Archives

Qubes première version, le système virtualisé et sécurité conçu par l’équipe d’Invisible Things et signé Joanna Rutkowska, est disponible en téléchargement depuis ce début septembre

F-Secure relate la publication d’une petite annonce du BKA (la « crim » Allemande) visant à recruter des spécialistes des troyens et portes dérobées. Ecrire à Madame A.M. qui transmettra.

Les associations bancaires, depuis une bonne décennie, cherchent à encourager l’usage de la petite monnaie numérique, celle qui sert à acheter la baguette de pain ou le journal. Ainsi Moneo, un quasi échec qui n’a pourtant découragé personne, puisque les principaux organismes Européens reviennent sur le sujet par la petite porte et tentent à tout prix d’imposer les payements « sans contact » à l’aide des NFC.

On se souvient, grâce aux travaux de Renaud Lifchitz du manque de sérieux avec lequel les saigneurs de la finance avaient tenté de digérer cette technique dérivée des RFID (eux même piratés de manière quasi industrielle depuis leur création). Puis c’est au tour de Charlies Miller (qui vient de rejoindre les rangs de Twitter) de publier un article ravageur sur la surface d’attaque des NFC. Presque tout est dit dans cet article, le reste n’est qu’extrapolations techniques. A partir de ce moment-là, ou un peu avant, le hack des NFC tombe dans la banalité la plus totale, les failles d’intégration se multipliant proportionnellement au nombre de « promoteurs » souhaitant utiliser ce moyen de payement. La chose était prévisible. Il y a plus d’un an d’ailleurs qu’Eric Butler publiait les premières recherches sur les fuites d’information des cartes de transport RFID grâce aux lecteurs NFC intégrés dans certains téléphones mobiles à base d’Android.

Et voilà que plus récemment, les présentations d’EuSecWest remettent le sujet sur le tapis. Le lecteur NFC est, cette fois, utilisé comme canal d’injection de malware, démonstration réalisée sur un téléphone Galaxy S3 par l’équipe de MWR Labs. Une fois proprement « intrusé », le téléphone peut voir ses données (contacts, sms) pillés et son mécanisme d’appel subverti de telle manière qu’il puisse composer des numéros à facturation élevée.

Le FBI fait état de l’arrestation d’un employé d’une grande entreprise juridique New Yorkaise dans une affaire de trafic d’images pédopornographique

Même si la nouvelle édition d’IOS élimine des failles par centaines, elle vient au monde avec son propre lot de trous et d’inconsistances lié à la conception même du noyau et au choix des outils Web… notamment Webkit. Le Sans Institute, dans un rapide tour d’horizon, remarque que Siri est capable d’émettre des informations y compris lorsque le téléphone est verrouillé, que les mises à jour s’exécutent sans la moindre nécessité d’entrer un mot de passe… sans parler de quelques indélicatesses avec la liste des contacts lorsque le terminal est associé à un compte Facebook.

L’équipe Redsn0w, pour sa part, indique (via Redmond Pie ) comment effectuer un jailbreak (en mode « teethered » hélas) des appareils utilisant ce tout nouveau système, tandis que dans les allées de EuSecWest et de son inoxydable concours P0wn20wn, IOS explosait sous les assauts redoublés de Joost Pol de Certified Secure, comme en témoigne Dan Goodin dans les colonnes d’Ars Technica.

D’accord, injecter du code dans un téléphone nécessite quelques connaissances dans l’art de pirater. A moins que l’on tire sur la corde sensible, celle de l’offre que l’on ne peut pas refuser, celle qui masque (ou pourrait masquer) une attaque en social Engineering par exemple. Le métro Londonien offre des cartes géographiques des environs à tout usager d’IOS 6…Preuve à l’appui, une photo prise par Georges Smart M1GEO dans les couloirs du Tube . Le cliché date du jour même de la mise à disposition du nouveau noyau… Sous les bords de la Tamise, on a le réflexe marketing plus vif qu’à la RATP.

Sur le blog DataGenetics de Nick Berry, l’on peut lire l’étude la plus instructive qui soit sur la faiblesse des codes PIN. Certes, ce n’est un secret pour personne de savoir que le plus utilisé de tous se résume à la fameuse séquence « 1234 » (ou 1234567890 pour les plus prudents qui emploient des mots de passe de 10 chiffres), et qu’en seconde position arrive « 1111 ». Mais ce ne sont pas les statistiques de fréquence qui nous apprennent quelque chose. Ce sont plutôt les réflexions de l’auteur sur la manière dont le cerveau humain fabrique son propre générateur de nombres pas du tout aléatoires. Ainsi, la fréquence élevée de la séquences « 2580 » vient du fait que ces chiffres sont alignés verticalement sur le clavier d’un téléphone cellulaire (mais pas sur le clavier d’un distributeur de billets ou d’ordinateur… c’est 8520 dans ce cas). Les séquences « géométriques » (78963, 74124, 7415963 etc.) montreront naturellement une redondance certaine dans le classement des PIN les plus utilisés. Idem pour certains chiffres gravés dans nos mémoires. A commencer par 3141592654 qui peut paraître complexe mais qui détient la 17ème place dans le classement des « codes à 10 chiffres »… tout le monde se souvient de Pi au moins jusqu’à la 7ème décimale. Encore une influence arithmétique avec les suites paires/impaires de chiffres, tel 24681357 et autres combinaisons.

