Archives

En Bref ...

En Bref …

Posté on 20 août 2014 at 3:10

Aux USA, 45 millions d’identités et numéros de sécurité sociale ont été dérobés sur les systèmes de Community Health System, opérateur de santé publique regroupant près de 206 établissements hospitaliers. Le numéro SS est, aux USA, un identifiant pouvant servir à l’obtention d’un crédit ou la délivrance d’une carte bancaire

Defcon & BlackHat 2014 : Internet des objets, les geeks crient « au loup »

Defcon & BlackHat 2014 : Internet des objets, les geeks crient « au loup »

Posté on 20 août 2014 at 2:55

Brandan Blevin, de SearchSecurity, dresse une synthèse des différentes interventions ayant pour thème l’Internet des Objets (IoT) lors de la dernière DefCon/BlackHat de Las Vegas. Et la liste est longue : Dan Geer, Charlie Miller et Chris Valasek avec une effrayante prise de contrôle à distance de la colonne de direction d’une voiture en train de rouler et la publication d’une étude sur les surfaces d’attaque des IoT, Billy Rios qui s’est penché sur les appareils de filtrages situés dans les aéroports et qui sont vulnérable à des attaques distantes, Ruben Santamarta qui s’est attaqué aux liaisons satellites chargées des accès Internet dans les vols long courrier, Silvio Cesare, mentionné par nos confrères du HNS et qui s’est passionné pour les vulnérabilités des protocoles radios des IoT, Hewlett Packard dont le récent rapport sur les objets connectés révèle que plus de 70% des appareils IoT sont vulnérables, sans mentionner Josh Corman et sa lettre ouverte intitulée « Voilà la cavalerie ! » demande aux industriels de l’automobile de repenser la sécurité de cette forme d’informatisation « communicante » qui bourgeonne à tout-va.

Ces avertissements ont-ils des chances d’être entendus ? Les vieux routiers de la sécurité estiment que ces appels resteront sans réponse, pour les mêmes raisons que celles qui ont présidé au lancement du « tout web » dans les années 90 n’ont éveillé la moindre velléité d’amélioration. Les espérances de gains à court terme sont plus impérieuses que les préoccupations sécuritaires… d’autant plus que les victimes ne sont pas du côté des vendeurs mais de la clientèle. Caveat Emptor. Du côté des médias, la situation n’est guère plus brillante, car ne sont relatés que les scénarii les plus sensationnalistes, les plus catastrophistes, ceux-là même qui ne résistent pas à une analyse de risque sommaire mais qui font du clic web et du lectorat qualifié. Une hypothétique apocalypse terroriste exploitant la faille obscure d’une interface d’administration, la prise de contrôle d’une centrale nucléaire, d’une usine de traitement d’eau, de l’ordinateur de bord d’un unique modèle de voiture lancée à 200 km/h… Quelle est la probabilité de ces risques au regard des gains que promettra le « gadget de la connectivité et de la modernitude » ? Quasi nulle. Mais économiquement, le dédommagement d’une victime n’est rien en comparaison des bénéfices visés.

Seuls les geeks, les hackers, les spécialistes sécurité possèdent un aperçu réel de la situation d’ensemble… mais ne savent pas franchement l’exprimer. Car le danger réside moins dans l’accident exceptionnel que dans la collecte massive, anodine et quotidienne d’informations et d’habitudes d’usage. Et la mise à jour de cet obscur travail de fourmi des bigdata lovers est moins « vendeur » que le hack d’un système embarqué dans un avion de ligne. En outre, à ce genre d’argument, l’on oppose l’exagération de cette vision Orwellienne de l’Internet des Objets. L’IoT n’est pas Big Brother, car il n’existe aucune décision immanente, aucun plan occulte mondial cherchant à coordonner cette formidable dépendance à l’interconnexion et à ce flicage quasi volontaire. Reste que la chaine alimentaire de l’IoT est comparable à celle de la nature : herbivores, prédateurs, super-prédateurs… il y aura toujours, quelque part, un Google ou un Microsoft, voir un « data broker » moins connu mais tout aussi efficace, qui sera capable de réunir et recouper, puis désanonymiser les messages de l’IoT pour les mieux exploiter. Car c’est moins l’IoT lui-même que l’analyse « big data » des données que cet IoT collecte qui présente un risque pour la société et l’individu. Alors oui, on peut s’inquiéter des failles radio et des très probables exploitations mafieuses ou terroristes dans le secteur de l’Internet des Objets. Mais tout ça reste comparable à la probabilité d’exploitation des défauts de sécurité Wep des premières liaisons Wifi : beaucoup de bruit pour des conséquences rétrospectivement marginales, à une attaque de chaine de magasins près. Le problème de l’IoT se situe en amont de la chaîne d’exploitation et relève plus de l’encadrement législatif et de l’harmonisation des lois internationales. C’est donc plus une question politique que technique.

