mars, 2017

Vol d’identités : Yahoo ! savait !

Posté on 09 Mar 2017 at 3:17

Surpris par les multiples hacks qui ont provoqué une fuite de 500 millions ou d’un milliard d’identités ? Pas un seul instant, révèle le bilan annuel de Yahoo. L’équipe de consultants chargée d’analyser les différents « incidents de sécurité » révèle que les responsables sécurité de l’entreprise avaient connaissance des compromissions successives de 2014, 2015 et 2016, ainsi que de la similitude des attaques via des cookies forgés ( the Company’s information security team had contemporaneous knowledge of the 2014 compromise of user accounts, as well as incidents by the same attacker involving cookie forging in 2015 and 2016). Pis encore, fin 2014, il est certain que la haute direction du groupe était au courant d’une attaque « orchestrée par un état-nation » et ayant utilisé les systèmes de gestion et d’administration des comptes des utilisateurs. Plusieurs passages laissent par ailleurs sous-entendre qu’il y aurait eu des fuites techniques internes ayant permis aux attaquants de fabriquer des exploits « sur mesure ». De là à oser imaginer que cette omerta ait été organisée dans le seul but de ne pas déprécier la valeur de Yahoo aux yeux de son futur repreneur Verizon, il n’y a qu’un pas.

C’est Ron Bell, Conseiller Général et Secrétaire Général du groupe qui a servi de fusible, soulevant l’émotion et l’indignation de bon nombre de collaborateurs. Mellissa Meyer, toujours en poste, et dont les émoluments s’élèvent à près d’un million de dollars chaque année, sacrifie avec une abnégation toute saint-sulpicienne son bonus de fin d’année. Trois jours plus tard, une partie des données Yahoo étaient disponibles en téléchargement sur Pastebin, canal officiel de divulgation des Etats-Nation qui s’adonnent au pillage de comptes de particuliers.

La clef USB qui tue en silence

Posté on 06 Mar 2017 at 9:07

Vous avez aimé le canard en plastique et la tortue réseau ? vous allez adorer Bash le Lapin, la toute dernière production de Hack5, issue des méninges démoniaques de Daren Kitchen.

On connaissait déjà l’USB rubber ducky, outil d’attaque en « rejoue » et injection, capable de faire croire au système d’exploitation à un simple branchement de clavier ou souris (identifiant HID). On avait tous entendu parler du Pineapple, l’ananas sans fil, outil intégré d’audit et pentest de réseau Wifi. Cette terrible famille comptait également la tortue réseau, une clef USB destinée à établir discrètement un accès distant sur une machine, la transformant du coup en espion réseau et point d’attaque « man in the middle ».

Bash Bunny est d’une toute autre dimension. C’est un ordinateur linux sur clef usb, totalement orienté pentesting, c’est donc une plateforme d’attaque qui ne nécessite aucun driver, simule une carte gigabit, un disque mémoire-flash, un port série et, bien entendu un clavier -héritage génétique du Canard en caoutchouc déjà mentionné. Injection de données, exécution de scripts, extraction de fichiers, installation de portes dérobées, ce lapin « ne nécessite que 7 secondes entre son branchement et le p0wn de la machine cible » affirment ses concepteurs.

Bash Bunny est assez proche, dans l’esprit, à USB Armory qu’avait développé Andrea Barissani et qui vient très récemment de rejoindre le giron de F-Secure.

Il va sans dire que l’usage de ces outils en dehors du cadre strict d’un contrat de test de pénétration ou à des fins strictement personnelles fait encourir à son propriétaire les foudres des LCEN, Loppsi et autres codicilles de la LPM.

Bug à robot, Asimov au poteau

Posté on 06 Mar 2017 at 8:57

Il est rédigé pour répandre une sainte frousse, le rapport Hacking Robots Before Skynet rédigé par Cesar Cerrudo et Lucas Apas. La Tweetosphère toute entière s’est soudainement couverte de Robby et de Benders devenus fous, et les allusions aux trois lois de la robotique se multipliaient comme affaires judiciaires durant une campagne électorale.

