Pour rassurer le groupe de travail de l’article 29, et pour venir compléter des mesures de sécurité se basant sur la norme iso 27001, plusieurs pistes ont été envisagées par Microsoft dont :

Faire appel à des contrôleurs de mises en conformité indépendants

S’engager à fournir la liste des sous-traitants…

Modifier ses conditions générales de ventes

S’engager à conserver confidentielles les données stockées hors cadre judiciaire

Réagissez à cet article

Ils notifient une faille sur un site web puis reçoivent la visite des gendarmes 

Attention, le métier de chercheur en sécurité n’est pas totalement sans risque, comme viennent de le constater deux jeunes entrepreneurs qui viennent tout juste de créer Cesar Security, une société spécialisée dans les audits de sécurité et la prévention contre la fraude bancaire.

La semaine dernière, ils trouvent une faille sur le site web du Forum International de Cybersécurité (FIC) qui se déroule ce jour à Lille.

Selon eux, la vulnérabilité – désormais corrigée – était assez banale, mais permettait quand même d’accéder à la base de données des participants. Pas terrible pour l’image de marque d’un tel évènement qui accueille chaque année le gratin français en matière de cybersécurité. Les deux hommes veulent faire les choses bien et contactent l’éditeur du site, à savoir la Compagnie Européenne d’Intelligence Stratégique (CEIS), co-organisateur de l’évènement. Parallèlement, ils envoient une alerte sur Twitter.

 
Ils sont aimablement reçus au téléphone par un consultant en sécurité du CEIS auprès de qui ils détaillent leur trouvaille. Ils lui envoient un rapport technique de la faille avec une proposition de correctif, un accord de confidentialité ainsi qu’un devis pour un audit de sécurité. « Au départ, nous lui avons proposé un audit gratuit, mais il a dit que ce n’était pas un problème, que l’on pouvait lui envoyer un devis chiffré », nous explique S. Oukas, l’un des deux entrepreneurs. Puis, c’est le silence radio, plus aucune nouvelle. Le 20 janvier, ils envoient donc un nouveau tweet, pour « prendre des nouvelles ».

© DR

Le jour suivant, c’est la surprise. A 9h du matin, les gendarmes sur Centre de lutte contre les cybercriminalités numériques (C3N) toquent à leur porte. Ils apprennent que l’éditeur du site a porté plainte pour « accès frauduleux à un système de traitement automatisé de données » (STAD), un délit passible de deux ans d’emprisonnement et d’une amende de 60 000 euros.

Tout le matériel informatique est saisi. « Nous avons tout perdu : les trois ordinateurs dans notre bureau, un téléphone, un ordinateur personnel et même une PlayStation. Nous sommes tombés de très haut. Nous qui pensions que le FIC aurait encouragé une jeune startup, ils nous mettent à genou. Nous avons perdu nos outils de travail, nous ne pouvons plus rien faire », souligne M. Oukas.

Vente forcée ou chevalier blanc ?

De son côté, le CEIS n’a pas la même interprétation des choses. « Cette société nous a bien contactés, mais ce n’était pas désintéressé car elle nous a proposé ses services. Nous ne l’avons jamais autorisé à effectuer cette recherche. C’est de l’audit sauvage », estime Guillaume Tissier, directeur général du CEIS, qui n’a pas apprécié non plus que Cesar Security publie son alerte de sécurité de manière publique sur Twitter, aux yeux de tous. « Au tribunal, le débat tournera certainement autour de cette question, car on peut le voir comme une forme de vente forcée », estime pour sa part Bernard Lamon, avocat.

L’ironie du sort, c’est que cette affaire tombe pile au moment où les députés votent un amendement visant à protéger les lanceurs d’alerte qui trouvent des failles informatiques. Selon le texte, une telle personne sera exempte de peine « si elle a immédiatement averti l’autorité administrative ou judiciaire ou le responsable du système ». Ce texte, s’il est adopté au final, pourrait néanmoins jouer en faveur de Cesar Security. « Même si les faits sont antérieurs, le texte sera applicable car il est plus clément », souligne Bernard Lamon.

