Il s’implante une puce NFC dans la main pour pirater des smartphones Android

Seth Wahle est un ingénieur pour une société spécialisée dans les technologies sans fil, APA Wireless. A ses heures perdues, ce hacker teste la sécurité de ce type de dispositif. Et ne fait pas dans la demi-mesure : il est parvenu à s’implanter une puce NFC sous la peau de la main, à la jonction entre le pouce et l’index de sa main gauche. De la sorte, il est capable de hacker des smartphones Android rien qu’en les effleurant avec sa paume.

Comment a-t-il fait ?

Le magazine américain Forbes explique qu’il a trouvé une puce NFC que l’on peut implanter sans danger sous la peau d’un être humain. Dotée de seulement 888 bytes de mémoire, elle est encapsulée dans un petit récipient en verre vendu sur un site chinois et qui est usuellement utilisé pour implanter des puces RFID dans le bétail pour le marquer. Pour la somme de 40 dollars (35 dollars), il a ensuite trouvé une personne qui a accepté de lui injecter la puce sous la peau à l’aide d’une seringue spéciale. Ne restait plus ensuite qu’à attendre que la plaie créée cicatrise.

Un simple contact téléphone-main et un programme s’installe discrètement

Avec ce dispositif, Seth Wahle affirme qu’il est désormais capable de hacker n’importe quel smartphone Android doté de la technologie NFC (communication proche par simple contact). Il lui suffit de mettre le téléphone brièvement en contact avec la paume de sa main pour que celui-ci ne se rende sur une page web piratée qui va déclencher le téléchargement d’un petit programme. Et ce, sans alerter les systèmes de sécurité du smartphone.

Une fois celui-ci installé et actif, il est capable de récupérer n’importe quelles données du mobile et même de prendre des photos. Son système n’est pas encore optimal (il perd assez vite la connexion avec le téléphone piraté, notamment quand ce dernier est verrouillé ou redémarré) mais génère déjà de nombreuses questions et craintes pour le futur. Seth Wahle, qui a montré sa performance aux journalistes de Forbes, s’apprête à la présenter plus en détail lors d’une importante conférence de hackers qui se tiendra à Miami du 15 au 17 mai prochain. Nul doute que son intervention sera très suivie…

Denis JACOPINI est Expert Informatique, conseiller et formateur en entreprises et collectivités et chargé de cours à l’Université.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.metronews.fr/high-tech/pour-pirater-des-smartphones-android-il-s-implante-une-puce-nfc-dans-la-main/modD!v2YdgmEKKTEuE/

Big Data et IoT bousculent le droit des individus

Les Assises de la Sécurité ont pris comme habitude « d’aérer » les esprits des RSSI et des partenaires avec des contributions de personnes non issues du sérail. Luc Ferry, Jean-Christophe Ruffin, Laurent Alexandre se sont pliés à l’exercice sur des sujets aussi variés que les propos sécuritaires, les mouvements de rébellion ou le hacking du cerveau. C’était au tour de Gaspard Koenig de se plier à l’exercice pour la 15ème édition des Assises. Normalien, philosophe et ancienne plume de Christine Lagarde, il avait choisi un thème elliptique : « l’utopie numérique est-elle dangereuse pour l’individu ? ».

Basculer de la déduction à la corrélation

Pour sa démonstration, l’utopie numérique se focalise sur le Big Data et l’Internet des objets, la partie individu se concentre sur la transparence ou la fin de la confidentialité. Pour lui, il s’agit tout d’abord d’une question épistémologique. « Le Big Data est la revanche de la sensibilité sur la généralité », explique-t-il en se basant sur la seconde méditation de Descartes et l’épisode du morceau de cire, qui pose comme postulat que l’appréhension d’un objet dans sa globalité est dictée par la raison. Or le Big Data remet en cause cette façon de penser en appliquant des singularités au morceau de cire. Cela signifie que les objets ne sont plus classés dans des catégories, mais selon plusieurs subtilités, finalités. « Le Big Data fait évoluer la science de la déduction à la corrélation. On est dans le quantitatif, dans la convergence de données », constate le philosophe. Et ce changement de paradigme a déjà des applications concrètes. Dans les assurances, les objets connectés vont « redéfinir l’individu » (façon de conduire, habitude de vie et de consommation) alors qu’il était catégorisé selon certaines données (âges, sexes, etc).

