LastPass affecté par une faille critique d’accès à distance

Les gestionnaires de mots de passe peuvent se montrer d’une grande aide pour celui qui tient à conserver en un seul endroit une multitude de codes d’accès. Surtout, ils satisfont d’un coup plusieurs exigences en matière de sécurité informatique qui sont parfois contradictoires ou inapplicables au-delà d’un certain seuil.

Regardons un instant ce que l’on demande en règle générale à l’usager : l’utilisation d’un mot de passe unique par service, tout en respectant un strict formalisme qui va de la longueur du mot de passe (x caractères au minimum) à sa complexité (des lettres, des chiffres, des symboles, des majuscules et des minuscules, en mélangeant le tout), en passant par son renouvellement (sait-on jamais).

Bien entendu, il est évidemment tout à fait déconseillé de les noter simplement sur un bout de papier (on n’est jamais trahi que par les siens) ou de les enregistrer dans un fichier sur le PC (qui peut se faire pirater). Or, la seule mémorisation n’est pas une solution d’avenir : au-delà de quelques services, l’utilisateur s’y perdrait. D’où l’intérêt de passer par des gestionnaires de mots de passe.

Mais leur utilité ne doit pas faire oublier le fait que ces programmes sont par essence imparfaits.

Malgré tout le soin qui peut être apporté pendant leur conception, ces logiciels (les plus connus sont Dashlane, 1Password, KeePass et LastPass) peuvent être sensibles à certaines attaques. On l’a vu par exemple avec LastPass, qui est annoncé comme vulnérable au hameçonnage et qui a essuyé une intrusion dans son infrastructure, a priori sans dommage pour les mots de passe eux-mêmes.

Dans ce contexte, des initiatives comme celle lancée par la Commission européenne, qui consiste à organiser un audit du code source de KeePass — qui est un logiciel libre, ce qui facilite grandement les choses — sont à accueillir avec bienveillance. Elles contribuent à un rehaussement général du niveau de fiabilité de ce type de logiciel, à défaut de le rendre invulnérable, ce qui est illusoire.
La contribution d’un chercheur comme Tavis Ormandy est aussi précieuse, même si de prime abord elle provoque légitimement une inquiétude sur le degré de finition de certains logiciels. En effet, l’intéressé indique avoir déniché dès le premier coup d’œil une série de problèmes critiques qui lui ont sauté aux yeux. Il a ajouté avoir fait suivre un rapport complet à LastPass pour qu’il les règle.

La nature des vulnérabilités repérées n’est pas précisée par Tavis Ormandy. Le blog Naked Security, édité par l’éditeur d’antivirus Sophos, écarte pour le moment la piste de la faille 0-Day. Une telle vulnérabilité désigne les brèches n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu. Elles sont les plus dangereuses, car elles sont secrètes et peuvent être exploitées en toute discrétion.
Tout juste sait-on que la vulnérabilité en question permettrait un accès complet à distance. L’on peut imaginer que des détails supplémentaires seront donnés ultérieurement, lorsque LastPass aura fini son intervention. Dans un autre tweet, Tavis Ormandy ajoute qu’il va se pencher dans la foulée sur 1Password et regarder s’il peut repérer des fragilités dans ce gestionnaire.

Dans le cadre d’une divulgation responsable, les spécialistes en sécurité informatique sont en effet invités à signaler d’abord aux sociétés les failles qu’ils repèrent dans les logiciels qu’elles éditent, et cela en toute discrétion. Ce n’est qu’ensuite qu’une diffusion publique peut avoir lieu, une fois les correctifs appliqués, de façon à ce que des personnes mal intentionnées ne puissent pas en profiter.
Tavis Ormandy est une pointure dans le domaine de la sécurité informatique.

Il s’est illustré à diverses reprises en signalant des brèches critiques dans un certain nombre de logiciels, comme Linux, Windows, la plateforme de jeux Uplay conçue par Ubisoft ou encore le shell Bash. Il a aussi épinglé les éditeurs d’antivirus Sophos et Trend Micro. Il travaille depuis quelques années dans l’équipe Project Zero mise sur pied par Google pour traquer les failles 0-Day, qui regroupe quelques personnalités. À tel point qu’elle est présentée comme une dream team.

