Archives de catégorie : Attaques

Piratage matériel

L’informatique, c’est aussi physique, comme je le dis quelque part sur ce site. On pense souvent que pirater un système informatique revient à trouver le mot de passe ou la formule magique qui vous permet de rentrer dans le système ou d’en prendre le contrôle. Et qu’il s’agit donc d’une action logique et immatérielle.

Or les systèmes informatiques sont faits de composants électroniques et électriques qu’il est tout aussi envisageable d’attaquer et de modifier pour en prendre le contrôle. Il existe même des sites web qui proposent toute une panoplie d’outils matériels servant à vérifier la sécurité des vos systèmes (car le piratage est interdit), ou à aider à une conception sécurisée grâce à la connaissance des composants critiques qu’on peut être amené à utiliser.

Différentes techniques d’attaques

Imaginer que la recherche du mot de passe (du code secret) est la seule méthode d’attaque et la seule préoccupation des pirates vous amènera à de très cruelles désillusions. Même si votre code secret reste parfaitement secret, un pirate pourra prendre le contrôle du système que vous voulez protéger.

La sécurité de la biométrie repose en partie sur des idées fausses. On pense en effet qu’il suffit qu’il soit impossible de copier ou reproduire la minutie (la caractéristique biométrique telle que l’empreinte digitale, la forme de l’iris, l’ADN, etc.) pour que ce type d’authentification soit sur. D’une part c’est faut, mais en plus il est aussi possible (et facile) d’attaque le capteur biométrique qui est un élément trop souvent négligé.

Outils intéressants

iPhone

  • GrayKey iPhone Unlocker, système permettant de déverrouiller un iPhone (récent)1

Non classés

  • https://www.sparkfun.com/news/1314
  • https://redteamtools.com/espkey

Patriot Act

De son vrai nom USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Les américains ont une propension étonnante à l’USA-centrisme. Tout tourne autour d’eux : quand un exterminateur (une météorite dévastatrice) tombe sur la Terre, c’est aux Etats-Unis. Idem pour toutes les catastrophes menaçant l’humanité toute entière.

Continuer la lecture

Espionnage

Comment ? Qu’est-ce qu’on me raconte ? Les espions espionnent ? J’en tombe des nues ! Les révélations de Snowden ont mis au jour les programmes de la NSA visant entre autres à espionner les gens. Si on peut s’étonner de l’ampleur de ces programmes et de la sophistication des outils mis-au-point par cette agence, on ne peut pas en revanche s’étonner de voir des espions espionner : cette activité humaine est une des plus vieilles du monde (pas de commentaire svp).

Passage de frontière

Passer les frontières avec un ordinateur peut aussi se révéler un exercice compliqué. Il devient de plus en plus fréquent dans les entreprises ou les administrations de donner des consignes strictes à ce sujet1, qui peuvent se résumer en : n’emportez rien !

Gaz à tous les étages

 Pas plus tard que lundi [4 mai 2020], Jean-Luc Vuillemin (directeur réseaux et services internationaux chez Orange) expliquait que le FAI doit faire face à « un nombre de coupures des câbles sous-marins sans égal depuis plusieurs décennies »2.

NextInpact

Pourquoi couper des câbles de communication sous-marins ?

Aujourd’hui, la communication est numérique. Pour intercepter les flux, le plus facile est de cibler les points de concentration, comme les dorsales, c’est-à-dire les autoroutes intercontinentales constituées de ces câbles de communication. Il y a alors deux possibilités :

  • Le plus simple et le plus voyant : espionner les points d’arrivée sur les continents (ou les pays). Le problème est que c’est visible et donc, en pratique, ça n’est facile que pour l’état où se situe le cabanon…
  • Le plus compliqué mais le plus discret : monter une dérivation (ou un point d’écoute) en plein océan, loin de toute surveillance humaine.

Pourquoi voler des données ?

L’actualité a montré un intérêt certain des pirates pour les données des voyageurs d’hôtel. Il est à parier que ça n’est pas pour valider leur avis sur les sites de voyage, mais plutôt pour tracer les déplacements de certains individus intéressants3. Et oui, les espions espionnent les espions…

Bug SSL (Apple)

Je classe la vulnérabilité CVE-2014-1266 parmi les énigmes de sécurité informatique, comme l’affaire TrueCrypt, car les circonstances entourant ce bug SSL sont mystérieuses, et n’ont pas l’air d’avoir été éclaircies (en 2018).

Comme son nom l’indique, cette faille a été découverte en 2014.

Poodle

Poodle est le nom donné à une faille inhérente au protocole SSL v3.

