Archives

Sami Ruohonen, du laboratoire F-Secure, décortique une campagne de fishing francophone. Une de plus, dira-t-on. Mais ce qui devient captivant, au fil de cette analyse, c’est l’évolution progressive des techniques employées par les pirates pour aiguiller la victime vers une page web qui, à son tour, aboutira au nom de domaine servant de conteneur à la « charge utile ». Liens directs dans un premier temps, puis transitant via Tweeter, le tout suivant une série de rebonds et une foultitude de domaines destinés à brouiller les pistes. Plusieurs outils, dont une porte dérobée, sont installés une fois l’attaque conduite avec succès. Sami Ruohonen précise que la grande majorité des courriels d’incitation semblent émis par un correspondant utilisant une adresse Wanadoo.

Il y a les bonnes pratiques du routage Soho… et au-delà. Le BSI Allemand a émis il y a peu une note (in English dans le texte) détaillant les règles des « meilleurs efforts » possibles en matière de fabrication et d’usage appliqués aux routeurs d’entrée de gamme. Rien de véritablement transcendant, mais, à l’instar des recommandations de l’Owasp, les cyber-policiers Allemands égrènent les règle techniques d’une garantie minimale de sécurité, en admettant que chaque point soit mis en pratique. Chiffrement WPA2, mots de passe uniques forcés à 20 caractères au moins lorsqu’il s’agit de ceux configurés en sortie d’usine, ceci sans avoir recours à un dérivé du nom de l’entreprise, de l’adresse MAC du boîtier ou autre élément distinctif. Idem pour les mots de passe préconfigurés devant respecter une politique « minuscule-majuscule-lettres-chiffres-signes de ponctuation », le tout accompagné d’un indicateur de complexité facile à interpréter par un usager non technique… et le document de continuer sur les mécanismes et règles de mise à jour des microcodes, de la solidité des applications périphériques, des procédures d’identification/authentification et des règles et contraintes devant être imposées si un service distant de mise à jour automatique est offert.

Le document, rédigé de manière claire et didactique, s’adresse aussi bien aux fournisseurs d’équipement réseau qu’aux usagers, permettant ainsi aux seconds de vérifier si les premiers sont dignes de confiance.

Le Chaos Computer Club bondit sur l’occasion pour renchérir. « Ce n’est pas assez » explique en substance le communiqué de l’association. Il serait grandement souhaitable que les produits vendus affichent une « date limite de consommation », et que, par voie de conséquence, tout routeur périmé soit interdit à la vente. Et par routeur périmé, le CCC entend tout appareil dont la mise à jour ne serait plus possible en raison d’un arrêt du support constructeur. Solution radicale ? Pas totalement, puisque Chaos offre une porte de sortie en encourageant l’équipementier à tout mettre en œuvre pour qu’un micrologiciel alternatif puisse remplacer le code original une fois la date de péremption atteinte.

On touche là les limites de ce qu’il est raisonnable d’appliquer en matière de règlementation sécuritaire. Techniquement, les arguments du CCC sont imparables. Pratiquement, la mise à jour d’un firmware de routeur, ou plus encore, son remplacement par un OpenWRT ou proche cousin est un acte rarement pratiqué en entreprise, et, à plus forte raison, par une clientèle grand public. Ceci sans présumer des risques prévisibles de firmwares « rootkités » aux couleurs « open », que personne ou presque ne pourrait détecter.

Ce risque ne doit cependant pas remettre en cause la légitimité (et l’efficacité) du combat du CCC en faveur d’une ouverture vers les firmwares alternatifs.

VLC considéré par Bing (et donc Microsoft) comme vecteur de propagation d’un malware ? la chose est prise très au sérieux explique Videolan.

L’équipe sécurité d’Office 365, de son côté, explique les raisons alambiquées de cette mise à l’index. A l’origine de ces soupçons, une attaque visant une faille dans Inpage, un traitement de texte conçu pour les langues Arabe, Perse, Pachtoun, Urdu… Or, pour parvenir à ses fins, le vecteur d’attaque utilise une vieille version de VLC, elle-même vulnérable à un détournement de DLL.

Préférant jeter le bébé avec l’eau du bain, l’équipe Microsoft a donc déclaré logiciel non-grata à la fois Inpage, son trou de sécurité, et VLC. De bien mauvaises langues ont suggéré d’inclure dans la liste Windows lui-même, puisque ce noyau sert également de support au vecteur d’attaque.