Article original de Julien Lausson

Réagissez à cet article

Attention, des antivirus auraient des trous de sécurité !

Où l’on reparle de ces produits antivirus qui abritent des failles permettant de contourner les mécanismes de défense de Windows… En septembre 2015, l’expert en sécurité informatique Tavis Ormandy, qui travaille au sein de l’équipe Google Project Zero, avait publié une étude à ce sujet.

Deux de ses confrères – en l’occurrence, Tomer Bitton et Udi Yavo, de la start-up israélienne enSilo, spécialisée dans la détection des attaques en temps réel – avaient approfondi la problématique.

Dans leur rapport, ils pointaient du doigt trois éditeurs (AVG, Kaspersky, McAfee), tout en suggérant que d’autres logiciels étaient probablement concernés par la vulnérabilité qu’ils avaient découverte.

La vulnérabilité en question permet, sans nécessiter de privilèges de niveau administrateur, d’exécuter du code malveillant en déjouant des technologies de type ASLR (distribution aléatoire de l’espace d’adressage) ou DEP (prévention de l’exécution des données).

Pour faire la jonction avec chacun des processus associés à une application (par exemple, plusieurs onglets dans un navigateur Web), l’antivirus leur alloue une zone mémoire avec des permissions en lecture, écriture et exécution (RWX).

Problème : dans de nombreux cas, cette zone est toujours à la même adresse. Un tiers parvenu à prendre le contrôle d’un programme et de son pointeur d’instructions peut donc facilement copier son code malveillant dans ladite zone… et l’exécuter.

Detours de Microsoft sur la sellette

La conférence Black Hat USA 2016, qui aura lieu du 30 juillet au 4 août à Las Vegas, sera, pour Tomer Bitton et Udi Yavo, l’occasion de faire le point sur l’avancée de leurs travaux.

À première vue, il y a des choses à dire : une demi-douzaine de failles ont été dénichées dans plus d’une quinzaine de produits. Mais ce sont potentiellement des milliers de logiciels qui sont affectés. Tout du moins tous ceux qui s’appuient sur la bibliothèque Microsoft Detours, destinée notamment à intercepter des fonctions d’applications et de processus, puis à en réécrire le code pour des fonctions cibles.

Les principaux antivirus exploitent cette technique dite de « hooking » pour détecter des comportements malveillants, entre autres au niveau des fonctions d’allocation de la mémoire (VirtualAlloc, VirtualProtect…). L’essentiel des programmes « intrusifs », comme ceux qui analysent les performances du système, en font aussi usage, dixit ITespresso.

Malheureusement, l’implantation des mécanismes d’injection de code depuis le noyau n’est pas toujours bien effectuée – que ce soit par import de tables, fonctions asynchrones ou modification du point d’entrée de la fonction cible.

enSilo a mis à disposition un outil baptisé AVulnerabilityChecker pour permettre à chacun de vérifier s’il existe, sur son système Windows, une application potentiellement vulnérable… et plus particulièrement un antivirus.

Article original de Silicon

Réagissez à cet article

Vous utilisez des objets connectés? Gare à vos données

Ils mesurent toutes les performances. Seulement voilà: d’après une étude publiée par l’entreprise de cybersécurité AV-Test le 18 juillet 2016, les objets connectés utilisés pour surveiller sa forme ne sont pas sécurisés. Pire encore, ils présentent des failles de sécurité pouvant permettre à des pirates informatiques d’accéder à leurs données et de les manipuler.

Des appareils utilisés par les assureurs

Pour en arriver à cette conclusion, AV-Test a examiné sept appareils utilisant Android, le système d’exploitation mobile de Google, et repéré des vulnérabilités similaires à celles qu’elle avait déjà identifiées il y a un an. Beaucoup d’appareils manquent de connexions sécurisées ou de protection contre les accès non autorisés. Les fabricants « ne font souvent pas assez attention à l’aspect de la sécurité », indique l’étude.

Elle fait pourtant valoir qu’il faudrait prendre davantage au sérieux la sécurité de ces appareils dont l’usage s’élargit, certaines assureurs santé commençant même à les utiliser pour fixer leurs tarifs ou proposer des remises.