Bonheur collectif ou individuel ?

Pendant de cette course à « la connaissance universelle », il y a les problématiques de vie privée et de transparence des données individuelles. « Le Big Data a une finalité qui est de gagner du bien-être, des gains de productivité, de confort, etc. Il s’agit d’une vision utilitariste pensée par Jeremy Bentham pour qui le but de toute politique est d’aboutir au bonheur des gens », remarque Gaspard Koenig. Une analyse qui ne lui convient pas et qui a été critiqué par « John Stuart Mill qui substituait le bonheur général au bonheur individuel, c’est-à-dire le droit à la diversité à la faillibilité ». Mais dans ce cas-là, « pourra-t-on refuser le trajet dicté par une voiture autonome ou ne pas vouloir partager les informations d’un compteur intelligent sans impacter le bonheur général ? ». Des exemples triviaux, mais qui pose la question des missions de l’Etat, « apporter le bonheur collectif ou protéger les droits individuels ».

Un droit de propriété des données personnelles

La réponse apportée par le philosophe est de « donner un droit de propriété sur les données personnelles ». Aujourd’hui, on part du principe que dans le Big Data, nos données sont gratuites. « Elles sont en réalité pillées par les GAFA avec l’aval des utilisateurs via les ‘terms and conditions’ qui comme dans le cas de Paypal sont plus longs que Hamlet », accuse Gaspard Koenig. Pour lui, il faut rentrer dans une logique patrimoniale des données personnelles. « Nous avons inventé le droit de propriété intellectuelle lors de la révolution industrielle. A l’heure du numérique, il faut créer une droit de propriété des données individuelles ». Une approche qui implique de reconfigurer le business model de l’Internet, « Google devrait rémunérer les gens pour obtenir leur données », conclut le philosophe un brin utopiste, mais qui sait….

Même si remplir un formulaire de déclaration à la CNIL est gratuit et enfantin, il vous engage cependant, par la signature que vous apposez, à respecter scrupuleusement la loi Informatique et Libertés. Cette démarche doit d’abord commencer par un Audit de l’ensemble de vos systèmes de traitements de données. Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.silicon.fr/assises-de-securite-2015-big-data-iot-bousculent-droit-individus-127948.html

Par Jacques Cheminat

L’Internet des objets augmente la surface des attaques des entreprises

L’Internet des objets (IoT) constitue-t-il une menace supplémentaire pour la sécurité des entreprises ? « Oui, répond sans hésiter Alain Merle (4e sur la photo en partant de la gauche), responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. » « Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier (1er sur la photo), aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. »

Pas armé face à la déferlante de l’IoT

Les deux hommes intervenaient lors de la table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » organisée dans le cadre de l’édition 2015 de Cap’Tronic, le programme d’accompagnement des PME pour l’intégration des solutions électroniques et logicielles dans leurs produits, qui se déroulait ce lundi 21 septembre à la Cité Internationale Universitaire de Paris. Une menace d’autant plus inquiétante que « l’on n’est pas armé face à cette déferlante, estime Alain Merle, que ce soit technologiquement ou en termes d’usages. La cryptographie n’est pas la solution miracle, il y a des limites internes d’implémentation ajouté à un phénomène d’échelle plus complexe à gérer quand on doit faire face à des milliards d’objets au lieu de quelques dizaines de milliers. »

Au delà des normes et des contraintes, la labellisation pourrait s’inscrire comme une partie de la réponse à la problématique de la sécurité des entreprises qui seront inévitablement confrontées à l’IoT pour assurer leur développement. « On travaille beaucoup sur la certification des objets », indique Guillaume Poupard (2e sur l’image). Le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information) reconnaît néanmoins que le niveau de protection des objets est différent selon qu’ils concernent des systèmes stratégiques ou des usages grand public. Pour lui, « il faut positionner la sécurité en fonction de l’état de l’art ».

