Tout ce dont vous avez besoin est un utilisateur qui ne vérifie pas les noms de domaine avant de cliquer.Les mots de passe restent toujours une fonctionnalité de sécurité que nous devons tous gérer. Les gérer est devenu plus facile grâce à l'introduction de gestionnaires de mots de passe, mais ils ne sont pas parfaits. L'authentification à deux facteurs (2FA) est considérée comme un moyen
d'améliorer considérablement la sécurité, mais il s'avère que la
contournement est assez simple.Comme
le rapporte TechCrunch, Kevin Mitnick est Chief Hacking Officer à la
société KnowBe4 de formation à la sensibilisation à la sécurité. Dans
la vidéo , il montre à quel point il est facile de saisir les
détails d'un utilisateur LinkedIn simplement en les redirigeant vers un
site Web ressemblant à LinkedIn et en utilisant 2FA pour lui voler ses
identifiants de connexion et son accès au site. L'outil Evilginx que Kevin a utilisé pour l'aider à le faire a été
créé par le chercheur en sécurité Kuba Gretzky, qui a expliqué comment
le bypass fonctionne dans un article sur breakdev.org.L'attaque est simple. Il
nécessite un e-mail qui semble "correct" pour le site Web ciblé afin
que le destinataire ne prenne pas le temps de vérifier le domaine à
partir duquel il a été envoyé. Dans l'exemple ci-dessus, l'email provient en fait de llnked.com plutôt que LinkedIn.com.Si
vous cliquez sur le bouton "Intéressé" dans l'e-mail, l'internaute
accède à un site Web qui ressemble à la page de connexion Linkedin, mais
qui se trouve sur le domaine llnked.com.C'est
un autre point auquel un utilisateur suspect va s'arrêter, mais la
plupart sont juste impatients de se rendre sur le site. Donc, ils remplissent les détails et cliquez sur Connexion. Cela
déclenche la vérification 2FA, qui, lorsque le bon code est entré, crée
un cookie de session permettant un accès sécurisé au site.en relation
Authentification à deux facteurs: qui l'a et comment l'organiser;Pendant
ce processus, il est possible de voler le nom d'utilisateur, le mot de
passe et le cookie de session pour le compte LinkedIn. À ce stade, le nom d'utilisateur et le mot de passe ne sont même pas nécessaires. Mitnick
charge simplement le navigateur Chrome, visite LinkedIn, ouvre les
outils de développement du navigateur, colle le cookie de session dans
la console, puis rafraîchit sur LinkedIn. L'accès est alors accordé.Ce que Mitnick essaie de montrer ici est, même avec 2FA, l'utilisateur est le maillon faible.S'ils
ne prennent pas le temps de vérifier où ils entrent leurs informations
sécurisées, aucune sécurité dépendant de l'utilisateur, aussi forte
soit-elle, ne fonctionnera.
Dans un précédent article, nous avons vu comment vérifier si un port local était ouvert sur Windows. Ce nouveau article vous explique comment vérifier si un port distant est ouvert ou fermé. Cela permet de savoir si le service est en cours de fonctionnement ou si la connexion est filtrée.
Comment vérifier si port distant est ouvert sur Windows.
Comment vérifier si port distant est ouvert sur Windows
Pour se faire, il faut utilser des outils qui permettent d’effectuer des scans de ports, plus d’informations : Scan de ports réseaux ou balayage de ports
Pour pouvoir tester si un port distant est ouvert, il faut tenter une connexion à ce dernier. Selon le résultat retourné, on peut savoir si une réponse a été faite par l’hôte distante. La réponse est positive, si le port est ouvert, négative si le port est fermé. Si aucune réponse n’est donnée, il est possible qu’un pare-feu bloque la connexion.
telnet
telnet est un outil de communication ancien qui peut permettre de déterminer si un port est ouvert selon la réponse. La communication se fait en TCP, donc avec telnet, il n’est pas possible de déterminer si un port distant en UDP est ouvert.
Le client telnet n’est pas installé par défaut dans Windows, il faut installer ce dernier, pour cela :
Par exemple pour vérifier la connexion à un site internet, soit donc le port distant 80, vous pouvez saisir :
telnet www.malekal.com 80
Si
la connexion se fait, vous aurez alors un écran noir, en saisissant
n’importe quoi, le serveur WEB vous retourne une erreur 400 Bad Request. Cela prouve que la connexion avec le serveur WEB se fait bien, le port distant 80 est bien ouvert à l’adresse www.malekal.com
Dans
le cas où le port est fermé ou inaccessible, par exemple 81, on obtient
une erreur : impossible d’ouvrir une connexion à l’hôte, le port xx :
Echec de la connexion.
Le paramètre -p peut prendre un intervalle de ports, si vous souhaitez en tester plusieurs. Exemple : -p 1-1000
Ainsi pour vérifier si le port 80 est ouvert sur nmap, il faut utiliser la commande suivante :
nmap -p 80 -v www.google.fr
Autres exemples avec un intervalles de ports distants à tester. Closed signifie que le port est fermé.
