Archives de catégorie : Attaques

Piratage matériel

L’informatique, c’est aussi physique, comme je le dis quelque part sur ce site. On pense souvent que pirater un système informatique revient à trouver le mot de passe ou la formule magique qui vous permet de rentrer dans le système ou d’en prendre le contrôle. Et qu’il s’agit donc d’une action logique et immatérielle.

Or les systèmes informatiques sont faits de composants électroniques et électriques qu’il est tout aussi envisageable d’attaquer et de modifier pour en prendre le contrôle. Il existe même des sites web qui proposent toute une panoplie d’outils matériels servant à vérifier la sécurité des vos systèmes (car le piratage est interdit), ou à aider à une conception sécurisée grâce à la connaissance des composants critiques qu’on peut être amené à utiliser.

Différentes techniques d’attaques

Imaginer que la recherche du mot de passe (du code secret) est la seule méthode d’attaque et la seule préoccupation des pirates vous amènera à de très cruelles désillusions. Même si votre code secret reste parfaitement secret, un pirate pourra prendre le contrôle du système que vous voulez protéger.

La sécurité de la biométrie repose en partie sur des idées fausses. On pense en effet qu’il suffit qu’il soit impossible de copier ou reproduire la minutie (la caractéristique biométrique telle que l’empreinte digitale, la forme de l’iris, l’ADN, etc.) pour que ce type d’authentification soit sur. D’une part c’est faut, mais en plus il est aussi possible (et facile) d’attaque le capteur biométrique qui est un élément trop souvent négligé.

Outils intéressants

iPhone

  • GrayKey iPhone Unlocker, système permettant de déverrouiller un iPhone (récent)1

Non classés

  • https://www.sparkfun.com/news/1314
  • https://redteamtools.com/espkey

Patriot Act

De son vrai nom USA Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Les américains ont une propension étonnante à l’USA-centrisme. Tout tourne autour d’eux : quand un exterminateur (une météorite dévastatrice) tombe sur la Terre, c’est aux Etats-Unis. Idem pour toutes les catastrophes menaçant l’humanité toute entière.

Continuer la lecture

Espionnage

Comment ? Qu’est-ce qu’on me raconte ? Les espions espionnent ? J’en tombe des nues ! Les révélations de Snowden ont mis au jour les programmes de la NSA visant entre autres à espionner les gens. Si on peut s’étonner de l’ampleur de ces programmes et de la sophistication des outils mis-au-point par cette agence, on ne peut pas en revanche s’étonner de voir des espions espionner : cette activité humaine est une des plus vieilles du monde (pas de commentaire svp).

Passage de frontière

Passer les frontières avec un ordinateur peut aussi se révéler un exercice compliqué. Il devient de plus en plus fréquent dans les entreprises ou les administrations de donner des consignes strictes à ce sujet1, qui peuvent se résumer en : n’emportez rien !

Gaz à tous les étages

 Pas plus tard que lundi [4 mai 2020], Jean-Luc Vuillemin (directeur réseaux et services internationaux chez Orange) expliquait que le FAI doit faire face à « un nombre de coupures des câbles sous-marins sans égal depuis plusieurs décennies »2.

NextInpact

Pourquoi couper des câbles de communication sous-marins ?

Aujourd’hui, la communication est numérique. Pour intercepter les flux, le plus facile est de cibler les points de concentration, comme les dorsales, c’est-à-dire les autoroutes intercontinentales constituées de ces câbles de communication. Il y a alors deux possibilités :

  • Le plus simple et le plus voyant : espionner les points d’arrivée sur les continents (ou les pays). Le problème est que c’est visible et donc, en pratique, ça n’est facile que pour l’état où se situe le cabanon…
  • Le plus compliqué mais le plus discret : monter une dérivation (ou un point d’écoute) en plein océan, loin de toute surveillance humaine.

Pourquoi voler des données ?

L’actualité a montré un intérêt certain des pirates pour les données des voyageurs d’hôtel. Il est à parier que ça n’est pas pour valider leur avis sur les sites de voyage, mais plutôt pour tracer les déplacements de certains individus intéressants3. Et oui, les espions espionnent les espions…

Bug SSL (Apple)

Je classe la vulnérabilité CVE-2014-1266 parmi les énigmes de sécurité informatique, comme l’affaire TrueCrypt, car les circonstances entourant ce bug SSL sont mystérieuses, et n’ont pas l’air d’avoir été éclaircies (en 2018).

Comme son nom l’indique, cette faille a été découverte en 2014.

Poodle

Poodle est le nom donné à une faille inhérente au protocole SSL v3.

Désactivation de SSLv2 et SSLv3 sur Plesk

Sur Plesk, il est possible de désactiver SSL v2 et v3 de façon définitive, grâce à un paramètre disablesslv3 qu’il faut positionner à true. J’avoue avoir eu un peu de mal à trouver comment faire, mais une fois que c’est fait, cela débarrasse de ce boulet !

Pour plus d’informations, il faut aller sur le forum Plesk. Et pour mémoire, voici la manip : 

# mysql -uadmin -p`cat /etc/psa/.psa.shadow` -Dpsa -e "insert into misc values('disablesslv3', 'true')"


# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

La 1ère ligne positionne le paramètre, la 2e permet de reconstruire les configurations nécessaires. Pour vérifier, tapez : 

# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep ssl_protocols

Il s’agit de la configuration de nginx, et les vieux SSL doivent avoir disparu.

