Archives

En Bref ...

En Bref …

Posté on 20 déc 2016 at 1:59

Une nouvelle pratique découverte par @malwarehunterteam : le ransomware PopcornTime offre le choix à chacune de ses victimes. Soit elle verse une rançon d’un Bitcoin (plus de 700 euros), soit elle infecte à son tour deux autres victimes qui, si elles acceptent de payer, donneront droit à une clef de déchiffrement gratuite

En Bref ...

En Bref …

Posté on 20 déc 2016 at 9:58

Andrei Barysevich, de Recorded Future, révèle la mise en vente sur le marché noir de près d’une centaine d’identifiants offrant accès aux serveurs de l’Election Assistance Commission (EAC), qui, entre autres activités, certifie les outils et procédures de vote US

En Bref ...

En Bref …

Posté on 20 déc 2016 at 9:41

Une démonstration magistrale d’ingénierie sociale réalisée à l’occasion de la DefCon avec, pour victime consentante, un journaliste de l’émission Real Future

Comptes ! Yahoo ! à ! vendre !

Comptes ! Yahoo ! à ! vendre !

Posté on 19 déc 2016 at 9:41

Après avoir dormi durant plus de trois ans, le milliard d’adresses Yahoo évaporé semble refaire surface sur le marché noir, relate le New York Times en se basant sur les constatations de la société InfoArmor. Trois personnes se seraient déjà portées acquéreurs de cette base de données, mise en vente pour 300 000$.

L’homme à l’origine de cette découverte, Andrei Komarov, Chief Intelligence Officer d’InfoArmor, découvre le pot aux roses en août dernier, précise Bloomberg, et prévient directement les autorités plutôt que la victime. Lesquelles autorités avertissent à leur tour le fournisseur de service. Fait surprenant, Yahoo communique alors, deux mois plus tard, et avoue avoir été la victime d’un piratage massif. Mais certains indices techniques ne correspondent pas, Komarov en conclut que Yahoo parle d’un tout autre acte de piratage. Conséquence d’un quiproquo ? Volonté de minimiser l’affaire alors que Yahoo est en pleines transactions financières avec Verizon ? Il faudra attendre la fin de l’année pour que la « fuite d’un milliard d’enregistrements » soit officiellement reconnue.

Avec le temps, la valeur du fichier Yahoo s’effrite sur le marché mafieux et serait, estime le chercheur, vendue désormais entre 20 et 50 000 dollars. Une misère, à peine 0,00003 centime d’euro le contact. S’effrite aussi probablement la valeur de rachat de l’entreprise, que convoitait l’opérateur Verizon.

Cette mésaventure hacko-boursicotière est suivie avec une attention toute particulière dans le milieu de la sécurité, qui voit en ces péripéties un véritable cas d’étude. A combien s’élèvera la capitalisation boursière de Yahoo dans deux ou trois mois, lorsque la grande majorité des internautes, des journalistes, des hommes politiques et des investisseurs auront oublié l’affaire ? C’est là une équation à 1 milliard d’inconnues qui semble bien plus importante que l’origine du hack ou les dommages que risquent de subir les titulaires des comptes en question.

Le Mac est une machine ouverte… très ouverte

Le Mac est une machine ouverte… très ouverte

Posté on 16 déc 2016 at 10:05

Ulf Frisk vient de publier une méthode d’attaque DMA « pre-boot » sur MacOS. Attaque combinée avec le fait que le container à mots de passe résidant en mémoire n’est pas (n’était pas) chiffré. Le source de l’exploit est disponible sur Github, l’extension matérielle nécessaire à l’attaque (celle qui permet d’extraire les mots de passe en quasi-temps réel), se trouve aisément « en ligne ». Il ne s’agit que d’une interface pci-e/USB3.0 utilisant un composant Abacom. Ceux pour qui la soudure d’un boîtier QFN pose quelques problèmes peuvent se rabattre sur une carte de développement vendue aux environs de 225 USD (contre 18 dollars pour le composant seul).

Une courte vidéo de démonstration, à voir sur le site de l’auteur, remet au goût du jour le principe de l’attaque « Evil Maid ». Doit-on préciser que la dernière mise à jour du système d’Apple tient compte de cette vulnérabilité et la comble ?

EN Bref ...

EN Bref …

Posté on 16 déc 2016 at 9:59

A la lumière des deux hacks qui ont frappé Yahoo, le BSI Allemand (équivalent de l’Anssi) demande aux principaux opérateurs et prestataires de service d’Outre-Rhin de faire de la sécurité des données personnelles de leurs clients « la plus haute priorité qui soit ».

En Bref ...

En Bref …

Posté on 16 déc 2016 at 9:45

Les premières rumeurs de désengagement de Verizon dans l’offre d’achat Yahoo commencent à fuiter dans le milieu financier. Un article de Bloomberg explique qu’une équipe a été mandatée pour analyser les conséquences du double hack Yahoo, en perspective d’un abandon ou d’une renégociation de la promesse d’achat

L’enfer des cadeaux de Noël

L’enfer des cadeaux de Noël

Posté on 23 nov 2016 at 7:12

Ordinateurs, tablettes, smartphones, lecteurs multimédias connectés, périphériques domotiques sans-fil ou « cloudifiés », drones… Gary Davis de McAfee dresse la liste des présents cyber-vulnérables. Plutôt que de voir, sous le sapin, une caméra, un téléphone, un ordinateur, il imagine un Mirai empaqueté dans du papier doré, un trou ASLR CVE-2016-6689 mélangé avec des truffes au chocolat, un héritier de JerusalemB éclairé aux bougies, une dinde truffée au Ransomware. Et de recommander illico les bonnes pratiques habituelles telles que le changement de mot de passe par défaut, le renforcement du réseau Wifi, l’usage de codes PIN robustes, autant de conseils qui ne sont que très rarement écoutés.

