Les États-Unis visent les pirates informatiques russes qui ont infecté plus de 500 000 routeurs

Le malware VPNFilter a ciblé des appareils dans le monde entier à partir de Linksys, MikroTik, Netgear et TP-Link.

wifi-sécuritéLe malware, appelé VPNFilter, a infecté plus de 500 000 routeurs dans 54 pays, selon les chercheurs.Aaron Robinson / CNETPlus d'un demi-million de routeurs et d'appareils réseau dans 54 pays ont été infectés par des logiciels malveillants sophistiqués, préviennent des chercheurs du groupe d'intelligence Talos de Cisco.Le malware, que les chercheurs appellent VPNFilter, contient un killswitch pour les routeurs, peut dérober les logins et les mots de passe, et peut surveiller les systèmes de contrôle industriels.Une attaque aurait le potentiel de couper l'accès à Internet pour tous les appareils, a déclaré mercredi William Largent, un chercheur de Talos, dans un article de blog.Tard mercredi, le FBI a reçu l'autorisation du tribunal de saisir un domaine Internet que le Département de la Justice a déclaré qu'un groupe de piratage russe, connu sous le nom de Sofacy Group, utilisait pour contrôler les appareils infectés. Le groupe, qui porte également les noms Apt28 et Fancy Bear, a ciblé des organisations gouvernementales, militaires et de sécurité depuis au moins 2007.


«Cette opération est la première étape de la perturbation d'un botnet qui fournit aux acteurs de Sofacy un éventail de capacités pouvant être utilisées à diverses fins malveillantes, notamment la collecte de renseignements, le vol d'informations précieuses, les attaques destructrices ou perturbatrices, et », a déclaré John Demers, procureur général adjoint à la sécurité nationale, dans un communiqué.Les attaques sur les routeurs ne sont pas seulement un problème, car elles peuvent bloquer l'accès à Internet, mais aussi parce que les pirates peuvent utiliser le logiciel malveillant pour surveiller l'activité sur le Web, y compris l'utilisation du mot de passe. En avril, des responsables américains et britanniques ont mis en garde contre des pirates informatiques russes ciblant des millions de routeurs à travers le monde, avec des plans pour mener des attaques massives en utilisant les appareils. Dans cette annonce, le FBI a appelé les routeurs "une arme formidable entre les mains d'un adversaire"."Tout est possible, cette attaque met essentiellement en place un réseau caché pour permettre à un acteur d'attaquer le monde à partir d'une position qui rend l'attribution très difficile", a déclaré Craig Williams, directeur de Talos, dans un courriel.VPNFilter a infecté les routeurs en Ukraine en particulier à un "taux alarmant", avec un pic d'infections dans le pays d'Europe de l'Est les 8 et 17 mai. Talos a indiqué que le malware pourrait être utilisé dans une future attaque contre le pays. Les chercheurs ont déclaré que le nouveau malware partageait beaucoup des mêmes codes utilisés dans les cyberattaques connues en Russie et a qualifié l'attaque de "probablement sponsorisée par l'Etat".Les chercheurs de Talos étudient toujours la façon dont le malware infecte les routeurs, mais ont déclaré que les routeurs de Linksys, MikroTik, Netgear et TP-Link sont affectés.Netgear a déclaré qu'il était au courant de VPNFilter et conseillait ses utilisateurs de mettre à jour leurs routeurs."Netgear étudie et mettra à jour cet avis au fur et à mesure que de nouvelles informations seront disponibles", a déclaré un porte-parole dans un communiqué envoyé par courrier électronique.MicroTik a reconnu que Cisco l'avait informé d'un outil malveillant trouvé sur trois appareils qu'il avait fabriqués, et a déclaré qu'il avait déjà appliqué un correctif pour réduire la vulnérabilité à l'origine de l'installation du logiciel malveillant. "Simplement mettre à jour le logiciel RouterOS supprime les logiciels malveillants, tous les autres fichiers tiers et ferme la vulnérabilité", a déclaré un porte-parole.TP-Link a déclaré qu'il enquêtait, et a ajouté qu'il n'était pas au courant des produits qui ont été affectés par VPNFilter.Linksys n'a pas répondu à une demande de commentaire.Les chercheurs ont publié leurs résultats maintenant par souci d'une éventuelle attaque à venir contre l'Ukraine. Le pays a été à plusieurs reprises victime des cyberattaques russes, notamment le rançongiciel NotPetya, que les autorités américaines et britanniques ont qualifié de «cyberattaque la plus destructrice de tous les temps».Les chercheurs ont également attribué à une panne d'électricité en 2016 en Ukraine à des pirates informatiques russes qui ont utilisé des logiciels malveillants pour cibler les systèmes de contrôle industriel.La Cyber ​​Threat Alliance, dont Cisco est membre, a informé les entreprises sur les logiciels malveillants destructeurs, qualifiant VPNFilter de «menace sérieuse».«La structure de commandement flexible du logiciel malveillant permet à l'adversaire de l'utiliser pour« bricoler »ces dispositifs, ce qui n'est pas une fonctionnalité habituellement intégrée aux logiciels malveillants», a déclaré le président de la Cyber ​​Threat Alliance, Michael Daniel.Talos recommande aux utilisateurs de réinitialiser leurs routeurs aux paramètres d'usine par défaut pour supprimer les logiciels malveillants potentiellement destructeurs et mettre à jour leurs appareils dès que possible.

REF.:

Préparez-vous à une avalanche de nouvelles failles CPU !

Six autres failles matérielles seraient en cours d’analyse chez Intel. Quatre d’entre elles présenteraient un risque de sécurité élevé. Leur publication serait prévue d’ici au mois d’août.

Intel, ARM et consorts viennent de dévoiler deux nouvelles failles qui touchent un grand nombre de processeurs, mais dont le niveau de risque reste somme toute modéré. En réalité, il ne s’agit là probablement que du prélude d’une avalanche de nouvelles failles matérielles, dont certaines pourraient avoir un impact bien plus élevé. Début mai, le magazine allemand c’t avait révélé qu’Intel planchait sur huit nouvelles failles matérielles en plus des trois que l’on connaissait déjà (Meltdown, Spectre 1, Spectre 2). Deux des nouvelles failles venant d’être dévoilées, il en reste donc encore six à venir. La publication de ces failles serait prévue d’ici au mois d’août.

À lire : Pourquoi la faille Spectre continuera longtemps de hanter nos processeurs

Alerte sur les services cloud

Évidemment, aucune information technique précise n’est disponible à ce jour sur ces nouvelles failles. Mais selon c’t, deux seraient cataloguées avec un risque de sécurité moyen et quatre avec un risque élevé. Parmi les failles les plus critiques, l’une permettrait d’exécuter aisément du code malveillant dans une machine virtuelle et, à partir de là, d’attaquer le système hôte. Un scénario qui pourrait particulièrement fragiliser les services cloud de type Amazon, Google ou Cloudflare. Pour l’industrie informatique, l’été risque donc d’être particulièrement chaud.
En tous cas, cette nouvelle fournée confirme ce que bon nombre d’experts avaient déjà prédit : Meltdown et Spectre n’étaient que le début d’une longue série de révélations. D’une certaine manière, c’est assez logique. Pendant des dizaines d’années, les fabricants de puces n’ont pas suffisamment pris en considération les éventuels problèmes de sécurité de leurs architectures. Ils doivent maintenant payer les pots cassés. Et nous aussi.

 

 

REF.:

Google révèle de nouveau une faille zero-day dans Microsoft Edge

Une vulnérabilité non patchée dans le navigateur permet l’exécution de code arbitraire sur la machine. Google a publié tous les détails techniques car Microsoft n’a pas pu la corriger dans les temps impartis.

