février, 2016

Après Microsoft,c’est au tour de Dell d’être la cible de faux « services d’assistance technique à distance », nous apprend Brian Krebs.

La police fédérale Allemande, nous apprend Deutschlandfunk s’est vue autoriser l’usage de chevaux de Troie dans le cadre d’enquêtes en cours et seulement sur décision de la cour. Cette décision prise par le Ministère de l’Intérieur servira aux policiers à écouter des échanges (email, téléphonie, messagerie instantanée) mais en aucun cas ne les autorisera à pénétrer sur les systèmes pour y récupérer des fichiers. Une définition somme toute assez logique, car toute intervention à distance pourrait remettre en cause la recevabilité de la preuve.

Sans surprise, le Chaos Computer Club s’indigne de cette décision et se perd un peu dans des considérations plus techniques que politiques (manque de pérennité des failles exploitées, risque d’un détournement du Troyen à des fins mafieuses etc.). Les Verts, de leur côté, déclarent que, dans un Etat de droit, la fin ne justifie pas tous les moyens, et trouvent paradoxale une situation dans laquelle la police, afin de préserver l’efficacité des failles de sécurité qu’elle exploite, et sous prétexte de sûreté publique, occulterait l’existence d’un défaut logiciel et mettrait ainsi en péril la survie informatique de 99% des citoyens innocents.

« Je peux pirater votre souris ou votre clavier sans fil à plus de 100 m de distance » affirme Chris Rouland à Theatpost. Encore un hack basé sur l’usage d’une radio logicielle et GNUradio, avec très peu de détails techniques cependant, malgré la trivialité de l’opération. Nos confrères parlent de « dongle USB à 15 dollars » (probablement une simple clef RTL-SDR) et enchaînent sur la possibilité d’injection et de spoofing à distance. Pour en arriver à ce stade, il faut au moins émettre sur la même fréquence que la souris ou le clavier sans fil et à un niveau assez élevé pour jouer les « evil twin ». Avec 15 dollars d’équipement, la chose paraît difficile.

Rouland insiste , séquence vidéo à l’appui (https://www.youtube.com/watch?v=3NL2lEomB_Y), sur la facilité avec laquelle ces attaques sont réalisables, une majorité de périphériques de la famille IHM étant très mal protégés, voir ne bénéficiant parfois d’aucune couche de chiffrement. Déjà, peu de temps après la création d’ISS (racheté depuis par IBM), Chris Rouland montrait à tout journaliste en mal de sensations fortes comment pratiquer le war driving dans la banlieue d’Atlanta (il ignorait alors tout du mot « SDR »). Il fut cependant l’un des premiers chercheurs à s’intéresser aux attaques « sans fil ».

Une veille de week-end que l’on prévoyait tranquille, et hop, un nouveau consortium IoT apparaît. Cet Open Connectivity Foundation (OCF), prétend réunir assez d’acteurs pour développer une sorte de lingua franca, un socle commun qui devrait permettre aux Objets de l’Internet du monde entier d’inter-opérer. Ce club des industriels de la chaussure qui cause, du bracelet qui mesure et du réfrigérateur qui achète compte quelques grands noms : Arris, Cable Labs, Cisco, Microsoft, Electrolux, Intel, GE Digital, Qualcomm, Samsung… et ce ne sont là que les membres fondateurs.

Promis, les standards (ou normes) qui naîtront de ce thinktank seront ouverts, assurent les susnommés. Ouvert, mais dépendant d’une « certification » après passage sur une plateforme de tests. Au temps pour les espérances du Cnrfid qui espérait jouer un rôle d’ordonnateur du quotidien interconnecté. Lorsque la fosse d’orchestre se situe, à de rares exceptions, sur la côte Ouest des USA, il est difficile pour le premier violon de faire attention à une baguette agitée en Europe.

Idem pour la , AllSeenAlliance, encore un « consortium Théodule » qui espère lui aussi mettre en coupe réglée la forêt d’Objets de l’Internet. On y compte déjà comme membre des Microsoft, Electrolux, Qualcomm, Cisco, mais également NXP, LG, Canon, IBM, Sony, Sharp, Symantec, Zyxel… au total, 257 membres, le ban et l’arrière ban de l’électronique grand public, des réseaux domotiques, de l’électronique embarquée.

