, des télécommunications et de l’Offshoring (APEBI), est un acteur régional stratégique en Afrique car elle regroupe des entreprises qui jouent un rôle clé dans l’économie et qui sont des références dans leur domaine.

Pendant trois jours, l’APEBI va être le catalyseur d’une dynamique nouvelle, qui va accélérer le développement du numérique dans le continent.

AITEX – AFRICA IT EXPO : Première plateforme de l’innovation et de la transformation digitale d’Afrique

Cette édition sera marquée par une forte présence d’experts de haut niveau, des opérateurs nationaux et internationaux reconnus, tous réunis autour d’un programme ambitieux qui a pour vocation d’être la première plateforme de l’innovation et de la transformation digitale en Afrique.

Organisé avec le soutien institutionnel de Maroc Export, le salon « AITEX – AFRICA IT EXPO » va accueillir principalement des distributeurs, des fournisseurs de technologie, des intégrateurs de solutions, éditeurs, opérateurs télécoms, ISP, ASP, délocalisation de fonctions de gestion, TMA, help desk conseil, offshoring, mobility, big data, Cloud, réseaux, e-Commerce… Vitrine de l’offre numérique et des dernières évolutions digitales, « AITEX – AFRICA IT EXPO » est une plateforme unique de rencontres, d’échanges et d’opportunités d’affaires.

Véritable révélateur des nouvelles tendances, le Salon «AITEX – AFRICA IT EXPO » est une occasion unique de rencontrer et d’échanger sur les problématiques quotidiennes des entrepreneurs, collectivités et de trouver les réponses appropriées grâce au concours de spécialistes, eux-mêmes engagés dans les processus de développement des économies émergentes et de la coopération sud-sud.

Placé sous le thème, «Transformation Digitale : Levier de développement en Afrique», le salon offre une nouvelle occasion de conscientiser et sensibiliser nos sociétés sur la formidable opportunité offerte par les technologies numériques pour accélérer le développement du continent. Des rencontres sont organisées au cours de ces trois journées pour débattre des problématiques actuelles et  des enjeux sociétaux de ces mutations afin d’adopter les meilleures pratiques et ainsi anticiper les défis auxquels les entreprises et économies africaines sont  confrontées.

«AITEX – AFRICA IT EXPO » va promouvoir les relations d’affaires et la mise en réseau des différents acteurs économiques du continent, à travers des coopérations sud-sud, nord-sud et public-privé.

Le Sénégal  et la Côte d’Ivoire à l’honneur

Le défi numérique en Afrique passe inéluctablement par la connexion des ressources du continent. Un aspect que  l’APEBI a compris et intégré dans l’organisation de ce salon, c’est pourquoi la fédération a décidé de mettre à l’honneur, pour sa première édition, le Sénégal et la Côte d’Ivoire. Ces deux pays, représentant deux premières puissances économiques de l’Afrique de l’ouest francophone engagés dans une dynamique de croissance depuis plusieurs années, ont à cœur de poursuivent respectivement leurs ambitions numériques.

La Côte d’Ivoire connaît une forte croissance économique qui se situe entre 7 et 8 % par an et le développement du numérique est devenu un enjeu majeur, créateur de richesses. Le numérique constitue un potentiel énorme, présent dans tous les esprits, aussi bien du côté du gouvernement que des dirigeants d’entreprise. Selon une étude publiée par le cabinet Deloitte en mai 2016, seulement 36 % des entreprises estiment avoir atteint la maturité numérique.

Le Sénégal, quatrième économie de la sous-région ouest africaine après le Nigéria, la Côte d’Ivoire et le Ghana, et deuxième économie en Afrique de l’Ouest francophone derrière la Côte d’Ivoire s’est largement distingué dans l’évolution de l’économie numérique, premier levier de la transformation digitale.  Là où l’Afrique a atteint un taux de pénétration moyen autour de 100%, le Sénégal lui signe un taux de 113,66% en mars 2016.

