Archives

En Bref ...

En Bref …

Posté on 28 août 2015 at 1:36

Attaque XSS contre Paypal possible ! Explique le chercheur Egyptien Ebrahim Hegazy, alias Zigoo0. Le détournement de la transaction lors de la confirmation de payement offrirait à l’attaquant la possibilité de mettre la main sur le montant qu’il souhaite

En Bref ...

En Bref …

Posté on 28 août 2015 at 1:29

Les fuites de données : ni leur nombre, ni leur volume n’est en augmentation prouve une analyse de Benjamin Edwards, Steven Hofmeyr et Stephanie Forrest , analyse publiée à l’occasion de Weis 2015. La médiatisation, en revanche, est plus importante que par le passé. Enfin, en Amérique du Nord… car en Europe, c’est une autre histoire

En Bref ...

En Bref …

Posté on 28 août 2015 at 1:25

Cyphort, vendeur en équipements de sécurité, dénonce les campagnes de « malvertising », ces publicités qui redirigent les internautes vers des sites compromis. Ces attaques seraient en croissance de plus de 325% au cours de 2014. Les publicitaires US dépriment en estimant les pertes induites à 6 milliards de $ en 2015

Un « Hum » dubitatif pour les idées de Verizon

Un « Hum » dubitatif pour les idées de Verizon

Posté on 28 août 2015 at 12:56

Hum, explique le communiqué de Verizon (à la fois opérateur et vendeur de sécurité) n’est rien d’autre qu’une extension sans fil Bluetooth et GSM connectée à la prise de diagnostic ODB2 de tout véhicule fabriqué après les années 2000. Une semaine à peine après les hacks spectaculaires de plusieurs véhicules, dont au moins un utilise précisément une « extension » sans fil de la prise ODB, la pertinence de cette annonce en laissera plus d’un songeur.

Le but de Hum est bien entendu de vendre du service à des véhicules déjà anciens qui ne bénéficient pas encore de cette « connectivité permanente » des modèles récents qui conversent avec les réseaux de concessionnaires ou de dépanneurs. Grâce à cette interface, chaque usager, même d’un véhicule d’occasion, peut consulter en temps réel l’état de fonctionnement de son automobile et, selon le contrat de services, être assuré qu’un intervenant sera prévenu immédiatement en cas de panne. Ford modèle T mis à part.

Un garagiste, mais également n’importe quelle personne ayant pu soit casser le chiffrement des échanges ODB que n’aura pas manqué d’ajouter Verizon sur les dialogues du CAN, soit s’intéressant à l’émission de métadonnées qui, elles, ne seront jamais protégées. Flicage sur les fréquences de passage, les itinéraires, les consommations moyennes, les habitudes de fréquentation de telle ou telle station-service, Verizon, si son projet rencontre un peu de succès, pourrait devenir possesseur d’un formidable tas d’or constitué d’informations passionnantes tant pour les fabricants d’automobiles, les compagnies d’assurance, les responsables d’infrastructures routières ou les réseaux de distribution de carburant. Le plus intéressant, dans cette histoire, c’est que les automobilistes fliqués le seront sur la base d’un volontariat payant, aux environs de 15 dollars par mois. Le nombre de voitures susceptibles d’être équipées, estime l’opérateur, devrait friser les 150 millions.

Transformer de vieux véhicules en jouets de la vague IoT passionnera également quelques générations de hackers.

Tor est dangereux, par Odin !

Tor est dangereux, par Odin !