Voir aussi Logjam.

Freak

Une de plus ! Freak est une faille quasiment de conception de SSL. Une fonctionnalité, diront certains.

Dans les années 1990, l’administration américaine s’inquiétait de la prolifération des systèmes de chiffrement, et craignait de ne plus en avoir le contrôle (comprendre : ne plus pouvoir déchiffrer les messages codés, en cas de besoin). Elle a donc décidée d’interdire l’exportation de tout ce qui était indéchiffrable avec les moyens de l’époque, d’où une limitation de la taille de clés (par exemple).

Les outils se sont adaptés en conséquence, prévoyant un mécanisme spécial « export » qui ramenait automatiquement à des valeurs convenables la complexité du chiffrement lors d’un échange, même si les deux parties pouvaient faire beaucoup mieux.

Avec le temps, cette limitation est tombée, mais le mécanisme servant à réduire la taille des clés a été reconduit dans la plupart des outils utilisés. Et on s’en est rendu compte seulement en 2015, alors que cette fonctionnalité était largement documentée, et n’était même pas cachée1 !

FREAK a touché toutes les bibliothèques SSL/TLS ou applications utilisant SSL/TLS ayant respecté la réglementation… et oublié de supprimé cette limitation quand les règles se sont assouplies. Exemple : openSSL, S-Channel, Chrome…

Liens externes

Logjam

Logjam est une nouvelle faille dans le désormais périlleux chemin de la cryptographie, touchant une étape de négociation lors d’une connexion [[TLS|SSL/TLS]]. Même si, comme Freak, son exploitation n’est pas forcément facile, cela va imposer à moyen terme l’augmentation de la longueur de certaines clés, ou l’utilisation de certains algorithmes à la place de certains jugés trop faibles, ce qui aura surtout pour effet de compliquer encore la vie des webmasters (et des navigateurs web).

En effet, à force d’augmenter la solidité des mécanismes de sécurité, on finit par demander beaucoup de calculs à la fois au serveur et au navigateur ; or tout le monde n’est pas obligatoirement à niveau, et on pourrait finir (par exemple) par rendre certains sites inaccessibles aux utilisateurs dont les ordinateurs (ou les navigateurs web) ne sauraient pas composer avec cette complexité croissante.

Une synthèse, avec un outil de test ainsi que les recommandations à suivre sont ici : weakdh.org.

Désactivation sur Plesk

Sur Plesk, si vous avez une version 2.2 d’Apache couplé à nginx, il faudra un peu ruser pour ne plus être exposé à Logjam. pour plus d »infos, allez voir le forum.

Il faut en premier lieu créer un fichier DH personnalisé, de complexité (longueur) suffisante : 

openssl dhparam -out dhparams.pem 2048

Ensuite, il faut un template personnalisé pour ses sites web, dans /usr/local/psa/admin/conf/templates/custom/domain. Le fichier à modifier est nginxDomainVirtualHost.php. Il faut ajouter l’option ssl_dhparam en lui mettant le fichier que l’on vient de créer. 

ssl_ciphers                 HIGH:!aNULL:!MD5;


ssl_prefer_server_ciphers   on;


ssl_dhparam             /dhparams.pem;

Ensuite on reconfigure et ça devrait aller. 

# /usr/local/psa/admin/bin/httpdmng --reconfigure-all

Pour vérifier, tapez : 

# cat /var/www/vhosts/system/*/conf/last_nginx.conf | grep dh_param

Liens externes

  • http://www.nextinpact.com/news/94144-logjam-apres-freak-nouvelle-faille-dans-chiffrement-connexions.htm
  • http://forum.odin.com/threads/ssl-poodle-sslv3-bug.323338/#post-761018
  • https://weakdh.org/imperfect-forward-secrecy-ccs15.pdf

AMD, des failles

Allez, mettons tout le monde d’accord : AMD aussi à ses failles, tout comme Intel. Et son site dédié, sans quoi une faille n’est pas une faille. Comme souvent, les détails ne sont pas dévoilés1 immédiatement, tant qu’on n’a pas essayé de remédier à ces problèmes, mais cela reste inquiétant.

Continuer la lecture

4G

La 4G est un standard pour la communication des téléphones mobiles, dont plusieurs normes sont issues, comme LTE, WiMax, etc. Ce standard est basé sur IP, protocole internet.

Tout ce qui est informatique peut être attaqué

Or, comme je me le fais remarquer judicieusement, tout ce qui est informatique peut être attaqué d’une manière ou d’une autre. Des petits malins chercheurs se sont amusés à disséquer ce standard, et le résultat est implacable : il existe des tas de façons1 de trouer, poutrer, pirater un réseau 4G2. Triste époque.

Et ça va de mal en pis : en 2020, d’autres chercheurs estiment que la 4G LTE est complètement trouée et qu’il faudrait tout changer (émetteurs et récepteurs, donc toutes les antennes radios actuels et tous les smartphones actuels). Il n’y a que moi que ça inquiète ?

Icons made by photo3idea_studio from www.flaticon.com