Trois appareils avec des risques de piratages importants

Dans le détail, les appareils affichent des niveaux de sécurité variés. Selon l’étude, le risque le plus élevé est présenté par les appareils de Runtastic, Striiv et Xiaomi, où AV-Test relève 7 à 8 vulnérabilités potentielles sur un total de dix. AV-Test indique notamment que « ces appareils peuvent être suivis à la trace plutôt facilement » et qu’ils utilisent des systèmes d’identification et de protection contre les accès non autorisés incohérents ou inexistants, ou encore que leur programme n’est pas assez protégé pour garantir la sécurité des données collectées.

« Pire que tout, Xiaomi stocke toutes les données de manière non cryptée sur le smartphone », s’inquiète l’étude. Les appareils les plus sûrs, avec 2 à 3 risques potentiels pour la sécurité, sont la montre Pebble Time, le bracelet Band 2 de Microsoft et le moniteur d’activité et de sommeil Basis Peak.

L’Apple Watch tire son épingle du jeu

La montre connectée Apple Watch, évaluée selon des critères différents car elle utilise un autre système d’exploitation, a pour sa part, selon les chercheurs d’AV-Test, une « note de sécurité élevée », malgré des « vulnérabilités théoriques ».

L’Apple Watch est « presque impossible à suivre à la trace », mais dévoile certaines caractéristiques d’identification quand elle est en mode avion alors que ça « ne devrait pas être le cas », détaillent-ils. L’appareil « utilise essentiellement des connexions cryptées qui ont des sécurités supplémentaires », mais ses mises à jour se font par une connexion non cryptée, notent-ils aussi.

D’après le cabinet de recherche IDC, plus de 75 millions d’appareils connectés « fitness » ont été vendus en 2015 dans le monde, et le niveau devrait franchir la barre des 100 millions cette année.

Article original de Stephen Lam

Réagissez à cet article

Piratage de l’électricité, de l’eau et de la nourriture : comment les cybercriminels peuvent ruiner votre vie ?

Cependant, même ceux qui connaissent tout en matière de cybersécurité, qui utilisent des mots de passe fiables et qui les changent régulièrement, qui reconnaissent des messages d’hameçonnage au premier coup d’œil et qui protègent leurs dispositifs avec une excellente solution de sécurité, même ceux qui font tout, ne sont pas totalement à l’abri. Tout simplement parce que nous vivons en société.

Le problème est que nous avons le contrôle sur nos objets personnels, mais pas sur celui des équipements industriels, qui est loin de notre portée.

Vous avez dit cybersécurité ?

Nos experts en cybersécurité ont mené une étude afin de découvrir où nous en sommes concernant la sécurité des systèmes de contrôle industriel.

Shodan, le moteur de recherche pour les dispositifs connectés, nous a montré que 188 019 systèmes industriels dans 170 pays sont accessibles sur Internet. La majorité d’entre eux sont localisés aux Etats-Unis (30,5%) et en Europe, essentiellement en Allemagne (13,9%), Espagne (5,9%) et en France (5,6%).

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

Industrial #cybersecurity threat landscape https://kas.pr/MY6j  #klreport

8:29 PM – 11 Jul 2016

• 2020 Retweets

• 99 likes

92% (172 982) des systèmes de contrôle industriel (SCI) détectés sont vulnérables. Lamentablement, 87% ont un niveau de risque moyen de bugs et 7% connaissent des problèmes critiques.

Ces cinq dernières années, les experts ont méticuleusement examiné de tels systèmes et y ont découvert de nombreuses failles de sécurité. Durant ce laps de temps, le nombre de vulnérabilités dans les composants SCI a multiplié par dix.

Parmi les systèmes que nos experts ont analysés, 91,6% ont utilisé des protocoles non sécurisés, en donnant l’opportunité aux cybercriminels d’intercepter ou de modifier les données utilisant des attaques de l’homme du milieu.

Egalement, 7,2% (environ 13 700) des systèmes appartiennent à de grandes compagnies aéronautiques, des transports et de l’énergie, pétrolières et gazières, métallurgiques, de l’industrie alimentaire, de la construction et autres secteurs primordiaux.

