Powered By Blogger

Rechercher sur ce blogue

jeudi 7 août 2014

Les objets connectés sont des passoires en matière de sécurité



Connexions Bluetooth bavardes, chiffrement de piètre qualité, politiques de protection des données personnelles inexistantes… Les accessoires connectés ont tendance à vous mettre à nu.


Votre dernière course en forêt, vos déplacements à l’étranger, vos phases de sommeil, votre consommation en nicotine ou alcool, vos cycles de menstruations (si vous êtes une femme), votre pression artérielle, votre activité sexuelle… Pour toute activité personnelle, il y a désormais une application mobile et un accessoire connecté pour capter ces informations, comme par exemple le Nike Fuel Band. Et les utilisateurs en raffolent, si l’on croit les analystes. Selon Pew Research Center, plus de 60 % des Américains utilisent ces outils pour améliorer leur performances sportives ou préserver leur bonne santé. D’ici à 2018, le nombre de ces accessoires connectés devrait dépasser les 485 millions d’unités. Un marché en plein boom que tous les grands acteurs cherchent à accaparer, à commencer par Google et Apple.

Mais ce marché est encore très balbutiant, et notamment en matière de protection de données personnelles. Symantec vient de publier, il y a quelques jours, un rapport d’analyse qui évalue le niveau de sécurité de tous ces engins. Résultat: la plupart des applications révèlent des failles flagrantes permettant à des tiers de récupérer des données à l’insu des utilisateurs. Une majorité des bracelets peuvent être localisés grâces à leurs puces Bluetooth. Activés en permanence, ils sont plutôt bavards et émettent une adresse physique de type MAC, ainsi que des identifiants divers et variés, qu’il est aisé de capter dans un rayon de 100 mètres.
C’est d’ailleurs ce que les analystes de Symantec ont fait: ils ont créé des sniffeurs Bluetooth basés sur une carte Raspberry Pi, qu’ils ont disséminés aux abords d’une compétition sportive, ou trimballés dans un sac à dos en plein milieu d’un centre commercial. Certes, ces données ne permettent pas d’identifier une personne, mais c’est un premier pas…

Des mots de passe transmis en clair

Autre problème: parmi les applications qui utilisent des services cloud pour stocker ou traiter les données captées, 20 % transmettent les identifiants en clair, sans aucun chiffrement. Parmi les 80 % restantes, certaines appliquent aux identifiants des fonctions de hachage de faible protection comme MD5, qui peut facilement être craqué par les cybercriminels. Dans un certain nombre de cas, la gestion de sessions laisse également à désirer, permettant par exemple de deviner ou de calculer des identifiants et ainsi d’accéder à des comptes utilisateurs. Enfin, plus de la moitié des applications (52 %) n’apportent aucune information sur la manière dont toutes ces données sont traitées et stockées, alors que c’est obligatoire dans bon nombre de pays. Et quand il existe un document d’information, celui-ci est souvent très vague. On peut donc douter du sérieux de ces fournisseurs en matière de protection des données personnelles. 
En somme: si toutes ces nouveaux appareils et applications semblent bien pratiques, il est conseillé de regarder en détail leur fonctionnement, histoire de pas se faire avoir !

REF.:

Black Hat 2014 : peut-on hacker un avion ?


Un expert affirme pouvoir pirater les systèmes de navigation et de sécurité à bord des avions et des navires qui utilisent des communications satellites. Il en fera la démonstration le 7 août prochain à la conférence Black Hat.



C’est l’une des interventions les plus attendues de la conférence Black Hat qui s’est ouverte dimanche dernier à Las Vegas. Ruben Santamarta, un expert en sécurité de 32 ans, devrait démontrer ce jeudi 6 août que l’on peut pirater… un avion !
Sur le site officiel de la conférence, le titre de son intervention est laconique : « Terminaux Satellites de communication : pirater par air, mer et terre. » En fait, il s’agit de démontrer que les solutions matérielles et logicielles d’aide à la communication et au pilotage qui utilisent les communications satellites dans l’aérospatiale et la navigation sont hautement vulnérables.
Concrètement, il a fonctionné par rétroingénierie. Il s’est procuré le matériel commercialisé par des sociétés comme Harris, Hugues, Cobham, Thuraya, JRC et Iridium. Après de multiples simulations en laboratoire à Madrid, il est en mesure d’affirmer aujourd’hui que 100% de ces dispositifs pourraient être hackés. Leurs points faibles ? Des algorithmes de cryptage insuffisants, des protocoles non protégés, des portes dérobées et parfois des mots de passe codés en dur dans l'appareil...

