Archives

Les campagnes de « malwaretizing » (malware diffusés par des add-in publicitaires) seraient en plein essor. Jérôme Segura (malwarebyte) a rédigé deux articles coup sur coup sur des vecteurs d’infection visant principalement WordPress. Au nombre des outils d’attaque les plus préoccupants, le kit d’exploitation « Nuclear » qui a cédé progressivement la place à « Angler ». Apparu en 2014, ce malware connaît une progression quasi linéaire. Parmi les 10 ou 15 « charges utiles » qu’il véhicule, on peut citer Telascrypt (un des ransomware les plus connus), Kovter, Andromeda, Vawtrak pour ne citer que les plus répandus.

Mais la cible ne se limite pas aux serveurs WordPress. Elle déborde actuellement sur les sites Joomla, prévient une étude du Sans. Les méthodes de diffusion sont les mêmes, encore et toujours les « spywares publicitaires ».

« Pas seulement ! » lance Karmina sur le blog F-Secure. On aurait même vu passer des attaques Angler via Skype, sans grande surprise par le truchement de ses extensions destinées à arroser les usagers de messages publicitaires.

Mais tout espoir n’est pas perdu. Neal Krawetz, le chasseur de photos numériques trafiquées, l’auteur du blog Hacker Factor, vient de créer un outil très simple de sécurité de premier niveau : le détecteur de malwares exploitant les principaux navigateurs. Ce n’est en aucun cas un outil de protection permanente, pas même un scanner, insiste Krawetz. Plutôt une page de sensibilisation et de formation sur les risques d’infection des navigateurs. Mais une visite régulière de cette page pourrait sauver l’avenir de quelques disques durs.

Même les truands acceptent les négociations. Frappé par un virus-chiffreur, le Hollywood Presbyterian Medical Center n’a pas payé les 3,6 M$ de rançon initialement réclamés, mais « seulement » 17 000 US$. Céder à ce chantage était, pensent ses responsables, la voie la plus rapide pour remettre le système en état de fonctionnement.

Avis de tempête sous Linux et Android sur la fonction getaddrinfo dans libgc. L’alerte a été lancée par deux chercheurs de Google, (référence CVE-2015-7547 ). Un PoC est disponible sur Github, et l’alerte Sans ne laisse planer aucun doute sur son niveau de dangerosité effective.

Plus efficace que la méthode Ogino, la montre Fitbit peut servir à détecter un début de grossesse, nous apprend un fait-divers rapporté par Mashable. C’est l’an zéro de l’IoB, Internet of Babies.

«Surveiller Internet, tout Internet » le but du CGHQ, nid d’espions Britannique selon Cory Doctorow, qui à l’aide d’une nouvelle fournée de documents Snowden, énumère l’arsenal numérique des barbouzes d’Outre-Manche.

« l’Internet des Objets sera utilisé par les services de renseignement pour espionner, recruter et pirater ». Cette petite phrase Orwellienne est signée James Clapper, le Directeur National chargé des renseignements des Etats-Unis. Et c’est Hot for Security qui l’a dénichée

Drame de la vie numérique : le compte Twitter de l’ex Beatles Ringo Starr a été piraté par un hacker surnommé « af », nous apprennent nos confrères de Daily dot.

Prenez quelques centaines d’outils d’espionnage technologique sauce Snowden employés sur cinq ou six milliers de cas d’espèce. Ajouter un peu de concurrence sauvage et une bonne main d’analyse des métadonnées mûries sous le soleil des Gafa. Mélangez énergiquement avec une dénonciation des accords unilatéraux du Safe Harbor par la Cour de Justice Européenne. Epicez avec une dématérialisation des progiciels et une généralisation des messageries Cloud, nappez le tout avec une bonne couche d’OIV et autres acteurs stratégiques qui ont vu s’envoler en fumée tout espoir de « cloud souverain ». Et servez vos données encore chaudes à qui veut se donner la peine d’y goûter.

Voilà très exactement à la fois la clientèle que vise la startup Française Difenso (fondée en juillet de l’an passé), un « Cloud broker » concurrent des CypherCloud ou Adallom. Son DG, Eric Sallou, explique « Mon travail : chiffrer les données depuis le poste de l’usager jusqu’au service Cloud qu’il utilise, rendre opaque tout échange devant transiter sur le réseau public. Mes atouts : être Français, donc échapper aux contraintes juridiques liées à un Patriot Act quelconque, et tout faire pour obtenir une certification Anssi » (ndlr Certification Sécuritaire de Premier Niveau). Et l’on pourrait ajouter « rester abordable ». Les tarifs proposés sont à la portée des PME et professions libérales, aux environs de 5 Euros par poste et par mois pour ce qui concerne les offres Messagerie. La protection des modèles SaaS à la Salesforce reste, quant à elle, établie selon un barème lié au coût de licence utilisateur.

 

Techniquement parlant, Difenso commercialise un service reposant sur une « appliance », qui intercepte tout trafic destiné à un service en particulier, le chiffre de manière transparente, puis l’expédie à destination. Pour l’heure, le « core system » gère les services Salesforce, Talensoft (service R.H.), les offres Cloud Google (Gmail etc.) et Exchange 365. Exchange seulement ? « Pour l’heure, c’est essentiellement sur cette partie que la demande est la plus forte. Nous commençons à recevoir quelques demandes pour Sharepoint, mais pas encore sur les autres services 365 ».