Enfin pour tester un port distant en UDP, il faut utiliser le paramètre -sU :
Le
mot de passe est une technique archaïque qu’il faudrait supprimer, car
bien trop vulnérable. En attendant d’avoir une nouvelle technologie à
disposition, la meilleure solution est d’activer un second facteur
d’authentification.
Si vous passez la moitié de votre vie sur Internet,
certains vous l’auront peut-être déjà dit, mais il faut
A-B-S-O-L-U-M-E-N-T passer à la double authentification, cette technique
qui consiste à valider un mot de passe par exemple par l’envoi d’un
code par SMS ou par une clé de sécurité. Pourquoi ? Parce que de nos
jours, un mot de passe n’est plus suffisant pour sécuriser l’accès à un
service en ligne.
Les pirates ont des dizaines de techniques à leur disposition pour
pénétrer dans vos comptes personnels. Ils peuvent vous envoyer des faux
emails pour vous inciter à saisir vos identifiants dans de faux
formulaires. Ils peuvent aussi tenter de les intercepter quand vous êtes
connectés au travers d’un hotspot Wi-Fi public mal sécurisé. Ou alors,
ils vont peut-être vous envoyer un cheval de Troie planqué dans une
application Android.
Fuites de données à gogo
Les pirates peuvent aussi voler votre mot de passe directement dans les
serveurs mal protégés de votre fournisseur de service. Les utilisateurs
de Yahoo le savent bien. L’année dernière, le portail a révélé qu’il
s’est fait subtiliser l’ensemble des 3 milliards de comptes qu’il gérait
en 2013. Et il suffit de consulter le site haveibeenpwned.com
pour constater que le vol d’identifiants est devenu une pratique
courante. Le site référence presque 5 milliards d’identifiants volés sur
277 sites, celui de Yahoo n’étant pas compris. Ça donne le vertige.
Cette faiblesse intrinsèque du mot de passe est bien
connue. Les industriels vont peut-être réussir un jour à remplacer cette
méthode d’authentification archaïque. La technologie FIDO2, qui a
récemment obtenu la consécration du W3C,
est un candidat crédible. Mais son adoption risque de prendre encore du
temps. En attendant, la seule solution pour ne pas se retrouver dans
les griffes des pirates, c’est la double authentification. En effet,
même si votre mot de passe tombe entre leurs mains, il ne leur servira à
rien car il n’est pas suffisant pour se connecter.
Certains vous diront probablement que la double authentification est
compliquée et pas très pratique. C’est vrai, car utiliser un second
facteur ralentit nécessairement le processus de connexion. Mais ce que
l’on perd en confort, on le gagne largement en sécurité. Par ailleurs,
vous n’êtes pas obligé d’avoir la double authentification du sol au
plafond. Vous pouvez vous contenter de la mettre en œuvre pour les
services les plus critiques.
La messagerie, le cloud et les réseaux sociaux en priorité
Les premiers comptes à protéger sont les comptes email qui sont
généralement utilisés en dernier recours pour réinitialiser les mots de
passe sur vos autres services. Un pirate qui arrive à compromettre un
compte email peut, du coup, accéder à d’autres ressources. Parmi les
comptes qu’il faut également protéger en priorité figurent les comptes
de réseaux sociaux et les comptes cloud, pour éviter respectivement
l’usurpation d’identité et la fuite de données. Enfin, il serait
également bien d’activer la double authentification pour les services
bancaires en ligne, quand cela est possible.
Mais alors comment faire ? Cela dépend du fournisseur, car c’est à
lui de rendre son service interopérable avec les différentes solutions
du marché. Un bon conseil : si votre fournisseur de messagerie ne
propose pas ce type d’option, allez voir ailleurs. Les grandes marques
du web, de leur côté, proposent toutes une ou plusieurs méthodes de
double authentification. L’une des plus simples à mettre en œuvre est
celle du code à usage unique. A chaque connexion, l’utilisateur rentre
son mot de passe et reçoit ensuite, par un autre moyen, un code qui
fonctionnera qu’une seule fois.
Pour les services Google, il faut utiliser l’application mobile
Google Authenticator. Pour les services Microsoft, c’est – vous avez
deviné ? – Microsoft Authenticator. Ces applis doivent au préalable être
associées au compte, par le scan d’un QR code par exemple. Elles
génèrent ensuite à intervalles réguliers des codes à utiliser. Ce
système est appelé « TOTP », pour « time-based one time password ».
L’avantage, c’est que ces applications peuvent
également être utilisées pour d’autres services en ligne. Ainsi, il est
tout à fait possible d’utiliser Google Authenticator pour protéger son
accès sur LastPass, Slack, Amazon Web Services, Facebook et ProtonMail,
par exemple. D’autres applis le font aussi telles que Authy ou Duo Mobile.
Chez Apple, en revanche, pas besoin d’application, l’appareil mobile
suffit (iPhone, iPad). A chaque tentative de connexion sur iCloud ou
Apple ID, l’utilisateur reçoit directement par le système iOS un code à
usage unique.
