Un hacker montre qu'il est possible de pirater un ordinateur en quelques minutes Pour sensibiliser sur les problèmes liés à la configuration

 Dans un billet de blog, le hacker Samy Kamkar a présenté PoisonTap, un dispositif qui, une fois connecté à un ordinateur verrouillé et protégé par un mot de passe, permet :

• d’émuler un périphérique Ethernet sur USB (ou Thunderbolt) ;
• de détourner tout le trafic Internet de la machine (en dépit d'une interface réseau de faible priorité / inconnue) ;
• de siphonner et de sauvegarder les cookies HTTP et les sessions d’un navigateur web pour le top 1 000 000 des sites web ayant le plus de trafic selon le baromètre Alexa (une instance du navigateur web doit avoir été lancée avant que l’ordinateur ne soit verrouillé) ;
• d’exposer le routeur interne à l'attaquant, le rendant accessible à distance via le WebSocket sortant et le relancement du DNS ;
• d’installer une porte dérobée web persistante dans le cache HTTP pour des centaines de milliers de domaines et des URL de CDN Javascript courantes, toutes avec accès aux cookies de l'utilisateur via l'empoisonnement du cache ;
• à l'attaquant de forcer à distance l'utilisateur à faire des requêtes HTTP et des réponses de proxy (GET et POST) avec les cookies de l'utilisateur sur n'importe quel domaine avec une porte dérobée ;
• les portes dérobées et l'accès à distance persistent même après que le périphérique a été supprimé.

Le hacker a confié que ce dispositif, qui a été conçu pour le Raspberry Pi Zero (qui coûte 5 dollars), est « entièrement automatisé » : « vous le branchez, vous le laissez faire pendant quelques minutes puis vous le débranchez ». Et de préciser que « vous n’avez même pas besoin de savoir faire quoi que ce soit ».

PoisonTap permet de contourner ces mécanismes de sécurité :

• les écrans de verrouillage protégés par un mot de passe ;
• la priorité de la table de routage et l’interface réseau pour la commande de service ;
• la politique d'origine identique ;
• X-Frame-Options ;
• les cookies HttpOnly ;
• l’attribut cookie SameSite ;
• l’authentification à deux facteurs / multi-facteurs (2FA / MFA) ;
• le DNS pinning ;
• le partage de ressources entre origines (CORS)
• la protection de cookie HTTPS lorsque le drapeau de cookie sécurisé et HSTS ne sont pas activés.

« Moi, en tant qu'attaquant, je peux passer par Raspberry Pi pour collecter vos cookies et me connecter aux mêmes sites web que vous, me faisant passer pour vous », a-t-il confié. Il a précisé qu’il n’a « pas besoin de mot de passe et encore moins de nom d'utilisateur » pour le faire.

Certains des chercheurs en sécurité qui ont analysé cette attaque pensent qu’il s’agit là d’une bonne façon d’exposer la confiance excessive accordée par les ordinateurs Mac et Windows aux périphériques réseaux. C'est d’ailleurs la clé des attaques de PoisonTap : une fois que ce qui ressemble à un périphérique réseau est branché sur l’ordinateur portable dans la vidéo de démonstration, l'ordinateur interagit automatiquement avec lui et procède à un échange de données.

Pour Jayson E. Street, un testeur de pénétration qui a déjà fait l’expérience de ce type d’attaques, « nous devons nous rendre compte qu’il est possible qu’avoir un poste de travail verrouillé n'est probablement pas suffisant ».

Andrea Barisani, un autre chercheur en sécurité, a déclaré que « les meilleures pratiques empêcheraient un tel dispositif d'avoir un effet », même si, dans la réalité, nous sommes encore « loin d'atteindre cet objectif et des projets comme PoisonTap, [...] sont un moyen très efficace de sensibiliser le public à la nécessité de répondre aux mauvaises configurations de sécurité Web une fois pour toutes ».

télécharger le code source sur GitHub

Source : billet de Samy Kamkar

USA : des téléphones Android dotés d'une porte dérobée qui envoie des données en Chine D'autres pays et de grands opérateurs seraient concernés

 Les chercheurs de la firme de sécurité Kryptowire ont découvert une portée dérobée dans des téléphones Android vendus aux États-Unis. La faille secrète a été découverte dans les téléphones de BLU Products, une société basée en Floride. BLU Products vend des smartphones Android aux États-Unis, et environ 120 000 de ses appareils seraient dotés de cette porte dérobée, qui permet de transmettre des données à un serveur chinois.

