» Altern Securité (http://securite.zeblog.com/)

NooD

Sécurité informatique expliquée

Calendrier

« Juillet 2017
LunMarMerJeuVenSamDim
 12
3456789
10111213141516
17181920212223
24252627282930
31 

Blog

Catégories

Derniers billets

Compteurs

Liens

Fils RSS

Sécurité informatique, Linux; *BSD et Hautes technologies

Par NooD :: 01/03/2009 à 14:51 :: Général


Bonjour tout le monde!

Je viens de tomber sur un nouveau blog particulièrement intéressant qui traite des sujets tel que la programmation, les google API, la sécurité informatiqueFreeBSD, et son how to d'installation et enfin des applications indispensables pour iTunes.

Bref que de la bonne lecture !

A bientôt ;)

  

Le zapping mensuel de la sécurité (janvier 2008) avec un peu de retard !

Par NooD :: 26/04/2008 à 23:02 :: Général

Chaque mois, les événements marquants du monde de la sécurité. En janvier : une faille à 5 milliards d'euros, la CIA crée la peur, ou l'armée britannique perd un ordinateur sensible.

 


En janvier aussi, des suspicions à l'encontre des autorités russes, un logiciel à disposition de la police allemande pour écouter les messages Skype, une arrestation pour cyber-attaque en Estonie et des performances de détection des rootkits perfectibles. Lire

La défense d'infrastructure, un échec total

Par NooD :: 23/04/2008 à 22:13 :: Général
La défense d'infrastructure, un échec total

Par Marc Olanié

Londres, InfoSec : « Ce sont les données qu'il faut protéger avant tout », martèle Phil Dunkelberger, CEO de PGP Corp. « Toute les tentatives qui ont consisté à consacrer la totalité des efforts à sécuriser l'infrastructure se sont soldés par des échecs. Il y a toujours, quelque part, une faille, une erreur humaine, un problème de configuration ou de conception qui sera exploité par un malware ou un intrus, depuis l'intérieur même du périmètre ou à distance. Si les données sont protégées, quelque soit la faille que l'on découvre dans les défenses périmétriques, le mal sera moindre ». Plaidoyer pro domo, sans doute, mais que confirme la mode des DLP « Data Leak Prevention », outils « anti-fuite » d'information.

Dunkelberger reconnait que la frontière entre l'infrastructure et les données devient de plus en plus floue. Dans une machine virtuelle, qui elle-même n'est jamais constituée que d'un programme et d'un fichier disque -rarement chiffré d'ailleurs-, qu'est-ce qui relève du domaine de la donnée ? Et le mimétisme fonctionnel pousse-t-il les administrateurs à ne considérer que la partie « machine » au détriment de l'aspect « fichier », les conduisant à négliger certains aspects liés à la protection des données ? « Je n'annonce pas un « nouveau produit », encore moins une version alpha d'une quelconque solution de sécurisation du poste de travail, virtuel ou non... mais je dois préciser que nous travaillons sur cet aspect des choses, sur cette cartographie complexe des « zones de données ». Ces temps ci, par exemple, nous étudions tout particulièrement les récentes « attaques contre la mémoire vive » (voir CSO du 18/04 ) et envisageons les différentes manière de chiffrer certaines portions du processus de traitement ou d'accès... ». Certaines de ces vulnérabilités d'accès mémoire, de l'avis même des chercheurs ayant développé ces thèses et méthodes d'attaque, pourraient être évitées à l'aide d'un chiffrement complet du disque. Chiffrement qui est, depuis la récente sortie de Vista et de Windows 2008 Server, une fonction intégrée au noyau.

Cette fonction nouvelle fera -t-elle disparaitre les dangers de ce type ? « C'est peu probable » reprend Phil Dunkelberger. « Et ce, principalement pour des raisons de souplesse d'administration et de gestion des clefs. Pour l'instant, les responsables de parc n'ont pas encore assimilé ces techniques... et l'on en revient à une question d'infrastructure. En outre, il faut admettre que certaines bonnes pratiques, tel le chiffrement complet des unités de stockage, se heurte à deux problèmes. L'un lié à l'administration pure. Tout d'abord, doit-on « tout chiffrer » au risque de ralentir les programmes, ou chiffrer selon la fonction, au risque de se tromper sur la véritable sensibilité des données, au risque d'alourdir l'administration de ce puzzle de permission ? Ensuite, comment persuader les sphères dirigeantes d'édicter des lois et cadres normatifs rendant obligatoire la protection de ces données ? cela commence à être le cas dans la plupart des états des USA. La Grande Bretagne suit plus ou moins. C'est très loin d'être le cas en Europe, qui, pour l'heure, n'oblige pas les organismes financiers et commerçants responsables de fuites d'informations de rendre public les accidents dont elle auraient été victimes ». Il est parfois plus simple de chiffre un disque que de décrypter les intensions d'un consortium bancaire.

MWC : Inquiétudes sur la sécurité des services mobiles

Par NooD :: 22/04/2008 à 23:01 :: Général
Selon une étude de l'éditeur de logiciels antivirus McAfee, publiée lors du Mobile World Congress, plus de 72 % des utilisateurs de téléphones mobiles s'inquiètent de la sécurité des services proposés.

Sur les 2.000 personnes interrogées aux Etats-Unis, au Japon et au Royaume-Uni, 63,8 % craignent de recevoir des factures supérieures à leur consommation, 64,8 % de perdre des informations, et 49,9 % d'être espionnées via Bluetooth.

Source JDN

Cartes de crédit : la puce, la banque et ses défaillances

Par NooD :: 18/04/2008 à 23:01 :: Général
C'en est presque un lieu commun : l'ajout d'une « puce » sur les cartes de crédit a considérablement diminué le nombre de fraudes. Mais il y a une marge entre « considérablement diminué » et « totalement éliminé ». Deux récents rapports Britanniques concomitants considèrent ce verre à moitié vide ou à moitié plein. Le premier, rédigé par l'Apacs (association Britannique des organismes payeurs) dresse des statistiques sur la baisse -et non la totale disparition- des fraudes à la carte de crédit. Le bilan est globalement positif, compte tenu des 800 millions de livres sterling perdues chaque année avant que ne soient généralisés les TPV et distributeurs dotés d'un lecteur de cartes à puce. A noter, dans les derniers paragraphes, une sage réserve quant à l'avenir immédiat des procédés d'identification/authentification biométriques. Encore trop aisés à duper, ces outils ne « seront pas utilisable au moins avant 2016 » pensent les experts de l'Apacs. En attendant, les méthodes d'authentification double ou triple facteur devraient permettre de « tenir avant l'arrivée des renforts ». La cavalerie Bio parviendra-t-elle à temps ?


