Archives

Quatre chercheurs de l’Université de Bochum se sont penchés sur la possibilité d’une attaque MIM dans le flux d’un serveur de diffusion de logiciels par Internet . Peu ou pas de vérification d’intégrité, pas de signature de code, peu de protection des échanges par VPN, les sites de « download » logiciels doivent s’améliorer.

Enfin du nouveau dans la simplification du keylock picking à l’attention des hackers pas trop habiles de leurs mains (c’est rare mais ça existe) : le cadenas Bluetooth .

Steve Balmer abandonne officiellement son fauteuil de CEO de Microsoft, annonce confirmée par une lettre ouverte adressée à son successeur, Satya Nadella . Au style pompier de Ballmer s’oppose la froide concision de Nadella.

Aux USA, 45 millions d’identités et numéros de sécurité sociale ont été dérobés sur les systèmes de Community Health System, opérateur de santé publique regroupant près de 206 établissements hospitaliers. Le numéro SS est, aux USA, un identifiant pouvant servir à l’obtention d’un crédit ou la délivrance d’une carte bancaire

Brandan Blevin, de SearchSecurity, dresse une synthèse des différentes interventions ayant pour thème l’Internet des Objets (IoT) lors de la dernière DefCon/BlackHat de Las Vegas. Et la liste est longue : Dan Geer, Charlie Miller et Chris Valasek avec une effrayante prise de contrôle à distance de la colonne de direction d’une voiture en train de rouler et la publication d’une étude sur les surfaces d’attaque des IoT, Billy Rios qui s’est penché sur les appareils de filtrages situés dans les aéroports et qui sont vulnérable à des attaques distantes, Ruben Santamarta qui s’est attaqué aux liaisons satellites chargées des accès Internet dans les vols long courrier, Silvio Cesare, mentionné par nos confrères du HNS et qui s’est passionné pour les vulnérabilités des protocoles radios des IoT, Hewlett Packard dont le récent rapport sur les objets connectés révèle que plus de 70% des appareils IoT sont vulnérables, sans mentionner Josh Corman et sa lettre ouverte intitulée « Voilà la cavalerie ! » demande aux industriels de l’automobile de repenser la sécurité de cette forme d’informatisation « communicante » qui bourgeonne à tout-va.

Ces avertissements ont-ils des chances d’être entendus ? Les vieux routiers de la sécurité estiment que ces appels resteront sans réponse, pour les mêmes raisons que celles qui ont présidé au lancement du « tout web » dans les années 90 n’ont éveillé la moindre velléité d’amélioration. Les espérances de gains à court terme sont plus impérieuses que les préoccupations sécuritaires… d’autant plus que les victimes ne sont pas du côté des vendeurs mais de la clientèle. Caveat Emptor. Du côté des médias, la situation n’est guère plus brillante, car ne sont relatés que les scénarii les plus sensationnalistes, les plus catastrophistes, ceux-là même qui ne résistent pas à une analyse de risque sommaire mais qui font du clic web et du lectorat qualifié. Une hypothétique apocalypse terroriste exploitant la faille obscure d’une interface d’administration, la prise de contrôle d’une centrale nucléaire, d’une usine de traitement d’eau, de l’ordinateur de bord d’un unique modèle de voiture lancée à 200 km/h… Quelle est la probabilité de ces risques au regard des gains que promettra le « gadget de la connectivité et de la modernitude » ? Quasi nulle. Mais économiquement, le dédommagement d’une victime n’est rien en comparaison des bénéfices visés.