Les appareils affectés « transmettent activement les informations de l’utilisateur et du périphérique, y compris le corps entier des messages texte, les listes de contacts, l’historique des appels avec numéros de téléphone complets, les identifiants d'appareils uniques, y compris l'IMSI (International Mobile Subscriber Identity) et l'IMEI (International Mobile Equipment Identity) », a déclaré la firme de sécurité.

D’après Kryptowire, toutes les capacités de collecte et de transmission de données que les chercheurs ont pu identifier ont été prises en charge par deux applications système (com.adups.fota.sysoper et com.adups.fota) qui ne peuvent pas être désactivées par l'utilisateur final. La transmission de données se produit toutes les 72 heures pour les messages textes et informations du journal des appels et toutes les 24 heures pour les autres informations personnellement identifiables.

La porte dérobée se présente sous forme de logiciel préinstallé développé par une société chinoise appelée Shanghai Adups Technology. À propos de cette entreprise, Kryptowire note qu’en septembre 2016, « Adups revendiquait sur son site Web une présence mondiale avec plus de 700 millions d'utilisateurs actifs et une part de marché supérieure à 70 % dans plus de 150 pays et régions avec des bureaux à Shanghai, Shenzhen, Pékin, Tokyo, New Delhi, et Miami. Le site Web d’Adups a également déclaré qu'il produit un firmware qui est intégré par plus de 400 opérateurs mobiles majeurs, fournisseurs de semi-conducteurs et fabricants de périphériques allant de wearables et mobiles aux voitures et téléviseurs. » Ce qui indique que le problème pourrait ne pas être limité aux 120 000 smartphones Android de BLU Products aux États-Unis, mais à d’autres constructeurs et bien d’autres pays. D’ailleurs, la société Adups compte parmi ses clients des fabricants de téléphones beaucoup plus importants comme ZTE et Huawei.

Parce que la porte dérobée est implémentée au niveau du firmware, elle a pu éviter d’être détectée par les logiciels antivirus, s’il faut en plus noter plusieurs niveaux de cryptage qui ont été utilisés pour masquer les données transmises : « Les informations collectées ont été chiffrées avec plusieurs couches de chiffrement et ensuite transmises via des protocoles Web sécurisés à un serveur situé à Shanghai », explique la firme de sécurité. « Ce logiciel et ce comportement contournent la détection par des outils antivirus mobiles, car ils supposent que le logiciel fourni avec le périphérique n'est pas un logiciel malveillant, il est donc mis sur liste blanche. »

Samuel Ohev-Zion, le directeur général de BLU Poducts, a fait savoir qu’il n’était pas au courant de cette porte dérobée dans ses smartphones. Après en avoir été informé, le logiciel de surveillance a donc été retiré de ses produits.

De son côté, la société rejette toute responsabilité directe. Dans le contexte de sécurité actuel, Adups a tenu d’abord à préciser qu’elle n’est en aucun cas affiliée au gouvernement chinois. « C'est une entreprise privée qui a fait une erreur », a déclaré Lily Lim, avocate en Californie, qui représente Adups. La société chinoise poursuit ensuite pour dire qu’elle n’a fait qu’exécuter la demande d’un client et que c’est le rôle de ce dernier d’informer ses utilisateurs des données collectées. D’après des documents d’Adups, le logiciel a été développé à la demande d'un fabricant chinois non identifié qui voulait la capacité de stocker des journaux d'appels, des messages textes et d'autres données, dans le cadre du support à la clientèle. « Adups était juste là pour fournir la fonctionnalité que le fabricant de téléphones a demandée », a dit l’avocate.

Travaillant également pour le département américain de la Sécurité Intérieure, la firme de sécurité a présenté sa découverte au gouvernement américain, qui dit travailler pour « identifier les stratégies d'atténuation appropriées. »

Sources : Kryptowire, New York Times

Kaspersky OS : la Russie va-t-elle enfin avoir son système d'exploitation national ? Kaspersky annonce la sortie de son OS axé sur la sécurité

 Alors que la Russie essaie de faire migrer toutes les entreprises locales vers des technologies nationales, Eugène Kaspersky saisit l’occasion pour faire un clin d’œil à Vladmir Poutine, comme pour dire qu’il y a un système d’exploitation « Made in Russia » désormais disponible. Kaspersky OS, le système d’exploitation en question, est fortement axé sur la sécurité, d’après le PDG de Kaspersky. Il est « conçu pour les réseaux avec des exigences extrêmes pour la sécurité des données », dit-il.