Réagissez à cet article

D’où vient le danger des Objets connectés ?

Deux étudiants en médecine, ont pointé du doigt les failles que pourraient comporter certains objets connectés, dans des actions spectaculaires : prendre le contrôle d’un Pacemaker à distance ou encore désactiver les freins d’une voiture connectée. Ces actions coups de poing mettent à nu les faiblesses que comportent certains objets connectés face à des hackers malveillants. En effet, c’est précisément là que ce situe le paradoxe des nouvelles technologies qu’utilisent les objets connectés… Car s’ils sont conçus pour nous faciliter le quotidien, ils peuvent au contraire nous faire beaucoup de mal et en particulier à nos données personnelles ! Pour pouvoir se protéger, il faut avant tout comprendre cette technologie et adopter quelques habitudes très utiles.

Tout objet connecté peut être hacké

Pour comprendre comment une balance connectée peut devenir notre ennemi numéro 1, il faut d’abord comprendre comment cheminent des data (c’est-à-dire les données personnelles qui sont recueillies pendant l’utilisation de l’objet connecté) vous concernant, quels en sont les tenants et les aboutissants et où sont stocké ces données.

Il existe trois principaux canaux par lesquels voyagent nos data : les réseaux Wifi, le Bluetooth et les réseaux cellulaires pour objets connectés (Sigfox et Lora sont deux des principaux acteurs de ces réseaux).

Ces données sont ensuite acheminées jusqu’aux serveurs du fabricant ou du développeur de l’application pour ensuite revenir vers vous avant de repartir sur le Cloud… Au milieu de tous ces voyages, il devient très facile de voler ou de prendre le contrôle de vos objets, surtout si vous passez par un réseau public.

 
Le hackage est une menace très sérieuse à prendre en compte

En 2015, on a constaté une augmentation de 50 % de la cyber-criminalité en France ! Les concepteurs et développeurs d’objets connectés nous parlent sans cesse de nouveautés incroyables et parfaites pourtant comment celles-ci sont-elles sécurisés ? Est-ce que les différents fournisseurs appliquent ou suivent des normes ou une réglementation officielle pour sécuriser le matériel de fabrication ? Il semble qu’il n’y ai pas encore de législation officielle qui soit mise en place, même si la CNIL (Commission Nationale de l’Informatique et des libertés) s’est dernièrement attelé au sujet lors du Forum International de la cyber-sécurité.

Sécurité des objets connectés
C’est lors des voyages des data que celles-ci sont les plus vulnérables.

Mais le problème reste entier tant que les données qui voyagent ne seront pas cryptées… Ces données personnelles récoltés par les objets connectées peuvent avoir un intérêt économique pour certaines sociétés.

Ainsi, votre balance connectée peut en dire long sur vos habitudes alimentaires, votre traqueur de sommeil connecté peut donner, lui aussi, de précieuses informations sur vos habitudes de vie quotidienne. Ces données qui peuvent se monnayer très cher favorisent le profilage ciblé pour les publicités notamment et vous enlever petit à petit la liberté d’acheter ce qui vous plaît et non pas ce que l’on vous a suggéré. Le reste des data qui vous concerne, comme vos données bancaires ne sont, également, pas à l’abri d’un hackeur qui chercherait à vous voler de l’argent sans toucher à votre porte-monnaie !

Optimisez la sécurité de vos objets connectés

Face aux deux risques majeurs de la reprise malveillante de vos données personnelles : l’utilisation commerciale et le piratage des donnés personnelles, vous pouvez adopter quelques gestes simples pour augmenter la sécurité de vos data. Si les objets connectés s’avèrent être dans de nombreux cas, un formidable assistant dans la vie quotidienne pour surveiller votre alimentation, votre sommeil, … Au contraire, s’ils sont mal connus ou utilisés d’une mauvaise manière, ils peuvent devenir très dangereux pour le particulier. Vous ne devez pas oublier qu’il est essentiel de comprendre comment fonctionnent ces technologies pour en profiter au maximum sans crainte.

