août, 2015

Le « faux email du patron », de plus en plus apprécié

Posté on 31 Août 2015 at 12:40

La technique est tellement simple et les gains si importants que ce genre d’escroquerie se répand comme une traînée de poudre, à tel point que le FBI estime les pertes mondiales occasionnées par ces escroqueries à plus de 1,2 milliard de dollars pour l’année écoulée.

Ces opérations de détournement (les EAC, pour E-mail Account Compromise, et les BEC, pour Business E-mail Compromise) reposent toutes deux sur l’usurpation d’identité d’un dirigeant d’entreprise. Soit l’adresse est compromise au niveau même de l’infrastructure, ce qui demande soit des complicités internes, soit des moyens techniques importants, soit, dans le cas des EAC, une adresse email spoofée est forgée, très proche de celle du patron ou d’un membre du comité de direction.

Pour ce faire, l’attaquant doit récupérer un courriel de la victime, et créer une nouvelle boîte à lettres en ajoutant dans l’alias une lettre, un signe de séparation, un « presque rien » qui donnera l’illusion que l’échange épistolaire se fait avec la bonne personne. Une technique de « typosquatting » déjà très en vogue dans le domaine des pages de phishing.

L’étape suivante, constituée de 10 % d’échanges électroniques et de 90 % d’ingénierie sociale, cible généralement un trésorier, un comptable, un responsable des achats ayant pouvoir et signature sur le compte en banque de l’entreprise. Fausses factures, transferts de fonds destinés à une pseudo-filiale ou entreprise prétendument associée, OPA hostile… tous les prétextes plausibles sont alors utilisés. Dès que le transfert est effectué (généralement au fin-fond d’une province Chinoise ou d’un village d’Ouzbékistan), l’intermédiaire s’évapore. L’éloignement, l’extraterritorialité, la corruption des fonctionnaires, l’inertie de l’administration étrangère fait le reste et dissuade généralement les victimes de toute tentative de poursuite. Parfois, l’argent est récupéré dans le pays même de l’entreprise escroquée par des mules chargées de servir de fusible et de sas d’isolation en cas d’enquête poussée. Et ce genre de piège pourtant grossier, que pourrait dévoiler un simple protocole de sécurité utilisant des mécanismes de confirmation et d’identification/authentification, prend dans sa nasse aussi bien des petites entreprises que des sociétés internationales. Ubiquity, le fabricant de routeurs et points d’accès WiFi, avouait dans son rapport boursier du mois dernier s’être fait dérober près de 46 millions de dollars de cette manière.

Sur le seul territoire US, les statistiques du FBI portant sur ces pratiques situent à près de 750 millions de dollars les pertes cumulées depuis octobre 2013 et le mois d’août de cette année.

Katrina, un ouragan de flicage

Posté on 31 Août 2015 at 12:30

De source bien informée et généralement digne de foi, l’ouragan Katrina qui a ravagé le sud-est des USA et tué plus de 1800 personnes en 2005 aurait été amorcé par de dangereux terroristes, semblent indiquer les récentes réactions des « agences à trois lettres ». C’est ce que dénonce Muckrock, une organisation spécialisée dans l’assistance aux procédures de divulgation d’information déclassifiées et soumises au « Freedom of Information Act ».

Si, durant les premiers temps suivant la catastrophe, le FBI se devait d’envoyer d’importants renforts en hommes et en matériel pour suppléer aux infrastructures de polices locales totalement dévastées, on comprend moins les raisons pour lesquelles ce même FBI a maintenu une présence importante des mois (des années) après le passage de l’ouragan. Présence qui s’est traduite par un foisonnement de ces fameuses « fausses cellules GSM » chargées d’intercepter les communications des citoyens. La raison même pour laquelle l’Etat Fédéral a décidé de déployer ces cellules (nom de code StingRay) est difficile à justifier. Au plus fort de leurs déploiements, rares étaient les citoyens capables de posséder encore un abonnement cellulaire, voir même de recharger leurs appareils téléphoniques, puisque la quasi-totalité du réseau électrique était hors service.

En France, de telles cellules fantôme peuvent-elles exister ?

