Quoi de plus sympathique qu’un bon gros phishing pour mettre la main sur les données privées et sensibles d’une cible. Les services secrets de sa gracieuse majesté britannique, le British Intelligence Agency GCHQ (Government Communications Headquarters) aurait utilisé de fausses pages du portail professionnel communautaire Linkedin pour mettre la main sur des données ciblées.
Une information que le magazine allemand Der Spiegel a révélé après l’analyse de documents secrets du GCHQ que l’ancien « analyste » Edward Snowden aurait volé. La première attaque connue visait le gouvernement belge et Belgacom, l’opérateur de télécommunication. Une fois le visiteur piégé par la fausse page Linkedin, un logiciel espion s’installait dans l’ordinateur des cibles de la GCHQ. L’objectif aurait été d’accéder au système de routeur GRX exploité par BICS pour intercepter le trafic téléphonique.
C’est quand même dingue de voir comment ces services secrets peuvent être bavards, dans leurs bureaux ; Ca n’étonne personne de savoir qu’un simple analyse « du privé » puisse accèder à autant d’informations variées !
En attendant, pour répondre aux écoutes probables de la NSA du trafic data de Yahoo! et Google, les deux géants de l’Internet viennent d’annoncer qu’ils allaient protéger leurs données internes. La CEO de Yahoo!, Marissa Mayer, a indiqué que les connexions de son groupe seraient désormais chiffrées.
Les bases de données, le nouveau jouet pour les pirates informatiques. Après ADOBE [lire], après MacRumors (860.000 comptes, ndr), voici le tour du site Loyalty build a se retrouver confronté à un vol de données numériques. Ce portail est spécialisé dans la fidélisation de clients pour de grandes enseignes comme AXA Irlande.
Loyalty build vient d’annoncer le passage d’un pirate dans ses entrailles numériques. Bilan, 1,2 millions d’inscrits se retrouvent avec leur vie privée dans les mains d’un inconnu. Emails, adresses physiques, numéros de téléphone. Pour 376.000 personnes, des suisses ou belges, les données bancaires sont à rajouter à la liste des données volées. Des informations financières… non chiffrées, ce qui est illégal en Europe.
Loyalbuild propose un système de fidélisation de clienteles. Voilà qui risque de lui faire mal ! Les entreprises affiliées viennent de fermer leur espace « Loyalbuild » afin de protéger leurs propres clients.
L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.
Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.
Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.
Après le piratage de 38 millions de clients de l’éditeur ADOBE, une étude montre que les mots de passe des piratés sont aussi ridicules qu’inutiles. A se demander si le piratage de 38 millions de clients ADOBE n’est pas un moyen de communiquer auprès des clients et entreprises utilisatrices des produits de l’éditeur de Photoshop, Adobe Acrobat, ColdFusion. Des chercheurs, qui ont été mettre la main sur les données diffusées sur un forum russe, ont analysé les mots de passe volés à ADOBE. Des précieux appartenant donc à ses clients.
Jeremi Gosney, chercheur chez Stricture Consulting Group révèle une liste des 100 mots de passe les plus utilisés. Autant dire qu’il y a des claques qui se perdent : 1,9 million de comptes utilisaient comme sésame : 123456 ; plus de 400 000 : 123456789. On vous passe les mots de passe « password« , « 12345678 » ou encore « adobe123« . Bref, avec de telle sécurité pas besoin de voler une base de données ! (Developpez)
L’existence d’une faille de sécurité potentielle dans la monnaie virtuelle Bitcoin inquiète le web… ou pas ! Alors que le Bitcoin rencontre un succès mondial, des chercheurs de l’université Cornell viennent de révéler l’existence d’une faille de sécurité potentielle dans la monnaie virtuelle. Sergey Lozhkin, chercheur senior en sécurité chez Kaspersky Lab, explique : “Comme pour chaque découverte scientifique, les recherches concernant une potentielle vulnérabilité du Bitcoin doivent être revues et analysées par la communauté. Cependant, nous pouvons d’ores et déjà noter que la vulnérabilité dont il est question ici relève davantage de l’économie que de la technologie. Même s’il était possible pour certains groupes de personnes (ou plus probablement une entité gouvernementale disposant d’un pouvoir informatique illimité) de disposer d’un contrôle sur le processus de ‘mining’ de Bitcoin, cela n’entrainerait pas forcément la chute et la disparition de la monnaie virtuelle. » L’agitation autour de ces recherches est donc injustifiée, bien que compréhensible. Actuellement, le Bitcoin est davantage menacé par des risques politiques que technologiques.
