janvier, 2013

25 GPU et probablement autant de ventilateurs, c’est ce qu’aligne le calculateur de Jeremi Gosney spécialement conçu pour « bruteforcer » des hachages de mot de passe. L’article de Security Ledger précise qu’un mot de passe NTLM de 8 caractères est cassé en moins de 6 heures.

Virus pris de court ou Lama de long ? F-Secure décrit un camouflage d’injecteur de backdoor sur le site d’un moine tibétain proche du Dalai-Lama. Attention aux retours de bâtons (ou longs bois de bonze)…viraux.

Le Gartner annonce la mort de la sécurité IT d’entreprise : D’ici à 2015, 10 % du marché mondial de la sécurité informatique d’entreprise sera prise en compte par les prestataires Cloud affirme, sans grande surprise, la société d’analyse de marché

Cryptome publie une série de documents consacrés aux certifications et aux protections Tempest. Tempest est une norme US portant sur les risques de fuite d’information via les champs électromagnétiques émis par les appareils électroniques en général et les ordinateurs en particulier. Les amoureux des JamesBonderies peuvent se délecter en se vautrant dans la définition des différentes normes Tempest, et s’imaginer utiliser des clefs USB garanties impossibles à espionner à distance ou envisager de recouvrir les moindres fenêtres de feuilles de plastique imperméables aux ondes de 30 MHz à 6 GHz. A noter que ces dernières, vendues très chères avec un label « tempest », sont quasiment strictement identiques à celles vendues sur eBay ou dans certains magasins d’accessoires automobiles sous l’appellation « revêtement pare-soleil ». Le traitement de surface métallique semi-réfléchissant est une malédiction pour toutes les transmissions Wifi, GSM, Wimax et assimilées.

Il est important de noter que l’usage d’un périphérique certifié Tempest n’est en aucun cas une garantie de sécurité : tout comme dans le domaine des antivirus et équipements de filtrage, c’est l’ensemble de la chaine qui doit être certifiée, et non seulement un seul de ses maillons. Une clef USB blindée, montée sur le port d’un portable en boîtier plastique n’offre strictement aucune protection réelle. Quant à la pose d’écrans de blocage électromagnétiques sur les vitres d’un bureau, elle n’est efficace que si lesdites fenêtres sont fermées et que si les cloisons situées entre ces fenêtres sont également imperméables aux rayonnements (pose de treillis métalliques, béton armé, peintures au brai de carbone etc.).

C’est le site Polonais zaufanatrzeciastrona qui, le premier, a révélé ces recherches : Wojciech Mazurczyk, Krzysztof Szczypiorski et Maciej Karas, trois chercheurs de l’Institut des Télécoms de Varsovie, ont mis au point un système de transmission stéganographique via Skype, système capable d’envoyer des informations durant les « blancs » de conversation. Ces plages de silence, précise l’article, se distinguent aisément en fonction de leur longueur : 70 octets contre 130 octets lors d’une conversation ou transmission de signal audio. Le taux de transfert est bien entendu proportionnel aux périodes de silence, mais les chercheurs précisent qu’ils peuvent assurer un débit de 1 kilobit/seconde lors d’une conversation normale.

Le procédé n’est strictement pas nouveau : l’utilisation des plages « vides » d’information est vieux comme le monde des télécoms. Citons, par exemple, les anciens procédés de télétexte Antiope, qui diffusait des données météo ou les programmes des chaines de la télévision Française en profitant du temps utilisé par le signal de blanking/retour de trame entre chaque demi-image. Ce n’est après tout qu’une forme de multiplexage temporel… mais un multiplexage qui passe inaperçu.

Skype peut-il devenir un vecteur de transmission capable d’échapper aux systèmes de surveillance gouvernementaux ? La chose est loin d’être sûre. Si SkypeHide, le programme des 3 ingénieurs Polonais, venait à connaître une version utilisable par des usagers « non geek », il est certain que les marchands d’équipements de flicage développeront une contre-mesure. Ne restera aux développeurs qu’une seule parade : chiffrer le contenu de ces messages camouflés. Le principal intérêt d’une transmission stéganographique réside précisément dans le « secret » que constitue son usage. Le procédé étant rendu public, son efficacité s’en trouve fortement amoindrie. L’équipe précise qu’elle fera une communication sur le sujet à l’occasion du tout premier ACM Information Hiding and Multimedia Security Workshop (IH&MMSec) qui se déroulera à l’Université de Montpellier II, du 17 au 19 juin 2013.

