mars, 2016

Un outil de test gratuit pour vérifier la résistance à une attaque « Drown » visant une faille d’OpenSSL. Les administrateurs de ce site d’alerte estiment que le tiers des serveurs Web https actuellement en service sont vulnérables

Selon Deutsche Welle, plusieurs établissements hospitaliers d’Allemagne ont été victimes d’un virus de la famille cryptolocker.

Après les données récoltées sur les disques durs vendus sur les sites d’enchère, Avast se penche sur le cas des informations personnelles contenues dans les téléphones portables d’occasion. Bilan : 40 000 données, photos, emails, messages à caractère personnel pour à peine 20 terminaux achetés.

Encore 390 000 identités volées, titre Brian Krebs dans un article faisant le point sur les conséquences d’une vulnérabilité affectant les serveurs des contributions directes US (IRS). On dénombre au total, plus de 724 000 victimes potentielles.

3 mois d’existence et déjà 1 million de certificats distribués gratuitement claironne l’EFF. En lançant Let’s Encrypt, première autorité de certification gratuite, automatique et Open Source, l’EFF (Electronic Frontier Foundation) était certaine de « faire un tabac » et se tailler une part du marché du certificats, chasse gardée des Comodo, Verisign, RSA et consorts.

Comme un seul certificat peut être utilisé par plusieurs sites Web, l’EFF estime que l’opération « Let’s Encrypt » a converti au dogme https plus de 2,5 millions de fqdn.

… il revient avec une inlassable constance, ce Mardi des Rustines. Chez Microsoft tout d’abord, avec 39 trous, 13 rustines, les plus écarlates et critiques étant, pour ne pas déroger à la règle, le traditionnel cumulatif Internet Explorer (13 CVE, tous qualifiés de critique) et son successeur Edge (11 CVE, dont 1 seul non-critique). Le tableau dressé par le Sans. Viennent ensuite, par ordre de criticité, MS16-027 dans Windows Media Player, MS16-026 qui affecte OpenType fonts et MS16-028 qui concerne le nouveau lecteur de fichiers pdf intégré à Windows 8 et suivants.

Adobe, pour sa part, ne déclare ce mois-ci que 3 CVE corrigés touchant à la fois les plateformes Apple et Microsoft et concernant plusieurs versions d’Acrobat et de son « reader ».

L’équipe de développement du projet Open Source Transmission, logiciel d’échange P2P sous OSX et Linux, demande à toute personne ayant téléchargé la version 2.9 entre le 4 et le 5 mars, de mettre à jour leur programme avec l’édition 2.92. Un correctif qui élimine un virus chiffreur (ransomware), un risque jusqu’à présent quasiment inconnu dans le microcosme Apple. L’équipe de sécurité de Palo Alto précise qu’il n’y a eu qu’un seul autre malware de ce genre auparavant, Filecoder, découvert par le Response Team Kaspersky en 2014. Outre une analyse technique de la compromission, les chercheurs de Palo Alto expliquent dans le détail comment supprimer « à la main » cet hôte indésirable. De son côté, Apple a révoqué le certificat utilisé par cette infection.

San Francisco, RSA Conference : Adi Shamir, le digne “S” de RSA et Pape du chiffrement, s’est rangé, devant un parterre de centaines de professionnels de la sécurité, du côté du FBI dans l’affrontement qui l’oppose à Apple. « Cela n’a rien à voir avec l’installation d’une trappe dans des millions de téléphone » estime-t-il. «Dans ce cas précis, il est clair que ces personnes sont coupables. Elles sont décédées. Leurs droits constitutionnels ne sont pas en jeu. Il s’agit là d’un « crime majeur » qui a entraîné la mort de 14 personnes. Le téléphone est intact… tout ceci plaide en faveur du FBI ».

Un avis qui tranche très nettement avec la majorité des participants à cette manifestation. Car les professionnels de la sécurité, rarement enclins à un angélisme béat et qui se méfient des attitudes manichéennes et simplistes, ont très bien compris qu’il s’agit là d’un précédent d’une importance capitale. Surtout dans un pays où la nature jurisprudentielle de la justice tient un rôle aussi important. Tout laisse prévoir un lent glissement sémantique dans la qualification d’actes délictueux, du terrorisme (non prouvé dans le cas de la tuerie de San Bernardino) à l’ensemble des « crimes de sang », puis des crimes de sang au actes ayant indirectement pouvant entraîner la mort (c’est le cas de la totalité des jugement liés au trafic de stupéfiant par exemple, mais également de la conduite sous l’emprise de l’alcool… ou le fait de traverser en dehors des clous).

