Archives de catégorie : Attaques

Intelligence artificielle

L’intelligence artificielle est un concept nouveau depuis 30 50 ans (mince, c’est encore plus vieux que je ne le pense). Quand j’ai commencé l’informatique, on parlait déjà d’intelligence artificielle, et déjà on était déçu des résultats, au point que l’acronyme IA se trouvait souvent remplacé par Informatique Avancée qui correspondait mieux à la nature profonde du sujet. Le marketing ou nos peurs primaires nous empêchent souvent de bien comprendre ce que recoupe cette notion d’intelligence artificielle. Mais parler d’intelligence artificielle est nettement plus vendeur que de parler de classification automatique de motifs complexes1.

Continuer la lecture

SuperFish

SuperFish est un outil publicitaire qui a défrayé la chronique en février 2015. Sa principale fonction était de délivrer de la publicité ciblée, en analysant le trafic réseau de l’ordinateur où il est installé. Le problème est qu’il est aussi capable de déchiffrer les communications théoriquement sécurisées (par SSL ou TLS), via des techniques de type man-in-the-middle. Il a été installé sur de nombreux ordinateurs Lenovo.

Epilogue

Lenovo Ordered to Pay $7.3M in Superfish Fiasco

Uber

Sacré Uber ! A leur sujet, je balance entre les pires des filous et les meilleurs bidouilleurs dans leur genre. Après une sombre histoire de batteries, les revoici encore pour nous montrer que leurs développeurs (ou ses cadres de vente) ont de sacrées idées !

L’histoire de la batterie

Tout çà ne serait qu’une boutade : Uber jure que l’information n’est pas utilisée pour de vrai. Avec des explications un peu confuses, on apprend sur le site npr.org1 que le chef marketing d’Uber a constaté que ses clients seraient enclins à payer plus cher une course quand leur smartphone est à court de batterie. On le comprend aisément : quand le téléphone va lâcher, on manque de temps pour faire sa réservation donc on accepte plus facilement ce qui est proposé2.

La question est : comment Uber sait que vous êtes à sec ? Simple : cela fait partie de ce qu’on peut savoir sur votre téléphone, par exemple s’il est en mode économie de batterie. Cela aide certaines applications pour continuer de fonctionner (elles peuvent ainsi désactiver des fonctions trop gourmandes en énergie), mais cela intéresse aussi le marketing. Autant le procédé est discutable, autant la trouvaille est toute en finesse.

Légal mais pas moral

Sans jeter l’opprobre sur Uber (bien que je n’apprécie pas vraiment cette société), ce subterfuge est légal mais pas très moral. Ce sont aux clients de juger, mais Uber avait déjà été interrogé sur les prix pratiqués lors d’une prise d’otages à Sidney3, où les personnes voulant s’éloigner de la zone dangereuse ont vu les prix flamber.

What’s that Hell ?

C’est pas rien, mais c’est pas tout : Uber surveillait (surveille ?) de près ses concurrents, au point de mettre au point un programme (appelé Hell4) de traçage des courses des autres sociétés, grâce à de faux clients demandant de fausses courses sur les vrais sites, afin de voir la disponibilité et les tarifs dont on peut supposer que la connaissance a pu influer sur la priorisation et le coût des courses proposées. Bilan : un procès à venir5

C’est pas rien, mais c’est pas tout (encore). Les révélations se succèdent : Uber aurait détourné l’usage de certaines techniques pour pister les smartphones d’Apple6, afin de voir quels utilisateurs enfreignaient la politique d’utilisation d’Uber. Certes, le but avoué publiquement est la lutte contre la fraude7, mais avec leur propre recette dirons-nous, et en enfreignant à leur tour les conditions d’utilisation de l’Apple Store8, y compris en utilisant un blocage géographique empêchant de voir le code litigieux depuis le siège d’Apple. Ce qui signifie qu’ils savaient donc très bien qu’ils étaient en dehors des clous.

Innovation ?

Uber fait preuve de grande ingéniosité et d’innovation même, pourrait-on dire. Oui, mais vu les résultats économiques peu probants910 et les procès à venir, je ne suis pas sûr que la stratégie soit la meilleure et que la multiplication des opérations à la limite de la morale vont finir par peser sur la société.

Encore des histoires

Et encore un truc pas net : des caméras qui traquent les concurrents11 pour voir où ils sont, quand ça n’est pas des clients, des chauffeurs, etc. Si tout n’est pas avéré ni confirmé par Uber (of course), rien n’empêche que ponctuellement de telles initiatives aient pu avoir cours, et qu’elles ne soient pas connues à tous les niveaux. L’employé en question semble s’être baladé en Australie et à Singapour. Le logiciel employé aussi (Surfcam).