Dancho Danchev vient d’écrire un véritable cyber-roman noir à coup de compilations de publicités et de documents techniques publiés par… les vendeurs de « skimmers » de Distributeurs Automatiques de Billets (DAB). Qualité de la finition, performances des transmetteurs de codes PIN et autres données bancaires par GSM, autonomie de l’installation garantie au moins 3 jours, édition « économique » sans liaison GMS doté d’une clef usb pour le stockage des données… le père-noël des black-hats sait comment séduire sa clientèle. Même les « bonnes pratiques » de pose et de dépose des fausses façades à coller sur les distributeurs-cibles sont distillées aux éventuels acheteurs avec une précaution de détails qui fleure bon l’expérience passée. Il faut reconnaître que la qualité des réalisations est confondante. Cet article, doit-on le rappeler, n’est en aucun cas une incitation à l’achat de tels accessoires, mais plutôt un encouragement, avant tout retrait, à tirer énergiquement sur tout élément protubérant et élément de carrosserie des DAB… histoire de voir si c’est un faux.

On avait presque perdu l’habitude de ce genre de piratage, depuis la vague de compromission qui avait touché RSA ou celle, très probablement orchestrée par les services US, qui avait servi à construire Stuxnet. Pourtant, tout début janvier, l’équipe de sécurité de Google a découvert l’existence d’un certificat falsifié émis par deux autorités secondaires inféodées à TurkTrust Inc (*.EGO.GOV.TR et e-islem.kktcmerkezbankasi.org). Ces certificats ont été utilisés pour conduire notamment des attaques « man in the middle ». Microsoft a immédiatement réagi et banni les certificats incriminés de ses listes de créance et publié une alerte. Parmi les certificats forgés, un *.google.com a été émis, accompagné d’une multitude de Google suivis d’une extension nationale… dont Googl.fr. Mozilla a également réagi avec célérité. Symantec donne d’ailleurs une liste détaillée des actions et alertes émises par TurkTrust ainsi que de tous les certificats douteux. Durant quelques heures, il n’a pas été possible de déterminer si cette émission de certificats anormaux était ou non le fruit d’une simple erreur de l’autorité de certification… le doute n’est plus permis, Microsoft insiste « we are aware of active attacks using a fraudulent digital certificate ». La révocation des certificats est donc non seulement nécessaire mais également urgente.

Tout commence par un très classique trou affectant Internet Explorer 6,7 et 8, immatriculé CVE-2012-4792. Un véritable ZDE exploitable à distance (et effectivement exploité) et qui affecterait essentiellement les éditions Chinoises et Anglaises du navigateur. Microsoft publie coup sur coup une alerte puis, le jour de la Saint Sylvestre, une mesure de contournement sous forme d’une macro « Fix-It »… en attendant qu’une véritable rustine soit développée. Cette mesure provisoire n’est hélas, estiment les chercheurs de la société Exodus, pas franchement efficace puisqu’il serait possible de la contourner.

Il semblerait, estiment les chercheurs de Symantec, que l’équipe de hackers « noirs » ayant découvert et exploité ladite faille soit spécialisée dans l’usage de ZDE. Pas moins de 9 attaques utilisant des « Zero days » leur ont, par le passé, déjà été attribuées. La faille CVE-2012-4792 a servi, depuis fin décembre, à compromettre des stations de travail via une attaque en « drive by download ». L’application du contournement « Fix-It » est donc tout de même conseillé, pour ne serait-ce que parer d’éventuelles exploitations datant de cette époque.

Les hacks de piratage dans le domaine de l’électronique de grande consommation voient le jour de plus en plus rapidement après la sortie des produits. Cette course au piratage de contenu n’a pas que des effets négatifs. Sans de telles initiatives, jamais des produits aussi « achevés » que le mediacenter Xbmc n’auraient pu voir le jour, jamais la victime, la Xbox, n’aurait été aussi bien protégée au fil de ses évolutions.