Le Sénégal et la Côte d’Ivoire font partie des premiers pays africains à initier des projets de gouvernance électronique (e-Gouv). Ils ont réalisé au fil des années des progrès importants dans les domaines tels l’économie numérique, la monétique, le courrier hybride, ou encore le taux de connectivité internet, etc.) Néanmoins, les disparités qui existent entre les différents pays du continent peuvent être réduites si un effort de coopération est accompli.

En mettant en avant ces deux pays amis, qui constituent un modèle important d’exemplarité sur le continent africain (et en particulier de ses voisins ouest-africains), le Maroc apporte son soutien pour conforter leur leadership régional et aussi pour accélérer leur transformation numérique. »

Article original de Cio-Mag

Réagissez à cet article

Et si Gmail vous protégeait contre les expéditeurs potentiellement malveillants ?

Google ajoute de nouvelles fonctionnalités à Gmail pour protéger toujours plus ses utilisateurs des dangers du Net. Dans les prochaines semaines, le webmail se verra doté d’un système alertant son utilisateur quand il reçoit un e-mail en provenance d’un expéditeur non authentifié. Un point d’interrogation s’affichera alors en lieu et place de l’image correspondant au profil de l’expéditeur, à côté de son nom (voir l’image ci-dessous), indique le service de mise à jour des applications de l’entreprise de Mountain View.

Une façon d’inviter le destinataire à la plus grande prudence face à un e-mail douteux, surtout si le message contient des pièces jointes. Même si tous les expéditeurs non authentifiés ne sont pas nécessairement des pourvoyeurs de spam ou d’autres contenus à caractères frauduleux. « Il peut arriver que l’authentification ne fonctionne pas lorsqu’une organisation envoie des messages à de grands groupes d’utilisateurs, via des listes de diffusion, par exemple », rappelle Google dans l’aide de Gmail.

Pour authentifier les expéditeurs, Google s’appuie sur les protocoles SPF et DKIM. Le premier (Sender Policy Framework) se charge de vérifier le nom de domaine de l’expéditeur d’un courriel. Ce protocole est normalisé dans la RFC 7208 dans l’objectif de réduire les envois de spams. Le second, DomainKeys Identified Mail, permet à l’expéditeur de signer électroniquement son message afin de garantir à la fois l’authenticité du domaine ainsi que l’intégrité du contenu.

Deuxième niveau d’alerte

Au cas où un expéditeur malintentionné aurait réussi à contourner (ou exploiter) ces normes d’authentification, Gmail s’enrichit d’un deuxième niveau de protection. Lorsque l’utilisateur cliquera sur un lien considéré comme frauduleux (pointant vers un site de phishing, pourvoyeur de malwares, voire de logiciels indésirables), il sera averti par le système des risques qu’il encourt à poursuivre sa navigation. Une fonction héritée du Safe Browsing, un système lancé en 2006 chargé de référencer les sites frauduleux, et qui équipe le navigateur Chrome mais aussi Firefox et Safari (via une API).

Signalons que Safe Browsing est en évolution constante, notamment grâce à la participation des internautes. Le mois dernier, Google a annoncé renforcer cette protection. « Dans les prochaines semaines, ces améliorations de détection deviendront plus visibles dans Chrome : les utilisateurs verront plus d’avertissements que jamais sur les logiciels indésirables », indiquait alors l’éditeur.

Article original de Christophe Lagane

Réagissez à cet article

Découvez à quoi ressemble une plateforme de cyberespionnage avancée

Suite à leur première découverte, les équipes de Kaspersky racontent avoir isolé un étrange exécutable chargé en mémoire sur le serveur du contrôleur de domaine d’une organisation infectée. Une librairie enregistrée comme un filtre de mots de passe Windows, fonction utilisée par les administrateurs pour obliger les utilisateurs à respecter les règles de sécurité ; et surtout un module ayant accès à des informations sensibles, comme les mots de passe desdits administrateurs. « La backdoor passive de Projet Sauron démarre chaque fois qu’un domaine, un utilisateur local ou un administrateur se connecte ou change son mot de passe, et elle récupère alors rapidement les mots de passe en clair », écrit Kaspersky.