Canaux auxiliaires

Les attaques par canaux auxiliaires (ou side channel atacks en anglais) sont des attaques très particulières1, qui utilisent les propriétés physiques ou matérielles d’un composant ou d’un microprocesseur2. Tout peut servir : la chaleur ou le rayonnement émis, le temps de réponse, la consommation electrique, etc. En général, la cible est le processus de chiffrement pour attaquer les clés servant à sécuriser la transmission de l’information.

Théorique ou pratique ?

Bien que cela semble très conceptuel, plusieurs failles liées à l’exploitation de canaux auxiliaires ont été mises au jour récemment. En 2018, Intel en a fait les frais avec Spectre et Meltdown. A peine avait-il repris sa respiration qu’une autre faille a été divulguée, encore une fois sur la prédiction de branche.

http://www.cs.ucr.edu/~nael/pubs/asplos18.pdf

Linky

Le compteur électrique dit « intelligent » est un objet connecté qui est un très bon exemple d’exploitation de canaux auxiliaires pour déduire des informations personnelles à partir de mesures physiques (l’intensité du courant principalement).

Le distributeur d’électricité vous vante de pouvoir vous fournir un service adapté, ainsi que des offres les plus compétitives pour vous. Mais comment arrive-t-il à cela ? En récupérant de très nombreuses mesures au niveau de votre habitation, jusqu’à toutes les demi-heures3 ! On peut ainsi, de façon indirecte, en déduire beaucoup de choses sur vos habitudes, votre présence à votre domicile ainsi que votre activité. Et personnellement je ne le souhaite pas, et je n’ai pas non plus besoin de ce service qui est en plus difficile (et même interdit) de refuser4.

La CNIL s’est penchée sur le compteur5, sans rien trouver à redire, à part quelques conseils et éclaircissements. Les informations les plus détaillées (ou plus précisément celles relevés plus souvent qu’à la journée) nécessitent l’accord explicite de l’abonné.

Objets connectés

Tout comme Linky, les objets connectés peuvent être source d’informations personnelles de façon indirecte, dès qu’ils sont en capacité de capter et mesurer des informations liées (directement ou indirectement) à l’activité d’une personne, d’un foyer ou d’un système quelconque. Un capteur de température réglant le chauffage est ainsi en mesure de savoir si un pièce est occupée ou non assez facilement.

Bibliographie

Voir aussi

Serverless functions

Principe

Les principe des serverless functions (fonctions sans serveur) consiste à mettre à disposition, pour un client, un environnement d’exécution géré par l’hébergeur (et non par le client) permettant de faire tourner un script ou programme ayant une durée de vie assez courte, par exemple en réponse à un événement quelconque.

Continuer la lecture

S3

S3 (Amazon Simple Storage Service) est un service de stockage d’objets en ligne d’Amazon Web Services (AWS). Bien que très pratique, il peut être très mal utilisé. Résultat : on assiste en ce moment à un florilège de divulgation de données via des S3 fonctionnant très bien mais mal paramétrés.

Il existe des variantes avec d’autres produits mal configurés, comme le service ElasticSearch, qui peut se révéler tout aussi fatal aux informaticiens peu consciencieux (ou débordés), ou la base MongoDB mal sécurisée par défaut.

Continuer la lecture

ElasticSearch

ElasticSearch est un moteur de recherche et d’analyse RESTful distribué, d’après son site web (elastic.co). Très utilisé et même proposé sous forme de service par AWS, ce produit permet de gérer des recherches sur de grandes quantités de données.

C’est bien.

Mais cela devient moins amusant quand on le configure mal, les informaticiens pouvant être peu consciencieux ou débordés. Le résultat est alors sans appel : des moteurs de recherche internet (comme Shodan) indexent (trop) facilement les contenus mal protégés, et l’énorme quantité des données gérées par ElasticSearch deviennent purement et simplement disponibles et accessibles à la moindre requête anonyme.

Continuer la lecture

Objets connectés

Le terme objets connectés me semble plus approprié que l‘internet des objets, qui prend les choses dans le mauvais sens en partant d’internet pour arriver aux objets, et qui est également trop limitatif car le vrai enjeu n’est pas tant d’être sur internet que d’être relié à d’autres objets.

Le ‘S’ dans IOT c’est pour « Sécurité ».

Blague anonyme

Les objets connectés existent depuis longtemps, sur l’échelle de temps informatique. Un ordinateur ou un serveur informatique étant des objets, il y a belle lurette que la connexion est faite. Le vrai changement est qu’en suivant la vague de miniaturisation et de banalisation des composants informatiques, on peut désormais coller partout ces composants, jusque dans votre pacemaker12, permettant notamment des fonctions évoluées mais aussi de la communication avec d’autres objets, sur internet ou pas.

Cela concourt selon moi à rendre ces objets menaçants, car comme souvent toujours en informatique, la sécurité n’a été abordée qu’après coup, car le bénéfice immédiat (réel) a souvent coupé court à toute autre réflexion.