Régression du « MS-Patch-Tuesday »

Régression du « MS-Patch-Tuesday »

Posté on 19 août 2014 at 2:41

Selon Rob Williams, de Hot Hardware, le dernier lot de correctifs Microsoft contiendrait quelques défauts, notamment le MS14-045 (mise à jour de sécurité concernant les pilotes de type « kernel drivers ») et quelques patchs publiés dans la kBase est destiné aux plateformes Windows RT. L’auteur conseille de désinstaller les rustines portant sur les articles KB •2982791, 2970228, 2975719 (ne concerne que les versions Russes de Windows) et 2975331.

Espionnage : cognocere causas, Google et Nostradamus

Espionnage : cognocere causas, Google et Nostradamus

Posté on 19 août 2014 at 2:39

Google Translate servirait-il à véhiculer des messages secrets cachés dans les textes de remplissage de type « Lorem Ipsum » ? Ce Lorem Ipsum que les vieux « prots » de l’imprimerie au plomb affublaient du nom de « bolobolo » et qui sert généralement à remplir de faux textes des maquettes et autres tentatives de mise en page. Le Lorem Ipsum est à l’imprimerie ce que le gravier est à la marine à voile : un lest de remplissage, peu cher et sans signification ni valeur particulière.

Mais Brian Krebs prend l’affaire au sérieux et nous entraîne dans une aventure au scénario plus ravagé qu’un roman de Dan Brown. Les héros de l’histoire sont trois chercheurs, Lance James, patron de la branche cyber-intelligence chez Deloitte, Michael Shoukry de FireEye et un troisième dénommé « Kraeh3n ».

Ces enquêteurs de l’improbable ont découvert que les mots « lorem ipsum », selon la manière dont ils étaient écrits, avec ou sans majuscule, leur disposition dans la phrase, leur éventuelle répétition, pourraient offrir des significations étonnantes lorsque passées par le filtre de l’outil de traduction Google. Ainsi, les mots « lorem ipsum » donneraient « Chine », Lorem Lorem équivaudrait à « Home Business » et ipsum ipsum à « exam » (ndlr, depuis, Google Translate traduit Lorem Ipsum par Lorem Ipsum, ce qui est nettement moins rocambolesque et peu à l’avantage d’un logiciel de traduction)

Alors, les services de Google serviraient-ils de grille de codage aux valeureux espions de la NSA en opération dans le monde ? Plus besoin de chiffre, de grille de code, d’encre sympathique, d’embrouilleurs vocaux… il suffit d’expédier une missive en latin, Google se charge du décodage. Et nos chercheurs d’imaginer une édition moderne du Grand Chiffre de Louis XIV, comme d’autres chercheurs, en d’autres temps, ont cru deviner un sens caché à l’Apocalypse de Saint Jean ou aux écrits de Michel de Notre Dame. Ce qui tendrait à prouver que certaines boissons fermentées, de rares espèces de champignons ou des mélanges herbacés peuvent affecter avec la même virulence aussi bien des grands mystiques de Patmos, des mages du XVIème siècle ou des programmeurs « côte ouest ».

Les barbouses Allemandes jouent Ă  la NSA

Les barbouses Allemandes jouent Ă  la NSA

Posté on 18 août 2014 at 3:59

Les services de renseignement d’Outre Rhin écoutaient les conversations d’Hillary Clinton à l’époque où elle était Secrétaire d’Etat, puis de son successeur John Kerry. Egalement espionnés, les services gouvernementaux Turcs, un allié de longue date de l’Allemagne doublé d’un partenaire politique et économique quasi historique. Ce scoop est, une fois de plus, le fruit du travail d’enquête des journalistes de Der Spiegel.