Cibler les communications chiffrées

Au fil de son enquête, l’éditeur russe a pu mieux cerner les contours de cette menace jusqu’alors inconnue. Pour le spécialiste de la sécurité informatique, Projet Sauron masque une organisation à la pointe en matière de cyber-espionnage, une organisation à la tête d’une plate-forme modulaire de piratage, « conçue pour orchestrer des campagnes de long terme via des mécanismes de persistance furtifs couplés à de multiples méthodes d’exfiltration d’information ». Certaines d’entre elles étant peu communes. La plate-forme recourt notamment au protocole DNS pour exfiltrer des données. Tous les modules ou protocoles réseau de Sauron emploient par ailleurs des algorithmes de cryptage forts, comme RC4, RC5, RC6 ou AES.

D’autres éléments témoignent de la sophistication de cette menace et de son intérêt pour des informations hautement confidentielles. Comme l’utilisation de codes fonctionnant uniquement en mémoire, ce qui rend leur détection plus complexe. Une technique déjà exploitée par Duqu, une menace déjà mise au jour par Kaspersky et à l’œuvre… sur ses propres systèmes ! Le Russe explique encore que Projet Sauron s’intéresse tout particulièrement aux logiciels de chiffrement de ses cibles, tentant de dérober des clefs, des fichiers de configuration et les adresses IP des serveurs gérant les clefs. Autre détail révélateur de la volonté de Sauron de pénétrer les organisations les mieux protégées : la capacité, sur des réseaux isolés d’Internet (employés dans les domaines les plus sensibles), à exfiltrer des données sur des supports de stockage USB spécialement reconfigurés pour abriter une zone invisible du système d’exploitation hôte, zone dans laquelle vont être stockées des données à exfiltrer.

Si Kaspersky admet ne pas connaître le vecteur d’infection qu’utilisent les assaillants pour compromettre un premier système, il explique que Sauron détourne les scripts des administrateurs système de sa cible pour déployer ses malwares sur le réseau de sa victime. Des scripts normalement dédiés au déploiement de logiciels légitimes… De quoi faciliter les déplacements latéraux des assaillants une fois un premier système compromis.

Disparition des indicateurs de compromission

Pour Kaspersky, Projet Sauron a par ailleurs appris des erreurs d’autres acteurs similaires (comme Duqu, Flame, Equation ou Regin), évitant par exemple d’utiliser les mêmes artefacts d’une cible à l’autre. « Ce qui réduit leur valeur comme indicateurs de compromission pour les futures victimes », relève l’éditeur. Kaspersky estime que plus de 50 types différents de plug-ins peuvent venir se connecter sur la plate-forme de cyber-espionnage de Projet Sauron. « Presque tous les implants cœur de Projet Sauron sont uniques, possèdent des tailles et des noms de fichiers différents et sont bâtis individuellement pour chaque cible », écrit Kaspersky. Bref, pour l’éditeur, les assaillants ont intégré les méthodes des chercheurs en sécurité, qui traquent des schémas ou comportements identiques d’une cible à l’autre afin d’identifier de nouvelles menaces. « Sans ces schémas, l’opération sera plus difficile à mettre au jour », résume la société russe.

Cette dernière dit avoir identifié 30 organisations attaquées. « Mais nous sommes sûrs qu’il ne s’agit là que du minuscule sommet de l’iceberg. » Les organisations attaquées sont situées en Russie, en Iran et au Rwanda. Et opèrent dans des secteurs sensibles : gouvernement, recherche scientifique, armée, opérateurs télécoms, finance. S’y ajouteraient des cibles situées dans les pays italophones, selon Kaspersky, qui relève que la plate-forme de Sauron a été configurée pour cibler des organisations utilisant cette langue. De son côté, Symantec explique avoir identifié la menace chez 4 organisations ou individus en Russie, au sein d’une compagnie aérienne chinoise, dans une organisation suédoise et dans les murs d’une ambassade située en Belgique.