Seuls les geeks, les hackers, les spécialistes sécurité possèdent un aperçu réel de la situation d’ensemble… mais ne savent pas franchement l’exprimer. Car le danger réside moins dans l’accident exceptionnel que dans la collecte massive, anodine et quotidienne d’informations et d’habitudes d’usage. Et la mise à jour de cet obscur travail de fourmi des bigdata lovers est moins « vendeur » que le hack d’un système embarqué dans un avion de ligne. En outre, à ce genre d’argument, l’on oppose l’exagération de cette vision Orwellienne de l’Internet des Objets. L’IoT n’est pas Big Brother, car il n’existe aucune décision immanente, aucun plan occulte mondial cherchant à coordonner cette formidable dépendance à l’interconnexion et à ce flicage quasi volontaire. Reste que la chaine alimentaire de l’IoT est comparable à celle de la nature : herbivores, prédateurs, super-prédateurs… il y aura toujours, quelque part, un Google ou un Microsoft, voir un « data broker » moins connu mais tout aussi efficace, qui sera capable de réunir et recouper, puis désanonymiser les messages de l’IoT pour les mieux exploiter. Car c’est moins l’IoT lui-même que l’analyse « big data » des données que cet IoT collecte qui présente un risque pour la société et l’individu. Alors oui, on peut s’inquiéter des failles radio et des très probables exploitations mafieuses ou terroristes dans le secteur de l’Internet des Objets. Mais tout ça reste comparable à la probabilité d’exploitation des défauts de sécurité Wep des premières liaisons Wifi : beaucoup de bruit pour des conséquences rétrospectivement marginales, à une attaque de chaine de magasins près. Le problème de l’IoT se situe en amont de la chaîne d’exploitation et relève plus de l’encadrement législatif et de l’harmonisation des lois internationales. C’est donc plus une question politique que technique.

Selon Rob Williams, de Hot Hardware, le dernier lot de correctifs Microsoft contiendrait quelques défauts, notamment le MS14-045 (mise à jour de sécurité concernant les pilotes de type « kernel drivers ») et quelques patchs publiés dans la kBase est destiné aux plateformes Windows RT. L’auteur conseille de désinstaller les rustines portant sur les articles KB •2982791, 2970228, 2975719 (ne concerne que les versions Russes de Windows) et 2975331.

Google Translate servirait-il à véhiculer des messages secrets cachés dans les textes de remplissage de type « Lorem Ipsum » ? Ce Lorem Ipsum que les vieux « prots » de l’imprimerie au plomb affublaient du nom de « bolobolo » et qui sert généralement à remplir de faux textes des maquettes et autres tentatives de mise en page. Le Lorem Ipsum est à l’imprimerie ce que le gravier est à la marine à voile : un lest de remplissage, peu cher et sans signification ni valeur particulière.

Mais Brian Krebs prend l’affaire au sérieux et nous entraîne dans une aventure au scénario plus ravagé qu’un roman de Dan Brown. Les héros de l’histoire sont trois chercheurs, Lance James, patron de la branche cyber-intelligence chez Deloitte, Michael Shoukry de FireEye et un troisième dénommé « Kraeh3n ».

Ces enquêteurs de l’improbable ont découvert que les mots « lorem ipsum », selon la manière dont ils étaient écrits, avec ou sans majuscule, leur disposition dans la phrase, leur éventuelle répétition, pourraient offrir des significations étonnantes lorsque passées par le filtre de l’outil de traduction Google. Ainsi, les mots « lorem ipsum » donneraient « Chine », Lorem Lorem équivaudrait à « Home Business » et ipsum ipsum à « exam » (ndlr, depuis, Google Translate traduit Lorem Ipsum par Lorem Ipsum, ce qui est nettement moins rocambolesque et peu à l’avantage d’un logiciel de traduction)

Alors, les services de Google serviraient-ils de grille de codage aux valeureux espions de la NSA en opération dans le monde ? Plus besoin de chiffre, de grille de code, d’encre sympathique, d’embrouilleurs vocaux… il suffit d’expédier une missive en latin, Google se charge du décodage. Et nos chercheurs d’imaginer une édition moderne du Grand Chiffre de Louis XIV, comme d’autres chercheurs, en d’autres temps, ont cru deviner un sens caché à l’Apocalypse de Saint Jean ou aux écrits de Michel de Notre Dame. Ce qui tendrait à prouver que certaines boissons fermentées, de rares espèces de champignons ou des mélanges herbacés peuvent affecter avec la même virulence aussi bien des grands mystiques de Patmos, des mages du XVIème siècle ou des programmeurs « côte ouest ».