Fuite supposée de noms, adresses courriel, condensats de mot de passe : la base de données client de Dell a reçu la visite de collectionneurs d’identités et, dans le doute, l’équipe sécurité a entamé une procédure de réinitialisation des mots de passe

Bruce Schneier relève l’information, TechTarget en tartine une page toute entière, et il y a de quoi. Un groupe d’Universitaires (principalement New-Yorkais) a travaillé sur la manière de générer de fausses empreintes digitales à l’aide d’outils deep learning.

La méthode consiste à créer une « méta-empreinte » synthétique présentant sur un seul dessin les caractéristiques de plusieurs individus. Les résultats sont relativement intéressants, puisque l’expérience permet d’usurper, avec un taux d’erreur d’environ 1%, près de 77% d’une base d’échantillonnage d’empreintes.

L’empreinte digitale est quasiment unique pour chaque individu. Mais les systèmes de reconnaissance ne considèrent pas l’ensemble de la pulpe. Seuls quelques caractéristiques sont retenues. Et ces caractéristiques ne sont pas constantes. Partant de ce principe, l’IA utilisée (dressée devrait-on dire) par les chercheurs se serait contentée de faire cohabiter plusieurs de ces caractéristiques tant que leurs dispositions ne provoqueraient pas de collision ou d’incohérence. Une empreinte qui présenterait donc les signes de l’œil gauche de son père, l’œil droit de sa mère, la bouche de la grande tante et le menton du cousin… si l’on osait ce parallèle anthropométrique.

De tels travaux vont certainement en encourager d’autres chercheurs, qui viseront à simplifier au maximum la fabrication de ces fausses empreintes. Jusqu’à ce que les fabricants de capteurs décident un jour d’améliorer les algorithmes de reconnaissance et multiplient le nombre de points distinctifs à prendre en compte.

Il y a de fortes chances que le stade suivant consiste à fabriquer des empreintes synthétiques variables capables de lancer un véritable « brute force », plutôt que d’utiliser l’équivalent d’une attaque par dictionnaire comme l’on fait les chercheurs dans le cas présent.

« Franchement, j’ai peur » explique en substance Fred Paul de Network World au fil d’un article intitulé « le danger d’utiliser des commandes vocales sur des machines IoT ». Et d’expliquer les drames probables provoqués par les paroles malheureuses des passagers d’une automobile et pris au pied de la lettre par l’interface de commande vocale du voiturin. Ou pis en encore, l’exécution bornée d’un système industriel piloté par la voix :
« C’est bon, laisse tomber » répliqua le chef de chantier. Ce furent les dernières paroles d’Albert Plumier, 20 ans de service aux Forges du Nord, avant que l’électroaimant ne libère 15 tonnes d’acier. Dans un amas informe et sanguinolant, on retrouvera le boîtier de l’interface vocale, miraculeusement épargné grâce à son blindage Atex classe D .
Paragraphe à modifier selon les inspirations sadiques de l’auteur qui pourra ainsi substituer au paquet de ferraille, un fût de cyanure, une coulée de verre à 1500 °C, la grille de l’enclos des panthères du zoo de Courcouronnes …

Même théorie spéculative dans les colonnes de « The Next Police », le magazine du flic moderne. Et si, imagine le journaliste, et si un jour le commissariat vous passait un coup de fil vous demandant l’autorisation de piloter à distance votre voiture Tesla (ou toute autre véhicule autonome) sous prétexte qu’elle a été volée ? Mais je vous en prie, m’sieur l’agent. Mieux encore, la smart-bagnole serait en mesure de verrouiller ses portières et ainsi livrer le malandrin à la maréchaussée, pieds au plancher et poings liés, une fois atteint le parking du commissariat.

Non, le véritable risque, c’est lorsque l’intelligence montre les limites de son artificialité. Et ce n’est jamais le scénario catastrophe que l’on avait imaginé.

Le South China Morning Post explique comment le portrait de Dong Mingzhu, patronne d’un des plus importants fabricants de systèmes d’air conditionné de Chine, s’est retrouvé affiché dans toute la ville de Níngbō avec cette infâmante accusation de non-respect des règles de circulation piétonne.

