HP alerte les possesseurs de « notebook » qu’un keylogger vient d’être détecté dans les pilotes de « touchpad » Synaptics qui équipent les ordinateurs de la marque. Une découverte décrite par le chercheurs « zwclose ». D’autres OEM utilisant ce périphérique devraient rapidement suivre
Rocambolesque histoire que celle de Konrad Voits, pirate informatique à ses heures, cherchant à faire évader à coups de clavier et de pages html un proche incarcéré à la prison de Washtenaw (Michigan, USA). Voits, dans un premier temps, crée un site de phishing avec un nom trompeur, ewashtenavv.org. Les habitués du très officiel site ewashtenaw.org n’y voient que du feu et, parmi eux, quelques employés des services municipaux et de l’administration pénitentiaire. Lesquels, on l’imagine, se font infecter, compromettant ainsi le réseau administratif du comté et donnant au pirate la possibilité de falsifier une levée d’écrou. Mais le hack est stoppé net lorsque les employés de l’établissement soupçonnent une activité anormale et alertent le FBI.
L’administration du Comté de Washtenaw a estimé les coûts de colmatage et de réparation à près de 235 000 USD (une note un peu salée pour éradiquer un troyen et expliquer à quelques fonctionnaires qu’il ne faut pas cliquer sur un lien à tord et à travers), tandis que le spécialiste de l’évasion virtuelle risque 250 000 USD d’amende et 10 ans de privation de liberté. S
ans arme, sans haine et sans violence…
Nghia Hoang Pho, l’employé indélicat de la NSA qui avait stocké sur son ordinateur personnel des documents classés, a plaidé coupable, relatent nos confrères Rob Wright de Search Security ainsi que Brian Krebs.
Le prévenu travaillait au sein du département des TAO (Tailored Access Operations), le département de « sécurité offensive » de la NSA.
Une fuite de plus ou de moins au sein d’une « agence à trois lettres » ne change pas grand-chose pour l’Administration Fédérale, qui, peu à peu, a abandonné toute souveraineté sur ses services de renseignements à force de sous-traitance à des sociétés privées. Mais cette affaire est particulièrement suivie par les médias car ce serait cet ordinateur privé qui aurait servi de brèche exploitée par des pirates « probablement Russes et probablement pilotés par les services de renseignements de la Fédération de Russie ». C’est aussi, c’est surtout, l’affaire de piratage qui a servi de cassus belli à l’encontre de la société Kaspersky, laquelle devenait un peu trop encombrante en menaçant de procès antitrust les géants US de l’informatique, Microsoft notamment. Nghia Hoang Pho mériterait donc presque une médaille pour services rendus à l’industrie informatique Nord Américaine toute entière ainsi qu’au « département d’Etat », l’équivalent du Ministère des Affaires Etrangères du Gouvernement Fédéral.
Netlab prévient d’une recrudescence d’activité sur les ports 37215 et 52869, provoquée par un bot héritier de Mirai et visant des familles de routeurs Huawei destinés au marché grand public.
Selon le Gartner, les dépenses mondiales en matière de SSI devraient atteindre 96,3 milliards de dollars, en croissance de 8% par rapport à 2017. Un marché porté par, explique le rapport, une complexification des attaques, les mises en conformités et nouvelles lois.
Après un correctif noyau « hors calendrier » (« IAmRoot »-CVE-2017-13872) qui a connu quelques déboires, Apple revoie sa copie et relance une série de 26 rustines concernant macOS Sierra, High Sierra, El Cap, Safari, watchOS, tvOS et iOS.
Ce n’est encore qu’une hypothèse de travail, mais hypothèse qui fait tout de même l’objet d’une proposition de loi, dans un contexte politique Allemand de plus en plus instable et droitisant : Thomas de Maizière, l’actuel Ministre de l’Intérieur de l’Etat Fédéral, demande à ce que soit installée une porte dérobée dans chaque système numérique grand public. Smartphones, ordinateurs personnels ou intégrés (d’automobile, domotique), téléviseurs connectés… rien n’est trop beau pour tisser ce système d’écoute permanent, plus puissant que tous les réseaux d’informateurs de la Loubianka, plus inquisiteur et fondus dans la trame de la nation que les HitlerJugend.
Une fois de plus, le prétexte invoqué prend racine dans le terreau du crime, du terrorisme, du « digital divide » qui se creuserait entre truands et policiers. Une fois de plus le Ministre reprend une antienne qu’il a souvent resassé aux participants du Forum International de la Cybersécurité. L’installation de telles trappes est un devoir civique pour toute entreprise Germanique. Des trappes qui ne permettraient pas seulement l’écoute, mais qui serviraient également, à distance, à éteindre et rendre inopérant l’appareil concerné. On attend avec impatience les résultats dans le secteur automobile.
Durant ces deux dernières années, de Mazière n’a cessé de vitupérer contre les outils de chiffrement, invoquant leur usage (très rarement prouvé) au sein des réseaux terroristes islamiques. Avec le développement de l’Internet des Objets, il trouve là une nouvelle marotte, celle d’une surveillance omniprésente à peu de frais, alimentée et entretenue par l’industrie des nouvelles technologies, lesquelles se livrent déjà à une forme d’espionnage permanent à des fins purement mercantiles. Et si, se demande de Mazière, le sabre et le financier pouvaient marcher main dans la main ?
