Archives quotidiennes :

Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Patch, VPN

Attaque LogJam : les clés Diffie-Hellman visées

Des milliers de messagerie, Web, SSH, et les serveurs VPN sont vulnérables à une nouvelle attaque. Appelée Logjam, elle affecte l’échange de clés Diffie-Hellman. Le protocole d’échange de clé Internet (IKE) qui utilise l’algorithme de Diffie-Hellman est largement mis en œuvre dans le cryptage des données (par exemple, par SSL / TLS).

Le 20 mai 2015, une équipe de plusieurs chercheurs en sécurité de US a annoncé une faiblesse dans l’échange de clés Diffie-Hellman exploitée par l’«attaque Logjam » (Logjam attack). La faiblesse est causée par un défaut dans le protocole TLS qui est utilisé pour HTTP, SSH, et le cryptage de la connexion VPN. Elle peut être exploitée par la technique de l’homme du milieu (Man-in-the-Middle – MITM). Les cybercriminels peuvent surveiller ou même manipuler le trafic de données entre deux ou plusieurs parties de communication. La faiblesse est en fait dans la procédure de prise de contact TLS, au cours de laquelle l’attaquant fragilise l’exportation et l’échange de clés au lieu de l’échange de clés Diffie-Hellman normale. En réponse, le serveur continue échanger la clé de 512 bits, mais sans résultat.

Généralement, l’attaque de Logjam met en péril toutes les méthodes de chiffrement qui utilisent l’algorithme de Diffie-Hellman et l’échange de clés sur Internet (IKE). Comme déjà mentionné, ils comprennent le protocole TLS et SSL son prédécesseur qui sont largement utilisés pour SSH, courrier, web, et le cryptage de la connexion VPN.

Chiffrement, cryptage, Cybersécurité, Entreprise

Le modèle de maturité TLS

Dans le cadre de son activité SSL Labs,  Ivan Ristic du Qualys SSL Labs (Centre de recherches sur TLS et PKI qui fournit des outils de sécurité, de la documentation ainsi que des études sur les écosystèmes) passe beaucoup de temps à aider les autres à renforcer leur sécurité TLS. Soit directement ou en développant des outils et en rédigeant de la documentation. Avec le temps, il a remarqué que déployer TLS en toute fiabilité était de plus en plus compliqué alors que ce devrait être le contraire.

C’est pourquoi il présente dans DataSecurityBreach.fr  un modèle de maturité TLS, un modèle de déploiement conceptuel avec une feuille de route pour une sécurité TLS puissante. Ce modèle offre cinq niveaux de maturité.

Au Niveau 1 se trouve le chaos. Sans aucune politique ni règle associée à TLS, votre sécurité est aux mains du hasard (par exemple la configuration constructeur par défaut), d’individus ou plus généralement d’initiatives ad-hoc. Si bien que vous ne savez pas ce dont vous disposez ni quelle sera votre sécurité. Même si vos sites existants bénéficient d’une bonne sécurité, impossible de garantir que cela sera aussi le cas pour vos nouveaux projets. Tout le monde commence à ce niveau.

Le Niveau 2, celui de la configuration, ne concerne que la sécurité du protocole TLS et ignore les protocoles supérieurs. C’est de ce niveau dont nous parlons le plus, mais c’est généralement celui le plus facile à atteindre. Pour les systèmes modernes, il s’agit essentiellement d’un problème de reconfiguration des serveurs. Les systèmes plus anciens peuvent nécessiter une mise à niveau, ou, en dernier recours, un proxy plus sécurisé installé en frontal.

Le niveau 3, celui de la sécurité applicative, concerne la sécurisation de ces protocoles applicatifs supérieurs pour éviter des problèmes susceptibles de compromettre le chiffrement. Pour ce qui est des sites Web, ce niveau exige d’éviter de mélanger du texte en clair avec du contenu chiffré au sein de la même application ou sur la même page. Autrement dit, l’ensemble de la surface applicative doit être chiffrée. En outre, tous les cookies applicatifs doivent être bloqués et leur intégrité doit être vérifiée dès leur arrivée afin de se protéger contre des attaques à base d’injection de cookies.

Le Niveau 4, celui de l’engagement, a trait à l’engagement sur le long terme en matière de chiffrement. Concernant les sites Web, ce niveau est atteint en activant HTTP Strict Transport Security (HSTS), une norme relativement récente et prise en charge par les navigateurs modernes (par exemple supportée par IE sous Windows 10). HTTP Strict Transport Security applique un modèle de sécurité TLS plus strict pour mettre en échec les attaques visant à supprimer SSL ainsi que celles incitant les utilisateurs à cliquer sur les avertissements relatifs aux certificats.

Enfin, au niveau 5 se trouve une puissante sécurité. Vous définissez votre propre protection privée dans le Cloud PKI pour vous prémunir contre la plus importante faiblesse de l’infrastructure PKI, à savoir la possibilité pour une quelconque autorité de certification d’émettre un certificat pour un site Web sans la permission de son propriétaire. Pour ce faire, la technique d’« épinglage » des certificats (« public key pinning ») permet de restreindre le nombre d’autorités de certification susceptibles d’émettre des certificats pour vos sites Web. Il est également possible d’adopter une approche plus sécurisée en approuvant chaque certificat individuellement.

La simplicité conceptuelle du modèle de maturité de la sécurité TLS permet de savoir facilement où nous en sommes et ce qu’il reste à améliorer. Nous pourrons ainsi nous concentrer sur ce qui importe vraiment. Même s’il offre la meilleure sécurité, le niveau 5 nécessite beaucoup de travail et gère des risques inexistants pour la plupart des sites. Et s’il ne fait pas l’unanimité, le Niveau 4 reste le niveau minimum reconnu comme sécurisé et vers lequel devraient tendre la plupart des entreprises.

backdoor, Cyber-attaque, Cybersécurité, Piratage, Virus

RunPE, le tueur de logiciels espion

Un commentaire

Phrozen RunPE Detector : Nouveau logiciel indispensable dans son kit de secours informatique.

Phrozen RunPE Detector est la nouvelle création d’un informaticien chercheur Français que nous vous présentons souvent dans les colonnes de Data Security Breach. En plus d’être un ami, il est surtout un sérieux dompteur de codes via son site Internet Phrozen Soft. Il y a quelques années, il sortait le logiciel RAT DarkComet. Un excellent outil qu’il devra stopper. Des malveillants ayant détourné son outil… comme le gouvernement Syrien pour espionner les opposants au régime. Une mésaventure qui n’a pas assommé notre codeur Français, bien au contraire. Depuis, il concocte des outils de sécurité qui mériteraient de se retrouver sur les étagères des éditeurs d’antivirus de la planète web. En attendant, ce nouveau logiciel, baptisé Phrozen RunPE Detector, va devenir un indispensable de votre boite à outil sécurité informatique.

Pour faire simple, la technique RunPE consiste à démarrer un processus légitime souvent signé puis de le suspendre pour remplacer son contenu par une application malicieuse, ainsi cela permet de contourner les restrictions des par feux et d’exécuter du code directement en mémoire. Malheureusement, très pratique pour piéger les antivirus. Une technique utilisée par les pirates dans leurs « crypteurs », mais aussi dans de nombreux RAT. De nombreux outils malveillants continuent d’utiliser cette technique populaire, bilan, JP Lesueur a décidé de faire un outil qui se charge de repérer la menace.

Un logiciel d’analyse dynamique, et non statique, qui détecte la menace et, permet même dans certains cas, de récupérer la source de la menace. Le logiciel est gratuit.