Pendant ce temps, en Australie, le responsable du site internet Inputs.io a déposé plainte après avoir été ponctionné d’un million de dollars de Bitcoin. L’atteinte à la sécurité de cette « banque » Bitcoin aurait eu lieu les 23 et 26 Octobre derniers. Les pirates auraient réussi à voler 4.100 bitcoins. Un porte-parole de la police fédérale australienne a déclaré au Daily Mail qu’un vol de bitcoin n’a jamais été étudié par ses services. Les serveurs étaient basés aux USA. Sur son site web, le responsable d’Inputs indique « Je sais que cela ne signifie pas grand-chose, mais je suis désolé, et dire que je suis très triste de ce qui s’est passé est un euphémisme. »
Au sommaire de ce nouvel opus de ZATAZWeb.tv HD de Novembre :
1 – Découverte de Gith, un environnement sécurisé et chiffré que vous allez pouvoir emmener partout avec vous sans peur d’être espionné. Cerise sur le gâteau, Gith est une application Mac, Linux, Windows et Smartphone « Made in France ».
2 – Espionner une carte bancaire qui permet le paiement sans fil, une puce RFID, de plus en plus simple. En avant-première, zatazweb.tv va vous présenter l’alarme anti RFID de poche. De la taille d’un porte-clés, il vous indique quand une lecture NFC est en cours.
3 – Contrer la contrefaçon de diplôme ? Une première européenne pour un lycée lillois qui tag les diplômes de ses bacheliers.
4 – WatchDogs retardé ? ZATAZWeb.tv a été tirer les vers du nez d’Ubi Soft pour en savoir plus sur ce jeu qui nous fait baver.
5 – Un 0Day découvert dans plus d’une dizaine de sites de rectorats français. Explications et démonstration.
6 – Pour sauver les hackers, donnez-leur du travail. Découverte de Yes We Hack, le portail dédié à l’emploi de la sécurité informatique.
7 – Wizzywig : la BD qui retrace les « aventures » de l’ancien hacker, Kévin Mitnick.
8 – HackNowLedge – La grande finale (les 7 et 8 décembre) : 6 pays, 12 équipes, 70 épreuves de hacking éthique.
Sweeties a 10 ans. Cette enfant de 10 ans a réussi à attirer à elle pas moins de 20.000 prédateurs de l’Internet. Des pédophiles qui étaient prêts à payer pour voir la jeune fille participer à des actes sexuels. Une horreur… sauf que Sweeties n’existe pas. C’est un personnage en 3d créé par l’ONG néerlandaise Terre des Hommes. L’idée de l’organisation de lutte contre la pédophilie sur le réseau des réseaux, créer une petite fille et un « bot » capable de piéger les internautes, consommateurs de documents pédopornographiques. 20.000 pédophiles, via 71 pays, ont été piégés de la sorte. Sweeties a permis de remonter à « seulement », 1.000 d’entre eux. Interpol a été saisi. D’après l’ONU, 750.000 pédophiles évolueraient sur les réseaux.
Nous vous expliquions, en octobre, comment une backdoor, une porte cachée donnant accès à l’administration d’un espace informatique, avait été découvert dans plusieurs routeurs de la marque D-Link. Début novembre, nouvelle marque chinoise dans le collimateur avec Tenda.
TTSO a découvert un accès possible et cela via un seul petit paquet UDP. Après extraction du firmware dédié à ce routeur sans fil (Tenda W302R), il a été découvert une possibilité d’écoute des informations. A la différence de D-Link, l’espionnage ne peut se faire qu’en mode réseau local, pas d’exploit à partir du WAN. Ou est donc le problème vont rapidement chantonner les plus pointilleux. L’exploit passe via le réseau mobile. Ce dernier a le WPS activé par défaut, sans aucune limitation de test de mots de passe. Autant dire que le brute forçage de la bête n’est plus qu’un détail. Cette backdoor existe dabs le Tenda W302R, mais aussi dans le Tenda W330R, ainsi que dans le Medialink MWN-WAPR150N.
Il y a un déjà, une étonnante fuite visant Tenda (un ingénieur ?) expliquait comment la porte cachée « MfgThread » fonctionnait. Bref, si vous n’invitez pas la planète sur votre réseau, que le WPS n’est pas activé et que l’utilisation d’un mot de passe digne de ce nom en WPA vous est familier, peu de risque. Il est possible aussi que cette porte cachée soit un oubli d’un codeur local, payé quelques euros, utilisée lors de la fabrication de l’outil et qui n’a pas été effacée.
Une fuite Internet peut rapidement intervenir si on n’y prend pas garde. Un fichier mal maîtrisé, sauvegardé n’importe comment, et c’est rapidement la catastrophe. Google, ainsi que d’autres moteurs de recherche, ne font pas la différence entre le document Excel en libre accès reprenant les recettes de Tata Jeannette, et le fichier regroupant plusieurs dizaines de Centres Hospitaliers Français, avec logins et mots de passe, permettant d’accéder à un espace informatique sensible, celui des patients reçus par les Urgences. Google les voit, donc pour lui, ils sont « libres » d’être référencés, sauvegardés en cache.