Un « prix d’ami » pour les Allemands sur les logiciels NSA

Posté on 31 Août 2015 at 12:01

L’affaire des intrications entre les services de renseignement intérieur et extérieur Allemands et la NSA connaît un nouveau rebondissement. Le journal Die Zeit publie le contrat signé entre la NSA et le BfV, service de renseignement intérieur de l’Administration Fédérale Germanique, contrat stipulant les conditions d’usage de XKeyscore, logiciel de filtrage et d’extraction de données utilisant le réseau d’écoute de la NSA, et notamment les activités des réseaux sociaux. Schématiquement, les services d’espionnage US « offrent » leur logiciel sous deux conditions : les agents Etats-Uniens ont un droit de regard sur les activités des citoyens Allemands sans véritable limite, et les barbouzes Allemandes s’engagent à ne pas fliquer les ressortissants du « grand large ». Ce qui n’a pas toujours été le cas d’un côté comme de l’autre. C’est le BND, service de renseignement extérieur, qui sera chargé d’apprendre au BfV comment se servir de cette usine à cyber-flicage. Et c’est précisément ce qui pose problème aux défenseurs de la démocratie d’Outre Rhin. Car XKeyscore, c’est de la pêche au chalut en matière de collecte d’informations à caractère personnel. Une chose qui, constitutionnellement, est strictement interdite au BfV. Un BfV qui passe outre régulièrement, ainsi le prouvait très récemment le journal NetzPolitik. Ce manquement grave au droit Fédéral avait eu pour conséquence la mise en examen des journalistes ayant révélé l’affaire, suivie de l’abandon des charges en raison de la tournure politique que prenait l’affaire : il y allait du siège de la Chancelière Merkel.

Au rythme où vont les choses, la compromission occulte des services de renseignement des principaux pays de la Communauté Européenne (Grande Bretagne, Allemagne, France …) s’imprègne d’un parfum de scandale, prouvant qu’il semble exister une forme d’autorité supranationale US, coercitive et qui défie en permanence les principes démocratiques du vieux continent.

En Bref …

Posté on 28 Août 2015 at 1:36

Attaque XSS contre Paypal possible ! Explique le chercheur Egyptien Ebrahim Hegazy, alias Zigoo0. Le détournement de la transaction lors de la confirmation de payement offrirait à l’attaquant la possibilité de mettre la main sur le montant qu’il souhaite

En Bref …

Posté on 28 Août 2015 at 1:29

Les fuites de données : ni leur nombre, ni leur volume n’est en augmentation prouve une analyse de Benjamin Edwards, Steven Hofmeyr et Stephanie Forrest , analyse publiée à l’occasion de Weis 2015. La médiatisation, en revanche, est plus importante que par le passé. Enfin, en Amérique du Nord… car en Europe, c’est une autre histoire

En Bref …

Posté on 28 Août 2015 at 1:25

Cyphort, vendeur en équipements de sécurité, dénonce les campagnes de « malvertising », ces publicités qui redirigent les internautes vers des sites compromis. Ces attaques seraient en croissance de plus de 325% au cours de 2014. Les publicitaires US dépriment en estimant les pertes induites à 6 milliards de $ en 2015

Un « Hum » dubitatif pour les idées de Verizon

Posté on 28 Août 2015 at 12:56

Hum, explique le communiqué de Verizon (à la fois opérateur et vendeur de sécurité) n’est rien d’autre qu’une extension sans fil Bluetooth et GSM connectée à la prise de diagnostic ODB2 de tout véhicule fabriqué après les années 2000. Une semaine à peine après les hacks spectaculaires de plusieurs véhicules, dont au moins un utilise précisément une « extension » sans fil de la prise ODB, la pertinence de cette annonce en laissera plus d’un songeur.

Le but de Hum est bien entendu de vendre du service à des véhicules déjà anciens qui ne bénéficient pas encore de cette « connectivité permanente » des modèles récents qui conversent avec les réseaux de concessionnaires ou de dépanneurs. Grâce à cette interface, chaque usager, même d’un véhicule d’occasion, peut consulter en temps réel l’état de fonctionnement de son automobile et, selon le contrat de services, être assuré qu’un intervenant sera prévenu immédiatement en cas de panne. Ford modèle T mis à part.

