Archives de catégorie : Attaques

KRACK

Un petit incident concernant le protocole utilisé dans quasiment tous les réseaux wifi actuels, auquel on a donné le nom évocateur de KRACK, est apparu (c’est-à-dire qu’on a communiqué publiquement dessus) aujourd’hui (16 octobre 2017).

En quelques mots : une personne (un équipement) captant physiquement le signal wifi WPA2 d’un réseau, même chiffré en bonne et due forme, peut déchiffrer tout le trafic, et donc lire tout ce qui y passe : la couche de protection WPA2 devient inutile. Si les informations qui transitent sur le réseau ciblé sont en clair, alors on peut les lire sans que vous ne vous en aperceviez. Par contre ce qui est chiffré au niveau supérieur (https, ssh, etc) reste tel quel, avec le niveau de protection attendu.

Il s’agit du genre de problème de sécurité1 énorme dont la célébrité lui vaut d’avoir son site web dédié, ses articles de presse et même un tweet du Ministère de l’Intérieur français. Quant aux solutions, elles seront longues à mettre en place car le protocole lui-même est en cause : même en le suivant scrupuleusement et sans erreur, votre implémentation est à risque. Et comme il est mis en place massivement depuis 15 ans, imagions ensemble le nombre d’équipements (réseaux et ordinateurs) à mettre à jour.

Patch à droite ou à gauche ?

Je n’arrive pas à voir clair pour le moment : je ne sais pas s’il suffit de mettre à jour le client pour éviter le problème, ou s’il faut que le client et le serveur (routeur) soient tous les deux corrigés. Je suppose que pour une correction totale incluant le protocole, il faudra que l’ensemble des équipements soient mis à niveau. Mais il semblerait que patcher le client suffise. A suivre.

Windows

Côté Windows, la mise-à-jour de sécurité semble dater du 10 octobre 2017, soit quelques jours avant la publication des premières infos sur le sujet. Le détail ne sera publié que le 1er novembre, le temps que les correctifs se diffusent. Un article détaillé (paper) est toutefois déjà disponible. S’il décrit en détail le problème, je n’ai pas vu de détail sur les exploitations possibles ; seuls quelques scénarios sont esquissés (en attendant l’ACM Conference on Computer and Communications Security du 1er décembre).

Dans sa mise-à-jour d’octobre, Microsoft a corrigé la vulnérabilité suivante : CVE-2017-13080. Après, une bonne douzaine de CVE ont été réservées pour la description de tous les problèmes identifiés, donc ça semble un peu peu. On verra par la suite…

WPA3

En juin 20182, une nouvelle version de la norme WPA, estampillée 3, voit le jour sous sa forme finale, avec la promesse de combler les failles présentes dans la version 2, ainsi que la limitation des attaques par dictionnaire. WPA3 n’est pas encore obligatoire, et un dispositif WPA2 pourra se connecter sur du WPA3. Espérons que cela n’introduise pas de faille du genre Freak.

Voir aussi

Heartbleed

Heartbleed est le nom donné à une faille dans une implémentation d’openSSL.

OpenSSL : c’est quoi ?

Avant toute chose, il faut savoir que SSL (dont les versions récentes s’appellent TLS) est un protocole qui permet de chiffrer des communications sur internet et d’authentifier une machine (un serveur web par exemple). Chiffrer, c’est rendre illisible un message à tous ceux qui ne disposent pas de la clé de déchiffrement. Ce protocole est très utilisé sur internet, et openSSL est un des outils d’implémentation de SSL parmi les plus utilisés.

Quand vous vous connectez de manière sécurisée sur un site web, vous passez par https et plus de la moitié de serveurs web dans le monde utilisent openSSL pour réaliser cette connexion https.

Quelle est la faille ?

La faille permettrait à un attaquant d’avoir accès à certaines données chiffrées lors des communications SSL sur les sites utilisant les versions vulnérables. En conséquence, certains mots de passe (voire certains certificats) pourraient être compromis et donc réutilisés par l’attaquant.