C’est une nouvelle humiliation pour Microsoft. En novembre dernier, les chercheurs en sécurité de Google Project Zero ont découvert une faille de sécurité dans le navigateur Edge qui permet à un attaquant de contourner les protections du compilateur Javascript et d’accéder à une zone mémoire pour y exécuter du code arbitraire. Une technique bien utile pour les pirates. Ce qui est embêtant, c’est que ces derniers peuvent dès à présent la mettre en pratique car les détails de cette faille viennent d’être publiés par Google. En effet, le géant du web donne systématiquement 90 jours aux éditeurs pour diffuser un correctif aux failles trouvées, mais le délai a été dépassé.

Pas de patch prévu pour le moment

Il y a quelques jours, Microsoft a alerté les chercheurs en sécurité sur le fait que le développement du patch était « plus complexe que prévu » et qu’il ne pourrait pas diffuser de correctif avant le 13 mars. Mais Google est resté inflexible. Par la suite, Microsoft a fait du rétropédalage et avoué qu’il ne pouvait pas, pour l’instant, s’engager sur une date pour le patch. Les utilisateurs de Edge se retrouvent donc avec un navigateur dotée d’une faille zero-day assez critique que les pirates vont pouvoir exploiter à cœur joie pendant au moins un mois.      
Ce n’est pas la première fois que Google met ainsi le pistolet sur la tempe de Microsoft. Il y a un an, ses chercheurs avaient également trouvé des failles dans Edge et dans Windows que l’éditeur n’a pas corrigées à temps et dont les détails ont donc été publiés. A l’époque, les dirigeants de Redmond avaient poussé une gueulante, car ils n’avaient pas du tout apprécié d’être mis devant le fait accompli. Cette fois-ci, pas de remarque particulière. Chez Microsoft, les failles zero-day sont devenues une routine. 

 

 

REF.:  Gilbert KALLENBORN

Les forces de police n'ont plus besoin d'Apple pour accéder au contenu de votre iPhone

La société Cellebrite semble détenir une nouvelle technique d’extraction capable de venir à bout de la sécurité de tous les iPhone, même de l’iPhone X.

Les policiers de la planète doivent être contents. Depuis des années, ils n’arrêtent pas de se plaindre du chiffrement des smartphones et des complications que cela entraîne pour leurs enquêtes. Mais un cadeau vient apparemment de leur tomber du ciel.
Selon Forbes, l’entreprise israélienne Cellebrite est désormais en capacité d’extraire les données de n’importe quel iPhone, même les derniers (iPhone 8, iPhone X). C’est en tous les cas le message que les commerciaux de Cellebrite sont en train de diffuser auprès des forces de l’ordre. C’est également ce qui transparaît sur les brochures commerciales, où Cellebrite affirme pouvoir accéder « aux appareils et aux systèmes Apple iOS, dont l’iPhone, l’iPad, l’iPad mini, l’iPad Pro et l’iPod touch, de la version iOS 5 à iOS 11 ».
D’ailleurs, il semblerait que cette technique d’extraction avancée a déjà été appliquée sur un iPhone X. Dans un mandat de perquisition révélé par Forbes, on apprend qu’un appareil de ce genre a récemment été analysé avec succès par une fonctionnaire de police dont il est précisé qu’elle a reçu une formation Cellebrite.

Cette nouvelle technique d’extraction n’est pas librement disponible au travers des logiciels vendus par Cellebrite. C’est un service spécial facturé 1500 dollars par iDevice. Pour en bénéficier, il faut se rendre dans les laboratoires de l’entreprise.
La raison est claire : pas question de mettre la technique dans les mains des clients et prendre le risque qu’ils devinent la nature de la faille sous-jacente. Car cette capacité hors du commun a dû coûter une belle somme à Cellebrite, à moins que la société l’ait développée elle-même. Les failles iPhone sont celles qui se vendent le plus cher sur le marché des vulnérabilités. La société Zerodium, par exemple, est prête à payer jusqu’à 1,5 million de dollars pour une technique de piratage iPhone.
Vu les réactions des forces de l'ordre, notamment américaines, face au chiffrement des smartphones d'Apple, il est probable que Cellebrite va vite rentabiliser son investissement. Selon Forbes, le département de la sécurité nationale (DHS) n’a pas hésité à payer 2 millions de dollars l’année dernière pour utiliser sa technologie.

REF.:

Intel : Nouvelles inquiétudes sur la sécurité des modules AMT d'Intel

Faille dans AMT : nouvelles inquiétudes sur la sécurité des modules Intel

Sécurité : Une nouvelle vulnérabilité affectant les processeurs Intel a été découverte la semaine dernière par les chercheurs de la société F-Secure. Celle-ci affecte plus spécifiquement les modules Active Management Technology et permet à un attaquant de prendre le contrôle de la machine.

Spectre et Meltdown ont attiré beaucoup d’attention sur les processeurs Intel en début de mois. Mais le fondeur ne semble pas encore tiré d’affaire : vendredi, la société F-Secure publiait ainsi un rapport détaillant une nouvelle vulnérabilité présente au sein des processeurs Intel et plus particulièrement au sein des modules AMT embarqués par certains modèles de processeurs.

Les modules AMT d’Intel ont retenu l’attention de nombreux chercheurs en sécurité au cours des dernières années. En effet, ces modules installés par Intel sur certains processeurs constituent un motif d’inquiétude pour certains administrateurs. AMT est un module utilisé pour la prise de contrôle à distance de machines Intel. Celui-ci embarque plusieurs logiciels et outils, tels que des fonctions de connexion au réseau, d’accès à la mémoire de la machine ou des différents équipements branchés, et peut permettre d’accéder à la machine en contournant les mots de passe mis en place au niveau du Bios ou de l’OS, AMT étant accessible au démarrage de la machine.
C’est sur ce principe que se base la vulnérabilité découverte par F-Secure : AMT dispose d’un mot de passe par défaut, qui peut permettre à un attaquant disposant d’un accès physique à la machine d’accéder à AMT et de mettre en place une porte dérobée sur la machine ; il ne s’agit pas d’une faille issue d’un bug, comme c’était le cas pour Meltdown et Spectre, mais d’un problème de configuration du module. Comme l’explique F-Secure, les modules AMT sont généralement laissés avec le mot de passe par défaut « admin » qui est rarement modifié par l’utilisateur.

Intel dans le viseur des chercheurs

« En changeant le mot de passe par défaut, en autorisant l’accès à distance et en configurant l’accès à distance AMT pour ne pas demander l’autorisation de l’utilisateur, un cybercriminel peut compromettre la machine », expliquent les chercheurs de F-Secure. La technique nécessite néanmoins d’avoir un accès physique à la machine, mais une utilisation détournée de l’outil d’Intel peut permettre à un attaquant de mettre en place une porte dérobée sur la machine de la cible. Du fait de son utilisation principale, la prise de contrôle à distance à des fins d’administration, AMT embarque toutes les fonctionnalités logicielles nécessaires pour faire office de porte dérobée sur la machine cible. Une fois la configuration mise en place, l’attaquant pourra profiter de cet accès dérobé afin d’espionner l’activité de l’utilisateur sur la machine à partir d’un ordinateur connecté sur le réseau local ou à distance.
Difficile donc de comparer directement ce problème aux failles Meltdown et Spectre, qui relèvent d’un comportement non désiré. Ici, AMT fonctionne comme prévu par Intel. Le défaut provient d’un souci de configuration et de connaissance de ce module, dont les mots de passe par défaut ne sont pas changés par les constructeurs et administrateurs. Intel ne s’y trompe d’ailleurs pas : interrogés par Zdnet.com le porte-parole d'Intel déclare « Nous remercions la communauté des chercheurs en sécurité d’avoir remis en avant le fait que certains constructeurs n’ont pas configuré leurs systèmes afin de protéger correctement le module AMT. » Le constructeur en profite pour indiquer qu’un guide de configuration est disponible pour ceux qui souhaiteraient s’assurer que le module AMT présent sur leur machine n’est pas accessible pour un attaquant. Meilleure méthode pour parer une éventuelle attaque de ce type : changer le mot de passe par défaut du module AMT. Et garder un œil sur les accès physiques aux machines susceptibles d’être visées.