De son côté, Twitter s’appuie sur son application mobile pour envoyer
à l’utilisateur un code de ce type. Et chez Facebook, plusieurs options
de double authentification sont à disposition. Outre l’application de
codes à usage unique, le réseau social propose de recevoir un code par
SMS ou de connecter une clé de sécurité.
Ce dernier cas est un peu la méthode ultime de la double
authentification. L’acteur le plus connu dans ce domaine est Yubico qui
dispose de toute une gamme de clés de sécurité. Elles proposent plusieurs méthodes comme les codes à usage unique TOTP ou le standard U2F. Mais il y a aussi d’autres fournisseurs comme Neowave ou Key-ID. A vous de choisir.
CloudFlare, connu pour ses solutions de sécurité et Anti-DOS pour sites internet proposent des serveurs DNS. Ces derniers sont réputés comme étant rapides et ne faisant pas de collectes de données (contrairement à ceux de Google). L’adresse des serveurs DNS de CloudFlare est 1.1.1.1.
Ne vous attendez pas non plus à une révolution en terme de vitesse, il y
a aussi pour beaucoup un effet d’annonce et marketting. Un comparatif sur le site des serveurs DNS existent : Comparatif des serveurs de noms (DNS) : Google, OpenDNS, Quad9, Ultra-DNS etc.
Cet article vous explique comment changer les DNS sur votre ordinateur pour passer sur ceux de CloudFlare.
Comment changer les DNS de Windows 7 et 10 vers 1.1.1.1 CloudFlare
Je parle d’effets marketing, car annoncé partout comme plus rapide mais probablement vérifié par personne. Sur ma connexion internet, les DNS CloudFlare sont plus lents que les DNS Orange.
La modification des serveurs DNS se fait sur la configuration des les interfaces réseaux. Pour accéder à celle-ci facilement :
Sur votre clavier, appuyez sur la touche Windows + R
Dans la fenêtre exécuter, saisissez : C:\Windows\system32\control.exe npca.cpl
La page avec les interfaces réseaux s’ouvrent alors avec la liste des cartes réseaux. Vous pouvez avoir une carte ethernet pour les connexions en filaires et une care Wifi pour les connexions Wifi. Il faut modifier les adresses des serveurs de noms (DNS) pour les deux. Pour entrer dans la configuration de la carte, faites un clic droit dessus puis propriétés.
La liste des des protocoles et connexions de la carte s’affiche. Double-cliquez sur TCP/IP V4 afin d’ouvrir les paramètres de ce dernier. En bas, cochez l’option « Utilisez l’adresse de serveurs de noms » suivantes afin de saisir les adresses DNS de CloudFlare 1.1.1.1 en serveur DNS primaire et 1.0.0.1 en serveur DNS secondaire. Cliquez sur OK sur les deux fenêtres afin que les changements soient pris en compte.
Si vous utilisez l’IPV6, vous pouvez aussi modifier les serveurs DNS dans la configuration IPV6 : 2606:4700:4700::1111 en serveur DNS primraire et 2606:4700:4700::1001 en serveur DNS Secondaire.
Il y a quelques temps, j’avais évoqué SysHardener pour sécuriser Windows. Hardentools est un outil similaire qui permet de désactiver certains fonctions de Windows utilisées par des malwares.
Voici une présentation de Hardentools.
Hardentools : Sécuriser Windows en désactivant certains fonctionnalités
L’utilisation d’Hardentools est très simple et vise à désactiver certaines fonctions de Windows. Voici la page de téléchargement : Télécharger Hardentools L’utilitaire se présente avec les fonctions à désactiver qui sont cochées par défaut. Il faut cliquer sur Harden pour lancer l’opération.
Une barre de progression s’affiche et des fenêtres cmd.exe peuvent s’ouvrir et les fonctions sont désactivées. On vous invite ensuite à redémarrer Windows afin que les changements prennent effects.
Voici une liste des fonctions proposées à la désactivation.
Désactiver Autoruns et Autoplay, désactive l’insertion automatique pour se protéger des virus par USB. A priori, depuis une mise à jour de Windows, c’est déjà le cas.
Désactive les extensions liés à des scripts
toujours pour se protéger contre les scripts malveillants. Les
extensions visées : « .hta », « .js », « .JSE », « .WSH », « .WSF »,
« .scf », « .scr », « .vbs », « .vbe » and « .pif ».
Microsoft Office
Il
s’agit ici surtout de renforcer la sécurité d’office, dont des mails
malveillants sont utilisés avec des pièces jointes contenant des
documents Word ou Office qui permettent d’infecter l’ordinateur.
Acroba Reader a été longtemps utilisés à travers des exploits Web. Bien que maintenant les navigateurs internet ont leurs propres lecteur PDF, ce dernier peut toujours être utilisés pour infecter les ordinateurs.
Désactiver JavaScript dans les documents PDF. Acrobat Reader permet d’exécuter du Javascript
dans les documents PDF, ce dernier est utilisé pour offusquer du
contenu malveillants et permettre l’utilisation malveillantes de
documents PDF pour infecter les ordinateurs.
