décembre, 2018

63 personnes sous les verrous, 26 faux centres d’appel Microsoft fermés : les polices Indiennes de Dehli et de Bombay s’attaquent à un réseau d’escrocs par téléphone qui sévit depuis plusieurs années

Trois attaques en « jackpotting » recensées en région parisienne, dont une seule menée avec succès révèlent nos confrères du Parisien. Le butin s’élèverait à 128 000 euros, somme rondelette pour un travail probablement effectué en moins d’un quart d’heure.
Le jackpotting consiste à ouvrir le panneau avant du DAB (les clefs s’échangent au marché noir sur certains forums Turcs ou Slaves) et à basculer le système informatique du distributeur en mode supervision. A ce stade, l’appareil valide toutes les demandes de liquidité. Le procédé est plus efficace et plus rapide que la technique de « carding », ainsi que le démontre cette vidéo explicative signée Kaspersky.

Sami Ruohonen, du laboratoire F-Secure, décortique une campagne de fishing francophone. Une de plus, dira-t-on. Mais ce qui devient captivant, au fil de cette analyse, c’est l’évolution progressive des techniques employées par les pirates pour aiguiller la victime vers une page web qui, à son tour, aboutira au nom de domaine servant de conteneur à la « charge utile ». Liens directs dans un premier temps, puis transitant via Tweeter, le tout suivant une série de rebonds et une foultitude de domaines destinés à brouiller les pistes. Plusieurs outils, dont une porte dérobée, sont installés une fois l’attaque conduite avec succès. Sami Ruohonen précise que la grande majorité des courriels d’incitation semblent émis par un correspondant utilisant une adresse Wanadoo.

Il y a les bonnes pratiques du routage Soho… et au-delà. Le BSI Allemand a émis il y a peu une note (in English dans le texte) détaillant les règles des « meilleurs efforts » possibles en matière de fabrication et d’usage appliqués aux routeurs d’entrée de gamme. Rien de véritablement transcendant, mais, à l’instar des recommandations de l’Owasp, les cyber-policiers Allemands égrènent les règle techniques d’une garantie minimale de sécurité, en admettant que chaque point soit mis en pratique. Chiffrement WPA2, mots de passe uniques forcés à 20 caractères au moins lorsqu’il s’agit de ceux configurés en sortie d’usine, ceci sans avoir recours à un dérivé du nom de l’entreprise, de l’adresse MAC du boîtier ou autre élément distinctif. Idem pour les mots de passe préconfigurés devant respecter une politique « minuscule-majuscule-lettres-chiffres-signes de ponctuation », le tout accompagné d’un indicateur de complexité facile à interpréter par un usager non technique… et le document de continuer sur les mécanismes et règles de mise à jour des microcodes, de la solidité des applications périphériques, des procédures d’identification/authentification et des règles et contraintes devant être imposées si un service distant de mise à jour automatique est offert.

Le document, rédigé de manière claire et didactique, s’adresse aussi bien aux fournisseurs d’équipement réseau qu’aux usagers, permettant ainsi aux seconds de vérifier si les premiers sont dignes de confiance.

Le Chaos Computer Club bondit sur l’occasion pour renchérir. « Ce n’est pas assez » explique en substance le communiqué de l’association. Il serait grandement souhaitable que les produits vendus affichent une « date limite de consommation », et que, par voie de conséquence, tout routeur périmé soit interdit à la vente. Et par routeur périmé, le CCC entend tout appareil dont la mise à jour ne serait plus possible en raison d’un arrêt du support constructeur. Solution radicale ? Pas totalement, puisque Chaos offre une porte de sortie en encourageant l’équipementier à tout mettre en œuvre pour qu’un micrologiciel alternatif puisse remplacer le code original une fois la date de péremption atteinte.

On touche là les limites de ce qu’il est raisonnable d’appliquer en matière de règlementation sécuritaire. Techniquement, les arguments du CCC sont imparables. Pratiquement, la mise à jour d’un firmware de routeur, ou plus encore, son remplacement par un OpenWRT ou proche cousin est un acte rarement pratiqué en entreprise, et, à plus forte raison, par une clientèle grand public. Ceci sans présumer des risques prévisibles de firmwares « rootkités » aux couleurs « open », que personne ou presque ne pourrait détecter.

Ce risque ne doit cependant pas remettre en cause la légitimité (et l’efficacité) du combat du CCC en faveur d’une ouverture vers les firmwares alternatifs.

VLC considéré par Bing (et donc Microsoft) comme vecteur de propagation d’un malware ? la chose est prise très au sérieux explique Videolan.

L’équipe sécurité d’Office 365, de son côté, explique les raisons alambiquées de cette mise à l’index. A l’origine de ces soupçons, une attaque visant une faille dans Inpage, un traitement de texte conçu pour les langues Arabe, Perse, Pachtoun, Urdu… Or, pour parvenir à ses fins, le vecteur d’attaque utilise une vieille version de VLC, elle-même vulnérable à un détournement de DLL.

Préférant jeter le bébé avec l’eau du bain, l’équipe Microsoft a donc déclaré logiciel non-grata à la fois Inpage, son trou de sécurité, et VLC. De bien mauvaises langues ont suggéré d’inclure dans la liste Windows lui-même, puisque ce noyau sert également de support au vecteur d’attaque.