Posté on 27 août 2015 at 12:37

Tor, c’est diablerie ! A n’en pas douter si l’on se réfère à l’un des derniers grimoires de la X-Force d’IBM. Le parchemin compte pas moins de 108 occurrences du nom du réseau chiffré, et ses propos visent à associer l’outil et l’usage peu glorieux que certains en font. Ergo, Tor diabolicus est, car il camoufle des activités illicites dignes de fieffés malandrins. Une fois de plus, la X-Force tend à stigmatiser l’indélicate valetaille des gens de maison qui achètera moultes armes à feu, échantillons d’herboristerie d’une richesse hallucinante et images de damoiselles à la baignade ne portant ni chausses, ni henin, ni guimpe.
Jarnicoton ! Encore l’employé indélicat, cet ennemi intérieur plus retord que les Huns d’Attila, mais plus simple à épingler par la prévôté et gents d’arme qu’un véritable truand de grands cyber-chemins. A coup sûr bien plus coupable, les ordalies en décideront. Sage et pieu conseil est alors donné aux seigneuries du comput et de la sapience, leur suggérant peut-être de préférer les tunnels chiffrés vendus par quelque franc-amy de la X-Force, livrés en boistes bleues contre deniers sonnants et trébuchants.

En pays de grande truanderie, Tor est aussy cloué au pilori. Maistres et servants de la grande Agora, place de marché libre de toute gabelle, octroy, dime ou interdits, ont pris la décision de suspendre leur commerce apprend-on sur le forum de lange angloise Reddit. Quelque astronome ou druide barbu des Universités de Massachusetts et du Quatar, ont, lors de la grande réunion occulte Usenix, enseigné comment deviner le contenu des échanges par mesure d’empreinte, comme l’indiquaient tantôt les moines-copistes de CNIS Mag fin juillet dernier. Tire-laines et coupe-jarrets en souillent leur hauts-de-chausse tellement grande est leur terreur de se faire pincer par le guet.

L’on attend donc que la grande fraternité des compagnons-tisseurs-de-code répare cet accroc et parviennent à redonner le goût la soupe à l’Oignon à tous, maistres et valets, honnêtes scribes conseillés par RSF et habitants de la cour des miracles.

Skycure, la sécurité qui a du mal à comprendre

Skycure, la sécurité qui a du mal à comprendre

Posté on 26 août 2015 at 1:14

Parfois, certains professionnels de la sécurité auraient tendance à faire apparaître des réalités qui les arrangeraient et ainsi de faire passer des risques pour des menaces réelles, des failles inexploitables pour un « bug du siècle » …
C’est le cas cette semaine de Skycure, un « leader in mobile threat defense », qui signe un communiqué de presse établissant un classement des lieux touristiques les plus risqués pour les usagers des liaisons Wifi. Par ordre de dangerosité Time Square, Notre Dame de Paris, Disneyland Marne la Vallée, le parc du Golden Gate à S.F., Ocean Park à Hong Kong et le Strip de Las Vegas. Parmi les autres lieux de perdition sans fil, l’on retrouve la chaussée des célébrités d’Hollywood ou la basilique Saint Pierre de Rome. Regardes, fiston, s’il n’y a pas un wardriver caché derrière le monsieur tout en blanc ou un sectateur d’Aircrack déguisé en Elvis Presley.

De prime abord,l’on serait plutôt tenté de saluer la pointe d’humour dramatique qui pimente ledit communiqué de presse, et imaginer des hordes de « voleurs d’information » aussi agiles et peu scrupuleux que les pickpockets qui arpentent les alentours des grands monuments Parisiens.
Mais il faut bien admettre qu’une nuit par an au moins, la proximité de certains des lieux énoncés par SkyCure est risquée pour les porteurs de téléphone et d’ordinateurs « wifisés ». Disneyland Paris (ou l’école du Cirque Fratellini) vers la mi-juin, le Strip de Las Vegas entre la fin juillet et le début août, les bords du lac Léman mi-mars, les canaux d’Amsterdam fin-mai… Statistiquement, les chances de voir le terminal d’une innocente victime confondue avec les points d’entrée d’un « flag » de CTF sont assez élevées.