Quel est le composant touché ?

La faille est exploitable quand une version vulnérable d’openSSL est installée sur le serveur web. OpenSSL est un logiciel open source. Seules certaines versions sont vulnérables :

La branche 0.9.8 n’est pas touchée, et la correction est présente à partir de la version 1.0.1g

Sources

  • http://heartbleed.com/
  • https://www.openssl.org/news/secadv/20140407.txt
  • https://www.20minutes.fr/high-tech/1348577-20140410-heartbleed-faire-proteger-faille-securite-geante
  • http://www.lemonde.fr/technologies/article/2014/04/11/faille-heartbleed-les-sites-pour-lesquels-il-est-conseille-de-changer-son-mot-de-passe_4399564_651865.html
  • http://www.lemonde.fr/technologies/article/2014/04/09/une-enorme-faille-de-securite-dans-de-nombreux-sites-internet_4397995_651865.html
  • https://www.nextinpact.com/news/86941-heartbleed-openssl-et-question-securite-expliques-simplement.htm

StageFright

Dévoilée durant l’été 2015, StageFright est une faille concernant les systèmes Android. Elle a été découverte dans une bibliothèque multimédia servant à lire des vidéos envoyées par MMS, et permettrait de prendre le contrôle du terminal (smartphone ou tablette) à l’insu de l’utilisateur.

Qui est concerné ?

Cette bibliothèque est  utilisée par les systèmes Android depuis la version… 2.2, ce qui fait qu’environ 95% des terminaux Android seraient, au final, concernés.

Les versions les plus vulnérables seraient les 2.3 (« Gingerbread ») et 4.0 (« Ice Cream Sandwich »). A l’inverse, les versions plus récentes (ultérieures à  4.0) semblent légèrement moins vulnérables.

Quels sont les problèmes ?

Les principaux problèmes sont de deux natures :

En effet, l’écosystème Android est très fractionné et hétérogène : de multiples versions de l’OS sont actives, et le déploiement des mises-à-jour dépend fortement des partenaires (constructeurs et opérateurs). Il est donc malheureusement possible que le correctif n’atteigneque très lentement (voire jamais) certains terminaux Android.

Et maintenant ?

Suite à cette faille, Google, Samsung et LG se sont engagés sur la voie de mises-à-jour mensuelles du système d’exploitation Android, à l’instar de ce que fait Microsoft. C’est une bonne chose en termes de sécurité, mais cela ne représente qu’une partie seulement des terminaux.

La seule solution efficace (en attendant la correction au niveau système) est de désactiver le chargement automatique des photos et vidéos (principalement dans les applications de gestion de SMS/MMS comme Hangout), et de ne pas lire les SMS/MMS de provenance inconnue. Hélas, là encore, le mode opératoire dépend de la version d’OS Android utilisée… On peut le trouver par exemple chez Avast (https://www.avast.com/fr-fr/faq.php?article=AVKB230).

ZeroFont

La technique ZeroFont (ou de la fonte zéro, en french) est une technique à la fois subtile et basique, employée depuis longtemps, puis oubliée, puis remise au goût du jour pour contrer les plus performants des outils de lutte contre la cybercriminalité, notamment contre le phishing.

Quel intérêt ?

Le principe est d’inclure dans un document du texte dont la taille de fonte est zéro. Ainsi, on obtient un texte visible différent du texte codé informatiquement dans le fichier concerné (en général un mail).

Basiquement

Dans le temps, ça pouvait à la rigueur permettre de passer des informations « secrètes » dans un fichier d’apparence anodine, mais ça ne mène pas très loin et cela ne peut tromper qu’un contrôle visuel réalisé par un humain. Je ne crois pas que cela ait beaucoup servi.