Plutôt que de craindre la faille cachée dans le présent, tel Ulysse dans son cheval de bois, ne serait-il pas plus simple de dire les choses telles qu’elle sont. « Cette année, je t’offre un « sploit » d’enfer emballé dans un système Android » ou « je pense que ce CVE manque à ta collection, le voilà amoureusement niché au sein d’un quad-core 8 Go de RAM /256 de SSD ». Voir « Je connais ta passion pour les backdoor, en voilà une collection cachée dans ce bouquet de caméras ». En accompagnant le tout avec la dernière édition d’un Kali câlin par exemple. L’on y gagnerait en sensibilisation à la sécurité informatique ce qu’y perdrait le sensationnalisme anxiogène des vendeurs de sécurité. Car Noël, c’est aussi la fête des bugs.

Amour de la sécurité, insécurité de l’amour

Amour de la sécurité, insécurité de l’amour

Posté on 23 nov 2016 at 7:06

Bruce Schneier s’amuse des questions parfois farfelues posées par les organismes de sondage en général, et à propos d’une étude Harris en particulier, étude qui établirait que les citoyens US, dans 39 % des cas, seraient prêts à sacrifier une année entière de leur vie sexuelle en échange d’une véritable sécurité numérique, une protection efficace de leur cyber-identité. Pis encore, 41 % d’entre eux abandonneraient volontiers leurs mets préférés tout un mois durant, plutôt que de devoir souffrir le long calvaire des changements de mots de passe en cas de compromission d’un compte.

Ce sont là, estime Schneier, des questions totalement stupides, dénuées de sens, posées uniquement dans le but d’interpeller le lecteur.

Et si le Maître à Penser de la sécurité bien tempérée se trompait ? Car, aussi farfelues que soient ces questions, des personnes y ont répondu sérieusement. Sur la base de ces réponses, l’on pourrait alors en déduire quelques hypothèses scientifiquement étayées. Par exemple que 41 % des personnes interrogées n’ont jamais eu la possibilité de déguster un tournedos Rossini, une cervelle de Canut ou un tablier de sapeur. La soif de sécurité serait-elle le sous-produit du hamburgers-ketchup-root beer, que l’on troquerait sans remord contre un audit sauce ISO2700x ? Il est donc urgent de vérifier cette hypothèse en établissant un programme d’envergure nationale, qui placerait un descendant de Vatel, un élève d’Auguste Escoffier, une armée de disciples de Brillat-Savavin à la tête des cantines scolaires, restaurants d’entreprise et autres gargotes, histoire de vérifier si la LCEN peut résister à un tel test d’intrusion à l’échelon national. La sécurité est un état d’esprit plus qu’une recette dit-on. Corolaire, toute recette, y compris celle de la tarte Tatin, pourrait s’apparenter à un exploit à la fois culinaire et binaire.

39% des sondés auraient également, cela ne fait aucun doute, plus de 80 printemps, âge, dit-on, un peu moins propice aux transports en commun (à deux ou plus vers Cythère) qu’à la recherche d’une cyberquiétude. Ce que l’Abbé de Lattaignant décrivait ainsi

Et que pour le jour où le mot

Viendra seul hélas sans la chose

Il faut se réserver le mot

Pour se consoler de la chose

Vous reprendrez bien un peu de firewall ?

Arriver épié par la Chine

Arriver épié par la Chine

Posté on 23 nov 2016 at 6:55

A chaque jour son Troyen Android. Celui-ci a été détecté par l’équipe de Kryptowire et concerne plusieurs modèles de terminaux mobiles utilisant un firmware d’origine Shanghai Adups Technology.

L’envoi discret d’informations contenues dans ces téléphones ne sert, affirme le constructeur, qu’à établir des métriques et récolter des données destinées à l’amélioration du support client. Au nombre de ces données récoltées pour le bien-être des usagers, Kryptowire a compté les identifiant Imsi et IMEI, le contenu des SMS, l’historique des appels, le carnet d’adresse local.

La semaine passée, ont été mises à l’index les marques de téléphone BLU, Infinix, Doogee, Leagoo, IKU, Beeline et Xolo, toutes d’origine Chinoise, toutes visant le marché d’entrée de gamme, toutes utilisant un mécanisme de mise à jour fonctionnant avec des droits « root » et transmettant ses informations sans le moindre chiffrement. Attaque MIM garantie à court terme. La vulnérabilité a été découverte et décrite avec force détails par l’équipe d’Anubis Network.

Les chercheurs estiment que sont ainsi vulnérables près de 55 modèles de terminaux mobiles, vendus sous plus de 7 ou 8 marques soit un total de 2,8 millions d’appareil.

Publicité

MORE_POSTS

Archives

janvier 2017
lun mar mer jeu ven sam dim
« déc    
 1
2345678
9101112131415
16171819202122
23242526272829
3031