Les constructeurs automobiles incapables d’affronter les failles de sécurité

Les constructeurs automobiles incapables d’affronter les failles de sécurité

Posté on 25 août 2015 at 1:08

Dans un article au vitriol, Cory Doctorow, le fondateur de BoingBoing explique les raisons qui, selon lui, font des automobiles modernes de véritables nids de bugs. Il faut avouer que les dernières conférences Black Hat/DefCon/Usenix ont été riches en détournements et autres hacks visant la sacro-sainte bagnole. Comment se fait-il que plus d’une centaine de véhicules différents puisse, du jour au lendemain, s’avérer vulnérable à des intrusions d’une simplicité déconcertante ? L’attaque de Samy Kamkar, par exemple, repose en grande partie sur la largeur de bande proprement inacceptable des récepteurs radio et utilisée par les systèmes d’ouverture de certaines automobiles. Une attaque Man in the middle strictement identique avait fait l’objet de publications il y a plus de 5 ans à l’occasion d’une autre Black Hat Conference. Certes, la victime d’alors était une porte de garage, mais cela excuse encore moins les constructeurs de véhicules.

Cette situation, estime Doctorow, est la conséquence de l’attitude irresponsable desdits constructeurs, ancrés sur une position indéfendable : une automobile est une somme de propriétés intellectuelles, et s’y intéresser de près est une violation manifeste de ces droits. Et de rappeler la réaction violente de Volkswagen envers Flavio Garcia, lui interdisant de publier quoi que ce soit sur le coup et en le condamnant aux dépends. Il faut admettre qu’à la lecture de l’étude en question, Volkswagen et 25 autres de ses concurrents n’avaient pas de quoi pavoiser. L’on comprend d’autant mieux cette préférence pour la « sécurité par l’obscurantisme », quitte à ce que l’utilisateur final soit lésé… l’automobiliste pèsera toujours moins lourd qu’une image de marque égratignée. Le spectre de Ralf Nader, encore et toujours, et surtout la totale incapacité de ces industriels à analyser les règles sociétales en vigueur dans la sphère informatique, malgré une utilisation croissante d’outils provenant de ce monde. « Ce modèle est aussi détestable que celui mis en place par Oracle et Cisco » dit en substance Doctorow. En substance, car la prose qu’il emploie est très légèrement plus imagée.

Tout ce qui est excessif est insignifiant, et c’est peut-être là le seul reproche que l’on puisse adresser au journaliste Canadien. Mais les conclusions de son analyse ne font aucun doute : une profession, pis encore, une industrie toute entière tente de cacher la poussière sous le tapis, et ne corrige qu’au coup par coup ses erreurs lorsqu’une publication est sur le point d’inquiéter sa clientèle. Faudra-t-il attendre de véritables accidents corporels provoqués par quelque organisation mafieuse (contre lesquelles les armées d’avocats ne pourront rien) pour que l’Anssi, ou autre organisme d’Etat, exige que les marchés d’Etat soient inféodés à une procédure d’audit des systèmes numériques embarqués ? Ou pour que ces mêmes industriels apportent autant de soin à leurs ordinateurs de bord qu’ils ne le font déjà pour leurs constructions mécaniques ? Il a fallu près de 15 ans pour que le secteur informatique fasse de la sécurité un élément constitutif de ses processus de fabrication, et encore est-on loin d’une situation généralement satisfaisante. Si le secteur automobile met autant de temps à digérer l’intégration numérique, les accidents de la route devront peut-être autant à cette négligence que l’alcool et le non-respect du code.

Lorsque les quanta crissent, sauve qui peut

Lorsque les quanta crissent, sauve qui peut

Posté on 25 août 2015 at 1:02

Le cassage des clefs de chiffrement à l’aide d’ordinateurs quantiques avait fait l’objet d’une démonstration magistrale par Renaud Lifchitz lors de NoSuchCon l’hiver dernier. Pas de panique, ce n’est pas pour demain, mais il faut tout de même commencer à s’inquiéter et envisager d’utiliser des mécanismes résistants aux algorithmes de Shor. Les algorithmes symétriques seront très probablement les premiers à tomber, expliquait en substance le chercheur Français.