La sécurité dès la conception des objets

Pierre Girard (3e), expert en sécurité chez Gemalto invite de son côté les entreprises à prendre en compte la sécurité dès la conception de l’objet. « C’est plus facile à gérer dès le départ qu’en rajoutant une couche de sécurité après coup et il faut assurer cette sécurité tout au long du cycle de vie de l’objet, sur 10 ou 15 ans, à travers les mises à jour et en assurant la surveillance face à l’évolution des attaques. » Une conception initiale qui entraine un surcoût. « La sécurité a un coût mais l’absence de sécurité coûte encore plus cher », justifie l’expert. Et d’illustrer son propos en citant l’exemple de Chrysler obligé de rappeler 1 million de véhicules suite à la démonstration de piratage d’une Jeep Cherokee qui va lui coûter quelque 1,4 milliard de dollars en frais de traitement.

Un risque loin de la problématique des PME par définition de tailles plus modestes que les constructeurs automobiles ? Bien au contraire. « Les PME sont les cibles les plus touchées par les tentatives d’attaques. Il n’est pas question pour elles de devenir expertes en sécurité mais d’appliquer des règles de base, tels les mots de passe renforcés, la protection des réseaux Wifi, la séparation des usages professionnels et personnels, notamment avec les smartphones, insiste Guillaume Poupard qui en a profité pour brandir à la salle quasi comble le guide des bonnes pratiques de l’informatique édité par l’Anssi. Les chemins d’attaque passent souvent par les système personnels, que ce soit celui des employés ou des dirigeants. Le même mot de passe employé pour les usages professionnels et personnels est une réalité aujourd’hui. »

Le RSSI, un gestionnaire des risques

D’où l’importance de revoir l’approche de la sécurité par de nouvelles (bonnes) pratiques. « Avant le RSSI (responsable de la sécurité des systèmes d’information, NDLR) était un technicien. Aujourd’hui, c’est un métier de gouvernance, de dialogue et même de ressources humaines pour former les salariés », rappelle Bernard Barbier. Il est d’autant bien placé pour le savoir que le responsable a réalisé un petit test en interne en organisant une fausse campagne de phishing par e-mail invitant les collaborateurs à cliquer sur un lien potentiellement infectieux. « Je ne vous donnerai pas le chiffre mais le taux de réussite [de l’opération] était élevé. » Si même dans une SSII comme Capgemini cette technique d’attrape-nigaud fonctionne efficacement, que penser des autres secteurs ? Et d’admettre en conséquence que « on s’est trompé à vouloir mettre toute la sécurité dans la technique. La technologie c’est 60% de la solution mais il reste 40% d’humain. La sécurité est une gestion des risques ».

De son côté, Pierre Girard évoque un système de bons points attribués aux fournisseurs via un processus de labellisation et de certification pour simplifier la compréhension auprès des entreprises qui implémentent des solutions comme du grand public. Un point partagé par Alain Merle pour qui « pour implanter la sécurité correctement, il faut penser certification ». Un travail pour l’Anssi dont Guillaume Poupard annonce que des labellisations sont en cours, notamment pour les opérateurs de services Cloud d’infogérance en sécurité. Pour le directeur, « il faut permettre à la sécurité d’apporter un plus, et non pas d’être un frein, pour faire en sorte que les technologies continuent de poursuivre leur développement de manière illimitée ».

