août, 2015

Le Professeur Yu Yu, de l’Université Jiao Tong de Shanghai, présentait à la Black Hat 2015 une « side attack » visant les mécanismes de chiffrement AES128 qui protègent les communications 3G et 4G. La mesure des appels de courant plus efficace que les mathématiques

De 50 à 100 000 dollars : le plafond de la prime au bug de Microsoft vient d’être relevé , et le spectre des domaines de recherche élargi, incluant notamment les problèmes d’authentification sur les services en ligne ainsi que sur RemoteApp (service Azure)

Google entame le long chemin qui conduira au colmatage (partiel) de la faille Stagefright . Dans un premier temps, la famille Nexus sera corrigée , et l’éditeur encouragera les OEM à déployer ce correctif. Samsung annonce, de son côté, une mise à jour pour ses appareils récents

La cellule sécurité de Dell publie une étude dense et exhaustive sur les activités et capacités du Threat Group-3390, ces « techno-mercenaires » Chinois spécialisés dans le cyber-espionnage et le déploiement d’APT.

Le salage des condensats ne résout pas tout : si le reste de l’infrastructure de chiffrement ne suit pas et si la chaîne d’authentification n’est pas renforcée par certains outils explique Jeff Jarmoc dans un billet intitulé « Enough With the Salts: Updates on Secure Password Schemes »

Bugcrowd, entreprise spécialisée dans les tests de pénétration, vient de publier une analyse du marché des « bug bounty » : quelle genre de faille rapporte le plus aux chercheurs en sécurité, quelles sont les plus fréquentes

Ils ont crû en « terre-cuite », les hackers Chinois à l’origine d’une déferlante d’APT. Terracotta est le nom attribué par RSA à un service VPN . Un VPN apprécié par les groupes d’espionnage industriels spécialisés dans la diffusion des attaques APT, visant notamment Anthem et l’OPM expliquent les quelques 30 pages d’analyse .

Stephan Esser révèle l’existence d’une faille affectant OS X 10.10 (Yosemite) pouvant contribuer à une attaque en escalade de privilège. Le trou est également présent dans OS X 10.10.4 et la préversion de OS X 10.10.5. L’autre préversion OS X 10.11 (El Capitan) est déjà corrigée.

Le Troyen bancaire Dridex ne cesse de faire parler de lui, depuis des mois. Et plus récemment sur le blog de McAfee et en français sous la plume de David Grout et dans une analyse de Sylvain Sarméjeanne de Lexsi.

Le hack des Jeeps par Charlie Miller n’a pas fini de faire couler de l’octet. Peu de temps après l’annonce du recours collectif visant le constructeur Chrysler, à peine annoncé le rappel de 1,4 million de véhicules, que déjà fusent quelques remarques laissant entendre que si hack il y a eu, c’était en raison de failles découvertes au sein du système d’exploitation de l’ordinateur de bord. Or, le système d’exploitation n’est pas, on s’en doute, de conception Chrysler, mais d’origine BlackBerry. C’est le fameux QNX que l’entreprise a racheté en 2010, et qui possédait déjà une solide réputation dans le domaine des OS embarqués. Il fut, notamment, le moteur de la dernière version de DesqviewX de Quarterdeck et le premier « full Posix » commercial d’importance.

Les rumeurs en question ont été publiées sur Seeking Alpha , un blog spécialisé dans les analyses financières et non dans l’expertise des réseaux embarqués. De manière lapidaire, l’auteur se demande si, en cas de responsabilité prouvée de la part de Blackberry, l’avenir de l’éditeur ne serait pas compromis.

Ce à quoi Blackberry réplique par un autre billet de blog qui explique que « si erreur logicielle il y a, elle ne peut concerner une faille noyau, mais bel et bien une erreur d’intégration de la part de Chrysler ».

Erreur d’intégration ou problèmes d’architecture ? Il en va des automobiles comme des avions et des centrales nucléaires (ou autres usines Scada) : en théorie, le processus vital doit être physiquement isolé des autres systèmes reliés à des brins Wan ou assimilés. En théorie seulement. Le doute subsiste, par exemple, après que Chris Roberts ait affirmé en avril dernier qu’il était possible de modifier l’altitude d’un avion de ligne en contournant les défenses du réseau de « loisirs en vol ». Le doute subsiste moins lorsque qu’avec un peu de google hacking, l’on découvre bon nombre de signatures d’automates programmables ou d’ordinateurs que l’on sait spécialisés dans le contrôle de processus industriels. Croiser des automates Scada sur le bas-côté des autoroutes de l’information n’est pas exceptionnel. Le doute n’existe plus lorsque le système « d’infotainement » d’un véhicule est directement couplé aux actuateurs (direction, accélération etc.). Quand bien même BB10 serait perclus de failles que cela n’expliquerait toujours pas pour quelle raison le système de navigation/informations relié à Internet ne serait pas isolé physiquement de l’ordinateur de bord chargé de l’aspect mécanique. L’on peut invoquer la nécessité d’enrichir les données traitées par la console de navigation, mais il y a une marge entre la simple lecture d’un CAN qui fournit une indication de température, de consommation ou de vitesse, et l’écriture sur ce même bus, donc une rétroaction dans une boucle de contrôle. Et ergoter sur un possible buffer overflow ou vulnérabilité XSS dans QNX, c’est tenter d’attirer l’attention sur un point de détail technique alors que le problème est architectural.