REF.:

Pirater le CPL de son voisin, c’est simple

Un chercheur en sécurité a trouvé une faille pour s'introduire à distance dans un grand nombre de prises courant porteur en ligne. Permettant, par exemple, de se greffer sur l'accès Internet d'un parfait inconnu.

Si vous disposez d’une box Internet avec décodeur TV, il y a des chances que vous utilisez des prises courant porteur en ligne pour interconnecter les deux. C’est en effet la solution la plus simple et qui offre la meilleure qualité de débit. Mais saviez vous qu’en faisant cela, vous augmentez considérablement le risque de vous faire pirater votre accès Internet? Voire même de vous faire espionner? C’est en effet ce que vient de démontrer le chercheur en sécurité Sébastien Dudek, à l’occasion de la conférence NoSuchCon, qui s’est déroulée du 19 au 21 novembre au siège du parti communiste. « J’ai récemment emménagé dans une colocation, explique le jeune ingénieur diplômé en 2012. Mais le wifi était de mauvaise qualité, j’ai donc acheté des prises CPL. C’est comme ça que tout a commencé. »

Les compteurs électriques n'isolent pas le trafic

Recherche documentaire sur Internet, analyse de trafic protocolaire, reverse engineering… le hacker décortique méthodiquement ses adaptateurs et, finalement, découvre un moyen pour s’introduire à distance dans un grand nombre de réseaux CPL. Sa méthode repose tout d’abord sur une faille dans le réseau électrique lui même. « Contrairement à ce que l’on pourrait penser, les signaux CPL ne sont pas arrêtés par les compteurs électriques. Seuls les plus récents sont capables de les filtrer. Quand les compteurs sont plus anciens, on arrive à capter les signaux d’appartements voisins, voire même au niveau de tout un immeuble », explique M. Dudek.

Entre deux prises CPL, le trafic circule par le courant électrique de manière chiffré. - Entre deux prises CPL, le trafic circule par le courant électrique de manière chiffré.

Mais capter les signaux ne suffit pas pour s’introduire dans un flux CPL, car ce dernier est plutôt bien chiffré (AES 128 bits pour les plus récents). Certes, certains utilisateurs négligents oublie d’activer l’appairage de sécurité qui, par une simple pression de bouton, permet de générer une nouvelle clé de chiffrement. Dans ce cas, le mot de passe du réseau est celui défini par défaut. Et souvent, il s’agit de « HomePlug » ou « HomePlugAV ». « L’accès au réseau est alors immédiat. La prise CPL pirate s’associe automatiquement aux autres. Et l’on peut surfer gratuitement sur Internet », explique le chercheur.
Mais comment faire lorsque une nouvelle clé a bien été définie? En menant plus loin ses recherches, M. Dudek découvre que chaque prise CPL dispose d’un mot de passe unique baptisé « Direct Access Key », qui est d’ailleurs affiché sur le boitier (voir image ci-dessous). Et celui-ci, oh surprise, permet de changer le clé de chiffrement entre les prises CPL, à condition d’envoyer la bonne requête à travers le réseau électrique (SetEncryptionKeyRequest). La principale difficulté reste donc à trouver ces fameux DAK (autrement que de s’introduire par effraction dans un appartement, évidemment).

Des codes intéressants se trouvent sur les prises... - Des codes intéressants se trouvent sur les prises...

Mais là encore, le chercheur fait une belle découverte. Pour les prises CPL basés sur le chipset Qualcomm Atheros - qui est l’un des plus diffusés - il se trouve que le DAK est… un dérivé de l’adresse MAC de l’adaptateur. Et ce n’est pas tout: l’algorithme de dérivation est librement accessible. Voilà qui est bien pratique, car il existe par ailleurs une requête spéciale dans le standard HomePlug AV (« Sniff ») qui permet de récupérer automatiquement l’adresse MAC d’une prise CPL branchée sur un routeur-modem. Et le tour est joué.
En résumé, n’importe qui dans un immeuble peut se brancher sur l’Internet de son voisin, à condition que celui-ci dispose d’un CPL basé sur Qualcomm Atheros et que les compteurs électriques ne soient pas trop récents. « La faute revient aux fabricants qui utilisent tous le même algorithme de dérivation, car il leur est fourni par Qualcomm. Ils devraient utiliser leur propre algorithme », souligne l’ingénieur. La bonne nouvelle dans cette affaire est pour les Freenautes: ils peuvent dormir tranquille, car les prises CPL fournis par Free reposent sur un autre chipset.


REF.:

CPU : Vulnérabilités Meltdown et Spectre visant les processeurs Intel

Deux vulnérabilités nommées Meltdown et Spectre affectent les processeurs Intel depuis 1995.
Ces vulnérabilités peuvent permettre la lecture de données en mémoire et potentiellement voler des informations comme des mots de passe.
Plusieurs applications sont vulnérables dont Windows.
Voici quelques informations autour de ces vulnérabilités Meltdown et Spectre.

Table des matières 

• 1 Que sont les vulnérabilités Meltdown et Spectre ?
  • 1.1 Des vulnérabilités importantes et cruciales
• 2 Comment fonctionnent ces vulnérabilités ?
  • 2.1 La vulnérabilité Meltdown
  • 2.2 La vulnérabilité Spectre
• 3 Les correctifs contre Spectre et Meltdown
  • 3.1 Windows
    • 3.1.1 Cas du KB4056894 avec les antivirus et AMD
  • 3.2 Android
  • 3.3 GNU/Linux
  • 3.4 Mozilla Firefox
  • 3.5 Google Chrome
  • 3.6 Vmware
  • 3.7 NVidia
• 4 EDIT – Patchs et baisse des performances
• 5 EDIT – Vulnerabilités déjà exploitées ?

Que sont les vulnérabilités Meltdown et Spectre ?

Ce sont des vulnérabilités matérielles importantes sur les processeurs Intel.
Ces bugs de sécurité permettent l’accès à des zones de mémoires utilisées par des applications en cours de fonctionnement. Il ne s’agit pas d’un accès directe à la mémoire RAM mais plutôt d’une déduction du contenu de celle-ci à travers a mémoire en cache sur le processeur. Ainsi un malware pourrait lire des informations stockées par les applications dont des mots de passe.
Ces vulnérabilités tirent partie de la fonction d’exécution spéculative sur les processeur Intel, de ce fait, il s’agit de de vulnérabilités de canal latéral execution speculative.
Cette fonction tente de prédire le prochain calcul du processeur selon les actions effectuées par les applications et d’effectuer le calcul en avance afin d’optimiser les performances.
Pour un aperçu du principe de ces vulnérabilités, lire le paragraphe suivant.
Mozilla confirme que la vulnérabilité peut-être exploitée par des sites internet en utilisant JavaScript.
Nvidia pense, pour le moment, que leurs processeurs ne sont pas concernés par ces bugs de sécurité.
Certains processeurs AMD peuvent être vulnérables à Spectre.

La confusion autour des processeurs AMD s’explique par les déclarations initiales de l’entreprise une semaine auparavant. Celle-ci affirmait que « AMD n'est pas sensible aux trois variantes ». En d'autres termes, certaines puces d'AMD sont vulnérables à deux failles - mais simplement pas les trois.
Selon Papermaster, AMD estime que la menace de Spectre Variante 1 « peut être contenue avec un correctif de système d'exploitation (OS) et nous travaillons avec les fournisseurs de systèmes d'exploitation pour résoudre ce problème. »

Des vulnérabilités importantes et cruciales

Meltdown brise l’isolation entre les applications utilisateurs et le système d’exploitation.
Spectre brise l’isolation entre les différentes applications. Un attaquant peut forger un programme qui peut potentiellement lire les données en mémoire des applications en cours de fonctionnement.
Cette dernière vulnérabilité est plus difficile à exploiter mais plus difficile à mitiger.