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.silicon.fr/linternet-objets-augmente-surface-dattaque-entreprises-126980.html

Par Christophe Lagane

100% des montres connectées présentent des failles de sécurité

Avec le déploiement de l’Internet des Objets, les smartwatches gagnent en popularité en raison de leur côté pratique et des nouvelles fonctionnalités qu’elles proposent. En devenant des objets usuels, ces montres vont collecter de plus en plus d’informations personnelles sensibles, comme des données de santé. La possibilité de les connecter avec des applications disponibles sur smartphone risquent prochainement de leur donner accès à encore plus d’informations, comme par exemple les codes permettant d’ouvrir votre maison ou votre véhicule.

« Les montres connectées commencent à peine à entrer dans nos vies. Elles offrent déjà de nouvelles fonctionnalités innovantes qui pourraient ouvrir la voie à de nouvelles menaces sur des informations et des activités sensibles », a déclaré Jason Schmitt, Directeur Général Fortify de l’entité HP Security. « Avec l’accélération de l’adoption des smartwatches, cette plate-forme va devenir bien plus attrayante pour tous ceux qui voudraient en faire une utilisation frauduleuse. Il devient nécessaire de prendre des précautions lors de la transmission des données personnelles ou du raccordement de ces équipements aux réseaux d’entreprise. »

L’étude HP s’interroge ainsi sur la capacité des smartwatches à stocker et à sécuriser les données sensibles pour lesquelles elles ont été conçues. HP s’est appuyé sur HP Fortify on Demand pour évaluer 10 montres connectées à des applications mobiles et un cloud Android ou iOS.

Cette étude révèle de nombreuses failles de sécurité parmi lesquelles les plus fréquentes et les plus faciles à corriger sont :

L’insuffisance des fonctions d’autorisation et d’authentification des utilisateurs :
Chaque montre connectée testée était couplée à une interface sur téléphone mobile qui ne gérait pas l’authentification à deux facteurs, et qui ne verrouillait pas les comptes après 3 ou 5 saisies de mots de passe infructueux. Trois montres sur dix, c’est à dire 30%, étaient vulnérables aux tentatives de moisson de comptes utilisateurs, ce qui veut dire qu’un pirate informatique pourrait obtenir le contrôle de la montre et de ses données en profitant d’une politique de mots de passe faible, du non blocage des comptes, ou en énumérant des listes de comptes utilisateur potentiels.

Le manque de chiffrement lors du transfert de données :
Le chiffrement lors du transport d’information est essentiel, dans la mesure où des informations personnelles sont envoyées vers de multiples destinations dans le cloud. Même si 100 pourcents des montres testées intégraient le chiffrement lors transport avec le protocole SSL/TLS, environ 40% des connexions vers le cloud restaient vulnérables à l’attaque POODLE, permettant l’utilisation d’outils de déchiffrement peu puissants, ou encore le protocole SSL v2.

Interfaces peu sécurisées :
30% des montres testées utilisaient des interfaces web accessibles en mode cloud, et toutes présentaient des risques d’énumération de comptes utilisateur. Dans un test spécifique, 30% ont également révélé des risques d’énumération de comptes utilisateur depuis leurs applications sur mobile. Cette défaillance permet aux hackers d’identifier des comptes utilisateurs valides en s’appuyant sur les informations reçues via les mécanismes de réinitialisation de mots de passe.

Logiciels et microcode peu sécurisés :
70% des montres ont révélé des failles dans la protection des mises à jour de microcode, comme par exemple la transmission en clair des mises à jour, sans chiffrer les fichiers. Cependant, plusieurs mises à jour étaient protégées par une signature, évitant ainsi l’installation d’un microcode contaminé. Même si des updates malicieuses ne peuvent être installées, le manque de chiffrement permet aux fichiers d’être téléchargés puis analysés.

Soucis sur la protection des données personnelles :
Toutes les montres collectent des données personnelles – comme le nom, l’adresse, la date de naissance, le poids, le sexe, la fréquence cardiaque, et bien d’autres informations relatives à la santé de l’utilisateur. Si l’on rapproche ceci des problèmes relevés sur l’énumération des comptes utilisateur ou l’utilisation de mots de passe faiblement sécurisés sur certaines montres, le risque de diffusion des données personnelles depuis une montre connectée devient un problème réel.