Marchera pas

Difficile de penser qu’on arrivera facilement à un niveau de sécurité acceptable dans le monde des objets connectés, car la multiplicité des acteurs3 et leur féroce concurrence commerciale, le manque de culture sécurité et le coût nécessaires à cette sécurisation sont des freins puissants sur le chemin de cet objectif. Quant aux mauvaises habitudes, elles perdurent et les mots de passe par défaut continueront à nous jouer des tours, jusqu’à transformer un aspirateur45 en espion (puisque les aspirateurs automatiques ont des caméras pour se diriger).

Innovons

Que n’ai-je entendu que j’étais un râleur patenté, un pessimiste né, un rétrograde primaire, tout ça parce que je pestais (et peste encore) contre l’innovation bête et stupide, ainsi que sa glorification béate (toute comme pour les start-up) sans prise de conscience de l’ensemble des enjeux liés à ladite innovation.

Aspirateurs connectés

A partir du moment où votre aspirateur5 devient un objet connecté, attendez vous au pire. Toute caméra peut devenir un espion potentiel. Donc tout objet connecté, même anodin, peut recueillir (et donc transmettre) plein d’informations vous concernant, et à l’ère du big data, l’utilisation qu’on peut en faire est quasiment infinie.

Des chercheurs ont même réussi à transformer un aspirateur-robot en centre d’écoute : ils ont détourné l’usage du « lidar » (le radar dont se sert le robot pour se déplacer) pour capter les vibrations sonores sur les surfaces rencontrées6, et en déduire les conversations. Seul élément rassurant : vous parlez beaucoup, quand l’aspirateur marche ?

Avions connectés

Cela fait beaucoup moins rire de parler du danger des connexions dans les avions que pour les réfrigérateurs : autant un frigo qui envoie du spam ou qui commande une pizza, cela prête à sourire, autant la perspective d’un avion qui s’écrase fait froid dans le dos. Or dans objets connectés il y a aussi avions connectés. Et le département de la sécurité intérieure aux Etats-Unis nous dit que ce n’est qu’une question de temps7 avant qu’un avion ne soit piraté, avec les conséquences catastrophiques que l’on peut imaginer. Ils ont réussi à la faire avec un Boeing 737, on peut voir une analyse de risque ici.

Voitures et deux-roues connectés

Entre les scooters électriques (ou les vélos) en libre-service qu’il faut suivre pour leur entretien, ou les voitures se conduisant toutes seules, les interactions informatiques sont forcément très nombreuses. Donc récolte de données à gogo8 et réutilisation par toujours contrôlée, surtout en cas de faille.

Un autre exemple ? Volontiers : les trottinettes Xiami M365 peuvent être (au moins partiellement) contrôlées par un pirate9, qui peut agir sur le freinage ou l’accélération avec les conséquences qu’on peut imaginer.

N’importe quoi connecté

Parfois on trouve des failles non seulement dans les objets connectés, mais aussi dans les centrales électroniques censées les contrôler. En gros, si par extraordinaire vous utilisez un objet connecté non troué (= non vulnérable), alors il faudra vérifier que votre hub10 soit également bien protégé.

Menaces

DDoS et Botnets

Puisqu’il est si facile de prendre le contrôle d’un grand nombre de machines informatiques reliées à internet, les objets connectés sont tout naturellement d’excellents candidats pour construire un réseau de machines zombies (botnet). Et les méchants ne s’en privent pas. Les objets connectés piratables, zombifiables et contrôlables à souhait sont du pain béni pour les attaques de type DDoS (déni de service) ; Mirai en a été le premier exemple marquant.

Conséquences juridiques

Les conséquences juridiques sont difficiles à appréhender à l’émergence d’une nouvelle technologie (ou de son expansion). Or, tout comme la sécurité, les aspects juridiques sont trop souvent négligés11, et ça n’est qu’au moment d’une catastrophe, d’une attaque ou d’un litige qu’on se rend compte qu’on ne maîtrise ni la situation technique ni les conséquences juridiques (et judiciaires) de cette technologie.

En 2019 : rien de nouveau

Étonnamment, malgré des alertes renouvelées et argumentées, malgré des compromissions, les fabricants d’objets connectés continuent leur déni12 et la situation ne s’améliore absolument pas. En cause, toujours les mêmes facteurs :

  • La course au prix le plus bas (la sécurité étant vue comme source de surcoût initial) ;
  • La course à la part de marché et le time-to-market : faut être le premier, et pas le meilleur. Or la sécurité demande de réfléchir, donc du temps que les industriels ne se donnent pas.

En 2020 : rien de nouveau

Une étude de Palo Alto Networks13 enfonce le clou : sur le million d’objets connectés étudiés, 98% des flux réseaux circulent en clair, avec les risques de fuite d’information et de détournement associés, 57% sont vulnérables à des attaques ayant des impacts moyens ou élevés, dans l’industrie et les milieux hospitaliers, les objets vulnérables sont sur les mêmes VLAN que les dispositifs traditionnels, les mots de passe sont majoritairement faibles voire encore triviaux, etc.

