Archives

L’école du hacking doit commencer dès la plus tendre enfance, estime Tom Webb, dans un billet du quotidien du Sans. L’auteur dresse une liste très complète des outils d’initiation à la logique et à l’approche des sciences et techniques informatiques destinés aux 8/15 ans… et plus

Shadow Brokers a donc fixé ses tarifs d’abonnement mensuels, garantissant (assurent-ils), une manne d’exploits estampillés et garantis NSA. Le lecteur devra s’acquitter de la modique somme de 20 000 Euros tous les 30 jours, à verser en cryptomonnaie Zcash. Une approche marketing qui, si elle réussit, serait probablement plus rentable qu’une mise aux enchères remportées par un unique enchérisseur.

Plus tôt, dans la semaine, deux chercheurs situés du côté éclairé de la force avaient envisagé d’effectuer une levée de fonds participative afin de pouvoir s’offrir leur propre bulletin d’abonnement et partager le contenu avec tous les souscripteurs, des plus modestes aux plus fortunés. Une initiative qui n’a pourtant pas dépassé le stade du vœu pieux, puisque le projet a été abandonné pour des raisons légales.

De vagues rumeurs laisseraient entendre que la NSA aurait commencé à prévenir certaines entreprises de l’existence d’exploits « militarisés » ciblant tel ou tel logiciel ou système. Cette thèse n’est pourtant confirmée par la moindre communication émanant d’un éditeur. La plus ténébreuse des agences de barbouzes observe donc un mutisme aussi complet qu’irresponsable. C’est probablement là ce que l’on appelle la Raison d’Etat.

Selon une analyse de RiskSense , il serait possible que le vecteur de diffusion de Wannacry, issu d’un exploit de la NSA, puisse être porté sous Windows 10

A périodes régulières, les éditeurs d’antivirus crient à l’assassinat et à la position monopolistique, accusant Microsoft d’entraver par tous les moyens le développement de leurs clientèles respectives. La dernière grande vague de protestation remonte au lancement de Vista. Cette fois -ci, c’est au tour de l’éditeur Moscovite Kaspersky de dénoncer les hiatus et blocages de Windows 10, avec un triple dépôt de plainte devant le Bureau de la Fédération de Russie de lutte contre les monopoles, la Commission Européenne et le Bundeskartellamt (BKartA) d’Allemagne.

A l’origine de ces plaintes, deux constats avancés par l’éditeur Russe : l’affichage par le système d’exploitation de messages considérés comme mensongers, annonçant notamment que « Windows 10 est incompatible avec un antivirus provenant d’une tierce partie » et le fait que l’outil de protection de Microsoft est très en dessous des performances moyennes d’outils concurrents.

The Intercept, journal qui des années durant, a instauré comme principe premier le secret de ses sources, aurait, par négligence, grillé l’identité de Reality Winner, correspondante occulte du magazine en ligne. Kit Daniels, de l’équipe Infowar d’Alex Jones, a été l’un des premiers à relater l’histoire.

Début juin, le journal de Glen Greenwald publie un article sur les supposées tentatives de déstabilisation électorales des services Russes visant la campagne présidentielle US. Papier illustré par des reproductions d’un rapport classifié de la NSA. Un scoop qui n’aurait été possible sans le concours de Reality Winner, experte en langues orientales opérant sous contrat des services de renseignements US, et donc accréditée pour accéder à ces fichiers.

Mais, à l’heure de publier ces révélations, lesdits documents n’auraient pas été « expurgés » de manière à masquer l’origine de la source. Car ces « NSA papers », sortis d’une imprimante couleur, contiennent des marqueurs spécifiques et unique pour chaque périphérique d’impression. La chose est connue depuis des années et fait l’objet de nombreuses alertes, de la part de l’EFF notamment. C’est du moins le scénario avancé par nos confrères d’Outre Atlantique. Mais d’autres erreurs auraient été commises, notamment, confirme l’enquête du FBI, des contacts par email directs entre la source et un journaliste de The Intercept, autrement dit de l’ordinateur personnel de Mme Winner vers l’adresse « officielle » du journal. L’erreur est étonnement grossière et cache peut-être d’autres méthodes d’investigation que la police US ne souhaite pas révéler.

