Archives mensuelles : juillet 2023

Chiffrement, Cybersécurité, Securite informatique

Proxy jacking : détournement SSH

Proxy jacking : Des hackers malveillants détournent les serveurs SSH en les attachant à un réseau proxy.

Les attaques en ligne sont devenues une préoccupation majeure pour les entreprises et les utilisateurs individuels. Une nouvelle menace a été identifiée par les experts d’Akamai Technologies, mettant en évidence une campagne de proxy jacking qui cible les serveurs SSH vulnérables. Les attaquants exploitent les serveurs pour lancer un service Docker qui utilise la bande passante de la victime pour alimenter un réseau proxy commercial.

Cette technique, moins visible que le cryptojacking, offre aux attaquants un moyen discret de générer des avantages financiers en utilisant la bande passante des victimes. Dans cet article, nous allons examiner de plus près cette menace croissante et discuter des mesures que vous pouvez prendre pour protéger vos serveurs SSH contre les attaques de proxy jacking.

Les attaques de proxy jacking

Les attaques de proxy jacking sont une méthode sophistiquée utilisée par les attaquants pour détourner les serveurs SSH vulnérables. Une fois qu’ils ont obtenu un accès à distance au système, les attaquants déploient un service Docker qui partage le canal Internet de la victime avec un réseau proxy commercial. Contrairement au cryptojacking, cette attaque est beaucoup moins visible, ce qui réduit considérablement le risque de détection précoce. Les attaquants utilisent cette méthode pour obtenir des avantages financiers en exploitant la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy.

Les chercheurs notent que, contrairement au cryptojacking, de telles attaques sont beaucoup plus discretes : elles chargent beaucoup moins de ressources, ce qui réduit le risque de détection. L’objectif : obtenir des avantages financiers, seuls les proxyjackers n’utilisent pas la puissance de l’ordinateur, mais la bande passante supplémentaire de la victime, pour laquelle ils reçoivent une récompense du propriétaire du service proxy – comme Peer2Profit ou Honeygain.

Le rôle des services proxy

Les services de proxy de trafic sont des outils légaux couramment utilisés par les annonceurs et d’autres utilisateurs. Les participants à ces réseaux proxy installent volontairement un logiciel spécialisé sur leurs machines, permettant ainsi le partage de leur bande passante inutilisée avec d’autres appareils. Malheureusement, ces outils et services ne sont pas à l’abri des abus. Les attaquants exploitent depuis longtemps les proxys pour masquer la source du trafic malveillant et recherchent activement des services qui offrent un anonymat similaire.

Détection d’une campagne de proxy jacking

Dans cette campagne de proxy jacking, les pirates informatiques ont réussi à installer un script Bash obscurci après avoir détourné un serveur vulnérable. Ce script recherche et met fin à tous les processus concurrents, puis lance un service Docker pour partager la bande passante de la victime. Une analyse plus approfondie a révélé que le logiciel malveillant obtenait toutes les dépendances nécessaires du serveur Web compromis, y compris un outil de ligne de commande Curl déguisé en fichier CSS (csdark.css). (Akamai)

Cybersécurité, Securite informatique

Une nouvelle méthode de piratage révèle les clés secrètes des appareils via la LED d’alimentation

Une équipe de chercheurs de l’Université Ben Gourion et de l’Université Cornell ont trouvé un moyen de récupérer les clés secrètes des appareils cibles en analysant la LED d’alimentation.

Une équipe de chercheurs de l’Université Ben Gourion et de l’Université Cornell a récemment fait une découverte inquiétante en matière de sécurité informatique. Ils ont trouvé un moyen de récupérer les clés secrètes des appareils cibles en analysant la LED d’alimentation. Cette méthode, basée sur l’analyse des variations de luminosité, permet à un attaquant potentiel de dérober des clés cryptographiques en utilisant une caméra de smartphone ou une caméra de surveillance. Dans cet article, nous explorerons les détails de cette découverte et ses implications pour la sécurité des données.

Le lien entre la consommation électrique et la luminosité de la LED

Les chercheurs expliquent dans leur rapport que les calculs effectués par le processeur d’un appareil ont un impact direct sur sa consommation électrique, ce qui se reflète dans la luminosité de la LED d’alimentation. Ils ont découvert que ces changements de luminosité peuvent être exploités pour extraire les clés cryptographiques d’un appareil. En analysant les variations rapides de luminosité de la LED, un attaquant peut utiliser l’effet de « parallaxe temporelle » de la caméra pour capturer les émissions physiques.

Les résultats des tests

Les chercheurs ont réalisé plusieurs tests pour valider leur méthode de piratage via la LED d’alimentation. Ils ont réussi à récupérer avec succès une clé ECDSA de 256 bits à partir d’une carte à puce en analysant l’enregistrement vidéo du scintillement de la LED. Dans un autre test, ils ont extrait une clé SIKE de 378 bits à partir d’un téléphone Samsung Galaxy S8. Dans ce cas, ils ont pointé la caméra d’un iPhone 13 vers la LED d’alimentation des haut-parleurs Logitech Z120 connectés au hub USB. Ces tests démontrent l’efficacité de la méthode et la vulnérabilité des appareils face à cette nouvelle forme de piratage.