Un garagiste, mais également n’importe quelle personne ayant pu soit casser le chiffrement des échanges ODB que n’aura pas manqué d’ajouter Verizon sur les dialogues du CAN, soit s’intéressant à l’émission de métadonnées qui, elles, ne seront jamais protégées. Flicage sur les fréquences de passage, les itinéraires, les consommations moyennes, les habitudes de fréquentation de telle ou telle station-service, Verizon, si son projet rencontre un peu de succès, pourrait devenir possesseur d’un formidable tas d’or constitué d’informations passionnantes tant pour les fabricants d’automobiles, les compagnies d’assurance, les responsables d’infrastructures routières ou les réseaux de distribution de carburant. Le plus intéressant, dans cette histoire, c’est que les automobilistes fliqués le seront sur la base d’un volontariat payant, aux environs de 15 dollars par mois. Le nombre de voitures susceptibles d’être équipées, estime l’opérateur, devrait friser les 150 millions.

Transformer de vieux véhicules en jouets de la vague IoT passionnera également quelques générations de hackers.

Tor est dangereux, par Odin !

Posté on 27 Août 2015 at 12:37

Tor, c’est diablerie ! A n’en pas douter si l’on se réfère à l’un des derniers grimoires de la X-Force d’IBM. Le parchemin compte pas moins de 108 occurrences du nom du réseau chiffré, et ses propos visent à associer l’outil et l’usage peu glorieux que certains en font. Ergo, Tor diabolicus est, car il camoufle des activités illicites dignes de fieffés malandrins. Une fois de plus, la X-Force tend à stigmatiser l’indélicate valetaille des gens de maison qui achètera moultes armes à feu, échantillons d’herboristerie d’une richesse hallucinante et images de damoiselles à la baignade ne portant ni chausses, ni henin, ni guimpe.
Jarnicoton ! Encore l’employé indélicat, cet ennemi intérieur plus retord que les Huns d’Attila, mais plus simple à épingler par la prévôté et gents d’arme qu’un véritable truand de grands cyber-chemins. A coup sûr bien plus coupable, les ordalies en décideront. Sage et pieu conseil est alors donné aux seigneuries du comput et de la sapience, leur suggérant peut-être de préférer les tunnels chiffrés vendus par quelque franc-amy de la X-Force, livrés en boistes bleues contre deniers sonnants et trébuchants.

En pays de grande truanderie, Tor est aussy cloué au pilori. Maistres et servants de la grande Agora, place de marché libre de toute gabelle, octroy, dime ou interdits, ont pris la décision de suspendre leur commerce apprend-on sur le forum de lange angloise Reddit. Quelque astronome ou druide barbu des Universités de Massachusetts et du Quatar, ont, lors de la grande réunion occulte Usenix, enseigné comment deviner le contenu des échanges par mesure d’empreinte, comme l’indiquaient tantôt les moines-copistes de CNIS Mag fin juillet dernier. Tire-laines et coupe-jarrets en souillent leur hauts-de-chausse tellement grande est leur terreur de se faire pincer par le guet.

L’on attend donc que la grande fraternité des compagnons-tisseurs-de-code répare cet accroc et parviennent à redonner le goût la soupe à l’Oignon à tous, maistres et valets, honnêtes scribes conseillés par RSF et habitants de la cour des miracles.

Skycure, la sécurité qui a du mal à comprendre

Posté on 26 Août 2015 at 1:14

Parfois, certains professionnels de la sécurité auraient tendance à faire apparaître des réalités qui les arrangeraient et ainsi de faire passer des risques pour des menaces réelles, des failles inexploitables pour un « bug du siècle » …
C’est le cas cette semaine de Skycure, un « leader in mobile threat defense », qui signe un communiqué de presse établissant un classement des lieux touristiques les plus risqués pour les usagers des liaisons Wifi. Par ordre de dangerosité Time Square, Notre Dame de Paris, Disneyland Marne la Vallée, le parc du Golden Gate à S.F., Ocean Park à Hong Kong et le Strip de Las Vegas. Parmi les autres lieux de perdition sans fil, l’on retrouve la chaussée des célébrités d’Hollywood ou la basilique Saint Pierre de Rome. Regardes, fiston, s’il n’y a pas un wardriver caché derrière le monsieur tout en blanc ou un sectateur d’Aircrack déguisé en Elvis Presley.