Ces vulnérabilités Spectre et Meltdown touchent les ordinateurs personnels, mobiles et tout appareil utilisant des processeurs intel.
De ce fait, cette vulnérabilité est importante d’un point de vue sécurité puisqu’elle vise un éventail large de matériel informatique.
Les différents éditeurs se doivent de publier des correctifs concernant ces deux vulnérabilités.
Les numéros des alertes de sécurité : CVE-2017-5753, CVE-2017-5715 (Spectre), et CVE-2017-5754 (Meltdown).
Enfin, un site informatif regroupant toutes les informations a aussi été créé : https://meltdownattack.com/

Comment fonctionnent ces vulnérabilités ?

Voici dans les grandes lignes, le fonctionnement de l’attaque et des vulnérabilités Meltdown et Spectre.

La vulnérabilité Meltdown

L’accès à la mémoire RAM est un peu plus lente que le processeur.
Afin de ne pas être handicapé, les constructeurs de processeur ont créé une mémoire cache sur le processeur qui contient les informations les plus régulières.
Le but est ainsi de ne pas avoir à accéder à la mémoire RAM est ainsi gagner en vitesse.
Le système d’exploitation prévoit de ne pas donner accès à certaines zones de mémoire RAM, l’application A ne peut pas accéder à la zone mémoire de l’application B.
Toutefois, le processeur lui a accès à la zone entière de mémoire et peut filtrer certaines accès par la suite.
La vulnérabilité Meltdown tire partie de ce fonctionnement et de la fonction speculative execution qui a accès à toute la zone mémoire sans aucun filtrage.
Le but ici est de savoir si une information se trouve dans le cache du processeur pour en déduire son contenu.
Imaginons le programme suivant :

1. Dessinez un texte (ou une publicité ou ce que vous voulez) sur l’écran
2. On lit et écrit des informations dans le cache mémoire afin que celui-ci soit remplit
3. On lit la première lettre du mot de passe Wifi qui est en mémoire du système d’exploitation
4. Si cette première est un « S », on lit le premier pixel en mémoire de notre texte à l’écran

Théoriquement, l’étape 3 devrait nous être interdite par la CPU puisque le programme n’est pas censé avoir accès à la zone mémoire contenant le mot de passe Wifi.
Seulement la fonction spéculative du processeur va elle, exécuter ces étapes 3 et 4 pour stocker les informations dans le cache du processeur.
A partir de là, on peut imaginer un second programme qui va effectuer les opérations suivantes :

1. On lit le premier pixel de notre texte
2. On calcule le temps que l’action a prise

Si l’exécution est rapide, on peut en déduire que l’information se trouve dans le cache du processeur et donc que la première lettre du mot de passe Wifi est bien un « S ».
On peut alors répéter l’opération pour en déduire le mot de passe Wifi entier.

La vulnérabilité Spectre

Spectre est assez similaire à Meltdown mais plus difficile à exploiter mais vise tous les processeurs modernes.

Si la vulnérabilité Meltdown permet de récupérer le mot de passe Wifi à travers une publicité ou texte à l’écran… Spectre lui donne la possibilité par exemple de lire des informations d’un onglet du navigateur internet… ce qui peut poser des problèmes dans le cas où vous visitez le site de votre banque.
La protection dans le navigateur internet est implémenté, en quelque sorte, de la manière suivante :

char accessMemory(position)
{
   if(position >= end)
       throw error();
   return memory[position];
}

On s’assure que la publicité ne peut lire au delà de sa fin de zone de mémoire (end) à travers la condition if, si c’est le cas, une erreur est renvoyée.
Encore une fois ici, la fonction speculative du processeur va au delà, et tout comme Meltdown, on peut tenter de s’assurer que l’information est en dans le cache du processeurs en utilisant la condition suivante.

if(accessMemory(100000000)=='B')
 x=readPixel(1);

et donc, tout comme Meltdown, on mesure le temps pour accéder au premier pixel.
Si la réponse est rapide, nous savons qu’il y a un B à la position 100000000.
Cette vulnérabilité permet donc d’outrepasser toutes les protections comme les bac à sables et accéder à des informations interdites.
Enfin, l’attaque peut-être menée en parallèle afin de trouver plus rapidement les informations mémoire.
source : SPECTRE & MELTDOWN: TAPPING INTO THE CPU’S SUBCONSCIOUS THOUGHTS

Les correctifs contre Spectre et Meltdown

Cette vulnérabilité a été trouvée par Google et publiée le 3 Janvier 2018.
Beaucoup d’éditeurs (dont Google) n’ont pas encore publiés de correctifs.

Windows

Microsoft a publié un bulletin de sécurité concernant Windows : KB4073119 et KB4072699 (pour les Windows Serveur).
Les correctifs corrigent le bug Meltdown et une partie des bugs Specture.
Pour ce dernier, une mise à jour CPU-firmware peut-être nécessaire.
Les bulletins de sécurité :

• Windows 10 :
  • KB4056892 (OS Build 16299.192)
  • KB4056891 (OS Build 15063.850)
  • KB4056890 (OS Build 14393.2007)
  • KB4056888 (OS Build 10586.1356)
  • KB4056893 (OS Build 10240.17738)
• Windows 8.1 : KB4056895
• Windows 7 : KB4056894

Cas du KB4056894 avec les antivirus et AMD

Microsoft indique aussi que ces correctifs peuvent être incompatible avec certains antivirus et causer des BSOD.
Ces mises à jour ne seront pas proposées sur les Windows où ces antivirus sont installés.
Un bulletin de compatibilité a été publié par Microsoft, toutefois l’éditeur de l’antivirus peut forcer la mise à jour en créant une clé dans le registre de Windows spécifique.
Sur Windows 7, la mise à jour peut provoquer un BSOD STOP 0x000000c4 après la mise à jour KB4056894 au démarrage.

Android

Un bulletin de sécurité lié aux vulnérabilités Meltdown et Spectre a été publié pour les systèmes Android : https://source.android.com/security/bulletin/2018-01-01
Notez que les smartphone Samsung n’utilisent pas de processeur Intel et ne sont donc pas touchées par ces vulnérabilités.

GNU/Linux

La plupart des distributions Linux sont touchées par ces vulnérabilités.
Suivez les mises à jour habituelles de vos distributions.
Quelques bulletins :

• Redhat – Kernel Side-Channel Attacks – CVE-2017-5754 CVE-2017-5753 CVE-2017-5715 et RHEL
• Suse Enterprise
• Debian
• Ubuntu

Il semblerait que pour le patch d’Ubuntu, des problèmes de démarrage de GNU/Linux ont été signalés par la suite.

Mozilla Firefox

Mozilla indique que la version 57 de Firefox (publié en Novembre) possède des contre-mesures.
On ne sait pas encore quand les correctifs seront disponibles.

Google Chrome

Ces vulnérabilités seront corrigées sur Chrome 64 autour du 23 Janvier.
Il est toutefois possible d’activer des contre-mesure sur Chrome 63.
Pour cela,

• Ouvrez un nouvel onglet dans l’adresse copier/collez : chrome://flags
• Dans la liste cherchez « Strict site isolation » puis cliquez sur Activez.

Vmware

Les produits VMWare ne seraient vulnérables qu’à Spectre : https://blogs.vmware.com/security/2018/01/vmsa-2018-0002.html

• ESXi 5.5, 6.0, et 6.5 (il faut installer les patchs sivants : ESXi550-201709101-SG, ESXi600-201711101-SG, ESXi650-201712101-SG; ESXi 5.5)
• Workstation 12.x (mettre à jour vers 12.5.8)
• Fusion 8.x (mettre à jour vers 8.5.9)

NVidia

La mise à jour des pilotes des cartes graphiques Nvidia GeForce driver 390.65 corrige la vulnérabilité Spectre.

EDIT – Patchs et baisse des performances

Quelques tweets avaient signalés des baisses de performances après l’applications de patchs.
Voici le résultat des tests effectuées par Microsoft.

