10 nov. 2008

Les lundis SSI : Le clickjacking


On connaissez le homejacking (le fait de commettre un vol dans une maison alors que ces occupants sont présents) ou le carjacking (qui consiste à prendre le volant d'une voiture en éjectant le conducteur lors d'un arrêt au feu rouge par exemple), en sécurité informatique, l'attaque qui fait fureur aujourd'hui c'est le clickjacking.

Il s'agit, là encore, de l'action d'un Hacker (pirate) qui va modifier le code HTML de votre ordinateur. Le code Html est le langage standard de communication permettant la programmation des pages destinées à être publiées sur le web et vous permettant de naviguer.

La modification de ce langage permet à un pirate de faire apparaitre un ou plusieurs calques sur la page que vous pensez utiliser. Ainsi en cliquant sur des liens vous réalisez vous même d'autres actions au profit du pirate. Vous agissez "à l'insu de votre de plein gré".

Ce que vous voyez :Ce qui se passe :

Cette attaque permet de faire fonctionner les différents périphériques de votre ordinateurs (webcam et microphone principalement). Mais il est tout a fait envisageable que l'objectif du clickjacking soit la validation d'une transaction bancaire, la redirection vers un site infecté par un virus, la reconnaissance d'une "nouvelle amitié" sur un réseau sociaux permettant ainsi l'accès à votre profil,....

Pour mieux comprendre rien de tel qu'une petite vidéo. Sur celle-ci, vous ferez à l'origine un jeu basique qui consiste à marquer des points en cliquant le plus vite possible sur le module "click". Mais cela va activer votre webcam et votre microphone sans même que vous en rendiez compte.


Cette attaque a été mise en évidence par Jeremiah Grossman et Robert Hansen en Septembre dernier. Elle utilise le lecteur Flash d'Adobe ainsi que l'ensemble des navigateurs internet donc difficile de vous dire que vous pouvez y échapper.
Adobe a même demandé aux deux white hackers de retarder la présentation de cette faille afin qu'il puisse proposer une solution.

En effet à l'heure actuelle, pas ou peu de solutions existent. Même si tous les navigateurs sont faillibles, les spécialistes s'accordent à conseiller Firefox et son extension No script.
De plus soyez vigilant en vérifiant régulièrement les paramètres de gestion de votre ordinateur.

Une parade devait être proposée par Adobe fin Octobre, pour le moment je n'ai rien vu en ce sens, et vous?

8 nov. 2008

La semaine de Parad-ie

Une vague impression de déjà vue règne sur la semaine de Parad-ie :

- Les anglais ont toujours des problèmes pour conserver les données personnelles

- Quand ce n'est pas la boite email de Sarah Palin, ce sont les ordinateurs d'Obama et Mac Cain qui sont attaqués.

- Edvige est morte, vive Edvirsp !

Aujourd'hui j'ai donc préféré vous parler de deux évènements insolites.

Le logiciel : copieur de clé

Le fonctionnement est simple, vous prenez une photo d'une clé ou de son trousseau avec un appareil photo numérique. les zooms des différents appareils permettent un éloignement de la cible assez conséquents et rendent ainsi l'auteur des photos "hors de visibilité".
La technique n'est pas nouvelles puisque les serruriers utilisaient ce système pour recopier des clés égarées grâce à une photo très précise.
Cette fois, quelque soit l'orientation de la photo et la qualité de la photo, l'intégration de cette dernière au logiciel permet d'obtenir une copie de la clé. Il en détermine la taille, la forme exact avec le nombre de creux.
Pour le moment le logiciel Sneakey (développé par une équipe de l'université de San Diego) ne peut reconnaitre qu'un type de clé, la plus couramment utilisée au Etats Unis, mais il est tout à fait envisageable que ce système se développe à toutes les clés.
L'information originale évoquée sérieusement par spyworld, a fait le tour des blogs américains spécialisés. Le logiciel présenté lors d'une conférence sur la sécurité, qui a eu lieu aux Etats Unis, fait pour autant douter certains blogueurs.
S'il me semble difficile de faire la preuve de la réalité d'un tel logiciel, il paraît que mieux vaut prévenir que guérir et donc garder votre trousseau de clés dans votre poche ou votre sac à main.....

