5 millions de couples « Identité/mot de passe » appartenant à des comptes Gmail seraient diffusés par des réseaux gris des pays de l’Est. Encore une faille SQL ? Que nenni ! Ces identités auraient été moissonnées puis filtrées au fil du temps, durant plus de 3 ans, pour être ensuite concaténées. En conséquence de quoi, certaines de ces identités portent une date-fraîcheur qui sent franchement l’aigre. Le taux de déchet serait important et les « bonnes » créances ne constituerait pas plus de 30 % selon certains experts, 2% selon d’autres. Tout comme l’affaire des photos dénudées de certaines starlettes retrouvée sur 4Chan, il y a là plus de bruit médiatique que de véritable hack du siècle.
15 octobre 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau
Sans gestion de risques, il est peu probable de mettre en œuvre une politique de sécurité efficace. C’est en sachant apprécier les risques encourus que l’on peut estimer les points sensibles à protéger et ceux moins importants ou vitaux qui nécessiteront moins d’attention : quelle recette pour une gestion optimisée du budget sécurité ?
CNIS Event fait également le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces actuelles qui visent le système d’information, détailleront les vulnérabilités, d’aujourd’hui et de demain, comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont les Responsables Sécurité pourraient se prémunir.
Comment rester conforme aux législations en vigueur en constante évolution ? Gestion de risques et de vulnérabilités ne sont pas suffisantes : quels indicateurs pour alerter l’entreprise qui risquerait de sortir du cadre légal ? Comment rester conforme ? Est-ce que les dernières tendances (Security as a Service, Big Data, Software Defined Security etc.) se sont transformées en solutions adaptées, abordable et aujourd’hui intégrables facilement ? Décryptage, conseils. Experts, acteurs du secteur et avocats seront là pour informer, échanger et répondre aux interrogations des patrons, DSI, RSSI et personnel IT présents.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
15 octobre 2014, Rendez-vous à l’Intercontinental Paris Avenue Marceau
Sans gestion de risques, il est peu probable de mettre en œuvre une politique de sécurité efficace. C’est en sachant apprécier les risques encourus que l’on peut estimer les points sensibles à protéger et ceux moins importants ou vitaux qui nécessiteront moins d’attention : quelle recette pour une gestion optimisée du budget sécurité ?
CNIS Event fait également le point sur les menaces d’aujourd’hui et de demain. Des experts expliqueront quelles sont les menaces actuelles qui visent le système d’information, détailleront les vulnérabilités, d’aujourd’hui et de demain, comme les attaques potentielles. Ils approfondiront également la question en expliquant sur quoi elles portent mais surtout parleront de la manière dont les Responsables Sécurité pourraient se prémunir.
Comment rester conforme aux législations en vigueur en constante évolution ? Gestion de risques et de vulnérabilités ne sont pas suffisantes : quels indicateurs pour alerter l’entreprise qui risquerait de sortir du cadre légal ? Comment rester conforme ? Est-ce que les dernières tendances (Security as a Service, Big Data, Software Defined Security etc.) se sont transformées en solutions adaptées, abordable et aujourd’hui intégrables facilement ? Décryptage, conseils. Experts, acteurs du secteur et avocats seront là pour informer, échanger et répondre aux interrogations des patrons, DSI, RSSI et personnel IT présents.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
L’article signé Daniel Genkin, Itamar Pipman et Eran Tromer (Université de Tel Aviv) est intitulé Physical Side-Channel Key-Extraction Attacks on PCs . Il explique comment récupérer un flux de signaux émis par un micro-ordinateur afin d’en récupérer, avec succès, des clefs RSA 4096 bits et des ElGamal 3072 bits.
Le hack part d’une constatation très simple : le châssis des ordinateurs modernes se trouve à un potentiel flottant par rapport à la terre du réseau électrique. En mesurant la tension entre la terre et la masse, on récupère des fluctuations de niveau correspondant aux données traitées par le microprocesseur. La capture des données s’opère par simple analyse spectrale entre 0 et 2 MHz.
En pratique, il suffit de tirer un fil électrique en contact avec la carcasse de l’ordinateur. De prime abord, le procédé n’est pas d’une discrétion absolue. Mais les trois chercheurs font remarquer que le câble de garde d’une liaison Ethernet est également relié au châssis de l’appareil, et que la récupération d’informations peut alors s’opérer dans une armoire de brassage située à plusieurs étages de la machine-cible.
Ces mêmes informations sont également captées dans la bande des 0/200 kHz par simple rayonnement électromagnétique. Là, la réception du signal ne peut s’opérer que par le biais d’un capteur, une antenne (ou boucle d’induction) camouflée dans l’épaisseur d’un bureau si possible non métallique. Enfin, un dernier hack délivre ce même genre d’informations par simple mesure des appels de courant effectués sur la totalité des alimentations de la machine. Dans ce cas précis, cela oblige l’attaquant à insérer une résistance de faible valeur (0,2 à 0,5 Ohm) dans le retour de masse de l’appareil (entre le fil «gnd » de l’alimentation et le plan de masse du circuit imprimé) et d’enregistrer les variations de tension correspondantes aux appels de courant. La loi d’Ohm est dure, c’est la loi.
