novembre, 2017

Une initiative lancée par un groupe d’amoureux des libertés individuelles : La X-force d’IBM, la police Londonienne, l’Avocat Général du comté de New York et le Center for Internet Security se sont réunis dans le cadre de la Global Cyber Alliance pour lancer un service DNS gratuit baptisé Quad9. Un concurrent au célèbre 8.8.8.8 de Google mais qui, jurent les partenaires mentionnés, jamais ne fliqueront les activités des personnes faisant usage de cet annuaire, et encore moins ne vendront les habitudes de navigation de chacun à des annonceurs ou commerçants du net.

En revanche, ils en profiteront au passage pour comparer les requêtes à la base de données des sites considérés comme dangereux et dressée par la X-Force ou l’un des 18 autres partenaires impliqués dans la SSI, notamment Abuse.ch, l’ Anti-Phishing Working Group, Bambenek Consulting, F-Secure, mnemonic, 360Netlab, Proofpoint, RiskIQ … Les serveurs douteux pourraient techniquement être bloqués avant que malheur ne survienne sans, promettent les techniciens de Quad9, que n’en souffre la rapidité de connexion.

Comment diffuser un ransomware sans s’épuiser dans l’exploitation distante d’une faille, l’écriture d’un dropper ou la compromission d’un serveur de « drive by download » ? En investissant dans le brute force, expliquent les chercheurs de Sophos. Chercheurs qui ont constaté une recrudescence des tentatives d’intrusion via les ports d’entrée RDP, le serveur d’applications Microsoft installé par défaut aussi bien sur les machines WS que sur les stations de travail.

L’attaque n’est pas nouvelle. L’on pourrait même avancer qu’elle fut antérieure au Terminal Server de Microsoft, puisque des recherches en ce sens visaient déjà les réseaux Citrix.

Une fois dans la place, les festivités commencent : arrêt des services shadow copy, des bases de données, dépôt d’exécutables à foison. Les attaques les plus simples sont souvent les plus profitables.

Deux inconvénients à cette approche : le manque d’automatisation de la chaîne d’infection, et la quasi invulnérabilité d’un serveur TSE dont les politiques de sécurité ont été renforcées.

L’autorité de régulation Allemande des réseaux Fédéraux Bundesnetzagentur a déclaré hors la loi les « montres intelligentes » (du type jouet destiné à un jeune public). Ces appareils, précise le communiqué de l’Agence, sont dotés d’une application offrant à une personne distante d’appeler discrètement le terminal mobile et d’écouter, à l’insu du porteur, les conversations ambiantes… à des fins de surveillance préventive arguent les vendeurs. Ce sont là des appareils d’espionnage, rétorquent les autorités Allemandes, et par conséquent interdits dans la totalité du territoire Fédéral. Certains parents les utilisaient notamment pour espionner à distance le travail des instituteurs durant les heures de classe, s’indignent les fonctionnaires Germains.

La Bundesnetzagentur demande donc aux parents de détruire eux-mêmes l’appareil et d’en apporter la preuve auprès des fonctionnaires de l’Agence.

Né dans les années 2012/2014, le business des périphériques de flicage pour enfants connaît une véritable explosion en termes de modèles mis sur le marché. A l’approche des fêtes de fin d’année, les comparatifs chantant les louanges de ce bigbrotherisme de maternelle se multiplient dans la presse high-tech grand public

Selon le cabinet d’analyse Markets&Markets, le marché de la cryptographie quantique, actuellement aux environs de 286M$, devrait atteindre 944 M$ dans 5 ans, soit une progression de 27% l’an, principalement en Amérique du Nord (47% du marché) et en Asie-Pacifique (29%).

Même si ces plans sur la comète sont quasiment impossibles à prouver (le marketing est, par nature, soumis au principe d’incertitude d’Heisenberg), l’étude cible cependant un groupe d’équipementiers à surveiller : Magiq Tech., Quintessencelabs, Nucrypt, Qutools, Qasky, Crypta Labs, Qubitekk, PQ Solutions et Infineon.

Sous un pseudonyme « à la mode », @fs0c131y alias Elliot Alderson, chercheur probablement Français, pousse un cri d’alarme : les téléphones Chinois Wiko diffuseraient une foultitude de données personnelles à destination de Tinno Mobile Technology Corp, l’Evil company qui détient la marque Wiko. Les données sont transmises via http et/ou SMS et contiennent l’Imei, la cellule utilisée, le numéro d’identification client, le numéro de série et le numéro de version du terminal.

Cette fuite d’informations en grande partie à caractère personnelle aurait pour origine deux applications propriétaires préinstallées et impossibles à supprimer.

Il y a une semaine à peine, Mr Robot dénonçait l’existence d’une backdoor sur les terminaux OnePlus 3, 3T et 5, via un outil d’administration donnant accès à des droit root.

Sécurité intelligente pour les nuls : le magazine Motherboard publie un guide anti-hacking ni simpliste, ni survolé… et évitant tous les termes jargonnant. A télécharger.

Sur certains modèles de F5 Big-IP, les sessions TLS utilisant une clef RSA incorrectement mise en œuvre permettrait à un intrus de récupérer le contenu déchiffré. La faille a fait l’objet d’une alerte CVE et d’un bulletin de l’équipementier

Le Cert US lance une alerte déclenchée conjointement, explique le bulletin, par le FBI et la NSA. Lesquels estiment que le groupe de « pirates d’état » présumé coréen et surnommé Hidden Cobra serait en train de cibler les secteurs de l’industrie aéronautique, les réseaux Scada et les infrastructures bancaires et financières en général. Outre une liste d’adresse IP dressant une carte des serveurs semblant être à l’origine de ce bombardement de chevaux de Troie à accès distant (RAT, ou Remote Administration Tool), le Cert US publie une analyse de la menace et encourage les administrateurs à surveiller toute activité semblant provenir des hosts 175.100.189.174 et 125.212.132.222.

