Un faux plugin Firefox crée un botnet de 12 500 machines

Sécurité : Le site spécialisé KrebsOnSecurity dit avoir découvert un botnet de 12 500 machines qui scannaient, via un plugin Firefox, les sites visités à la recherche de failles.

Un botnet aux techniques "inhabituelles". Un add-on "Microsoft .NET Framework Assistant" pour le navigateur Mozilla Firefox, a priori légitime, a infecté 12500 systèmes, les transformant en machines zombies au sein d'un réseau découvert, selon ses dires, par le site spécialisé en sécurité KrebsOnSecurity.

Le botnet lui-même prend le nom de "Advanced Power", et même si l'on ne sait comment l'infection initiale a eu lieu, il a pu se développer grâce à l'inclusion d'un malware au sein qui installait un plugin pour Firefox appelé "Microsoft .NET Framework Assistant". Le même nom quece module complémentaire développé par Microsoft...

Qui fonctionne avec : ClickOnce est la technique Microsoft qui permet à l'utilisateur d'un système Windows d'installer et de lancer une application en cliquant sur un lien dans une page web. ClickOnce est un composant du framework Microsoft .NET, à partir de la version 2.0 de celui-ci. Il permet de déployer des applications développées avec Windows Forms ou avec Windows Presentation Foundation (WPF). Ces applications sont souvent appelées clients intelligents. ClickOnce est similaire aux techniques Java Web Start de la plate-forme Java et Zero Install de Linux.

Un faux plugin nommé comme un vrai 

Le système infecté n'y voyait donc que du feu - et ce, même s'il faut souligner que ce n'est pas le module distribué directement par Mozilla qui est en cause - et participait d'un botnet de taille convenable destiné à trouver des vulnérabilités sur les sites visités.

Les systèmes infectés scannaient donc des sites web à la recherche de vulnérabilités aux attaques par injection SQL. Le botnet aurait permis de trouver 1800 pages susceptibles d'accueillir des failles, sur l'ensemble des pages visitées par les utilisateurs touchés.

Au-delà de cette information, rien n'est vraiment certain. Il semble que le botnet ait été actif depuis mai 2013, et que ses créateurs soient originaires de République tchèque. Si cela n'a pas de conséquence pour l'add-on légitime édité par Microsoft, Mozilla a bloqué le module homonymesur les machines infectées. Selon le site de l'éditeur, il est "automatiquement désactivé et [ne sera] plus utilisable". 

Tout l'intérêt de l'information réside dans l'existence d'un plugin officiel et légitime. Il est à noter qu'un module légitime de vérification des failles SQL existe - mais que celui-ci ne fait pas remonter les informations vers un serveur où elles pourraient être utilisées pour nuire au site visité.

Par ailleurs, le faux module incriminé disposait selon KrebsOnSecurity d'une fonctionnalité de vol de mots de passe et d'identifiants de connexion. Il semble cependant que la fonction n'a pas été activée par ses créateurs. "Advanced Power" n'a touché que des PC tournant sous Windows.

REF.:

Surveillance gouvernementale : Microsoft annonce des mesures

Sécurité : Microsoft est inquiet : ses clients sont préoccupés par la surveillance d'Internet. Lui aussi, assure-t-il, qui annonce plusieurs actions à venir.

Microsoft est préoccupé. La surveillance organisée par la NSA l'inquiète. C'est mauvais pour ses clients, et donc mauvais pour son business. Dans un billet de blog, il affirme "partager" l'inquiétude de ses clients, et donc "prendre des mesures pour s'assurer que le gouvernement passe par la voie légale plutôt que la force technologique brute pour accéder aux données des consommateurs".

Si le géant englobe la surveillance globale dans son discours, il s'intéresse surtout aux voies illégales. Pas question d'élargir la problématique aux méthodes de collaboration "volontaires" mises en lumière par le traitement de l'affaire initiale PRISM.

Extension du domaine de la lutte

Microsoft s'en prend notamment aux récentes allégations d'une collecte de données lorsqu'elles transitent sur les réseaux de fibre privés des géants du numérique. Google et Yahoo sont visés par ce programme MUSCULAR, mais Microsoft craignait dès le mois dernier d'être la cible potentielle d'une telle manoeuvre.