Subtilement

Ce qui était bourrin en son temps est devenu subtil plus tard, à l’ère de l’intelligence artificielle et des contrôles informatiques à profusion. Aujourd’hui, de nombreux outils de sécurité, dont le filtre antispam de Microsoft pour son produit Office 365, utilisent de l’analyse de texte en langage naturel, afin de déceler des anomalies dans le texte d’un message de mail, par exemple : si le contenu prétend provenir d’Apple et que l’adresse mail utilisée n’a rien à voir, la suspicion de phishing augmente !

Or si vous insérez des caractères invisibles à l’œil nu un peu partout dans un mail de phishing, alors le contenu du mail n’aura aucun sens mais le destinataire du mail lui verra ce que le pirate veut bien qu’il voie !

(illustration)

Une variante

D’autres méthodes peuvent tromper les robots anti-spam : une police spéciale dont les lettres sont dans le désordre. Ainsi un caractère A affiche S (par exemple), B affiche D, etc. Le texte est illisible (ou anodin) pour un robot mais un lecteur humain verra tout autre chose1… Malin !

Source

  • https://www.avanan.com/resources/zerofont-phishing-attack

Filoutage

Une page spéciale est consacrée au phishing (ou en français « hameçonnage », mais c’est pas très joli). Il s’agit d’une menace classique mais très répandue.

Il s’agit d’un procédé dont le but est de vous faire avouer vos codes secrets (mot de passe) ou vos coordonnées bancaires en se faisant passer pour un mail officiel.

Principe

On vous envoie un mail qui imite ceux de l’organisme visé (une banque ou un site marchand en général) qui vous incite à resaisir vos mots de passe, sous un (fallacieux) prétexte de mise-à-jour de sécurité ou n’importe quoi d’autre. Pour cela, le mail contient un lien web sur lequel vous devez cliquer pour resaisir votre mot de passe. Or ce lien web vous envoie vers un faux site lui aussi semblable au site officiel, mais ce faux site n’a d’autre but que de stocker vos codes secrets…

Soyez extrêment vigilants !

Quelques indices doivent vous mettre la puce à l’oreille…

Le message n’est pas en français ou est dans un français approximatif : les organismes officiels et les banques français communiquent souvent en français et le texte est souvent lu, relu et vérifié… Le message vous incite à ressaisir votre mot de passe : à ma connaissance, aucune application informatique sérieuse n’a besoin qu’on ressaisisse des données (surtout un mot de passe !) suite à une mise-à-jour ni même suite à un piratage… Il n’y a que pour des petits sites web amateurs ou des informaticiens de (très) bas étage que des données sont perdues. Sinon les sauvegardes et les procédures sérieuses de test empêchent ce genre de problème. Le lien proposé ne correspond pas à ce qui est affiché : on vous affiche un lien avec un texte qui semble sérieux, mais en passant la souris par dessus, on peut voir l’adresse réelle vers où le lien vous dirige, en regardant en bas de votre navigateur.

Qu’est-ce qu’un « faux » lien web ?

Ça n’est pas à proprement parler un faux lien, c’est juste que naturellement on a tendance à croire ce qu’on voit. Il est également habituel sur les sites web que le texte affiché corresponde au lien vers lequel on est redirigé.

Exemple : secu.si

Passez votre souris par dessus le texte, et regardez en bas de votre navigateur : vous allez voir (tout en bas) l’adresse vers laquelle vous êtes redirigé. J’ai écrit cette page web de manière à ce que le texte de la page et l’adresse du lien soient les mêmes.

Mais tout ceci n’est pas obligatoire : rien n’empêche d’afficher un texte qui ne soit pas l’adresse du site mais un texte en clair…

Mais là où ça devient dangereux c’est quand des petits malins affichent un texte qui semble être une adresse web et qu’ils vous redirigent vers une autre adresse ! Ils jouent sur notre habitude que le lien web correspond très souvent au texte affiché. Rien de plus… Ci-dessous, vous avez un exemple qui vous permet de mettre ce que vous voulez comme texte. Et vous verrez que vous ne serez pas du tout dirigé vers le site que vous afficherez…

Une autre forme de filoutage, plus perverse : l’homographie. Ici, l’adresse semble correcte, visuellement, mais ce n’est qu’une apparence trompeuse, jouant sur la diversité des alphabets mondiaux et leur représentation graphique, parfois équivoque.

