novembre 23rd, 2016

Ordinateurs, tablettes, smartphones, lecteurs multimédias connectés, périphériques domotiques sans-fil ou « cloudifiés », drones… Gary Davis de McAfee dresse la liste des présents cyber-vulnérables. Plutôt que de voir, sous le sapin, une caméra, un téléphone, un ordinateur, il imagine un Mirai empaqueté dans du papier doré, un trou ASLR CVE-2016-6689 mélangé avec des truffes au chocolat, un héritier de JerusalemB éclairé aux bougies, une dinde truffée au Ransomware. Et de recommander illico les bonnes pratiques habituelles telles que le changement de mot de passe par défaut, le renforcement du réseau Wifi, l’usage de codes PIN robustes, autant de conseils qui ne sont que très rarement écoutés.

Plutôt que de craindre la faille cachée dans le présent, tel Ulysse dans son cheval de bois, ne serait-il pas plus simple de dire les choses telles qu’elle sont. « Cette année, je t’offre un « sploit » d’enfer emballé dans un système Android » ou « je pense que ce CVE manque à ta collection, le voilà amoureusement niché au sein d’un quad-core 8 Go de RAM /256 de SSD ». Voir « Je connais ta passion pour les backdoor, en voilà une collection cachée dans ce bouquet de caméras ». En accompagnant le tout avec la dernière édition d’un Kali câlin par exemple. L’on y gagnerait en sensibilisation à la sécurité informatique ce qu’y perdrait le sensationnalisme anxiogène des vendeurs de sécurité. Car Noël, c’est aussi la fête des bugs.

Bruce Schneier s’amuse des questions parfois farfelues posées par les organismes de sondage en général, et à propos d’une étude Harris en particulier, étude qui établirait que les citoyens US, dans 39 % des cas, seraient prêts à sacrifier une année entière de leur vie sexuelle en échange d’une véritable sécurité numérique, une protection efficace de leur cyber-identité. Pis encore, 41 % d’entre eux abandonneraient volontiers leurs mets préférés tout un mois durant, plutôt que de devoir souffrir le long calvaire des changements de mots de passe en cas de compromission d’un compte.

Ce sont là, estime Schneier, des questions totalement stupides, dénuées de sens, posées uniquement dans le but d’interpeller le lecteur.

Et si le Maître à Penser de la sécurité bien tempérée se trompait ? Car, aussi farfelues que soient ces questions, des personnes y ont répondu sérieusement. Sur la base de ces réponses, l’on pourrait alors en déduire quelques hypothèses scientifiquement étayées. Par exemple que 41 % des personnes interrogées n’ont jamais eu la possibilité de déguster un tournedos Rossini, une cervelle de Canut ou un tablier de sapeur. La soif de sécurité serait-elle le sous-produit du hamburgers-ketchup-root beer, que l’on troquerait sans remord contre un audit sauce ISO2700x ? Il est donc urgent de vérifier cette hypothèse en établissant un programme d’envergure nationale, qui placerait un descendant de Vatel, un élève d’Auguste Escoffier, une armée de disciples de Brillat-Savavin à la tête des cantines scolaires, restaurants d’entreprise et autres gargotes, histoire de vérifier si la LCEN peut résister à un tel test d’intrusion à l’échelon national. La sécurité est un état d’esprit plus qu’une recette dit-on. Corolaire, toute recette, y compris celle de la tarte Tatin, pourrait s’apparenter à un exploit à la fois culinaire et binaire.

39% des sondés auraient également, cela ne fait aucun doute, plus de 80 printemps, âge, dit-on, un peu moins propice aux transports en commun (à deux ou plus vers Cythère) qu’à la recherche d’une cyberquiétude. Ce que l’Abbé de Lattaignant décrivait ainsi

Et que pour le jour où le mot

Viendra seul hélas sans la chose

Il faut se réserver le mot

Pour se consoler de la chose

Vous reprendrez bien un peu de firewall ?

A chaque jour son Troyen Android. Celui-ci a été détecté par l’équipe de Kryptowire et concerne plusieurs modèles de terminaux mobiles utilisant un firmware d’origine Shanghai Adups Technology.

L’envoi discret d’informations contenues dans ces téléphones ne sert, affirme le constructeur, qu’à établir des métriques et récolter des données destinées à l’amélioration du support client. Au nombre de ces données récoltées pour le bien-être des usagers, Kryptowire a compté les identifiant Imsi et IMEI, le contenu des SMS, l’historique des appels, le carnet d’adresse local.

La semaine passée, ont été mises à l’index les marques de téléphone BLU, Infinix, Doogee, Leagoo, IKU, Beeline et Xolo, toutes d’origine Chinoise, toutes visant le marché d’entrée de gamme, toutes utilisant un mécanisme de mise à jour fonctionnant avec des droits « root » et transmettant ses informations sans le moindre chiffrement. Attaque MIM garantie à court terme. La vulnérabilité a été découverte et décrite avec force détails par l’équipe d’Anubis Network.

Les chercheurs estiment que sont ainsi vulnérables près de 55 modèles de terminaux mobiles, vendus sous plus de 7 ou 8 marques soit un total de 2,8 millions d’appareil.

Non, ce n’est pas Mirai, alias « le virus Dyn », mais une nouvelle vulnérabilité immatriculée. CVE-2016-9155. Elle affecte les cameras Siemens/Vanderbilt et exploite (surprise) une vulnérabilité ouvrant accès au serveur Web intégré. Souriez, vous êtes p0wné

Qualcomm promet une prime au bug de 15 000 dollars (via Hackerone) à tout chasseur de faille découvrant une inconsistance dans les processeurs de la famille Snapdragon