View image on Twitter

Follow

Kaspersky Lab

✔@kaspersky

Maritime industry is easy meat for cyber criminals – http://ow.ly/Nio2a 

12:25 AM – 23 May 2015

• 3232 Retweets

• 1313 likes

En d’autres termes, des hackers qualifiés peuvent influencer n’importe quel secteur économique. Leurs victimes (les entreprises piratées) porteraient préjudice à des milliers ou millions de personnes en leur fournissant de l’eau contaminée ou de la nourriture immangeable, ou en leur coupant le chauffage en plein hiver.

Qu’est-ce que cela implique pour nous tous ?

Les possibles effets et conclusions dépendent des entreprises que les cybercriminels visent, et quel SCI elles utilisent.

Nous avons connaissance de quelques exemples de piratages industriels. En décembre 2015, la moitié des maisons de la ville ukrainienne Ivano-Frankivsk s’étaient retrouvées sans électricité à cause du piratage d’un générateur électrique. La même année avait également eu lieu une attaque de l’entreprise Kemuri Water.

Comme si cela ne suffisait pas, l’aéroport Frédéric Chopin de Varsovie avait aussi été la cible d’une attaque. Et un an plus tôt, des hackers avaient perturbé l’opération d’un haut-fourneau dans une aciérie en Allemagne.

Globalement, la sécurité des systèmes de contrôle industriel laisse encore à désirer. Kaspersky Lab a émis à plusieurs reprises des mises en garde concernant ces risques, mais d’éternels insatisfaits trouvent en général la parade : informez-nous de cas réels où ces vulnérabilités ontvraiment été exploitées. Malheureusement, on peut désormais le faire.

Bien évidemment, une personne seule ne peut pas faire grand-chose pour résoudre un problème systémique. Un équipement industriel ne peut pas être changé du jour au lendemain ou même en l’espace d’une année. Toutefois, et comme nous l’avons déjà dit, la défense la plus importante en matière de cybersécurité est de rester informés. Plus de personnes sont au courant du problème, et plus il y a de chances pour que les infrastructures industrielles soient à l’abri d’attaques néfastes.

Article original de John Snow

Réagissez à cet article

La police peut-elle obliger un suspect à débloquer son iPhone avec son doigt ?

La question s’est certainement déjà posée dans les commissariats et dans les bureaux des juges d’instruction, et elle devrait devenir plus pressant encore dans les années à venir : alors qu’un suspect peut toujours prétendre avoir oublié son mot de passe, ou refuser de répondre, les enquêteurs peuvent-ils contraindre un individu à débloquer son téléphone lorsque celui-ci est déblocable avec une simple empreinte digitale ?

Le débat sera tranché aux États-Unis par un tribunal de Los Angeles. Le Los Angeles Times rapporte en effet qu’un juge a délivré un mandat de perquisition à des policiers, qui leur donne le pouvoir de contraindre physiquement la petite amie d’un membre d’un gang arménien à mettre son doigt sur le capteur Touch ID de son iPhone, pour en débloquer le contenu.

Le mandat signé 45 minutes après son placement en détention provisoire a été mis en œuvre dans les heures qui ont suivi. Le temps était très court, peut-être en raison de l’urgence du dossier lui-même, mais aussi car l’iPhone dispose d’une sécurité qui fait qu’au bout de 48 heures sans être débloqué, il n’est plus possible d’utiliser l’empreinte digitale pour accéder aux données. Mais l’admissibilité des preuves ainsi collectées reste sujette à caution et fait l’objet d’un débat entre juristes.

EN MONTRANT QUE VOUS AVEZ OUVERT LE TÉLÉPHONE, VOUS DÉMONTREZ QUE VOUS AVEZ CONTRÔLE SUR LUI

Certains considèrent qu’obliger un individu à placer son doigt sur le capteur d’empreintes digitales de son iPhone pour y gagner l’accès revient à forcer cette personne à fournir elle-même les éléments de sa propre incrimination, ce qui est contraire à la Constitution américaine et aux traités internationaux de protection des droits de l’homme. « En montrant que vous avez ouvert le téléphone, vous montrez que vous avez contrôle sur lui », estime ainsi Susan Brenner, une professeur de droit de l’Université de Dayton. Le capteur Touch ID ne sert pas uniquement à débloquer le téléphone, mais aussi à le déchiffrer, en fournissant une clé qui joue le rôle d’authentifiant du contenu.