Cette affaire tombe d’autant plus mal que l’écoute des conversations téléphoniques d’Angela Merkel par la NSA avait permis à la Chancelière de protester et de jouer les victimes innocentes dans une guerre aveugle du renseignement diplomatique. Le fait que le BND, pourtant membre des « yeux » de la NSA, se permette d’écouter les échanges d’alliés objectifs, membres de l’Otan et partenaires économiques, montre à quel point la notion chinoise de « guerre sans limite » n’est plus une expression purement rhétorique.

Comme il fallait s’y attendre, des protestations de pure forme ont été émises par les victimes, protestation auxquelles le gouvernement Fédéral Allemand a répondu par des excuses tout aussi bancales (l’espionnage Clinton-Kerry était un « accident »). Il faut être très prudent lorsque l’on nettoie un logiciel d’écoute. Parfois, les coups peuvent partir tous seuls.

Le cerveau des « braqueurs de DAB » sous les verrous

Le cerveau des « braqueurs de DAB » sous les verrous

Posté on 18 août 2014 at 3:43

Predator alias Oreon alias Amonyak, ou Findikoglu dans le civil, le chef de la bande des “braqueurs de distributeurs” a été arrêté, nous apprend un article de Der Spiegel. Une traque longue et complexe pour un hack retord et élaboré.

L’affaire débute en 2012, année durant laquelle l’équipe technique de Predator, d’origine Turque, s’introduit dans les systèmes d’information d’une entreprise Indienne de traitement des transactions bancaires, et dérobe un important volume d’identités. A partir de ces données et de quelques opérations de datamining périphériques, deux séries de comptes sans limitation de retrait sont piratés. L’un dépendant d’un établissement émirati, Rakabank, l’autre dont le siège est basé à Oman, la Bank of Muscat. Ces comptes font alors l’objet d’une opération quasi industrielle de duplication de cartes de crédit, ces cartes étant ensuite confiées à un réseau de mules situées dans le monde entier : Russie, Japon, USA, Allemagne… 26 pays au total serviront à siphonner le contenu de centaines de distributeurs. Le braquage est organisé en deux vagues, chacune n’utilisant qu’un seul compte à la fois : Rakabank le 22 décembre2012, et Bank of Muscat dans la nuit du 19 au 20 février 2013.

La presse nord-Américaine d’alors découvre l’ampleur du vol dès le mois de mai, lorsqu’un premier groupe de 8 complices se fait arrêter. Un premier chef présumé, Alberto Yusi Lajud-Peña, alias Prime, alias Albertico, est retrouvé mort à Manille, début mai, après un échange de coups de feu. Cette mort brutale serait la conséquence d’un différend concernant le partage du butin. Outre Atlantique, à New York notamment, ainsi qu’en Allemagne, quelques mules se font prendre pour avoir sous-estimé l’efficacité des caméras de surveillance équipant les distributeurs. Mais ces petits accrochages entre truands et forces de l’ordre ne compromettent toujours pas l’étanchéité du « système Predator » et ne remet pas en cause l’extraordinaire coordination et efficacité du réseau. C’est d’ailleurs une question qui taraude l’auteur de l’article du Spiegel : qui est derrière l’organisation quasi militaire de ce double casse, qui a conçu le cloisonnement du réseau, établi les modes de communication et assuré la direction opérationnelle de l’ensemble ? Certains experts envisagent la possibilité de soutiens extérieurs de la part d’organisations ou de « conseillers techniques » compétents en matière de logistique.

En Bref ...

En Bref …

Posté on 18 août 2014 at 3:19

Un peu de parano signé Sans Institute, qui imagine un scénario d’attaque distribuée utilisant des armadas de routeurs Soho exploités par une faille ntp. A lire comme un roman d’été

En Bref ...

En Bref …

Posté on 18 août 2014 at 3:15

Le système de facturation de Supervalu, une chaîne d’épiceries US, a été piraté, occasionnant la fuite d’identités et probablement de références bancaires des clients de plus de 180 magasins.

Cyber-robots, hacks ratés et crash, Snowden parle encore

Cyber-robots, hacks ratés et crash, Snowden parle encore

Posté on 18 août 2014 at 12:10

Le scoop signé James Bamford se trouve dans un article de Wired aussi bien écrit que superbement illustré. Sept pages et deux révélations, MonsterMind et les explications du blackout Internet Syrien de décembre 2012.