The Internet of Things is a security nightmare reveals latest real-world analysis: unencrypted traffic, network crossover, vulnerable OSes

Sources

theregister.co.uk

Une autre étude de Zscaler14 est moins pessimiste, mais pas plus rassurante pour autant : seules 17% des « transactions » sont chiffrées. Cela s’explique probablement par un panel d’étude différent, avec d’autres usages et donc d’autres types de machines, mais ça reste pas beaucoup…

Sources

Voir aussi

Attaque et défense

La défense semble une posture normale pour tout entité, vivante ou organisationnelle. Il va de soi qu’un Etat va chercher à se défendre et à défendre ses concitoyens, tout comme n’importe quel individu. L’attaque dépend d’autres facteurs, et cette capacité a longtemps eu une place à part en informatique, car cela a toujours été considéré comme l’apanage des méchants. L’informatique était considérée comme un outil de production, qu’il fallait protéger et garder en état de marche.

Continuer la lecture

KRACK

Un petit incident concernant le protocole utilisé dans quasiment tous les réseaux wifi actuels, auquel on a donné le nom évocateur de KRACK, est apparu (c’est-à-dire qu’on a communiqué publiquement dessus) aujourd’hui (16 octobre 2017).

En quelques mots : une personne (un équipement) captant physiquement le signal wifi WPA2 d’un réseau, même chiffré en bonne et due forme, peut déchiffrer tout le trafic, et donc lire tout ce qui y passe : la couche de protection WPA2 devient inutile. Si les informations qui transitent sur le réseau ciblé sont en clair, alors on peut les lire sans que vous ne vous en aperceviez. Par contre ce qui est chiffré au niveau supérieur (https, ssh, etc) reste tel quel, avec le niveau de protection attendu.

Il s’agit du genre de problème de sécurité1 énorme dont la célébrité lui vaut d’avoir son site web dédié, ses articles de presse et même un tweet du Ministère de l’Intérieur français. Quant aux solutions, elles seront longues à mettre en place car le protocole lui-même est en cause : même en le suivant scrupuleusement et sans erreur, votre implémentation est à risque. Et comme il est mis en place massivement depuis 15 ans, imagions ensemble le nombre d’équipements (réseaux et ordinateurs) à mettre à jour.

Patch à droite ou à gauche ?

Je n’arrive pas à voir clair pour le moment : je ne sais pas s’il suffit de mettre à jour le client pour éviter le problème, ou s’il faut que le client et le serveur (routeur) soient tous les deux corrigés. Je suppose que pour une correction totale incluant le protocole, il faudra que l’ensemble des équipements soient mis à niveau. Mais il semblerait que patcher le client suffise. A suivre.

Windows

Côté Windows, la mise-à-jour de sécurité semble dater du 10 octobre 2017, soit quelques jours avant la publication des premières infos sur le sujet. Le détail ne sera publié que le 1er novembre, le temps que les correctifs se diffusent. Un article détaillé (paper) est toutefois déjà disponible. S’il décrit en détail le problème, je n’ai pas vu de détail sur les exploitations possibles ; seuls quelques scénarios sont esquissés (en attendant l’ACM Conference on Computer and Communications Security du 1er décembre).

Dans sa mise-à-jour d’octobre, Microsoft a corrigé la vulnérabilité suivante : CVE-2017-13080. Après, une bonne douzaine de CVE ont été réservées pour la description de tous les problèmes identifiés, donc ça semble un peu peu. On verra par la suite…

WPA3

En juin 20182, une nouvelle version de la norme WPA, estampillée 3, voit le jour sous sa forme finale, avec la promesse de combler les failles présentes dans la version 2, ainsi que la limitation des attaques par dictionnaire. WPA3 n’est pas encore obligatoire, et un dispositif WPA2 pourra se connecter sur du WPA3. Espérons que cela n’introduise pas de faille du genre Freak.

Voir aussi

Heartbleed

Heartbleed est le nom donné à une faille dans une implémentation d’openSSL.

OpenSSL : c’est quoi ?

Avant toute chose, il faut savoir que SSL (dont les versions récentes s’appellent TLS) est un protocole qui permet de chiffrer des communications sur internet et d’authentifier une machine (un serveur web par exemple). Chiffrer, c’est rendre illisible un message à tous ceux qui ne disposent pas de la clé de déchiffrement. Ce protocole est très utilisé sur internet, et openSSL est un des outils d’implémentation de SSL parmi les plus utilisés.

Quand vous vous connectez de manière sécurisée sur un site web, vous passez par https et plus de la moitié de serveurs web dans le monde utilisent openSSL pour réaliser cette connexion https.

Quelle est la faille ?