Mais entre un système dédié tel que la Xbox et un outil à très large diffusion, tel qu’un téléviseur ou un téléphone mobile, tous deux reposant sur des systèmes d’exploitation quasi standards, on conçoit que la surface de vulnérabilité soit très différente. Luigi Auriema, le célèbre chasseur de failles, vient d’offrir aux amoureux du petit écran une démonstration de hack visant les téléviseurs Samsung LED 3D, avec accès root et vol d’informations à la clef. Le poste de télévision, appareil de diffusion de contenu destiné à une clientèle passive et non critique, n’est semble-t-il pas encore prêt pour supporter des fonctions d’interactivité même limitée.

Luigi Auriema ayant pour habitude de ne jamais abandonner les os qu’il ronge (voir les statistiques publiées par son entreprise en matière de découvertes de failles SCADA durant cette dernière année), il y a fort à parier que tous les fabricants d’écrans vont subir les foudres des publications sécurité du chercheur Milanais. Exercice d’autant plus facile et prévisible que l’industrie grand-public est encore loin de maîtriser les processus du genre SDL et autres perversions purement informatiques.

Nos confrères d ’ExtremeTech relatent les recherches d’un ingénieur travaillant pour le compte de Nokia, recherches visant à démontrer la vulnérabilité des appliquettes Metro sur plateformes Windows Phone 7 et 8. Déblocage des versions de démonstration, contournement des mécanismes de chiffrement, suppression des publicités furtives qui viennent se glisser dans les écrans des jeux vidéo… Les hacks seraient assez simples pour que la publication initiale des recherches sur le blog de l’auteur ait été remplacée par une mirifique mire aux couleurs de Metro. Les grands traits des travaux peuvent encore être lus via la cache Google.

Un dernier hack grand public ce court article d’El Reg qui raconte combien se répand facilement une vague de hacking via les QR Codes que l’on voit s’imprimer un peu de partout sur les affiches publicitaires. La chose n’a strictement rien de nouveau sur le plan technique. L’impression de faux codes Zebra (EAN) ou de QRCode destinés à tromper un système de facturation ou aiguiller un usager vers un site compromis (première phase d’une attaque en drive by download ) est presque aussi vieille que l’existence de ce genre de code. Déjà, en 1986, lorsque sont apparus les premiers lecteurs Cauzin Softstrip, la rédaction du défunt hebdomadaire Décision Informatique attirait l’attention de ses lecteurs sur un tel risque.

Mais là où les QR BlackHackers se sont montrés ingénieux, c’est en ciblant les QRCodes situés sur les affiches publicitaires. La majorité des usagers grand public n’est pas particulièrement avertie des risques que présentent ces « liens directs », et les exploitants eux-mêmes n’ont aucun intérêt à avertir leur clientèle potentielle des dangers qu’ils lui font indirectement courir.

L’association informatique/téléphonie/publicité est un mélange détonnant difficile à sécuriser. Déjà, il y a quelques années lorsque sont apparues les premières affiches publicitaires à complément d’information diffusées par liaison Bluetooth, quelques PoC ont été publiés à l’occasion de conférences, à la BlackHat et Defcon entre autres. Des risques semblables ont été évoqués à propos de projets visant à associer des données diffusées par liaison NFC/RFID. Mais le monde de la réclame dépend d’une logique de course à la consommation qui se moque bien des statistiques de sinistralité informatique tant que l’image de marque du produit ainsi vanté n’est pas franchement atteinte.

Google lance « Private Channel », un service de diffusion d’appliquettes pour téléphones Android destiné à ne distribuer que les programmes certifiés par une entreprise en particulier. La création de ces sortes de « markets privés » devrait, estime Google, donner aux services informatiques des entreprises la possibilité de mieux contrôler les contenus exécutables installés sur leurs flottes de périphériques mobiles.

C’est là une composante qui pourrait fort bien trouver un rôle complémentaire aux MDM (Mobile Device Management software) dans la lutte contre les malwares et spywares visant les déploiements Byod.

Si la sauce prend, l’on pourrait voir arriver, outre les entreprises privées souhaitant mieux contrôler les facteurs de risques de leurs réseaux mobiles, les opérateurs télécoms qui verraient là un moyen bien pratique pour récupérer un peu de leur pouvoir de diffusion de contenu, pouvoir qui s’était émietté depuis ces deux dernières années. Cette sorte de fausse ouverture permet à Google de jouer la carte de la diversification et de la pseudo-concurrence des petites « boutiques d’entreprise » contre le « supermarché Google » et ainsi retarder l’inévitable fragmentation de ce quadruple monopole détenu par l’Apple Appstore, Google Play, Amazon et Microsoft Market.