Attention, il ne faut surtout pas confondre cette AllSeenAlliance et l’Internet of Thing Consortium qui, également, compte parmi ses membres NXP, perdu au milieu d’un océan d’intégrateurs et vendeurs de services.

Pas de confusion non plus avec l’Industrial Internet Consortium qui, bien qu’orienté vers un monde professionnel et industriel, n’a plus que le mot « IoT » à la bouche. A quel saint se vouer, lorsqu’à force de profusion, la manie des normes bannit les bornes ?

L’on pourrait également faire remarquer qu’hormis un ou deux acteurs du monde de la sécurité jouant de rôle de faire-valoir, la protection de la vie privée ou la préservation des données semblent totalement absentes des agendas de tout ce petit monde. Interconnecter le plus vite possible, échanger, participer au grand Internet 3.0 ou tout ce qui est à toi est à moi mais pas l’inverse prime sur toute autre considération.

10 000 comptes Twitter sont « potentiellement » compromis, nous apprend un billet du « blog officiel ». La faille, rapidement comblée, affectait la procédure de récupération de mot de passe oublié. Le nombre d’usagers exposés à ce risque ne représente qu’une goutte d’eau dans l’océan de la population twouitérienne… mais la taille de ce « rien » est déjà conséquente.

Instagram est fier d’annoncer son passage à l’authentification « double facteur ». Une mesure supplémentaire qui viendra renforcer, par envoi d’un SMS chez l’abonné, la politique de mot de passe de cette pinacothèque mondiale. Pourtant, le facteur qui sonne toujours deux fois est loin de constituer une garantie absolue. Bien au contraire estiment certains, car plus les « facteurs » se multiplient, plus se renforce un faux sentiment de sécurité chez l’utilisateur. Le 11 février, Cyril Bruder, un lanceur d’alertes du domaine bancaire très suivi dans la twitosphère, signalait une nouvelle forme de hacking lors des transactions :

– La machine de la victime est infectée avec un malware

– Ledit malware détecte la moindre connexion avec la banque (ou, dans le cas présent, avec Instagram) et prévient les truands qui, à leur tour, se connectent sur le compte du client pour y ordonner un virement vers un autre compte

– La banque n’autorise de virement qu’à réception d’un numéro de transaction envoyé sous forme de SMS

– Le malware affiche sur l’écran de la victime un message demandant de confirmer le numéro en question sous prétexte de vérification de sécurité… et transmet ledit numéro aux pirates, qui valident alors le virement

Le double facteur est vain en cas d’attaque multisession. Il faut admettre que le pillage de 95% des ressources d’Instagram est loin de valoir le vol d’une seule épure au fusain du Musée du Louvre signée par un « petit maître », et que les vols d’identité sur ce réseau sont généralement de peu de conséquences.

eBay entre également dans la catégorie des « réseaux sociaux » à but commercial. Cette fois, c’est Netcraft qui reproche à ce site d’enchères en ligne de corriger trop mollement une série de défauts qui donnerait à des escrocs la possibilité de monter des chaînes d’abus de confiance. Les cyber-truands détournent de vieux comptes eBay inactifs mais possédant un capital confiance et un historique de ventes au-dessus de tout soupçon, et l’utilisent pour lancer une offre plus qu’alléchante. Les ventes de véhicules d’occasion sont une mine d’or pour les plus crédules. Une fois un acheteur appâté, les truands exploitent la faille pour rediriger l’acheteur vers un site web singeant l’interface eBay. Le reste se passe de commentaire : la vente est conclut, le prétendu vendeur tente de persuader l’acheteur d’effectuer un virement ou, en cas d’attitude trop méfiante, lui conseille d’utiliser les services d’un tiers de confiance. Lequel tiers n’est pas plus « de confiance » qu’une promesse électorale. Tous les détails techniques au fil de l’article rédigé par Paul Mutton, de l’équipe Netcraft.

Plus les mécanismes de protection se complexifient, plus les attaques sont alambiquées, plus l’usager est perdu dans un tourbillon de prérequis techniques, de conseils abstrus, de pratiques lourdes et pas toujours efficaces.

Andrew Zonenberg (IOActive) signe un article aussi amusant que consternant : à l’aide d’une radio logicielle, il s’est rendu compte que les centrales d’alarme SimpliSafe transmettaient leurs codes d’activation en clair sur une fréquence radio publique (433 MHz, appareil LPD également autorisé en Europe).