Désactivation de SSLv2 et SSLv3 sur Plesk

Sur Plesk, il est possible de désactiver SSL v2 et v3 de façon définitive, grâce à un paramètre disablesslv3 qu’il faut positionner à true. J’avoue avoir eu un peu de mal à trouver comment faire, mais une fois que c’est fait, cela débarrasse de ce boulet !

Pour plus d’informations, il faut aller sur le forum Plesk. Et pour mémoire, voici la manip : 

# mysql -uadmin -p`cat /etc/psa/.psa.shadow` -Dpsa -e "insert into misc values('disablesslv3', 'true')"


# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

La 1ère ligne positionne le paramètre, la 2e permet de reconstruire les configurations nécessaires. Pour vérifier, tapez : 

# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep ssl_protocols

Il s’agit de la configuration de nginx, et les vieux SSL doivent avoir disparu.

Voir aussi Logjam.

Freak

Une de plus ! Freak est une faille quasiment de conception de SSL. Une fonctionnalité, diront certains.

Dans les années 1990, l’administration américaine s’inquiétait de la prolifération des systèmes de chiffrement, et craignait de ne plus en avoir le contrôle (comprendre : ne plus pouvoir déchiffrer les messages codés, en cas de besoin). Elle a donc décidée d’interdire l’exportation de tout ce qui était indéchiffrable avec les moyens de l’époque, d’où une limitation de la taille de clés (par exemple).

Les outils se sont adaptés en conséquence, prévoyant un mécanisme spécial « export » qui ramenait automatiquement à des valeurs convenables la complexité du chiffrement lors d’un échange, même si les deux parties pouvaient faire beaucoup mieux.

Avec le temps, cette limitation est tombée, mais le mécanisme servant à réduire la taille des clés a été reconduit dans la plupart des outils utilisés. Et on s’en est rendu compte seulement en 2015, alors que cette fonctionnalité était largement documentée, et n’était même pas cachée1 !

FREAK a touché toutes les bibliothèques SSL/TLS ou applications utilisant SSL/TLS ayant respecté la réglementation… et oublié de supprimé cette limitation quand les règles se sont assouplies. Exemple : openSSL, S-Channel, Chrome…

Liens externes

Logjam

Logjam est une nouvelle faille dans le désormais périlleux chemin de la cryptographie, touchant une étape de négociation lors d’une connexion [[TLS|SSL/TLS]]. Même si, comme Freak, son exploitation n’est pas forcément facile, cela va imposer à moyen terme l’augmentation de la longueur de certaines clés, ou l’utilisation de certains algorithmes à la place de certains jugés trop faibles, ce qui aura surtout pour effet de compliquer encore la vie des webmasters (et des navigateurs web).

En effet, à force d’augmenter la solidité des mécanismes de sécurité, on finit par demander beaucoup de calculs à la fois au serveur et au navigateur ; or tout le monde n’est pas obligatoirement à niveau, et on pourrait finir (par exemple) par rendre certains sites inaccessibles aux utilisateurs dont les ordinateurs (ou les navigateurs web) ne sauraient pas composer avec cette complexité croissante.

Une synthèse, avec un outil de test ainsi que les recommandations à suivre sont ici : weakdh.org.

Désactivation sur Plesk

Sur Plesk, si vous avez une version 2.2 d’Apache couplé à nginx, il faudra un peu ruser pour ne plus être exposé à Logjam. pour plus d »infos, allez voir le forum.

Il faut en premier lieu créer un fichier DH personnalisé, de complexité (longueur) suffisante : 

openssl dhparam -out dhparams.pem 2048

Ensuite, il faut un template personnalisé pour ses sites web, dans /usr/local/psa/admin/conf/templates/custom/domain. Le fichier à modifier est nginxDomainVirtualHost.php. Il faut ajouter l’option ssl_dhparam en lui mettant le fichier que l’on vient de créer. 

ssl_ciphers                 HIGH:!aNULL:!MD5;


ssl_prefer_server_ciphers   on;


ssl_dhparam             /dhparams.pem;

Ensuite on reconfigure et ça devrait aller. 

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Pour vérifier, tapez : 

# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep dh_param

Liens externes

  • http://www.nextinpact.com/news/94144-logjam-apres-freak-nouvelle-faille-dans-chiffrement-connexions.htm
  • http://forum.odin.com/threads/ssl-poodle-sslv3-bug.323338/#post-761018
  • https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

AMD, des failles

Allez, mettons tout le monde d’accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n’est pas une faille. Comme souvent, les détails ne sont pas dévoilés1 immédiatement, tant qu’on n’a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.

