Archives

« Faille Git, pensez à mettre à jour votre client Windows » prévient le blog DevOps de Microsoft. > L’annonce de la nouvelle version vient à point après l’alerte CVE 2018-11235 et qui affectait les opérations liées à un git clone.

49 CVE, deux alertes spécifiques, le mardi des rustines microsoftien est loin de battre tous les records, tant d’un point de vue criticité qu’en termes de volume. Près d’un tiers des failles comblées sont jugées « critiques », certaines étant potentiellement exploitables, mais aucune ne servant à un malware actif « dans la nature ». La liste du Sans ne contient d’ailleurs aucune alarme « patch now ». Un seul des bulletins, CVE 2018-8267 (faille I.E.), a fait l’objet d’une divulgation technique et pourrait inspirer des auteurs de vecteurs d’attaque.

Un tout autre défaut inquiète les spécialistes de Qualys : CVE 2018-8225, Lequel concerne la DNSapi. Problème qui pourrait faciliter l’installation d’un dns étranger capable de rediriger les requêtes Internet d’un poste client vers un serveur compromis.

Exceptionnellement, pas de « patch Tuesday » chez Adobe, qui a publié la dernière mise à jour de Flash Player avec 24 H d’avance en raison d’un exploit activement utilisé.

Les escroqueries au virement se suivent et ne se ressemblent pas 

Lorsque les cyber-pandores gagnent, il faut admettre qu’ils le font avec superbe. 74 arrestations dont 42 sur le sol US, 29 au Nigéria, et trois autres au Canada, ile Maurice et Pologne. Au total, ce coup de filet international a permis de saisir un trésor de guerre de 2,4 millions de dollars. Les administrations US fiscales, postales et de la justice ont pu ainsi, en Floride, mettre fin à une filière de blanchiment d’argent qui aurait écoulé plus de 10 millions de dollars, arrêté 8 personnes soupçonnées d’escroquerie pour un montant de près de 5 M$ dont 1,4 M$ détourné d’une entreprise située dans l’Etat de Washington. Les autres inculpés, dont une forte proportion de citoyens Nigérians habitant aux USA, ont été inculpés d’escroquerie et de détournement de virements bancaires. Tous les détails sur Databreaches.net, l’un des derniers sites indépendants spécialisés dans l’inventaire des accidents informatiques depuis la quasi occultation de Dataloss.db.

Mais parfois, les cybercasses sont couronnés de succès. Après une première tentative infructueuse ciblant Bankomext au Mexique, que l’on soupçonne d’avoir été orchestré depuis la Corée du Nord, voilà qu’un groupe de techno-braqueurs s’est attaqué aux ordinateurs de la banque du Chili, et a pu partir avec l’équivalent de 10 millions de dollars, rapporte la presse US, dont nos confrères de Computing. Le braquage s’est déroulé en deux temps : un virus (KillMBR) a tout d’abord frappé les quelques 9000 machines réparties dans l’infrastructure de la banque, détournant l’attention de l’équipe sécurité. Profitant de la confusion, les truands ont alors pu récupérer leur butin via les systèmes connectés au réseau interbancaires Swift explique le site d’informations Ahora Noticia.

Spamhaus publie son classement des dix pires TLD (suffixes des noms de domaines) commercialisés à ce jour. En tête, l’extension . men, dont plus de 64 % des sites se classe dans la catégorie « mauvais ». Suivi de . loan 59,4%), . gq (53%) et . cf (52%). L’on peut également citer les . click (66%, mais le nombre de domaines enregistrés est faible), . work (52%) et . top (47%).

Pour Spamhaus, un « mauvais » domaine diffuse soit des malwares, soit du spam. Il faut préciser que ce taux de compromission ou de corruption des Top Level Domain est plus marqué sur la nouvelle génération (les gtld) que dans le cadre des traditionnels .com, .org, .net ou .edu.

La cupidité de bien des registrars explique que beaucoup d’entre eux se montrent de moins en moins regardant, et acceptent de vendre un nom de domaine à des personnes dont l’identité, les coordonnées, l’activité ne sont jamais vérifiées. Pour couronner le tout, effet pervers du RGPD, cette vérification devient même de plus en plus difficile depuis l’occultation des données des administrateurs considérées comme informations à caractère personnel.

Malgré ce portrait relativement pessimiste dressé par l’un des porte-drapeaux de la lutte anti-pourriel, il faut admettre que ces nouveaux tld sont assez peu courus, et leur nocivité très relative. Le fameux .men compte moins de 70 000 domaines actifs, .click plafonne à 7500 sites, et .gdn regroupe à peine plus de 1800 enregistrements.