Il faut reconnaître que les deux chercheurs d’IOActive ont imaginé les pires des scenarii : distributeurs de denrées ou de boisson cherchant à empoisonner leurs usagers, animaux domestiques torturés par de petits automates passés du côté obscur de la force, appareils électroménagers voulant à tous prix électrocuter le cuisinier… voilà qui rappelle les portes à péage et les cafetières agressives des romans de Philip K. Dick. Pour Cerrudo et Apas, ce n’est pas là un roman de SF. Plusieurs modèles de robots fabriqués par SoftBank Robotics, Utech, Robotis, Universal Robots, Rething Robotics et Asratec présentent des défauts exploitables pouvant se solder au mieux par un simple disfonctionnement, au pire par une prise de contrôle à distance ou un détournement de son usage premier. Les mêmes causes produisant les mêmes effets, l’on croirait lire un rapport d’analyse vieux de 15 ou 20 ans, énumérant les problèmes rencontrés dans les routeurs WiFi ou équipements IoT divers : problèmes d’authentification, communications non sécurisées, faiblesses dans les niveaux de sécurité (équivalent d’un accès «root » sans vérification d’identité renforcée), niveau de chiffrement insuffisant, fuites de données à caractère personnel, configuration par défaut permissives, bibliothèques de fonction ou environnement de programmation intégrant des vulnérabilités connues… rien de franchement nouveau, mais rien de franchement corrigé non plus. Les mêmes erreurs sont commises, par des intégrateurs et industriels favorisant plus le « time to market » que la sécurité des usagers et clients.

Quelles sont les organes les plus vulnérables ? La liste dressée par Cerrudo est kilométrique. Les caméras, les microphones qui, détournés, deviennent des espions discrets. Les accès réseau, également. Mais aussi l’environnement et l’infrastructure étendue propre à chaque robot : les services cloud auxquels il se connecte, les portails facilitant son administration via Internet etc. Passons également sur les risques évidents de piratage des applications et appareils de prise de contrôle à distance (via attaque radio genre « evil twin » ou en infectant le logiciel de télécommande), n’oublions pas non plus les toujours possibles modification de firmware, les attaques en « fuzzing » (les robots utilisent souvent des systèmes d’exploitation communs issus de la sphère open source), sans oublier les « fausses mises à jour » et autres intrusions utilisant des canaux légitimes, voir le viol d’un des nombreux ports de communication. Car un robot, c’est souvent un concentré de gpio… donc de défauts dans cuirasse mi-matérielle, mi-logicielle.

« Tant que ces failles affectent des produits grand public, les risques sont relativement limités », expliquent en substance les deux chercheurs. Mais des robots, plus puissants, plus autonomes encore, on en rencontre dans les environnements industriels, les armées du monde entier travaillent activement sur leur développement, les services hospitaliers les généralisent, le monde des affaires commence à s’y habituer. Les robots sont partout et constituent autant de points de vulnérabilité si l’on ne porte pas dès aujourd’hui une attention particulière à leur sécurisation informatique. Un appel dans la droite ligne du discours du groupe I Am the Cavalry.

Hack lumineux : Toute la lumière sur les disques durs

Posté on 06 Mar 2017 at 8:26

Exfiltrer les données d’une machine en modulant l’une des nombreuses diodes LED qui constellent son boîtier, cela n’a rien de nouveau. Mais une équipe de quatre chercheurs de l’Université Ben Gourion du Negev viennent d’établir un record de vitesse : près de 4 kilobits/seconde sur une distance de près de 30 mètres. A titre de comparaison, les recherches comparables étaient parvenues à des débits dix fois plus faibles, à condition que le récepteur soit situé entre 5 et 10 mètres de la source de lumière. Ajoutons que cet exploit, à tous les sens du terme, n’exige pas franchement de connaissances techniques très poussées.