En attendant que les fabricants incorporent les dispositifs nécessaires permettant de mieux sécuriser leurs smartwatches, les utilisateurs sont priés d’examiner scrupuleusement les fonctions de sécurisation existantes avant de choisir un modèle de montre connectée. HP recommande aux utilisateurs de ne pas activer les fonctions de contrôle des accès sensibles, comme par exemple l’accès à leur domicile ou leur véhicule, sauf si un mécanisme d’autorisation performant est proposé par la montre. De plus, en activant la fonctionnalité passcode, en imposant des mots de passe sophistiqués et en introduisant une authentification à deux facteurs, il est possible d’éviter des accès frauduleux aux données. Au delà de la protection des données personnelles, ces mesures sont essentielles dès lors que la smartwatch va être utilisée dans un environnement de travail et connectée au réseau de l’entreprise.

Méthodologie

Réalisée par HP Fortify, l’étude HP Smartwatch Security Study a utilisé la méthodologie HP Fortify on Demand IoT testing methodology, combinée avec des tests manuels et d’autres outils de test automatisés. Les équipements et les composants testés ont été évalués sur la base de l’outil OWASP Internet of Things Top 10 et des vulnérabilités spécifiques associées à chacune des 10 premières catégories.

Toutes les données et les tous les pourcentages inclus dans l’étude ont été extraits des tests menés sur les 10 montres évaluées. Malgré l’existence d’un nombre croissant de fabricants et de modèles de smartwatches, HP pense que les résultats obtenus sur cet échantillon de 10 modèles donne un bon indicateur du niveau de sécurité des smartwatches actuelles du marché.

Des conseils complémentaires sur la sécurisation des smartwatches sont disponibles dans le rapport complet (http://go.saas.hp.com/fod/internet-of-things)

Pour toute information complémentaire, il est possible de consulter le premier rapport de la série sur l’Internet des Objets, 2014 HP Internet of Things Research Study, qui passe en revue le niveau de sécurité des 10 objets connectés les plus courants du marché. De plus, l’étude 2015 HP Home Security Systems Report (http://h20195.www2.hp.com/V2/GetDocument.aspx?docname=4AA5-7342ENW&cc=us&lc=en) examine les 10 systèmes les plus répandus en matière de protection connectée du domicile.

(1) “HP Internet of Things Security Report: Smartwatches,” HP, Juillet 2015.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itrnews.com/articles/157450/100-montres-connectees-presentent-failles-securite.html et ITRmobiles.com

Quand le frigo vole vos données personnelles

Désormais, les lave-linge commandent leur stock de lessive en ligne, les voitures tweetent à leur garagiste et toutes sortes de gadgets communicants nous aident à mieux contrôler notre environnement. L’internet des objets n’en fini plus de nous étonner en permettant d’associer des puces électroniques aux choses qui nous entourent. D’ici à 2020, quelque 200 milliards d’objets reliés à un réseau seront utilisés par les internautes sans intervention spécifique de leur part. Un nouvel eldorado économique pour les industriels de la high tech, mais aussi le paradis des pirates qui s’empresseront de piller cette nouvelle informatique qui ne possède pas un véritable système de sécurité.

Les experts tirent la sonnette d’alarme depuis des années, dénonçant le manque de protection des objets reliés en permanence à la Toile. Récemment, des hackers ont réalisé un coup d’éclat en prenant le contrôle de plus de 100 000 gadgets électroniques en les détournant de leur fonction première comme des téléviseurs, des consoles de jeux, des box internet et même un réfrigérateur connecté. Jusqu’à présent, il était inutile de s’inquiéter de ces attaques spectaculaires sur nos grille-pain, lave-linge ou autres joujoux électroniques en ligne, les cybercriminels se contentaient seulement de les dérégler.