Continuer la lecture

4G

La 4G est un standard pour la communication des téléphones mobiles, dont plusieurs normes sont issues, comme LTE, WiMax, etc. Ce standard est basé sur IP, protocole internet.

Tout ce qui est informatique peut être attaqué

Or, comme je me le fais remarquer judicieusement, tout ce qui est informatique peut être attaqué d’une manière ou d’une autre. Des petits malins chercheurs se sont amusés à disséquer ce standard, et le résultat est implacable : il existe des tas de façons1 de trouer, poutrer, pirater un réseau 4G2. Triste époque.

Et ça va de mal en pis : en 2020, d’autres chercheurs estiment que la 4G LTE est complètement trouée et qu’il faudrait tout changer (émetteurs et récepteurs, donc toutes les antennes radios actuels et tous les smartphones actuels). Il n’y a que moi que ça inquiète ?

Icons made by photo3idea_studio from www.flaticon.com

Ghost

Ghost est une vulnérabilité touchant une libraire Linux, qui a été détectée puis… rien. Il a fallu plus d’un an et demi pour que cette faille soit prise en compte.

Liens

  • http://securityintelligence.com/wordpress-ghost-vulnerability
  • http://www.tomshardware.fr/articles/ghost-faille-linux-glibc,1-55391.html

Stuxnet

Stuxnet est un drôle de virus.

Voir aussi

Source originale partielle

{{Traduction/Référence|en|Stuxnet|en:Stuxnet}}

NSA

La NSA n’est plus à présenter, puisque c’est le plus gros employeur au monde dans le domaine de la sécurité informatique. Rien que l’équipe dont le seul objectif est de pénétrer dans n’importe quel système informatique compte plus d’un millier de personnes, qui n’ont pas l’air d’être des manchots (à part celui qui est à l’origine de fuites d’informations retrouvées « par hasard » par Kaspersky).

Non, ce qui m’intéresse est d’observer les implications, les ramifications et les relations entre différentes affaires, ainsi que les forces et les faiblesses de cette organisation déjà tout puissante avant l’avènement de l’informatique grand public.

Evolution tardive

Un des grands reproches fait à la NSA est que l’agence est exclusivement orientée vers l’attaque, ce qui correspond à la doctrine de défense des Etats-Unis qui ont longtemps pensé qu’ils ne seraient jamais attaqués sur leur territoire national, et que toute posture de défense serait superflue.

Or dans le monde cyber, comme dans le monde physique, les Etats-Unis sont comme les autres, vulnérables et attaqués. Et ce n’est qu’en 2019 qu’est structuré une organisation en charge de la défense informatique dont l’objectif est de protéger les infrastructures du pays ainsi que les prestataires de défense.

  • Voir plus d’infos sur le site de la NSA.

Sources

L’informatique, c’est physique

Je suis un des premiers à le reconnaître, mais j’avais oublié que l’informatique était un objet éminemment physique. A l’ère du tout numérique et de la dématérialisation à tout va, à une époque où on se demande où sont stockées nos données (car bien souvent on ne le sait pas), j’ai suivi une présentation très intéressante au cours du FIC 2018 faite par un géographe, chercheur à l’université (ref), qui nous a remis à l’esprit que derrière l’immatérialité apparente de l’informatique il y avait une réalité bien tangible.

Cette réalité prenait forme d’une très éclairante approche cartographique du cyberespace, au sens très large.

Réalité contre projection

Le cyberespace est d’abord une construction physique, informatique, faite de machines et de câbles désormais répartis partout tout le monde réel.

Ensuite, ce cyberespace sert bien à quelque chose : tout comme l’informatique, il sert à manipuler et interagir sur une projection (une représentation) d’idées et de concepts, dont la plupart sont liés à notre monde réel (mais pas forcément). Si l’informatique a servi dans un premier temps à nous aider à accomplir ou accompagner des tâches réelles (techniques, scientifiques, professionnelles), son évolution a conduit à être utilisée pour interagir avec des objets chimériques ou imaginaires. Un exemple simple de cela est ce que peut représenter un jeu vidéo, qui représente un univers purement imaginaire.

L’idée n’est pas ici de différencier l’usage de l’informatique et du cyberespace en réel ou imaginaire, le fait est qu’on utilise l’informatique et que le contenu traité nous importe. Or comme il nous importe, il est également important d’examiner cet outil qui, bien que traitant d’immatériel (une projection de notre monde ou des concepts), il s’appuie sur des équipements physiques dont l’usage, la géographie et le contrôle sont des enjeux désormais stratégiques, au niveau des Etats.