Dans une lettre adressée à ses usagers, Erin Egan, Chief Privacy Officer de Facebook, reconnaît officiellement que la fuite (ou partage automatique par défaut) d’informations F.B. publiées a bien touché 14 millions de personnes. Utilisateurs à qui il est demandé de vérifier leurs contenus et surtout les paramètres des partages automatiques.

Ce souci de transparence doit probablement beaucoup aux efforts prodigués il y a peu par Cambridge Analytica, qui fit son possible pour sensibiliser les internautes en matière de protection de la vie privée.

Ce n’est pas la première fois qu’un système de surveillance de locaux à distance se fait p0wner par quelque chercheur un peu curieux. Ce n’est pas la première fois que le matériel Simplisafe en particulier est pris en défaut (une marque très répandue aux USA utilisées pour la protection par deux millions de foyers). Par le passé, Andrew Zonenberg, puis Michael Ossmann (le père de HackRF) ont déjà mis à mal les systèmes de cette marque.

Les travaux d’Adam Callis n’ont de prime abord rien d’original… si ce n’est d’avoir su profiter des recherches antérieures et les avoir optimisées de manière à ne mettre en œuvre qu’une clef USB de réception DVBT vendue 8 dollars sur n’importe quel site de vente en ligne. Autre détail technique intéressant, l’auteur de cette « preuve de faisabilité » utilise un outil de démodulation d’informations radio dont l’apprentissage et la maîtrise sont d’une simplicité extrême : RTL_433 (https://github.com/merbanan/rtl_433). Lequel, avec de légers ajouts de code, est capable de lire directement les modulations PiPWM utilisées par ces appareils de surveillance qui ont fait les frais de l’expérience. L’alerte de sécurité et l’explication du processus mis en œuvre constituent une excellente leçon sur l’analyse et l’ingénierie inverse des signaux, sans même qu’il ne soit nécessaire de dégainer des armes plus lourdes telles que GRC.

La morale de cette histoire (car il y en a une), c’est qu’il faut se méfier des « protocoles inviolables » associés à un équipement absolument pas prévu pour assurer des communications sécurisées, qui plus est utilisant des canaux ISM ouverts à tous et donc écoutables par tous. Dans bien des cas, les miracles de l’IoT ne sont que le fruit d’un empilement de produits de provenances diverses plus ou moins bien intégrés à grand coup de colle logicielle doublée d’une couche marketing.

Si Simplisafe n’est pas franchement répandu en France, il n’en va pas de même pour d’autres appareils équipant les habitations, dont beaucoup utilisent des couches de transport impossibles à sécuriser car fabriquées en grande série par des sous-traitants asiatiques et qui émettent dans les bandes « sans licence ». Ce sont autant de signaux radio qui clament haut et fort « je me trouve là, je suis vulnérable, et, dans le moindre des cas, incapable de résister à une attaque en dénis de service ».

Trois chercheurs Chinois de l’Université Columbia ont mis au point une forme de… palimpseste numérique, une sorte de « texte écrit sur du texte » capable de contenir un message caché sans que l’un ne perturbe l’autre. Son nom de guerre : FontCode

Techniquement parlant, le principe de codage repose sur de très légères variations dans les longueurs des empattements, le délié des courbes, les dimensions des jambages d’une fonte de caractère. Une seule lettre d’une même fonte peut, selon des dizaines de très légères variations, prendre autant de valeurs numériques différentes que l’on pourrait assimiler à un chiffrement calligraphique.

Et c’est quasiment tout. Il ne reste plus qu’à utiliser un texte quelconque, de le découper en blocs de 5, 6 ou n lettres contiguës en utilisant un jeu de ces fontes « codées », afin que la somme des valeurs de chaque lettre d’un bloc corresponde à la valeur d’une lettre du message codé. Ainsi, « Aujourd’hui, maman est morte » se décompose en « Aujou »=54 « rd’hu »= 117 « i, mam »=15, « an est »=218, « morte »= 32, le chiffre 54, 117, 15, 218 et 32 correspondant aux lettres p,a,r, i et s par exemple. C’est là un code à tiroir relativement classique dans le domaine du chiffre. Le poids numérique de chaque lettre du texte de transport est bien entendu tiré d’un codex (d’une casse typographique stéganographique) qui permettra de choisir le « poids » numérique de chaque caractère. Jusqu’à présent, les chiffrements utilisant une logique semblable ne reposaient que sur des suites numériques, difficiles à anonymiser.