Désactiver l’exécution d’objet intégré dans les documents PDF.
Là aussi il s’agit de limiter l’utilisation malveillante de documents
PDF qui peuvent intégré des documents Word avec des macros, DDE
malveillantes. Le but étant de dissimuler le document Office malveillant
dans un PDF pour rendre sa détection plus difficile.
Active le mode protégé
Active la protection de la visualisation
Active la sécurité renforcée
Plus loin dans la sécurité Windows
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
Autres liens autour des virus et la sécurité des virus :
Dans la série des utilitaires simples et très utile, voici SysHardener. Ce dernier permet de désactiver des fonctions de Windows, assez inutiles et qui sont généralement utilisées pour propager des logiciels malveillants. L’utilitaire est gratuit et édité par NoVirusThank, dont nous avions déjà par le passé parlé d’OSArmor.
SysHardener : sécuriser Windows facilement contre les virus
SysHardener
est donc un utilitaire gratuite qui permet d’activer ou désactiver des
fonctions de Windows afin de sécuriser Windows. Son utilisation est donc simple, vous devez simplement cocher et décocher certains éléments pour activer ou non ces fonctions. Cela peut permettre d’optimiser Windows puisqu’il permet de désactiver des services de Windows. Télécharger SysHardener
SysHardener reprend une partie des tutoriels suivants qui permettent de limiter certains fonctions utilisés par les logiciels malveillants pour infecter Windows :
Smb, le serveur de partage de fichiers peut aussi être désactivé.
Restriction Powershell
Des restrictions PowerShell peuvent aussi être mis en place pour lutter contre les virus Powershell.
Désactiver les extensions dangereuses
En plus de désactiver Windows Script Host, il est aussi possible de changer l’extension de fichiers qui peuvent être utilisées par des malwares. On trouve les extensions liées aux scripts : VBS, VBE, JS, JSE, WSF, WHM, HTA mais certains exécutables comme .SCR ou PIF. Enfin les extensions de fichiers liées à Java avec JAR.
Désactiver des Services Windows
Et puis vous pouvez désactiver les services Windows inutiles. Par exemple, vous pouvez désactiver le contrôle d’ordinateur à distance (Remote Desktop Services). Une liste des services à désactiver est aussi abordée sur la page : Optimiser Windows 10 : les services Windows à désactiver
Sécuriser Office et Adobe
Ensuite SysHardener permet de sécuriser les applications Adobe et Office.
Il s’agit de désactiver le JavaScript dans Adobe Reader qui peut-être
utilisés dans des PDF malveillants utilisés dans des campagnes de mails malveillants. De même, cela permet de sécuriser Office en désactivant DDE (Lire Vulnérabilité (?) DDE sur Word et mails malveillants), OLE et ActiveX.
Dans le même style, il existe Hardentools qui permet aussi de sécuriser Windows en désactivant des fonctions utilisés par les malwares.
Pour sécuriser Windows, vous pouvez lire et suivre les conseils du tutoriel suivant : Comment sécuriser son ordinateur ?
La
société Cellebrite semble détenir une nouvelle technique d’extraction
capable de venir à bout de la sécurité de tous les iPhone, même de
l’iPhone X.
Les policiers de la planète doivent être contents.
Depuis des années, ils n’arrêtent pas de se plaindre du chiffrement des
smartphones et des complications que cela entraîne pour leurs enquêtes.
Mais un cadeau vient apparemment de leur tomber du ciel.
Selon Forbes,
l’entreprise israélienne Cellebrite est désormais en capacité
d’extraire les données de n’importe quel iPhone, même les derniers
(iPhone 8, iPhone X). C’est en tous les cas le message que les
commerciaux de Cellebrite sont en train de diffuser auprès des forces de
l’ordre. C’est également ce qui transparaît sur les brochures commerciales, où Cellebrite affirme pouvoir accéder « aux
appareils et aux systèmes Apple iOS, dont l’iPhone, l’iPad, l’iPad
mini, l’iPad Pro et l’iPod touch, de la version iOS 5 à iOS 11 ».
D’ailleurs, il semblerait que cette technique d’extraction avancée a déjà été appliquée sur un iPhone X. Dans un mandat de perquisition révélé par Forbes,
on apprend qu’un appareil de ce genre a récemment été analysé avec
succès par une fonctionnaire de police dont il est précisé qu’elle a
reçu une formation Cellebrite.
Cette nouvelle technique d’extraction n’est pas
librement disponible au travers des logiciels vendus par Cellebrite.
C’est un service spécial facturé 1500 dollars par iDevice. Pour en
bénéficier, il faut se rendre dans les laboratoires de l’entreprise.
La raison est claire : pas question de mettre la technique dans les
mains des clients et prendre le risque qu’ils devinent la nature de la
faille sous-jacente. Car cette capacité hors du commun a dû coûter une
belle somme à Cellebrite, à moins que la société l’ait développée
elle-même. Les failles iPhone sont celles qui se vendent le plus cher
sur le marché des vulnérabilités. La société Zerodium, par exemple, est prête à payer jusqu’à 1,5 million de dollars pour une technique de piratage iPhone.