Cinq universitaires du Michigan, Branden Ghena, William Beyer, Allen Hillaker, Jonathan Pevarnek, et Alex Halderman, viennent de publier les résultats d’une recherche faisant l’objet d’une communication lors de Usenix 2014. En abandonnant la logique câblée et les réseaux physiques d’alimentation et de contrôle de processus, les réseaux de signalisation urbains (les feux rouges) sont vulnérables à une attaque genre « Die Hard 4 ».
Avec l’accroissement de la circulation dans les grandes villes, les infrastructures de contrôle du trafic ont dû faire face à des situations de plus en plus complexes, dépassant largement les simples systèmes à temporisation fixe d’autrefois. Sont apparues tout d’abord les boucles magnétiques, puis les boucle intégrant un calcul de densité de passage, puis (et c’est là le point le plus vulnérable selon les dires des chercheurs), les réseaux de commande de signalisation à réaction immédiate, capables non seulement de s’adapter aux pointes imprévues de circulation, mais également aux nécessités ponctuelles et exceptionnelles des services d’urgence (pompiers, police etc.). Ces réseaux utilisent principalement des systèmes de transmission sans fil situés dans la bande des 5,8/4,9 GHz et de 900 MHz. Précisons au passage que l’écoute, l’analyse, le spoofing des échanges radio sur 5 GHz ne nécessitent pas obligatoirement l’achat d’un SDR haut de gamme. Un simple routeur Wifi et quelques connaissances en radioélectronique suffisent généralement. En outre, précisent les chercheurs, les transmissions ne sont pas chiffrées et les mots de passe par défaut sont fréquemment utilisés. Et l’on entend presque la douce mélopée des Monty Python s’élever vers les cieux embrumés des grands embouteillages : « I like traffic lights, No matter where they’ve been, I like traffic lights, But only when they’re green »
Une autre approche, étudiée notamment par Cesare Cerrudo et visant directement les équipements de détection de trafic également pilotés par émetteurs radio, donne des résultats semblables. Soit l’on vise directement le système de signalisation, soit l’on cherche à tromper les centrales d’acquisition/régulation en spoofant les données émises par les capteurs. A l’exception de quelques plaisantins et des travaux d’universitaires, le risque d’attaque d’un tel réseau, même s’il est considéré comme une infrastructure Scada, demeure assez faible pour de multiples raisons techniques liées notamment à la portée et la couverture des émetteurs nécessaire à l’exploitation. Le meilleur moyen de réellement paralyser un réseau routier est encore de viser le centre de régulation lui-même plutôt que les capteurs et équipements de signalisation. Le réseau de capteurs ou de commandes des feux devient alors un simple point de pénétration.
Le Civil Aviation Safety Authority (CASA) Australien se prononce en faveur d’un assouplissement des consignes de sécurité visant à limiter l’usage des équipements électroniques dans les transports aériens.
Le document d’une trentaine de pages pourrait faire école auprès des autorités de régulation Européennes. Selon ce rapport, les agendas électroniques, tablettes, jeux vidéo et autres appareils du genre pourraient être utilisés durant toute la durée du vol, phases de décollage et d’atterrissage y comprises. Cette autorisation ne concerne toutefois pas les équipements de transmission voix ou données, qu’il s’agisse d’un talky-wally, d’un téléphone portable ou d’un émetteur Bluetooth/Wifi et assimilés.
Demeurent également interdits les objets électroniques d’une masse de un kg et plus qui risqueraient de se transformer en projectile en cas de turbulences. Une tablette, oui, un ordinateur portable et son super-pack batterie 40 heures d’autonomie, non. A moins de contraindre au port du casque lourd la totalité des passagers, stewards et hôtesses.
L’interdiction des électroniques spécifiquement destinées à transmettre des informations n’est pas franchement motivée par une crainte de perturbation pouvant entraîner un crash. Sur ce point, le Casa distingue deux types de brouillage : externe, risquant de gêner les signaux captés par les antennes situées sur le fuselage et les ailes de l’aéronef, et interne, provoqué par un phénomène d’induction pouvant affecter les bus de transmission et toute la câblerie électrique de l’appareil. Là encore, la fiabilité des protocoles utilisés, les précautions de blindage, la généralisation de l’usage de fibres optiques minimisent fortement les risques. Mais, précise le document de l’autorité Australienne, ces brouillages sont susceptibles de distraire l’équipage durant les phases délicates d’évolution de l’appareil. Ce qui explique que les gadgets électroniques faiblement rayonnants (du tamagochi à l’agenda électronique) soient tolérés en permanence, ce qui ne peut être le cas des téléphones cellulaires.
Chrome, 50 trous colmatés , dont un défaut ouvrant la voie à une attaque capable de contourner la sandbox (CVE-2014-3176, CVE-2014-3177), dont l’honneur de la découverte échoit à lokihardt@asrt. Lequel se voit récompensé par une prime au bug de 30 000$.
Le Washington Post publie un dossier très documenté sur les outils et prestataires de services spécialisés dans le tracking et la surveillance des usagers de téléphones cellulaires , ainsi que sur les clients gouvernementaux desdits outils et services.
Encore une porte dérobée dans des routeurs grand public nous apprend le blog de Trend Micro . Les coupables sont, cette fois, les équipements du Chinois Netcore, connus sous la marque Netis en Europe et Amérique du nord. Le trou de sécurité peut être exploité en udp via le port 53413
Synounlocker, sur Github, est un script python offert par les développeurs de F-Secure aux victimes du virus chiffreur Synolocker.