La faille permettrait à un attaquant d’avoir accès à certaines données chiffrées lors des communications SSL sur les sites utilisant les versions vulnérables. En conséquence, certains mots de passe (voire certains certificats) pourraient être compromis et donc réutilisés par l’attaquant.

Quel est le composant touché ?

La faille est exploitable quand une version vulnérable d’openSSL est installée sur le serveur web. OpenSSL est un logiciel open source. Seules certaines versions sont vulnérables :

La branche 0.9.8 n’est pas touchée, et la correction est présente à partir de la version 1.0.1g

Sources

  • http://heartbleed.com/
  • https://www.openssl.org/news/secadv/20140407.txt
  • https://www.20minutes.fr/high-tech/1348577-20140410-heartbleed-faire-proteger-faille-securite-geante
  • http://www.lemonde.fr/technologies/article/2014/04/11/faille-heartbleed-les-sites-pour-lesquels-il-est-conseille-de-changer-son-mot-de-passe_4399564_651865.html
  • http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html
  • https://www.nextinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm

StageFright

Dévoilée durant l’été 2015, StageFright est une faille concernant les systèmes Android. Elle a été découverte dans une bibliothèque multimédia servant à lire des vidéos envoyées par MMS, et permettrait de prendre le contrôle du terminal (smartphone ou tablette) à l’insu de l’utilisateur.

Qui est concerné ?

Cette bibliothèque est  utilisée par les systèmes Android depuis la version… 2.2, ce qui fait qu’environ 95% des terminaux Android seraient, au final, concernés.

Les versions les plus vulnérables seraient les 2.3 (« Gingerbread ») et 4.0 (« Ice Cream Sandwich »). A l’inverse, les versions plus récentes (ultérieures à  4.0) semblent légèrement moins vulnérables.

Quels sont les problèmes ?

Les principaux problèmes sont de deux natures :

En effet, l’écosystème Android est très fractionné et hétérogène : de multiples versions de l’OS sont actives, et le déploiement des mises-à-jour dépend fortement des partenaires (constructeurs et opérateurs). Il est donc malheureusement possible que le correctif n’atteigneque très lentement (voire jamais) certains terminaux Android.

Et maintenant ?

Suite à cette faille, Google, Samsung et LG se sont engagés sur la voie de mises-à-jour mensuelles du système d’exploitation Android, à l’instar de ce que fait Microsoft. C’est une bonne chose en termes de sécurité, mais cela ne représente qu’une partie seulement des terminaux.

La seule solution efficace (en attendant la correction au niveau système) est de désactiver le chargement automatique des photos et vidéos (principalement dans les applications de gestion de SMS/MMS comme Hangout), et de ne pas lire les SMS/MMS de provenance inconnue. Hélas, là encore, le mode opératoire dépend de la version d’OS Android utilisée… On peut le trouver par exemple chez Avast (https://www.avast.com/fr-fr/faq.php?article=AVKB230).

ZeroFont

La technique ZeroFont (ou de la fonte zéro, en french) est une technique à la fois subtile et basique, employée depuis longtemps, puis oubliée, puis remise au goût du jour pour contrer les plus performants des outils de lutte contre la cybercriminalité, notamment contre le phishing.

Quel intérêt ?

Le principe est d’inclure dans un document du texte dont la taille de fonte est zéro. Ainsi, on obtient un texte visible différent du texte codé informatiquement dans le fichier concerné (en général un mail).

Basiquement

Dans le temps, ça pouvait à la rigueur permettre de passer des informations « secrètes » dans un fichier d’apparence anodine, mais ça ne mène pas très loin et cela ne peut tromper qu’un contrôle visuel réalisé par un humain. Je ne crois pas que cela ait beaucoup servi.

Subtilement

Ce qui était bourrin en son temps est devenu subtil plus tard, à l’ère de l’intelligence artificielle et des contrôles informatiques à profusion. Aujourd’hui, de nombreux outils de sécurité, dont le filtre antispam de Microsoft pour son produit Office 365, utilisent de l’analyse de texte en langage naturel, afin de déceler des anomalies dans le texte d’un message de mail, par exemple : si le contenu prétend provenir d’Apple et que l’adresse mail utilisée n’a rien à voir, la suspicion de phishing augmente !

Or si vous insérez des caractères invisibles à l’œil nu un peu partout dans un mail de phishing, alors le contenu du mail n’aura aucun sens mais le destinataire du mail lui verra ce que le pirate veut bien qu’il voie !

(illustration)

Une variante

D’autres méthodes peuvent tromper les robots anti-spam : une police spéciale dont les lettres sont dans le désordre. Ainsi un caractère A affiche S (par exemple), B affiche D, etc. Le texte est illisible (ou anodin) pour un robot mais un lecteur humain verra tout autre chose1… Malin !