Après 14 années de travail, Eugène Kaspersky se réjouit de voir enfin le premier dispositif commercial tournant sous l’OS dont il a récemment célébré la naissance. D’après le PDG de la firme, Kaspersky OS a été construit dans le but de mettre en place « un système d'exploitation qu’il sera impossible de pirater en principe », même si certains ont pensé que cela pourrait ruiner son business model de sécurité.

Les premières années après l’initiative ont permis de discuter des détails techniques et de l'architecture, entre autres points. « Ensuite, nous avons construit une équipe - très lentement, puisque les spécialistes de l'OS sont rares. Et nous avons progressé lentement mais sûrement », raconte le patron de la firme sécurité russe. « Et aujourd'hui, nous ne célébrons pas simplement la dernière discussion d'équipe, mais notre premier appareil véritablement prêt ! », dit-il.

Sans donner de détails, Kaspersky décrit les principales caractéristiques de son OS. « Tout d'abord, il est basé sur l'architecture micro-noyau ». Une architecture est dite micro-noyau (ou microkernel) lorsque le noyau contient le strict minimum, c'est-à-dire l'ordonnanceur et le programme qui simule la mémoire virtuelle, et que la grande majorité des programmes se trouvent en dehors : les pilotes, les programmes qui traitent les systèmes de fichiers ou l'interface graphique, ainsi que les logiciels applicatifs.

Dans cette architecture, les nombreux programmes qui se trouvent en dehors du noyau sont isolés les uns des autres, sont exécutés comme des logiciels applicatifs en concurrence, et utilisent les fonctionnalités du noyau pour s'échanger des messages. Kaspersky OS devrait pouvoir être modifié en fonction des exigences spécifiques d’un client.

« Deuxièmement, il y a son système de sécurité intégré, qui contrôle le comportement des applications et des modules du système d'exploitation. Pour pirater cette plateforme, un cyberattaquant aurait besoin de casser la signature numérique, ce qui - jusqu'à l'introduction des ordinateurs quantiques - serait excessivement coûteux », explique Kaspersky. « Troisièmement, tout a été construit à partir de zéro… pas même la moindre odeur de Linux », dit-il. « Tous les systèmes d'exploitation populaires ne sont pas conçus avec la sécurité à l'esprit, il est donc plus simple et plus sûr de commencer à partir de zéro et de tout faire correctement. C'est exactement ce que nous avons fait », a-t-il ajouté.

Eugène Kaspersky estime que son OS pourrait s’avérer nécessaire dans bien de cas. Tout d'abord, Kaspersky OS devrait « servir de base au développement de systèmes de contrôle industriels protégés », mais également « fournir une base pour le développement des dispositifs embarqués protégés, y compris l'internet des objets. » Il prévoit de donner prochainement plus de détails sur son système d'exploitation sécurisé.

Source : Eugène Kaspersky

Une fuite de données chez GeekedIn expose plus de 8 millions de comptes Github sur la toile

Chaque utilisateur peut vérifier s'il est concerné

  Il y a quelques jours de cela, Troy Hunt, MVP et directeur régional chez Microsoft, a reçu un fichier de 594 Mo que lui a envoyé un inconnu sur la toile. Selon les informations fournies par le quidam, ce fichier serait une sauvegarde MongoDB appartenant au site GeekedIn et datant du mois d’août.

Après avoir ouvert le fichier, grande fut la surprise de Troy en constatant qu’il renfermait les informations personnelles de plusieurs personnes comme leurs noms, prénoms, adresses géographiques, plus de 8,2 millions adresses email GitHub. En parcourant ce lot d’emails, Hunt a noté que 7,1 millions se terminaient par « @github.xyzp.wzf.xyzp.wzf ». Selon Hunt, les adresses email GitHub qui se terminaient ainsi sont celles appartenant à des personnes qui n’ont pas d’adresse électronique GitHub publiquement exposée dans leur compte GitHub. À côté de ces adresses, Hunt a également pu extraire environ 15 000 adresses qui se terminaient par @bitbucket.xyzp.wzf.

