mars 11th, 2016

Encore un article signé du Madrilène Jose Carlos Norte,cette fois-ci sur les méthodes de relevé d’empreintes numériques visant les usagers de TOR, le routeur-oignon. Norte ne recommande pas seulement une méthode, mais la concaténation d’une série de signes distinctifs. A commencer par les temps de réaction de la station de travail « cible » lorsqu’un script de montée en charge lui est soumis. D’autres scripts Java (activé par défaut sur les navigateurs TOR) fournissent des indications sur le type de souris utilisée (souris physique ou trackpad), sur la vitesse de défilement des pages ou de déplacement du curseur sur l’écran, sur le test de performance de la CPU ou le paramétrage précis de l’écran (taille des fontes, définition, rapport d’affichage etc.). Une sorte de « page PoC », baptisée UberCookie, regroupe l’ensemble des tests décrits par l’auteur.

L’Association Française des Prestataires de l’Internet (AFPI) publie les statistiques des sites à caractère illégal (pédopornographie, incitation à la haine…) ayant fait l’objet d’une signalisation par les Internautes. Sur 4875 contenus, 4616 retirés suite à des dénonciations anonymes effectuées via le site « point de contact ». Sur l’ensemble des liens envoyés à l’AFPI, 53,5% des signalements ont été considérés comme légitimes. Le nombre de signalements a littéralement doublé par rapport à l’an passé, et surtout 3786 URL hébergées en France (100% des sites illégaux) ont été retirées de la circulation. Les taux de filtrage sont moins efficaces lorsqu’il s’agit de serveurs situés à l’étranger : 97% pour le Japon, suivi par le Royaume-Uni (86%), la Russie (84%), le Canada (82%) et enfin les États-Unis (77%) précise le communiqué. Aucun pays membre de l’ex-URSS ou en Amérique du Sud n’est mentionné dans ce bilan.
Rappelons que les sites les plus « hors la loi », en migrant sur les réseaux chiffrés de type TOR, tendent à échapper progressivement à ce filtrage très partiel.

Les grands classiques sont indémodables : Avalanche de failles http et de trous de sécurité dans les consoles Web d’administration chez Cisco. Du côté des passerelles sans fil DPC3941 et DPC3939B tout d’abord, avec le colmatage du CVE-2016-1325. Un autre trou référencé CVE-2016-1327 est comblé (exploitable à distance) dans la famille des modems câble DPC2203. Le CVE-2016-1326, quant à lui, gomme un défaut de la console d’administration Web d’une passerelle sans fil résidentielle DPQ3925. Enfin, un risque d’attaque en déni de service ( CVE-2016-1312 ) menace les équipements de la série ASA 5500 CSC-SSM (Content Security and Control Security Services Module).

Jose Carlos Norte joue avec Shodan. Et parfois y trouve des pépites, notamment des accès telnet non protégés permettant d’atteindre quelques consoles de gestion de flottes de véhicules (transport, BTP…) de fabrication New Eagle (http://neweagle.net/). La pêche n’est pas miraculeuse (le chercheur avoue n’avoir recensé qu’environ 700 cibles) mais une fois la méthode définie, il devrait pouvoir être possible de l’étendre à toute une famille de systèmes comparables.

Ces OdRD (Objet des routes départementales) et, par la même occasion, des autoroutes de l’information, sont essentiellement des modules de contrôle embarqués, sortes de « mouchards » informatiques capables d’enregistrer et de retransmettre les données d’un ordinateur de bord, la position des véhicules, l’état de leurs batteries ou de leur système hydraulique, leur périmètre géographique de fonctionnement et certaines données physiques (température, accélération, chocs) liées au camion, autocar ou pelleteuse concerné etc. Or, qui dit interface de collecte et de transmission d’information pense intrusion et injection, voire plus simplement récupération de données profitables à toute entreprise concurrente. Norte reste très discret sur l’étendue de ce qu’il a lui-même pu ou n’a pas pu tirer de ces IoT mécaniques. Probablement pas de quoi mettre en danger la vie du conducteur, mais probablement assez pour profiler avec précision l’activité économique de l’entreprise propriétaire desdits véhicules.

Plus de 500 sites Web hébergent des pages de phishing Paypal, prévient Rick Wanner dans le quotidien du Sans. Ces sites sont actuellement hébergés chez Hostgator, un hébergeur Texan

Rustine d’urgence pour plusieurs outils McAfee (A.V. , IPS, DLP…), qui comble une faille capable de désactiver les programmes de protection. Son exploitation nécessite toutefois des droits « admin » sur la console

Whitfield Diffie et Martin Hellman, deux personnages du panthéon de la cryptographie moderne, se sont vus attribuer le « Turing Award » 2015 pour l’ensemble de leurs travaux. Cette distinction s’accompagne d’un prix d’un million de dollars. Parmi les précédents lauréats, on compte Vinton Cerf, Marvin Minsky, Dennis Ritchie, Niklaus Wirth, Douglas Engelbach ou le trio Rivest- Shamir-Adleman

Emet, l’outil gratuit de contournement de failles édité par Microsoft, a été lui-même vulnérable à une attaque capable précisément de désactiver Emet et ainsi ouvrir la voie à des vulnérabilités non corrigées. Cette faille pudiquement désignée par « EAF/EAF+ pseudo-mitigation performance improvements » a été comblée dans la version 5.5 de l’antimalware

Un outil de test gratuit pour vérifier la résistance à une attaque « Drown » visant une faille d’OpenSSL. Les administrateurs de ce site d’alerte estiment que le tiers des serveurs Web https actuellement en service sont vulnérables

Selon Deutsche Welle, plusieurs établissements hospitaliers d’Allemagne ont été victimes d’un virus de la famille cryptolocker.