Source

  • https://www.avanan.com/resources/zerofont-phishing-attack

Filoutage

Une page spéciale est consacrée au phishing (ou en français « hameçonnage », mais c’est pas très joli). Il s’agit d’une menace classique mais très répandue.

Il s’agit d’un procédé dont le but est de vous faire avouer vos codes secrets (mot de passe) ou vos coordonnées bancaires en se faisant passer pour un mail officiel.

Principe

On vous envoie un mail qui imite ceux de l’organisme visé (une banque ou un site marchand en général) qui vous incite à resaisir vos mots de passe, sous un (fallacieux) prétexte de mise-à-jour de sécurité ou n’importe quoi d’autre. Pour cela, le mail contient un lien web sur lequel vous devez cliquer pour resaisir votre mot de passe. Or ce lien web vous envoie vers un faux site lui aussi semblable au site officiel, mais ce faux site n’a d’autre but que de stocker vos codes secrets…

Soyez extrêment vigilants !

Quelques indices doivent vous mettre la puce à l’oreille…

Le message n’est pas en français ou est dans un français approximatif : les organismes officiels et les banques français communiquent souvent en français et le texte est souvent lu, relu et vérifié… Le message vous incite à ressaisir votre mot de passe : à ma connaissance, aucune application informatique sérieuse n’a besoin qu’on ressaisisse des données (surtout un mot de passe !) suite à une mise-à-jour ni même suite à un piratage… Il n’y a que pour des petits sites web amateurs ou des informaticiens de (très) bas étage que des données sont perdues. Sinon les sauvegardes et les procédures sérieuses de test empêchent ce genre de problème. Le lien proposé ne correspond pas à ce qui est affiché : on vous affiche un lien avec un texte qui semble sérieux, mais en passant la souris par dessus, on peut voir l’adresse réelle vers où le lien vous dirige, en regardant en bas de votre navigateur.

Qu’est-ce qu’un « faux » lien web ?

Ça n’est pas à proprement parler un faux lien, c’est juste que naturellement on a tendance à croire ce qu’on voit. Il est également habituel sur les sites web que le texte affiché corresponde au lien vers lequel on est redirigé.

Exemple : secu.si

Passez votre souris par dessus le texte, et regardez en bas de votre navigateur : vous allez voir (tout en bas) l’adresse vers laquelle vous êtes redirigé. J’ai écrit cette page web de manière à ce que le texte de la page et l’adresse du lien soient les mêmes.

Mais tout ceci n’est pas obligatoire : rien n’empêche d’afficher un texte qui ne soit pas l’adresse du site mais un texte en clair…

Mais là où ça devient dangereux c’est quand des petits malins affichent un texte qui semble être une adresse web et qu’ils vous redirigent vers une autre adresse ! Ils jouent sur notre habitude que le lien web correspond très souvent au texte affiché. Rien de plus… Ci-dessous, vous avez un exemple qui vous permet de mettre ce que vous voulez comme texte. Et vous verrez que vous ne serez pas du tout dirigé vers le site que vous afficherez…

Une autre forme de filoutage, plus perverse : l’homographie. Ici, l’adresse semble correcte, visuellement, mais ce n’est qu’une apparence trompeuse, jouant sur la diversité des alphabets mondiaux et leur représentation graphique, parfois équivoque.

Les parades

  • Le bon sens
  • Taper soi-même l’url

L’évolution

Les attaques informatiques ciblent de plus en plus les utilisateurs, puisque les infrastructures sont de plus en plus sécurisées : il devient donc difficile d’attaquer directement les machines, donc on passe par l’utilisateur qui est faillible, et dont le niveau de vigilance ne peut être constant.

Il faut s’attendre (cf. tendances 2020) à ce que les mails soient de mieux en mieux écrits, comme dans le cas d’une attaque contre les Nations Unies1 début 2020.

Outils

A qui la faute ?

Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace.

Continuer la lecture

Homographie

L‘homographie est une technique d’attaque visant à créer une URL visuellement identique mais distincte d’une URL légitime, en utilisant des caractères Unicode s’affichant comme les caractères normaux.

Pourquoi ça marche ?

Depuis 20031, l’ICANN a introduit la possibilité d’avoir des URL en caractères non-latins. Unicode permet l’utilisation d’une très grande variété de jeux de caractères, dont le cyrillique souvent utilisé dans ce type de tromperie. Les formes de caractères sont si diverses qu’on arrive à trouver des caractères non-latins ressemblant beaucoup aux caractères latins. Il suffit de les substituer pour avoir une URL différente mais ressemblant visuellement à l’URL visée. L’ICANN a bien mis en garde contre cela2, sans grand succès.

Un exemple

  • ssi.ninja : 73 73 69 2e 6e 69 6e 6a 61
  • ssi.ninjа : 73 73 69 2e 6e 69 6e 6a 430

Des exemples apparaissent régulièrement de ci de là, un exemple typique a été analysé par Zscaler3 sur le domaine jetairways.com.