Les parades

  • Le bon sens
  • Taper soi-même l’url

L’évolution

Les attaques informatiques ciblent de plus en plus les utilisateurs, puisque les infrastructures sont de plus en plus sécurisées : il devient donc difficile d’attaquer directement les machines, donc on passe par l’utilisateur qui est faillible, et dont le niveau de vigilance ne peut être constant.

Il faut s’attendre (cf. tendances 2020) à ce que les mails soient de mieux en mieux écrits, comme dans le cas d’une attaque contre les Nations Unies1 début 2020.

Outils

A qui la faute ?

Bonne question ! L‘attribution d’une attaque est un des problèmes récurrent et quasi-insoluble auquel est confronté la communauté de la sécurité informatique. Il va de soi qu’on souhaite toujours savoir qui nous attaque, mais à l’inverse des attaques militaires (quoique…), il est en pratique très difficile de savoir d’où vient la menace.

Continuer la lecture

Homographie

L‘homographie est une technique d’attaque visant à créer une URL visuellement identique mais distincte d’une URL légitime, en utilisant des caractères Unicode s’affichant comme les caractères normaux.

Pourquoi ça marche ?

Depuis 20031, l’ICANN a introduit la possibilité d’avoir des URL en caractères non-latins. Unicode permet l’utilisation d’une très grande variété de jeux de caractères, dont le cyrillique souvent utilisé dans ce type de tromperie. Les formes de caractères sont si diverses qu’on arrive à trouver des caractères non-latins ressemblant beaucoup aux caractères latins. Il suffit de les substituer pour avoir une URL différente mais ressemblant visuellement à l’URL visée. L’ICANN a bien mis en garde contre cela2, sans grand succès.

Un exemple

  • ssi.ninja : 73 73 69 2e 6e 69 6e 6a 61
  • ssi.ninjа : 73 73 69 2e 6e 69 6e 6a 430

Des exemples apparaissent régulièrement de ci de là, un exemple typique a été analysé par Zscaler3 sur le domaine jetairways.com.

Comment s’en prémunir

Cette attaque est très sournoise, car le nom de domaine frauduleux peut être répété partout sans que cela ne se voit de prime abord.

  • Dans Firefox, on peut forcer l’affichage de l’URL décodée4, en positionnant la variable network.IDN_show_punycode à true. Cela n’est pertinent que si vous êtes sûr de ne jamais utiliser d’URL non-latine, car sinon vos URL deviendront moins lisibles.
  • 01Net recommande l’usage du gestionnaire de mot de passe, car il se basera sur l’URL réelle et ne sera pas abusé visuellement. Sauf que moi je déconseille l’usage du gestionnaire de mot de passe dans le navigateur, sans compter que vous pouvez malencontreusement mémoriser votre mot de passe sur la mauvaise URL…
  • Vous pouvez aussi taper vous même l’URL, manuellement. Pas pratique quand on veut suivre un lien compliqué.
  • La meilleure recommandation : n’aller que sur la version https et vérifier le certificat.

Ransomware

Un ransomware (ou rançongiciel) est un programme malveillant qui bloque l’accès à votre poste ou à vos données, en réclamant une rançon pour le débloquer. La plupart du temps, les données du poste sont chiffrées (données locales mais aussi les données des partages réseaux). 

Le déchiffrement est impossible, et les pirates ne redonnent pas nécessairement l’accès aux données, même en payant la rançon, souvent par manque de compétence.

En pratique

Comment éviter d’être touché ?

Ce programme malveillant se propage via des mails contenant soit un fichier exécutable dans une archive, soit un lien vers un site web compromis. La vigilance reste de mise : n’ouvrez jamais des pièces-jointes de mails douteux, et ne cliquez jamais sur des fichiers exécutables (.exe, .scr, .cab…), même si le mail semble provenir d’un expéditeur connu.