L’avantage de ce procédé de camouflage, c’est que tant que la définition graphique du texte est élevée et ne trahit pas ces légères variations de graisse et d’empâtement, il sera toujours possible qu’un logiciel d’OCR associé à un moteur itératif genre « computer vision » parvienne à extraire le message numérique caché derrière chaque graphisme de lettre. Cet enfant hybride de la stéganographie et du palimpseste peut dont utiliser des moyens de diffusion relativement variés : photographie, format pdf, photocopie… mais en aucun cas un code ascii, ebcdic, chunky ou tout autre alphabet fondamentalement numérique. FontCode est un chiffrement essentiellement lié à un support en logique floue. Rien n’interdit d’imaginer son adaptation en code morse d’ailleurs.

C’est donc un accessoire parfait pour les barbouzes qui ont encore du mal à se passer de télécopieurs, de photocopieuses et de leur Minox. Les trois chercheurs ajoutent que le procédé peut être utilisé pour marquer d’un DRM tout document écrit. Un DRM qui garantirait l’absence de modification du texte contenu, mais en aucun cas son unicité et son originalité, puisqu’une bonne photocopie ou photographie dudit document sera certifié conforme de la même manière.

FontCode est également capable d’associer à un texte non plus un message secret, mais une URL masquée ou des métadonnées qui ne nécessiteraient plus la présence d’un QRcode ou d’un « zebra » à la sauce EAN.

Les plus paranoïaques y verront également un moyen d’instiller un lien malveillant, prélude à une attaque en drive by download, qui échapperait à toute analyse antivirale effectuée au niveau du document lui-même. Encore faut-il que le logiciel de décodage puisse être installé préalablement et camouflé avec subtilité. Ajoutons à cela que le décodage du contenu caché peut dépendre d’une clef de déchiffrement dont le rôle est de déterminer l’ordre de décodage des blocs… la lecture du palimpseste ne suit pas obligatoirement le sens conventionnel et progressif de la lecture du texte de transport.

Infaillible ? La méthode, de l’aveu même des trois universitaires, comporte certaines limitations. Elle ne porte actuellement que sur un nombre limité de fontes, et l’insertion d’une nouvelle « sorte » (italique, gras italique, caractères barrés par exemple) n’est pas encore pris en compte. Et le nombre de fontes utilisées en imprimerie et en PAO va nécessiter encore pas mal de travail avant que chaque agent 007 puissent utiliser qui son Lucida, qui son Janson, qui son Handscript ou son Baskerville.

L’on pourrait également ajouter que, puisqu’un bloc détermine une et une seule lettre « codée », la longueur du texte de transport sera toujours plus importante que celle du message camouflé, d’une magnitude proportionnelle à la longueur du bloc. Enfin, la performance du système de codage tient précisément dans l’étendue du dictionnaire de « lettres déformées ». Plus les variations sur l’ensemble des lettres de l’alphabet sont possibles, plus la taille des blocs peut être réduite, moins long sera le texte « porteur ». Corolaire de cette condition, plus l’étendu du dictionnaire sera étendu et intègrera un nombre élevé de fontes, plus il occupera de place en mémoire et verra ses performances s’écrouler. Ceci sans présumer de l’overhead du moteur d’analyse lié à l’OCR.

C’est en chantonnant l’air d’Offenbach « J’entends le bruit des boot des boot des boot… » que le FBI conseille au monde entier au pire, de redémarrer certains modèles de routeurs et NAS, au mieux, de les initialiser en « configuration usine » en prenant soin de ne pas conserver le mot de passe par défaut.

Car, explique le DoJ, 3 modèles de routeurs Linksys, 3 Mikrotik, 6 Netgear, un TP-Link et au moins deux NAS de fabrication Qnap seraient vulnérables au malware VPNFilter. Lequel est décortiqué par l’équipe de Thalos. Selon les chercheurs, la paternité de cette attaque est probablement signée par le groupe de blackhat Russes FancyBear/APT28, déjà accusés d’avoir trempé dans les attaques durant les dernières élections présidentielles US.

Toujours selon le DoJ, près d’un demi-million d’équipements seraient actuellement infectés (c’est donc encore une « petite » attaque). Ces appareils appartenant en majorité à la catégorie des périphériques grand public, il y a peu de chances que les avertissements et alarmes lancés par la presse spécialisée soient entendus. Les meilleures attaques persistantes ne dépendent pas de la subtilité de leur code, mais du choix de leurs cibles.

Mais tout « grand public » que soient ces boîtiers, VPNFilter les utilise comme plateforme d’analyse du réseau local qui y est attaché, et tente de détecter notamment toute activité Modbus, précise l’Avert Lab de McAfee. Modbus est un bus de commande essentiellement utilisé dans les infrastructures de contrôle de processus, donc des installations industrielles et OIV.