« Bombe à bord » affirmait l’identifiant (ssid) d’une carte WiFi appartenant à un passager du vol Turkish Airlines Nairobi/Istamboul. Il n’en fallait pas plus, relate l’agence Reuter, pour que l’avion effectue un atterrissage d’urgence …
Pas de fichier central des électeurs aux USA : via CNN un groupe majoritairement constitué d’anciens fonctionnaires et élus de l’Administration Obama, experts en sécurité, invoquent les risques élevés d’un vol de données massif, que l’actuel « morcellement par Etat » rend plus difficile
Salle comble une fois de plus à l’occasion de GreHack 2017, l’événement sécurité Grenoblois du mois de novembre. Une formule qui ne change pas (présentations techniques, rump sessions, ateliers pratiques… et l’inévitable CTF). Rappelons que cette manifestation se tient, depuis sa création, dans le cadre du campus universitaire de la capitale du Dauphiné.
Le programme des interventions s’est avéré encore plus riche cette année que par le passé. Tant par son niveau technique que par sa diversité. La liste des conférences accompagnée des différents « transparents » et articles est disponible sur les serveurs. Les hostilités ont commencé avec les travaux de Léonard Benedetti, Aurélien Thierry et Julien Francq, traitant de détection des algorithmes cryptographiques dans un code (de malware on s’en doute) à l’aide de /grap/, un outil conçu pour rechercher des « empreintes » caractéristiques, des sortes de signatures par détection de suites d’instructions caractéristiques. Un plugin Ida Pro a même été développé afin d’offrir à chacun une interface plus humaine que le mode caractère.
Tout aussi impressionnant, Sébastien Bardin expliquait comment contourner les techniques de camouflage, utilisées tant par l’industrie logicielle dans le but de protéger la propriété intellectuelle des programmes commercialisés… que par les auteurs de malware, et ce probablement depuis bien plus avant. Le chercheur fait appel aux ressources de l’analyse sémantique du source pour détecter ces méthodes de camouflage, tout en précisant les limites de cette technique.
Mais c’est indiscutablement Mathieu Stephan qui a remporté les plus vifs applaudissements. Le thème de sa présentation ? Le gestionnaire de mot de passe Mooltipass, largement supporté et vanté par le magazine Hackaday depuis 2013. Mooltipass est un « dongle » USB servant de coffre-fort à mots de passe, activé par une carte à puce. L’un ne peut fonctionner sans l’autre. Une fois activé, Mooltipass agit comme un composant HID et expédie les sésames nécessaires à une connexion en ligne, se souvenant des centaines de mots de passe qu’un internaute sachant internéter ne peut manquer d’accumuler. Mais ce n’est pas tant sur les caractéristiques du gestionnaire que Stephan s’est penché, mais sur la foultitude d’étapes, de détails organisationnels conduisant à la conception d’un tel produit, des premières versions de code centralisées sur Github, à la production en masse de l’électronique elle-même, en passant par les corrections liées à l’ergonomie de l’appareil (le moindre « bug » matériel ne se corrige pas avec une nouvelle compilation). Concevoir un boîtier produit par un sous-traitant situé aux antipodes, assurer un contrôle qualité efficace, coordonner le travail des développeurs, rester à l’écoute en permanence des idées novatrices des uns et des autres, tout ça rappelle les conseils et retour d’expérience de Andrew «Bunnie » Huang. Mais vu de ce côté-ci de la planète. Une version Hackaday de cette présentation, effectuée quelques jours plus tard, est disponible sur Youtube.
Toute aussi jubilatoire était le « talk » de Gabriel Ryan sur l’art obscur de la compromission des réseaux sans fil. Discours dressant tout d’abord l’historique des attaques Wlan depuis leur apparition, puis dérivant sur les tentatives souvent inefficaces de détection d’intrusion (Network Access Control notamment). Les recettes efficaces sur réseau local « base cuivre », explique Ryan, conjuguent sécurité physique et logique. Dans le cadre des réseau radio, seule la couche de sécurité logique demeure, et ce n’est pas toujours la plus efficace. La présentation s’étend sur plus de 125 pages écran, ce fut, là aussi, un record de la journée.
GreHack s’est achevé avec sa désormais traditionnelle série d’ateliers pratiques. De grands classiques, avec des prises en mains et exercices sur Miasm, Scapy, Radare2, les techniques de scanning « massif » d’internet, mais également des chantiers vraiment originaux. Notamment un cours sur l’analyse et l’ingénierie inverse des malwares sous Android, orchestrée par Axelle « Cryptax » Apvrille, et un exercice de minutie micrométrique consistant à dessouder, nettoyer, puis « re-biller » des circuits intégrés format BGA (ball grid array, des composants sans aucune « patte ») afin de les remonter et les faire fonctionner à nouveau. Un travail à la binoculaire, station de reprise à air chaud et pinces à épiler signé Philippe Teuwen et Guillaume Heilles. Durant cette expérience, aucun composant ne fut mis à mort.