La population nord-Américaine est, une fois de plus, divisée sur cette affaire. D’un côté les conservateurs, qui crient à la trahison, de l’autre les démocrates, qui louent l’attitude courage d’une lanceuse d’alertes. Entre les deux, des services de renseignement en constante croissance et recherche de pouvoir qui ne peuvent assurer leur bon fonctionnement sans faire appel à une pléthore de sous-traitants extérieurs, accroissant ainsi la probabilité des fuites d’information. Une NSA qui, accuse notamment le Sénateur de Virginie Mark Warner devant les caméra de USA Today, aurait largement minimisé l’importance de ces manipulations électorales. En déclassifiant plus encore les informations détenues par la « No Such Agency », il serait enfin possible de connaître la vérité, insiste Warner. Le Sénateur affirme ne pas vouloir revenir sur les accusations d’entente entre l’équipe de campagne Trump et le Kremlin, mais qu’il chercherait plutôt à prévenir des manipulations comparables lors des prochaines élections de 2021. Ce coup de pied de l’âne est lancé quelques semaines après le débarquement de James Comey, ancien patron du FBI chargé précisément de l’enquête sur le rôle qu’aurait pu jouer Moscou dans l’élection de l’actuel Président des Etats-Unis

Analyse partielle et partiale, puisqu’effectuée par Trend Micro, un vendeur de sécurité, mais confirmée en grande partie par les quelques piratages grandioses dans le secteur de l’énergie (de Stuxnet au hack des centrales d’Ukraine). Les deux talons d’Achilles des OIV sont les IHM et l’inertie au déploiement de correctifs… du fait des éditeurs mêmes.

La « valse lente du patch après la découverte de bug » est en partie provoquée par les entreprises vendant des systèmes d’automatisation de contrôle de processus industriels. Lesquels ont besoin, en moyenne, de 150 jours pour fournir une rustine. 5 mois de fenêtre de vulnérabilité potentielle, à laquelle s’ajoute probablement la lenteur de déploiement de la part de l’usager. On ne suspend pas la chaîne de production d’un cimentier ou d’un géant de la pétrochimie sans conséquences techniques et financières. Des métriques qui varient tout de même d’un équipementier à l’autre. Parmi les mauvais élèves du patch, l’étude cite ABB (221 jours en moyenne) PTC et General Electric (226 jours), Indusoft (214 jours). Mais chez Trihedral Eng, la moyenne tombe à 23 jours et à 58 jours chez Cogent. A noter que les géants historiques se situent dans une fourchette de 120 à 150 jours : Schneider, Honeywell, Rockwell Automation, Advantech…

Ces 150 jours, font remarquer les statisticiens de Trend Micro, sont à comparer aux 116 jours en moyenne nécessaires à un Microsoft ou à un Adobe pour colmater une faille Windows ou Acrobat. Mais le monde industriel n’a pas à rougir. Cette même moyenne, dans le secteur « business et entreprise », frise les 200 jours (un semestre) chez des fournisseurs tels que HPE ou IBM.

Les vulnérabilités liées aux IHM, quant à elles, sont de nature essentiellement technique : corruption mémoire (20% des vulnérabilités identifiées), mauvaise gestion des identifiants tels que mots de passe « en dur » ou non chiffrés (19%), défaut d’authentification, parfois même configurations par défaut critiques (12%), on retrouve là des vieux classiques de la sécurité de premier niveau. Ces erreurs de conception relèvent de la tare génétique. Des années durant, le monde de l’automatisme a reposé sur des systèmes informatiques spécifiques, souvent des mini-ordinateurs, avec des périphériques tout autant spécifiques sinon uniques et conçus sur mesure, et surtout non-interconnectés, ou reliés par des bus sériels aux protocoles exotiques. Depuis, Tcp/ip est passé par là, et un BoF autrefois passé inaperçu peut aujourd’hui faire l’objet d’une attaque distante.

Participatif, pas pour les « t00lZ ». Le coup de publicité était audacieux, mais il a fait long feu. Le financement participatif de l’achat des « fuites NSA Shadow Brokers » organisé par xOrz a été annulé « pour des raisons légales » (dito)

Fuzzing au vol de voiture : le FBI, rapporte BleepingComputer vient d’inculper un gang de motards accusés d’avoir volé 150 Jeep Wrangler en exploitant un piratage de la base de données du constructeur et reproduisant systématiquement un hack du RFID d’antidémarrage

L’anti-cyber-antisèche absolue : le gouvernement Ethiopien, nous assure le quotidien Le Guardian , aurait coupé l’accès à Internet pendant la durée des examens équivalents au baccalauréat. Est-ce que ça pourrait marcher pour la Next Gen Wannacry ?

Free Mobile rembourse symboliquement 12 euros à chaque abonné ayant eu à souffrir de mauvais services 3G de 2012 à 2015. Ce qui donne une idée assez précise du prix que représente la QoS pour un opérateur : 25 centimes d’euros par mois