Par ailleurs, une bonne pratique est de réaliser régulièrement des sauvegardes de ses données importantes, autant à titre professionnel qu’à titre personnel. 

Quelle réaction si j’ai ouvert une pièce-jointe suspecte ?

Tout d’abord, sachez qu’il ne sert en général à rien de payer la rançon : les pirates ne proposent que très rarement un service après vente…

Les seules actions à entreprendre sont de contacter immédiatement votre correspondant sécurité (si vous êtes en entreprise) et d’éteindre votre poste immédiatement pour arrêter le processus de chiffrement et limiter les dégâts, surtout si vous n’avez pas de sauvegarde.

Par ailleurs, il est conseillé de ne pas rallumer le PC ni de se connecter à sa session (dans le cas des utilisateurs Citrix) avant que la désinfection ne soit confirmée.

Creusons

Regardons ce qui s’est passé du côté de deux grandes affaires récentes.

WannaCrypt et NotPetya

Tout d’abord un grand bravo et un grand merci aux Shadow Brokers : pour avoir (officiellement) voulu empêcher la NSA de nous espionner (en révélant leurs outils), ils nous empêchent juste d’utiliser nos ordis. On dirait du Wikileaks ou des Anonymous…  

Ces empaffés sont loin de connaître le principe de responsible disclosure, même s’il est vrai que les outils qu’ils ont mis au jour utilisaient des failles corrigées par Microsoft, mais force est de constater que la mise-à-jour des systèmes informatiques est une discipline difficile, et qu’il est à peu près certain qu’une faille même corrigée peut être exploitée encore longtemps ! Leur seule excuse est qu’ils sont peut-être liés à des acteurs russes1 ou autres, dont l’intérêt est au contraire de perturber le plus possible les systèmes d’informations étrangers (et la NSA du même coup).

Premier bilan

Des dizaines de milliers d’ordinateurs contaminés2 par WannaCrypt ! Moi je dis : chapeau. Ces publications sont une aubaine pour les perturbateurs de tout poil (cybercriminels, états, groupe d’intérêts divers)3.

Cyberattaque

On a parlé dans les media de cyberattaque. Mais ça n’est pas parce que les dégâts sont visibles et parfois importants que nous sommes face à une vraie cyberattaque. Ici, on s’approche plus de la pêche à la ligne que dans la salve de roquettes : on balance un  hameçon et on regarde ce qu’on accroche au fil du temps. On est plus confronté à une cyberdéfaillance ou une cyberinfection qu’à une cyberattaque : l’ampleur des dégâts est proportionnelle à la négligence des services IT qui tardent à faire passer les mises-à-jour de sécurité ou à migrer sur des produits maintenus. Maintenant, les causes profondes peuvent être diverses (le budget IT étant sujet à tellement de contraintes…).

Et ensuite ?

Après, peu importe qui est derrière l’attaque (bien que ce mot soit galvaudé et hors de propos, cf. les propos de Jean-Marc Manach4, bien que je sois habituellement méfiant de ce qui vient de Slate.fr) : n’importe qui peut être derrière5, et c’est bien le problème. Il va falloir vivre avec cet héritage de la NSA et de toutes les agences de renseignements du monde dont une cible majeure est désormais nos ordinateurs ; enfin, les ordinateurs des méchants, mais les programmes malveillants ne font pas la différence, et si ces derniers tombent dans des mains criminelles ou inexpérimentées, le scenario de WannaCry se reproduira.

Il faudra redoubler d’attention lors des sauvegardes afin de ne pas sauvegarder les fichiers chiffrés ! Ou sinon s’assurer qu’une gestion de version conservera les versions précédentes, accessibles à l’utilisateur légitime. Microsoft a intégré une protection6 contre le chiffrement non souhaité dans ses solutions Office 365/OneDrive et Outlook. Reste que j’aimerai bien que Microsoft mette également une solution de chiffrement souhaité.