L'entreprise a donc décidé de "réaliser des actions immédiates et coordonnées dans trois domaines" :

• "Nous étendons le chiffrement sur nos services"
• "Nous renforçons les protections légales pour les données des utilisateurs"
• "Nous améliorons la transparence de notre code" pour prouver qu'il ne contient pas de backdoor.

Côté chiffrement, on est dans le classique. Microsoft cherche à viser tous les niveaux, entre les utilisateurs et les services, mais aussi au niveau des données stockées, ou dans les communications avec d'autres fournisseurs de services lors d'échanges d'informations. Le déploiement débute maintenant et sera finalisé en 2014, assure le géant.

Un bon pas insuffisant ? 

La partie légale n'est pas particulièrement ébouriffante, Microsoft promettant de signaler une demande d'informations personnelles à un utilisateur ou une entreprise concernés, et promet d'aller devant les tribunaux lorsqu'un ordre contraignant contraire lui sera donné. Idem dans les pays étrangers (aux Etats-Unis), où Microsoft compte "lever des objections juridiques" à chaque fois que ce sera possible.

Le point le plus intéressant est évidemment le troisième. Ouverture du code ? Tiens, tiens... Ah non. En fait il s'agit d'étendre le programme permettant aux clients gouvernementaux de vérifier l'absence de backdoors dans le code. Des "centres de transparence" seront ouverts en Europe, en Amérique et en Asie. Un bon pas... Peut-être insuffisant.

REF.:

Une énorme faille de l’Internet permet de détourner du trafic à volonté

L’aiguillage des flux sur la Toile est faillible. Des experts ont observé, pour la première fois, des détournements massifs permettant de siphonner des données en toute tranquillité. Mais leur origine reste mystérieuse.

Si vous envoyez des données de Paris à Marseille, sachez qu’il est possible de siphonner ce trafic ni vu ni connu, sans avoir besoin d’accéder à une quelconque fibre optique ou à un serveur dans le cloud (comme le fait par exemple la NSA). Une énorme faille de l’Internet permet, en effet, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs d’espionnage, avant qu’elles n’arrivent à destination. Comme un train que l’on ferait passer par une voie parallèle pour détrousser les passagers, avant de le remettre sur le trajet initial.

Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active... et inquiétante. Dans un article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.

Une manipulation qui n’est pas à la portée de tous

Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.

En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.

Mais usurper les annonces BGP n’est suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.

Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l'Islande.

agrandir la photo

Il manque la preuve d’une malveillance

En effet, pour assurer l’acheminement vers le destinataire final, il faut une connaissance approfondie des routes empruntées par les données sur Internet, une sorte de carte IGN pour la Toile. «  Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».

Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.  

Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n'est pas certain que cela arrive un jour.

REF.:

Les anneaux intelligents remplaceront-ils les smartwatchs ?

Smarty Ring : un anneau intelligent, pour les controler tous ?

Smarty Ring est un anneau intelligent qui se démarque de toutes les smartwatchs que les grands constructeurs sont en train de développer. Une idée qui a reçu tous les dons nécessaires pour son développement sur la plate-forme Indiegogo, mais que nous promet cet anneau unique pour accompagner nos smartphones ?

Globalement, les fonctionnalités de la Smarty Ring sont les mêmes que celles des montres connectées comme la Sony Smartwatch 2 ou la Samsung Galaxy Gear. Mais son design est bien plus discret dans la mesure ou l’anneau se place au doigt, laissant vos poignets libres. Comme vous pouvez le voir dans la vidéo, ce sont des petites LED qui vous afficheront l’heure et les notifications en rapport avec ce qui se passe sur votre smartphone Android ou iOS.

La Smarty Ring pour remplacer les montres intelligentes

Les concepteurs sont partis du principe que les utilisateurs consultent leur téléphone environ 150 fois par jour et que l’anneau intelligent leur permettrait de le faire environ deux fois moins. Pas de sonnerie ici, mais les touches de la montre pourront vous servir à passer ou rejeter un appel, lancer l’appareil photo ou encore contrôler la musique sur votre téléphone. Le tout fonctionne avec le Bluetooth 4.0 qui se chargera de vous alerter de toutes vos mises à jour.
Au niveau de la fiche technique, une autonomie de 24h est annoncée avec une petite batterie de 22 mAh. Un chargeur sans fil sera fourni pour recharger cet anneau intelligent et étanche. Le prix de l’ensemble est fixé à 275 dollars (199 euros), mais les personnes ayant soutenu le projet sur la plate-forme pourront se la procurer pour 175 dollars (127 euros). Une version « light » devrait également être proposé pour moins cher. Attendu pour avril 2014, on a hâte de voir tout ça tourner.
Les anneaux intelligents remplaceront-ils les smartwatchs ? Qu’en pensez-vous ?

