Archives quotidiennes :

Cybersécurité, Twitter

Vague de piratage de comptes Twitter

Un commentaire

Piratage des Twitters de la FIFA, Justin Bieber, Angelina Joli, Guy Birenbaum, … mais comment font les pirates ? Explication ! Depuis quelques semaines, les comptes Twitter de nombreux média, stars ou journalistes se font pirater, un par un. Des attaques qui donnent l’impression aux témoins de la cybercriminalité que nous sommes depuis plus de 20 ans que les pirates ont un « sésame ouvre toi » en main. Ce fameux petit bouton pressoir qui permet de prendre la main sur un Twitter en deux clics de souris.

L’une des possibilités de ces attaques, des cross-sites scripting cachés dans Twitter ou dans des outils tiers comme TwittDeck. Comme le montre les captures écrans si dessous, Twitter recèle quelques XSS, des Cross-Sites Scripting, qui permettent de mettre la main sur le cookies de connexion (bilan, un pirate pourrait prendre la main sur la session en cours) ; afficher une page phishing via l’url officiel (Bilan, l’internaute pense être chez Twitter et se retrouve à fournir login et mot de passe au pirate). Il se peut, aussi, que les malveillants ont réussi à mettre la main sur les données de connexion en piégeant leurs cibles via d’autres outils (Cheval de Troie), page d’hameçonnage ou tout simplement usant de social engineering. Dernière méthode plus hasardeuse, mais qui a déjà prouvé son efficacité. Le mot de passe utilisé n’est-il pas inscrit dans le blog, le Facebook de la personne piratée ? (date de naissance, ville, métier, famille, …)

  

Pour se protéger d’une attaque utilisant une XSS :

1- Ne cliquer sur aucun lien extérieur. Préférez, toujours, taper l’url dans votre navigateur.

2- Après chaque utilisation de Twitter ou tout autre outil, effacez vos cookies. Pour cela, un outil gratuit comme Ccleaner vous sera un précieux allier.

3- Vérifiez toujours que l’url indiqué dans votre barre de recherche est bien https://www.twitter.com

4- Utilisez des applications tiers pour vérifier l’origine du serveur que vous allez utiliser. Netcraft vous prouvera, par exemple, que vous êtes bien sur Twitter (voir notre capture écran) ; Sous FireFox, l’addon NoScript vous indiquera aussi l’utilisation d’une XSS au moment de votre promenade numérique.

5- Un mot de passe fort (chiffres, lettres, ponctuation, …) permet de freiner les assauts d’un malveillant.

6- datasecueritybreach.fr vous conseille aussi d’utiliser un programme qui vous décortique les urls raccourcis. Le site urlex.org, par exemple, vous transforme une adresse http://is.gd/G41r6x, qui ne veut rien dire, en son véritable url, ici Intel.com. Cela permet de s’assurer que derrière le lien recueilli n’est pas un piège. Je vous conseille, cependant, de suivre ma règle n’1. Une extension pour Chrome permet, en passant sa souris sur un lien réduit, de découvrir l’adresse d’origine cachée derrière un tinyurl, bit.ly, is.gd …

Cette hygiène de vie numérique n’est pas infaillible, mais comme pour la grippe, se laver les mains est déjà une premiére protection. Il en va de même sur la toile.

Entreprise, Fuite de données, Leak, Sauvegarde, Sécurité

Piratage de la gestion du bâtiment de Google

Des experts en sécurité informatique de la société américaine Cylance viennent de remettre au goût du jour le piratage des systèmes de gestion des bâtiments. Eaux usées, climatisation, électricité, téléphone, … l’attaque de ce genre d’infrastructure se transforme très vite en un énorme problème pour l’entreprise attaquée. Imaginez, un pirate informatique souhaite mettre en « carafe », en panne, un serveur installé au sein d’une société qu’il décide d’attaquer. Faire déborder les égouts ou éteindre la climatisation pourrait être fatale pour la cible et ses données. Les chercheurs de Cylance ont expliqué que des centaines de sièges d’entreprises, d’administration et de secteurs sensibles comme les hôpitaux, banques basés en Australie sont ouverts à qui sait se faufiler. Parmi les cibles de cette grande chasse au trésor, l’immeuble qui loge Google Australie.

loi, Particuliers

Projet de loi consommation : les DRM expurgés de la future loi Hamon ?