Les téléphones portables et la sécurité des données

L'autre information insolite que je voulais vous donner aujourd'hui est assez pour le moins "alarmante". En effet, régulièrement on évoque la dangerosité du bluetooth, du wifi, ou encore du blackberry pour la sécurité des données personnelles.
Dominique Goutte (Directeur du département chimie, physique nucléaire) au ministère de la recherche a fait une nouvelle expérience den matière de malveillance. Alors qu'il voyageait dans un train, et qu'il utilisait son téléphone portable, il a critiqué sa supérieure hiérarchique. Jusque là rien de dramatique me direz vous, ça nous arrive tous les jours de critiquer ou de l'être. Sauf que sa supérieure s'appelle Valérie Pécresse, et qu'il était assis tout près de Dominique Bussereau, également membre du gouvernement.
Cette perte de "données stratégiques et hautement sensibles" a entrainé son licenciement!!! Quand on vous dit que le silence vaut de l'or!!!!

Bonne semaine

3 nov. 2008

Les lundi SSI : le cheval de Troie

Définition

Le cheval de Troie ou Trojan est un logiciel malveillant qui tient son nom de la célèbre histoire mythologique.
Il ne se télécharge pas lui-même et contrairement au virus, ne se duplique pas non plus de façon autonome. Il est caché dans un autre logiciel que les utilisateurs eux-mêmes exécutent. il permet ainsi aux pirates de s'introduire sur la machine par le biais d'une porte dérobée (backdoor). Le pirate à ainsi accès à toutes les fonctionnalités de votre ordinateur à distance.
Le logiciel utilise des portes dérobées existantes ou en créent de nouvelles.

Motivations :

Pourquoi créer des portes dérobés, si elles peuvent être détournées par les pirates?? Ces portes sont en fait utilisées par les administrateurs réseaux afin de réaliser plus facilement les opérations de maintenance à distance.
De plus cela permet à un vendeur de logiciel, de le désactiver de votre machine sans intervenir sur site en cas de désaccord avec un client tel que le non paiement.

Pour le pirate, ces portes servent à surveiller l'utilisateur. Il peut ainsi copier ou détruire certaines données telles que les mots de passe, clés de déchiffrement, mais également les coordonnées bancaires. Utilisé contre les entreprises, le cheval de Troie est un bon moyen pour la compromission, l'espionnage industriel, ou la remise en cause de la politique de sécurité d'une entreprise.
Le pirate qui a réussi à installer un trojan sur votre PC peut également modifier votre système d'exploitation et le rendre.... inexploitable!
Il peut prendre le contrôle de la machine et l'utiliser pour réaliser des envois de spams, de virus informatiques en utilisant votre adresse IP.
De plus en plus les entreprises et les particuliers sont confrontés au chantage lié au téléchargement d'un trojan. En effet, ce dernier permet le contrôle de toutes les données y compris sensibles d'un ordinateur et donc tout cela a un prix....

Solutions :

le cheval de Troie est difficile à détecter car il s'agit d'un téléchargement lié à une action voulue par l'utilisateur et le plus souvent il porte le nom ".exe" (Nom des fichiers téléchargeables). Il est donc rarement mis en quarantaine par votre anti-virus.
Ce sont les actions qu'il réalisent frauduleusement que vous pourrez reconnaître :
- récupération de mots de passe
- Envoi de boite de dialogue
- Téléchargement, envoi, suppression, création de fichiers
- Ouverture / Fermeture des fenêtres actives.
- Augmentation ou diminution autonome du volume sonore
- Démarrage non souhaité d'application
- Affichage d'images
- Impression
- Capture d'écran
- Extinction /redémarrage /déconnexion du réseau de l'ordinateur
- Blocage du clavier
- Inversion des boutons de la souris.

Pour éviter d'arriver à cette infection, télécharger un bon firewall, qui va filtrer les communications entrantes et sortantes de votre machine comme par exemple :
Ensuite ne télécharger jamais un logiciel si vous n'avez pas vous-même demandé cette action.
Pour finir, si vous avez un doute sur l'existence d'un trojan sur votre PC, n'hésiter pas à réaliser un scan. Encore faut-il bien choisir le logiciel utilisé et ne pas tomber sur un cheval de Troie? Essayer The cleaner par exemple (Il est régulièrement recommandé).

1 nov. 2008

La semaine de Parad'IE

La lutte contre la cybercriminalité a beaucoup fait parler d'elle durant ces quinze jours.

l'Union Européenne vient de décider la mise en place d'une plateforme européenne de lutte contre la cybercriminalité. Elle sera hébergée par Europol et la commission européenne lui a alloué un budget pour débuter.
L'ensemble des infractions signalées dans les pays membres aboutiront sur ce terminal et seront ainsi facilement recoupées avec les informations déjà détenues par Europol.