Viennent ensuite les dates de naissance : forte récurrence des binômes de 1 à 31 pour les jours, de 1 à 12 pour les mois. Et lorsque l’on analyse les codes PIN de grande longueur, on est étonné par la fréquence élevée de séquences répétées (1212121212, 420420420…), des suites, voir même des chansons à la mode.

Cisco revoit l’étanchéité de son AnyConnect Secure Mobility Client qui n’était plus si « secure » que ça. L’alerte de l’éditeur détaille les multiples trous et les mesures de contournement conseillés.

Chez Apple, le récapitulatif « sécurité » d’IOS 6 a été remis à jour. Difficile de trouver rapidement les changements apportés dans un déluge comptant plus d’une centaine de CVE. Le bulletin 2012-004 consacré à OSX « mountain lion » élimine quant à lui 34 CVE.

Chez Adobe, une nouvelle édition de Flash Player est émise, sans préciser pour quelle raison ni quel niveau de risque en cas de défaut présumé. Les versions de Flash installées peuvent être vérifiées grâce à une page de service située sur le Web d’Adobe.

Le bruit provoqué autour de l’alerte 2757760 a probablement fait craindre le pire aux membres du Security Response Team de Microsoft. Un « fixit » a été développé dans l’urgence, qui protège les machines vulnérables et rassurera les RSSI craignant une exploitation « ciblée ». Une mise à jour automatique (le fameux « out of band » attendu) sera diffusée dans le courant de la journée de vendredi (temps nord-américain), donc probablement trop tard pour que les déploiements puissent se dérouler dans de bonnes conditions en Europe. Samedi ne sera pas un jour férié pour beaucoup.

Selon l’éditeur AlienVault, qui publie une analyse et un historique détaillé de l’exploit, de nouvelles variantes d’un troyen distant (RAT) aurait été détecté et justifierait une certaine attention dans le déploiement des correctifs disponibles.

Lorsqu’il est difficile de décrocher une augmentation d’enveloppe pour boucler un budget sécurité, il peut toujours être utile d’exhumer un rapport alarmiste sur les coûts estimés des sinistres informatiques en entreprise. Le dernier rapport Forrester (inscription préalable nécessaire) est anxiogène en diable, et propice à une écoute attentive de la part de la Direction.

Selon le Forrester donc, depuis début 2011, plus de 51% des entreprises auraient subi entre une et dix compromissions ou un et dix accidents touchant une application Web. 18% des services ayant déclaré avoir supporté ce genre de mésaventure chiffrent les pertes engendrées à plus de 500 000 $. 8% situent le dol au-delà de 1 million de dollar, et deux estiment avoir perdu plus de 10 millions de dollars.

71% des personnes interrogées pensent que les processus de validation du code sont soit inadaptés, soit insuffisants pour que soient considérées comme fiables les applications développées en interne, et que les moyens financiers mis en œuvre sont nettement insuffisants. 41% déclarent que ces carences en termes de validation des programmes sont provoquées par une pression croissante visant à atteindre le « time to market » le plus court possible. Moins de la moitié des services contactés par le Forrester (42%) déclarent mettre en œuvre des pratiques de type SDL ou équivalentes. Sur cette proportion, 28% seulement affirment utiliser des listes et des bibliothèques recensant les fonctions approuvées et interdites.

« Nous vous concoctons un correctif « out of band », soyez patients. De toute manière, les tentatives d’exploitation ne semblent pas être nombreuses » : le communiqué de Microsoft daté du 19 septembre se veut rassurant. Plus rassurant que le bulletin d’alertes du 17, qui prévenait de l’existence d’une faille-mère touchant toutes les versions les plus courantes d’Internet Explorer sur tous les noyaux de XP à Windows 7.

En attendant que ne soit diffusée la rustine, Microsoft conseille d’utiliser Emet 2.0, le « Enhanced Mitigation Experience Toolkit » qui permet d’administrer les mécanismes DEP et ASLR de certains programmes. Lequel Emet risque fort de n’apporter plus d’inquiétudes que de bien. Emet, précise sa documentation, « provides users with the ability to deploy security mitigation technologies to arbitrary applications ». Offrir la possibilité de déployer des technologies de mesures de contournement à destination d’applications arbitraires … un tel sabir mériterait une médaille avec palmes pour le moins académique dans la catégorie « volapuk et xylolangage conçus par un équivalent-énarque ayant témoigné de grosses difficultés à assimiler la méthode Boscher durant sa petite enfance ». Le reste du texte de présentation est à l’aune de son chapitre introductif. Emet est donc un outil dont l’usage public est fortement découragé par Microsoft.

Reste que la faille est aisément exploitable sur toutes les plateformes XP dotées de IE 7 ou IE8. Sous Vista/Windows 7 et Internet Explorer 9, la présence de Java est nécessaire pour que l’exploit très récemment intégré à la panoplie Metasploit puisse fonctionner, précise le blog de Rapid7. Une désinfection visant à éliminer les outils Java (rarement utiles dans le domaine professionnel) pourrait donc constituer un premier pas vers une informatique plus sûre.

Comme on pouvait s’y attendre, beaucoup de doctes conseillers en sécurité recommandent d’utiliser « des navigateurs alternatifs », du moins tant que le correctif salvateur ne sera pas émis par Microsoft.