Il y a peu de chances. Car, toujours de l'autre côté de la manche, Tudieu, l'on s'évertue à tuer ce tuyau à phynance. Pirater une carte à puce ? Mais c'est très simple, nous expliquent trois universitaires de Cambridge, MM Saar Drimer, Steven J. Murdoch et Ross Anderson. L'on peut, par exemple, se contenter de la dérober et de l'expédier en des contrées où les distributeurs ne connaissent pas la puce. Rien n'interdit non plus de s'attaquer à un distributeur. Et laissons le pied de biche* aux brutes épaisses : viol du clavier par injection de fluide, analyse de signaux par attaque « carte in the middle », trépanation de terminal point de vente (PED en breton langage)... l'équipe de Cambridge a tout essayé, ou presque. La carte à puce, insiste le document liminaire rédigé par les universitaires, n'est pas une garantie absolue, qu'elle soit employée pour sécuriser des transactions bancaires, protéger un vote électronique ou contenir le bulletin de santé d'une personne. Des vulnérabilités flagrantes existent dans les processus de certification censés protéger l'usager. Des processus qui sont tenus secret de tous, et dont la responsabilité incombe directement aux organismes financiers qui les mettent en place insistent les trois experts. Lesquels précisent que « malgré nos recherches, aucun des TPV que nous avons examiné ne devraient être retirés du service ». Ce n'est pas la carte à puce ni son lecteur qui sont défaillants. C'est la manière de les employer.

NdlC, Note de la Correctrice : le pied de biche, c'est une délicate extension métallique que j'utilise sur ma machine à coudre pour parfaire mes festons et autres surplis. Les charpentiers en utilisent un autre, plus communément désigné sous le nom d'arrache-clou. L'auteur, qui ne fait jamais dans la dentelle, doit probablement parler d'une « pince de carrier ».

Par Marc Olanié

Attaque par autorité de certification du milieu

Par NooD :: 14/04/2008 à 23:00 :: Général
Dans l'mitan du hacking, les affranchis, les vrais, nous en apprennent tous les jours. Parole. Cette fois, le « casse du siècle » est signé Brad Antoniewicz de l'Avert Lab et Josh Wright, l'homme qui hack n'importe quoi pour un sushi. Du travail d'orfèvre, qui explose de la liaison WiFi comme Jo le Trembleur ses coffres forts : tout en douceur, une légèreté dans la nitro que t'oses pas imaginer. Mais attention, rien à voir avec l'école Devine... malgré tout le respect que l'on doit aux anciens. On ne braque pas de Wep, on tutoie de la serrure de première catégorie, rien de moins que du WPA PEAP. D'un point de vue technique, c'est une histoire qui tient à la fois du « fifty ways to defeat your PKI », du respectable Fred Cohen de All.net, et du Rogue AP (l'evil twin de nos voisins angliches). T'agites le tout, tu viens servir chaud un serveur RADIUS légèrement modifié, FreeRadius WPE, WPE pour Wireless Pwnage Edition. En fait, un « add in » au très sérieux FreeRadius, qui permet de mettre en évidence des failles ergonomiques dans les clients EAP. 'chais pas si tu saisis l'embrouille : tu te connectes. Je te réponds « vl'a du certificat garanti doré sur tranche ». Ton programme t'expédie un écran de pop-up « j'accepte, ou je refuse ? » et voilà le drame cornélien. Comment un quidam pas versé dans l'art de la clef de chiffrement pour deux thunes, pourrait-il faire la différence entre une autorité de certification « officielle » et un vrai-faux serveur ? Réponse : Nada, c'est mission impossible. Du coup, il se fait blouser et t'envoie son Sésame en pensant avoir affaire à un contrôle d'accès certifié pur beurre des Charentes. De mon côté, je note, je logue, à la rigueur, quand la patte-blanche n'est pas transmise en claire (c'est fou ce que le VPN d'une liaison TLS peut mettre en confiance... un véritable condé), je joue du cracking à la rainbow table... dans tous les cas, je récupère 100 fois la mise. Pour bien piger, faut regarder le film Powerpoint du casse, intitulé « Du Rififi chez les certifs ». Du suspense à chaque image. D'ailleurs, comme dans tout bon bonus pour DVD, t'as même la bande son du réalisateur, Brad Antoniewicz, sur le blog de l'Avert. Depuis, son blaze, c'est Suspens Monseigneur, parce qu'après lui, on ne saura jamais plus si un équipement de sécurité réputé ne cache pas un redoutable traquenard.

Par Marc Olanié

Plan MAM : bavures et piratage à tous les étages

Par NooD :: 11/03/2008 à 10:21 :: Général

Après un certain temps d'intégration, les réactions se multiplient suite à l'annonce du Ministre de l'Intérieur relative au projet de lutte contre la cyber-délinquance. Le Parti Pirate, tout d'abord, qui jette un brûlot aussi fougueux que dénué de contre-arguments solides. Certains experts également, qui, bien que plus nuancés dans leurs propos, craignent certaines dérives.

Ainsi Guillaume Lovet, responsable de l'équipe anti-menaces chez Fortinet. Précisons avant toute chose, que Fortinet est un équipementier spécialisé dans la fabrication d'Appliance de sécurité et de filtrage. De ce fait, tout gouvernement souhaitant généraliser des techniques de filtrage de contenu et de rétention d'information sur des réseaux IP ne peut, en toute logique, que servir les intérêts de cette entreprise. C'est pourtant un tout autre discours que nous tient le patron de l'antenne française anti-menaces. Selon G. Lovet, le projet possède de bons et de mauvais cotés. « Les bons aspects tout d'abord. Car on ne peut nier qu'une action gouvernementale visant à sensibiliser la population sur les problèmes de cyberdélinquance soit totalement négative...

Mais c'est dans les détails que se cache le démon. « Pour ce qui concerne les écoutes, le projet envisage d'instaurer un appareil de surveillance encore plus intrusif qu'un autre projet mis en chantier en Allemagne, et qui a été débouté par l'équivalent des sénateurs d'Outre Rhin. Et il est question d'en faire une loi européenne, afin de ne pas être entravé par les arcanes des dispositifs législatifs des différents pays membre de l'Union. D'autre part, les outils évoqués dans le projet ne sont ni plus ni moins que des instruments de perquisition à distance. Dans la vie de tous les jours, un acte semblable ne peut se faire sans une commission rogatoire délivrée par un juge, et se déroule en toute connaissance de cause de la part de l'intéressé qui, avant tout jugement, est présumé innocent. Rien, dans l'actuel projet, ne laisse entendre que la personne surveillée soit prévenue... tout laisse même penser le contraire. Même pour son bien, on ne peut exécuter un programme sur la machine d'une personne sans son consentement.

Sur la question même de l'usage d'outils intrusifs, et indépendamment du risque non négligeable de « détournement » de ce spyware policier par des gens mal intentionnés, on ne peut manquer de se poser la question suivante : qu'en est-il de la recevabilité des preuves contenues sur le disque dur de l'individu suspecté ? Si, de facto, ce composant a fait l'objet de modifications volontaire AVANT toute saisie et inculpation, rien n'interdit d'imaginer que d'autres éléments y aient été également introduits. La question se pose déjà à l'heure actuelle : peut-on accuser quelqu'un sur la seule preuve des éléments contenus sur un disque, sachant que les fichiers et journaux peuvent avoir été modifiés ou refléter l'activité d'une toute autre personne ayant utilisé l'ordinateur de manière illégale.

Ouvrons ici une parenthèse pour rappeler une jurisprudence Britannique qui a relaxé un accusé, la défense ayant argué du fait que les accès WiFi du présumé coupable étaient aisément piratables, reflétant en fait l'activité d'une personne inconnue. Il serait dangereux de confondre la machine et son propriétaire. Il serait également tout aussi dangereux et considérablement plus injuste de considérer comme responsable un utilisateur informatisé sous prétexte qu'il « devrait savoir se protéger » ou qu'il « a été largement averti ». La sensibilisation est la vache à lait de bien des consultants en informatique, d'autant plus intarissable qu'elle est réputée ne pas être efficace.

