Catégorie : Actualité

Une faille facilement exploitable à distance affecte les contrôleurs WIFI Marvell Avastar

Faille WIFI

Plusieurs failles dans l’implémentation du firmware des contrôleurs WIFI Marvell Avastar ont été récemment découvertes par Denis Selianin. Ces contrôleurs équipent notamment les Microsoft Surface et les Samsung Chromebook.

La faille la plus intéressante permet une attaque à distance sans action de l’utilisateur grâce à l’énumération périodique des réseaux à proximité du contrôleur WIFI.

Une vidéo de démonstration et tous les détails techniques sont disponibles sur le site d‘EMBEDI. Les correctifs sont en cours d’implémentation.

Source : EMBEDI

Wifi : une faille dans le protocole WPA2 compromet la confidentialité des réseaux sans fils

Mathy Vanhoef a découvert une faille sévère dans le protocole WPA2 (Wi-Fi Protected Access II). Cette faille permet à un attaquant de lire des informations qui étaient à priori chiffré de manière sûre. Selon la vidéo de démonstration mise en ligne par Mathy Vanhoef, une attaque ne nécessite que quelques secondes.

Cette faille affecte tous les dispositifs disposant d’une connexion Wifi, car elle se situe au niveau du protocole WPA2 et non pas au niveau d’une implémentation particulière de celui-ci.

Que faire ?

Il est inutile de changer la clé de votre point d’accès Wifi. Il ne faut surtout pas basculer sur le protocole WEP dont la sécurité a été mise à mal il y a bien longtemps.

Vous devez considérer votre réseau Wifi comme un réseau public où n’importe quel individu peut écouter les données des autres membres du réseau.

Les usages suivants peuvent être considérés comme sûr :

  • Connexion à des sites Internet ou locaux en utilisant HTTPS
  • Connexion à un autre dispositif du réseau en utilisant un tunnel VPN (réseau privé virtuel)
  • Connexion à un autre dispositif en utilisant SSH (Secure Shell)

Les usages suivants sont à éviter :

  • Partage de dossiers entre deux périphériques par le réseau
  • Connexion à des sites Internet ou locaux en utilisant le protocole HTTP

Que va-t-il se passer

Les détails permettant l’exploitation de cette faille seront rendus publique le 1er novembre lors d’une conférence à ce sujet qui se déroulera à Dallas.

D’ici cette date il faut espérer que la plupart des fabricants auront fourni des correctifs et que chacun aura le temp de les appliquer.

Pour certains dispositifs, plus supportés, il faudra se résoudre à désactiver le Wifi ou à les remplacer.

Source : US-CERT et https://www.krackattacks.com/

Le deuxième module de la formation en ligne de la SecNum académie est disponible

L’agence nationale de la sécurité des systèmes d’information (ANSSI) a mis en ligne le site secnumacademie.gouv.fr ce printemps. Ce site offre une formation en ligne gratuite à la sécurité du numérique.

La formation est composée de 4 modules :

  1. Panorama de SSI
  2. Sécurité de l’authentification
  3. Sécurité de l’internet
  4. Sécurité du poste de travail et nomadisme

Le second module de cette formation, « Sécurité de l’authentification », vient d’être mis en ligne.

Il est composé de 5 unités :

  1. Principes de l’authentification
  2. Attaques sur les mots de passe
  3. Sécuriser ses mots de passe
  4. Gérer ses mots de passe
  5. Notions de cryptographie

Ce module a une orientation très pratique.

Il contient également un volet technique à propos de la cryptographie. Cette partie est tout à fait accessible pour tous les utilisateurs de PC, tablette ou smartphone. Seul les notions indispensables à une utilisation correcte des services informatiques standards sont abordées.

Le seul point qui mériterait probablement un sous chapitre supplémentaire, concerne les facteurs d’authentification de type matériel, comme les cartes à puce, les clés USB ou les générateurs de mot de passe à usage unique.

Un module à mettre dans absolument toutes les mains ayant accès à un clavier.

Bashware : les malwares Linux débarquent dans Windows 10

Si comme moi vous utilisez régulièrement des systèmes Windows et des systèmes Linux, l’annonce de l’introduction de WSL (Windows Subsystem for Linux) dans Windows 10 a dû vous intéresser.

En effet, WSL permet d’exécuter des applications Linux sous Windows sans avoir recours à une machine virtuelle. Cette fonctionnalité a été introduite en tant que Beta dans la version « Anniversary Update » de Windows 10 (aout 2016) et sera disponible en version finale dans la prochaine mise à jour « Fall Creators Update ».

