février 19th, 2016

Andrew Zonenberg (IOActive) signe un article aussi amusant que consternant : à l’aide d’une radio logicielle, il s’est rendu compte que les centrales d’alarme SimpliSafe transmettaient leurs codes d’activation en clair sur une fréquence radio publique (433 MHz, appareil LPD également autorisé en Europe).

Sans même avoir à recourir aux techniques d’analyse de Zonenberg, cette vulnérabilité (ou plus exactement cette totale absence de sécurité) permet à un cambrioleur de désactiver le système de surveillance et d’alarme par simple « replay attaque ». Simplisafe ne semble pas commercialisé en France, mais l’on peut être certain que ce même genre d’attaque menace d’autres appareils : ouvertures télécommandées de portail (simples séquences DTMF sur 433 MHz), verrouillages distants, voir certains vieux systèmes de télémesure des réseaux de distribution d’énergie. Une radio logicielle capable de jouer une séquence radio ne coûte, pour des appareils d’entrée de gamme, guère plus de 300 euros.

L’équipe de Risk Based Security (RSB), quant à elle, s’est passionnée pour les œuvres complètes de Zhuhai RaySharp Technology un fabricant de caméras de surveillance intégrant un système d’enregistrement autonome. D’origine Chinoise, ces équipements de sécurité sont commercialisés dans le monde entier, particulièrement dans les pays anglo-saxons. Le firmware développé par RaySharp, en revanche, a été adopté par plusieurs autres fabricants, dont certains écoulent leurs productions en Europe. Et, à l’instar de celui de beaucoup de routeurs produits dans l’Empire du Milieu, ledit firmware est affecté par un grand classique de la bévue sécuritaire : un identifiant et un mot de passe en clair activé par défaut. Or, les configurations par défaut, dans le secteur grand public « non-informatique », peuvent être à coup sûr assimilé à une configuration opérationnelle. Le Sésame est « root », mot de passe « 519070 », et l’équipement vidéo répond présent sur le port TCP 9000. Plus de 80 000 équipements seraient, estiment les chercheurs de RSB en se basant sur la base de données IoT Shodan.

Les campagnes de « malwaretizing » (malware diffusés par des add-in publicitaires) seraient en plein essor. Jérôme Segura (malwarebyte) a rédigé deux articles coup sur coup sur des vecteurs d’infection visant principalement WordPress. Au nombre des outils d’attaque les plus préoccupants, le kit d’exploitation « Nuclear » qui a cédé progressivement la place à « Angler ». Apparu en 2014, ce malware connaît une progression quasi linéaire. Parmi les 10 ou 15 « charges utiles » qu’il véhicule, on peut citer Telascrypt (un des ransomware les plus connus), Kovter, Andromeda, Vawtrak pour ne citer que les plus répandus.

Mais la cible ne se limite pas aux serveurs WordPress. Elle déborde actuellement sur les sites Joomla, prévient une étude du Sans. Les méthodes de diffusion sont les mêmes, encore et toujours les « spywares publicitaires ».

« Pas seulement ! » lance Karmina sur le blog F-Secure. On aurait même vu passer des attaques Angler via Skype, sans grande surprise par le truchement de ses extensions destinées à arroser les usagers de messages publicitaires.

Mais tout espoir n’est pas perdu. Neal Krawetz, le chasseur de photos numériques trafiquées, l’auteur du blog Hacker Factor, vient de créer un outil très simple de sécurité de premier niveau : le détecteur de malwares exploitant les principaux navigateurs. Ce n’est en aucun cas un outil de protection permanente, pas même un scanner, insiste Krawetz. Plutôt une page de sensibilisation et de formation sur les risques d’infection des navigateurs. Mais une visite régulière de cette page pourrait sauver l’avenir de quelques disques durs.

Même les truands acceptent les négociations. Frappé par un virus-chiffreur, le Hollywood Presbyterian Medical Center n’a pas payé les 3,6 M$ de rançon initialement réclamés, mais « seulement » 17 000 US$. Céder à ce chantage était, pensent ses responsables, la voie la plus rapide pour remettre le système en état de fonctionnement.

Avis de tempête sous Linux et Android sur la fonction getaddrinfo dans libgc. L’alerte a été lancée par deux chercheurs de Google, (référence CVE-2015-7547 ). Un PoC est disponible sur Github, et l’alerte Sans ne laisse planer aucun doute sur son niveau de dangerosité effective.

Plus efficace que la méthode Ogino, la montre Fitbit peut servir à détecter un début de grossesse, nous apprend un fait-divers rapporté par Mashable. C’est l’an zéro de l’IoB, Internet of Babies.