Vu les réactions des forces de l'ordre, notamment américaines, face au
chiffrement des smartphones d'Apple, il est probable que Cellebrite va
vite rentabiliser son investissement. Selon Forbes, le département de la
sécurité nationale (DHS) n’a pas hésité à payer 2 millions de dollars
l’année dernière pour utiliser sa technologie.
En
2011, le gouvernement central chinois a entamé la mise en œuvre massive
d'un programme national obligeant 650 villes chinoises à réformer leurs
infrastructures de sécurité et de sûreté publiques à l'aide de
technologies de pointe. Selon le rapport sur les technologies et les marchés des villes sûres
en 2013-2022, ce programme se traduira par un marché cumulatif de 138
milliards de dollars en 2013-2022, le plus grand marché national de la
ville sûre au monde. Voici quelques exemples de projets Safe City chinois:
La province du Sichuan consacre 4,2 milliards de dollars à son
projet de ville sûre, y compris un réseau de 500 000 caméras de
surveillance. Le projet «Safe City Corridor» de la province du Guangdong
s'appuiera sur un système de surveillance à 1 000 000 caméras pour un
coût estimé à plus de 6 milliards de dollars. Le gouvernement municipal de Beijing cherche à placer des caméras
dans tous les lieux de divertissement, en ajoutant 400 000 caméras de
surveillance à l'ensemble des 300 000 caméras installées pour les Jeux
olympiques de 2008. Urumqi, la capitale du Xinjiang, où près de 200 personnes sont
mortes lors des émeutes de juillet 2009, a terminé l'installation de 40
000 caméras de surveillance dans le cadre d'un projet permanent de
sécurité urbaine. Le
projet Safe City de Guangzhou, l'un des principaux centres
d'exportation et de fabrication, comprendra 270 000 caméras de
surveillance
Sécurité : Le service de partage de
documents de Microsoft, Docs.com, a été mis en cause par des experts en
sécurité pour la mise à disposition de nombreux fichiers sensibles et
personnels.
Microsoft
a retiré une fonctionnalité de son site de partage de documents,
Docs.com. Cette fonction permettait à n’importe qui de lancer des
recherches sur les millions de fichiers hébergés sur le service, dont
des documents personnels.
Des utilisateurs se sont émus,
notamment sur Twitter, que n’importe qui pouvait utiliser la boîte de
recherche pour naviguer à travers les documents accessibles au public et
les fichiers stockés sur le site, qui devaient clairement rester
privés.
Parmi les dossiers examinés par ZDNet, et qui ont été
vus par d'autres internautes, on trouve des listes de mots de passe, des
lettres d’embauche, des portefeuilles de placement, des règlements de
divorce et des relevés de cartes de crédit – certains des documents
contiennent des numéros de sécurité sociale et de permis de conduire,
des dates de naissance, numéros de téléphone et adresses postales. Microsoft a supprimé la fonctionnalité de recherche
du site tard samedi, mais d'autres ont observé que les fichiers étaient
toujours mis en cache dans les résultats de recherche de Google, ainsi
que sur le propre moteur de recherche de Microsoft, Bing.
Nous ne publions ni ne fournissons aucun lien vers ces documents ou fichiers.
À
l'ère des vols et fuites de données, cet incident relève uniquement des
paramètres du service Docs.com. Microsoft n'a pas fait l’objet d’une
intrusion et d’une fuite de données, même si ses utilisateurs voient
leurs données exposées.
Qui est à blâmer ? C’est une question
de point de vue. Tous les documents auraient été téléchargés par leurs
propriétaires. Mais ceux-ci n'auraient visiblement pas réalisé que
chaque document pouvait être rendu public. Par défaut, ce paramètre est
activé sur les fichiers créés ou modifiés avec Word et Excel Online.
Mais
les efforts de Microsoft pour retirer la fonctionnalité de recherche
montrent que l’éditeur prend une part de responsabilité.
Un
porte-parole de Microsoft a déclaré que la compagnie prenait « des
mesures pour aider ceux qui peuvent avoir par inadvertance publié des
documents avec des informations sensibles". La firme conseille aux
utilisateurs d'examiner et de mettre à jour leurs paramètres en se
connectant à leur compte.
Cet outilva parcourirunHTTPS-site(intégralité du site,de manière récursive, à la suitedes liens internes) etrechercher des imagesnon sécurisées, des scripts etcssfichiersqui déclenchentun message d'avertissementdans les navigateurs.Le nombre depagesrampéest limité à200 parsite.Les résultats sontmis en mémoire cachependant 10 minutes. ici : https://www.jitbit.com/sslcheck/
Comme vous lesavez peut-êtreGooglea annoncé qu'onva en HTTPSet ça vous donneraun classementmineurboost. Beaucoup de gensse sont précipitésdans l'achat decertificats SSLet le passage àHTTPS. Mais aprèsl'activation de SSLsur votre serveur- rappelez-vousde tester vospagespour les URL«absolues»qui pointent versun contenunon sécurisés-imagesetscripts.
Les API
Cette pageacceptehachageparamètrescomme ceci: https://www.jitbit.com/sslcheck/#url=https://www.google.com/,se sententlibres a utiliser. Source.:
De
plus en plus d’experts critiquent ouvertement le composant Management
Engine qu’Intel embarque dans tous ses chipsets récents. C’est un
ordinateur dans l’ordinateur, doté d’énormes privilèges d’accès et dont
le code est complètement opaque.
La communauté du logiciel libre tire la sonnette
d’alarme. Selon elle, la sécurité de la plupart de nos équipements
informatiques est compromise, et les coupables sont tout désignés : les
puces Intel de dernière génération. Plusieurs porte-paroles de la
communauté libre ont récemment publié des notes de blog au vitriol sur
un composant bien étrange qui se trouve désormais intégré dans les CPU
d’Intel : le « Management Engine » (ME).
Pour les partisans du libre, cette petite entité – qui est censée
fournir tout une ensemble de services de sécurité (Trusted Platform
Module) et d’administration à distance (Active Management Technology) –
est le diable en silicium. C’est un véritable ordinateur à l’intérieur
de l’ordinateur. Il dispose de son propre système d’exploitation
(propriétaire) et de ses propres interfaces réseaux (adresse MAC). Il a
un accès direct à la mémoire du PC et peut prendre son contrôle à
n’importe quel moment. Et, bien sûr, il ne peut jamais être désactivé.
Bref, c’est le mouchard idéal. « Il peut allumer ou éteindre le
PC, ouvrir tous les fichiers, examiner toutes les applications lancées,
connaître les mouvements de la souris et l’enfoncement des touches de
clavier, et même capturer ou insérer des images sur l’écran », explique Leah Woods, développeuse en chef de Libreboot, dans une note de blog de la Free Software Foundation. Libreboot est un BIOS libre que Leah Woods et ses amis installent sur des PC Linux que l’on peut acheter sur Minifree.org.
Un code impossible à remplacer
La deuxième salve anti-Intel est venue de Damien Zammit, qui
participe également au projet Libreboot. Pour ce développeur, ME est une
dangereuse boîte noire qui, si elle est compromise par un attaquant,
permet d’installer des portes dérobées (rootkit) « quasi indétectables et imparables »,
explique-t-il sur le site boingboing.net. Dans l’idéal, Damien Zammit
aimerait bien sûr se débarrasser du code propriétaire d’Intel et
installer son propre système sur le ME. Malheureusement, c’est
impossible car le firmware du ME est vérifié par une ROM secrète
intégrée dans le chipset, au travers d’un algorithme de signature
électronique basé sur RSA 2048 bits. « Toutefois, il y a peut-être un bug que l’on peut exploiter dans cette ROM », espère Damien Zammit.
Si les développeurs de Libreboot sont tellement vent debout contre
ME, c’est parce que cette technologie annihile tous leurs efforts. Leur
but est de créer des ordinateurs où toutes les couches informatiques
sont libres et open source : le matériel, le BIOS, le système
d’exploitation, les applications. Le ME représente, de ce point de vue,
un obstacle incontournable.
Tous des PC zombies
Des chercheurs en sécurité ont également planché sur ce problème.
C'est notamment le cas de Joanna Rutkowska. En décembre dernier, à
l’occasion de la conférence 32C3,
cette chercheuse d'Invisible Things Labs a détaillé le fonctionnement
du Management Engine d'Intel et listé ses différentes voies d’accès dans
le PC. On voit bien que le ME dispose de privilèges hors du commun,
alors que « personne ne sait ce qu’il y a dedans ».
Pour Joanna Rutkowska, le ME « n’est pas seulement un
redoutable vecteur d’attaque, il transforme également tous nos PC en PC
zombies ». Selon elle, le but d’Intel est d’inverser le modèle
d’implémentation actuel, où le système d’exploitation et les
applications prennent en charge les traitements de données sensibles,
comme le chiffrement ou la génération de nombres aléatoires.
Ces traitements seraient alors progressivement transvasés vers le
matériel et, notamment, le ME. « Le code du ME n’est pas forcément
malveillant, mais peut-être qu’il contient des erreurs, peut-être que
l’implémentation n’a pas été faite de manière correcte. Intel,
évidemment, pense que tout ce qu’il fait est forcément sécurisé… »,
souligne-t-elle.
Pour sa part, Joanna Rutkowska a proposé un modèle
d’implémentation matérielle alternatif orienté vers une sécurité
maximale. Son PC idéal est celui qui ne garde aucune donnée de manière
persistante (« stateless hardware »). Les données persistantes sont
stockées sur des « clés USB de confiance » (« trusted sticks »).
