Archives

Le Pentagone organise un grand concours de hack –ou plus exactement une campagne de pentesting gratuit- afin de tester la solidité de ses réseaux et sites Web. Inscription obligatoire avant début des hostilités, précise le communiqué.

RSA 2016 : Comment cloner un badge d’entrée à la RSA Conference sur un RFID Mifare Ultralight cousu dans une serviette de toilette de chambre d’hôtel ? Une aventure signée Jerry Gamblin et sponsorisée par Ford Prefect et Arthur Dent.

Mark Yason d’IBM a découvert une faille affectant la bibliothèque de fonction chargée de l’ouverture des fichiers PDF dans le navigateur Edge de Windows 10. Une preuve d’attaque via un fichier forgé est détaillée sur le site Security Intelligence

Google lance officiellement ProjectShield, service de protection anti-Ddos gratuit (en chantier depuis 2013). L’offre s’adresse en priorité aux médias en ligne, associations de défense des droits de l’homme et organismes de contrôle électoraux, précise le formulaire d’inscription.

Pop3 fait encore des victimes. Robert Graham raconte l’histoire d’un journaliste dont les emails Earthlink ont été piratés par un autre passager lors d’un voyage en avion alors qu’il rédigeait un article sur l’affaire Apple/FBI. Ni SSL ni Starttls.

Une semaine toujours placée sous le signe du malware et de la publicité. Après l’article de Neil Krawetz (Hacker Factor) qui déplorait les pratiques de plusieurs médias refusant les lecteurs protégés par un logiciel de blocage de publicité, (voir CNIS-Mag « Les pratiques douteuses de la réclame en ligne » ), c’est au tour de Graham Clueley de dresser le bilan désastreux des méthodes des cyber-publicitaires. Clueley cite notamment une étude du Guardian qui estime à 9 millions le nombre de sujets de sa Gracieuse Majesté utilisant des « ad-blockers ». L’anti fils de pub archétypal se situe entre 18 et 24 ans, fatigué par la lente dégradation des performances des accès Internet, par les scripts écrits à la diable et les pop-up vantant les mérites d’un dentifrice, d’une automobile ou d’un appareil électroménager.

En réaction, de plus en plus nombreux sont les sites qui détectent la présence des filtres de blocage et exigent de leurs visiteurs la désactivation du logiciel en question.

Mais il y a pire. Le coup de grâce est porté par Randy Westergren, dont les récentes recherches laissent entendre que les principaux médias en ligne (cbsnews, nbcnews, newyorktimes.com, msn.com, washingtonpost.com, bbc.com etc.) et sites de vente servent littéralement de vecteurs de « diffusion de vulnérabilités ». Lorsque la publicité en ligne se transforme en usine à XSS, que peut bien faire la victime ? Peu, très peu de choses explique le chercheur en sécurité. Tout d’abord parce que les publicités statiques n’existent plus depuis belle lurette. La position géographique, les sites « référents », le sexe ou l’âge de la cible sont autant de paramètres qui font qu’une réclame affichée à l’écran n’est jamais deux fois la même, et peut très bien n’être vue que par un nombre restreint de personnes. Ce qui rend très difficile la détection des publicités vulnérables. Et l’on ne peut également exiger du site « diffuseur » (le journal, le site de vente) de filtrer ces publicités. Non seulement parce que celles-ci ne sont que rarement stockées sur les serveurs dudit média, mais en outre parce que les contrats liant régies et diffuseurs interdisent généralement toute ingérence dans le contenu du message. Et par conséquent tout sandboxing et analyse.

Il ne reste alors qu’un seul espoir, c’est que les régies fassent elles-mêmes ce nettoyage, un appel à une sorte d’Owasp du pop-up mercantile. Certaines accepteront de travailler plus proprement, d’autres continueront de se moquer comme d’une guigne de la sécurité de leurs « cibles », pour ne pas dire leurs « victimes ». Peu est aujourd’hui fait, au sein même des grandes régies, pour que le marché des « ad-blockers » ne se développe pas, résultat la publicité en ligne deviendra de plus en plus insupportable, et l’image de marque des annonceurs se dégradera du fait même du manque de contrôle de ces pratiques.

Critique ? Les commutateurs Nexus 3000 et 3500 de Cisco acceptent la connexion à distance d’un attaquant avec des droits « root ». Le coupable ? Un compte utilisateur avec un mot de passe statique. Une mise à jour du firmware est disponible, qui corrige également au passage deux défauts pouvant faciliter un déni de service.

Une toute autre mise à jour est également disponible depuis le 25 janvier. Elle concerne les serveurs d’automatisme d’immeuble de Schneider, série « Automation Server » AS et AS-P V1.7 et antérieurs. Là encore, il s’agissait d’une authentification « par défaut ». Mais comme l’entretien de ces cerveaux du bâtiment n’est pas toujours effectué avec attention et que le mauvais fonctionnement de ces automates pose de sérieux risques de sécurité physique, le Cert ISC émet à son tour une alerte.

