juillet 17th, 2017

Fraude : Un pacemaker est-il une « preuve recevable »

Posté on 17 Juil 2017 at 5:35

Traditionnellement, les stimulateurs cardiaques font plutôt la manchette des journaux après un hack magistral effectué devant 5000 spectateurs, à l’occasion d’une DefCon ou d’une conférence de presse savamment orchestrée.

Mais pour le juge du comté de Butler, Ohio, cet appareil peut également constituer une preuve technique recevable pouvant être versée au dossier. Chris Matyszczyk, de C-Net, explique comment Ross Compton, soupçonné de fraude à l’assurance, est rapidement passé du statut de victime à suspect après une rapide analyse des rythmes cardiaques enregistrés par son stimulateur. Crompton aurait été réveillé par l’incendie de sa maison, et juste eu le temps d’empaqueter quelques affaires, briser une vitre, sortir de la maison pour enfin trouver refuge dans son automobile. Ce que contredit le relevé des battements de son cœur estime un cardiologue consulté à l’occasion. Les enquêteurs, estimant que la version des faits diverge avec la réalité « physiologique » du présumé coupable… et versent cet électrocardiogramme au dossier.

C’est, semble-t-il, la première fois que le contenu numérique d’un équipement médical est considéré comme une preuve recevable par un tribunal. Tribunal Etats-Unien certes, dans un contexte juridique très éloigné du droit Français et du sacro-saint « secret médical ». Mais de tels précédents jurisprudentiels sont souvent des cas capables d’influencer le législateur.

Post-mortem NotPetya

Posté on 17 Juil 2017 at 5:20

Deux analyses, un outil en ces lendemains d’attaques « du siècle »NotPetya/Wannacry. Analyse de Bitdefender, tout d’abord, qui se penche sur les mécanismes de NotPetya en fonction de la présence -ou non- de l’antivirus Kaspersky. L’article est simple, abordable, plus destiné à un lectorat d’usagers « power user » qu’à des professionnels de la sécurité. Utilisable donc en support pédagogique de sensibilisation.

Plutôt que de tenter de décortiquer Wannacry ou NotPetya, Elad Erez, directeur de la branche innovation chez Imperva, préfère aborder le sujet sous l’angle statistique, et ne s’intéresser qu’aux machines potentiellement vulnérables à EternalBlue, l’exploit made in NSA. En fournissant tout d’abord un scanner capable de détecter sur un réseau local les machines répondant présentes à une requête SMBv1 tout en précisant si elles sont « compatibles NSA » ou non. En dressant ensuite une série de tableaux statistiques tirés des scans effectués sur le réseau public durant les deux premières semaines de juillet. Et le tableau n’est pas très optimiste. Sur 23000 tests portant sur 8 millions d’adresses IP, 60 000 « hosts » seraient détectés vulnérables sur 537 000 machines « répondantes » au balayage IP. Et sur ce demi-million d’ordinateurs, 50 % possèdent une couche SMBv1. Détail étonnant, c’est en France que l’on trouve la plus grande proportion de réseaux Microsoft première génération détectés (13300), loin devant la Russie (11500) ou l’Ukraine (6500). La proportion de machines réellement vulnérables est considérablement plus faible. Erez avoue n’avoir trouvé que deux hôtes vulnérables sur le territoire Français. Dans l’ensemble, il est rare de compter plus d’une seule machine par pays directement exploitable par EternalBlue, ceci dans le cadre toutefois limité du scan réalisé, et sans préjuger de ce qu’il serait possible d’inventorier côté réseau local. Car un ordinateur portable infecté branché en deçà des défenses périmétriques d’une entreprise peut provoquer des dégâts importants, alors même que cette même entreprise ne témoignerait d’aucune signature SMB côté Wan.

14 millions de comptes exposés, Verizon et Upguard, le syndrome InfoSec

Posté on 17 Juil 2017 at 5:08

Mi-trou de sécurité, mi-caisse de résonance, l’exposition publique de quelques 14 millions d’enregistrements provenant des bases de données de Verizon fait les grands titres de la presse anglo-saxonne.