Le problème prend aujourd’hui, une toute autre dimension, une équipe de chercheurs vient d’identifier une faille de sécurité plus inquiétante. Elle offre la possibilité à des pirates de s’introduire sur les comptes de la messagerie de Google Gmail, en passant par les cuisines de particuliers où trône le dernier modèle des réfrigérateurs intelligents de la marque Samsung. L’appareil qui gère la fraicheur de nos denrées alimentaires a été conçu pour télécharger l’agenda de notre boite électronique et de l’afficher automatiquement sur son écran intégré.

Une porte d’entrée idéale, estiment les chercheurs, qui permet aux pirates d’accéder facilement à nos courriels et à nos données confidentielles. Qu’on se rassure, jusqu’à présent, aucune intrusion de ce type n’est à déplorer, s’empressent-ils d’ajouter. La firme Samsung promet de corriger cette anomalie, mais le développement exponentiel de l’internet des objets, sans un système de sécurité pensé à l’avance, a de quoi inquiéter et risque de se métamorphoser bien vite en cyber cauchemar pour consommateurs techno-branchés.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.rfi.fr/emission/20150906-quand-le-frigo-vole-vos-donnees-objets-connectes-internet-cyber-attaque-securite

Par Dominique Desaunay

La panoplie du hacker pour voler une voiture connectée

Depuis qu’elles deviennent connectées, les voitures aiguisent de plus en plus l’appétit des hackers. A l’occasion de la conférence DEF CON 23, le chercheur Samy Kamkar – connu pour ses bricolages hors du commun – a montré différentes techniques permettant de voler une voiture en toute discrétion.

Pour ses besoins d’étude, il s’est penché sur la Chevrolet Volt d’un ami. Comme beaucoup d’automobiles aujourd’hui, elle dispose d’une application mobile compagnon, fournie par le constructeur General Motors (GM) et baptisée OnStar RemoteLink MobileApp. Elle permet de localiser le véhicule, de vérifier certains paramètres techniques, de le déverrouiller, d’allumer ses phares, de klaxonner et même de le démarrer. Pour réussir cela, l’application mobile se connecte aux serveurs de GM qui eux feront le lien avec le véhicule, grâce à une connexion cellulaire.

L’application mobile utilise des connexions SSL, mais ne vérifie pas les certificats. Elle est donc vulnérable à des attaques de type « Man in the middle ». Samy Kamkar a fabriqué un boîtier tout-en-un basé sur Raspberry Pi capable de créer un hotspot wifi, d’usurper l’identité des serveurs de GM quand un utilisateur s’y connecte, d’extraire ses données d’accès (login et mot de passe) et de les renvoyer au pirate par une connexion cellulaire. L’appareil, baptisé « OwnStar », est totalement autonome. On peut donc la placer à proximité de la cible et attendre que la connexion se fasse.

Mais comment inciter la future victime à se connecter sur ce faux réseau wifi? « On peut utiliser un nom de réseau usuel tel que ‘attwifi’ (le réseau de hotspots de l’opérateur américain ATT, ndlr) qui sont utilisés par beaucoup de personnes. Si on l’on est à proximité de la cible, on peut également intercepter les requêtes de connexion que son smartphone envoie automatiquement. C’est un bon moyen pour connaître les hotspots sur lesquels il se connecte habituellement », explique le hacker. Contacté par M. Kamkar, GM a depuis mis à jour son application mobile.

Si la cible n’utilise pas d’applications mobiles, le hacker propose un autre vecteur d’attaque: la clé de contact. Souvent, celles-ci permettent désormais de déverrouiller une voiture à distance, au moyen d’un code envoyé par un bref signal électromagnétique. Ce code n’est pas chiffré, mais il est à usage unique: à chaque fois que l’utilisateur appuie sur le bouton, un nouveau code est envoyé, et celui-ci n’est accepté qu’une seule fois. L’intercepter n’apporte donc rien à priori… à moins de faire en sorte que le code n’arrive pas à destination. Samy Kamkar a créé un autre boîtier qui va brouiller le signal pour que la voiture ne puisse pas capter les messages de la clé de contact, tout en étant capable d’extraire le code que l’attaquant pourra utiliser ultérieurement pour déverrouiller la voiture.