Les conditions nécessaires pour une attaque réussie

Pour qu’une attaque réussisse, plusieurs conditions doivent être remplies. Tout d’abord, la caméra utilisée par l’attaquant doit être capable de capturer les variations de luminosité de la LED à une distance de 16 mètres du dispositif cible. De plus, la LED d’alimentation doit être en ligne de mire directe de la caméra. Ces exigences peuvent sembler restrictives, mais avec l’avancée des technologies de caméra, il est probable que les attaquants puissent contourner ces limitations à l’avenir.

Cybersécurité, Smartphone, Téléphonie

Une entreprise accusée d’utiliser des données cellulaires pour évaluer la fiabilité de milliards d’utilisateurs

Une entreprise américaine, en collaboration avec une société de détection de fraude, est actuellement confrontée à des accusations portées par une organisation européenne de défense des droits numériques. Ils se serviraient de milliards de données de téléphones portables sans autorisation.

Ces allégations soutiennent que les lois sur la confidentialité ont été violées par la collecte et le transfert de données cellulaires de la moitié de la population mondiale, utilisées ensuite pour établir des scores personnalisés de fiabilité pour chaque individu. Cette affaire, déposée auprès de l’Autorité belge de protection des données par le Centre européen pour les droits numériques (noyb), met en cause BISC, une société de télécommunications opérant avec plus de 500 opérateurs mobiles dans plus de 200 pays, TeleSign, une entreprise spécialisée dans l’intelligence artificielle et la prévention de la fraude, ainsi que leur société mère, Proximus.

Les accusations portées contre BISC et TeleSign font suite à un article paru en mars 2022 dans le journal Le Soir, qui révélait que le fournisseur de télécoms collectait des données sur l’activité téléphonique des clients et les partageait secrètement avec TeleSign. Ces données incluaient des informations telles que le type de technologie utilisée pour passer des appels ou des SMS, la fréquence et la durée des appels.

Grâce à l’utilisation d’un algorithme sophistiqué, TeleSign attribue ensuite à chaque utilisateur des « scores de confiance » qui sont prétendument utilisés par des géants de l’industrie tels que Microsoft, Salesforce et TikTok pour décider si les utilisateurs doivent être autorisés à créer des comptes.

Classement par activité téléphonique !

Cependant, lorsque certains plaignants ont demandé l’accès à leurs propres données conformément au Règlement général sur la protection des données (RGPD) de l’Union européenne, ils ont découvert qu’ils avaient effectivement été classés par TeleSign en fonction de leur activité téléphonique. Dans un exemple cité dans la plainte, l’un des plaignants s’est vu attribuer un niveau de risque qualifié de « moyen-faible« .

Bien que le RGPD autorise certaines concessions en matière de protection de la vie privée, notamment dans le cadre de la détection des fraudes et des utilisations malveillantes des réseaux et services, la plainte soutient que l’étendue de l’activité de TeleSign et de BISC est injustifiée. Selon les plaignants, « le transfert systématique et massif de tous les numéros de téléphone à TeleSign pour qu’il puisse attribuer une note à chaque numéro n’est pas proportionné ». Ils estiment que cela revient à surveiller tous les utilisateurs dont les communications passent par BISC, alors que la conservation systématique de telles données à des fins policières et judiciaires n’est autorisée que dans des cas très précis.

Violation du RGPD ?

De plus, les plaignants allèguent que ce système de classement viole l’interdiction du RGPD de profiler les individus à l’aide d’algorithmes prédictifs. En effet, la loi interdit « le traitement automatisé de données à caractère personnel… pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des facteurs concernant les performances au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les mouvements de cette personne physique« .

En outre, la plainte souligne que les transferts de données de BISC à une société basée en Californie exposent potentiellement les informations des citoyens européens aux forces de l’ordre américaines, ce qui soulève des préoccupations supplémentaires quant à la protection de la vie privée des utilisateurs.

Un porte-parole de TeleSign a répondu à la plainte en affirmant que l’entreprise avait mis en place un programme de confidentialité des données, conformément aux réglementations mondiales telles que le RGPD et la loi californienne sur la protection des consommateurs. L’entreprise affirme également revoir en permanence ses politiques et pratiques internes pour se conformer à l’évolution du paysage réglementaire.

Le Centre européen pour les droits numériques demande à l’autorité belge des données d’agir en faveur des plaignants. Ils réclament l’arrêt des transferts de données de BISC et le traitement des données par TeleSign. De plus, ils demandent une amende pouvant atteindre 236 millions d’euros (257,4 millions de dollars), correspondant à 4 % du chiffre d’affaires annuel de Proximus, conformément au RGPD et la législation européenne.