Pour l’heure, les différents OEM cités n’ont pas encore fourni de firmware de remplacement. Le « reboot » des systèmes vulnérables ne fait qu’éliminer la partie résident en mémoire du vecteur de compromission, mais ne garantit pas une éradication totale de l’infection.

« Faille Git, pensez à mettre à jour votre client Windows » prévient le blog DevOps de Microsoft. > L’annonce de la nouvelle version vient à point après l’alerte CVE 2018-11235 et qui affectait les opérations liées à un git clone.

Ce sont, encore et toujours, les vendeurs de pelles qui bénéficient de la fièvre provoquée par les mines d’or. Sauf peut être lorsque le quincailler se fait voler son stock, rapporte l’agence Associated Press. Entre les mois de décembre et janvier, au fil de trois cambriolages successifs perpétrés en Islande, près de 600 ordinateurs de « minage » de Bitcoins et autres monnaies virtuelles ont été dérobés, pour une valeur totale de plus de 2 millions de dollars. Cette formidable puissance de calcul dédiée, à base d’asics conçus dans l’unique but de calculer des condensats, a peu de chances de se retrouver sur le marché de l’occasion. L’utilisation des machines procurera aux casseurs une discrète rente tant que durera la mode des monnaies virtuelles et tant que les tarifs d’électricité au prix de gros ne seront pas liés à une enquête préalable sur la nature et l’usage de cette énergie consommée.

La part du coût de cette énergie dépensée dans la valeur des cryptomonnaies préoccupe de plus en plus quelques associations d’écologistes et la majorité des médias. Un « mineur personnel », une fois achetée(s) la ou les CPU et réglé la note d’électricité, a de moins en moins de chances d’être rentable, ce qui explique la tendance générale à la collocation des ressources de minage au sein de datacenters, eux-mêmes situés dans des régions où l’électricité n’est pas chère. Au Canada notamment, explique Oilprice.com, là où la politique tarifaire d’Hydro-Québec crée un véritable appel d’air en faveur des nouvelles technologies. A l’origine, ces tarifs préférentiels étaient pratiqués pour attirer des industries fortement énergivores, principalement la production d’aluminium. Or, l’hébergement informatique, quel que soit sa finalité, est un secteur d’activité nettement moins créateur d’emplois que la métallurgie. Plus mobile également… Qu’Hydro-Québec augmente ses tarifs, et ses clients mineurs iront s’expatrier en Chine ou en Inde, pays qui pratiquent également des tarifs attractifs estiment nos confrères Britanniques du magazine Express.

Mais alors, ça consomme combien, un Bitcoin ? le site Digiconomist fournit quelques métriques pas franchement réjouissantes (mais difficiles à vérifier : près de 400 kg de CO2 par transaction, une consommation annuelle de 53 TeraWatt.heure, un coût de fonctionnement de 2,7 milliards de dollars par an, pour une puissance de traitement de 25,5 Peta-Hash.seconde. Histoire d’illustrer cette débauche d’énergie, cela correspond à la consommation des ¾ du continent Africain explique PowerCompare.com qui y va de ses propres statistiques datées de novembre 2017. Plus gourmand que l’Irlande, l’Islande, l’Argentine ou le Danemark, le Bitcoin et ses cousins contribueraient, au même titre que les réseaux sociaux, au réchauffement de la planète, pour le plus grand profit d’une minorité de spéculateurs.

Entre les pessimistes, qui estiment que les monnaies virtuelles consommeront la totalité de l’énergie planétaire d’ici deux ans (comme le confirme le Forum Economique Mondial ) et ceux qui pensent le contraire, il faut savoir aller chercher les vrais morceaux d’enfumage, d’alarmisme ou d’arguments spécieux. Les uns se basent sur une croissance linéaire du phénomène, les autres sur un abaissement brutal de la consommation des processeurs (selon quels arguments techniques ?). D’autres, enfin, tablent sur un tassement de la valeur des cryptomonnaies, phénomène qui « calmerait le jeu ». Mais un tassement incite à ne pas changer de parc informatique (un mineur milieu de gamme coûte entre 6000 et 10 000 USD) et aucun fournisseur d’énergie ne semble vouloir officiellement annoncer une augmentation de ses tarifs. A ceci doit-on remarquer que les seuls experts qui donnent leurs avis sont… des gourous financiers, dont on peut douter des compétences en matière de microélectronique, de thermodynamique… et d’économie, car ce sont en général les mêmes qui n’ont su deviner la crise des subprimes ou les chaînes de Ponzi de l’entreprise Madoff.