L’étude d’une vingtaine de pages ne laisse pas planer le suspense très longtemps : tout le secret réside dans la qualité et la sensibilité du capteur. Injecter un malware qui détourne l’usage de la diode d’activité du disque dur n’est pas un tour de force, mais distinguer clairement le rythme de modulation de la source de lumière, malgré les interférences de l’environnement extérieur (tubes néon, lumière ambiante …) exige de très bons yeux. Et plus exactement un photodétecteur silicium Thorlab (plus de 300 euros pièce). D’autres essais, avec des portées moindres mais des débits comparables, ont été obtenus avec une photodiode SFH-2030 (moins de 36 centimes au détail).

La qualité de la source joue, elle aussi, fortement dans l’équation de puissance. Les diodes bleues, très à la mode dans les boîtiers modernes, se montrent plus efficaces en termes de rayonnement que les LED rouges ou blanches.

L’étude n’aborde pas, de manière chiffrée, la question des interférences et du niveau de bruit lumineux ambiant. Tout comme avec un récepteur radio, la qualité de décodage est caractérisée par la dynamique du récepteur (écart entre le signal le plus faible et le signal le plus fort avant saturation), dynamique qui a tendance à se réduire lorsque le plancher de bruit s’élève.

Hormis la détection du malware chargé de modifier le comportement de la diode électroluminescente (antivirus, détecteur de spyware) et l’ajout d’un petit bout de ruban adhésif pour masquer cet émetteur indiscret, il n’existe pas beaucoup de contre-mesures et d’autres méthodes de détection.

Le monde joue à Sha percé

Posté on 06 Mar 2017 at 6:50

Il en aura fallu, du temps, pour avoir la peau du Sha 1. Au cours de 2013-2014, les principales autorités de certification commerciales (Thawte, Comodo, Symantec…) supportaient déjà « chatoux », alias Sha256, et la dépréciation de Sha1, techniquement remplacé depuis 2011, faisait l’objets de nombreuses annonces. « Janvier 2016, fin des certificats Développeur » promettait Microsoft. Et fin de la reconnaissance des certificats Serveur dès janvier 2017, continuait Redmond mi-2015. Mais il en va souvent des certificats comme d’IP v4. Certains standards ont la vie dure, et les dates d’enterrement sont indéfiniment reportées

Lorsque les chercheurs de Google et du CWI d’Amsterdam parviennent, après deux ans de recherche et des moyens techniques impressionnants, à obtenir une collision (un même condensat à partir de deux contenus différents), nombre de médias ont immédiatement prédit une apocalypse numérique. D’une certaine manière, ils n’ont pas tout à fait tort.

Bien sûr, les grands acteurs vont tenter d’accélérer le processus de dépréciation de Sha1. Avant que l’on ne trouve sur le marché à la fois des systèmes assez puissants pour « casser » ce mécanisme de chiffrement et une version exploitable de la méthode de cassage, Microsoft aura largement eu le temps de sortir 2 versions différentes de System Center et Samsung une bonne centaine de modèles d’équipements téléphoniques de nouvelle génération. Webmestres et architectes systèmes, du moins les plus consciencieux et pour les 10 années à venir, ne jureront plus que par Sha256, et l’intégralité des services Cloud auront mis à niveau leurs panoplies de chiffrement. C’est juré.

Reste l’effet du « Windows 98 éternel » ou du Service Pack maudit, celui que l’on oublie systématiquement de mettre à jour ou de déployer. L’effet qui, souvent combiné avec une erreur d’intégration ou une mauvaise pratique d’administration, permettra l’usage d’un futur « L0phtcrack Sha1 » par une horde de dangereux pirates affublés de cagoules et de gants cirés de noir. Contre ce risque encore très lointain, il n’y a pas grand-chose à faire. Pas plus qu’il n’a été possible aux usagers de Yahoo ou aux abonnés d’Ashley Madison de prévoir le pillage massif de leurs données personnelles, pourtant garanties contre toute attaque de pirates. Le « petit » Sha est mort, l’ignorer serait irresponsable, s’affoler serait prématuré.

