novembre, 2016

Il se passe toujours des choses étranges et impossibles à maîtriser dans l’immédiate proximité d’une antenne. Dans une étude intitulée « When CSI Meets Public WiFi : Inferring Your Mobile Phone Password via WiFi Signals », 7 universitaires Chinois et Etats-Uniens ont démontré qu’il était possible de lire à distance les code numériques échangés lors d’un payement en ligne.

En effet, lorsque l’usager d’un téléphone cellulaire tapote son numéro de carte de crédit, il perturbe fortement la manière dont le signal WiFi parvient sur le routeur ou hot spot auquel il est relié. Cette perturbation étant plus ou moins constante selon la position de la main au-dessus du clavier, les chercheurs ont pu établir une sorte de « cartographie des perturbations » en fonction du chiffre tapé. Comme ces transactions sont généralement protégées par un protocole de chiffrement, il est alors envisageable d’automatiser la collecte des numéros de carte de crédit et codes de sécurité associés.

Sans période d’apprentissage, le taux de fiabilité de reconnaissance friserait les 68 %, et pourrait être amélioré en écoutant les victimes sur une période plus longues (en espionnant leurs échanges de sms ou de messages instantanés par exemple).

Est-il possible d’imaginer une contremesure pour que de telles variations de signal ne soient plus signifiantes ? La réponse est non. Tout corps situé dans les zones de « champ proche » ou « zone intermédiaire » (dites également zones de Rayleigh et de Fresnel) perturbe le rayonnement électromagnétique dans un espace inférieur à une longueur d’onde… soit environ 13 cm en émission WiFi. Seule parade envisageable : utiliser une longue baguette de bois chaque fois que l’on souhaitera entrer un code confidentiel. Astuce qui aura beaucoup de mal à être appliquée sur certains smarphones à écrans tactiles et ne semblera réalisable qu’aux amoureux de cuisine orientale et autres joueurs de fléchettes.

La mise en œuvre de cette attaque n’est pourtant pas très simple. Entre la délicate menotte d’une demoiselle des postes et les battoirs d’un catcheur professionnel, entre le masque créé par une main de gaucher ou l’écran de la main d’un droitier, entre le pratiquant de la « frappe gendarme » monodactyle et le touché glenngouldien d’un spécialiste de la dactylographie « deux pouces », il existe une multitude de variations possibles du champ proche, donc une multitude de signatures radio-biométriques. Il n’empêche que les études reposant sur les variations de champ se multiplient et pourraient trouver des débouchés pratiques avant longtemps.

Selon LeakSource, 412 millions de comptes (email, nom, prénom et mot de passe) auraient été récupérés à la suite d’un hack par injection de fichier sur les serveurs de ce « site de rencontre et d’échanges » à caractère libertin. Une telle masse d’information n’aurait pu être rendue possible sans les efforts soutenus des administrateurs de cette formidable base de données, lesquels administrateurs ne semblaient pas effacer de leurs fichiers les identités numériques des personnes s’étant désabonnées. Du coup, 20 ans d’historique et de libertinage (quasiment deux générations) se sont retrouvées dans la nature.

Bien que ces serveurs soient essentiellement situés aux USA, LeakSource révèle que le mot de passe le plus utilisé arrivant en 32ème position est « Azerty » et que « France » est classé 34ème. Plus de 11 000 personnes prénommées Daniel ont utilisé leur prénom en guise de Sésame, légèrement devant quelques 11 000 autres abonnés qui signent très modestement « Superman ». On peut estimer (ou espérer) que les abonnés ayant utilisé des expressions très poétiques en guise de mot de passe (14, 17, 27 et 39ème place), n’utilisent pas les mêmes pour accéder à leur compte en banque… et c’est là une bonne pratique. Sans grande surprise, les suites numériques (123456), alphabétiques (qwerty) arrivent en tête des statistiques.

Une part importante de ces identifiants ne sont pas chiffrés, une faible proportion l’étant avec une fonction SHA1, techniquement dépassée. Aucun salage ne semble avoir été appliqué.

A titre de comparaison, LeakSource rappelle qu’un réseau social /plateforme de blog tel que MySpace ne compte que 360 millions de comptes. Comme quoi, l’amour, même numérique, est plus fort que le désir égotiste de publication.

L’élection de Donald Trump aurait provoqué le doublement des inscriptions au service de messagerie chiffrée Helvétique ProtonMail , claironne Andy Yen. Selon le co-fondateur de ce service, le fait que le futur locataire de la Maison Blanche devienne également le Big Boss de la NSA a soudainement provoqué un sursaut de prudence cyberépistolaire dans le monde

Signal serait toujours la messagerie instantanée la plus sécurisées du moment. Une nouvelle analyse technique des mécanismes de chiffrement conduite par 3 universitaires de Grande Bretagne, d’Australie et du Canada, affirme « qu’aucune faille majeur n’a pu être découverte à ce jour »