Reste enfin un dernier petit obstacle: ouvrir le garage dans lequel la voiture est éventuellement garée. Là encore, il n’est pas rare qu’une porte de garage puisse s’ouvrir à distance, au moyen d’un d’un badge. En décortiquant ces badges, Samy Kamkar découvre qu’ils utilisent généralement un code de 8 à 12 bits. Ce qui fait au total 88.576 possibilités. C’est suffisamment bas pour tenter une attaque par force brute. Originalité de la manoeuvre: pour créer ses signaux, il utilise un jouet Barbie, le Mattel IM-ME, un joli petit boîtier rose pour envoyer des messages texte. « C’est un appareil très pratique. Il dispose d’un bon chipset, d’un écran, d’un clavier et en plus il a une jolie couleur », souligne Samy Kamkar.

Une fois l’appareil reprogrammé, le hacker n’a besoin que de 8 secondes pour essayer toutes les possibilités et ouvrir la porte de garage. Une belle performance qui s’appuie notamment sur l’algorithme de De Bruijn, une méthode qui permet de scanner plus rapidement un espace de valeurs.

HotSpot Shield, le VPN Gratuit

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.01net.com/actualites/def-con-23-la-panoplie-de-hacker-pour-voler-une-voiture-connectee-661671.html

Par Gilbert Kallenborn

Le paiement par selfie en cours de test aux Pays-Bas

Lors d’un achat en ligne via leur smartphone ou leur tablette, les clients pourront donc confirmer leur paiement au moyen d’une empreinte digitale ou d’un autoportrait. Mastercard collabore pour ce test avec CA technologies. En fonction des résultats, l’entreprise décidera si elle déploie la technologie sur l’ensemble du Vieux Continent.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.informaticien.be/index.ks?page=news_item&id=20948

Les drones de Parrot peuvent facilement se faire hacker

Ou plutôt à un hacker. Ryan Satterfield, connu pour sa chaîne Planet Zuda, qui a profité de la Def Con pour faire une démonstration. À l’aide de son smartphone et d’une simple clef, il a réussi à faire atterrir un AR.Drone 2.0.

Les drones de la société française n’ont malheureusement que trop peu de protections. Ces derniers tournent sous Linux avec des ports WiFi et Telnet ouverts, sans nécessiter un quelconque mot de passe pour s’y relier…. Il suffit de s’y connecter en utilisant le port 23 et de rentrer la commande « kill 1″. De suite, le drone redescend sur terre. Parrot a précisé qu’elle était consciente de ces failles de sécurité, mais n’a pourtant pas annoncé de correctif. Notez que le dernier drone, le Parrot Bebop, serait lui aussi touché, a annoncé le chercheur Michael Robinson.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.journaldugeek.com/2015/08/17/les-drones-de-parrot-peuvent-facilement-se-faire-hacker

Par 4ugeek

Vous pensiez votre smartwatch protégée ? Détrompez-vous !

Si certains hackers peuvent être tentés, par exemple pour le sport ou le divertissement de prendre le contrôle d’un drone et le faire se cracher au sol, ou encore détraquer son GPS pour le mener dans une zone de non-vol, d’autres pourraient être tentés de faire cela pour l’argent, notamment grâce aux Ransomware et aux attaques force brute.

Ransomware, qu’est-ce que c’est ?

Les ransomware, ou rançonlogiciels en français représentent une catégorie de logiciels malveillants, dont peuvent se servir les hackers pour bloquer les ordinateurs de leur victime, à moins que celle-ci ne paye une certaine somme, une « rançon ». Bien entendu, il ne faut jamais payer le montant exigé. Les Ransomware peuvent se trouver sous des formes différentes. Cachés derrière une fausse amende adressée au propriétaire de l’ordinateur, qui verra alors apparaître une fenêtre avec un logo des services de police. Sous forme de fenêtre pop-up, de publicités, etc. Quelques fois, un chiffreur va permettre au hacker de bloquer l’accès aux fichiers de l’utilisateur tant que celui-ci ne l’a pas payé.