• Sur Windows 10 avec des processeurs récents (PC 2016 à base de Skylake, Kabylake), une petite baisse des performances ont été détectés mais les utilisateurs ne devraient pas s’en rendre compte.
• Sur Windows 10 avec des processeurs silicons plus anciens (PC de 2015 en Haswell et plus anciens), on note une baisse significative des performances.
• Sur Windows 8 et Windows 7 (PC de 2015 en Haswell et anciens CPU), les utilisateurs ne devraient se rendre compte de rien.
• Windows Serveur, sur les applications avec IO intensifs, une baisse des performances devraient être constatée si vous activez l’isolation et mitigation de codes inconnus. Microsoft recommande donc d’évaluer les risques de sécurité et la balance autour des performances.

source:  Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
D’autres benchmark sont disponibles notamment celui-ci sur le jeu BattleField :

EDIT – Vulnerabilités déjà exploitées ?

D’après ce tweet, ces vulnérabilités sont déjà exploitées par un malware qui a permis de récupérer plus de 100k mots de passe de compte en ligne.

REF.:

Une bête faille de sécurité de MacOS ouvre l'accès admin à tous

La dernière version de macOS, High Sierra, offre un moyen simple et infaillible de prendre le contrôle de n'importe quel Mac. Apple vient de pousser un patch.

 Apple n'aura pas tardé à combler cette très embarrassante faille. Le géant vient en effet de pousser un correctif (Security Update 2017-001) qui ferme cette porte grande ouverte. Le correctif qui concerne les utilisateurs de macOS High Sierra 10.13.1 mais pas ceux de 10.12.6 est à installer de toute urgence...

Apple, Apple, Apple. Qu'allons-nous faire de vous ? Dans votre version la plus récente de High Sierra macOS, il s'avère que vous avez donné à un utilisateur local le moyen de prendre possession d'un Mac, et ce totalement.
Allez sur votre Mac sous High Sierra et essayez ceci : sur l’écran de connexion, cochez "Autre utilisateur" et saisissez root comme nom d'utilisateur et laissez le mot de passe vide. Cliquez plusieurs fois et vous pourriez alors découvrir que vous venez de vous connecter à votre système en tant qu'utilisateur root, c'est-à-dire en mode administrateur. Vous avez désormais tous les pouvoirs.
Cela signifie que si vous avez volé un Mac, ou si vous avez simplement accès physiquement à un Mac alors que le propriétaire est absent, vous avez accès à toutes les données qui s'y trouvent. Pensez-vous que ce soit problématique ? Oui, vous pouvez.
C'est un raté historique en matière de sécurité. Rien d’équivalent ne me vient à l’esprit. Tous les Mac exécutant une version à jour de MacOS sont exposés à ce type d’attaques. Cet exploit ne nécessite aucune des redoutables compétences qu’on pourrait prêter à un hacker fou de la NSA. Si vous pouvez utiliser un clavier, vous pouvez entrer.
Dans la version originale de ce trou de sécurité, tout ce que vous deviez faire était de vous rendre dans les Préférences Système, puis Utilisateurs et Groupes, et de cliquer sur le verrou pour apporter des modifications. Ensuite, entrez "root" comme nom d'utilisateur sans mot de passe. Sésame, ouvre toi ! Vous y êtes.
Comme sur tout système basé sur Unix/Linux, l'utilisateur root peut contrôler toutes les fonctions d'administration et peut lire et écrire sur n'importe quel système de fichiers, y compris ceux des autres utilisateurs. En théorie, la racine est désactivée sur les systèmes Apple sauf autorisation expresse. Faux !
Une fois connecté, vous pouvez modifier vos propres autorisations. Par exemple, vous voulez vous donner des privilèges d'administrateur ? Bien sûr ! Ou, vous pouvez configurer de nouveaux comptes de niveau administrateur. Une fois que vous avez fait cela, vous pouvez faire tout ce que vous désirez dans le système.
Le développeur turc Lemi Orhan Ergin a découvert cette variation de la faille et a annoncé l'erreur de sécurité remarquablement stupide d'Apple sur Twitter.
De nombreux autres et moi avons vérifié. Nous avons constaté que le trou est aussi béant qu’il le paraît. Le problème a été confirmé sur macOS High Sierra 10.13.0, 10.13.1 (la version actuelle de High Sierra) et macOS High Sierra 10.13.2 beta.
Il est d'abord apparu qu’il n’était pas possible d’exploiter cette astuce triviale à distance. Depuis lors, Will Dormann, un analyste en vulnérabilités du CERT/CC, a rapporté : « Si vous avez exposé le ‘partage d'écran’, vous pouvez autoriser les utilisateurs à accéder à votre machine avec un accès complet à l'interface graphique sans utiliser de mot de passe ». En outre, Dormann a découvert que "Apple 'Remote Management' est lui aussi exposé. Si 'Contrôle' est activé, cela ouvre un accès distant root complet à un système, sans mot de passe."
Apple a reconnu l’existence du problème. Dans une déclaration, Apple précise que l'ajout d'un mot de passe pour le root permettrait d’y remédier. « Nous travaillons sur une mise à jour logicielle pour résoudre ce problème. En attendant, la définition d'un mot de passe root empêche tout accès non autorisé à votre Mac. Pour activer l'utilisateur racine et définir un mot de passe, suivez les instructions ici. Si un utilisateur root est déjà activé, , veuillez suivre les instructions de la section Changer le mot de passe root pour vous assurer qu'un mot de passe vide n'est pas défini ».
Cela fait quatre problèmes de sécurité liés au mot de passe depuis la sortie de High Sierra en septembre.
Pour le moment, vous devez - impérativement - définir un mot de passe pour le compte root. Vous pouvez le faire avec la commande suivante depuis le terminal :
sudo passwd -u root
Une fois que vous avez défini un mot de passe pour root, l'astuce du mot de passe vide ne fonctionnera plus.

REF.:

Comment fonctionne Pegasus, ce malware qui vole toutes les données de l'iPhone

 

CitizenLab

Pour espionner ses victimes, ce logiciel s'appuie sur un Jailbreak et infecte le terminal au moyen de trois failles zero-day. Il permet d'intercepter tout type de communications.    

CitizenLab -

Lookout -

CitizenLab -

D'une certaine manière, c'est un coup de bol énorme. Révélée par les chercheurs en sécurité de CitizenLab et Lookout, la tentative d'espionnage dont a été victime le défenseur des droits de l'homme émirati Ahmed Mansoor, a permis de mettre la main sur Pegasus. Un logiciel d'espionnage très sophistiqué créé par l'éditeur israélien NSO Group. Une telle prise de guerre est rare, car les maîtres-espions font tout pour que leur logiciel ne soit pas découvert. Et l'opérateur qui a lancé cette attaque doit certainement s'en mordre les doigts aujourd'hui.
L'attaque est arrivée sur l'iPhone 6 de M. Mansoor sous la forme d'un SMS avec un lien, dont le domaine a pu être relié par CitizenLab à NSO Group. Le militant des droits de l'homme a eu le bon réflexe de transférer immédiatement ce lien à CitizenLab, qui l'a ouvert sur un iPhone 5s. Le malware s'est installé immédiatement, permettant aux chercheurs en sécurité de démarrer leur analyse.
Premier constat: c'est du lourd. Pour infecter l'iPhone, le malware s'appuie sur trois failles zero-day exploitées de façon consécutive. Sur le marché noir, ce type de failles se négocie pour plusieurs centaines de milliers d'euros, voire plus d'un million. La première vulnérabilité (CVE-2016-4657) est logée dans la bibliothèque WebKit, utilisée par Safari. Elle permet, rien qu'en chargeant une page web, d'exécuter du code arbitraire sur l'iPhone. Dans le cas présent, elle permet de réaliser un jailbreak de l'iPhone: une première faille zero-day (CVE-2016-4655) est utilisée pour localiser les zones mémoire du kernel et une seconde (CVE-2016-4656) pour les modifier. Ce qui permet de supprimer dans le système les différentes couches de protection applicative. Le piratage se termine par le téléchargement et l'installation de Pegasus.
D'après les chercheurs de Lookout, ce logiciel d'espionnage se révèle complet et bien écrit. L'exemplaire qu'ils ont découvert permet de siphonner les données de paramétrage réseau, du calendrier, du carnet d'adresse et de la base de mots de passe KeyChain. Il permet aussi d'intercepter les communications texte, audio ou vidéo d'une quinzaine d'applis de messageries et réseaux sociaux: Gmail, Viber, Facebook, WhatsApp, Telegram, Skype, Line, WeChat, VK, etc. Le logiciel peut également enregistrer et filmer la victime en temps réel. Celle-ci n'y voit que du feu, toutes ces actions se déroulent en arrière-plan, sans que n'apparaisse quoi que ce soit à l'écran. Certains échanges avec le serveur de commande et contrôle sont par ailleurs camouflés dans des faux SMS d'authentification. D'autres parties du code sont toujours en cours d'analyse chez Lookout.