Les services de renseignement d’Outre Rhin écoutaient les conversations d’Hillary Clinton à l’époque où elle était Secrétaire d’Etat, puis de son successeur John Kerry. Egalement espionnés, les services gouvernementaux Turcs, un allié de longue date de l’Allemagne doublé d’un partenaire politique et économique quasi historique. Ce scoop est, une fois de plus, le fruit du travail d’enquête des journalistes de Der Spiegel.

Cette affaire tombe d’autant plus mal que l’écoute des conversations téléphoniques d’Angela Merkel par la NSA avait permis à la Chancelière de protester et de jouer les victimes innocentes dans une guerre aveugle du renseignement diplomatique. Le fait que le BND, pourtant membre des « yeux » de la NSA, se permette d’écouter les échanges d’alliés objectifs, membres de l’Otan et partenaires économiques, montre à quel point la notion chinoise de « guerre sans limite » n’est plus une expression purement rhétorique.

Comme il fallait s’y attendre, des protestations de pure forme ont été émises par les victimes, protestation auxquelles le gouvernement Fédéral Allemand a répondu par des excuses tout aussi bancales (l’espionnage Clinton-Kerry était un « accident »). Il faut être très prudent lorsque l’on nettoie un logiciel d’écoute. Parfois, les coups peuvent partir tous seuls.

Predator alias Oreon alias Amonyak, ou Findikoglu dans le civil, le chef de la bande des “braqueurs de distributeurs” a été arrêté, nous apprend un article de Der Spiegel. Une traque longue et complexe pour un hack retord et élaboré.

L’affaire débute en 2012, année durant laquelle l’équipe technique de Predator, d’origine Turque, s’introduit dans les systèmes d’information d’une entreprise Indienne de traitement des transactions bancaires, et dérobe un important volume d’identités. A partir de ces données et de quelques opérations de datamining périphériques, deux séries de comptes sans limitation de retrait sont piratés. L’un dépendant d’un établissement émirati, Rakabank, l’autre dont le siège est basé à Oman, la Bank of Muscat. Ces comptes font alors l’objet d’une opération quasi industrielle de duplication de cartes de crédit, ces cartes étant ensuite confiées à un réseau de mules situées dans le monde entier : Russie, Japon, USA, Allemagne… 26 pays au total serviront à siphonner le contenu de centaines de distributeurs. Le braquage est organisé en deux vagues, chacune n’utilisant qu’un seul compte à la fois : Rakabank le 22 décembre2012, et Bank of Muscat dans la nuit du 19 au 20 février 2013.

La presse nord-Américaine d’alors découvre l’ampleur du vol dès le mois de mai, lorsqu’un premier groupe de 8 complices se fait arrêter. Un premier chef présumé, Alberto Yusi Lajud-Peña, alias Prime, alias Albertico, est retrouvé mort à Manille, début mai, après un échange de coups de feu. Cette mort brutale serait la conséquence d’un différend concernant le partage du butin. Outre Atlantique, à New York notamment, ainsi qu’en Allemagne, quelques mules se font prendre pour avoir sous-estimé l’efficacité des caméras de surveillance équipant les distributeurs. Mais ces petits accrochages entre truands et forces de l’ordre ne compromettent toujours pas l’étanchéité du « système Predator » et ne remet pas en cause l’extraordinaire coordination et efficacité du réseau. C’est d’ailleurs une question qui taraude l’auteur de l’article du Spiegel : qui est derrière l’organisation quasi militaire de ce double casse, qui a conçu le cloisonnement du réseau, établi les modes de communication et assuré la direction opérationnelle de l’ensemble ? Certains experts envisagent la possibilité de soutiens extérieurs de la part d’organisations ou de « conseillers techniques » compétents en matière de logistique.

Un peu de parano signé Sans Institute, qui imagine un scénario d’attaque distribuée utilisant des armadas de routeurs Soho exploités par une faille ntp. A lire comme un roman d’été