• REF.:

La 5G en 2020: télécharger un film en 1 seconde !

La 5G c'est pour 2020 !

Télécharger un film en une seconde sur son mobile sera possible dès 2020 grâce à la technologie 5G. Et même si cet horizon apparait bien lointain à l'heure où la 4G se déploie à peine, le secteur s'y prépare déjà.

Pour en savoir plus
Commission européenne | Ericsson | Huawei | Téléphones mobiles et intelligents | Télécoms et mobilité | Normes et standards

La 5G sera avant tout pour l'utilisateur une révolution en terme de vitesse: alors que les standards actuels permettent au mieux des pics de débit 150 mégabits/seconde, la technologie de 5e génération ira «au-delà du gigabit», expliquent des experts réunis mercredi et jeudi à Montpellier au colloque annuel de l'Idate.

«La 2G faisait de la voix, la 3G a introduit l'échange de données et donc de nouveaux usages, et la 4G est dans cette continuité. Mais la 5G sera une rupture car elle devra intégrer une masse énorme d'objets connectés, qui pourraient être 50 milliards en 2020», indique à l'AFP Viktor Arvidsson, directeur de la stratégie d'Ericsson France.

Il s'agira ainsi «d'inclure les besoins de dialogue différents» de ces machines - véhicules, appareils médicaux ou électroménagers - alors que la 4G «cherche avant tout à satisfaire les besoins des téléphones intelligents et des tablettes», renchérit Frédéric Pujol, responsable du Haut débit mobile à l'Institut de l'audiovisuel et des télécommunications en Europe (Idate).

Quelque dix ans séparent chacune de ces technologies mobiles: «jusqu'à 2015 on sera en phase exploratoire, puis viendront trois années de pré-standardisation pour poser les concepts, puis deux ou trois ans de standardisation», explique le reponsable d'Ericsson.

L'équipementier télécoms suédois est un des chefs de file du projet Metis, qui regroupe vingt-neuf acteurs du monde des télécoms et est doté de 27 millions d'euros de budget (une partie en provenance de la Commission européenne qui a consacré un total de 50 millions d'euros en 2013 à la 5G via des subventions).

Un standard mondial?

Les membres de Metis sont majoritairement européens, mais on retrouve aussi le Japonais Docomo et le chinois Huawei.

Ce dernier a annoncé début novembre qu'il allait consacrer un total de 600 millions de dollars d'ici 2018 à la recherche sur la 5G.

Dès 2020, «les gens pourront télécharger des films en haute définition en une seconde» sur leur mobile, avait souligné à cette occasion Eric Xu, directeur général du géant chinois des télécommunications, qui table sur des débits moyens de 10 gigabits par seconde.

«Ce qui est important dans Metis, c'est l'harmonisation et la standardisation mondiales de la 5G. C'est pour cela qu'il ne regroupe pas que des Européens. Il y avait beaucoup de technologies concurrentes en 1G, 2G et aussi un peu en 3G, ce qui constitue un frein au déploiement. Il faut fédérer tout le monde autour d'un standard», résume M. Arvidsson.

Et devant la croissance exponentielle des données échangées par mobile - qui doublent chaque année -, la 5G aura aussi besoin de nouvelles bandes de fréquences pour acheminer ce trafic.

«Certaines fréquences hertziennes actuellement allouées à l'aéronautique et à la recherche spatiale devraient se libérer dans les prochaines années grâce à l'évolution des technologies. La 5G aura besoin de fréquences hautes, qui induisent aussi une portée réduite, mais ce sera parfait pour les objets connectés à l'intérieur d'une maison ou les flux vidéo dans une salle de conférence», explique M. Pujol.

Mais attention, «on n'est qu'au début de l'aventure 5G, et il est difficile de dire aujourd'hui 'ce sera comme cela en 2020'», prévient Viktor Arvidsson.

REF.: