Archives

Selon Tim Hume de CNN, les équipes de sécurité de l’aéroport de Sharm el-Sheikh, d’où a décollé le vol Metrojet 9268 (plus de 200 victimes), utiliseraient encore les « faux détecteurs de bombe » ADE651

Peut-on rêver mieux qu’un site Web appartenant à une banque réputée pour héberger un faux site Paypal ? C’est, explique par le menu Netcraft ce qui est arrivé au World Bank Group.

Lionel Payet, de l’équipe sécurité de Symantec, décrit comment la récente psychose de l’attaque terroriste est exploitée dans le cadre d’attaque en phising ciblé . Cette campagne vise essentiellement des entreprises implantées à Dubaï.

Brian Krebs, se prête à un exercice humoristique en imaginant l’appel téléphonique d’un apprenti-terroriste auprès de la hot-line « djihad Assistance » (ISIS Jihadi Helpdesk). C’est presque du Jeff Dunham

C’est, nous apprend un communiqué de la chaîne d’hôtels Hilton, un malware visant certains de ses terminaux points de vente (TPV) qui aurait permis la fuite d’un volume encore non précisé d’identités bancaires durant la période courant du 18 novembre au 5 décembre 2014 et du 21 avril au 27 juillet 2015. Auraient été dérobées des listes de noms, prénoms, numéro de carte, code de sécurité et date d’expiration. Le minimum nécessaire pour alimenter les réseaux de mules spécialisées dans l’achat en ligne. Graham Clueley), Brian Krebs, Network World, Computer Weekly reprennent tous la même litanie, celle des différentes chaînes d’hôtel qui ont été récemment la cible de hacks comparables (mais pas toujours techniquement similaires).

C’est un monde sauvage, celui dans lequel le TPV qui vient de naître a tout de même peu de chances d’atteindre sa maturité sans être infecté. Samy Kamkar, l’homme qui démarre les automobiles et ouvre les portes de garage avec moins de 30 euros d’électronique, publie le plan d’un tout petit hack de TPV plein de simplicité et d’intelligence. Un microcontrôleur, des drivers de moteur assez costauds pour jouer le rôle d’amplificateur, une antenne de type « boucle magnétique » (plus longue à bobiner qu’à souder), et ce montage peut faire croire à n’importe quel terminal de payement qu’il est en train de lire une véritable carte de crédit, qu’il n’est pas nécessaire de vérifier la transaction ou sa validité à l’aide de la puce intégrée, ou que la carte est émise par une banque éminente de Papouasie ou de La Barbade. Tout le travail de Kamkar repose sur l’analyse des données contenues sur la piste magnétique d’une carte (lecture au sens littéral du terme puisque le chercheur utilise de la limaille d’oxyde de fer pour faire apparaître les données inscrites). Qui veut jouer ?

Il se fait appeler Superfish 2.0, en référence à un problème similaire rencontré sur les ordinateurs Lenovo. « Il » est un certificat racine (baptisé Edellroot) et une clef privée installés par défaut sur une majorité de machines Dell vendues depuis août dernier, et identiques sur tous les appareils vendus. Ce qui a pour résultat que n’importe quel possesseur de ladite clef peut créer des certificats donnant « patte blanche » à n’importe quelle sorte de service (équipement réseau, service IP, programme signé…) qui seront alors considérés comme dignes de confiance par le certificat racine.

Cet ensemble de certifications a été conçu pour fonctionner jusqu’en 2039, assez de temps pour que tous les ordinateurs Dell de la création soient, un jour ou l’autre, victime d’une injection de code ou d’une attaque « man in the middle » accompagnée de fuites d’information, puisque la vulnérabilité rend possible l’écoute de tout échange SSL. La procédure d’élimination de ce certificat n’est pas triviale, car tant que le service « Dell Foundation » est actif, Edellroot renaît de ses cendres. Le Sans décrit la procédure d’éradication pas à pas et fournit, au passage, un lien permettant de déterminer quelle machine est vulnérable.

Patreon, site de financement participatif Britannique qui avait subi une attaque résultant en une fuite de données début octobre, voit ses clients menacés par des maîtres-chanteurs. « Payez ou nous révélons au public vos données personnelles et bancaires… » intime ce groupe d’escrocs qui semblerait être le même à s’être livré à ce genre d’exercice avec les clients Ashley-Madison. Hélas pour eux, la politique de chiffrement des données bancaires qu’affirment avoir déployé les responsables de Patreon rend excessivement improbable le fait que la moindre information bancaire puisse être obtenue. Les victimes potentielles, indiquent nos confrères de CSO Online, ne font preuve d’aucune inquiétude. Parfois, les black hats subissent des revers qui ne doivent rien aux vendeurs de produits de sécurité.

Pourquoi chercher des spécialistes du chiffrement pour éduquer les foules intégristes de tous crins alors qu’il suffit de reconditionner de véritables textes de sensibilisation à la SSI rédigés par des spécialistes ? C’est ce qui semble se passer, affirment des chercheurs du « Combating Terrorism Center » de l’académie militaire de West Point (USA). Il circule sur les sites, blogs et forums djihadistes depuis quelques temps un manuel de sécurité opérationnelle, expliquent-ils à Kim Zetter, du magazine Wired. Un manuel qui a été rédigé par Cyberkof, une très sérieuse entreprise de cyber-sécurité Doubaïote qui n’a bien sûr rien à voir avec les activités terroristes, mais qui présente l’avantage de rédiger ses « white papers » en langue Arabe. Wired en fournit une traduction « googletranslatée » qui mériterait franchement de faire partie des manuels de chevet de n’importe quel cyber-cadre itinérant.

L’on apprend du coup qu’il est conseillé d’utiliser :

– Tor ou Opera Mini Browser pour naviguer à l’abri des écoutes

– Utiliser les services VPN disponibles sur le Net

– Recourir à Hushmail, Tutanota et ProtonMail dans le but de correspondre secrètement (c’est probablement pour écarter ce risque que les inscriptions ProtonMail sont si difficiles à obtenir)

РAbandonner Skype et lui pr̩f̩rer Telegram, SureSpot, Cryptocat ou Sicher

– Télécharger Linphone, RedPhone ou FaceTime pour passer des coups de fil VoIP à l’abri des oreilles indiscrètes.

РProt̩ger les donn̩es locales avec TrueCrypt ou Microsoft Bitlocker

РFireChat ou Tin-Can plut̫t que les SMS

– …. Et utiliser des mots de passes longs et complexes !

Des propos également tenus par tous les professionnels de la Sécurité y compris l’Anssi, les Cert A, IST, Renater …

En admettant même que la totalité des outils de sécurité susnommés soient « dé-durcis », on ne voit pas par quel miracle les semeurs de morts respecteraient ces interdits et ne recourraient pas à d’autres programmes de chiffrement plus résistants, voir même ne continueraient-ils pas à utiliser les anciennes versions garanties « backdoor free ». La guerre contre le chiffrement ne semble pas la réponse adéquate dans un tel contexte.

Mais poseurs de bombe et délinquants paumés en quête de rédemption religieuse commettent et commettrons toujours des erreurs de pratique, autant de pistes et opportunités en faveur du principal outil de lutte antiterroriste : le travail de renseignement sur le terrain.

Darren Pauli, du Reg , révèle que Virus Total (le scanner multi-moteurs en ligne) est sur le point d’ajouter une sandbox destinée aux applications Apple.

3 trous Adobe corrigés « hors calendrier » et, une fois n’est pas coutume, qui ne concernent pas du tout Flash Player. C’est Coldfusion qui est visé. Aucun exploit « dans la nature » n’a été repéré.