Comment s’en prémunir

Cette attaque est très sournoise, car le nom de domaine frauduleux peut être répété partout sans que cela ne se voit de prime abord.

  • Dans Firefox, on peut forcer l’affichage de l’URL décodée4, en positionnant la variable network.IDN_show_punycode à true. Cela n’est pertinent que si vous êtes sûr de ne jamais utiliser d’URL non-latine, car sinon vos URL deviendront moins lisibles.
  • 01Net recommande l’usage du gestionnaire de mot de passe, car il se basera sur l’URL réelle et ne sera pas abusé visuellement. Sauf que moi je déconseille l’usage du gestionnaire de mot de passe dans le navigateur, sans compter que vous pouvez malencontreusement mémoriser votre mot de passe sur la mauvaise URL…
  • Vous pouvez aussi taper vous même l’URL, manuellement. Pas pratique quand on veut suivre un lien compliqué.
  • La meilleure recommandation : n’aller que sur la version https et vérifier le certificat.

Ransomware

Un ransomware (ou rançongiciel) est un programme malveillant qui bloque l’accès à votre poste ou à vos données, en réclamant une rançon pour le débloquer. La plupart du temps, les données du poste sont chiffrées (données locales mais aussi les données des partages réseaux). 

Le déchiffrement est impossible, et les pirates ne redonnent pas nécessairement l’accès aux données, même en payant la rançon, souvent par manque de compétence.

En pratique

Comment éviter d’être touché ?

Ce programme malveillant se propage via des mails contenant soit un fichier exécutable dans une archive, soit un lien vers un site web compromis. La vigilance reste de mise : n’ouvrez jamais des pièces-jointes de mails douteux, et ne cliquez jamais sur des fichiers exécutables (.exe, .scr, .cab…), même si le mail semble provenir d’un expéditeur connu.

Par ailleurs, une bonne pratique est de réaliser régulièrement des sauvegardes de ses données importantes, autant à titre professionnel qu’à titre personnel. 

Quelle réaction si j’ai ouvert une pièce-jointe suspecte ?

Tout d’abord, sachez qu’il ne sert en général à rien de payer la rançon : les pirates ne proposent que très rarement un service après vente…

Les seules actions à entreprendre sont de contacter immédiatement votre correspondant sécurité (si vous êtes en entreprise) et d’éteindre votre poste immédiatement pour arrêter le processus de chiffrement et limiter les dégâts, surtout si vous n’avez pas de sauvegarde.

Par ailleurs, il est conseillé de ne pas rallumer le PC ni de se connecter à sa session (dans le cas des utilisateurs Citrix) avant que la désinfection ne soit confirmée.

Creusons

Regardons ce qui s’est passé du côté de deux grandes affaires récentes.

WannaCrypt et NotPetya

Tout d’abord un grand bravo et un grand merci aux Shadow Brokers : pour avoir (officiellement) voulu empêcher la NSA de nous espionner (en révélant leurs outils), ils nous empêchent juste d’utiliser nos ordis. On dirait du Wikileaks ou des Anonymous…  

Ces empaffés sont loin de connaître le principe de responsible disclosure, même s’il est vrai que les outils qu’ils ont mis au jour utilisaient des failles corrigées par Microsoft, mais force est de constater que la mise-à-jour des systèmes informatiques est une discipline difficile, et qu’il est à peu près certain qu’une faille même corrigée peut être exploitée encore longtemps ! Leur seule excuse est qu’ils sont peut-être liés à des acteurs russes1 ou autres, dont l’intérêt est au contraire de perturber le plus possible les systèmes d’informations étrangers (et la NSA du même coup).

Premier bilan

Des dizaines de milliers d’ordinateurs contaminés2 par WannaCrypt ! Moi je dis : chapeau. Ces publications sont une aubaine pour les perturbateurs de tout poil (cybercriminels, états, groupe d’intérêts divers)3.

Cyberattaque

On a parlé dans les media de cyberattaque. Mais ça n’est pas parce que les dégâts sont visibles et parfois importants que nous sommes face à une vraie cyberattaque. Ici, on s’approche plus de la pêche à la ligne que dans la salve de roquettes : on balance un  hameçon et on regarde ce qu’on accroche au fil du temps. On est plus confronté à une cyberdéfaillance ou une cyberinfection qu’à une cyberattaque : l’ampleur des dégâts est proportionnelle à la négligence des services IT qui tardent à faire passer les mises-à-jour de sécurité ou à migrer sur des produits maintenus. Maintenant, les causes profondes peuvent être diverses (le budget IT étant sujet à tellement de contraintes…).

Et ensuite ?

