Un hacker connu sous le pseudonyme Twitter de xerub vient de publier ce qu’il estime être la clé de déchiffrement du firmware de l’Apple Secure Enclave Processor (SEP). La fuite pourrait avoir un impact fort sur la sécurité d’iOS au vu du rôle que joue ce coprocesseur dans cet écosystème.
Dans son guide officiel sur la sécurité, Apple décrit le SEP comme un coprocesseur déployé avec les versions S2 et A7 de ses processeurs principaux. Ce dernier est chargé de protéger l’identifiant unique de l’appareil (UID) et de vérifier les transactions Touch ID entre autres. Pour ce faire, il tourne sous un système d’exploitation distinct, est doté de mémoire chiffrée et d’un mécanisme de mise à jour qui lui est propre et possède son propre générateur matériel de nombres aléatoires.
La publication du firmware devrait permettre aux chercheurs en sécurité de pénétrer les mystères de cette boîte noire qu’était le SEP jusqu’ici. Dans l’immédiat, les trouvailles devraient s’arrêter aux méandres du SEP. Les données personnelles des utilisateurs ne devraient pas être en danger pour le moment si l’on se réfère au schéma (ci-dessus) de l’architecture d’iOS qui montre une séparation importante avec la couche de protection des données.
Des exploits permettant de contourner l’authentification via Touch ID pourraient cependant être développés dans un futur proche, ce qui permettrait à des cybercriminels d’effectuer des transactions via des solutions de paiement comme Apple Pay ou d’autres à partir de l’iPhone d’une victime.
Sources :developpez.com
Avec la multiplication des fuites de données, il est impératif de choisir des mots de passe capables de résister aux attaques de type force brute.
Pour aider les internautes à trouver un bon mot de passe, les initiatives se sont multipliées : certains services proposent de générer des mots de passe, d’autres d’analyser un mot de passe avant son utilisation et d’en proposer un qui serait meilleur. Mais Troy Hunt, l'expert en sécurité derrière le site Web "Have I Been Pwned” a choisi une approche différente : faire une base de données des mots de passe qui ont été précédemment compromis.
Dans la première version, qui a été publiée le 3 août, cette base de données comprenait 306 millions de mots de passe pour un poids total de 5,3 Go. Le lendemain, lors d’une mise à jour, le chercheur en a rajouté 14 millions, pour un poids supplémentaire de 250 Mo.
« Les mots de passe Pwned sont des centaines de millions de mots de passe du monde réel exposés aux violations de données. Cette exposition les rend impropres à une utilisation continue, car ils risquent beaucoup plus d'être utilisés pour prendre en charge d'autres comptes. Ils sont consultables en ligne ci-dessous et peuvent être téléchargés pour être utilisés dans un autre système en ligne », a expliqué Hunt.
« La réutilisation de mots de passe est normale. Elle s’avère extrêmement risquée, mais elle est répandue parce qu’elle est facile et que les gens ne perçoivent pas l'impact potentiel. Les attaques telles que le remplissage des informations d'identification profitent des informations réutilisées en automatisant les tentatives de connexion contre les systèmes utilisant des paires courriels connus et mots de passe », a-t-il reconnu.
Aussi, dans un billet, il a déclaré « J'invite des gens plus compétents en technologie à utiliser ce service pour démontrer un argument à des amis, des parents et des collègues : “vous voyez, ce mot de passe a été violé auparavant, ne l'utilisez pas ! “ ». Et de continuer en disant que « S'il y a une chose que j'ai apprise au cours des années passées à faire tourner ce service, c'est que rien n'a autant d'effet que de voir ses propres données compromises. »
D’où est-ce que ces mots de passe proviennent ?
Hunt déclare que « J'ai regroupé ces mots de passe de différentes sources, en commençant par les énormes listes sur lesquelles j'ai écrit au mois de mai. Celles-ci contiennent toutes les sortes d’exemples de mots de passe terribles auxquels vous pouvez vous attendre dans le monde réel et vous pouvez lire une analyse dans la publication de BinaryEdge sur la façon dont les utilisateurs choisissent leurs mots de passe sur Internet. J'ai commencé avec la liste Exploit.in qui a 805 499 391 lignes d'adresse e-mail et des paires de mots de passe en texte brut. En fait, elle avait “seulement” 593 427 119 adresses électroniques uniques, alors, ce que nous voyons ici, c'est un tas de comptes de messagerie comportant plus d'un mot de passe. C'est la réalité de ces listes : elles fournissent souvent plusieurs mots de passe alternatifs différents qui pourraient être utilisés pour entrer dans le seul compte.