Quand à NotPetya, arrivé dans la foulée, d’autres éléments tendent à nous faire penser que l’apparence est trompeuse et qu’il s’agirait plutôt d’une véritable attaque informatique camouflée en ransomware ! Chiffrer des données sans garder aucun trace de la clé de chiffrement constitue un très bon moyen d’effacer ces données7, et donc potentiellement toutes les traces d’une activité illégale.

Voilà l’occasion de rappeler que l’attribution d’une attaque est souvent difficile.

Faut pas payer mais pourtant…

En 2019, les attaquants se sont rendus compte qu’une entreprise était bien plus disposée à payer pour récupérer ses données, car il est souvent plus facile de le faire en payant la rançon qu’en restaurant à partir de sauvegardes (on a vu en pratique que cela peut prendre plusieurs semaines). Exemples : Baltimore, Cognac

Ainsi, deux fois plus d’entreprises (40% en 2019 contre 19% en 2018) touchées par un ransomware on payé la rançon pour récupérer leurs données. Un signal très positif pour les cybercriminels… De son côté le FBI estime que 140 millions de dollars de rançon8 ont été versés en six ans.

Après, on peut aussi prendre une assurance couvrant ce risque, mais certaines d’entre elles conseillent, lorsque le sinistre se produit, de… payer la rançon ! Car cela coûte moins cher que de remettre en état le SI, et donc l’assureur aura moins d’argent à débourser en remboursant l’équivalent de la rançon… C’est du joli !

Voir aussi :

Des exemples à ne pas suivre

Voilà ce qui arrive quand on paye : ça recommence ! Une fois la rançon payée pour éviter la divulgation, que vont faire les pirates qui s’ennuie ? Ils vont redemander une rançon… Ca peut durer longtemps.

Les recommandations du FBI

De plus en plus sollicité sur le sujet, le FBI a émis les recommandations suivantes :

  • Ne pas payer !
  • Avoir des sauvegardes hors-ligne de ses données essentielles (et plus) ;
  • Avoir des copies des données essentielles en ligne dans le cloud (NDLA : chiffrées) ou sur un disque externe (un peu redondant avec la précédente, mais on peut interpréter cela comme « avoir plusieurs jeux de sauvegardes sur différents supports ») ;
  • Sécuriser ses sauvegardes, en les rendant inaccessibles aux intrus (au moins interdire les modifications et l’effacement) ;
  • Avoir un antivirus sur chaque terminal (çà ne mange pas de pain) ;
  • N’utiliser que des réseaux sûrs et maîtrisés (facile à dire !), imposer les VPN pour les connexions externes, éviter les Wifi publics ;
  • Utiliser une authentification renforcée (au moins deux facteurs robustes) ;
  • Mettre-à-jour les postes et applications (NDLA : et les infras) avec les correctifs de sécurité ASAP.

A bien y regarder, ce sont les conseils de base pour tout système informatique, quelle que soit la menace.

Sources

DDoS

Une attaque en déni de service consiste à saturer les ressources d’une machine ou d’un service, de façon à le rendre indisponible pour ses utilisateurs.

Motivations

Elles sont classiques : empêcher un site de fonctionner peut avoir des effets sur l’image du propriétaire ou sur son activité économique (un site web produit souvent du chiffre d’affaire pour des entreprises commerciales).

Une attaque de ce type peut s’appuyer sur un réseau de botnets ou sur des failles présentes sur de multiples serveurs, comme l’attaque via des servers memcached.

  • http://www.toptenreviews.com/business/internet/best-ddos-protection-services/
  • http://www.forbes.com/sites/thomasbrewster/2016/09/25/brian-krebs-overwatch-ovh-smashed-by-largest-ddos-attacks-ever/#f96dbbb6fb61

Bas niveau ou haut vol ?

Les attaques de bas niveau (niveau réseau) sont les premières formes d’attaques de déni de service. Aujourd’hui, on s’attaque plus à la couche applicative, de niveau 71.