Exemple de la Géorgie (guerre 2008, rachat d’un opérateur câble).

Cartographie du passage des flux. Tbilissi est plus proche de Sofia que de l’Abkhazie.

Importance militaire et stratégique (coupure en Géorgie et en Crimée).

Sauvegarde

Réaliser une sauvegarde de ses fichiers importants est la mesure de sécurité la plus importante qui soit. L’actualité de 2015-2016 en est la preuve, avec la prolifération de ransomwares.

Parmi les critères de choix d’un service de sauvegarde en ligne, il y en a un qui est essentiel : dans les conditions d’utilisation, vérifiez bien qu’il est écrit que si vous perdez votre mot de passe (ou votre clé de chiffrement), il sera impossible de récupérer vos données. En effet, la plupart des fournisseurs de service de sauvegarde s’engagent à ne jamais consulter ou diffuser vos données. Sous-entendu : ils peuvent le faire mais ne le feront pas.

Continuer la lecture

Appareils mobiles

Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information.

Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très tentant de synchroniser son smartphone, consulter son agenda sur sa tablette ou connecter sa clé USB sur son PC professionnel. Or ces équipements personnels, non maîtrisés par l’entreprise, peuvent induire un risque de compromission du SI ou de fuite d’information, parfois à l’insu de l’utilisateur.

Domaine personnel

Je sais tout de vous

Ce risque est indirectement lié à votre usage : vous laissez des tonnes d’informations sur vous et sur ce que vous faites en utilisant votre smartphone. Vous en laissez non seulement quand vous activez les options de géolocalisation, mais aussi en laissant d’autres types de données remonter vers l’opérateur, le fournisseur du système d’exploitation ou les éditeurs de logiciels.

Google peut par exemple vous localiser sans que vous donniez votre consentement pour la géolocalisation : pour cela, il utilise d’autres données telles que votre activité sur le web1. Certains petits malins sont également des spécialistes pour brouiller les pistes et forcer certains réglages par défaut en les noyant dans la masse2 (NB : il n’y a aucune contrepèterie dans cette phrase). Facebook en a fait sa spécialité.

Milieu professionnel

Quels sont les risques ?

Ces terminaux personnels sont le plus souvent non maîtrisés par l’entreprise, et deviennent de fait un nouveau facteur de risque et notamment de fuite d’informations, si l’entreprise n’a pas mis des mesures de protection adaptées à cette usage. Si les agents logiciels de protection et les antivirus sont entrés dans les mœurs pour ce qui est des ordinateurs fixes, la plupart des utilisateurs de Smartphones n’ont pas conscience de la nécessité de se protéger sur un appareil mobile.

Pourtant, comme tout dispositif informatique, les appareils mobiles sont vulnérables aux programmes malveillants (vers, virus, troyens…). De nombreux analystes pensent qu’avec l’usage accru de ces terminaux mobiles, cette menace va s’accentuer3, et le risque de compromission du SI devient alors réel si ces appareils lui sont connectés ou si des données confidentielles de l’entreprise sont accessibles. Les données personnelles ou l’usage du mobile sont également des cibles soit de ransomwares4 soit de siphonage (comme par exemple les informations de connexion aux sites bancaires).

De plus, par leur nature même, les Smartphones, tablettes, PC Portables et clés USB sont plus exposés au risque de vol, ou tout simplement de perte. Le risque de fuite d’information devient alors considérable s’il n’existe pas de dispositif de chiffrement des données, ou d’effacement et/ou blocage à distance des appareils perdus ou volés.

Et le BYOD ?

Il existe certains cas d’usage de Bring Your Own Device (ou BYOD, qui est l’utilisation par le collaborateur de son terminal mobile personnel en tant qu’outil professionnel) au sein de son entreprise. L’utilisateur dispose donc d’un appareil personnel mais qui est souvent maîtrisé par l’entreprise (pour la partie « usage professionnel »). A DEVELOPPER

Des exemples de menaces déjà existantes

Trend estime que 25% des programmes malveillants sur mobile (en 2012) ont pour objet de dérober des données personnelles ou confidentielles, allant du carnet d’adresses jusqu’aux SMS reçus (comme par exemple les codes de confirmation pour certaines transactions bancaires) ! Zeus, un troyen très dangereux et très répandu sur Windows,  possède déjà des variantes pour BlackBerry5 et Android. Et les futures attaques ne manqueront pas d’exploiter les technologies embarquées sur ces matériels (GPS, caméra, NFC…) ! OBSOLETE

Quelle réponse ?

xxx

Voir aussi