Tout risque est donc écarté… jusqu’à la prochaine fois.

Lucas Mearian, de Computerworld, se demande si les responsables du FBI ont encore toute leur raison. Questions que l’on pourrait également se poser concernant MM Ciotti et Galut qui, dans un grand élan atlantiste, se sont faits les rapporteurs de l’agence à trois lettres.

Car, fait remarquer Mearian, durant ces quatre dernières années, les fonctionnaires de l’Administration Fédérale (et l’on pourrait affirmer à peu près la même chose pour ce qui concerne les fonctionnaires Français) ont peu à peu laissé tomber les noyaux Blackberry au profit de terminaux sous IOS. Et ce précisément pour des raisons de pure sécurité et de solidité des outils de chiffrement.

En exigeant d’Apple la fabrication d’un outil de régression, le FBI se tire une balle dans le pied, estime l’auteur. En France comme aux USA, aucun élu ne peut ignorer avec quels outils travaillent les services d’urgence, un nombre élevé de fonctionnaires de police et de gendarmerie (génération ante-NewGend ), les responsables d’entreprises stratégiques ou classées OIV/Scada. Et l’on peut probablement ajouter à cette liste les agents de renseignement en opération poussant la discrétion et le « paraître normal » jusque dans les moindres détails, téléphone portable y compris. Dans cette perspective, exiger la fragilisation des outils de chiffrement attachés aux terminaux ou aux moyens de communication pourrait être interprété par des esprits chagrins comme une tentative d’intelligence avec des puissances extérieures ou de la haute trahison, à moins que ces propositions et amendement n’aient été que de simples rodomontades à finalité électorale, classiques propos d’homme politique.

APT. Trois lettres qui font frémir les CxO, cauchemarder les actionnaires, fantasmer les vendeurs de produits de sécurité. Car le propre de l’APT, c’est précisément d’être discrète, invisible, capable de demeurer tapie des années durant telle la taupe d’un roman de John le Carré, et probablement de générer plus encore d’articles anxiogènes dans les colonnes des quotidiens en ligne. Et bien cette taupe, cette APT, Microsoft annonce sa quasi élimination, par un discret billet de blog.L’APT est sur le point de faire partie de l’histoire ancienne grâce à l’arrivée de Windows Defender Advanced Threat Protection (WDATP,aka ATP pour les intimes). ATP repose sur deux composantes. D’une part le noyau Windows 10 et ses mécanismes de défense natifs, d’autre part un service Cloud qui, en enrichissant progressivement sa base de connaissance, sera à même de signaler l’existence de menaces potentielles. Cet outil est également –est surtout- conçu pour analyser le plus rapidement possible le « qui-quoi-comment » d’une attaque réussie pour ensuite prévenir les administrateurs et ainsi parer le plus vite possible à cette attaque. Une grande partie de cet outil de détection fait appel à des moteurs d’analyse comportementale.

Attendue pour l’automne prochain, la version définitive d’ATP viendra compléter l’éventail des services de sécurité dans le nuage tels que Office 365 Advanced Threat Protection et Microsoft Advanced Threat Analytics.

Parfaits sur le papier, inexploitables sur le terrain, résume un récent rapport du Center for a New American Security sur l’usage des systèmes d’armes autonomes. C’est le New York Times qui dévoile l’affaire et, par la même occasion, remet en mémoire quelques remarquables fiascos de l’industrie de l’armement US. A commencer par le retard de livraison des chasseurs F22 frappés, en 2007, par un bug destructeur chaque fois que l’appareil franchissait la ligne de changement de date. Mentionnons également quelques jolis ratés du côté des drones : un appareil tombé entre les mains des hackers Iraniens en 2011, ou l’absence de chiffrement des flux vidéo de ces mêmes drones que les opposants Iraquiens ont su exploiter, du moins politiquement, en 2009.

Mais ce ne sont là que des détails bénins à côté de ce qui nous attend, expliquent les experts chargés du rapport. Certes, les systèmes d’armes autonomes sont capables de déterminer avec précision la nature d’une cible potentielle. Pas nécessairement de la même manière qu’un humain, mais avec une efficacité comparable. Ce qui pose problème n’est pas l’acquisition et l’identification d’un objet, mais les décisions que prend l’I.A. face à cet objet. Une décision « qui dépasse totalement la logique et l’entendement humain ». Un niveau de « pensée » tellement différent qu’il peut provoquer des engagements militaires non souhaités « capable d’entraîner des dommages collatéraux d’un niveau inacceptable » expliquent en substance les rédacteurs de l’étude. Sont soulevées également d’autres questions sur le taux de pannes de ces systèmes, des conséquences d’un mauvais fonctionnement entre le moment ou l’engin « devient fou » et se met à tirer sur tout ce qui bouge et le moment ou un opérateur humain parvient à reprendre les commandes… sans évoquer bien sûr les risques élevés d’un acte de piratage informatique. Un rapport à mi-chemin entre Robocop et Terminator… en plus inquiétant.