Difficile évidemment de déterminer d’où émane l’attaque. Kaspersky estime qu’il s’agit même là d’un problème « insoluble », étant donné la capacité des assaillants à multiplier les écrans de fumée afin de brouiller les pistes. L’éditeur russe relève toutefois un détail intéressant : l’emploi de termes renvoyant aux manuels Unix et notamment de ‘Cruft’ (désignant un élément superflu du logiciel), utilisé par les spécialistes de BSD. Pour Kaspersky, cette bizarrerie pourrait indiquer la présence, dans les équipes du Projet Sauron, de développeurs ‘old school’ ayant effectué leurs premières armes au sein de ces environnements. A moins qu’il ne s’agisse là que d’un écran de fumée de plus.

Article original de Reynald Fléchaux

Réagissez à cet article

Les logiciels indésirables sont 3 fois plus répandus que les malwares

Disponible pour Google Chrome, Mozilla Firefox et Apple Safari, la fonction Navigation sécurisée de Google analyse des milliards d’URL. Chaque semaine, elle génère plus de 60 millions d’alertes aux logiciels indésirables, selon Google. C’est trois fois plus que le nombre d’avertissements concernant des programmes malveillants (malwares), tels que les virus, les vers et les chevaux de Troie.

Paiement à l’installation (PPI)

La plupart des alertes aux logiciels non sollicités apparaissent lorsque les utilisateurs téléchargent involontairement un pack de logiciels (software bundles) bardé d’applications additionnelles. Ce modèle peut rapporter au diffuseur jusqu’à 1,50 dollar par installation effective (pay-per-install, PPI).

Outre la cible (les internautes), de nombreux acteurs sont impliqués : annonceurs, réseaux d’affiliation, développeurs, éditeurs et distributeurs des logiciels. Toutes les offres groupées de logiciels ne cachent pas une tentative d’installation de programmes non sollicités. Mais il suffit d’un acteur peu scrupuleux dans la chaîne de distribution pour inverser la tendance.

Injecteurs de publicités

Une étude menée par des chercheurs de Google, de NYU et de l’ICSI de Berkeley, montre que les réseaux PPI fleurissent (une cinquantaine a été analysée). Quatre des réseaux les plus étendus distribuaient régulièrement des injecteurs de publicités, des détourneurs de navigateur et des rogues ou scarewares. Ces derniers sont de faux logiciels de sécurité. Ils prennent la forme de fenêtres d’alerte et prétendent que les fichiers du système utilisé par l’internaute sont infectés…

Par ailleurs, 59 % des offres des réseaux d’affiliation PPI ont été signalées comme étant indésirables par au moins un antivirus. Pour détecter la présence de ces antivirus, les programmes indésirables vont le plus souvent marquer d’une empreinte (fingerprinting) la machine de l’utilisateur. Ils ont aussi recours à d’autres techniques pour contourner les mesures de protection.

Autorégulation

« Ces packs de logiciels sont promus à travers de fausses mises à jour, des contenus bidons et du détournement de marques », explique Google dans un billet de blog. « Ces techniques sont ouvertement présentées sur des forums souterrains comme des moyens destinés à tromper les utilisateurs pour qu’ils téléchargent involontairement des logiciels et acceptent les termes d’installation proposés ».

« Ce modèle décentralisé incite les annonceurs à se concentrer uniquement sur la monétisation, et les éditeurs à maximiser la conversion sans tenir compte de l’expérience utilisateur final », regrettent les chercheurs de Google Kurt Thomas et Juan Elices Crespo.

L’industrie travaille à l’encadrement de ces pratiques. C’est l’objectif affiché de la Clean Software Alliance, regroupement d’acteurs de la distribution de logiciels et d’éditeurs d’antivirus. Impliqué, Google détaillera ses plans cette semaine lors du USENIX Security Symposium d’Austin, Texas.

Article original de Ariane Beky

Réagissez à cet article