Alors les ransomware ne piratent « que » les ordinateurs ?

La réponse est non. La technologie évolue, et avec elle les techniques et attaques des hackers mal intentionnés. Dans leur viseur : les données personnelles des utilisateurs. Des chercheurs en sécurité de chez Symantec ont notamment montré comment un dispositif Android Wear pouvait être touché par un randsomware sur Android. Pour réaliser ce test, les chercheurs ont reconditionné une application ransomware courante sur Android, qu’ils ont surnommée « Android.Simplocker », à l’intérieur d’un nouveau projet Android Wear.

Une fois cela fait, les chercheurs ont pris une Moto 360 qu’ils ont jumelée avec un smartphone Android sur lequel ils ont installé le ficher vérolé qu’ils venaient de créer. Et là surprise, les chercheurs ont pu constater que d’une part le téléphone avait été infecté, mais aussi la montre. Le jumelage s’effectuant via le Bluetooth, une fois les deux appareils connectés, le virus a pu être transmis à la smartwatch, qui par la suite devient inutilisable. Pour la récupérer, l’utilisateur devra tenter de la réinitialiser.

Attaque par Brute Force

Dans un article, The Hacker News explique que les informations qui circulent entre une smartwatch et un smartphone Android ne seraient pas bien sécurisées et pourraient être sujettes aux attaques par force brute, une méthode permettant de trouver un mot de passe ou une clé, en testant une à une toutes les combinaisons possibles. Si le hacker parvient à craquer le code, il aura alors la possibilité d’intercepter toutes les données de l’utilisateur, même le contenu de ses SMS, ses conversations du chat Google Hangout et Facebook.

La communication Bluetooth entre la plupart des smartwatches et des dispositifs Android compte sur un code PIN à six chiffres, censé sécuriser le transfert des données entre les deux appareils. Un code à six chiffres sous-entend approximativement un million de clés possibles. Il n’est cependant pas difficile de se le procurer avec une attaque par force brute. Dans une vidéo, il est possible de voir un chercheur de la firme de sécurité Bitdefender faire une petite démonstration de piratage de smartwatch grâce à cette méthode.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.objetconnecte.net/smartwatches-protegees-1908/

Un hack permet de pirater le bouton de commande physique d’Amazon

L’Amazon Dash se présente comme une balise adhésive. Disposée à l’endroit de son choix et reliée en WiFi, elle permet à une personne de passer une commande en appuyant sur un unique bouton physique. Aux Etats-Unis, le principe est simple puisqu’il autorise par exemple un foyer à se réapprovisionner en couche ou en lessive, lorsque ces produits viennent à manquer.

Le client n’a en effet que ce bouton à appuyer pour générer une nouvelle commande. Le procédé lui évite de se rendre en magasin ou même de commander en ligne par le biais des traditionnels sites de vente. Depuis plusieurs mois, ces boutons connectés sont donc déployés sur le territoire.

Surfer sur la vague des objets connectés n’est toutefois pas sans risques. Aux Etats-Unis, un spécialiste en sécurité est parvenu à intercepter le signal émis par ces boutons de commandes afin de commander autre chose que les objets normalement prévus. Dans une note, Ted Benson détaille sa démarche.

Il a ainsi rédigé un code en Python capable de sniffer les connexions WiFi et en particulier détecter ces boutons, lorsqu’ils émettent un signal. En les reprogrammant, il est en mesure de leur attribuer une autre tâche que la simple commande de produits. S’il ne s’agit que d’une expérience, le spécialiste demande à présent à l’ensemble des internautes de reproduire la démarche afin de trouver de nouveaux usages à ces boutons.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://pro.clubic.com/it-business/securite-et-donnees/actualite-776644-dash-amazon-hack.html?estat_svc=s%3D223023201608%26crmID%3D639453874_1114740199#pid=22889469