Fuite supposée de noms, adresses courriel, condensats de mot de passe : la base de données client de Dell a reçu la visite de collectionneurs d’identités et, dans le doute, l’équipe sécurité a entamé une procédure de réinitialisation des mots de passe

Bruce Schneier relève l’information, TechTarget en tartine une page toute entière, et il y a de quoi. Un groupe d’Universitaires (principalement New-Yorkais) a travaillé sur la manière de générer de fausses empreintes digitales à l’aide d’outils deep learning.

La méthode consiste à créer une « méta-empreinte » synthétique présentant sur un seul dessin les caractéristiques de plusieurs individus. Les résultats sont relativement intéressants, puisque l’expérience permet d’usurper, avec un taux d’erreur d’environ 1%, près de 77% d’une base d’échantillonnage d’empreintes.

L’empreinte digitale est quasiment unique pour chaque individu. Mais les systèmes de reconnaissance ne considèrent pas l’ensemble de la pulpe. Seuls quelques caractéristiques sont retenues. Et ces caractéristiques ne sont pas constantes. Partant de ce principe, l’IA utilisée (dressée devrait-on dire) par les chercheurs se serait contentée de faire cohabiter plusieurs de ces caractéristiques tant que leurs dispositions ne provoqueraient pas de collision ou d’incohérence. Une empreinte qui présenterait donc les signes de l’œil gauche de son père, l’œil droit de sa mère, la bouche de la grande tante et le menton du cousin… si l’on osait ce parallèle anthropométrique.

De tels travaux vont certainement en encourager d’autres chercheurs, qui viseront à simplifier au maximum la fabrication de ces fausses empreintes. Jusqu’à ce que les fabricants de capteurs décident un jour d’améliorer les algorithmes de reconnaissance et multiplient le nombre de points distinctifs à prendre en compte.

Il y a de fortes chances que le stade suivant consiste à fabriquer des empreintes synthétiques variables capables de lancer un véritable « brute force », plutôt que d’utiliser l’équivalent d’une attaque par dictionnaire comme l’on fait les chercheurs dans le cas présent.

« Franchement, j’ai peur » explique en substance Fred Paul de Network World au fil d’un article intitulé « le danger d’utiliser des commandes vocales sur des machines IoT ». Et d’expliquer les drames probables provoqués par les paroles malheureuses des passagers d’une automobile et pris au pied de la lettre par l’interface de commande vocale du voiturin. Ou pis en encore, l’exécution bornée d’un système industriel piloté par la voix :
« C’est bon, laisse tomber » répliqua le chef de chantier. Ce furent les dernières paroles d’Albert Plumier, 20 ans de service aux Forges du Nord, avant que l’électroaimant ne libère 15 tonnes d’acier. Dans un amas informe et sanguinolant, on retrouvera le boîtier de l’interface vocale, miraculeusement épargné grâce à son blindage Atex classe D .
Paragraphe à modifier selon les inspirations sadiques de l’auteur qui pourra ainsi substituer au paquet de ferraille, un fût de cyanure, une coulée de verre à 1500 °C, la grille de l’enclos des panthères du zoo de Courcouronnes …

Même théorie spéculative dans les colonnes de « The Next Police », le magazine du flic moderne. Et si, imagine le journaliste, et si un jour le commissariat vous passait un coup de fil vous demandant l’autorisation de piloter à distance votre voiture Tesla (ou toute autre véhicule autonome) sous prétexte qu’elle a été volée ? Mais je vous en prie, m’sieur l’agent. Mieux encore, la smart-bagnole serait en mesure de verrouiller ses portières et ainsi livrer le malandrin à la maréchaussée, pieds au plancher et poings liés, une fois atteint le parking du commissariat.

Non, le véritable risque, c’est lorsque l’intelligence montre les limites de son artificialité. Et ce n’est jamais le scénario catastrophe que l’on avait imaginé.

Le South China Morning Post explique comment le portrait de Dong Mingzhu, patronne d’un des plus importants fabricants de systèmes d’air conditionné de Chine, s’est retrouvé affiché dans toute la ville de Níngbō avec cette infâmante accusation de non-respect des règles de circulation piétonne.

Car, afin de lutter contre l’incivisme des passants, une foultitude de caméras de surveillance photographient tout contrevenant. Non-respect des feux de signalisation, traversée en dehors des passages protégés, comportement dangereux sur la chaussée… l’IoT des villes sait tout sur les écarts possibles du citadin bipède. Une fois le fautif « flashé », son portrait est passé au crible d’un monumental fichier, son nom y est retrouvé, associé, affiché sur tous les panneaux lumineux de la ville et commence alors la campagne de stigmatisation imaginée par les services de police urbaine avec une douceur toute bigbrotheriste …

Sauf que Madame Dong Mingzhu ne traverse pas en dehors des clous. Il faudra quelques temps pour que les cyber-pandores découvrent qu’en fait, le visage de cette chevalière d’industrie s’étalait sur une foultitude d’affiches publicitaires collées sur les flans des bus interurbains. Et en Chine comme en Europe, l’autobus domesticus traversent respectueusement les clous lorsque le feu est au rouge pour les piétons.

Les risques de l’IoT ne sont jamais qu’une transposition de ceux liés à la sécurité informatique traditionnelle. On ne craint que ce que l’on connait -via les déboires des tout premiers assistant vocaux par exemple-, on minimise les dangers provoqués par ce que l’on ne connait pas. Le véritable danger de l’IA et de l’IoT, c’est lorsque la situation se résume par un « celle-là, on ne l’avait pas vu venir ».

La poste US bat un joli record avec la perte de quelques 60 millions de données d’identités, rapporte Brian Krebs . Ces donnés touchent les personnes enregistrées auprès du service de suivi des expéditions