Voilà la mésaventure qui vient de toucher une société Française spécialisée dans la création de solutions informatiques de gestion des dossiers patients dédiée aux urgences. Un lecteur, Kyle, nous a alerté de cette fuite complétement folle. Lors d’une cherche d’informations qu’elle ne fût pas son étonnement de se retrouver nez-à-nez face à un fichier Excel intitulé InfosEtContacts.xls.
Google avait sauvegardé les données.
Chaque CH avait son dossier.
Plusieurs moteurs de recherche avaient accès aux données.
Si les premières lignes ne m’ont pas paru des plus perturbantes, les suivantes auraient eu de quoi faire tomber en syncope le premier SAMU/SMUR qui passait par là. Dans ce fichier, une liste de Centres Hospitaliers (Régionaux/Universitaires/…) : Saône, Brive, Besançon, Belfort, Beauvais, Amiens, R/Yon, La Rochelle, Gueret, Gentilly, St Ame, Blanc Mesnil, Forbach, Epinal, Dole, Senlis, Rennes, Provins, Guadeloupe, Neuilly, Nancy, Lille, Montpellier, Metz ou encore Lunéville.
Ce fichier relatait, avant d’être effacé du web (et de la cache Google, Ndr), les accès à distance (avec login et mot de passe en clairs) ; la prise de contrôle des serveurs (ip, vnc, accès, …), ouverture de session (avec ip et identifiants de connexion). Dans certains cas, l’accès à des bases de données avec ip, login et mot de passe. Bref, des centaines d’informations qui auraient pu faire de gros dégâts dans les mains d’internautes malveillants. Heureusement, du moins nous l’espérons, aucun pirate n’est passé par là.
Dès la découverte de la « chose », nous avons alerté le CERT A, l’ANSSI et la CNIL via le protocole d’alerte de ZATAZ.COM. Comme à son habitude, le Centre d’Expertise gouvernemental de Réponse et de Traitement des Attaques informatiques a répondu à notre alerte au quart de tour. Nous avons attendu que la fuite soit colmatée afin de vous relater ce gros, très gros problème.
Comment une telle fuite peut-elle être possible ?
Un dossier, sur le site internet officiel de cette entreprise, non protégé par un login et mot de passe. Un simple htaccess aurait suffi à réclamer les précieux identifiants de connexion. Un contrôle d’accès très simple à mettre en place pourtant. Cela aurait empêché Google, et la planète web entière, d’accéder aux informations.
Autre possibilité de sécurisation, qui nous semble la plus efficace chez DataSecuritybreach.fr : ne pas sauvegarder ce genre de données sur un espace connecté à Internet, et encore moins quand ce dernier est … le site web lui-même.C’est un peu comme si la Banque de France déposait des lingots d’or sur une table, dans la rue, à l’entrée de son bâtiment. Pas évident que les petits blocs jaunes restent sur place bien longtemps.
Pour finir, il est fortement conseillé, c’est la CNIL qui l’écrit, de chiffrer ce genre de contenu et de le sauvegarder dans un espace non disponible/accessible d’un simple clic de souris.
Christophe Jochum a 24 ans. Cet informaticien Suisse vient de terminer une application web qui lui aura pris 5 mois de son temps. Baptisé Odin Secure Networking, l’outil a pour mission de protéger les internautes d’une cyber surveillance. « En vue des soucis actuels concernant l’écoute d’internet publique,indique à DataSecurityBreach.fr Christophe Jochum, j’ai développé une plateforme de discussion privée, cryptée, sans logs et ne retenant aucune informations sur les utilisateurs ou leurs messages« .
Voilà une idée intéressante, surtout qu’il devient de plus en plus difficile de garder une information confidentielle suite au politiques de confidentialité des entreprises telles que Google, Facebook, Microsoft etc… Pour rester dans la confidentialité et ne pas laisser de traces des échanges sur internet, il faut une bonne dose de connaissances informatiques (réseau Freenet, Tor, I2P), acquerir un service VPN (A noter l’excellent Vypr VPN). Autant dire que cela n’est pas obligatoirement simple.
Odin offre donc la possibilité de sécuriser un échange d’informations via un tchat. Odin permet à n’importe quel néophyte en informatique de dialoguer uniquement avec son interlocuteur, sans craindre la lecture d’une tierce personne ni une retenue d’informations. Grâce à plusieurs sécurités (de multiples encryptions à différentes étapes de la transmission du message et la suppression quasi instantanée des transactions encryptées), Odin s’annonce comme le seul service à ce jour permettant un total anonymat et une confidentialité absolue sur le web, et ce, tout en se situant sur le clear web. Odin est un projet en pleine évolution, plusieurs mises à jours sont en attente de publication.
Petites entreprises, grandes menaces : restez informés, restez protégés