A l’origine de cette divulgation,un billet de Chris Vickery, d’Upguard, un expert en sécurité dont le fonds de commerce médiatique repose beaucoup sur la détection des erreurs de paramétrage et d’usage d’Amazon Web Services. Car c’est sur un serveur AWS, paradoxalement détenu par une autre entreprise de sécurité, l’Israélien Nice, qu’a été découvert cet empilement de fichiers. Noms, prénoms, code pin d’identification téléphonique délivré par l’opérateur… Vickery en profite au passage pour tailler un costume sur mesure à Nice, en rappelant que l’entreprise est également une sorte de « mini-Amesys » qui vend à qui veut bien des solutions-de-surveillance-des-citoyens-pédo-terroristo-trafiquants de drogue.

Verizon,pour sa part, minimise l’importance de l’affaire en précisant qu’une grande part des données n’étaient que des condensats non directement exploitables (l’article de Vickery laisse planer un doute sur la proportion de données réellement chiffrées) et que, jusqu’à présent, personne d’autre que les chercheurs d’Upguard n’ont eu accès à ce dépôt. Ce que conteste Wickery en précisant« nul ne sait combien de personnes ont pu fouiller dans ces fichiers avant que nous nous en apercevions ».

The Verge, CNN, ZDNet, Engadget, Cnbc, Threatpost, FoxNews, L.A.Times… chacun y va de son article plus ou moins alarmiste reflétant la « découverte » d’Upguard. Alarmisme parfaitement orchestré par un professionnel de la sécurité qui s’empressera un jour de dénoncer le traitement anxiogène de l’information par « un certain type de presse ». Pas de doute, le business de la sécurité des S.I. ne change pas une formule qui gagne : 80 % d’exagération, 20 % d’indignation.

13 ONG pour une loi anti-Amesys Européenne

Posté on 17 Juil 2017 at 4:36

13 organisations de défense, dont Amnesty International, Reporters sans Frontière, Statewatch et Privacy International ont publié une « lettre ouverte aux Institutions et pays-membres de l’Union Européenne à propos de l’exportation d’équipements de surveillance ». Et d’invoquer les écoutes massives en Macédoine, usages abusifs au Mexique, Bahreïn, Emirats Arabes Unis, souvent à l’aide d’équipements conçus et vendus par des entreprises Européennes, protégées par une cécité complice des pays-membres de la CE. On se souvient, rappelle la Lettre ouverte, comment l’Egypte notamment a pu acheter de véritables infrastructures de surveillance massive à des entreprises Françaises, Britanniques, Italiennes, sans que la moindre règlementation, sans que le moindre contrôle n’ait été effectué.

Il faut, demandent les 13 ONG, que soit définie une règlementation Européenne pour que cesse le trafic de ces outils « vendus comme des stylos » mais conduisant souvent aux salles de torture ou aux pelotons d’exécution.

En Bref …

Posté on 17 Juil 2017 at 4:27

100 euros pour une machine Enigma : Richard Chirgwin du Reg raconte l’incroyable bonne affaire qu’un professeur de cryptographie a réalisé sur un marché au puce de Bucarest

En Bref …

Posté on 17 Juil 2017 at 4:24

Symantec envisagerait de revendre sa branche « certification des sites web », révèle l’agence Reuter . Cette division a fait, courant mars, l’objet de critiques techniques très vives de la part de Google Alphabet.

751 noms de domaines détournés chez Gandi

Posté on 17 Juil 2017 at 12:46

Après une attaque suivie d’une modification de son serveur de noms, Gandi, hébergeur et autorité d’enregistrement Français a vu les domaines de plus de 700 de ses clients pointer « autre part » que sur leurs serveurs légitimes, et notamment sur des sites destinés à injecter le kit d’exploit Rig, lequel intègre le bot Neutrino.