A cette époque (on ne prête qu’aux riches) la « fermeture d’Internet » fait l’objet de plusieurs conjectures. Pour les uns, c’est un coup des services secrets Israéliens, pour d’autres, une tentative de censure du régime, comparable à ce qui s’était passé en Egypte lors du Printemps Arabe. Ni l’un ni l’autre, nous apprend Snowden. Cette coupure est le résultat d’un ratage magistral de la NSA qui, à l’époque, tente d’implanter un spyware au cœur des principaux routeurs de Syrie. Mais le coup rate, les équipements d’infrastructure digèrent mal le code et plantent. « Lorsque les techniciens de la NSA se rendent compte du problème, tous n’ont qu’une pensée : Et M… » raconte en substance Snowden. Impossible de reprendre la main sur les équipements compromis afin d’effacer les traces du hack. Fort heureusement, l’esprit des ingénieurs Syriens est plus occupé à remettre le réseau en état de fonctionnement plutôt que d’analyser les logs.

Cette réaction risque fort de constituer un joli sujet de thèse dans les futures promotions de l’Ecole de Guerre. Plus la gaffe est énorme, moins elle a de chances d’être remarquée.

Mais cette ingĂ©rence des USA au sein de l’infrastructure d’un pays souverain soulève bien moins d’émotions mĂ©diatiques que les rĂ©vĂ©lations Ă  propos de MonsterMind, un sĂ©rie d’outils logiciels que l’on baptise pudiquement de « dĂ©fense proactive ». Car MonsterMind, outil de contre-attaque cybernĂ©tique, pourrait très bien frapper de manière autonome… le mythe du Golem et de Terminator… La NSA saurait-elle respecter les trois lois d’Asimov ? Car pour dĂ©tecter des attaques Ă©mises par une Ă©ventuelle puissance extĂ©rieure, MonsterMind examine tout le trafic Internet…. Y compris celui des concitoyens des Etats-Unis. NetworkWorld, le Point, Popular Science… les journaux de tous bords voient l’émergence d’une sorte de Big Brother/Big Browser capable de frapper aveuglĂ©ment n’importe quel pays qui aurait eu la malchance de voir ses infrastructures servir de proxy Ă  une attaque dont la provenance sera toujours inconnue. Cette « innocence de l’attaquant prĂ©sumĂ© » est en permanence invoquĂ©e par la Russie et la Chine, coupables bien souvent dĂ©signĂ©s par le traceback de certaines attaques.

De quelle manière pourrait se concrétiser la contre-offensive de MonsterMind ? De formidables dénis de service à la mode d’Estonie ? A des techno-missiles ciblés façon Stuxnet ? A des APT visant les OIV des adversaires présumés ? Pour l’heure nul ne connait l’ampleur du véritable arsenal numérique qui doterait ce robot logiciel. Et cette ignorance amplifie les craintes fantasmatiques, fait germer les suppositions les plus folles. La première arme dont dispose MonsterMind est avant tout psychologique.

Defcon 2014 : La r00t la plus courte passe par les r00teurs

Defcon 2014 : La r00t la plus courte passe par les r00teurs

Posté on 18 août 2014 at 11:53

Sur 10 routeurs SoHo vendus en grande distribution, la moitié se sont avérés vulnérables à une attaque et ont été totalement compromis. C’est ce qu’il ressort du concours de hack SOHOpelessly Broken organisé à l’occasion de la 22ème DefCon. Les Asus RT-AC66U, Belkin N900 DB, Netgear Centria WNDR4700 et TRENDnet TEW-812DRU ont succombés à 15 vulnérabilités différentes. 11 de ces failles ont été découvertes par un seul chercheur, Craig Young (Tripwire), qui travaille sur ce sujet depuis plus d’un an.

Certains équipements ont su résister. Ce sont les Linksys EA6500, Netgear WNR3500U/WNR3500L, TP-Link TL-WR1043ND, D-Link DIR-865L ainsi que les appareils dotés du firmware open source Open Wireless. Profitons de cette manifestation pour signaler que, depuis le 14 juillet dernier, une autre branche de firmware « open » supporte DNSSec, IPv6, DHCPv6 ainsi que le Stateless Address Autoconfiguration. Il s’agit de la version « Barrier Breaker 14.07 » d’OpenWRT. La version RC2 est actuellement en téléchargement sur GitHub. OpenWRT est souvent la seule évolution sécurisée disponible sur certains routeurs qui ne sont plus supportés par leurs propres concepteurs.

Publicité

MORE_POSTS

Archives

août 2014
lun mar mer jeu ven sam dim
« juin    
 123
45678910
11121314151617
18192021222324
25262728293031