Guillaume Lovet continue : Les statistiques que nous établissons régulièrement et qui mesurent l'activité des botnet sont la preuve indiscutable que cette hypothèse du « troisième homme » est très courante et que la sensibilisation de l'usager est une notion très fluctuante : les postes zombie sont une réalité du monde internet, et il semblerait qu'il y ait pratiquement autant de « victimes » dans le milieu professionnel que dans le parc grand public (ndlr : pour être recevable, le « spyware MAM » devrait donc paradoxalement être capable, avant toute chose, de « désinfecter » le disque cible avant de débuter son travail d'investigation)

Il faut également, pour que ces outils de surveillance et d'intervention à distance soient efficaces, que les développeurs travaillant pour le compte des organismes policiers puissent obtenir le secours des professionnels de la sécurité. En d'autre terme, que le programme implanté à distance soit rendu invisible et non détecté par les principales passerelles de sécurité du commerce. Un point qui pose de sérieux problèmes déontologiques aux spécialistes du milieu. Passons également sur la technicité de l'opération, sur la compétence du juge en matière d'outils intrusifs, même sui celui-ci se fait seconder par des experts.

Sur la question du filtrage du contenu par les fournisseurs d'accès, le précédent du site négationniste Aaargh prouve combien de telles mesures sont illusoires. La procédure de banissement s'est avérée longue et difficile. Et une fois décrétée par jugement, ses effets ont été nuls, puisqu'il a suffit aux administrateurs de déplacer l'ébergement du site en dehors de la juridiction Française. Ceci sans présumer du fait que ces mesures sont contournables par les usagers eux-mêmes (ndlr, en utilisant des proxy chiffrés notamment). Et puis, peut-on entendre de telles propositions sans instinctivement penser à ce qui se passe en Chine ou en Birmanie ? En fin de compte, quel type d'internaute ces mesures sont-elles censées protéger ? »

Viennent ensuite les exemples de la « vraie vie », celle qui prouve à quel point il y a loin entre la loi et son application. A commencer par l'inévitable bévue technique, telle que celle rapportée par l'Electronic Frontier Foundation et commentée par Steve Bellovin : en demandant l'aiguillage des emails d'un suspect, le FAI chargé de l'opération a expédié au FBI la totalité du courrier électronique ayant transité sur le domaine . Une pierre dans le jardin de tous les chantres qui psalmodient le mantra « ca n'arrivera jamais ». Bellovin revient d'ailleurs sur certains problèmes épineux posés par le système d'espionnage Carnivore. Lorsque l'annonce officielle de cet outil avait été faite, les principaux éditeurs de logiciels anti-virus américains avaient officiellement annoncés qu'ils sauraient diplomatiquement ignorer la présence de cet outil s'il venait à être détecté. Une déclaration qui, à l'époque, avait provoqué une très nette réaction des entreprises européennes à l'égard de Symantec notamment. Il semble tout à fait logique qu'un « spyware MAM » nécessite, pour qu'il soit efficace, une « collaboration » (au sens sinistrement historique du terme) des principaux éditeurs et équipementiers du monde de la sécurité. Est-ce pensable ? Pas sur. Car cela équivaudrait à forer un trou béant dans l'intégrité des architectures de défense périmétriques. Qu'un pirate parvienne à retrouver la trace de ce genre de code, et il disposera d'une arme formidable : un passe-partout donnant accès au réseau local de toute machine protégée avec un firewall « MAM Aware ». Le business d'un éditeur d'antivirus, d'un fournisseur d'UTM, c'est avant tout de vendre de la confiance. En obligeant l'industrie à collaborer à des opérations de basse police, le Ministre de l'Intérieur demande implicitement à ces entreprise de se décrédibiliser elles-mêmes. Est-ce concevable ?

Il n'y a pas de bon code intrusif. En confondant la motivation et les mécanismes techniques, un « gentil virus » ou un « spyware sympa » peut provoquer d'importantes dérives. Car, bon ou mauvais, un logiciel d'espionnage est avant tout un logiciel, une oeuvre humaine, susceptible d'erreurs, erreurs qui sont potentiellement exploitables. Par le plus grand des hasards, c'est le New Scientist qui remet ce sujet sur le tapis en rapportant une hypothèse de travail qui aurait été émise par un chercheur de Microsoft travaillant à Cambridge : il ne peut exister de meilleur remplaçant à Microsoft Update ou à SUS Server qu'une rustine à propagation automatique. Autrement dit, le virus guérisseur. Security Focus se lance dans l'historique de cette fausse-bonne idée : Dave Aitel en 2006, les labos de Hewlett Packard en 2004, Vesselin Bontchev, dans le cadre de la chasse aux virus, en 1994, jusqu'au premier « raté » de l'histoire des correctifs automatiques qui tournent à la catastrophe, la fameuse mise à jour de pilote commentée par mm John Shoch et Jon Hupp du Parc, en 1982. Le tableau ne serait pas complet si l'on oubliait Welchia, l'anti-MS-Blast, qui généra plus d'encre journalistique et de trafic IP qu'il ne nettoya réellement Internet, ou le rootkit gratuitement diffusé par Sony, là encore un « gentil outil d'attaque militant pour le mieux-être sécuritaire » des éditeurs, un rootkit dont le reverse engineering a mis en évidence de nombreuses possibilités d'exploitation. Qu'il soit auto-propagé ou installé « à la demande », un outil intrusif est une faille. Tout comme est une faille le VPN « secret » installé par une société de maintenance qui ne souhaite pas s'enquiquiner avec des procédures complexes. Ce que l'on ne peut accepter d'une SSCI un peu indélicate sur le respect des règles de sécurité, peut-on l'admettre de la part d'un gouvernement ?

par Jeremy Amiot - source Reseaux-Telecoms

Et le premier virus.... n'est plus un virus

Par NooD :: 08/03/2008 à 10:21 :: Général
C'est ce qu'il ressort des dernières statistiques mensuelles de Kaspersky Lab. Pour la première fois dans l'histoire des statistiques dressées par cet éditeur, le malware le plus diffusé et le plus présent est un spyware, connu depuis fort longtemps d'ailleurs, puisqu'il s'agit de Virtumonde. C'est d'ailleurs encore un spyware qui décroche la quatrième place, encadrant dans un mouchoir de poche celui qui domina longtemps les champs de course infectieux, Bagle-le-ver (à ne pas confondre avec Bagle le Dropper), lui-même menant d'une courte encolure devant un Dialer très à l'aise sur le terrain lourd des surfacturations téléphoniques. La différence subtile entre un virus -autoreproductible,auto-propagateur- et un spyware, généralement injecté via un site infecté ou déposé à l'aide d'un « dropper », est une discussion totalement byzantine dictée par des considérations marketing. Il serait peut-être temps que hors du champ sémantique des experts et des chasseurs de codes dangereux, l'on cherche à ne plus dissocier ces multiples formes d'agression pour ne plus employer qu'un seul vocable -pourquoi pas Virus, après tout- et un seul outil générique. Le reste n'est qu'affaire de cuisine technique.

par Marc Olanié (securite.reseaux-telecoms.net)

XSS pour les nuls, inutilités indispensables

Par NooD :: 18/02/2008 à 5:50 :: Général
Cedric Pernet, sur le blog du Cert Lexi, se plie au jeu difficile qui consiste à expliquer en termes très simple ce qu'est une attaque en Cross Site Scripting (XSS). Il prend comme prétexte un amusant fait-divers, la découverte d'une vulnérabilité de ce type sur un site d'information... spécialisé dans le domaine des attaques en cross site scripting. Comme à l'accoutumé, le papier de Cedric Pernet est simplissime, clair, humoristique et vivant. Hélas rédigé en anglais.


Autre « information utile », ce coup de chapeau que les gens de l'Avert Lab McAfee adressent à un programme -fonctionnant sous Windows- qui vient de « passer Open Source »: FAR. Il s'agit d'un environnement spécialisé dans la gestion et la manipulation de fichier (on appelait çà un « shell dos » autrefois, bien que la notion de « shell » en soit un peu éloignée). Far est l'un des nombreux clones du célèbre Norton Commander, conçu par John Socha, et possède de célèbres cousins, dont Midnight Commander, Total Commander ou Krusader.

Encore un utilitaire d'importance : la version 5.0 stable et finale de TrueCrypt, outil de chiffrement de disque dur sous Windows -Vista et UDF y compris-, Mac OS X et Linux. Il s'agit d'un programme Open Source, qui protège l'intégralité d'un disque, zones de swap et de démarrage y comprises. Tout çà gratuitement. Les versions précédentes 4.x ont été utilisées depuis plus d'un an par la rédaction de CSO sans la moindre incompatibilité.

Par Marc Olanié

Faille XP SP2, PoC épique et french touch

Par NooD :: 11/02/2008 à 8:38 :: Général
Il n'y a rien, strictement rien à ajouter à cette exploitation de la faille MS 08-001 par l'équipe d'Immunity. L'inventeur est un français, ce qui facilite grandement la lecture de l'analyse, le petit « film » flash déroulant les opérations sous Canvas assez explicite pour que le plus innocent des primo-informatisé comprenne les risques encourus. Enfin, pour les rares personnes restantes qui auraient eu quelques difficultés à saisir l'importance de l'affaire -et la nécessité de déploiement du correctif considéré-, il est toujours possible de se reporter aux commentaires de Sid : l'exploit « passe » le firewall et peut atteindre tout le segment de réseau visé.

Sans vouloir jouer les cassandres, rappelons simplement que l'alerte Microsoft est estampillée 08-01, autrement dit celle du « patch Tuesday » du mois de janvier, vieille de deux ou trois semaines. Que cette période est située « dans la fenêtre de vulnérabilité » maximale. Donc, après avoir éliminé le parc de machines utilisant la procédure d'application automatique de correctifs, l'on peut considérer que bien des systèmes sont encore vulnérables : ceux dont la mise à jour n'est pas possible de manière automatique (Windows update désactivé ou Microsoft Update « gelé ») et ceux pour lesquels l'application de la rustine est retardée (conformément au calendrier d'analyse de régression de certaines entreprises).

Source : securite.reseaux-telecoms.net -par Marc Olanié

Firefox, les pieds chromés

Par NooD :: 08/02/2008 à 8:38 :: Général
Le navigateur de la Fondation est frappé d'un bug techniquement critique, mais d'une dangerosité effective peu importante. Ce problème, découvert par Gerry Heisenhaur, autorise le chargement de n'importe quel javascript sur la machine distante... à condition que le navigateur visé soit équipé d'une extension qui ne stocke pas ses propres fichiers au format jar. C'est le cas notamment de GreaseMonkey ou de la barre de statut de téléchargement. L'auteur propose un PoC qui nécessite, pour être fonctionnel, la présence de cette fameuse download bar. Les « tripes » du PoC sont directement offertes par Carl Hardwick dans le fil de discussion du Full Disclosure. L'activation de l'option « noscript » est vivement conseillée en attentant le développement d'un correctif.

Source : securite.reseaux-telecoms.net -par Marc Olanié

Vista, la comptabilité des trous

Par NooD :: 05/02/2008 à 8:37 :: Général
Une fois de plus, Microsoft s'adonne à l'inventaire comparatif des trous de sécurité rencontrés, un an durant, entre Vista et XP, Red Hat, Ubuntu et OS/X. Sur l'air de «A day in the life », Jeff Jones nous chante

Four thousand holes in Blackburn, Lancashire
And though the holes are rather small
They had to count them all

Car compter les trous, comparer les failles, estimer ce qui relève de l'inventaire des erreurs de conception propres au noyau ou au navigateur Windows est une coutume chez Microsoft. Une coutume et un travail intéressant tant que l'on se concentre sur l'analyse et la constatation des chiffres, pour notamment en tirer des conclusions sur les erreurs les plus fréquemment commises ou les zones considérées comme régulièrement vulnérables. Utiliser cette sinistre comptabilité pour en tirer des conclusions hasardeuses sur la plus grande solidité de tel ou tel noyau relève de l'interprétation fantaisiste. Dans la catégorie des comptabilités utiles aux SSI, l'on pourrait demander à Jeff Jones une étude comparative sur la compatibilité des périphériques et programmes sur les noyaux 64 bits par exemple.

Source : securite.reseaux-telecoms.net -par Marc Olanié

Qui souhaite embaucher le plus grand hacker de France ?

Par NooD :: 02/02/2008 à 8:36 :: Général
Jerome Kerviel, 31 ans, bonne présentation, bien sous tous rapports, à l'exception du tout dernier. Le rapport de police qui l'accuse d'avoir fait évaporer presque 7 milliards d'Euros. Nos confrères des Echos, de La Tribune, de l'Agefi, quotidiens dont le « bon ton » et le « terme mesuré » sont la fierté de leurs rédactions, extirpent de leurs dictionnaires des qualificatifs tonitruants dignes de Ponson du Terrail. La Vie Financière fait même entendre le vol des charognards attirés par les cris sourds d'un animal blessé : « Société Générale : Pourrait intéresser Barclays, UniCredit » . Pour une fois que l'on peut titrer comme un tabloïd...
La lettre du patron berné, en revanche, est nettement moins triomphante. Un volet destiné aux clients, l'autre s'adressant aux actionnaires, nous apprend que « Les failles des procédures de contrôles ont été identifiées et corrigées pour éviter tout nouveau risque de nature comparable ». Une action corrective qui intervient 48 heures après la découverte officielle de la fraude, voilà qui relève de l'exceptionnel. Surtout lorsque l'on apprend que « Les transactions sur lesquelles la fraude a porté étaient [...] dissimulées par des techniques extrêmement sophistiquées et variées ». Soit l'équipe de sécurité de la SG est le digne enfant du Cid et de Rambo réunis, soit ce communiqué à la Pyrrhus n'est qu'un exercice dialectique qui confirme le désarroi de l'équipe dirigeante.
Mais que va-t-on faire de Mr Kerviel, une fois purgée sa peine de prison ? Une question que soulève Bruno Kerouanton. Il y envisage les principaux scénarii qui concerneront l'avenir du Trader indélicat au sortir de prison : expert financier spécialisé dans la fraude aux marchés financiers auprès de deux employeurs potentiels, soit pour le compte d'une mafia européenne, soit pour celui de Bercy, de la Place Beauvau ou de son ancien employeur.
L'hypothèse Bercy est peu probable, puisqu'une telle embauche serait considérée politiquement comme un pas de clerc.
L'ancien employeur -la lettre de Monsieur Daniel Bouton semble clairement le confirmer-respectera jusqu'au bout l'école dogmatique des banques françaises : un Non catégorique à la question « would you hire a hacker ». Une attitude qu'il faudra très probablement assouplir car, à force de souhaiter étouffer les plus petites escroqueries et ignorer les pratiques de basse police dans le but de ne pas entamer la sacro-sainte « confiance », l'image de marque des institutions financières nationales a pris depuis quelques temps un sérieux coup de vieux. Ajoutons enfin qu'une entreprise de sécurité ou une institution financière ne peut, en France, croire un instant à l'idée même de rédemption. C'est probablement là tout ce qui fait la différence entre le système américain et l'école de la vieille Europe. Aux Etats Unis, l'on de pose effectivement la question de savoir s'il est « politiquement correct » d'engager un pirate repenti. Mais l'on accepte aux tables de conférences du CSI-FBI des Abagnales, des Mitnick, des Poulsen, et personne ne s'offusque de voir adulé comme le Messie un Steve Jobs dont la carrière repose sur la commercialisation quasi industrielle de boitiers de piratage de facturation téléphonique. La rédemption est-elle une notion purement calviniste ?
Restent donc la Place Beauvau ou un « cousin russe ». Qui, des deux, sera le premier à exploiter les talents du présumé coupable ? Et, question subsidiaire, peut-on espérer un jour lire le rapport d'analyse des commissions SSI qui sont très probablement en train de se mettre en place aujourd'hui ?