Par « chance », l’une des victimes était SCRT, société Suisse spécialisée en sécurité informatique (et notamment organisateur de la conférence Insomni’hack). Laquelle a réagi promptement et prévenu les administrateurs de Gandi. Le rapport de la société Genevoise se lit comme un roman de capes et d’épées. Michael Ausding, dans le blog Helvetique Switch (registry du domaine .ch), fournit des informations techniques plus détaillées sur le détournement et l’infection. L’on peut noter au passage que cette attaque effectue un tri préalable des victimes potentielles en fonction de leur nationalité… procédé assez à la mode en ces temps d’attaques ciblées et de cyber-guérilla entre états-nation.

Plus neutre, le rapport de sinistre publié par Gandi dresse une liste assez longue des TLD détournés.

Protection des SI & Politique Internationale : Division par zero à la Maison Blanche

Posté on 17 Juil 2017 at 12:36

Le Tweet fut bref mais son écho tonitruant « Putin & I discussed forming an impenetrable Cyber Security unit so that election hacking, & many other negative things, will be guarded. Signé, on s’en doute, par Donald Trump dans le courant de la journée du 9 juillet. Dame, collaborer avec les services de renseignements d’une nation sinon ennemie, du moins adversaire, et accessoirement soupçonnée d’avoir barbouzé les dernières élections présidentielles aux USA, cela ne manque pas de sel.

Mais, à peine 12 heures plus tard, le New York Times révèle que le fils de Donald Trump, au plus fort de la campagne présidentielle, non seulement a approché des hommes de loi Russes proches du Kremlin censés lui offrir des documents compromettants visant Hillary Clinton, mais en outre aurait été informé par email que les documents en question provenaient de la Loubianka.

Le landernau des constitutionalistes évoque, dans les colonnes de de Law Newz, des soupçons de Haute Trahison.

Le tweet maladroit a, depuis, a été minimisé, mais la Maison Blanche nage toujours en plein paradoxe. Evoquer une alliance avec une puissance étrangère pour que l’Etat Fédéral puisse se protéger des attaques perpétrées par cette même puissance étrangère, dans le but d’éviter un risque de compromission du processus électoral après avoir ouvertement tenté de faciliter ces mêmes interférences, c’est là un scénario trop ubuesque pour être accepté dans un téléfilm de série B.

Cette affaire, bien que faite de bruits, de rumeurs, de désinformations et de déclarations sensationnalistes sans réels effets immédiats, montre à quel point la sécurité des S.I. est devenue en moins de deux ans, un élément majeur en matière de politique internationale.

NDH 2017 : NDH XV, voyage au pays des flibustiers

Posté on 17 Juil 2017 at 12:11

Si, il y a quelques années, beaucoup assimilaient hackers et pirates, il est en revanche, de nos jours, bien plus difficile de ne pas les confondre avec des flibustiers. L’activité est strictement la même, mais les motivations morales et la légalité des actions de chacun ne fait plus aucun doute : la nuit, tous les hackers de la NDH sont blancs. Ou kaki.

Pour preuve, la présence très remarquée d’un stand du Ministère des Armées, tenu par des cyber-soldats arborant un t-shirt frappé des mots « Combattant Numérique ». Beaucoup de curiosité de la part des participants, dont la plupart n’avaient jamais entendu parler du Calid. De quoi largement souffler la vedette à l’Anssi, pourtant familière de cette manifestation. Voilà pour les forces régaliennes. Côté flibuste patentée portant lettres de courses, les « combattants civils », chasseurs de bugs indépendants pour la plupart, mais œuvrant dans le cadre contractuel d’une plateforme de « bug bounty ». Et lorsque l’on prononce bug-bounty, on pense à YesWeHack, structure fondée par Korben et Guillaume Vassault-Houlière (aka Free_man), et à leur structure Bounty Factory. Et pour la deuxième année consécutive, Denyall a joué le rôle du commanditaire, rétribuant chacun des chercheurs impliqués dans cette chasse. Chasse dont le résultat servira à renforcer les solutions de sécurité de l’éditeur. Flibustiers également tous ceux qui sont « venus à confesse » auprès de notre confrère Damien Bancal (Zataz) qui, dans des habits presque sacerdotaux, a pu recueillir en une nuit 55 alertes dont 7 « plus que critiques » et servir d’intermédiaire neutre entre l’inventeur de la vulnérabilité et l’entité vulnérable.