D’autres estiment qu’il s’agit ni plus ou moins que la même chose qu’une perquisition à domicile réalisée en utilisant la clé portée sur lui par le suspect, ce qui est chose courante et ne fait pas l’objet de protestations. Ils n’y voient pas non plus de violation du droit de garder le silence, puisque le suspect ne parle pas en ne faisant que poser son doigt sur un capteur.

ET EN FRANCE ?

Pour le moment, le sujet n’est pas venu sur la scène législative en France. Mais il pourrait y venir par analogie avec d’autres techniques d’identification biométrique.

En matière de recherche d’empreintes digitales ou de prélèvement de cheveux pour comparaison, l’article 55-1 du code de procédure pénale punit d’un an de prison et 15 000 euros d’amende « le refus, par une personne à l’encontre de laquelle il existe une ou plusieurs raisons plausibles de soupçonner qu’elle a commis ou tenté de commettre une infraction, de se soumettre aux opérations de prélèvement ». De même en matière de prélèvements ADN, le code de procédure pénale autorise les policiers à exiger qu’un prélèvement biologique soit effectué sur un suspect, et «  le fait de refuser de se soumettre au prélèvement biologique est puni d’un an d’emprisonnement et 30 000 euros d’amende ».

Sans loi spécifique, les policiers peuvent aussi tenter de se reposer sur les dispositions anti-chiffrement du code pénal, puisque l’empreinte digitale sert de clé. L’article 434-15-2 du code pénal punit de 3 ans de prison et 45 000 euros d’amende le fait, «  pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ou de la mettre en oeuvre, sur les réquisitions de ces autorités ». Mais à notre connaissance, elle n’a jamais été appliquée pour forcer un suspect à fournir lui-même ses clés de chiffrement, ce qui serait potentiellement contraire aux conventions de protection des droits de l’homme.

Article original de Guillaume Champeau

Réagissez à cet article

Jeux Olympiques de Rio : OP Hashtag infiltre des terroristes

Un nouveau cheval de bataille pour la justice brésilienne qui tente de contrôler les réseaux sociaux au Brésil. J’apprends dans le journal brésilien blasting news que La police fédérale brésilienne aurait infiltré le WhatsApp et Telegram de terroristes locaux lors d’une opération baptisée Op Hashtag. Plusieurs personnes s’échangeaient des informations sur des tactiques de guerre. Dans ce nouveau cas, la police fédérale parle clairement de « djihadiste » qui fomentaient des attaques à l’occasion des Jeux Olympique de Rio.

Opération HashTag

L’opération « Hashtag » a été lancée dans la matinée du jeudi 21 juillet. Cette action policière démontre comment la police fédérale aurait réussi à avoir accès aux messages de plusieurs groupes de « terroristes ». Des commanditaires d’attaques en Europe, qui souhaiteraient agir au Brésil.
Alexandre Moraes, le ministre de la Justice, a expliqué que la police tentait de surveiller les conversations WhatsApp. Action difficile puisque tous les messages sont chiffrés « ce qui rend impossible pour quiconque d’avoir accès, y compris à la justice« . Cependant, l’infiltration avec la création de faux comptes d’internautes aurait porté ses fruits. Le ministre a refusé de donner des détails sur la façon dont l’enquête a été menée, mais comme il est impossible de surveiller les messages échangés dans l’application, il est certain que les agents de police se sont présentés comme des candidats brésiliens aux actes assassins réclamaient par Daesh, Al Qaeda …

La Cour fédérale du Paraná a lancé 12 mandats d’arrêt grâce aux enregistrements téléphoniques d’internautes qui se seraient déclarés prêts à orchestrer des attaques lors des JO de Rio. Des internautes qui s’échangeaient aussi des modes d’emploi de tactiques militaires. Le ministre de la Justice a également révélé que certains des brésiliens arrêtés lors de l’Opération Hashtag avaient prêtés serment d’allégeance à l’État islamique.