« J'ai saisi les mots de passe de la liste Exploit.in qui m'a donné 197 602 390 valeurs uniques. Pensez-y un moment : 75 % des mots de passe dans un ensemble de données ont été utilisés plus d'une fois. Ceci est vraiment important, car cela commence à donner une forme sur l'ampleur du problème auquel nous sommes confrontés.
« Je suis passé à la liste Anti Public qui contenait 562 077 488 lignes avec 457 962 538 adresses électroniques uniques. Cela m'a donné encore 96 684 629 mots de passe uniques qui n’étaient pas dans les données Exploit.in. En y regardant d’une autre perspective, 83 % des mots de passe dans cet ensemble avaient déjà été vus auparavant. Ceci est tout à fait attendu : au fur et à mesure que d'autres données sont ajoutées, une plus petite proportion des mots de passe n'est précédemment pas visible.
« À partir de là, j’ai parcouru une variété d'autres sources de données ajoutant de plus en plus de mots de passe, mais avec un taux de diminution constante de nouveaux apparaissant. J'ajoutais des sources avec des dizaines de millions de mots de passe [...] Lorsque j'ai fini, il y avait 306 259 512 mots-clés Pwned uniques dans l'ensemble. »
Source : developpez.com, haveibeenpwned.com (outil test)
Le bot_Twitter de suivi des adresses Bitcoin utilisées par les auteurs du ransomware a récemment détecté une activité sur ces derniers. On sait que les cybercriminels ont procédé en multiples retraits pour un montant total en bitcoins équivalent à 140 000 $. De récents développements de Forbes à ce sujet indiquent qu’une partie de ces bitcoins a été convertie en Monero, une autre cryptomonnaie dont les montants des transactions ne seraient pas publiés sur la chaîne de blocs associée.
La communauté de la cybersécurité guette une éventuelle erreur des auteurs du ransomware WannaCry pour les démasquer. Sachant qu’ils sont attendus sur les failles du réseau Bitcoin permettant de remonter à eux, les cybercriminels ont opté pour l’exploitation d’un service de change de cryptomonnaies permettant de convertir les bitcoins en leur possession en Monero. Ils ont cependant agi avec prudence en procédant au change d’une partie seulement du montant en leur possession.
Forbes rapporte que 13,5 bitcoins, soit l’équivalent de 36 922 $, ont été convertis en Monero par le biais de Shapeshift.io, un service de change suisse. « Les transactions sur le réseau Monero sont entièrement anonymisées », a déclaré Giancarlo Russo, CEO de Neutrino, une firme de sécurité italienne. Ce dernier ajoute même qu’« il ne sera plus possible de tracer les futures transactions ». Les cybercriminels seraient donc, comme qui dirait, en train de réussir le pari de s’approprier cet argent sans se faire identifier.
Le service de change de la société suisse permet d’effectuer une transaction sans qu’il ne soit nécessaire de créer un compte. Cet état de choses a dû contribuer à faciliter la tâche des cybercriminels qui, selon la société en question, ont fait un usage frauduleux de son service. « À compter de ce jour, nous avons pris des mesures pour bannir toutes les adresses connues par notre équipe comme étant liées aux auteurs du ransomware WannaCry, ce, conformément à nos termes de service », a déclaré un porte-parole de ladite société.
« De plus, nous nous engageons à collaborer avec les forces de l’ordre impliquées dans ce cas et les assisterons dans leurs moindres requêtes pour appréhender les auteurs de ces actes », a-t-il conclu.
Difficile cependant de dire quelle est la direction que les bitcoins restants ont prise. Le fait que les cybercriminels aient procédé en plusieurs retraits suggère néanmoins qu’ils ont fait usage d'autres services de change pour positionner leurs avoirs sur un réseau plus sûr pour eux.
Source : developpez.com
