avril, 2018

Brute-forcer sans brutalité du mot de passe avec méthode (et surtout ne pas utiliser les SMS en guise de second facteur) : Rob VandenBrink, pour le journal du Sans, se lance dans un passionnant exercice de vulgarisation pour pentester amateurs et professionnels.

Lorsque Patrick Reames reçoit un formulaire de déclaration d’impôt de la part d’Amazon, raconte Brian Krebs, il ne comprend pas très bien pour quelle raison son nom figure au titre des bénéficiaires d’une publication à compte d’auteur. D’autant plus que l’ouvrage portant son nom a été vendu plus de 500 euros à 70 reprises, et qu’il est composé de phrases sans queue ni tête.

Des lecteurs amoureux d’une forme dévoyée d’OuLiPo ? Plus probablement un moyen d’utiliser Amazon comme centre de blanchiment d’argent explique Krebs : l’identité d’une personne est récupérée avec de classiques méthodes de spear phishing, un pseudo ouvrage est ensuite mis en vente, et les possesseurs d’identités bancaires volées achètent ledit ouvrage et interceptent le montant destiné à l’auteur. Au passage, Amazon prélève 40 % du montant, ce qui, en termes de droit Français…

Ce n’est pas là un cas isolé, puisque l’on peut trouver dans le catalogue Amazon, des ouvrages fantaisistes vendus à des tarifs astronomiques, oscillant entre 100 000 et 2,5 M$ USD. Tous les grands sites marchands, eBay y compris, servent de système de blanchiment d’argent à leur corp défendant, soit par le biais d’achats de marchandises revendues ensuite par des mules, soit grâce à des usurpations d’identités. Des pratiques qui reposent toutes sur l’exploitation d’un même principe : le très faible niveau contrôle que les super-chaines de ventes exercent sur les produits dont ils ont la charge, presque un total désengagement de leur part. L’absence d’implication des autorités d’enregistrement de noms de domaine face au déferlement de dépôts à l’intitulé douteux et pourtant facilement détectable, l’incapacité des sites de ventes PàP à contrôler la bonne foi des vendeurs, le fait de ne pas regarder de près l’objet de certaines ventes fortement discutables mais en revanche très lucratives. Le tout dans une totale impunité, puisque ces intermédiaires opposent une « stricte politique de confidentialité visant à préserver la vie privée des clients », fait en faveur des escrocs de tous poils.

Dans une lettre adressée à ses actionnaires,Mattel annonce une reconduction de ses accords avec Tynker, entreprise spécialisée dans les environnements de développement pédagogique utilisant la plateforme Open Source Scratch. Le but est d’initier plus de 10 millions d’enfants à la programmation, et plus particulièrement des filles par le biais d’un projet baptisé Barbie Programming Experience. L’initiative, essentiellement US, envisage d’étendre le cercle d’apprentissage au-delà de l’environnement familial de l’enfant, et de l’étendre à l’école avec le concours des instituteurs, ainsi que dans le cadre de la campagne Code-A-Thon (qui vise, pour sa part, une population de 50 millions de filles et garçons).

Encore une affaire de crypto-minage par exploitation distante (cryptojacking dans le langage des « pros »), et une nouvelle victime : Tesla, dont un compte sur Amazon S3 a été détourné. Wired et Fortune relatent l’affaire

4,8 millions d’Euros se sont évaporés lors d’un cyber-casse perpétré via le réseau bancaire international Swift, dont a été victime la City Union Bank de Kumbakonam (Inde). Le communiqué émis par cette société explique comment ont été émis des ordres de payement via plusieurs organismes (la Standard Chartered Bank de NYC, une banque de Bombay, la filiale de Francfort de la Standard Chartered via un autre établissement situé en Turquie). Un des ordres d’un montant d’un demi-million de dollars a immédiatement été refusé, le second, de 300 000 USD, a été validé, puis contesté une fois la fraude constatée. Une troisième opération, de 100 000 USD émise par Bank of America via un comptoir Chinois, a été conduite à son terme, le bénéficiaire ( probablement une mule) ayant fourni des documents justificatifs forgés.

Swift a fait l’objet d’une importante mise à niveau il y a un peu moins d’un an, suite à une série de détournement spectaculaires : 170 millions de dollars l’an passé (Bank of India), 81 millions de dollars en 2016 (Bengladesh Central Bank). Outre ces hémorragies spectaculaires, le réseau bancaire était depuis longtemps considéré comme le mirador de flicage préféré des services d’espionnages, NSA en tête. Un soupçon confirmé par les révélations d’Edward Snowden en 2013 et notamment diffusé par nos confrères du Spiegel.