Contrôler les réseaux sociaux

Le Brésil est précurseur sur de nombreux points concernant le contrôle des réseaux sociaux. Ce pays, qui est un immense vivier de pirates informatiques, tente aussi de cyber surveiller les propos et les internautes passant par ses Internet. Souvenez-vous, en juin 2014, lors de la coupe du monde football, les cyber manifestations lancées par Anonymous. Plus proche de nous, décembre 2015, avec le blocage de WhatsApp durant 48 heures. Un troisième blocage interviendra en mai 2016. Sans oublier l’arrestation d’un dirigeant de Facebook.

Article original de Damien Bancal

Réagissez à cet article

Les meilleurs anti-malware gratuits du moment

L’IObit Malware Fighter : fiable et s’adapte bien
Ce logiciel est gratuit pour repérer et lutter contre les malwares. Utilitaire efficace contre les adwares, chevaux de Troie, vers, keyloggers, etc, il se complète parfaitement avec un antivirus. Il offre une protection instantanée, une analyse heuristique, et le choix de recourir à un scan manuel. Il n’existe qu’en version anglaise et s’adapte à tous systèmes d’exploitation Microsoft, allant de Windows XP à Windows 10.

Le Spybot – Search& Destroy : l’anti-malware recherche et destruction par excellence
Celui-ci, également gratuit a la même capacité que le précédent. Il a deux sortes d’interface, l’une pour les néophytes et l’autre pour les professionnels. Ce logiciel protège les navigateurs contre les menaces et permet une analyse manuelle du système. Disponible seulement en anglais, il s’adapte sur les mêmes systèmes d’exploitation quel’ L’IObit Malware Fighter .

L’AdwCleaner : le suppléant fiable
L’AdwCleaner est un logiciel gratuit qui détecte et supprime les malwares. Il est efficace contre les adwares, toolbars, PUP/LPI ethijackers. C’est un utilitaire qui fonctionne uniquement par analyse manuelle mais il faut disposer de la dernière version. L’AdwCleaner est un excellent complément d’un antivirus ou un autre logiciel anti-malwares. Il est disponible en langue française et dispose d’une même adaptabilité de système que les deux premiers logiciels.

Emsisoft Anti-Malware : le bilingue
A la différence des trois premiers logiciels, celui-ci est payant. Sa validité est de 30 jours pour épargner votre système contre les menaces de types cheval de Troie, vers, spywares, etc. Il se complète à 100 % avec un antivirus classique. Il offre la possibilité de scanner manuellement le système et permet une surveillance instantanée, de même qu’une analyse heuristique. Il est disponible à la fois en anglais et en français. Cet anti-malware s’adapte sur tous systèmes de Windows XP à Windows 10.

Le Malwarebytes Anti-Malware : bref, mais efficace
Ce logiciel possède un arsenal complet pour tenir éloignés tous les malwares. Il est efficace contre les spamgiciels, les chevaux de Troie, les spywares, etc. Son scanner manuel et analyse heuristique constituent un appui optimal pour un antivirus. Il est également disponible en bilingue. Sa validité n’est que de 14 jours.

TDSS Killer : le tueur de malware
Le TDSS Killer est un anti-malware de Kaspersky. Sa fonction majeure est de détecter et supprimer les infections de type rootkit. Son analyse se fait uniquement en mode manuelle. Le savoir-faire de Kaspersky est une garantie chez le TDSS Killer pour déceler les malwares dissimulés. Son point faible est sa seule disponibilité en anglais.

En somme, même si les antivirus classiques sont conçus pour se parer aux menaces, il arrive que les malwares les contournent. C’est pourquoi il est mieux de se doter d’un logiciel anti-malware efficace. Il est même prudent d’en recourir à plusieurs.

Article original de Sekurigi

Réagissez à cet article

Double authentification et numéros premium, attention au hold-up !

La plupart des services web proposent pour la double authentification l’envoi de code via un SMS. Mais l’utilisateur peut aussi choisir de recevoir un appel et un robot dicte à haute voix le code. Un chercheur en sécurité, Arne Swinnen a montré que les différents services testés ne vérifient pas les numéros appelés. Il a donc réussi à rattacher ses différents comptes, Instagram, Office 365 ou Google à des numéros surtaxés.