Dans un premier temps, vous devez lister tous les objets connectés en activité dans votre maison et déterminer pour chacun d’entre-eux à quoi ils sont connectés et par quel biais (Wifi ou Bluetooth ou réseau cellulaire). Par cet inventaire un peu minutieux mais très utile, vous pourrez contrôler le cheminement de vos données personnelles et savoir quel objet connecté communique par des biais peu sécurisés. Pour que votre sécurité soit optimale, vous devez également effectuer régulièrement des mises à jour en ce qui concerne la sécurité et surtout changer régulièrement les mots de passe et vos identifiants. Il ne faut pas oublier que même si vos objets connectés restent dans votre maison, les data qu’ils produisent voyagent eux sur le net et donc dans le monde !

Réagissez à cet article

Une Vauclusienne se fait escroquer de 23000 euros par téléphone 

En décembre dernier, la faussaire appelle cette habitante de Saint-Romain en Viennois, près de Vaison-la-Romaine, qui vient de perdre son père, pour lui annoncer qu’il avait contracté une assurance-vie à son bénéfice.

Pour toucher les 127 000 euros de capital, elle doit d’abord payer 9500 euros d’honoraires. Elle s’exécute, après avoir reçu des documents convaincants par mail, et fait un virement… en Lituanie. Quelques jours plus tard, rebelote, cette fois avec un virement de près de 13500 euros en Bulgarie. «Il lui faudra encore quelques jours pour se douter d’une entourloupe.

Elle s’adresse alors à sa banque, qui lui confirme qu’elle a été escroquée», raconte le journal. Un stratagème simple, qui rappelle «l’arnaque au PDG», dont sont victimes depuis plusieurs années de nombreuses entreprises françaises.

Réagissez à cet article

Après FREAK, une nouvelle faille dans le chiffrement des connexions

Au début du mois de mars, la #faille FREAK secouait Internet, pour plusieurs raisons. Tout d’abord, car elle permettait (et permet toujours) d’intercepter des échanges de données chiffrés entre un serveur et un navigateur. Ensuite car il s’agissait d’un reliquat des années 90 lorsque les États-Unis limitaient l’exportation des systèmes de chiffrements à 512 bits maximum (voir cette actualité pour plus de détail). Bien évidemment, bon nombre de serveurs et de navigateurs avaient été rapidement mis à jour suite à cette découverte.

Il convient néanmoins de relativiser puisqu’il faut procéder à une attaque de type « homme du milieu » pour l’exploiter, et donc être sur le même réseau (un « hot-spot » Wi-Fi par exemple), ce qui n’est pas toujours des plus pratiques. On est loin de la portée de Heartbleed par exemple, qui permettait à n’importe qui de lire des données directement dans la mémoire d’un serveur (identifiant, mot de passe, carte bancaire, etc.).

De FREAK à Logjam, toujours la même histoire de chiffrement « faible »

Mais une faille peut en cacher une autre et voilà désormais qu’il est question de Logjam. Elle est détaillée dans ce document, signé par des chercheurs de l’INRIA de Paris et de Nancy, de l’université de Pennsylvanie, de Johns Hopkins, du Michigan et de chez Microsoft Research. Selon les chercheurs, « cette attaque rappelle FREAK, mais elle est due à une faille dans le protocole TLS plutôt qu’à une vulnérabilité dans son implémentation, et elle cible un échange de clés Diffie-Hellman plutôt que d’un échange de clés RSA ».

Avec la faille FREAK et l’utilisation de la fonction « export RSA », un serveur répond avec une clé RSA de 512 bits, tandis qu’avec Logjam et « DHE_EXPORT », serveur et navigateur procèdent à un échange de clés via le protocole Diffie-Hellman, mais dans des groupes de 512 bits seulement… ce qui n’est pas suffisant pour résister à une attaque. On notera que ce problème avait déjà été évoqué par certains il y a plusieurs mois. La situation n’est donc pas nouvelle, mais elle prend une autre tournure.