Après, peu importe qui est derrière l’attaque (bien que ce mot soit galvaudé et hors de propos, cf. les propos de Jean-Marc Manach4, bien que je sois habituellement méfiant de ce qui vient de Slate.fr) : n’importe qui peut être derrière5, et c’est bien le problème. Il va falloir vivre avec cet héritage de la NSA et de toutes les agences de renseignements du monde dont une cible majeure est désormais nos ordinateurs ; enfin, les ordinateurs des méchants, mais les programmes malveillants ne font pas la différence, et si ces derniers tombent dans des mains criminelles ou inexpérimentées, le scenario de WannaCry se reproduira.

Il faudra redoubler d’attention lors des sauvegardes afin de ne pas sauvegarder les fichiers chiffrés ! Ou sinon s’assurer qu’une gestion de version conservera les versions précédentes, accessibles à l’utilisateur légitime. Microsoft a intégré une protection6 contre le chiffrement non souhaité dans ses solutions Office 365/OneDrive et Outlook. Reste que j’aimerai bien que Microsoft mette également une solution de chiffrement souhaité.

Quand à NotPetya, arrivé dans la foulée, d’autres éléments tendent à nous faire penser que l’apparence est trompeuse et qu’il s’agirait plutôt d’une véritable attaque informatique camouflée en ransomware ! Chiffrer des données sans garder aucun trace de la clé de chiffrement constitue un très bon moyen d’effacer ces données7, et donc potentiellement toutes les traces d’une activité illégale.

Voilà l’occasion de rappeler que l’attribution d’une attaque est souvent difficile.

Faut pas payer mais pourtant…

En 2019, les attaquants se sont rendus compte qu’une entreprise était bien plus disposée à payer pour récupérer ses données, car il est souvent plus facile de le faire en payant la rançon qu’en restaurant à partir de sauvegardes (on a vu en pratique que cela peut prendre plusieurs semaines). Exemples : Baltimore, Cognac

Ainsi, deux fois plus d’entreprises (40% en 2019 contre 19% en 2018) touchées par un ransomware on payé la rançon pour récupérer leurs données. Un signal très positif pour les cybercriminels… De son côté le FBI estime que 140 millions de dollars de rançon8 ont été versés en six ans.

Après, on peut aussi prendre une assurance couvrant ce risque, mais certaines d’entre elles conseillent, lorsque le sinistre se produit, de… payer la rançon ! Car cela coûte moins cher que de remettre en état le SI, et donc l’assureur aura moins d’argent à débourser en remboursant l’équivalent de la rançon… C’est du joli !

Voir aussi :

Des exemples à ne pas suivre

Voilà ce qui arrive quand on paye : ça recommence ! Une fois la rançon payée pour éviter la divulgation, que vont faire les pirates qui s’ennuie ? Ils vont redemander une rançon… Ca peut durer longtemps.

Les recommandations du FBI

De plus en plus sollicité sur le sujet, le FBI a émis les recommandations suivantes :

  • Ne pas payer !
  • Avoir des sauvegardes hors-ligne de ses données essentielles (et plus) ;
  • Avoir des copies des données essentielles en ligne dans le cloud (NDLA : chiffrées) ou sur un disque externe (un peu redondant avec la précédente, mais on peut interpréter cela comme « avoir plusieurs jeux de sauvegardes sur différents supports ») ;
  • Sécuriser ses sauvegardes, en les rendant inaccessibles aux intrus (au moins interdire les modifications et l’effacement) ;
  • Avoir un antivirus sur chaque terminal (çà ne mange pas de pain) ;
  • N’utiliser que des réseaux sûrs et maîtrisés (facile à dire !), imposer les VPN pour les connexions externes, éviter les Wifi publics ;
  • Utiliser une authentification renforcée (au moins deux facteurs robustes) ;
  • Mettre-à-jour les postes et applications (NDLA : et les infras) avec les correctifs de sécurité ASAP.

A bien y regarder, ce sont les conseils de base pour tout système informatique, quelle que soit la menace.

Sources

DDoS

Une attaque en déni de service consiste à saturer les ressources d’une machine ou d’un service, de façon à le rendre indisponible pour ses utilisateurs.

Motivations

Elles sont classiques : empêcher un site de fonctionner peut avoir des effets sur l’image du propriétaire ou sur son activité économique (un site web produit souvent du chiffre d’affaire pour des entreprises commerciales).

Une attaque de ce type peut s’appuyer sur un réseau de botnets ou sur des failles présentes sur de multiples serveurs, comme l’attaque via des servers memcached.

  • http://www.toptenreviews.com/business/internet/best-ddos-protection-services/
  • http://www.forbes.com/sites/thomasbrewster/2016/09/25/brian-krebs-overwatch-ovh-smashed-by-largest-ddos-attacks-ever/#f96dbbb6fb61

Bas niveau ou haut vol ?

Les attaques de bas niveau (niveau réseau) sont les premières formes d’attaques de déni de service. Aujourd’hui, on s’attaque plus à la couche applicative, de niveau 71.