De prime abord,l’on serait plutôt tenté de saluer la pointe d’humour dramatique qui pimente ledit communiqué de presse, et imaginer des hordes de « voleurs d’information » aussi agiles et peu scrupuleux que les pickpockets qui arpentent les alentours des grands monuments Parisiens.
Mais il faut bien admettre qu’une nuit par an au moins, la proximité de certains des lieux énoncés par SkyCure est risquée pour les porteurs de téléphone et d’ordinateurs « wifisés ». Disneyland Paris (ou l’école du Cirque Fratellini) vers la mi-juin, le Strip de Las Vegas entre la fin juillet et le début août, les bords du lac Léman mi-mars, les canaux d’Amsterdam fin-mai… Statistiquement, les chances de voir le terminal d’une innocente victime confondue avec les points d’entrée d’un « flag » de CTF sont assez élevées.

Les constructeurs automobiles incapables d’affronter les failles de sécurité

Posté on 25 Août 2015 at 1:08

Dans un article au vitriol, Cory Doctorow, le fondateur de BoingBoing explique les raisons qui, selon lui, font des automobiles modernes de véritables nids de bugs. Il faut avouer que les dernières conférences Black Hat/DefCon/Usenix ont été riches en détournements et autres hacks visant la sacro-sainte bagnole. Comment se fait-il que plus d’une centaine de véhicules différents puisse, du jour au lendemain, s’avérer vulnérable à des intrusions d’une simplicité déconcertante ? L’attaque de Samy Kamkar, par exemple, repose en grande partie sur la largeur de bande proprement inacceptable des récepteurs radio et utilisée par les systèmes d’ouverture de certaines automobiles. Une attaque Man in the middle strictement identique avait fait l’objet de publications il y a plus de 5 ans à l’occasion d’une autre Black Hat Conference. Certes, la victime d’alors était une porte de garage, mais cela excuse encore moins les constructeurs de véhicules.

Cette situation, estime Doctorow, est la conséquence de l’attitude irresponsable desdits constructeurs, ancrés sur une position indéfendable : une automobile est une somme de propriétés intellectuelles, et s’y intéresser de près est une violation manifeste de ces droits. Et de rappeler la réaction violente de Volkswagen envers Flavio Garcia, lui interdisant de publier quoi que ce soit sur le coup et en le condamnant aux dépends. Il faut admettre qu’à la lecture de l’étude en question, Volkswagen et 25 autres de ses concurrents n’avaient pas de quoi pavoiser. L’on comprend d’autant mieux cette préférence pour la « sécurité par l’obscurantisme », quitte à ce que l’utilisateur final soit lésé… l’automobiliste pèsera toujours moins lourd qu’une image de marque égratignée. Le spectre de Ralf Nader, encore et toujours, et surtout la totale incapacité de ces industriels à analyser les règles sociétales en vigueur dans la sphère informatique, malgré une utilisation croissante d’outils provenant de ce monde. « Ce modèle est aussi détestable que celui mis en place par Oracle et Cisco » dit en substance Doctorow. En substance, car la prose qu’il emploie est très légèrement plus imagée.

Tout ce qui est excessif est insignifiant, et c’est peut-être là le seul reproche que l’on puisse adresser au journaliste Canadien. Mais les conclusions de son analyse ne font aucun doute : une profession, pis encore, une industrie toute entière tente de cacher la poussière sous le tapis, et ne corrige qu’au coup par coup ses erreurs lorsqu’une publication est sur le point d’inquiéter sa clientèle. Faudra-t-il attendre de véritables accidents corporels provoqués par quelque organisation mafieuse (contre lesquelles les armées d’avocats ne pourront rien) pour que l’Anssi, ou autre organisme d’Etat, exige que les marchés d’Etat soient inféodés à une procédure d’audit des systèmes numériques embarqués ? Ou pour que ces mêmes industriels apportent autant de soin à leurs ordinateurs de bord qu’ils ne le font déjà pour leurs constructions mécaniques ? Il a fallu près de 15 ans pour que le secteur informatique fasse de la sécurité un élément constitutif de ses processus de fabrication, et encore est-on loin d’une situation généralement satisfaisante. Si le secteur automobile met autant de temps à digérer l’intégration numérique, les accidents de la route devront peut-être autant à cette négligence que l’alcool et le non-respect du code.

Publicité

MORE_POSTS

Archives

août 2015
lun mar mer jeu ven sam dim
« Juil   Sep »
 12
3456789
10111213141516
17181920212223
24252627282930
31