Le RAT en question possède même un nom de baptême : Fallchill. Son déploiement, détecté et mesuré depuis plus d’un an, utilise plusieurs mécanismes possibles : infection via des serveurs compromis, ou injection par le biais d’un « dropper ». Le reste est assez classique, la liaison entre le C&C (centre de commande et de contrôle) est chiffrée et transite par une série de proxy destinés à brouiller toute tentative de remontée à la source.

Une fois en place, le malware récupère les caractéristiques de la machine (processeur, système, adresses IP et MAC) du disque principal, prend la main sur le démarrage et l’arrêt de certains processus, lance des exécutables, modifie le contenu et la date de certains fichiers, et efface ses traces d’intrusion.

Est-il nécessaire de préciser que la Corée du Nord, accusée par les lanceurs d’alerte de cette lèpre informatique, nie toute implication.

Il fait sombre du côté des libertés sur Internet. Selon le rapport 2017 Freedom of the Net, les gouvernements de tous bords se dotent de Propaganda-Abteilungen chargés de fliquer, de contrôler et, dans plus de 30 pays, d’orienter l’information à des fins de manipulation et de désinformation. Les élections de 18 pays, affirme la Freedom House à l’origine de cette étude, aurait fait les frais de tentatives d’influence. L’accès à une information libre et non-limitée serait même en passe de devenir une denrée rare. Sur l’ensemble de la population mondiale ayant accès au réseau de réseaux, 23% seulement des internautes peuvent être considérés comme « libres » de toute censure ou orientation. 28% sont « partiellement libres » (peut-on véritablement être « partiellement libre » ou « partiellement emprisonné » ?) et 36% privés de liberté d’expression et d’information.

Sur un score de 1 à 100, les champions de la censure et du contrôle sont, sans surprise, la Chine, l’Ethiopie, la Syrie, l’Iran, Cuba, l’Ouzbékistan et le Viêt-Nam avec un « censomètre » bloqué au-dessus de 75. La France, berceau de la déclaration des droits de l’homme et du citoyen, se voit attribuer un bon 25+, à partie plus ou moins égale avec l’Argentine, les Philippines et la Hongrie, derrière l’Italie, la Grande Bretagne, les USA, l’Allemagne…

Les régimes les plus durs tombent à bras raccourcis sur tout ce qui est camouflé. La réception d’un fichier chiffré en Turquie, l’usage d’un VPN en Chine sont considérés comme une tentative de conspiration. De manière lapidaire, l’on pourrait résumer le rapport par la formule suivante : un internaute sur 2 est muselé par son propre gouvernement. Et ça en fait, du monde. Sur quelques 3,4 milliards d’usagers du Net, l’ONG Freedom House estime que 63 % d’entre eux vivent dans des pays ou des utilisateurs de NTIC ont été arrêtés pour avoir posté des contenus à caractère social, politique ou religieux. 62% résident dans des contrées ou des personnes ont été molestées ou tuées durant l’année 2016 en raison de leur activité « en ligne ». 52% sont des ressortissants d’Etats ayant bloqué les réseaux sociaux ou applications de messageries dans les années passées.

Mais ce qui surprend le plus, au milieu de ces statistiques, c’est l’émergence rapide de structures de propagandes spécialisées, orientées à l’encontre des citoyens ou d’autres Etats-Nations considérés comme adversaires. Tous les moyens sont bons : commentateurs payés par le gouvernement, médias et vecteurs de propagande détenus par l’Etat lui-même, bots et réseaux de bots à diffusion de contenu politique, diffusion de fausses informations à l’approche d’élections, détournements et piratages de comptes. Dans la catégorie « super champions » du cyber-bourrage de crâne, l’Azerbaïdjan, le Bahreïn, l’Equateur (qui cumule la totalité des méthodes précédemment citées), le Kenya, le Rouanda, l’Arabie Saoudite, la Russie, le Venezuela…

En France, pour se protéger de tels risques d’agressions, 30 000 faux comptes Facebook ont été supprimés à la veille des élections Présidentielles. Au Mexique, l’on estime qu’il existe en permanence près de 75000 comptes «bots » twitter destinés à gonfler les revendications des partis d’oppositions. Et 120 000 étudiants Thaï sont formés pour surveiller et dénoncer toute opposition politique émanant des propos tenus en ligne.

Emoi des parents et des journalistes qui découvrent les résultats d’une étude effectuée par le Stiftung Warentest, largement retransmise par l’association Britannique de défense des consommateurs Whitch. Epinglés cette année, le robot I-Que, les peluches Furby Connect, CloudPets et Toy-fi Teddy, soit 4 sur 7 « Internet des jouets » testés par le laboratoire d’Outre-Rhin. Les vulnérabilités les plus fréquemment constatées portent sur des défaillances de sécurité des liaisons Bluetooth (attaques à courte portée) et des applications Web associées… certaines d’entre elles offrant la possibilité d’écouter et parfois de voir ce qui se passe dans la pièce contenant le jouet-espion depuis n’importe quel point du globe.

Régulièrement, les jouets connectés font l’objet de vives critiques de la part des associations de défense. Chaque année à l’occasion des fêtes de noël, les fabricants (souvent les mêmes) mettent sur le marché des produits mal conçus, entachés des mêmes erreurs. Et ceci quand bien même des sanctions auraient frappé leurs productions par le passé (ainsi la poupée Cayla, interdite de séjour en Allemagne en 2016).