C’est donc un Adi Shamir isolé qui tente de défendre le point de vue « anti-crypto », situation oh combien paradoxale compte tenu de son rôle dans le développement des outils de chiffrement modernes. Car l’ensemble de l’industriel, la totalité des organismes de défense des droits civiques, et même certaines associations professionnelles du droit inondent jour après jour la « Central District Court » de Californie de témoignage en « Amicus Curiae». AirBnB, Atlassian, CloudFlare, eBay, Github, Kickstarter, LinkedIn, Mapbox, Meetup, Reedit, Twitter dans un groupe compact, mais également une association de juristes, sans surprise l’Epic (Electronic Privacy Information Center), liste à laquelle on doit ajouter Amazon, Cisco, Dropbox, Evernote, Facebook, Google, Microsoft, Nest, Pinterest, Snapchat, Whatsapp, Yahoo (document contenant également une Amicus Curiae allant dans le sens opposé et supportée par des associations de policiers), sans oublier Intel la Computer & Communications Industry Association ou la BSA/Software Alliance. Ajoutons (et la liste est loin d’êre achevée), les associations de défense citoyennes Access Now, Wickr Foundation, l’ACLU et l’EFF.

Jamais, au cours des 30 dernières années, depuis le tout début du réseau Internet, jamais il ne s’est constitué une telle « union sacrée » luttant pour la défense d’une idée. Les motivations qui dictent l’attitude d’une EFF, ou d’une ACLU sont, de toute évidence, radicalement différentes de celles d’un Microsoft ou d’un Google, les uns militant dans le sens de la défense des usagers, les autres combattants pour la préservation de leur business model. La Cour de Californie est parvenue à faire ce que des années de cohabitation n’ont jamais pu réaliser : une internationale du monde numérique dans un pays libéral et viscéralement capitaliste.

San Francisco, RSA Conference : Le mémoire de maîtrise de Nils Rodday, professeur à l’Université de Twente (Pays Bas), a fait grand bruit dans les salons de la RSA Conference. Il aurait pu s’intituler « Comment je suis parvenu à détourner les drones de la police Hollandaise avec un téléphone et un ordinateur ». L’étude est longue et détaillée, souvent répétitive, mais il ressort que, même lorsque l’acheteur est une institution régalienne, les fournisseurs d’équipement traitent la sécurité avec une certaine légèreté… voir une totale inconscience.

Les drones, explique Rodday, utilisent des protocoles de transmission radio standardisés : WiFi, Zigbee et ses variations Xbee, Bluetooth et Bluetooth Low Energy, sans oublier le GPS, indispensable à tout objet en mouvement dans un espace tridimensionnel. A cela s’ajoutent quelques accessoires périphériques, notamment des applications de pilotage et de collecte de données généralement distribuées sous la forme d’APK. Or, tous ces protocoles ont déjà fait l’objet de campagnes de chasse à la vulnérabilité. Attaques en Evil Twin, GPS Spoofing, BlueSnarfing, récupération de clefs et de secrets à l’aide d’outils facilement accessibles (Aircrack ng)… Les intégrateurs en ont-ils tenu compte ? La réponse est donnée par l’étude. On peut y lire des mots tels que WEP (sic !), des expressions du genre « clef de chiffrement par défaut commune à tous les équipements commercialisés : 2012201212 » ou des phrases comme « le protocole de chiffrement, pourtant intégré aux échanges Xbee, a été désactivé dans le but d’accélérer la vitesse des échanges entre pilote et véhicule ».

Le mémoire de Nils Rodday, s’il ne dévoile pas de secrets ou d’astuces franchement révolutionnaires, présente au moins le mérite de passer en revue un large éventail d’exploits et de techniques « antidrones », certaines purement physiques (filet volant, attaque par collision), d’autres, en grande majorité, relevant du hack radio, du désassemblage d’APK et du hack physique d’un microcontrôleur à grand renfort de Jtag. C’est là un cas d’école typique de l’application « for fun and profit » des radios logicielles (SDR) dans le cadre de recherches offensives.

L’ University of New Haven Cyber Forensics Research and Education Group (UNHcFREG) publie une énième étude sur la solidité des mots de passe. Ou plus exactement sur l’application de politiques de mots de passe dans le domaine bancaire. Et il apparaît qu’Outre Atlantique, la sécurité du compte client n’est pas franchement digne d’intérêt. Nombre de sites Web destinés aux opérations de consultation/opération (virements notamment). Sur 17 banques visées par l’étude, 6 n’appliquent aucune politique sérieuse de mot de passe. Le panachage de chiffres dans le sésame n’est pas autorisé, et le mélange majuscules/minuscules n’est pas pris en compte. Et les mauvais élèves portent des noms célèbres… certains d’entre eux ayant été fortement compromis dans le scandale des prêts hypothécaires : Chase Bank (50 millions de clients), Citibank (200 millions), Wells Fargo (70 millions), Capital One (50 millions) pour ne citer que les plus connus.

Ces vulnérabilités, combinées aux mauvaises pratiques de choix de mots de passe (qwerty, password, prénom du conjoint, nom de l’équipe de football etc.) font de près de 350 millions de citoyens US des victimes rêvées pour des serial-voleurs d’identités bancaires.
En France, cela va sans dire, rien de cela n’existerait …