Les clients de Pegasus sont cachés derrière un cloud

En fouillant dans les données qui ont fuité chez Hacking Team en juillet 2015, CitizenLab a par ailleurs pu mettre la main sur des pages de documentation relatives à Pegasus. Elles montrent que ce système s'appuie sur trois composantes principales: une station de travail, un serveur d'infection et une infrastructure cloud. L'opérateur lance son attaque depuis sa station, ce qui provoque l'envoi du SMS piégé. Le lien qu'il incorpore pointe vers l'un des serveurs web de l'infrastructure cloud. Le serveur web redirige la victime ensuite vers le serveur d'infection qui va exécuter l'attaque.
Si l'attaque a réussi, l'opérateur peut ensuite accéder aux données de l'iPhone depuis sa station de travail, avec une interface graphique plutôt agréable. De l'espionnage en beauté.

CitizenLab -

Sources:
CitizenLab, Lookout

La plupart des antivirus sont truffés de failles de sécurité !

 

Plutôt que de protéger nos ordinateurs, les antivirus et les pare-feux peuvent aussi devenir un vecteur d’attaque en raison des nombreuses failles qui s’y trouvent.

C’est un peu le syndrome de l’arroseur arrosé. Pour pouvoir faire leur travail de protection et de détection de malware, les logiciels de sécurité disposent tous d’un certain nombre de techniques plus ou moins intrusives. Parmi elles figurent le « hooking », un ensemble de techniques informatiques permettant d’injecter du code dans un processus.
Cela n’a rien d’extraordinaire à priori et ce n’est pas forcément malveillant. C’est une technique même couramment utilisée avec des fichiers DLL pour ajouter des fonctionnalités ou des comportements qui n’étaient pas prévus dans le code d’origine. « Les éditeurs de solutions de sécurité ont besoin de ces techniques, notamment pour inspecter les appels de fonctions. Mais le problème, c’est qu’elles sont souvent mal implémentées », nous explique Tomer Bitton, vice-président recherche chez EnSilo, une société spécialisée en sécurité, à l’occasion de la conférence BSides San Francisco, qui s’est déroulée hier 29 février.

A Lire : Une faille béante dans l’antivirus Trend Micro rendait les PC 100% vulnérables

Avec son collègue Udi Yavo, il a décortiqué une douzaine de solutions de sécurité: antivirus, pare-feu réseaux, pare-feu personnels… Résultat: tous étaient vulnérables à l’exploitation potentielle par un pirate, sur tous les systèmes Windows et sans grande difficulté. C’est un comble. « Au total, nous avons découvert six failles différentes, dont quatre très critiques, permettant d’exécuter du code arbitraire. De plus, le pirate n’a même pas besoin d’un accès administrateur, les privilèges de l’utilisateur sont suffisants », poursuit Tomer Bitton, qui en a profité pour faire la démonstration à l’aide d’un fichier PDF piégé.

Un développement perfectible

Les deux spécialistes ont évidemment pris contact avec les éditeurs. La plupart d’entre eux ont depuis apporté des correctifs. Mais pas tous, c’est pourquoi ils n’ont pas cité les noms des logiciels analysés. On en connait au moins trois: AVG Internet Security 2015, Kaspersky Total Security 2015 et McAfee Virus Scan Enterprise. Dans une note de blog de décembre dernier, les deux chercheurs avaient déjà révélé avoir trouvé des failles de ce type dans ces trois logiciels, ce qui les a incité à élargir leur recherche.
Au travers des contacts qu’ils ont eu avec les éditeurs, les deux chercheurs ont été surpris de constater que les développeurs des logiciels ne travaillent pas forcément en liens étroits avec les analystes de malware. C’est dommage, car ces derniers connaissent pourtant bien les problèmes liés au « hooking ». Le processus de développement de ces éditeurs est donc clairement perfectible.
MM. Bitton et Yano ne se sont pas arrêtés à la simple observation. Ils ont développé un outil baptisé « AVulnerabilityChecker » qui détecte certaines des failles trouvées dans les logiciels. Il est disponible sur GitHub, mais plutôt destiné aux utilisateurs avancés. Un second outil complémentaire sera également bientôt disponible.

Une avalanche de failles 

Ce n’est pas la première fois que les éditeurs de solutions de sécurité sont épinglés de cette sorte. Durant les derniers mois, ils ont été nombreux a être exposés par le chercheur Tavis Ormandy de Google, qui a trouvé des failles chez Avast, Comodo, AVG, Kaspersky, Malwarebytes, Trend Micro et FireEye. Un vrai feu d’artifice. Et en janvier dernier, à l’occasion de la conférence Shmoocon 2016, Patrick Wardle de la société Synack a montré une attaque par interception dans Kaspersky Internet Security et des failles dans le logiciel Gatekeeper d’Apple. La saison de chasse ouverte.


Source.:

10 défaillances majeures qui touchent les Scada

Sécurité : Le cabinet Lexsi livre les points clés qui doivent permettre aux industriels de mieux se protéger en matière de sécurité informatique. Des OS obsolètes aux problèmes de mot de passe, le tour de ce qui pose problème aujourd'hui.

Quelles sont les défaillances majeures qui touchent les systèmes industriels ? Le cabinet de conseil Lexsi répond en 10 points afin de prendre la mesure des risques des systèmes SCADA. Un pourcentage d’exposition est livré pour chaque thématique.
Les OS et firmware obsolètes et non mis à jour sont la menace la plus importante, avec 93% d’exposition. Des OS obsolètes tels que Windows XP, Windows 2000 voire NT4 sont encore très présent dans le monde industriel explique Lexsi. D’où des risques de compromissions instantanées des équipements et de rebond de l’exploitation des failles de sécurité sur d’autres périmètres.
Suit la non sécurisation des protocoles couramment utilisés (FTP, Telnet, VNC, SNMP…). Conséquence : le risque de vol de login/mot de passe, des connexion illégitimes aux serveurs, des attaques hors ligne ou encore des dénis de service par modification des configurations réseau… Lexsi recommande sur ce point l’utilisation de protocoles sécurisés tels que SFTP, SSH, SNMPv3 et de durcir la configuration des serveurs VNC. Là aussi le taux d’exposition est de 93%.
En troisième position, on trouve l’absence d’outils de surveillance des systèmes (sondes de détection/prévention d’intrusion) couplé au manque de centralisation et d’analyse des journaux systèmes. Les risques sont l’incapacité à détecter des signaux faibles d’attaques de type APT ou les attaques de force brute. Là encore le taux d’exposition est de 93%.

 

Système de contrôle industriel tel que décrit par Lexsi. Le réseau Scada contrôle et permet l'accès à l'ensemble des sous-systèmes (Crédit : Lexsi)

Quatrième du classement, l’interface utilisateur connectée en permanence, soit via un compte admin, ou une session Windows restée ouverte sur un poste de travail. Lexsi recommande la mise en place d’un timeout de la session sur le logiciel de supervision pour un verrouillage automatique ou encore la connexion à l’applicatif via une smart-card ou token-USB. Le taux d’exposition est ici de 92%.