Pour Instagram, le chercheur constate qu’une fois le SMS envoyé avec le code à 6 chiffres, le service attend 30 secondes avant d’émettre un appel téléphonique depuis la Californie pour transmettre ce code. Arne Swinnen a acheté un numéro surtaxé localisé au Royaume-Uni à 0,06 livre la minute. Il a automatisé les appels vers son numéro et a obtenu 1 livre sterling au bout d’un peu plus de 17 minutes. Un pirate pourrait alors subtiliser 48 livres par jour, 1440 livres par mois et 17 280 livres par an. Avec un peu de travail, il pourrait même multiplier ses gains par 100 en gérant 100 comptes Instagram sur un numéro surtaxé. Soit une fraude évaluée à 1,728 million de livres sterling.

Google plus difficile mais pas impossible

Pour Google, l’exercice a été plus compliqué, car la firme américaine ne bascule pas automatiquement sur un appel lors du processus d’authentification  sur mobile. Il s’agit d’une option qui a ses limites. En entrant un numéro premium, il était bloqué après plusieurs tentatives sans entrer le code fourni. D’où l’idée par Arne Swinnen de passer par un serveur SIP et un client SIP (comme un centre d’appel). Le numéro de téléphone fourni a été accepté par Google en lui ouvrant la voie à 10 appels par heure sans avoir besoin de rentrer le code (ce qui l’a un peu étonné). Pour automatiser le processus, il a écrit des scripts qui lui ont permis de récolter son premier euro au bout de deux heures et de 17 appels. Soit 12 euros par jour, 360 euros par mois et 4320 euros par an. Une opération qui peut être centuplée en liant 100 comptes Google à ce numéro.

Microsoft piégé par le zéro

Dernier exemple, la validation de compte Office 365. Microsoft autorise des numéros premium, mais les bloque au bout de 7 essais invalides. Mais le chercheur a trouvé des moyens de contourner cette limitation. Elles sont au nombre de deux. La première réside dans l’apposition du 0 devant le numéro de téléphone qui revalide ce numéro et permet donc un rappel. Arne Swinnen a poussé le vice à placer 18 fois le 0 devant le numéro et cela fonctionnait encore. L’autre moyen pour contourner les blocages est de rajouter de manière aléatoire jusqu’à 4 chiffres. Un savant calcul donne par numéro premium un retour sur investissement de 668 882 euros.

Récompenses et reconnaissance

Chaque démonstration a été envoyée aux différentes sociétés pour prendre les mesures nécessaires et réparer les erreurs. Microsoft a intégré ces découvertes au sein de son programme de Bug Bounty en allouant au chercheur une prime de 500 dollars. Une prime de 2000 dollars a été également donnée par Facebook dans le cadre de son programme de recherches de bugs. Cette récompense a été doublée, car le chercheur en a fait don à une œuvre caritative. Quand à Google, il remercie Arne Swinnen non pas en espèces sonnantes et trébuchantes, mais par une reconnaissance en le plaçant dans son Hall of Fame (à la 85^ème position).

Article original de Jacques Cheminat

Réagissez à cet article

Tor envahi par des mouchards ?

Deux chercheurs de la Northeastern University (Boston), Guevara Noubir et Amirali Sanatinia, démontrent à leur tour que le réseau Tor est la cible d’espions. Cette fois, les chercheurs n’ont pas étudié des noeuds de sortie détournés pour mener des attaques de type « Man In The Middle ». Ils se sont intéressés à d’autres relais : ceux qui permettent d’accéder à des services cachés et référencent des éléments clés (adresse en .onion, clé publique, points d’introduction) .

Ces relais (HSDirs, Hidden Service Directories) font partie intégrante des services cachés et du dark web. Mais des entités (gouvernements, entreprises, hackers, etc.) peuvent en modifier le code pour obtenir des informations, découvrir une adresse ou exploiter une faille.