Depuis, rien n’a fondamentalement changé, si ce n’est que d’autres chercheurs ont donné une conférence sur ce même thème à l’occasion de la dernière Black Hat, aboutissant sans surprise aux mêmes conclusions. Une étude intitulée « The Factoring Dead » et signée Thomas Ptacek, Tom Ritter, Javed Samuel et Alex Stamos.

Le calcul quantique signifie à terme la fin des clefs RSA, et sans clef RSA résistante, on peut prévoir des vagues d’attaques contre TLS et les systèmes de signature de code. Les outils de mise à jour deviendront caducs, les solutions de chiffrement « de bout en bout » (S-mime, PGP) seront inutiles, et l’on pourra sonner le glas des relations de confiance sur Internet. Bref, ce sera Armageddon, le lait des nourrices tournera et il pleuvra des grenouilles partout sauf dans les bouchons Lyonnais.

Il existe pourtant une solution, expliquent les conférenciers : la cryptographie à courbes elliptiques qui a mis trop de temps à se mettre en place, principalement en raison de sa grande lenteur, d’un manque mathématiciens compétents capables de comprendre cette approche et produire des algorithmes utilisables à grande échelle, sans parler de contraintes légales non négligeables liées à des dépôts de brevets.

Mais ne paniquons pas. Les ordinateurs quantiques capables de casser du RSA à la volée ont encore une bonne vingtaine ou trentaine d’années de mûrissement technologique avant de devenir véritablement efficaces. Un répit que pourront mettre à profit les savants du chiffrement, qui bénéficient dès à présent d’une ou deux décennies de travail pour que naisse un successeur à RSA/diffie hellman.

Cela n’empêche pas la NSA de commencer à envisager un monde « post-quantum » ou « post-RSA » explique Bruce Schneier. Un « plan B » ? non, une « Suite B », cocktail d’AES, d’algorithmes elliptiques et de SHA-256/384. Le menu est défini, reste à trouver les cuisiniers pour le préparer et l’accommoder. Pourquoi soudainement une telle hâte ? « Serait-ce parce que la NSA est sur le point de faire fonctionner un prototype d’ordinateur quantique au sein de leur base secrète ? C’est peu probable. Serait-ce parce que la NSA elle-même prévoit que de tels calculateurs verront le jour « ailleurs », et dans un avenir plus proche que les 30 ou 40 ans prévus par les analystes du monde occidental ? Sans aucun doute » estime Schneier. Et de conclure que ce qui préoccupe la NSA doit nécessairement préoccuper l’industrie en général. Reste à deviner où sera situé cet ailleurs du développement quantique. Trois puissances mathématiques sont plausibles : la Russie, la Chine et surtout l’Inde.

En bref ...

En bref …

Posté on 24 août 2015 at 9:21

Seconde vague de chantage dans l’affaire Ashley Madison : des gangs mafieux utilisent les fichiers publiés pour extorquer de l’argent aux supposés clients, expliquent Brian Krebs et Richard Chirgwin du Reg . Une des victimes se serait suicidée, mais rien de très sérieux ne vient encore étayer cette thèse .

En Bref ...

En Bref …

Posté on 24 août 2015 at 9:08

Un routeur sous OpenWRT, un jeu de crochets pour tutoyer d’éventuelles serrures, batteries, keylogger usb, rallonge RJ45… le tout caché dans un talon imprimé « 3D » en PLA, prévu pour s’intégrer gracieusement sur une paire de talon-aiguilles. « Le reste n’est que social engineering, associé à une robe qui ne cache pratiquement rien » explique SexyCyborg, hackeuse Chinoise spécialiste des tenues provoquantes

Publicité

MORE_POSTS

Archives

août 2015
lun mar mer jeu ven sam dim
« juil    
 12
3456789
10111213141516
17181920212223
24252627282930
31