novembre 15th, 2016

Petites annonces et peine testing

Posté on 15 Nov 2016 at 10:33

Lain Thomson, du Register, narre l’improbable mésaventure d’un site d’offres d’emploi en ligne hébergé par Cap Gemini et animé par PageGroup, dont un des serveurs de développement aurait été piratés. Un hack, avoue les « chasseurs de têtes », qui fourmillait d’informations personnelles : nom, prénom, email, mot de passe (chiffré), numéro de téléphone, fonction, secteur géographique et professionnel d’activité, métier… une mine d’or pour un spécialiste de l’intelligence économique. Que faisait la base de données des demandeurs d’emploi sur un serveur de développement ? Cap Gemini ne s’exprime pas sur ce point.

La situation n’est pas pour autant dramatique, tente de rassurer un responsable de PageGroup. La personne à l’origine de cette intrusion se serait fait connaître et aurait assuré que les données récupérées ont été, depuis, totalement effacées. Probablement, explique Lain Thomson, un chercheur en sécurité en quête de bugs dans le cadre d’une campagne de pentest.

Vol de crédences : Un téléphone, Wifi,

Posté on 15 Nov 2016 at 10:04

Il se passe toujours des choses étranges et impossibles à maîtriser dans l’immédiate proximité d’une antenne. Dans une étude intitulée « When CSI Meets Public WiFi : Inferring Your Mobile Phone Password via WiFi Signals », 7 universitaires Chinois et Etats-Uniens ont démontré qu’il était possible de lire à distance les code numériques échangés lors d’un payement en ligne.

En effet, lorsque l’usager d’un téléphone cellulaire tapote son numéro de carte de crédit, il perturbe fortement la manière dont le signal WiFi parvient sur le routeur ou hot spot auquel il est relié. Cette perturbation étant plus ou moins constante selon la position de la main au-dessus du clavier, les chercheurs ont pu établir une sorte de « cartographie des perturbations » en fonction du chiffre tapé. Comme ces transactions sont généralement protégées par un protocole de chiffrement, il est alors envisageable d’automatiser la collecte des numéros de carte de crédit et codes de sécurité associés.

Sans période d’apprentissage, le taux de fiabilité de reconnaissance friserait les 68 %, et pourrait être amélioré en écoutant les victimes sur une période plus longues (en espionnant leurs échanges de sms ou de messages instantanés par exemple).

Est-il possible d’imaginer une contremesure pour que de telles variations de signal ne soient plus signifiantes ? La réponse est non. Tout corps situé dans les zones de « champ proche » ou « zone intermédiaire » (dites également zones de Rayleigh et de Fresnel) perturbe le rayonnement électromagnétique dans un espace inférieur à une longueur d’onde… soit environ 13 cm en émission WiFi. Seule parade envisageable : utiliser une longue baguette de bois chaque fois que l’on souhaitera entrer un code confidentiel. Astuce qui aura beaucoup de mal à être appliquée sur certains smarphones à écrans tactiles et ne semblera réalisable qu’aux amoureux de cuisine orientale et autres joueurs de fléchettes.

La mise en œuvre de cette attaque n’est pourtant pas très simple. Entre la délicate menotte d’une demoiselle des postes et les battoirs d’un catcheur professionnel, entre le masque créé par une main de gaucher ou l’écran de la main d’un droitier, entre le pratiquant de la « frappe gendarme » monodactyle et le touché glenngouldien d’un spécialiste de la dactylographie « deux pouces », il existe une multitude de variations possibles du champ proche, donc une multitude de signatures radio-biométriques. Il n’empêche que les études reposant sur les variations de champ se multiplient et pourraient trouver des débouchés pratiques avant longtemps.

Publicité

MORE_POSTS

Archives

novembre 2016
lun mar mer jeu ven sam dim
« Oct   Déc »
 123456
78910111213
14151617181920
21222324252627
282930