Mais, le 11 septembre, Check Point Research a lancé une alerte à propos de WSL en présentant le concept de « Bashware ».

Bashware

L’idée de base de « Bashware », consiste à exécuter des malwares Linux en utilisant WSL ou encore d’exécuter des malwares Windows via l’interface WineHQ disponible avec WSL.

Une attaque « Bashware » se déroule en 4 étapes :

  1. Activation de WSL
  2. Activation du mode développeur
  3. Installation du système de fichier Linux
  4. Exécution du malware avec Wine

Il est possible d’exécuter ces 4 étapes sans éveiller les soupçons de l’utilisateur si celui-ci dispose de droits administrateurs.

Malheureusement la plupart des solutions de sécurité actuelles ne sont pas en mesure de détecter cette menace.

Check Point Research a mis en ligne une vidéo de démonstration de faisabilité  de cette attaque.

Le problème n’est pas à mettre au compte d’une mauvaise implémentation de WSL mais plutôt de l’absence de la prise en considération de cette nouvelle fonctionnalité par les fournisseurs de solutions de sécurité.

En effet, WSL utilise les « processus PICO » pour isoler et exécuter les processus ELF Linux et Microsoft fourni aux éditeurs de solutions de sécurité une API dédiée à la surveillance de l’activité de ces processus.

Mais il semble que la majorité des fournisseurs d’antivirus et d’outils d’inspection importants n’aient simplement pas pris en compte cette API pour l’instant.

Il ne nous reste plus qu’à espérer que cette lacune sera comblée avant le déploiement de la mise à jour « Fall Creators Update » prévue pour octobre 2017.

Source : Check Point Research

MELANI annonce avoir reçu 21’000 données d’accès à des services en ligne volées … et alors ?

Le 29 aout 2017, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI a annoncé avoir reçu environ 21’000 combinaisons de noms d’utilisateur et mots de passe ayant été probablement volées. Cette annonce a été largement reprise par la presse suisse.

Ces données ont été transmise à la centrale par une source confidentielle et MELANI n’a pas d’information sur la provenance de ces données.

MELANI a publié un outils ( https://www.checktool.ch) permettant de vérifier si son nom d’utilisateur ou son adresse e-mail sont concernés par cette fuite de données.

Cette dépêche de MELANI soulève plus de questions qu’elle n’apporte de réponses.

Pourquoi mettre en place un outil spécifique pour 21’000 comptes ?

Certes, 21’000 cela peut sembler beaucoup, mais comparé aux 359’420’698 comptes myspace ou aux 164’611’595 comptes LinkedIn (source : have i been pwned) ce chiffre est tout de suite moins impressionnant.

Ces 21’000 comptes appartiennent-ils principalement à des citoyens suisses ? Les comptes ayant utilisé une adresse e-mail comme nom d’utilisateur sont-ils majoritairement des e-mails provenant d’entreprises suisses ?

Le ou les services liés à ces comptes sont-ils des services d’entreprises suisses ? Une enquête est-elle en cours pour déterminer la liste de ces services en utilisant par exemple les adresses e-mail afin de contacter les utilisateurs ?

N’aurait-il pas été plus judicieux de transmettre ces informations (en oubliant pas de hacher les mots de passe) à un service spécialisé comme have i been pwned.

Bref, beaucoup de questions mais peu de réponses. Il ne vous reste plus qu’à passer un par un tous vos noms d’utilisateur et toutes vos adresse e-mail dans l’outil mis à disposition par MELANI.

Des cybercriminels détournent les comptes d’extensions Chrome et exposent plusieurs millions d’utilisateurs aux risques d’une attaque

En juillet dernier une campagne d’hameçonnage (phishing) a ciblé les comtes de développeurs d’extensions Chrome dans le but de récolter leurs données d’identification. Le mail d’hameçonnage enjoignait les développeurs à se connecter afin de régler un problème de conformité de leurs applications avec la politique de Google.

Exemple de mail d’hameçonnage (phishing). Source : Proofpoint

Après avoir obtenu les données d’identification, les cybercriminels ont injecté un code malveillant dans le code légitime des extensions.

Une fois l’extension compromise installée, le code malveillant restait inactif durant 10 minutes afin d’éviter les systèmes de détections. Puis, celui-ci détournait le trafic de site légitime vers des sites proposant des pseudo solutions de réparation de PC.

