mars 3rd, 2016

Le Pentagone organise un grand concours de hack –ou plus exactement une campagne de pentesting gratuit- afin de tester la solidité de ses réseaux et sites Web. Inscription obligatoire avant début des hostilités, précise le communiqué.

RSA 2016 : Comment cloner un badge d’entrée à la RSA Conference sur un RFID Mifare Ultralight cousu dans une serviette de toilette de chambre d’hôtel ? Une aventure signée Jerry Gamblin et sponsorisée par Ford Prefect et Arthur Dent.

Mark Yason d’IBM a découvert une faille affectant la bibliothèque de fonction chargée de l’ouverture des fichiers PDF dans le navigateur Edge de Windows 10. Une preuve d’attaque via un fichier forgé est détaillée sur le site Security Intelligence

Google lance officiellement ProjectShield, service de protection anti-Ddos gratuit (en chantier depuis 2013). L’offre s’adresse en priorité aux médias en ligne, associations de défense des droits de l’homme et organismes de contrôle électoraux, précise le formulaire d’inscription.

Pop3 fait encore des victimes. Robert Graham raconte l’histoire d’un journaliste dont les emails Earthlink ont été piratés par un autre passager lors d’un voyage en avion alors qu’il rédigeait un article sur l’affaire Apple/FBI. Ni SSL ni Starttls.

Une semaine toujours placée sous le signe du malware et de la publicité. Après l’article de Neil Krawetz (Hacker Factor) qui déplorait les pratiques de plusieurs médias refusant les lecteurs protégés par un logiciel de blocage de publicité, (voir CNIS-Mag « Les pratiques douteuses de la réclame en ligne » ), c’est au tour de Graham Clueley de dresser le bilan désastreux des méthodes des cyber-publicitaires. Clueley cite notamment une étude du Guardian qui estime à 9 millions le nombre de sujets de sa Gracieuse Majesté utilisant des « ad-blockers ». L’anti fils de pub archétypal se situe entre 18 et 24 ans, fatigué par la lente dégradation des performances des accès Internet, par les scripts écrits à la diable et les pop-up vantant les mérites d’un dentifrice, d’une automobile ou d’un appareil électroménager.

En réaction, de plus en plus nombreux sont les sites qui détectent la présence des filtres de blocage et exigent de leurs visiteurs la désactivation du logiciel en question.

Mais il y a pire. Le coup de grâce est porté par Randy Westergren, dont les récentes recherches laissent entendre que les principaux médias en ligne (cbsnews, nbcnews, newyorktimes.com, msn.com, washingtonpost.com, bbc.com etc.) et sites de vente servent littéralement de vecteurs de « diffusion de vulnérabilités ». Lorsque la publicité en ligne se transforme en usine à XSS, que peut bien faire la victime ? Peu, très peu de choses explique le chercheur en sécurité. Tout d’abord parce que les publicités statiques n’existent plus depuis belle lurette. La position géographique, les sites « référents », le sexe ou l’âge de la cible sont autant de paramètres qui font qu’une réclame affichée à l’écran n’est jamais deux fois la même, et peut très bien n’être vue que par un nombre restreint de personnes. Ce qui rend très difficile la détection des publicités vulnérables. Et l’on ne peut également exiger du site « diffuseur » (le journal, le site de vente) de filtrer ces publicités. Non seulement parce que celles-ci ne sont que rarement stockées sur les serveurs dudit média, mais en outre parce que les contrats liant régies et diffuseurs interdisent généralement toute ingérence dans le contenu du message. Et par conséquent tout sandboxing et analyse.

Il ne reste alors qu’un seul espoir, c’est que les régies fassent elles-mêmes ce nettoyage, un appel à une sorte d’Owasp du pop-up mercantile. Certaines accepteront de travailler plus proprement, d’autres continueront de se moquer comme d’une guigne de la sécurité de leurs « cibles », pour ne pas dire leurs « victimes ». Peu est aujourd’hui fait, au sein même des grandes régies, pour que le marché des « ad-blockers » ne se développe pas, résultat la publicité en ligne deviendra de plus en plus insupportable, et l’image de marque des annonceurs se dégradera du fait même du manque de contrôle de ces pratiques.

Critique ? Les commutateurs Nexus 3000 et 3500 de Cisco acceptent la connexion à distance d’un attaquant avec des droits « root ». Le coupable ? Un compte utilisateur avec un mot de passe statique. Une mise à jour du firmware est disponible, qui corrige également au passage deux défauts pouvant faciliter un déni de service.

Une toute autre mise à jour est également disponible depuis le 25 janvier. Elle concerne les serveurs d’automatisme d’immeuble de Schneider, série « Automation Server » AS et AS-P V1.7 et antérieurs. Là encore, il s’agissait d’une authentification « par défaut ». Mais comme l’entretien de ces cerveaux du bâtiment n’est pas toujours effectué avec attention et que le mauvais fonctionnement de ces automates pose de sérieux risques de sécurité physique, le Cert ISC émet à son tour une alerte.

Tout risque est donc écarté… jusqu’à la prochaine fois.

Lucas Mearian, de Computerworld, se demande si les responsables du FBI ont encore toute leur raison. Questions que l’on pourrait également se poser concernant MM Ciotti et Galut qui, dans un grand élan atlantiste, se sont faits les rapporteurs de l’agence à trois lettres.

Car, fait remarquer Mearian, durant ces quatre dernières années, les fonctionnaires de l’Administration Fédérale (et l’on pourrait affirmer à peu près la même chose pour ce qui concerne les fonctionnaires Français) ont peu à peu laissé tomber les noyaux Blackberry au profit de terminaux sous IOS. Et ce précisément pour des raisons de pure sécurité et de solidité des outils de chiffrement.

En exigeant d’Apple la fabrication d’un outil de régression, le FBI se tire une balle dans le pied, estime l’auteur. En France comme aux USA, aucun élu ne peut ignorer avec quels outils travaillent les services d’urgence, un nombre élevé de fonctionnaires de police et de gendarmerie (génération ante-NewGend ), les responsables d’entreprises stratégiques ou classées OIV/Scada. Et l’on peut probablement ajouter à cette liste les agents de renseignement en opération poussant la discrétion et le « paraître normal » jusque dans les moindres détails, téléphone portable y compris. Dans cette perspective, exiger la fragilisation des outils de chiffrement attachés aux terminaux ou aux moyens de communication pourrait être interprété par des esprits chagrins comme une tentative d’intelligence avec des puissances extérieures ou de la haute trahison, à moins que ces propositions et amendement n’aient été que de simples rodomontades à finalité électorale, classiques propos d’homme politique.