Manque de veille et absence d'antivirus

En cinquième position, Lexsi dénonce le manque de veille de sécurité, avec un taux d’exposition de 90%. Dans ces conditions, difficile de détecter de nouveaux signaux d’alerte et d’effectuer une bonne remontée des informations. Le risque étant bien sûr de passer totalement à côté de la dimension sécurité dans la conception des projets Scada. Le cabinet propose d’initier une démarche de veille à partir de sources d’information ciblées. Et de citer Différentes sources d’informations sur les failles (CERT-FR, ICS-CERT, SIEMENS ProductCERT) ou encore des blogs et des mailing list tells que scadastrangelove, digital bond,tofino, et scadahacker.com
Arrive ensuite l’absence d’antivirus, avec un taux d’exposition de 90%. Lexsi cite des cas où les antivirus ne sont installés ni sur les serveurs ni sur les postes de travail. Conséquence : identification dans 50% des cas de la présence du vers Conficker sur des postes de supervision industrielle.
Pour finir, Lexsi cite l’interconnexion non sécurisée des systèmes de gestion avec les systèmes industriels (taux d’exposition de 89%), la mauvaise gestion des comptes (usage d’identifiant par défaut, mots de passe trop faibles ou inexistant ,…) avec un taux d’exposition de 87%, l’absence de tests de sécurité (86% de taux d’exposition) et pour finir des plateformes de développement non sécurisées (86% de taux d’exposition).

L’étude réalisée par Lexsi porte sur une durée de 4 ans, et concerne 50 de ses 500 clients sur la base d’un référentiel représentatif et contenant des acteurs du CAC40 ou équivalent.

Sujet: Sécurité

Source.: 

Controverse autour de la sécurité des VPN grand public

Sécurité : Une étude publiée par des chercheurs britanniques et italiens met en lumière les failles de sécurité dont souffrent les offres de VPN grand public, mais celle-ci est largement contestée par les principaux intéressés, qui déplorent une étude obsolète et datée.

Alors que les gouvernements s’efforcent de développer les outils de contrôle et de surveillance du réseau, les VPN, outils qui proposent de sécuriser une connexion et d’anonymiser en partie l’utilisateur, sont en pleine croissance. Mais des chercheurs de l’université Sapienza à Rome et de l’université Queen Mary à Londres ont publié une étude soulignant des failles dans plusieurs VPN commerciaux à destination du grand public.

 

Le bilan établi par les chercheurs est sans appel : tous les services VPN testés sont vulnérables à l'une ou l'autre des failles de sécurité. 

Les chercheurs ont identifié deux failles affectant la plupart de ces services : d’une part, une vulnérabilité nommée IPv6 Leaks, qui prend sa source dans le fait que la plupart de ces VPN ne prennent pas en charge le trafic IPv6 et ne sécurisent pas ce trafic. Une faille de sécurité d'autant plus prégnante que la plupart des OS ont tendance à prioriser IPv6 lorsque cela est possible.
L’autre scénario détaillé par les chercheurs est celui d’une attaque DNS : en interceptant les requêtes DNS de l’utilisateur de VPN, un attaquant peut ainsi retracer l’historique de navigation de sa victime. Les chercheurs ont exposé 14 VPN à ces deux types d’attaques, et aucun des candidats n’a eu droit au sans-faute : tous sont, selon eux, vulnérables à l’une ou l’autre de ces attaques.

La grogne des VPN

Mais l’étude déplaît fortement aux éditeurs VPN ayant servi aux tests menés par les chercheurs. Ainsi, PureVPN a été le premier à dégainer en publiant sur son blog un démenti, qui pointe le caractère inexact et daté de certaines des informations contenues dans l’étude. L’éditeur explique ainsi avoir « depuis longtemps déployé leurs propres serveurs DNS sur leur réseau » ce qui selon eux corriger la faille de sécurité remarquée par les chercheurs.
Même logique pour IPv6leak, la société explique avoir également pris des mesures afin de corriger cette faille de sécurité et conseille à ses utilisateurs de désactiver eux même la prise en charge du protocole IPv6 pour éviter de s’exposer. Le VPN Tor guard, également évoqué dans l’étude, a lui aussi profité de l’occasion pour annoncer avoir renforcé ses mesures de sécurité à l’égard de cette faille. Une mesure compréhensible, mais qui ne va pas favoriser l’adoption déjà poussive de ce nouveau protocole d’adressage.
La faille détaillée par les chercheurs n’a rien de très nouveau et l’étude remarque que celle-ci, bien que connue depuis un certain temps, reste exploitable contre la plupart des fournisseurs VPN commerciaux. Les chercheurs notent dans leurs conclusions que les entreprises utilisant des services de VPN devraient être peu touchées par cette faille, pour peu qu’ils soient configurés correctement.
La prise de contrôle du DNS pourrait être envisageable, mais « nécessiterait de la part de l’attaquant une grande connaissance du réseau.» L’étude s’inquiète en revanche des conséquences de ce type de faille sur des individus ayant recours à ces technologies dans des régimes totalitaires, et du sentiment de fausse sécurité que celles-ci peuvent créer.
 

 

Source.:

Google Play Store : explication des codes erreurs et comment les résoudre

Qui n’a jamais été confronté à un code erreur sur le Play Store de Google ? Vous savez, il s’agit de ce petit message qui s’affiche sans que l’on ne comprenne pourquoi et qui nous empêche d’installer une application. Google ne nous explique pas la signification de ces fameux codes erreurs, et pourtant ils nous seraient parfois d’une grande utilité.
Alors comme nous trouvons, comme vous, que ces messages d’erreur sont plutôt agaçants, nous avons décidé de vous donner un petit coup de main. D’abord, nous allons vous donner la signification de chaque code erreur et la marche à suivre pour faire en sorte qu’il ne s’affiche plus. C’est parti !

• Lire également : Comment résoudre les principaux problèmes du Google Play Store

Erreur 101 : vous ne seriez pas un peu gourmand sur les applications ?

L’erreur 101 s’affiche lorsque vous avez trop d’applications installées sur votre smartphone et que vous ne disposez pas de l’espace de stockage nécessaire pour en installer une nouvelle. En gros, vous êtes un gourmand.
Pour remédier au problème, vous l’aurez compris, il va falloir faire du tri et donc supprimer les applications que vous utilisez le moins. Si toutefois la nouvelle appli que vous souhaitez installer en vaut la peine. Si la suppression des applications ne suffit pas, effacez les données du Google Play Store, supprimez puis réinstallez votre compte Google.

Erreur 403 : auriez-vous deux comptes Google différents ?

Utiliser deux comptes Google sur un seul appareil a des avantages mais aussi quelques inconvénients. Ainsi, si vous êtes dans cette situation vous devez être confrontés à l’erreur 403 qui indique que l’installation de l’application est impossible.
Pour corriger cette erreur, sélectionnez le compte bon compte Google et désinstallez l’application en question sur le Play Store. Ensuite, recommencez votre démarche initiale à savoir télécharger l’application. Le message d’erreur ne devrait plus s’afficher.

• A consulter : Télécharger et installer la dernière version du Play Store de Google

Erreur 413 : utilisez-vous un proxy ?

L’erreur 413 vous indique que vous ne pouvez pas télécharger d’application ou de mise à jour. Ce code erreur s’affiche lorsque vous utilisez un serveur proxy. Le Google Play Store n’est pas forcément ami avec les serveurs proxy.
Pour faire en sorte d’effacer ce message d’erreur, il suffit d’effectuer la manipulation suivante :

• Rendez-vous dans Paramètres > Applications > Onglet « TOUT » > Recherchez les Services Google > Effacez les données > Forcez l’arrêt
• Répétez cette méthode avec l’application du Google Play Store
• Videz le cache de votre navigateur

Erreur 481 : il y a un problème avec votre compte Google

C’est sans doute de code erreur que nous redoutons tous. S’il s’affiche c’est que votre Google ne fonctionne plus, la grosse loose oui. Le seul moyen de remédier à cela c’est de supprimer votre compte Google et d’en créer un autre. Oui c’est le genre de truc qui énerve.

Ça ça énerve !