Source : securite.reseaux-telecoms.net - par Marc Olanié

Internet Explorer est plus sûr que Firefox !

Par NooD :: 27/01/2008 à 4:41 :: Général
 Bien évidemment cette assertion est imputable à un Microsoftien convaincu, qui avait déjà fait parler de lui lors de la publication d'un rapport démontrant la prédominance sur le plan sécuritaire de Vista par rapport aux autres OS. 

Jeff Jones, Directeur Stratégie Sécurité du groupe Trustworthy Computing chez Microsoft, a décidément un goût prononcé pour la polémique. En juin dernier, Jones publiait un rapport affirmant que Windows Vista était plus sécurisé que son prédécesseur XP et encore plus que Mac OS X et autres distributions Linux. La méthodologie de Jones n'avait cependant guère plu, d'aucuns prétextant que son champ d'étude couvrait une période peu significative de 6 mois. Peu importe, Jones jouait la provocation et sûr de son fait, mettait à l'épreuve quiconque de démontrer avec une même rigueur le contraire.

Oups, Jones did it again !

Dans le même esprit, Jones récidive avec une publication mettant en confrontation le navigateur Open Source de Mozilla, Firefox, et celui propriétaire de Microsoft, Internet Explorer, pour une conclusion similaire via l'appui de données collectées depuis trois ans.

Dans son nouveau rapport, Jones explique que Mozilla a corrigé 199 vulnérabilités de sécurité depuis le lancement de Firefox 1.0 en novembre 2004, parmi lesquelles 75 relatives à des problèmes critiques, 100 vulnérabilités à la dangerosité qualifiée de moyenne et enfin 24 de faible importance. Au cours de la même période, ce total a atteint 87 pour Internet Explorer dont 54 vulnérabilités critiques, 28 moyennes et 5 de faible importance.

Plus que ces simples données brutes, notre expert en sécurité informatique ne manque pas de souligner qu'actuellement les mises à jour de sécurité de Mozilla ne s'adressent plus exclusivement qu'à Firefox 2.0. Et pour cause, le support de la branche 1.5 a pris fin. Jeff Jones critique ainsi la politique de Mozilla en la matière avec un support d'une durée moyenne de 6 mois pour une ancienne version suite à la sortie de son successeur, et d'observer que si Microsoft avait agi de même, celui de IE6 aurait connu son terme en mai 2007.

Jones ne fait toutefois pas que distribuer des mauvais points à Mozilla et reconnaît que la sécurité s'est grandement améliorée dans les dernières versions d'Internet Explorer mais aussi de Firefox. Selon lui, l'arrivée de Window Snyder en tant que chef de la sécurité pour Mozilla Corp. y a fortement contribué. Il faut dire que Jones aurait du mal à critiquer Snyder, elle qui a participé à la finalisation du Service Pack 2 de Windows XP et Windows Server 2003 avant de " passer chez l'ennemi ". Se faisant, pour Jones, l'idée reçue selon laquelle Internet Explorer est affecté par plus de vulnérabilités que Firefox ne tient plus, et le fureteur au panda rouge n'est pas plus sûr que IE.

Il va s'en dire que la communauté Mozilla ne partage pas du tout cette analyse qualifiée de vide de sens. Mike Schroepfer, vice-président de Mozilla Corp., indique par exemple que bien plus qu'un décompte de bugs, ce qui est vraiment important est de savoir s'ils constituent un risque réel pour l'utilisateur. Par ailleurs, il n'omet pas de rappeler l'affaire rocambolesque de la faille dite de l'URI, pour laquelle un discrédit avait été jeté sur Firefox alors que le coupable était Internet Explorer 7, et il aura fallu trois mois à Microsoft pour l'admettre.

D'autres tenants de Firefox mettent en avant la transparence de Mozilla qui communique ouvertement sur les vulnérabilités identifiées contrairement à Microsoft. Forcément, cela a une influence sur le décompte final. Mais bien plus encore, la réactivité de la communauté a fait ses preuves avec en outre un système de mise à jour automatique réactif et efficace afin de permettre l'application rapide des correctifs conçus. Face à cela, Microsoft ne peut objecter qu'un cycle de correction éventuellement mensuel, pas toujours suivi par les utilisateurs.


Le rapport Browser Vulnerability Analysis of Internet Explorer and Firefox de Jeff Jones
http://blogs.technet.com/security/attac … 94822.ashx

Source : vulnerabilite.com

Ta carte bleue en string sur le Net

Par NooD :: 25/01/2008 à 4:41 :: Général
Ce papier de l'OSWAP de Londres est un petit bijou. Il explique comment surveiller le passage d'éventuels numéros de cartes de crédit dans le trafic IP. Article non pas à l'attention de lecteurs cherchant à concurrencer les phishers Chinois, mais à celle des responsables sécurité souhaitant précisément détecter l'activité desdits phishers et autre spywares spécialisés dans la collecte de numéros de comptes. C'est donc là de la détection de « string » au sens ascii du terme. Le luxe est poussé jusqu'à indiquer comment piéger le code de vérification annexe.

Si ces contre-mesures bancaires peuvent assoupir certains lecteurs, Netcraft nous propose un grand roman d'aventure, de riposte et de machiavélisme avec cet « outil de phishing pour phisher les phishers ». La mode étant aux outils de hack prêts à l'emploi, certains auteurs n'hésitent pas à insérer dans leurs « kits de malwares » -vendus fort chers au demeurant- une routine de redirection expédiant discrètement le résultat de la pêche miraculeuse dans une boite email leur appartenant. A l'insu de leurs clients, faut-il le préciser. Dans le pire des cas, ce seront les apprentis phishers qui se feront poursuivre pour pollupostage ou tentative de vol d'identité, tandis que, discrètement, l'auteur du kit gagnera sur les deux fronts.

Par Marc Olanié

Vulnérabilité de type spoofing dans Firefox

Par NooD :: 23/01/2008 à 4:40 :: Général
 Un chercheur en sécurité israélien a identifié dans la dernière mouture du navigateur Web de Mozilla, une vulnérabilité de type spoofing susceptible de mettre en péril les identifiants des utilisateurs. 

Le chercheur en sécurité Aviv Raff, découvreur de failles émérite qui avait révélé l'existence de la première vulnérabilité affectant le navigateur Safari d'Apple pour Windows quelques heures seulement après son lancement, fait encore parler de lui en ce début d'année. Selon Raff, c'est cette fois-ci le fureteur de Mozilla qui est victime d'une vulnérabilité de type spoofing. Via l'exploitation de cette dernière, un attaquant peut mener des attaques par phishing et leurrer un utilisateur afin qu'il saisisse ses identifiants dans une boîte de dialogue faussement légitime.

Lors d'une consultation, quand un serveur Web retourne un code 401 et l'en-tête WWW-Authenticate pour préciser le schéma d'authentification et la zone pour laquelle cette autorisation est nécessaire, Firefox affiche une boîte dialogue destinée à recueillir le nom d'utilisateur et le mot de passe. Avec la méthode dite " Basic ", seul le paramètre Realm de l'entête WWW-Authenticate qui sert à identifier le domaine de protection, est nécessaire et ce dernier sera affiché dans la boîte de dialogue. La vulnérabilité de Firefox se situe au niveau de ce paramètre Realm qui dans certains cas n'est pas correctement traité et toujours d'après Aviv Raff, cela pourrait permettre à un pirate d'afficher une boîte de dialogue malicieuse demandant la saisie d'identifiants en se revendiquant d'un site de confiance.

S'il na pas publié de preuve de concept, Aviv Raff a tout de même mis en ligne une vidéo de démonstration du problème. Dans le cadre d'un scénario typique d'attaque, un pirate crée une page Web avec un lien renvoyant vers un site de confiance comme un site bancaire, un webmail. Lorsque la victime clique sur le lien, la page sûre est ouverte dans une nouvelle fenêtre et un script est exécuté pour rediriger cette fenêtre vers le serveur Web de l'attaquant qui va retourner la boite de dialogue spécialement conçue évoquée précédemment, et apparemment liée au site pour l'utilisateur.

Cette vulnérabilité critique affecte la dernière version 2.0.0.11 de Firefox et probablement les versions antérieures. D'autres produits de la Fondation Mozilla sont également susceptibles d'être affectés. Pour éviter toute déconvenue et dans l'attente d'un correctif de sécurité, Aviv Raff recommande tout simplement de ne pas fournir son nom d'utilisateur et son mot de passe sur des sites où une telle boîte de dialogue apparaît.

Source : vulnerabilite.com

Comment espionner du GSM, par le CCC

Par NooD :: 21/01/2008 à 4:39 :: Général

Les conférences intéressantes, passionnantes même, il ne fallait pas les attendre dans les salons de Las Vegas, mais, cette année encore, autour des piquets de tentes et des sandwichs humides du CCC Camp. Et notamment cet exposé de Steve Schear et David Hulton qui, cela faisait déjà quelques semaines que l'affaire transpirait, se sont attaqués à l'espionnage du réseau GSM à partir d'un poste mobile. Un double problème, puisqu'il s'agit d'une part d'émuler totalement un système d'écoute compatible avec le type de modulation du réseau cellulaire, et d'autre part de s'attaquer au mécanisme de chiffrement A5 qui verrouille le contenu des informations transportées. Le hacking du A5 est un projet qui, pour sa part, devrait mettre en oeuvre un « broyeur » de code comptant 27 fpga spécialisés et des Rainbow Tables utilisant une table de plus de 6 To. Dans un premier temps, les deux chercheurs ont utilisé un Nokia 3110 en mode Trace, histoire de s'attaquer au décodage des trames (vidéos et transparents disponibles dans les archives média de la DefCon )

Coté réception , le projet repose sur la platine bien connue de Matt Ettus, l'USRP, une tête de réception minimaliste (downconverter DBSRX) injectant directement le fruit de sa conversion sur un FPGA rapide. C'est ce FPGA qui devra se charger de tout le travail de démodulation et de filtrage, par simple application de fonctions mathématiques. Le reste du travail « n'est que » la compilation de modules logiciels agissant précisément au niveau de cette sorte de « super carte son ». Les briques logicielles les plus connues sont celle fournies par la bibliothèque Gnu Radio, -l'on retrouve également quelques travaux de l'institut Fraunhofer-. Quant à l'intégration des deux composantes logicielles et matérielles dans le cadre de ce « hack GSM », on en trouve les détails sur le Wiki de THC (à consulter vite avant une descente de police). La platine d'Ettus et son downconverter utilisés dans le cas présent ont l'avantage de bénéficier d'une bande passante traitée de 1 à plus de 60 MHz, ce qui lui donne la possibilité de s'attaquer aux transmissions « spread spectrum », TV HD, réseaux sans fil divers, émetteurs à saut (ou agilité) de fréquence etc etc. Cette base matérielle accuse toutefois le poids des années, et l'on peut sérieusement regarder du coté des travaux de Phil Covington et du projet HPSDR qui devrait assurer la relève.


Un charabia qui simplifie l'espionnage radio


Les spécialistes nous pardonneront les imprécisions et le simplisme des explications qui suivent, mais elles sont nécessaires pour saisir l'importance des travaux mentionnés ci-avant.

Les transmissions radio reposent sur un principe très simple : pour transporter une information, il suffit de « mélanger » ladite information avec un signal (la porteuse) capable de voyager d'un point à un autre en vertu des principes radioélectriques. En d'autres termes, effectuer une sommation d'un signal basse fréquence (la voix par exemple, entre 20Hz et 20 kHz) et haute fréquence (à tout hasard, une dizaine de MHz). Se pose alors un problème : il est impossible, pour des raisons purement technologiques, d'extraire directement le signal de modulation -l'information à proprement parler- du « mélange » haute fréquence ainsi obtenu. A la réception, il est donc nécessaire de « convertir » ce produit de mélange haute fréquence en une fréquence plus basse, afin de pouvoir la travailler correctement : l'amplifier tout d'abord, puis la filtrer des parasites et signaux d'autre nature, puis la démoduler à l'aide d'un étage spécifique. Ce changement de fréquence s'opérait jusqu'à présent en deux, voir trois étapes successives (réceptions superhétérodyne), chaque type de modulation nécessitant la présence d'une électronique très particulière, dédiée et complexe : démodulateur de Foster Seeley dans le cas de la FM, détection par diode en AM, déphaseurs divers ou convertisseurs A/N dans le domaine des modulations « numériques »...

Depuis 5 ou 6 ans à peine, l'on a commencé à décaper ces habitudes vieilles de 100 ans. Grâce aux synthétiseurs de fréquence moderne, les notions de réception superhétérodyne sont remplacées par un unique changement de fréquence. C'est la « synthèse directe », qui restitue directement le signal modulé dans une plage de fréquence compatible avec les convertisseurs analogiques/numériques contemporains (une carte son moderne peut travailler sur des signaux de 192 kHz, et non plus le simple spectre audio « HiFi » de 20 à 20 000 Hz).