Des services d'urgence et des sites industriels stratégiques concernés

Ainsi, il est imaginable selon lui qu’une personne malveillante puisse enclencher ou arrêter le pilotage automatique d’un avion en utilisant le signal wi-fi à bord ou en s’introduisant à partir des systèmes de divertissement. Santamarta n'a toutefois pas pour l'instant détaillé sa technique d'attaque...
Mais ce n’est pas tout. Il estime que les navires, aéronefs, militaires, services d'urgence, services de médias et installations industrielles (plates-formes pétrolières, gazoducs, usines de traitement de l'eau, éoliennes, etc) qui utilisent également des communications satellites seraient concernés pour les mêmes raisons. Il affirme même pouvoir modifier le firmware de certains dispositifs en leur envoyant partir un simple SMS de configuration malveillant.
De l’aveu de Santamarta, ses expériences théoriques seraient cependant difficiles à reproduire dans la réalité. Mais il souhaite faire prendre conscience de la situation aux acteurs du marché. « Ces dispositifs sont complètement ouverts. L'objectif de cet exposé est de contribuer à changer cette situation », a déclaré l’expert à Reuters.
L’un des constructeurs mis en cause, le britannique Cobham, affirme que l’accès des dispositifs est restreint au personnel autorisé et qu’il faut intervenir physiquement sur le matériel pour le détourner. Faux, répond Santamarta qui promet des révélations ce jeudi. A suivre !
Source :
Le site de Black Hat

Comment une firme en sécurité peut s'enrichire facilement ?


 


Comment un gang de pirates a-t-il pu voler plus d’un milliard de mots de passe ?


Un petit groupe de cybercriminels a employé un botnet pour infiltrer des dizaines des milliers de sites web et récupérer une quantité gigantesque de données sensibles. Mais la firme qui a fait cette découverte en profite pour faire un formidable coup de com’ et vendre un service derrière. Bizarre.




La page d'accueil alarmiste de Hold Security, entreprise qui a révélé le piratage… Et qui propose une solution payante pour tenter d’y remédier.
Que vous soyez un expert en informatique ou un technophobe, à partir du moment où vous avez des données quelque part sur le web, vous pouvez être affecté par cette brèche. On ne vous a pas nécessairement volé directement. Vos données ont peut être été subtilisées à des services ou des fournisseurs auxquels vous avez confié des informations personnelles, à votre employeur, même à vos amis ou votre famille  ». Voilà le discours flippant de Hold Security pour décrire la gigantesque collection de données personnelles volées que cette entreprise de sécurité a mis au jour.
Les chiffres présentés donnent en effet le tournis : d’après Hold Security, un gang d’une douzaine de hackers russes baptisé CyberVor aurait donc récupéré pas moins de 4,5 milliards de combinaisons de mots de passe et de noms d’utilisateurs. En omettant les doublons, CyberVor aurait accès à plus d’un milliard de comptes sur des milliers de sites différents, qui seraient rattachés à 500 millions d’adresses e-mail. Le hack du siècle, en somme.  
Pour voler autant d’informations sensibles, CyberVor aurait usé de multiples sources et techniques, mais aurait surtout profité des services d’un botnet (un réseau de PC infectés par un logiciel malveillant) « qui a profité des ordinateurs des victimes pour identifier des vulnérabilités SQL sur les sites qu’ils visitaient. » Les membres de CyberVor auraient de cette manière identifié plus de 400 000 sites web vulnérables, qu’ils ont ensuite attaqué pour voler leur bases de données d’utilisateurs. 

Des détails qui clochent

Sauf qu’il y a quelques petits détails qui clochent dans cette histoire. A commencer par le fait que Hold Security profite de cette annonce hallucinante pour tenter de s’enrichir immédiatement, en misant sur la peur du hacker qu’il a généré. En gros, la firme propose aux entreprises et aux particuliers de se préinscrire à un service –payant même s’il y a un essai gratuit- qui leur permettra notamment de savoir si oui ou non ils sont concernés par cette fuite de données. Et ce n’est pas donné : comptez 120 dollars par mois si vous êtes une entreprise.
D’autre part, Hold Security se refuse à donner le moindre nom de site dont la base a été piratée. Ce peut être compréhensible : son patron Alex Holden l’explique dans le New York Times, il ne souhaite pas révéler le nom des victimes pour des raisons de confidentialité. Il y aurait pourtant des entreprises du Fortune 500 selon lui dans le lot.
Mais comme le fait remarquer Forbes, il semble pour le moins étonnant (mais pas totalement impossible) que de si grandes entreprises se soient fait berner par une injection SQL, une technique très connue des hackers… et des experts en sécurité qui protègent les sites importants de telles attaques.

Des infos de piètre qualité ?

Il y a aussi de nombreuses informations qui manquent, dans la description de Hold Security. Quels botnets ont été utilisés ? Comment le malware a-t-il été inoculé dans la machine des victimes ? Et surtout pourquoi, comme l’indique le New York Times, le gang se contente-t-il d’utiliser pour l’instant leur fabuleuse base de données pour… envoyer du spam sur les réseaux sociaux, alors qu’ils pourraient à priori faire bien plus de mal ?
En réalité, il se peut que les milliards de mots de passe collectés par CyberVor étaient déjà disponibles sur le web underground depuis bien longtemps. Hold Security l’avoue sur son site : « Au départ, le gang a acquis des bases de données d’identifiants sur le marché noir ». Une pratique fort courante chez les cybercriminels, mais qui ne repose pas sur le moindre hack : il suffit de payer. Il est fort possible que ces « collectionneurs » aient au fil du temps accumulé un nombre de données incroyable, mais pas forcément « fraîches » et donc de piètre qualité. Il se peut aussi que la technique de l’audit d’un site par un botnet ait été fructueuse… Sur des sites de moindre envergure, voire des sites perso, mal sécurisés, qui n’ont pas fourni à Cybervor de quoi faire autre chose que du spam sur Twitter.
Quoiqu’il en soit, l’annonce de Hold Security vous donne une excellente excuse pour changer dès aujourd’hui vos mots de passe, ça ne fait jamais de mal !
Source : Hold Security

mercredi 6 août 2014

Une vulnérabilité colossale et impossible à corriger touche tous les périphériques USB


Une faille de sécurité impossible à corriger a été découverte au niveau des puces des contrôleurs USB des périphériques. Leur firmware pourrait être reprogrammé pour contaminer des ordinateurs et d’autres accessoires USB afin d’être exploités par des cybercriminels.

Une vulnérabilité colossale et impossible à corriger touche tous les périphériques USB
Deux chercheurs en sécurité informatique du Security Research Lab de Berlin (Allemagne), ont mis en évidence une énorme vulnérabilité qui touche tous les périphériques dotés d’un connecteur USB. Qu’il s’agisse d’une souris, d’un clavier, d’une clé USB, ou de n’importe quel autre accessoire, ils ont réalisé que le firmware du contrôleur USB n’est pas sécurisé et peut être reprogrammé à tout moment.

Pour le prouver, ils ont créé un firmware dont le nom de mauvaise augure est BadUSB. Une fois injecté, il pourrait selon ses variantes transformer n’importe quel périphérique en boîte à outils pour cybercriminel. Le problème, c’est qu’il n’y a pas de moyen de renforcer la sécurité de ce firmware et qu’aucun logiciel antimalware n’est capable de détecter l’exploitation de cette faille.
Les chercheurs donneront plus de détails sur leur découverte lors de la conférence Black Hat USA qui se tient à actuellement à Las Vegas. (EP)


Source.:

Surveillance des activités de pédophiles avec le programme CyberTipline


Surveillance des photos dans Gmail : Google s'explique:

Google a apporté des précisions concernant la méthode qui lui a permis de détecter des activités illégales sur le compte Gmail du délinquant sexuel récemment arrêté à Houston. L'entreprise donne des détails sur sa démarche et sur l'obligation légale associée.


google logo gb sq
L'arrestation, le week-end dernier, d'un délinquant sexuel au Texas, réalisée avec le concours de Google, a partagé l'opinion. D'un côté, certains ont salué la démarche de l'entreprise, qui a permis d'arrêter un pédophile qui faisait du trafic de photos d'enfants via sa boîte Gmail. De l'autre, la situation a relancé le débat concernant la surveillance des données personnelles réalisée par Google auprès de ses utilisateurs.

L'entreprise a donné des précisions à l'AFP concernant ses pratiques : « Malheureusement, toutes les entreprises du Web doivent faire face à l'abus sexuel envers les enfants. C'est pourquoi Google supprime activement les images illégales de ses services, et les signale au National Center for Missing and Exploited Children (NCMEC) » explique le service. « Chaque image d'abus sexuel sur mineur est signée d'une empreinte numérique unique qui permet à nos systèmes d'identifier les photos, même au sein de Gmail. » Même si l'entreprise ne donne pas de détail concernant la technologie utilisée, elle en précise les limites : « Il est important de rappeler que nous n'utilisons ce procédé que pour identifier les photos liées aux abus sur les mineurs, et pas pour identifier du contenu électronique qui pourrait être associé à d'autres activités criminelles (par exemple, l'usage d'emails pour planifier un cambriolage). »

Expliqué ainsi, ce n'est pas forcément rassurant, mais l'idée est là : Google utilise des algorithmes qui lui permettent d'identifier un type de photos bien précis, uniquement dans le cadre de sa collaboration avec le NCMEC. L'organisme souligne de son côté que la loi fédérale exige que les fournisseurs de services Web signalent les contenus liés à des activités pédophiles dans le cadre du programme CyberTipline. La surveillance des contenus partagés sur les services de Google résulte donc, dans ce cadre, d'une obligation légale, et se limite à un unique type de contenu identifiable pour lequel l'entreprise confirme « une tolérance zéro ». De quoi éclaircir les intentions et surtout les obligations de l'entreprise face à ce type de contenu indéniablement condamnable.


Source.: