Étiquette : Logiciel

Wifi : une faille dans le protocole WPA2 compromet la confidentialité des réseaux sans fils

Mathy Vanhoef a découvert une faille sévère dans le protocole WPA2 (Wi-Fi Protected Access II). Cette faille permet à un attaquant de lire des informations qui étaient à priori chiffré de manière sûre. Selon la vidéo de démonstration mise en ligne par Mathy Vanhoef, une attaque ne nécessite que quelques secondes.

Cette faille affecte tous les dispositifs disposant d’une connexion Wifi, car elle se situe au niveau du protocole WPA2 et non pas au niveau d’une implémentation particulière de celui-ci.

Que faire ?

Il est inutile de changer la clé de votre point d’accès Wifi. Il ne faut surtout pas basculer sur le protocole WEP dont la sécurité a été mise à mal il y a bien longtemps.

Vous devez considérer votre réseau Wifi comme un réseau public où n’importe quel individu peut écouter les données des autres membres du réseau.

Les usages suivants peuvent être considérés comme sûr :

  • Connexion à des sites Internet ou locaux en utilisant HTTPS
  • Connexion à un autre dispositif du réseau en utilisant un tunnel VPN (réseau privé virtuel)
  • Connexion à un autre dispositif en utilisant SSH (Secure Shell)

Les usages suivants sont à éviter :

  • Partage de dossiers entre deux périphériques par le réseau
  • Connexion à des sites Internet ou locaux en utilisant le protocole HTTP

Que va-t-il se passer

Les détails permettant l’exploitation de cette faille seront rendus publique le 1er novembre lors d’une conférence à ce sujet qui se déroulera à Dallas.

D’ici cette date il faut espérer que la plupart des fabricants auront fourni des correctifs et que chacun aura le temp de les appliquer.

Pour certains dispositifs, plus supportés, il faudra se résoudre à désactiver le Wifi ou à les remplacer.

Source : US-CERT et https://www.krackattacks.com/

Bashware : les malwares Linux débarquent dans Windows 10

Si comme moi vous utilisez régulièrement des systèmes Windows et des systèmes Linux, l’annonce de l’introduction de WSL (Windows Subsystem for Linux) dans Windows 10 a dû vous intéresser.

En effet, WSL permet d’exécuter des applications Linux sous Windows sans avoir recours à une machine virtuelle. Cette fonctionnalité a été introduite en tant que Beta dans la version « Anniversary Update » de Windows 10 (aout 2016) et sera disponible en version finale dans la prochaine mise à jour « Fall Creators Update ».

Mais, le 11 septembre, Check Point Research a lancé une alerte à propos de WSL en présentant le concept de « Bashware ».

Bashware

L’idée de base de « Bashware », consiste à exécuter des malwares Linux en utilisant WSL ou encore d’exécuter des malwares Windows via l’interface WineHQ disponible avec WSL.

Une attaque « Bashware » se déroule en 4 étapes :

  1. Activation de WSL
  2. Activation du mode développeur
  3. Installation du système de fichier Linux
  4. Exécution du malware avec Wine

Il est possible d’exécuter ces 4 étapes sans éveiller les soupçons de l’utilisateur si celui-ci dispose de droits administrateurs.

Malheureusement la plupart des solutions de sécurité actuelles ne sont pas en mesure de détecter cette menace.

Check Point Research a mis en ligne une vidéo de démonstration de faisabilité  de cette attaque.

Le problème n’est pas à mettre au compte d’une mauvaise implémentation de WSL mais plutôt de l’absence de la prise en considération de cette nouvelle fonctionnalité par les fournisseurs de solutions de sécurité.

En effet, WSL utilise les « processus PICO » pour isoler et exécuter les processus ELF Linux et Microsoft fourni aux éditeurs de solutions de sécurité une API dédiée à la surveillance de l’activité de ces processus.

Mais il semble que la majorité des fournisseurs d’antivirus et d’outils d’inspection importants n’aient simplement pas pris en compte cette API pour l’instant.

Il ne nous reste plus qu’à espérer que cette lacune sera comblée avant le déploiement de la mise à jour « Fall Creators Update » prévue pour octobre 2017.

Source : Check Point Research

Des cybercriminels détournent les comptes d’extensions Chrome et exposent plusieurs millions d’utilisateurs aux risques d’une attaque

En juillet dernier une campagne d’hameçonnage (phishing) a ciblé les comtes de développeurs d’extensions Chrome dans le but de récolter leurs données d’identification. Le mail d’hameçonnage enjoignait les développeurs à se connecter afin de régler un problème de conformité de leurs applications avec la politique de Google.

Exemple de mail d’hameçonnage (phishing). Source : Proofpoint

Après avoir obtenu les données d’identification, les cybercriminels ont injecté un code malveillant dans le code légitime des extensions.

Une fois l’extension compromise installée, le code malveillant restait inactif durant 10 minutes afin d’éviter les systèmes de détections. Puis, celui-ci détournait le trafic de site légitime vers des sites proposant des pseudo solutions de réparation de PC.

Des extensions populaires telles que Web Developer, Chrometana, Infinity New Tab, CopyFish, Web Paint, Social Fixer, TouchVPN ou Betternet VPN ont été victime de cette attaque.

Source : Security Affairs