Il devient alors très tentant d'éliminer l'électronique complexe de « démodulation », pour la remplacer par un traitement mathématique du signal . Autrement dit, un ordinateur. Les Processeurs de signaux, les logiciels de filtrage du son, les CPU dédiées capables de calculer des Transformées de Fourrier Rapides, l'apparition des processeurs « Dual Core » débordant de puissance sont autant d'accessoires qui transforment le moindre PC de bureau en récepteur (et émetteur) capable de décoder n'importe quel type de modulation. Là où un ingénieur électronicien devait, des mois durant, travailler sur l'élaboration d'un prototype délicat, un bon développeur peut, en quelques heures, « entendre » ce qui est transmit. D'autant plus aisément d'ailleurs que les informations transmises de nos jours sont de plus en plus d'origine numérique, et donc directement digérées par les postes de travails modernes.

En vulgarisant à l'extrême, un récepteur radio de ce type -ce que l'on appelle une « software defined radio », ou SDR-, c'est un peu comme un « WinModem » : une électronique de réception très embryonnaire, tout juste destinée à rendre compatible un signal modulé avec les interfaces classiques d'un ordinateur. Tout le reste n'est que travail logiciel situé en aval de cette vulgaire interface.



Le danger se cache dans les détails


Le principe des SDR implique au moins deux idées capitales.
- En premier lieu, plus rien ne distingue le principe de fonctionnement du « récepteur ondes longues de grand père » et du dernier gadget genre iPhone : une unique tête de réception universelle -telle celle de Matt Ettus- et quelques programmes qui tournent en mémoire. Sur un même écran, l'on reçoit alors les derniers potins de RTL ou de Radio Free Europe, et l'on surveille le trafic WiFi du voisin et les SMS de la petite dernière.

- Ensuite, il parait évident -c'est déjà en grande partie le cas dans le domaine de la téléphonie mobile- que la souplesse des développements logiciels associés à la monté en puissance des processeurs embarqués est en train de nous apporter des appareils de plus en plus « universels ». Rien n'interdit d'imaginer de voir, à partir d'une même base électronique, des outils multi-protocoles : WiFi, Bluetooth, GSM, GPRS, GPS, FM, AM, Talky-Walky familiaux sur 430 MHz... non plus, comme c'est encore le cas de nos jours, par le biais de circuits intégrés dédiés, mais en utilisant des ajouts de firmware. Vous désirez France Info sur votre Nokia Quarante-douze ? Cochez la souscription ci-jointe, une applet va se télécharger.

On entend d'ici les quelques « virus C0d3rZ » se frotter les mains, et les vendeurs de sécurité périmétrique mobile se réserver la Suite Princière du Hilton de Hawaï. Le premier problème de sécurité lié à la « softisation » des terminaux sans fil, mobiles ou non, est avant tout une question d'intégrité du host, de son patrimoine logiciel.

On entend surtout les grands opérateurs se creuser les méninges pour tirer quelqu'argent de tout cela. Car un jour prochain, le plus petit appareil de téléphonie sera capable de détecter et d'exploiter le « premier réseau accessible », en fonction d'un routage en « least cost routing ». Une très timide tentative d'Orange permet à ses abonnés « mobiles » d'utiliser un wormhole VoIP/Wifi pour passer des communications « gratuites » via les LiveBox de sa branche Internet. Demain, ce pourrait-être Crétin.fr qui ouvrira le support des communications relayées par Bluetooth, ou qui sera capable de faire du « roaming » sur les réseaux Mesh d'un opérateur alternatif. Avec cette gratuité certaine des communications, il faudra s'attendre à un renchérissement du prix des « abonnements » et une multiplication des découpages de services à la carte. Les radios logicielles ont un prix, même si les applications relèvent en partie de l'Open Source.

Mais il y a plus préoccupant : les porosités de l'infrastructure.

Puisque le principe des SDR est symétrique (en d'autres termes, une simple électronique de « mélange » peut transformer un ordinateur portable en émetteur), il n'est pas interdit d'imaginer des réseaux de transmission auto-adaptés, multiprotocoles et multifréquences. Un bout de soft, et hop, on monte une radio libre. 2 compilations de libs Gnu, et voilà une station de télévision sur le même appareil. Qui a besoin d'un transpondeur WiMax ? Le programme est disponibles sur abonnement à l'adresse www. Sofmax. Com ! Nos services vous proposent également les standards GSM, Tetra (options police et pompiers). Pour trois « libs » achetées, la quatrième est gratuite durant notre grande période de promotion estivale !.

Science fiction ? Pas franchement. Pas du tout, même, explique Joseph Mitola, le « père » des réseaux de radios cognitives. Une « vision » qui notamment retient l'attention des militaires et des principaux OEM, lesquels dépensent des milliards d'Euros en recherche et développement pour être les premiers à maitriser ce mélange détonnant. Et l'on comprend tout à coup pourquoi cette présentation du CCCCamp revêt une importance particulière. Car le jour où des services commerciaux proposeront des passerelles entre un réseau et un autre, de WiFi à GSM, de 3G à Tetra, de Bluetooth à Wimax ou d'un quelconque ATM Wireless vers un supposé T1/E1 sans fil, il sera nécessaire d'assurer une sécurité absolu des transmissions, sans manquement ni ajout de « bruit de fond » lié à la traduction des protocoles . Une quête du Graal pratiquement impossible à assurer. Non pas parce qu'il sera possible d'écouter ce qui se dit sur les ondes grâce aux descendants des SDR à base de GnuRadio, mais plus simplement parce qu'il deviendra de plus en plus compliqué de maitriser la cohérence des translations successives, de vérifier les mécanismes de verrouillage interdisant l'exploitation de fonctions spéciales prévues pour un médium et absentes d'un autre. Le démon est dans les détails, dans la façon avec laquelle un ACK est transmis d'un réseau à l'autre, dans la manière de convertir une couche de chiffrement WPA en A5. Comment une instruction « non-conforme » (forgée) acceptée par tel protocole sera autorisée ou rejeté par la prochaine passerelle de traduction ? Et peut-on garantir l'intégrité des couches de sécurité lorsque l'on sait que l'information risque de transiter par 5, voir 6 médiums de nature différente ? Et, ce qui est plus préoccupant, lorsque l'on prend conscience que cette même information transitera également par 5 ou 6 opérateurs différents, dont la nationalité, les méthodes de travail, les intérêts financiers et politiques risquent d'entrer en totale opposition avec certains de leurs « confrères ».

Les premiers hackers qui se passionnaient pour les arcanes des passerelles smtp/X400 « haute époque » connaissent fort bien le principe des bugs provoqués par les ruptures de mécanismes de transmission. Lorsque l'on utilise tous les jours des « protocoles normés » soi-disant universels -html, xml, smtp, DNS- dont les multiples variantes, évolutions et « améliorations » constituent autant de failles bien réelles, il n'est pas difficile d'imaginer ce que sera ce monde d'hétérogénéité universelle débridée. Voilà pour la couche « niveau 3 à 7 ». Pour ce qui concerne les couches 1 à 2, autrement dit les conflits politico-techniques des entreprises chargées d'assurer le transport, la récente affaire Blackberry, que résume notamment Sportet, n'en est qu'un exemple parmi d'autres moins connus.