Serveurs et navigateurs doivent se mettre à jour

Là encore, le problème concerne les navigateurs et les serveurs : il suffit que l’un des deux n’accepte pas un groupe de 512 bits pour que l’attaque échoue. De plus, et comme avec FREAK, il faut être sur le même réseau pour que cela fonctionne via une attaque de l’homme du milieu, ce qui limite évidemment la portée, mais n’enlève rien à sa dangerosité.

Du côté des navigateurs, Internet Explorer ne semble pas vulnérable si l’on en croit l’outil de test proposé par le site WeakDH.org, mais Chrome et Firefox le sont. Adam Langley, un cryptanalyste qui travaille chez Google, s’est exprimé sur le sujet sur l’un des forums du géant du web : « En se basant sur leur travail, nous avons désactivé TLS False-Start avec Diffie-Hellman dans Chrome 42, qui est la version stable depuis plusieurs semaines maintenant [NDLR : on est passé à Chrome 43 depuis ce matin, mais cela ne change rien sur le principe]. Cette attaque sur les serveurs vulnérables sera un peu plus difficile ».

Passer à 1 024 bits minimum, voire mieux à Diffie-Hellman sur des courbes elliptiques

Pour autant, cela n’est pas encore suffisant et Adam Langley ajoute que « le tronc commun du code de Chrome changera afin d’imposer une nouvelle taille de 1024 bits pour Diffie-Hellman. Même si cela entraînera des problèmes pour certains sites, le travail d’aujourd’hui montre que nous ne devrions pas considérer de tels sites comme sécurisés de toute manière ». Il précise que « ce changement est en bonne voie d’être inclus dans Chrome 45 », mais que le calendrier pourrait être plus rapide.

Mais tout cela ne sera probablement qu’une solution temporaire. En effet, les chercheurs à l’origine de la publication de Logjam indiquent qu’un groupe de 1 024 bits peut être « cassé » par un pays ayant suffisamment de moyens (on pense notamment à la NSA qui décrypte à tout-va), et cela ne fera qu’empirer avec le temps. Le cryptographe de Google rejoint cette conclusion : « Un minimum de 1024 bits ne suffit pas sur le long terme. Malheureusement, parce que certains clients ne prennent pas en charge les groupes de DH supérieurs à 1024 bits, et parce que TLS ne négocie pas spécifiquement certains groupes, il serait très problématique de pousser cette limite au-dessus de 1024. Alors que nous approchons de l’élimination du chiffrement RSA sur 1024 bits, nous nous interrogeons de manière plus générale sur la prise en charge des groupes non elliptiques DHE dans TLS ». Cela laisse entendre que cette méthode pourrait disparaitre à terme, en tout cas chez Google.

Il existe en effet une version plus sécurisée de ce protocole : ECDHE pour Elliptic curve Diffie–Hellman (ou bien encore Diffie-Hellman sur des courbes elliptiques). Pour Google, « les serveurs qui utilisent actuellement DHE devraient se mettre à jour et passer à ECDHE. Si cela est impossible, utilisez au moins DHE avec des groupes de 1024 bits et ne soyez pas trop surpris si Chrome commence à utiliser du chiffrement RSA avec votre site dans le futur ».

Un guide des bonnes pratiques et un site pour tester navigateurs et serveurs

Cette recommandation est d’ailleurs également faite par l’équipe de chercheurs qui a mis en ligne un petit guide du déploiement de Diffie-Hellman, ainsi qu’un outil de test. Il recommande de désactiver les fonctions Export Cipher Suites, déployer un système de Diffie-Hellman sur des courbes elliptiques et utiliser un groupe fort et unique pour chaque serveur.

Comme toujours, on devrait voir arriver une série de correctifs dans les prochaines semaines, à la fois côté navigateur et serveur. Cela ne devrait pas tarder puisque les principaux concernés ont été mis au courant avant que la faille ne soit rendue publique.

Réagissez à cet article

Le chaos à la suite d’une attaque informatique ?C’est théoriquement possible

Invitée du Journal du Matin à l’occasion de la « Journée stratégique 2016 » de l’Association suisse de la sécurité de l’information (Clusis), Solange Ghernaouti explique de quelle manière des systèmes informatiques complexes peuvent déstabiliser le monde réel. Surtout lorsqu’ils tombent dans de mauvaises mains, comme celles de terroristes.

« Le groupe Etat islamique est en train de monter en puissance dans ce domaine. Ils sont très forts dans l’usage de l’internet, notamment dans la communication. » La spécialiste en cybersécurité à l’Université de Lausanne cite l’exemple d’applications sur android pour téléphones portables, développés par l’EI pour communiquer de manière sécurisée.

« Cologne était délibéré »

Selon elle, les agressions sexuelles de Cologne étaient d’ailleurs organisées et aidées par des outils de communication sophistiqués. « Le viol est une arme de guerre », rappelle-t-elle. Or, ces événements étaient une volonté délibérée de déstabiliser la population.

« Nous n’avons pas encore pris la mesure de ce que pouvaient faire les outils de communication pour donner du pouvoir à des terroristes », souligne-t-elle.

Attaquer de gros ouvrages

Au-delà des outils de communication, Solange Ghernaouti évoque aussi les attaques informatiques sur des infrastructures critiques. « Le chaos est théoriquement possible », affirme-t-elle. Par exemple, la Suisse pourrait être privée d’électricité durant plusieurs jours.

Il est également possible, explique-t-elle, de prendre le contrôle des systèmes qui gèrent des barrages, pouvant engendrer des catastrophes naturelles. Pire: en manipulant des données informatiques servant à réguler la qualité de l’eau, il est possible d’infecter des réseaux de distribution.

« Le groupe Etat islamique n’a pas encore les moyens de pirater de grands ouvrages, mais c’est l’étape d’après », alerte Solange Ghernaouti.

Sous-effectifs en Suisse

Si la Confédération a déjà pris conscience des risques et des menaces informatiques possibles, le problème se situe ailleurs, estime-t-elle. « Il y a un décalage entre le conceptuel et les moyens à dégager pour mettre ces risques sous contrôle. »

L’effectif de la cyberdéfense en Suisse se compterait sur les doigts d’une main, selon l’experte, qui appelle le nouveau conseiller fédéral Guy Parmelin à « porter ce débat au niveau le plus haut du pays ».

Réagissez à cet article

La boîte à outils des gendarmes du Net pour lutter contre la Cybercriminalité

Réagissez à cet article

Ne donnez jamais une donnée personnelle de santé à un assureur

Les laboratoires pharmaceutiques à voir

Il a pris la parole lors de l’événement Keynote 2016 organisé par Maddyness le 20 janvier à Paris. “Il ne faut jamais donner de données personnelles aux assureurs, aux employeurs, aux banquiers,” dit-il, “les laboratoires pharmaceutiques, il faut voir,” ajoute-t-il.

Il parle alors de données personnelles. Il est plus ouvert pour l’usage de données de santé anonymisées. L’ancien ministre est revenu sur son expérience du dossier médical personnel. “Le DMP est le plus grand échec de ma vie quand j”étais ministre de la santé en 2004” déclare-t-il. Il croyait pourtant en ses vertus qu’il s’agisse d’accélérer les diagnostics, de détecter les risques liés à certains médicaments ou de réduire les coûts médicaux.

“En France, on dépense 30 milliards d’euros par an en examens redondants,” pointe-t-il. “Vous vous blessez, on va vous faire faire une radio, et si vous devez aller à l’hôpital, on va refaire cette radio, on ne tient pas compte de la radio que vous avez faite dans le privé,” illustre-t-il.

Mediator et sclérose en plaques

“Avec le DMP, on aurait vu en quelques mois et pas en années, que le Mediator créait des effets indésirables,” souligne-t-il. “De plus, on avait dit que la vaccination contre l’hépatite B créait des risques de sclérose en plaques, on aurait vu que c’est faux grâce au DMP,” martèle-t-il.

Depuis, il pense faire renaître ce dossier au sein de sa startup Honestica, où il est associé à Frank Le Ouay, l’un des cofondateurs de Criteo. “La création d’un dossier médical personnel a échoué chez les Américains parce qu’ils partent du patient, il faut partir du médecin, c’est lui qui dans le cadre de la relation de confiance avec le patient va pousser cette solution. Mais il faut lui vendre ce dossier médical comme un moyen de gagner du temps, une heure par jour, et pas comme de la paperasse supplémentaire,” recommande-t-il.

Expérimentation en mars

Sa société va débuter l’expérimentation en mars prochain de sa solution auprès d’un hôpital toulousain. “Les comptes rendus de sortie de l’hôpital sont encore envoyés par la Poste,” dit-il, “nous proposons de les gérer électroniquement.” Et il mise sur les médecins hospitaliers pour faire le succès de ce dossier médical électronique.

Réagissez à cet article

Que sont les fichiers Prefetch ?

Un mot sur les fichiers Prefetch

Dans le cadre de ses analyses, le CERT-FR est régulièrement amené à analyser les fichiers Prefetch, si ceux-ci sont disponibles, afin de déterminer la date d’exécution d’un programme sur le système et éventuellement l’emplacement depuis lequel il a été exécuté.

Pour rappel, les fichiers Prefetch *.pf, introduits sous Windows XP et localisés dans %SystemRoot%Prefetch, sont utilisés par le système d’exploitation pour caractériser les applications exécutées par le système et l’utilisateur.

Cette fonctionnalité permet de déterminer les pages mémoires de code utilisées par un programme afin de les charger préalablement lors de l’exécution de ce dernier. L’objectif ainsi visé est d’éviter un maximum d’accès disque. Par défaut, le Prefetch est désactivé pour tous les programmes sur les environnements Windows Server.

Ce paramètre est stocké dans la valeur suivante :

HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
PrefetchParametersEnablePrefetcher
Windows Vista et SuperFetch

Introduit avec le noyau de Vista, SuperFetch est un procédé de gestion de la mémoire, à l’image du Prefetcher introduit sous XP. SuperFetch vise à améliorer les performances générales du système via un mécanisme de prédiction d’utilisation des pages mémoire de code en fonction de scénarios temporels (exécution en semaine ou week-end, utilisation entre 6 heures et midi, midi et 18h, 18h et minuit).

Prefetch ne se base que sur l’activité récente du système pour charger préalablement des données. Si une application utilise intensivement la mémoire, l’historique d’utilisation des pages sera faussé. SuperFetch tente d’optimiser ce modèle de gestion mémoire par le composant de rééquilibrage (rebalancer), qui permet de prioriser à nouveau la liste des pages mémoire en fonction de leur historique d’utilisation et des scénarios temporels établis.

Les fichiers Ag*.db constituent une base d’informations sur l’historique d’utilisation des programmes et de leurs pages mémoire de code. Par abus de langage, ils sont nommés fichiers SuperFetch, bien que ce terme englobe le procédé de gestion mémoire optimisé dans son ensemble. A l’instar des fichiers Prefetch, ils se trouvent dans le dossier %SystemRoot%Prefetch.

Comme pour Prefetcher, le SuperFetch est désactivé par défaut pour tous les programmes sur les environnements Windows Server.

Le paramètre est contenu dans la valeur suivante :

HKLMSYSTEMCurrentControlSetControlSession ManagerMemory Management
PrefetchParametersEnableSuperfetch

Initialement, enablePrefetcher et enableSuperfetch étaient désactivée par défaut sur Windows 7 sur les systèmes équipés de disques SSD, afin d’améliorer la durée de vie des premiers modèles de disque. L’option enablePrefetcher a été réactivée par défaut à partir de Windows 8, mais ce n’est pas le cas pour SuperFetch.

Utilité des artefacts d’exécution de programme

Dans le cadre d’une investigation lors d’un incident de sécurité informatique, l’analyste sera intéressé de savoir si un programme a été exécuté (le nombre de fois, la date, la fréquence et l’emplacement). Cela peut mettre en avant un comportement malveillant si une application suspecte est utilisée, ou déterminer la légitimité d’une autre par une étude statistique.