Le projet de loi relatif à la consommation présenté le 2 mai 2013, veille de la Journée internationale contre les DRM, semble vouloir réduire à néant l’information du consommateur sur la présence de menottes numériques.

Le projet de loi relatif à la consommation a été présenté en Conseil des ministres par Benoît Hamon (ministre délégué à l’Économie sociale et solidaire et à la Consommation) le 2 mai 2013 puis déposé à l’Assemblée nationale. Ce projet de loi porte sur la mise en place de l’action de groupe [1] mais également sur la transposition de la directive européenne relative aux droits des consommateurs adoptée en 2011. Celle-ci avait timidement mis en place une information minimale du consommateur concernant les DRM (des menottes numériques, appelées trompeusement « mesures de protection technique » [2]). Ainsi, dans l’article 5 de la directive on peut lire :

    Article 5

    Obligations d’information concernant les contrats autres que les contrats à distance ou hors établissement

    1. Avant que le consommateur ne soit lié par un contrat autre qu’un contrat à distance ou hors établissement, ou par une offre du même     type, le professionnel fournit au consommateur les informations suivantes, d’une manière claire et compréhensible, pour autant     qu’elles ne ressortent pas du contexte :

    […]

    g) s’il y a lieu, les fonctionnalités du contenu numérique, y  compris les mesures de protection technique applicables ;

    h) s’il y a lieu, toute interopérabilité pertinente du contenu numérique avec certains matériels ou logiciels dont le professionnel  a ou devrait raisonnablement avoir connaissance. »

Le projet de loi de Benoît Hamon a réduit fortement cette information. Ainsi, dans l’article 4 du projet de loi on peut lire :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat de vente ou de fourniture de services, le professionnel     communique, de manière lisible et compréhensible, au consommateur     les informations suivantes :

    […]

    4° Les informations relatives à son identité et ses activités, aux     garanties, aux fonctionnalités du contenu numérique et le cas     échéant à son interopérabilité, à l’existence et aux modalités de     mise en œuvre des garanties et aux autres conditions contractuelles,     dont la liste et le contenu sont fixés par décret en Conseil d’État. »

Cette information est donc très limitée, et le texte entretien le flou sur les informations transmises aux consommateurs. Pourtant, ceux-ci ont souvent besoin d’avoir des informations précises sur d’éventuels DRM, car de tels verrous empêchent bien souvent l’usage complet des produits.

« S’assurer que la présence de DRM soit explicitement mentionnée ainsi les restrictions qu’elles entrainent est une base minimale pour l’information des consommateurs. La protection réelle des droits des consommateurs passe par l’interdiction pure et simple de la pratique détestable de ces menottes numériques » a déclaré à datasecuritybreach.fr Frédéric Couchet, délégué général de l’April.

L’April demande donc que le texte soit amendé pour assurer le respect des droits des consommateurs.

Notons qu’une pré-version du projet reprenait les formulations de la directive :

    « Art. L. 111-1. – Avant que le consommateur ne soit lié par un     contrat, le professionnel est tenu de fournir d’une manière claire     et compréhensible au consommateur les informations suivantes :

    […]

    8° S’il y a lieu, les fonctionnalités du contenu numérique, y     compris les mesures de protection technique applicables ;

    9° S’il y a lieu, toute interopérabilité pertinente du contenu     numérique avec certains matériels ou logiciels dont le professionnel     a ou devrait raisonnablement avoir connaissance.