Parallèlement, La France a lancé le plan numérique 2012. Différentes mesures ont été évoquées, notamment en faveur de la protection des données personnelles et de la mise en œuvre d'un service pour la prise en compte des escroqueries sur Internet. Une augmentation des effectifs spécialisés dans ce secteur et un renforcement des peines pour les différents délits sur le net sont prévus.
Il faut noter qu'à l'heure actuelle, le phishing n'est pas condamné, et l'usurpation d'identité rarement reconnue. Les tribunaux sanctionnent plus facilement les conséquences de l'usurpation d'identité. Ainsi les délits commis sur internet sur la base d'une fausse identité sont plus souvent qualifiés par les tribunaux "d'accès frauduleux au système de traitement automatisé des données, de diffamation ou d'escroquerie".

Alors que le Président de la République présentait ces mesures et souhaite faire aboutir les réformes en matière de cybercriminalité, il est victime de ces attaques.
En effet, la semaine dernière, le JDD nous apprenait que les comptes du Président avaient été piratés.
Il y a quelques mois, je vous rapportais la rumeur sur l'absence de sécurité du téléphone portable du Chef de l'État, et bien cette fois ce sont ses comptes bancaires qui ont été exposés. Si le journal explique que les pirates n'avaient pas ciblé particulièrement les comptes du Président, il faut avouer qu'ils sont bien mal tombés....
Les choses ont d'ailleurs évolué rapidement. En effet, même si la piste du piratage sans ciblage préalable n'a pas été abandonnée, la police reconnait l'existence de fait troublant? En effet, M. Sarkozy sénior et sa première femme ont subit la même attaque sur leurs comptes personnels. De plus, les comptes du Chef de l'État aurait été visités par plus de 150 salariés de la banque (La société générale en l'occurrence). Ça fait effectivement beaucoup de coïncidences!!!!!

Nicolas Sarkozy n'est évidemment pas la seule victime de ce type d'attaque.
Cela est d'autant plus vrais en France que nous avons une culture de la protection peu développée, et ce, même si ce sont les pays anglophones les plus victimes de vols d'identité sur le net (2X que les pays européens non anglophones).
L'étude Ipsos, réalisée pour le compte de Paypal, et publiée par ZDnet, démontre que les français manquent de vigilance quant à l'utilisation de leur mot de passe. En effet, 60% affirment le conserver plus d'un an.
En même temps, pas facile de gérer tous ces codes : Carte bleu, code Pin, interphone, mot de passe utilisateur, compte mail, comptes bancaires en ligne, sites commerciaux, réseaux sociaux, ..... et j'en oublie.
Il va donc falloir que nous fassions un double effort : IMAGINATION et MEMOIRE car il est bien évident qu'il ne faut pas mettre toujours le même et le conserver sur un support écrit.

Si les anglais semblent plus vigilants que nous en matière de mots de passe, ils font régulièrement la une de la presse pour la perte de données sensibles. Cette fois, il s'agit d'un routeur du district métropolitain de Kirkless, dans le Yorshire, qui a été racheté par une société de sécurité, Random Storm : le hasard fait bien les choses parfois....
En effet, une fois connecté à Internet, le routeur s'est reconnecté à son ancien réseau et a permis à la société d'accéder à l'intranet du District. Il faut donc rester toujours vigilant. Nos ordinateurs conservent leurs données comme tous les matériels électroniques qui lui seront reliés : routeur, box, clé USB, imprimante, scanner.... Le simple formatage ne suffit pas à effacer toutes les données mais il a le mérite de ralentir l'action des pirates.

Ah ces anglais, heureusement qu'ils ont un super espion. David Craig vient juste de débarquer sur nos écrans avec Quantum of Solace que déjà l'espion de sa majesté semble dépassé par les réalités de son métier. Plus besoin de payer de sa personne, il faut juste être un bon dresseur de.... pigeons. En effet, en Iran, deux pigeons espions ont été interceptés près d'une usine d'enrichissement d'uranium. Les deux volatiles étaient équipés d'anneaux métalliques reliés à des fils. Et si le prochain James Bond avait pour gadget principal un animal de compagnie!

Et pour finir cette semaine, si les anglais ont 007, nous avons désormais le 33700. Plus long à retenir et également moins sexy, le 33700 est le numéro qui permettra désormais à tout destinataire de SMS indésirables (spam) d'en avertir son opérateur téléphonique, à charge pour lui de prendre les mesures qui s'imposent.