L’opération inverse est également totalement transparente tant que le destinataire appartient à la même organisation et fait transiter ses échanges via la même passerelle. « Presque » transparente devrait-on écrire. Car s’il n’est pas nécessaire d’invoquer une interface de chiffrement spécifique lors de l’envoi d’un courriel, il faut cependant ajouter un interrupteur pour que la passerelle sache si le courrier sortant est à chiffrer ou non. En général, cet interrupteur est constitué par un groupe de lettres remarquables glissé dans l’intitulé du message. Les services cloud tels que Salesforces et assimilés, quant à eux, sont automatiquement protégés par une session SSL, du navigateur situé sur le poste client jusqu’au service SaaS.

Les contacts de messagerie extérieurs qui ne sont pas client Difenso, quant à eux, doivent faire appel à un service accessible en ligne pour obtenir une clef de déchiffrement. L’opération est gratuite, et devient elle aussi transparente une fois que la personne s’est inscrite sur le portail. « Nous sommes très attachés à cette gratuité d’usage pour les personnes « extérieures », d’autant plus qu’elle est indispensable à certains de nos clients, tels les cabinets d’avocats, qui doivent correspondre en permanence avec des particuliers » insiste Eric Sallou. Apparemment, la chose paraît simple. Il a pourtant fallu adapter les agents « client » à tous les logiciels et services de messagerie les plus courants : imap, smtp, solution dédiées, interface Web ou U.A. spécifique (Outlook et concurrents), en versions poste fixe ou applications mobiles sous Android ou IOS. D’autres développements et services sont en cours, qui suivent l’évolution de l’informatique dans le nuage. Bien sûr, on pense aux services publics de partages de fichiers, à la possibilité de « réponse chiffrée » d’un non-abonné à une entreprise équipée d’une passerelle Difenso, à d’autres outils de communication plus instantanés mais rarement chiffrés.

Toute l’attention de la presse US est retenue par une affaire jugée dans le comté de San Bernardino (Californie). Le juge demande à Apple de fournir à la cour une « mise à jour » du firmware IOS facilitant l’accès aux données d’un terminal modèle 5C.

La demande fait grand bruit car le jugement en question porte sur l’assassinat de 14 personnes par un couple se réclamant combattre sous la bannière de l’Etat Islamique. L’affaire est d’autant plus médiatisée qu’elle est politiquement exploitée par le Gouvernement Obama dans son combat contre la vente libre des armes à feu. Elle pourrait bien servir également dans l’affrontement qui oppose conservateurs d’un côté et défenseurs des libertés individuelles de l’autre.

Nos confrères d’Engadget font discrètement remarquer que la Justice US tente d’exploiter au mieux le pathos qui entoure cette histoire. Plus discrète, effectivement, est une demande d’accès aux données chiffrées d’un autre iPhone par un juge de New York. Là, l’affaire ne concerne qu’un simple trafic de stupéfiants. Exploiter l’émotion pour justifier une systématisation des perquisitions numériques pour des motifs de moins en moins graves, c’est ce que dénoncent les organisations de défense des libertés individuelles. Tim Cook ne s’y est pas trompé et refuse de céder à cette forme de chantage .

Mais le combat est difficile, les affirmations populistes et anxiogènes des faucons conservateurs touchant une large part de l’opinion publique. Situation paradoxale également, car les supporters de ce « droit de perquisition numérique » sont également, pour la plupart, des soutiens indéfectibles de la NRA (National Riffle Association), fer de lance du lobby des armes. La stigmatisation du « coupable numérique » focalise toutes les attentions sur la question du chiffrement exploité par des terroristes, et fait oublier l’origine du problème : dans la plupart des Etats de l’Ouest des USA, il suffit d’un permis de conduire pour acheter une arme automatique.

D’un point de vue purement technique, un billet non signé du blog Errata Sec estime que techniquement, la demande du juge est envisageable, le modèle 5C n’étant pas équipé de la fameuse « secure enclave » (également baptisée « zero knowledge implementation ») qui fait la force du 5S. Et de rappeler les différents mécanismes de protection dont bénéficie le terminal, tel que le nombre limité de tentatives d’entrées de mot de passe ou l’effacement des données en cas d’échecs successifs.

Ni David Maynor, ni Robert Graham n’ont le moindre penchant pour les thèses Républicaines. Pourtant, leurs avis sur la question ne laissent planer aucun doute : toucher à la sécurité des terminaux et contraindre Apple à collaborer à cette fragilisation risque de créer un précédent et une banalisation d’usage.

Le HNS commente une récente décision de la justice Britannique qui pourrait bien avoir d’importantes conséquences en Europe : l’usage d’outils de hacking réseau visant aussi bien des ordinateurs que des terminaux mobiles a été déclaré légal. Il s’agit d’une décision de l’Investigatory Power Tribunal (IPT), une institution juridique qui, seule, est habilitée à traiter des affaires liées aux services de renseignement en Grande Bretagne. Cet arrêté, insiste Scarlet Kim, de Privacy International, octroie au CGHQ le droit de pirater les systèmes de traitement de données « n’importe où dans le monde », et ce, en dépit des lois tant Européennes que Françaises. Une décision dictée par la nécessité de protéger « la vie privée des citoyens » (to safeguard the public and the protection of an individual’s privacy and/or freedom of expression). Des arguments semblables à ceux avancés pour justifier la prolongation de l’Etat d’Urgence en France : limiter la liberté pour mieux préserver la liberté.

Tout cela ne peut qu’encourager les entreprises, particulièrement celles appelées à échanger sur le marché Britannique, à adopter des politiques de chiffrement drastiques appliquées à tous les niveaux de la chaîne de communication et de traitement numérique