Ajoutons enfin, toujours en vertu du principe de symétrie des SDR, que l'attaquant -ou écouteur indiscret-, peut également émettre à son tour des informations et intoxiquer sa cible. Et contrairement au monde des réseaux cuivre, un host purement radio n'est caractérisé que par très peu de choses. Il peut se substituer à un émetteur officiel et légal, sans que le moindre doute puisse naître dans l'esprit de l'Administrateur de réseau (classique schéma de l'attaque « man in the middle »), il peut également injecter des trames étrangères semblant provenir d'un correspondant authentifié, et dénaturer la donnée originelle. Signalons tout de même que l'on commence à voir apparaître des programmes d'analyse de signature du spectre propre à un émetteur donné (analyse en « time domain ») qui s'avère un peu plus fiable (et totalement impossible à « spoofer » dans l'état actuel de la technique) qu'un couple MAC/IP.

La bonne nouvelle, c'est que l'on commence à parler de tout çà. Car Steve Schear et David Hulton ne sont que l'avant-garde d'une nouvelle génération de Hackers -au sens noble du terme- qui sauront associer avec intelligence électronique et développements. Ce travail de recherche est, paradoxalement, un bien. Car il est indiscutablement plus prudent de connaître autrement que par des « on dit » et des craintes infondées, les dangers d'un ensemble de technologies que nous serons tous amenés à utiliser tôt ou tard. Des technologies qui risquent de nous être présentées comme « absolument inviolables » par des marchands de bande passante associant, comme à leur habitude, profits à court terme et sécurité par l'obscurantisme.

Par Jeremy Amiot - source Reseaux-Telecoms

Le premier virus syllogistique est né

Par NooD :: 19/01/2008 à 4:39 :: Général
Network World nous apprend qu'il existe près de 37 000 points d'accès WiFi à New York City, 16 000 à Boston, 50 000 à Chicago. Et que parmi ceux-ci, un nombre non négligeable d'entre eux utilisent encore les crédences administratives « par défaut », sans oublier l'importante proportion de réseaux utilisant la très illusoire protection par clef Wep. Sachant que la densité constatée est d'un point d'accès tous les 45 mètres, soit une distance suffisante pour établir une liaison fiable, certains experts imaginent déjà la probabilité d'un « virus WiFi » capable d'utiliser une méthode de réplication par chemin des ondes.

Si le scénario catastrophe est utile et bénéfique, car contribuant à bannir le protocole Wep de toute installation, il mélange allègrement des choux et des navets. La densité du réseau n'implique pas que les noeuds adjacents soient systématiquement fragilisés par une crédence « par défaut » ou un algorithme de chiffrement antédiluvien. En outre, la mode des virii à propagation aveugle est une histoire ancienne. Idée d'autant plus ridicule que le principal avantage d'un réseau WiFi, c'est précisément de ne pas se propager, de cerner avec précision un ou plusieurs postes de travail facilement identifiables... un rêve de pirate une thébaïde pour spécialistes du détournement d'informations ciblées. Ajoutons enfin que les lois de la propagation, pour qui s'est intéressé aux règles de routage dans un milieu aussi capricieux que celui de la radio, rendent quasi nulles l'efficacité d'un tel code destructeur. Sans oublier la complexité du programme de propagation qui devra à lui seul contenir tout ce que doit faire un réseau « mesh » : découverte automatique des « proxy » radio, adaptation aux modes ad-hoc ou infrastructure, aux protocoles 11a, b, g, n etc, aux spoofing d'adresses mac... Il y a beaucoup plus à craindre des écoutes passives effectuées sur tout un spectre de fréquences et pointant un secteur géographique très précis. Le véritable danger du sans-fil est plus là que dans l'abracadabrante possibilité d'une infection complexe cherchant à faire du sans fil pour du sans fil.

Par Marc Olanié (RT)

Banque et très populaire à la fois

Par NooD :: 17/01/2008 à 4:42 :: Général
Tout à commencé, en ce vendredi fin de matiné, par des ralentissements notables d'accès à la page de garde, des « host unreachable », des ping en « time out » des traceroute perdus entre Colt et nulle part. Puis, très rapidement, aux environs de 12H30, le retour de requête http renvoyait un « 404 » systématique. Netcraft rétorque par un « Site name or availability problem for www.banquepopulaire.fr : We could not get any results for your selected site ». Examiné tant depuis les réseaux FT et Colt -les deux "tuyaux" principaux utilisés par cette banque-, les DNS du groupe (Colt/Oleane-FT)affichaient un expiration de 0 secondes. Tout laisse donc à penser que le site de la Banque Populaire est sous le coup d'une énorme attaque en déni de service, attaque probablement associée à un blitz en DNS spoofing. A 1H05, les temps de réponses redevenaient « normaux », puis, 6 minutes plus tard, le trafic était à nouveau saturé. La seule question qui demeure sans réponse est : à combien s'élève la demande de rançon.

Par Marc Olanié (RT)

Cracks sans-fil en images

Par NooD :: 17/01/2008 à 4:38 :: Général
A l'attention de tous ceux qui n'auraient pas eu l'occasion d'entendre ce remarquable exposé à l'occasion du CCC Camp, de la Toorcoon ou de la dernière DeepSec, les archives de la ClubHack 2007 offrent les transparents de l'exposé de David Hulton intitulé « Faster PwninG Assured: New Adventures with FPGAs ». Il serait vain de tenter de synthétiser en quelques lignes les 95 pages d'explications qui entourent cette démonstration. Tout au plus peut-on résumer cet impressionnant travail de la manière suivante : de Bluetooth au GSM protégé par un mécanisme de chiffrement A5, en passant par les communications WiFi sécurisées WPA, tout peut se « casser ». Ce n'est jamais là qu'une question de :
- réception de la fréquence considérée - c'est pour çà que les platines radios logicielles ont été inventées-
- d'alignement massif de processeurs dédiés
- le tout associé à des dictionnaires d'attaques oscillant entre 2 et 28 To...
Dans le cas présenté, les processeurs massivement parallèles sont constitués par une armée de FPGA. Les lecteurs qui seraient rebutés par les explications mathématiques peuvent se précipiter directement aux pages 91 et 92 du document, ou l'on voit la photographie d'un rack 19 pouces pouvant aligner 77 FPGA orchestrés par 2 Intel Quad Core, 8 Go de ram et 6 To de disque stockant les dictionnaires. Le tout équivaut à la puissance de traitement d'environ 400 000 CPU traditionnelles. Ce que peut imaginer s'offrir un petit groupe de chercheurs passionnés est à la porté des bourses d'un « groupement d'intérêt économique » motivé par un retour sur investissement conséquent. Un jour arrivera ou des opportunités du calibre de TJX seront de plus en plus difficiles à dénicher. Et tant que les gains espérés seront des milliers de fois plus importants que ce que coutera un tel investissement technique, il faudra s'attendre à ce que de telles « usines à gaz » soient utilisées comme moyen offensif. Ajoutons également que le prix des FPGA dégringole chaque jour.

Par Marc Olanié (RT)

Altern Securité - Blog créé avec ZeBlog