    Ces dispositions s’appliquent également aux contrats portant sur la     fourniture d’eau, de gaz ou d’électricité, lorsqu’ils ne sont pas     conditionnés dans un volume délimité ou en quantité déterminée,     ainsi que de chauffage urbain et de contenu numérique non fourni sur     un support matériel.»

Par ailleurs, le projet de loi remet aussi sur la table le blocage des sites internet.

Références

  * 1. L’action de groupe telle qu’elle est présentée actuellement ne correspond d’ailleurs pas à nos attentes, comme le montre la     réponse de l’April à la consultation publique lancée par le  gouvernement à l’automne 2012 .

  * 2. Pour plus d’information sur les DRM, voir la synthèse publiée par l’April à ce sujet.

Cyber-attaque, Virus

Beta Bot : un nouveau robot sur le marché

Le code malveillant pousse l’utilisateur à valider l’UAC pour infecter le système et désinstaller l’antivirus présent. Ce nouveau bot appelé « Beta Bot » est récemment entré sur le marché parallèle. Disponible pour moins de 500 €, Beta Bot est un robot relativement peu cher compte tenu de sa vaste liste de fonctionnalités. Même si la plupart de ces caractéristiques sont assez standards (attaque DDoS, accès à distance, captures de données et autres méthodes de vols d’informations) une capacité particulière a attiré l‘attention du G Data SecurityLabs : « Désactiver l’antivirus » annonce la publicité affichée sur les forums souterrains. Une annonce suivie d’une liste de près de 30 programmes de sécurité censés être désactivables par Beta Bot.

Quelle est la méthode utilisée ?

Lorsqu’il est installé sur un système, Beta Bot cherche une solution de sécurité qu’il connait. S’il la trouve, le robot commence ses attaques en arrêtant les processus, en désactivant des clés de registre ou en désactivant les mises à jour automatiques. Selon le type de produit de sécurité, Beta Bot tente de contourner les pare-feux en injectant certaines routines dans les programmes qui sont habituellement autorisés à passer le pare-feu, comme Internet Explorer.

Contrôle d’accès utilisateur (UAC) – contourner les permissions Sur les systèmes d’exploitation Windows modernes, les autorisations des utilisateurs sont réparties entre standard (faible niveau d‘autorisation) et administrateur (niveau d’autorisation élevé). Contrairement à un administrateur, un utilisateur standard ne peut pas modifier les parties critiques du système. La décision d’élever le niveau de permission d’un processus est proposée à l’utilisateur par une fenêtre de dialogue spécifique. Celui-ci doit alors valider ou non cette permission. Beta Bot utilise cette boite de dialogue pour gagner des droits élevés sur le système. Bien que beaucoup de codes malveillants se contentent de droits utilisateurs limités pour attaquer le système, Beta Bot doit escalader les privilèges utilisateurs pour s’attaquer aux logiciels de sécurité.  Pour réussir dans cette démarche, la validation de l’utilisateur est nécessaire. Deux astuces sont utilisées par Beta Bot pour convaincre l’utilisateur de valider cette élévation de droits.

Dès que le code malveillant est exécuté sur le système, il affiche une première fenêtre dans la langue du système (10 langues, dont le français, sont disponibles) signifiant un problème de disque dur. Ce faux message critique joue sur la peur de perdre des données et invite l’utilisateur à réparer les dossiers endommagés. L’utilisateur doit choisir l’une des deux options proposées (« Restaurer les fichiers » ou  « Restaurer les fichiers et réaliser une vérification de disque »). C’est alors que le contrôle d’accès utilisateur (UAC) est lancé. C’est à l’autre astuce de prendre le relais : Beta Bot n’est pas directement utilisé pour lancer le processus UAC. C’est le programme cmd.exe, autrement dit l’invite de commande Windows, qui est utilisée pour démarrer le code Beta Bot. L’utilisateur est donc invité à élever les autorisations d’un programme Windows, ce qui est habituellement autorisé par la majorité des utilisateurs.