Je hacke, tu ackes, mon héritier hacke aussi

Du petit CTF réunissant une petite centaine de geeks dans les cales surchauffées d’une péniche en bord de Seine a la mégalomaniaque manifestation attirant près de 2500 personnes dans un hôtel du parc Eurodisney, le contenu de la NDH a également évolué.

L’âge des hackers tout d’abord. Majoritairement post-ado il y a 15 ans, ils ont les tempes grisonnantes pour certains… « ou pas », puisque les plus passionnés et expansifs se situaient, cette année encore, dans la tranche des 8-16 ans. Montages électroniques, fabrication de badges lumineux, crochetage de serrures, initiation au chiffrement avec le code César, découverte de la programmation et même premiers pas en chimie, la NDH kids a une fois de plus connu un formidable succès.
Bravo à Manon, Guillaume, Phil qui ont montré fièrement à leurs parents que souder un circuit intégré et crocheter une serrure n’était pas réservé aux « grands ».

Aire de jeux également pour les plus âgés et les plus résistants à la fatigue, dans le cadre d’ateliers pluridisciplinaires : comment durcir une station de travail sous Windows, effectuer une mesure dans les domaines temps/fréquence, analyser, décortiquer un malware Android (démonstration magistrale signée Axelle « Cryptax » Apvrille), se lancer dans le lockpicking encore et encore, s’abîmer dans la robotique pratique par le groupe DTRE ou se passionner pour la fabrication de drone. Et enfin, et surtout, une très médiatique démonstration d’analyse et de hack de l’informatique embarquée dans une « voiture intelligente » (Tesla en l’occurrence), atelier orchestré par Gaël « Ratzilla » Musquet. Une preuve par le hack pratique à ranger à côté des hacks similaires tels que ceux de Charlie Miller et Chris Valasek sur certaines Jeep, de Flavio Garcia, de la société Kasper & Oswald sur les systèmes d’antidémarrage des principaux constructeurs automobiles Européens, dont Volkswagen. Le message est toujours le même : il ne peut exister de sécurité par l’obscurantisme ou le camouflage technique. Seule une véritable ouverture, un échange non biaisé à propos des techniques adoptées par les équipementiers peuvent déboucher sur des efforts effectifs en matière de sécurité automobile du XXIème siècle.

Le contenu des présentations a également largement évolué durant ces années. Des quelques travaux très « proches du binaire » et systémo-centriques linuxiennes, la NDH s’est ouverte à tous les types de recherches liées de près et parfois de loin avec la sécurité des systèmes d’information. Une fois de plus, la palme de la conférence la plus « hype » a été remportée par Renaud « nono2357 » Lifchitz. Lequel présentait un nouveau programme de « crack bounty sha256» reposant sur la chaîne de block Ethereum. Le tout avec une complexité digne de la chaine de reproduction de la douve du mouton. Dans un premier temps, il est nécessaire de posséder un petit kit de développement fpga, composant programmable conceptuellement proche de la logique câblée, et dont la rapidité des cycles d’exécution renvoie la plus véloce des GPU dans la catégorie des chéloniens. Reste ensuite à entamer l’apprentissage du langage de description matériel propre à ce genre de composant (vhdl et proches parents), apprentissage qui conduira peu à peu à l’écriture d’un algorithme de cassage de clef. Il ne reste plus qu’à mettre cette puissance de calcul au service de la communauté.

Publicité

MORE_POSTS

Archives

juillet 2017
lun mar mer jeu ven sam dim
« Juin   Août »
 12
3456789
10111213141516
17181920212223
24252627282930
31