Erreur 491 : téléchargements et mises à jour impossibles

Ce code erreur est ennuyeux mais facilement repérable et peut être vite corrigé. Il est particulièrement ennuyeux parce qu’il empêche de télécharger ou de mettre à jour les applications. On ne peut donc rien faire. Rien de grave toutefois. Une petite manipulation rapide vous permettra de corriger le problème :

• Commencez par supprimer votre compte Google
• Redémarrez votre smartphone
• Réinstallez votre compte Google
• Effectuez la manipulation suivante : allez dans Paramètres > Applications > Onglet « TOUT » > Recherchez les Services Google > Effacez les donnez > Forcez le fermeture de l’application

Erreur 492 : problème avec le cache Dalvik

Le cache Dalvik ? Qu’est ce que c’est que ce truc ? Le cache Dalvik est un dossier système qui se trouve dans le dossier système cache , sur la partition du même nom. Il contient des fichiers visants à accélérer le fonctionnement d’Android. L’erreur 492 signale donc qu’il est impossible d’installer une application à cause de ce cache.
Pour se débarrasser du souci, il suffit de se rendre dans Paramètres > Applications > Onglet « TOUT » > Recherchez les services Google > Effacez les données > Forcez l’arrêt de l’application. Puis il faudra recommencer avec l’application du Google Play Store.

Dalvik est aussi une ville oui, mais pas la peine d’y aller pour résoudre le problème

Erreur 498 : les téléchargements s’interrompent

Beaucoup d’entre vous y ont certainement déjà été confrontés, parfois les téléchargements d’applications s’interrompent et un code d’erreur 498 s’affiche. Ce code d’erreur signifie que le cache de votre smartphone ou tablette est plein.
Comme lorsque vous avez trop d’applications dans votre smartphone, pour régler le problème, il faudra d’abord supprimer les applications et fichiers inutiles de votre appareil. Ensuite redémarrez votre smartphone en mode Recovery puis séléctionnez Wipe Cache Partition. Voilà, l’affaire est dans le sac.

• Voir aussi : ROM Custom Android, qu’est ce que c’est et à quoi ça sert ?

Erreur 919 : installation impossible

Là encore, il s’agit d’une erreur liée à la mémoire de stockage disponible sur votre appareil. L’application se télécharge convenablement mais au moment de l’installer tout plante. Pour y remédier, comme lorsque vous avez trop d’applications, il va falloir faire du tri.
Commencez donc pas supprimer encore une fois les applications inutiles et si ce n’est pas suffisant n’hésitez pas à vous attaquer aux fichiers multimédia qui sont souvent très lourds notamment les vidéos.

Erreur 921 : téléchargement impossible

Le code erreur 921 figure parmi les plus violents avec le code 481. Ce message d’erreur vous affirme que vous ne pouvez pas télécharger l’application. Rien à voir avec la mémoire interne cette fois mais il y a un lien avec le cache de l’application Google Play Store.
Ce problème peut très vite s’arranger tout comme il peut être vraiment casse-pied s’il persiste. La première chose à faire est donc de supprimer le cache du Google Play Store. Si cela résout rien, il faudra alors supprimer toutes les données du Google Play Store et par la même occasion tous ses paramètres (oui c’est chiant). Si ce n’est toujours pas suffisant, il faudra alors supprimer votre compte Google, redémarrer votre appareil et reconfigurer votre compte.

Erreur 923 : mauvaise synchronisation avec le compte Google

L’erreur 923 indique que le téléchargement est impossible à cause d’une erreur lors de la synchronisation de votre compte Google ou d’une mémoire cache insuffisante. Comment corriger le tir ? En suivant cette manipulation :

• Commencez par supprimer votre compte Google
• Effacez tous les applications inutiles
• Redémarrez en mode Recovery
• Faites un Wipe Cache Partition
• Redémarrez normalement votre appareil
• Reconfigurez votre compte Google

Erreur 927 : le Google Play Store se met à jour

L’erreur 927 survient assez rarement mais il n’est pas impossible que ce code apparaisse. En fait, il se manifeste lors que le Google Play Store est en cours de mise à jour. A priori, il suffira d’un peu de patience pour que le problème soit réglé automatiquement, c’est-à-dire lorsque les mises à jours sont terminées.
Néanmoins, le problème peut persister auquel cas il suffira de se rendre dans Paramètres > Applications > Onglet « TOUT » > Recherchez les Services Google > Effacez les données > Forcez l’arrêt. Puis il faudra réitérer la manipulation pour l’application du Google Play Store.

• Lire aussi : Google Play Store vs Apple Store, match au sommet

Et voilà ! Avec ces 11 codes erreur en tête vous ne devriez plus rencontrer trop de problème sur le Google Play Store. Evidemment, il ne s’agit que des plus fréquents et d’autres codes peuvent apparaître dans certains cas.

Source.: http://www.phonandroid.com/google-play-store-explication-codes-erreurs-comment-resoudre.html#ixzz3dHbSqYxz

Votre employeur peut espionner vos communications car le déchiffrement HTTPS est parfaitement « légitime »

Votre employeur peut espionner vos communications chiffrées, et la CNIL est d’accord

La Commission nationale informatique et libertés donne sa bénédiction au déchiffrement des flux HTTPS des salariés, à condition que cette pratique soit encadrée. Il reste néanmoins une zone de flou juridique côté pénal...

 

 

agrandir la photo

Saviez-vous que certains employeurs déchiffrent systématiquement les flux HTTPS de leurs salariés lorsqu’ils surfent sur Internet ? Ils disposent pour cela d’un équipement appelé « SSL Proxy » qui se place entre l’utilisateur et le serveur Web. Cette boîte magique déchiffre tous les échanges en usurpant l’identité du service interrogé (google.com, par exemple), par l’utilisation d’un certificat bidon. La pratique n’est pas du tout récente, mais se fait de manière un peu cachée en raison d'incertitudes juridiques et de l'impopularité de cette mesure auprès des salariés. Les directeurs informatiques n’ont, par conséquent, pas une folle envie d’en faire la publicité.

Mais l’employeur peut se rassurer : la CNIL vient de publier une note qui clarifie les choses. Ainsi, la Commission estime que le déchiffrement des flux HTTPS est parfaitement « légitime », car elle permet à l’employeur d’assurer « la sécurité de son système d’information », en bloquant les éventuels malwares qui s’y trouveraient. Evidemment, ce n’est pas la seule raison : ces équipements sont également utilisés pour prévenir les fuites d’informations. Un salarié qui enverrait des documents confidentiels à un concurrent pourrait, ainsi, être facilement repéré.

Infraction pénale ou pas ?

Toutefois, la CNIL met un (petit) bémol. L’utilisation de cette technique de surveillance doit être « encadrée ». Ainsi, les salariés doivent être informés en amont et de manière « précise » sur cette mesure : raisons invoquées, personnes impactées, nature de l’analyse effectuée, données conservées, modalités d’investigation, etc. L’employeur doit également mettre en place une « gestion stricte des droits d’accès des administrateurs aux courriers électroniques ». Autrement dit : éviter que tous les membres du service informatique puissent fouiller dans les messageries. Par ailleurs, les « traces conservées » doivent être réduites au minimum.

Il reste néanmoins une petite zone de flou juridique, nous explique la CNIL. En effet, le Code pénal interdit théoriquement « d’entraver ou de fausser le fonctionnement d’un système de traitements automatisés de données (STAD) ». Or, quand l’entreprise déchiffre les flux Gmail de ses salariés, on peut estimer que cela fausse le fonctionnement du STAD d’un tiers, à savoir Google. Cela pourrait donc constituer une infraction. Conclusion de la CNIL : il faudrait peut-être modifier le Code pénal pour que l’employeur puisse réellement surveiller ces flux chiffrés en toute tranquillité. Décidément, la situation n'est pas encore totalement claire... 

A lire aussi :Des milliers d’applis Android et iOS restent vulnérables à Freak, la faille HTTPS - 18/03/2015

Source :
CNIL