Car, afin de lutter contre l’incivisme des passants, une foultitude de caméras de surveillance photographient tout contrevenant. Non-respect des feux de signalisation, traversée en dehors des passages protégés, comportement dangereux sur la chaussée… l’IoT des villes sait tout sur les écarts possibles du citadin bipède. Une fois le fautif « flashé », son portrait est passé au crible d’un monumental fichier, son nom y est retrouvé, associé, affiché sur tous les panneaux lumineux de la ville et commence alors la campagne de stigmatisation imaginée par les services de police urbaine avec une douceur toute bigbrotheriste …

Sauf que Madame Dong Mingzhu ne traverse pas en dehors des clous. Il faudra quelques temps pour que les cyber-pandores découvrent qu’en fait, le visage de cette chevalière d’industrie s’étalait sur une foultitude d’affiches publicitaires collées sur les flans des bus interurbains. Et en Chine comme en Europe, l’autobus domesticus traversent respectueusement les clous lorsque le feu est au rouge pour les piétons.

Les risques de l’IoT ne sont jamais qu’une transposition de ceux liés à la sécurité informatique traditionnelle. On ne craint que ce que l’on connait -via les déboires des tout premiers assistant vocaux par exemple-, on minimise les dangers provoqués par ce que l’on ne connait pas. Le véritable danger de l’IA et de l’IoT, c’est lorsque la situation se résume par un « celle-là, on ne l’avait pas vu venir ».

La poste US bat un joli record avec la perte de quelques 60 millions de données d’identités, rapporte Brian Krebs . Ces donnés touchent les personnes enregistrées auprès du service de suivi des expéditions

Ce mercredi 5 décembre se déroulera, à dans les salons de la préfecture Paca, Place Félix Baret à Marseille, le colloque SecNumeco « Acteurs économiques, protégez-vous des cyber risques». D’un côté l’Anssi, de l’autre le Clusir Provence-Alpes-Côte d’Azur, et entre ces deux organismes spécialistes de l’InfoSec, le Service de l’information stratégique et de la sécurité économique (SISSE) et la préfecture de région Paca.

Tout au long de cette matinée, l’on parlera d’outils d’analyse de risque en général et de Ebios en particulier, méthode que l’Anssi tente de mettre en avant depuis quelques mois. Seront également abordés les impacts économiques des risques numériques.

Le programme (ainsi que la procédure d’inscription pour les retardataires) est détaillé sur le site du Clusir.

Les hôpitaux US cherchent à se refaire une santé après une série de cyber-intrusions répertoriées par Databreaches.net. Au moins 21 000 enregistrements concernant des citoyens Californiens, potentiellement 190 000 autres victimes résidant sur le territoire US pourraient être victimes d’une faille provoquée par la compromission de comptes de messagerie de HealthEquity, un organisme de gestion des cotisations santé. L’accès aux comptes de messagerie auraient été limités à quelques jours durant le mois d’octobre, ce qui n’explique pas pour quelle raison l’organisme offre aux victimes 5 années de vérification des activités bancaires et plusieurs autres services d’aides aux victimes de vol d’identité.

Fuite également des fichiers du New York Oncology Hematology touchant 128 000 personnes, personnel soignant et patients.

Ce même jour, on apprend que le St. John’s Episcopal Hospital/ Episcopal Health Services alerte ses patients d’une mésaventure comparable, également provoquée par le piratage d’une boîte de messagerie survenu entre fin août et début octobre dernier.

Mais la perte de données la plus terrifiante rendue publique le 18 novembre dernier est indiscutablement celle touchant près de 17 000 clients de la chaîne de pubs « brewhouse and kitchen ». On se croirait revenu aux heures les plus sombres de Shaun of the Dead ou d’un autre long-métrage de la série Blood and Ice Cream.

Il est des parents qui souhaitent « pucer » leurs rejetons, et ceux qui leur offrent un bracelet de localisation et suivi par SMS …

« Dans la famille IoT, je choisis le fils », enchaîne donc le groupe de chercheurs de PenTestPartners, lesquels, Alan Monie en tête, se sont attachés à dénombrer les failles de sécurité et les multiples possibilités d’attaques « man in the middle » des montres/GPS-bracelets pour enfants qui se vendent sur eBay, Amazon et autres Banggood pour moins de 15 euros pièce. Potentiellement, ce sont presque 3 millions d’usagers en culotte-courte qui risquent de voir leurs propos et leur position récupérées par une armée de pédo-pirates, s’inquiètent les chercheurs. Appliquettes percluses de trous de sécurité, échanges non chiffrés, authentification inexistante, fuites d’informations personnelles (notamment les numéros téléphoniques des parents et de l’enfant), usurpation possible de l’appelant, espionnage du « mobile » à distance… on retrouve là tous les classiques de l’Insecurity of Things.

Si Amazon semble avoir fait machine arrière, ce n’est pas franchement le cas de ses concurrents de l’Empire du Milieu. Quand la logique du chiffre d’affaires surpasse les risques encourus par autrui …