Pot de miel

Dans le cadre de leurs travaux, les chercheurs ont déployé 4500 services cachés (en .onion), 72 jours durant. « Nos résultats expérimentaux montrent que, durant cette période, au moins 110 relais (HSDirs) étaient à la recherche d’informations sur les services cachés qu’ils accueillent », soulignent les chercheurs dans une note. Ils ont également indiqué à Motherboard que la recherche de vulnérabilités n’est pas exclue des motivations de ceux qui pilotent ces relais. La plupart d’entre eux sont hébergés aux États-Unis, en Allemagne et en France. Mais il est toujours possible d’opérer un serveur à distance…

Roger Dingledine, cofondateur du projet Tor, a expliqué au magazine que peu, voire aucun de ces relais ne se trouvent dans le réseau Tor en ce moment. Le projet travaille, par ailleurs, à la mise en place d’une prochaine génération de services « onion ». Quant aux chercheurs, ils présenteront leurs travaux lors de la Defcon 24, qui se déroulera du 4 au 7 août prochains à Las Vegas.
Article original de Ariane Beky

Réagissez à cet article

77 % des entreprises totalement impuissantes face à des Cyberattaques

Le GTIR (« Global Threat Intelligence Report ») analyse une énorme masse de données issues de 24 centres d’opérations de sécurité (SOC), sept centres R&D, 3 500 milliards de logs et 6,2 milliards d’attaques. Ces résultats sont donc particulièrement intéressants pour suivre l’état des menaces dans le monde. Son édition 2016, qui décrypte les tendances de ces trois dernières années souligne le peu de progrès réalisés par les entreprises dans leur lutte contre les menaces, et note même une légère hausse du nombre d’entre elles mal préparées qui s’élève à 77 %. Face à des attaques d’envergure, elles doivent le plus souvent solliciter une intervention extérieure. Seules 23 % des organisations seraient donc en mesure de se défendre efficacement contre des incidents de sécurité majeurs.

Le retail le plus touché par les incidents

Après des années passées en tête des secteurs les plus touchés dans les précédents rapports GTIR, la finance cède sa place à la grande distribution qui enregistre 22 % des interventions sur incidents (contre 12 % l’année passée) de NTT Com Security. La grande distribution a été particulièrement exposée aux attaques de spear phishing. Parce qu’elles brassent d’importants volumes de données personnelles, dont des informations bancaires, les organisations de ce secteur constituent une cible particulièrement attractive, et ce au point d’enregistrer le plus fort taux d’attaques par client. Le secteur financier a représenté 18 % des interventions.

En 2015, le groupe NTT a également noté une augmentation des attaques à l’encontre du secteur de l’hôtellerie, des loisirs et du divertissement. Tout comme la grande distribution, ce secteur draine aussi de gros volumes d’informations personnelles, y compris des données de cartes bancaires. De même, le niveau relativement élevé des transactions dans le milieu (hôtels, stations touristiques…) suscitent la convoitise des attaquants. Avec sa palette de programmes de fidélité, l’hôtellerie est une vraie mine d’informations personnelles. Plusieurs violations de sécurité ont d’ailleurs défrayé la chronique en 2015 : Hilton, Starwood ou encore Hyatt.

Hausse de 17 % des menaces internes

A quels types d’incidents NTT Com Security a-t-il été confronté ? Les violations de sécurité ont représenté 28 % des interventions en 2015, contre 16 % en 2014. Un grand nombre d’incidents concernaient des vols de données et de propriété intellectuelle. Les menaces internes ont connu de leur côté une véritable envolée, passant de seulement 2 % en 2014 à 19 % en 2015. Elles résultent le plus souvent d’une utilisation abusive des données et ressources informatiques par des salariés ou prestataires externes.

En 2015, 17 % des interventions de NTT Com Security se sont produites sur des attaques par spear phishing, alors qu’elles représentaient moins de 2 % auparavant. Basées sur des tactiques sophistiquées d’ingénierie sociale, comme l’utilisation de fausses factures, ces attaques visaient principalement des dirigeants et autres personnels de la fonction comptabilité-finance.

Enfin, le GTIR 2016 a enregistré un recul des attaques DDoS par rapport aux années précédentes. Elles ont reculé de 39 % par rapport à 2014. Le rapport attribue cette baisse aux investissements réalisés dans les outils et services de défense contre ce type d’agression.
A noter cependant une augmentation des cas d’extorsion, où les victimes d’acquittent d’une rançon pour lever les menaces ou stopper une DDos en cours.

Le rapport ici

Article original de Juliette Paoli

Réagissez à cet article