En menant des investigations sur le Net, Hunt a pu découvrir que GeekedIn, le site à partir duquel cette fuite de données est survenue, est en fait une entreprise de recrutement de professionnels dans le domaine technologique. Le lien est donc établi. Selon Hunt, cette entreprise parcourt les différents sites IT afin de collecter les données sur les professionnels de ce domaine pour renseigner sa base et ensuite revendre les données recueillies. Selon les informations acquises par Hunt, GeekedIn aurait une base de données de 65 Go sur les professionnels IT. En interrogeant les données à sa disposition, Hunt a même pu constater que ses données personnelles figuraient dans cette base de données.

Toutefois, même s’il est vrai que les informations personnelles sur les développeurs peuvent être obtenues en toute légalité en parcourant la plateforme GitHub, il n’en demeure pas moins qu’elles ne doivent pas être utilisées à des fins commerciales sans le consentement des personnes concernées.

Hunt a donc immédiatement informé GitHub qui a fait cette publication : « Les tierces parties extraient fréquemment les données GitHub publiques pour diverses raisons, telles que la recherche ou l’archivage. Nous autorisons ce type d’extraction tant que les informations personnelles de l’utilisateur ne sont utilisées qu’aux fins pour lesquelles elles ont donné ces informations à GitHub. L’utilisation d’informations extraites à des fins commerciales viole notre déclaration de confidentialité et nous ne tolérons pas ce type d’utilisation ».

Hunt affirme avoir contacté GeekedIn tout comme GitHub l’aurait fait. Le site aurait reconnu l’incident et promis d’appliquer de meilleures mesures de sécurité. Aussi, pour permettre à d’autres personnes de savoir si la fuite de données contient également leurs informations personnelles ou non, Hunt a utilisé le service de notification du site haveibeenpwned.com pour renseigner les personnes qui le désirent. Pour cela, il suffit d’aller sur l’adresse haveibeenpwned.com/NotifyMe et vous entrez votre adresse email qui pourrait avoir été piratée. Vous recevrez un message de confirmation dans la boîte électronique renseignée. En repartant dans votre messagerie, vous serez amené à cliquer sur le lien indiqué pour vérifier si vos informations personnelles sont contenues dans la base de données exposée par GeekedIn.

Source : Troy Hunt Blog

Russie: une cyberattaque d’envergure vise cinq grandes banques du pays

 

Il s'agit de la première attaque de cette ampleur, selon la société russe de cybersécurité Kaspersky. REUTERS/Mal Langsdon/Files

Plusieurs grandes banques de Russie sont visées par une cyberattaque d’envergure. L’attaque a été lancée mardi 8 novembre et se poursuivait jeudi.

Avec notre correspondante à Moscou, Muriel Pomponne
C’est sans doute la plus importante attaque informatique subie par les banques russes. En tout cas, c’est la première de cette ampleur, si l’on en croit la société russe de cybersécurité Kaspersky, qui donne l’information.
Les sites de cinq des plus importantes institutions financières de Russie ont été visés. Le plus gros établissement du pays, la banque publique Sberbank, a précisé avoir été ciblé et avoir réussi à neutraliser l'attaque sans perturbation sur ses activités. Mais la Sberbank affirme avoir déjà été touchée 68 fois par ce genre d’attaques depuis le début de l’année.
Une manœuvre pour détourner l’attention d’une attaque à venir ?

Selon Kaspersky, il s’agit d’attaques « complexes » qui consistent à rendre un serveur indisponible en le surchargeant de requêtes, jusqu’à 660 000 requêtes par seconde. Ces attaques, répétées, durent de 1 à 12 heures. Les hackers utilisent un réseau de machines piratées comprenant plus de 24 000 ordinateurs dans 30 pays, dont la majorité se trouve aux Etats-Unis, en Inde, à Taïwan et en Israël.
Kaspersky craint qu’il ne s’agisse d’une manœuvre pour détourner l’attention d’une éventuelle attaque, encore plus importante, à venir. La société russe a profité de cette annonce pour mettre en avant sa réputation dans le secteur de la cybersécurité.

Source: RFI

Cybersécurité : la CNIL publie un guide - comprendre les grands principes de la cryptologie et du chiffrement

La Commission Nationale de l'Informatique et des Libertés (CNIL), dans le cadre de ses activités relatives à la protection des données personnelles, à l'accompagnement de l'innovation et à la préservation des libertés individuelles, a publié à l'endroit du public un guide dénommé Comprendre les grands principes de la cryptologie et du chiffrement.

Dans ce guide, la CNIL a développé les points ci-après :

1. Les usages de la cryptographie ;
2. Le fonctionnement des fonctions de hachage et de hachage à clé ;
3. Le fonctionnement des signatures numériques ;
4. Le fonctionnement du chiffrement.