En définitive, cette puce omnipotente et totalement opaque, la
Management Engine, s'avère inquiétante. On comprend assez facilement
pourquoi Damien Zimmer la surnomme la Damagement Engine. Un processeur
qui, au-delà de son but premier, menace et fragilise votre sécurité et
celle de votre machine... Sources.: Boingboing, FSF
Joanna Rutkowska: article sur la technologie Intel, article sur l’architecture PC non persistante
SAN FRANCISCO - Les États-Unis vont subir
des attaques informatiques visant à endommager leurs grandes
infrastructures, comme celle subie par le réseau électrique ukrainien
en décembre, a averti mardi le patron de l'agence de renseignement
américaine NSA, l'amiral Michael Rogers.
«La seule question est quand, et non pas si» les États-Unis seront
visés par un «comportement destructeur contre des infrastructures clef»,
semblable à ce qu'il s'est passé en Ukraine fin 2015, a indiqué
l'amiral Rogers en Californie lors d'une convention sur la sécurité sur
internet.
Le réseau électrique de l'Ukraine a subi le 23 décembre une
cyberattaque qui a plongé plusieurs heures dans le noir une grande
partie de la région d'Ivano-Frankivsk (ouest).
Cette attaque «très élaborée» visait à la fois à «mettre par terre le
réseau» électrique mais aussi à «ralentir le processus de
rétablissement du courant», en anticipant les solutions pouvant être
apportées par la société d'électricité, a expliqué le chef militaire.
«Il y a sept semaines, c'était l'Ukraine. Mais ce n'est pas la
dernière fois que nous allons voir ça, et ça m'inquiète», a-t-il dit.
L'amiral Rogers est à la fois le patron de la NSA et le commandant du
cyber-commandement militaire américain, une force qui disposera
bientôt de 6000 soldats spécialisés dans la guerre informatique, pour défendre les réseaux américains mais aussi pour attaquer les réseaux des adversaires.
L'administration Obama propose d'augmenter de 15,5 % le budget de la guerre informatique
dans le budget de la défense 2017, à 6,7 milliards de dollars, soit un
peu plus de 1 % du budget total de la défense américaine.
Il y a une façon facile et rapide de vérifier si des données de vos
comptes de courrier électronique ont été dérobées par des pirates
informatiques: le site haveibeenpwned.com.
Le site fait de plus en plus parler de lui dans l'actualité comme une
ressource indispensable pour les experts en sécurité informatique. Il
révélait récemment que les
données de 65 millions de comptes d'utilisateurs du site de
microblogage Tumblr obtenues par un piratage étaient marchandées sur le
web.
Il tire son nom de l'argot internet, «Have I Been Pwned?» se traduisant par «Ai-je été [NDLR: comprendre "piégé"]?»
Haveibeenpwned.com obtient et archive les données de failles de sécurité rendues publiques (évidemment,
de nombreuses attaques informatiques restent dans l'ombre). Il s'agit
généralement des adresses courriel de comptes dont les mots de passe ont
été volés par des pirates informatiques.
À ce jour, le site web répertorie plus de 970 millions de comptes
atteints par des pirates informatiques, qui ont attaqué différents
sites, dont les cas les plus récents et médiatisés de LinkedIn et MySpace. À eux seuls, les données volées à ces deux sites touchent plus de 520 millions de comptes.
Pour savoir si vous faites partie des victimes de ces pirates
informatiques, c'est simple: entrez une adresse courriel ou un nom
d'utilisateur dans la barre de recherche du site et cliquez sur
«pwned?».
Si vous avez été ciblé dans une faille considérée comme sensible
(sites pornos ou de rencontre comme Ashley Madison), ces données ne
seront toutefois pas accessibles par une recherche publique.
Changez votre mot de passe!
Votre adresse figure parmi les comptes répertoriés par
haveibeenpwned.com? Le site web vous informera du type d'informations
obtenues par des pirates informatiques (nom d'utilisateur, mots de passe
et/ou autres) et pourra aussi vous suggérer une marche à suivre.
À retenir: si, par exemple, votre compte LinkedIn a été piraté, cela
ne signifie pas que votre compte courriel qui y est lié est en danger.
Toutefois, si vos mots de passe sont les mêmes pour tous vos comptes, il
pourrait être bien avisé de les modifier.
Firefox vous protège des
attaques en bloquant le contenu potentiellement malveillant et non
sécurisé des pages web qui sont censées être sûres. Poursuivez la
lecture pour en apprendre plus sur le contenu mixte et savoir quand
Firefox l'a bloqué.
Qu'est-ce que le contenu mixte ?
HTTP est un protocole de transmission des informations d'un serveur
web vers votre navigateur. HTTP n'est pas sécurisé, donc quand vous
naviguez sur une page via HTTP, votre connexion est ouverte aux écoutes
et aux attaques.
La plupart des sites utilisent HTTP parce que les informations qui y
circulent ne sont pas sensibles et n'ont donc pas besoin d'être
sécurisées.
Quand vous naviguez sur une page dont le serveur est pleinement
HTTPS, comme c'est le cas pour votre banque, vous verrez une icône de
cadenas verts dans la barre d'adrese (consultez l'article Comment puis-je savoir si ma connexion vers un site web est sécurisée ?
pour les détails). Cela signifie que votre connexion est authentifiée
et chiffrée, par conséquent, protégée des écoutes et des attaques de
l'homme du milieu.