Sans même avoir à recourir aux techniques d’analyse de Zonenberg, cette vulnérabilité (ou plus exactement cette totale absence de sécurité) permet à un cambrioleur de désactiver le système de surveillance et d’alarme par simple « replay attaque ». Simplisafe ne semble pas commercialisé en France, mais l’on peut être certain que ce même genre d’attaque menace d’autres appareils : ouvertures télécommandées de portail (simples séquences DTMF sur 433 MHz), verrouillages distants, voir certains vieux systèmes de télémesure des réseaux de distribution d’énergie. Une radio logicielle capable de jouer une séquence radio ne coûte, pour des appareils d’entrée de gamme, guère plus de 300 euros.

L’équipe de Risk Based Security (RSB), quant à elle, s’est passionnée pour les œuvres complètes de Zhuhai RaySharp Technology un fabricant de caméras de surveillance intégrant un système d’enregistrement autonome. D’origine Chinoise, ces équipements de sécurité sont commercialisés dans le monde entier, particulièrement dans les pays anglo-saxons. Le firmware développé par RaySharp, en revanche, a été adopté par plusieurs autres fabricants, dont certains écoulent leurs productions en Europe. Et, à l’instar de celui de beaucoup de routeurs produits dans l’Empire du Milieu, ledit firmware est affecté par un grand classique de la bévue sécuritaire : un identifiant et un mot de passe en clair activé par défaut. Or, les configurations par défaut, dans le secteur grand public « non-informatique », peuvent être à coup sûr assimilé à une configuration opérationnelle. Le Sésame est « root », mot de passe « 519070 », et l’équipement vidéo répond présent sur le port TCP 9000. Plus de 80 000 équipements seraient, estiment les chercheurs de RSB en se basant sur la base de données IoT Shodan.

Les campagnes de « malwaretizing » (malware diffusés par des add-in publicitaires) seraient en plein essor. Jérôme Segura (malwarebyte) a rédigé deux articles coup sur coup sur des vecteurs d’infection visant principalement WordPress. Au nombre des outils d’attaque les plus préoccupants, le kit d’exploitation « Nuclear » qui a cédé progressivement la place à « Angler ». Apparu en 2014, ce malware connaît une progression quasi linéaire. Parmi les 10 ou 15 « charges utiles » qu’il véhicule, on peut citer Telascrypt (un des ransomware les plus connus), Kovter, Andromeda, Vawtrak pour ne citer que les plus répandus.

Mais la cible ne se limite pas aux serveurs WordPress. Elle déborde actuellement sur les sites Joomla, prévient une étude du Sans. Les méthodes de diffusion sont les mêmes, encore et toujours les « spywares publicitaires ».

« Pas seulement ! » lance Karmina sur le blog F-Secure. On aurait même vu passer des attaques Angler via Skype, sans grande surprise par le truchement de ses extensions destinées à arroser les usagers de messages publicitaires.

Mais tout espoir n’est pas perdu. Neal Krawetz, le chasseur de photos numériques trafiquées, l’auteur du blog Hacker Factor, vient de créer un outil très simple de sécurité de premier niveau : le détecteur de malwares exploitant les principaux navigateurs. Ce n’est en aucun cas un outil de protection permanente, pas même un scanner, insiste Krawetz. Plutôt une page de sensibilisation et de formation sur les risques d’infection des navigateurs. Mais une visite régulière de cette page pourrait sauver l’avenir de quelques disques durs.

Même les truands acceptent les négociations. Frappé par un virus-chiffreur, le Hollywood Presbyterian Medical Center n’a pas payé les 3,6 M$ de rançon initialement réclamés, mais « seulement » 17 000 US$. Céder à ce chantage était, pensent ses responsables, la voie la plus rapide pour remettre le système en état de fonctionnement.

Avis de tempête sous Linux et Android sur la fonction getaddrinfo dans libgc. L’alerte a été lancée par deux chercheurs de Google, (référence CVE-2015-7547 ). Un PoC est disponible sur Github, et l’alerte Sans ne laisse planer aucun doute sur son niveau de dangerosité effective.

Plus efficace que la méthode Ogino, la montre Fitbit peut servir à détecter un début de grossesse, nous apprend un fait-divers rapporté par Mashable. C’est l’an zéro de l’IoB, Internet of Babies.