Des extensions populaires telles que Web Developer, Chrometana, Infinity New Tab, CopyFish, Web Paint, Social Fixer, TouchVPN ou Betternet VPN ont été victime de cette attaque.

Source : Security Affairs

Debian SID abandonne TLS 1.0 et TLS 1.1

La version instable de la distribution Debian (SID) ne supporte plus TLS 1.0 et TLS 1.1 avec OpenSSL. Seul le protocole TLS 1.2 est conservé.
Selon Kurt Roeckx environ 90% des serveurs supportent déjà TLS 1.2 et il espère que d’ici la sortie de « Buster » (nom de code de la distribution Debian 10), ce pourcentage aura augmenté suffisamment pour ne pas avoir à réactiver TLS 1.0 et TLS 1.1.
Source : liste de diffusion Debian

Un défaut dans les installations solaires mettrait en danger le réseau électrique européen

Willem Westerhof, un chercheur en sécurité hollandais de l’entreprise ITsec, a découvert plusieurs vulnérabilités importantes dans les onduleurs équipant une part significative des installations solaires photovoltaïques européennes.

Ces failles permettraient de prendre le contrôle total de ces onduleurs. Les détails de ces 17 failles n’ont pas été rendu public. Willem Westerhof a cependant publié une analyse détaillée de ces vulnérabilités sous le nom du scénario Horus. Ce scénario décrit, entre autres, comment il serait possible de provoquer un « blackout », au niveau d’un pays voir même au niveau du continent européen, en utilisant les failles présentes dans ces onduleurs.

L’entreprise allemande SMA produisant ces onduleurs a été informée de l’existence de ces vulnérabilités en décembre 2016. Malheureusement après plus de six mois, ces failles n’ont toujours pas été corrigées. SMA a vendu lors du 1er trimestre 2017 pour 1,7 GW de puissance d’onduleur (SMA). C’est l’un des leadeurs sur le marché européen de l’onduleur.

Actuellement plus de 90 GW de panneaux solaires photovoltaïques sont installé en Europe.

Bonjour

Voici le moment de publier le premier article de ce blog. Pour une première je vais me contenter de vous expliquer le contexte m’ayant amené à la création de celui-ci.

Tout tient dans la phrase décrivant ce blog : « La sécurité c’est cher, c’est chiant et ça ne sert à rien … quand c’est mal fait ! ».

La première partie de la phrase, sert trop souvent d’excuse pour ne rien faire. De nombreux produits sont actuellement mis sur le marché alors que ceux-ci représentent un danger en matière de sécurité de l’information, pour leurs utilisateurs, mais aussi pour leurs concepteurs.

Pour ne pas traiter la problématique de la sécurité, on évoque souvent les coûts, la complexité engendrée et le fait qu’en dépit de toute la bonne volonté des spécialistes de la sécurité, des failles sont régulièrement découvertes.

Mais ces défauts sont en grande partie à mettre sur le compte d’un manque de savoir-faire et d’une approche biaisée de la sécurité de l’information.

Les coûts et la complexité sont souvent le résultat d’une « sécurisation » à postériori des produits.

Une prise en compte de la sécurité de l’information dès le début d’un projet permet de limiter ces problèmes tout en offrant de nombreux avantages tels que :

  • L’amélioration de la qualité générale du produit
  • La diminution des coûts de maintenance
  • La réduction des risques liés aux dégâts à l’image

Personne ne construirait sa maison en commençant par la cuisine, la salle de bain et la chambre à coucher, puis s’apercevant que la pluie ça mouille, la neige c’est froid et que les cambrioleurs ça cambriolent, recommencerait les travaux pour construire les murs extérieurs et le toit.

Par contre dans le domaine des systèmes d’information, nombreuses sont les réalisations où l’on implémente les fonctionnalités et les services, puis s’apercevant que le système ne répond pas aux exigences minimales de sécurité, on se résout à implémenter quelques mesures de sécurité.

Concernant le problème de découverte incessante de nouvelles failles de sécurité, il n’est à ce jour pas possible de garantir l’absence de faille dans un logiciel ou un système d’information. Mais, certains concepts comme la réduction de la surface d’attaque et la défense en profondeur permettent de limiter les risques lors de la découverte d’une faille.

Bref, la sécurité c’est cher, c’est chiant et ça ne sert à rien quand c’est mal fait !