Cependant, si la page HTTPS inclut des données HTTP, la portion
HTTP peut être lue ou modifiée par des pirates, même si la page
principale est sur un serveur HTTPS. Quand une page HTTPS a des données
HTTP, on appelle cela du contenu « mixte ». La page n'est qu'en partie
chiffrée et même si elle semble être sécurisée, elle ne l'est pas.
Un pirate peut remplacer les données HTTP de la page afin de voler
vos identifiants, s'emparer de votre compte, acquérir des données
sensibles vous concernant, modifier le contenu de la page ou tenter
d'installer des logiciels malveillants sur votre ordinateur.
Comment puis-je savoir qu'une page contient du contenu mixte ?
Vérifiez si l'icône ci-contre est présente dans votre barre d'adresse pour déterminer si la page contient du contenu mixte.
Pas de contenu mixte : sûr
: vous verrez un cadenas vert lorsque vous êtes sur une page
entièrement sécurisée qui ne tente pas de charger des éléments non
sécurisés.
Contenu mixte bloqué : sûr
: vous verrez un cadenas vert avec un triangle d'avertissement gris
lorsque Firefox a bloqué les éléments non sécurisés sur cette page. Cela
signifie que la page est désormais sûre. Cliquez sur l'icône pour
afficher le centre de contrôle et obtenir plus de détails de sécurité
sur la page.
Contenu mixte pas bloqué : pas sûr
: si vous voyez un cadenas barré en rouge, c'est que Firefox ne bloque
pas les éléments non sécurisés, que cette page est vulnérable aux
écoutes et aux attaques, et que vos données personnelles à partir du
site peuvent vous être volées. Vous ne devriez pas voir cette icône,
sauf si vous avez débloqué le contenu mixte en suivant les instructions
de la section suivante.
: un cadenas gris avec un triangle orange indique que Firefox ne bloque
pas le contenu passif non sécurisé. Les pirates peuvent être capables
de manipuler des parties de la page, par exemple en affichant du contenu
falsifié ou inapproprié, mais ils ne devraient pas pouvoir voler vos
données personnelles à partir du site.
Débloquer le contenu mixte
Débloquer les éléments non sécurisés n'est pas recommandé, mais cela peut être fait si nécessaire :
Cliquez sur l'icône en forme de cadenas dans la barre d'adresse.
Cliquez sur la flèche dans le centre de contrôle :
Cliquez sur Désactiver la protection pour l'instant.
Pour activer la protection, suivez les étapes précédentes et cliquez sur Activer la protection
Avertissement : débloquer le contenu mixte peut vous rendre vulnérable aux attaques.
À partir de Firefox 23, Firefox bloque par défaut le contenu mixte actif. Ce que font également Internet Explorer (depuis la version 9) et Chrome.
Cette page vous explique à quoi vous devez être attentif en tant que développeur web.
Votre site web risque d'être cassé
Si votre site web propose des pages HTTPS, tous les contenus mixtes actifs proposés via HTTP sur ces pages seront bloqués par défaut. Par conséquent, votre site web apparaîtra cassé aux utilisateurs (si les iframes ou les plugins ne se chargent pas, etc.). Les contenus mixtes passifs seont affichés par défaut, mais les utilisateurs peuvent choisir l'option de bloquer également ce type de contenus.
Remarque : comme les contenus mixtes sont déjà
bloqués par Chrome et Internet Explorer, si votre site fonctionne avec
ces deux navigateurs, il y a de grandes chances qu'il fonctionne
également avec Firefox avec le blocage du contenu mixte.
Dans tous les cas, le meilleur moyen de savoir si quelque chose est cassé avec Firefox c'est de télécharger la dernière version Developer Edition (anciennement Aurora), d'ouvrir diverses pages de votre site web en activant la console web
(activez-la à partir des messages de sécurité) et de regarder si elle
signale des problèmes de contenus mixtes. Vous pouvez aussi utiliser un
sytème d'analyse en ligne comme SSL-check
qui parcourt tout votre site web de façon récursive et détecte les
liens vers du contenu non sûr. Si aucune alerte à du contenu mixte
n'apparaît, votre site web est en bonne santé : bravo et continuez à
produire des sites web de bonne qualité !
Comment régler le problème
Le meilleur moyen d'éviter le blocage du contenu mixte c'est de
proposer l'intégralité de vos contenus via le protocole HTTPS au lieu
d'HTTP. Pour votre propre domaine, diffusez tous les
contenus en HTTPS et modifiez vos liens. Il arrive souvent que la
version HTTPS du contenu existe déjà et qu'il suffise d'ajouter un « s »
au lien : http:// devient https://. Pour un autre domaine, utilisez la version HTTPS si
elle est disponible. Si ce n'est pas le cas, vous pouvez essayer de
contacter l'administrateur du domaine et lui demander de rendre ses
contenus disponibles via HTTPS.