En Bref …

Posté on 06 Mar 2017 at 6:44

… et toujours des backdoors dans tout un éventail d’IoT d’origine Chinoise sous la marque DBLTech alerte Trustwave

En Bref …

Posté on 06 Mar 2017 at 6:41

Encore un risque d’injection SQL dans WordPress, sous certaines conditions, alerte Slavco Mihajloski de Sucuri

En Bref…

Posté on 06 Mar 2017 at 6:37

HackerOne, l’une des grandes plateformes de Bug Bounty US, ouvre son service « Community Edition » destiné à aider les petites structures Open Sources

En Bref …

Posté on 06 Mar 2017 at 6:32

Double faille IE et Edge, dévoilée par le Google Project Zero . Ce trou de sécurité pourrait être exploité à distance. C’est la seconde fois en moins d’une semaine que le Project Zero révèle un défaut Microsoft non encore corrigé

Vulnérabilités & Menaces 2017 : panorama, détection, preuves, remédiation & réduction de la surface d’attaque, Conseils & Solutions

Posté on 02 Mar 2017 at 9:46

16 mars 2017, RV à l’Intercontinental Paris Avenue Marceau

 

Vulnérabilités & Menaces 2017 :

panorama, détection, preuves, remédiation & réduction de la surface d’attaque

Conseils & Solutions

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

 

Tour d’horizon des menaces et vulnérabilités 2017. Comment détecter une attaque ? Comment tracer une attaque ? Comment être sûr qu’on a bien nettoyé son Système d’Information ? Comment parer les attaques inconnues ? Comment réduire la surface d’attaque ? Comment les nouvelles générations d’outils de sécurité (suite de sécurité, Sécurité as a Service … ) peuvent aider à réduire la surface d’attaque ? Quels audits aujourd’hui, Pentests traditionnels ou Bug Bounty ? etc.

 

Autant de questions et sujets auxquels répondront le 16 mars matin des experts Sécurité reconnus, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

 

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8

 

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

 

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité 

 

Agenda

  • 8H00 – Accueil des participants : petit-déjeuner et Networking
  • 8H30 – Etat de l’art du marché avec le panorama de la cybercriminalité 2017 du Clusif, par Nicolas Vieillard, RSSI membre du Clusif
  • 8H50 – Expertise terrain du domaine, avec Darktrace
  • 9H10 – Benchmark des vulnérabilités & Guide et Conseils par Etienne Capgras, co-Responsable équipe audit Sécurité chez Stonewave,
  • 9H30 – Retour terrain d’un expert du domaine, par Vectra Networks Inc.
  • 9H50 – Différents Concepts de Bug Bounty, avec Guilaume Vassault-Houlière, plateforme Yes We H4ck & Ely de Travieso, plateforme BugBountyZone
  • 10H10 – De la détection à la remédiait des APT : apport des technologies next-Gen (machine learning, sandboxing …), par Hervé Doreau, Directeur Technique de Symantec
  • 10H30 – PAUSE Networking
  • 10H50 – Présentation d’Ambionics Security, start-up spécialisée dans le domaine des vulnérabilités & menaces
  • 11H10 – Panel sur « Vulnérabilités & Menaces 2017 : Tour d’Horizon. Savoir quand on a été attaqué. Tracer une attaque. A nouvelles vulnérabilités, nouvelles générations d’outils de sécurité (Suite de sécurité, SaaS etc.) ? Quels audits ? Pentests ou Bug Bounty ? Conseils & Solutions» avec 1) Maître François Coupez, avocat qui répondra aux questions d’ordre juridique, 2) Helmi Rais, Head of AlliaCERT, 3) Edouard Jeanson, Directeur Cybersécurité Sogeti & RSSI Adjoint du Groupe et 4) Laurent Heslault, Directeur Stratégie Sécurité Symantec EMEA. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H50 – « La Minute Juridique », Maître Olivier Itéanu répondra à toutes les questions d’ordre légal relatives au sujet après un rappel des dernières législations en vigueur
  • 12H10 – PAUSE Networking au champagne, Tirage au sort (Tablette, IoT …) & Clôture de la conférence

 

Publicité

MORE_POSTS

Archives

mars 2017
lun mar mer jeu ven sam dim
« Fév   Mai »
 12345
6789101112
13141516171819
20212223242526
2728293031