Les fichiers Prefetch peuvent être décodés avec les outils suivants :

Pf de TzWorks (payant) ;
CrowdResponse de CrowdStrike (gratuit) ;
Windows file analyzer de Mitec (gratuit) ;
le greffon prefetch de RegRipper (libre et gratuit) ;
Prefetch-parser de Airbus DS (libre et gratuit).

Les fichiers SuperFetch peuvent être partiellement décodés avec les outils suivants :

CrowdResponse de CrowdStrike (gratuit) ;
Superfetch-dumper de Rewolf (libre et gratuit).

Documentation

http://cert.ssi.gouv.fr/site/CERTFR-2014-ACT-037
http://cert.ssi.gouv.fr/site/CERTFR-2015-ACT-044
https://technet.microsoft.com/en-us/magazine/2007.03.vistakernel.aspx
https://www.crowdstrike.com/blog/crowdresponse-application-execution-modules-released
M. Russinovitch, D. Solomon, A. Ionescu. Windows Internals vol.2. Microsoft Press. p.338
https://github.com/libyal/libagdb/blob/master/documentation/Windows SuperFetch (DB) format.asciidoc

Réagissez à cet article

Un phishing et Lastpass s’en est allé

Le phishing n’est pas toujours un problème situé entre le clavier et la chaise. C’est en tout cas la thèse défendue par le chercheur Sean Cassidy, qui a présenté ce week-end lors de la conférence Shmoocon une attaque de cette catégorie particulièrement convaincante et capable de tromper les utilisateurs les plus aguerris du gestionnaire de mot de passe Lastpass.

L’attaque, baptisée « Lostpass » exploite plusieurs vulnérabilités présentes sur le service de gestion des mots de passe : il s’agit tout d’abord pour l’attaquant d’attirer l’utilisateur sur un site malicieux, puis d’afficher une notification indiquant à l’utilisateur que celui-ci a été déconnecté de Lastpass. Une fois celle-ci affichée, l’utilisateur est ensuite redirigé vers une page de login quasi identique à celle affichée par Lastpass en cas de déconnexion. L’attaquant peut exploiter un bug notamment présent dans Chromium afin de disposer d’un nom de domaine quasi similaire à celui utilisé pour les extensions chrome du même type que celles utilisées par Lastpass.

L’attaquant peut ensuite exploiter l’API ouverte de Lastpass pour vérifier si les identifiants entrés par l’utilisateur sont valides et pour savoir si celui-ci a activé un système d’identification à double facteur : si tel est le cas, l’attaquant peut également présenter une invite copiée sur celle proposée par le service de gestion de mot de passe et qui lui permet de récupérer par la même occasion le token généré par la double authentification. Une fois les identifiants récupérés, l’attaquant peut accéder au reste des mots de passe stockés par l’utilisateur, ou modifier les paramètres de sécurité du compte afin de faciliter d’éventuelles futures attaques.

Un problème entre la chaise et le clavier ?

Les équipes de Lastpass ont été mises au courant de ce scénario d’attaque au cours de l’été 2015 et ont depuis mis en place plusieurs mesures afin de protéger les utilisateurs. La société a ainsi mis en place un système de vérification par mail lorsque l’utilisateur se connecte depuis un appareil inconnu, ce qui permet selon Lastpass de réduire considérablement les attaques de ce type.

La société précise également revoir le fonctionnement de son extension :

celle-ci s’appuie en effet sur des notifications Viewport pour informer ses utilisateurs, une technique facile à imiter pour un attaquant qui souhaiterait tromper un utilisateur. Un comportement que Lastpass entend corriger afin de réduire un peu plus le risque de confusion entre véritables notifications et notifications malicieuses émanant du site visité.

Pour Sean Cassidy, le problème souligné par ce scénario est tout aussi critique qu’une vulnérabilité classique, mais celui-ci regrette que les attaques de type phishing soient trop souvent reléguées au simple rang des problèmes liés à l’utilisateur. Dans sa démonstration en effet, la différence entre les pages légitimes et les pages malicieuses utilisées par un attaquant est minime. Seule une infime différence de trois caractères dans une url et quelques différences typographiques séparent ici le vrai du faux, ce qui rend l’attaque bien plus inquiétante.

Réagissez à cet article