D'emblée, la CNIL a présenté les raisons pour lesquelles la cryptologie existe. Selon elle, la cryptologie permet de :

1. S'assurer de l’intégrité du message : le hachage
   
   
   
2. S'assurer de l’authenticité du message : la signature
   
   
   
3. S'assurer la confidentialité du message : le chiffrement

Source : CNIL

Deux failles dans MySQL, MariaDB et PerconaDB permettent à un simple utilisateur d'avoir des privilèges root, Des correctifs sont disponibles

MySQL est l’une des bases de données les plus utilisées dans le monde. Selon le classement du mois de novembre de DB-Engines, cette base de données relationnelles est le second au monde en termes de popularité juste derrière Oracle. Vu la grande proportion de ses utilisateurs, un problème découvert au sein de ce système de gestion de base de données relationnelles (SGBDR) affecterait donc un grand nombre d’utilisateurs.

Récemment, un hacker éthique du nom de Dawid Golunski a découvert une vulnérabilité liée à une situation de compétition au sein de MySQL et des produits dérivés de ce système notamment MariaDB et PerconaDB. Une situation de compétition est un défaut dans un système caractérisé par un résultat différent selon l’ordre dans lequel agissent les acteurs du système. Dans ce cas de figure, l’exécution de la déclaration REPAIR TABLE SQL par un utilisateur doté de privilèges réduits comme la sélection, la création et l’insertion est effectuée de manière non sécurisée. En conséquence, cela permet à un utilisateur local doté de droits d’accès limités dans une base de données d’élever ses privilèges afin d’exécuter du code arbitraire comme un utilisateur ayant des droits sur toutes les bases de données sur le serveur de base de données.

De manière détaillée, une fois que le tiers malveillant a eu accès à l’ensemble de ces bases de données sur le serveur, il peut se servir de deux autres vulnérabilités découvertes et qui ont pour référence CVE-2016-6662 et CVE-2016-6664. La vulnérabilité CVE-2016-6664 permet à l’attaquant d’avoir accès aux répertoires /var/log ou /var/lib/mysql. Une fois à ce niveau, il suffit de supprimer le fichier error.log et de le remplacer avec un lien symbolique afin d’élever les privilèges.

L’élévation de privilèges pourrait être déclenchée instantanément sans redémarrage du service de MySQL en mettant fin au processus enfant de mysqld. Lorsque le processus enfant de mysqld est arrêté, le wrapper va effectuer une boucle et créer immédiatement un autre fichier MySQL dans un emplacement spécifié dans le lien symbolique par l’attaquant afin de permettre à ce dernier d’élever immédiatement ses privilèges.

La faille CVE-2016-6662 pour sa part est utilisée pour mener une attaque d’injection de code SQL. Si l’attaque réussie, elle permet à un tiers malveillant d’exécuter du code arbitraire avec des privilèges root qui compromettrait le serveur sur lequel de MySQL est exécutée.

Cette faille liée à la situation de compétition combinée aux deux autres failles afin de compromettre les serveurs de MySQL et dérivés affecte les implémentations des versions 5.5.51, 5.6.32, 5.7.14 ou inférieures de MySQL. Au niveau de MariaDB, ce sont les binaires inférieures aux versions 5.5.52, 10.1.18 et 10.0.28 qui sont touchées par ces failles. Pour ce qui concerne Percona, ce sont les logicels inférieurs aux versions 5.5.51-38.2, 5.6.32-78-1, 5.7.14-8 de Percona Server et les applications antérieures aux versions 5.6.32-25.17, 5.7.14-26.17, 5.5.41-37.0 de Percona XtraDB Cluster qui sont affectées par ces failles.

Oracle et Percona ont corrigé les failles détectées dans les différentes versions de leurs produits. Pour ce qui concerne MariaDB, l’équipe derrière cette base de données a corrigé la faille liée à la situation de compétition. L’élévation du privilège root sera corrigée ultérieurement dans la mesure où elle n’est pas directement exploitable. Par ailleurs, si vous n’avez pas encore appliqué les correctifs, vous pouvez déjà désactiver le support du lien symbolique dans la configuration du serveur de la base de données en appliquant les paramètres ci-dessous dans le fichier my.cnf : symbolic-links = 0. Enfin, même si cette action atténue l’exploitation des failles, il est recommandé en outre d’utiliser les correctifs mis en ligne par les différentes entreprises.

Source : Legal Hackers