Archives par mot-clé : exploit

Argent, Banque, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, Identité numérique, Leak, Paiement en ligne, Particuliers, Piratage, Vie privée

Il était possible de pirater Paypal d’un clic de souris

2 commentaires

Yasser Ali, un étudiant Égyptien vient de toucher 10.000 $ de Paypal. Le chercheur en sécurité informatique avait trouvé le moyen de pirater la grosse tirelire Paypal.

Ali, qui est ingénieur en mécanique, a découvert le moyen de passer outre la sécurité mise en place par Paypal. Inquiétant quand on connait les masses d’argent qui peuvent transiter par le géant américain. Via un simple clic, sur un lien particulièrement formulé dans un courriel envoyé à une cible, un pirate pouvait prendre la main sur le compte Paypal ciblé, et l’exploiter à loisir.

PayPal n’a pas tardé à répondre à cette alerte. Correction effectuée, Ali a touché 10 000 dollars de récompense. La faille se situait du côté des jetons d’authentification. Ces codes sont envoyés aux clients et sont changés à chaque fois que l’utilisateur clique sur le lien Paypal. Ali a cependant identifié que chaque jeton peut être réutilisé en faisant croire à Paypal que le client « cliqueur » est bien le propriétaire du compte en question. (Ali)

Argent, Banque, Cybersécurité, Identité numérique, Paiement en ligne, Twitter

Faille pour Twitter : effacer les données bancaires

Un commentaire

Plusieurs failles permettent de faire disparaître les données bancaires enregistrées dans Twitter par les annonceurs publicitaires.

Twitter permet d’enregistrer des données bancaires dans la partie ads.twitter.com, le service publicitaire du gazouilleur 2.0. Un internaute, qui se fait appeler Security Geek, a découvert comment faire disparaître les données des cartes bleues sauvegardées dans Twitter Ads par les annonceurs. La vulnérabilité était très critique car il suffisait de posséder l’identifiant de la carte de crédit pour la supprimer. Un identifiant composé uniquement de 6 chiffres tels que « 098289 ». Il aurait suffit qu’un malveillant travaille sur un petit code en python, qui aurait utilisé une simple boucle sur 6 chiffres, pour supprimer les CB qui lui seraient passés sous la souris. Un moyen de calmer le chiffre d’affaire publicitaire de Twitter. « Le plus drôle est que la page de réponse, après la manipulation, affichait une erreur « 403 forbbiden », s’amuse l’inventeur de la faille, Ahmed Aboul-Elamais. La carte de crédit était réellement supprimée du compte« . Une seconde faille permettait de faire croire à Twitter la mauvaise utilisation d’une CB. Bilan, le piaf effacé la vraie CB du compte officiel qui l’employait.

Chiffrement, cryptage, Cybersécurité, Fuite de données, Identité numérique, Social engineering, Vie privée

Une nouvelle faille vise le web

2 commentaires

Après OpenSSL, voici une nouvelle vulnérabilité mondiale qui vient toucher la sécurité informatique. Après Heartbleed, qui touchait les serveurs ayant implémenté le protocole TLS (OpenSSL), voici venir les modules de connexion basés sur les protocoles OAuth et OpenID. C’est un chercheur de Singapour qui a mis à jour la chose. Wang Jing, un étudiant local, a découvert que ces « outils » utilisés par Facebook, Google, Yahoo, Spotify, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.Ru, Sina, Sohu… pouvaient être malmenés.

A la base, OAuth et OpenID permettent à des sites Internet de partager nos informations (avec notre accord, ndr). Jing a découvert qu’en créant un site frauduleux, mais qui affiche une pop-up contenant l’accès légitime au site visé, un pirate pourrait intercepter le certificat de sécurité renvoyé par le site légitime. Google et Facebook indique être au courant et préparent un correctif qui ne sera pas lancé rapidement. Il faut tout réécrire !

Il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins

« Comme l’Internet devient de plus en plus connecté, il n’est plus suffisant de protéger son propre site sans prêter attention à celui de ses voisins » explique Jing. « Le patch de cette vulnérabilité est plus facile à dire qu’à faire. Si toutes les applications tierces respectaient strictement les régles, alors il n’y aurait pas de place pour les attaques. Cependant, dans le monde réel, un grand nombre d’applications tierces ne le font pas pour diverses raisons. Cela rend les systèmes basés sur OAuth 2.0 ou OpenID très vulnérables. » Bref, nous ne cessons pas de le dire, lier des sites entre-eux, pour un « confort » dans l’authentification de votre compte est dangereux. En voici une nouvelle preuve criante !

Cyber-attaque, Logiciels, Microsoft, Sécurité

0Day pour Microsoft Word

Microsoft vient de lancer une alerte au sujet de pirates informatiques exploitant un 0day, une faille non publique, permettant d’exploiter une vulnérabilité dans Microsoft Word. La vulnérabilité permet d’exécuter du code arbitraire dans le système vulnérable. « Cette vulnérabilité pourrait permettre l’exécution de code à distance si un utilisateur ouvre un fichier RTF spécialement conçu à l’aide d’une version affectée de Microsoft Word » informe le géant américain.

Le problème affecte, selon le Microsoft Security Advisory 2953095, Microsoft Word 2003, 2007, 2010, 2013, Word Viewer et Microsoft Office 2011 pour Mac. Les exploits repérés ont attaqués des utilisateurs de Microsoft Word 2010.

Microsoft est en train de créer un correctif pour cette faille de sécurité. En attendant, un « patch » temporaire Fix it empêche l’ouverture de fichiers RTF dans Microsoft Word. Autre suggestion pour vous empêcher d’être victime de cette possibilité malveillante, configurer votre messagerie de manière à lire les messages au format texte brut.

Pour rappel, Microsoft va cesser le support pour Windows XP et Office 2003 le 8 avril 2014. Après cette date, les produits Office 2003 ne recevront plus : De prise en charge assistée. De mises à jour de contenu en ligne. De mises à jour logicielles depuis Microsoft Update. Les mises à jour incluent des mises à jour qui permettent de protéger l’ordinateur contre les virus dangereux, les logiciels espions et autres logiciels malveillants qui peuvent subtiliser vos informations personnelles.

 

Android, Sécurité, Smartphone

Une faille dans le cœur d’Android

Six vulnérabilités dans le fonctionnement d’Android pourraient permettre à un pirate de prendre la main sur votre matériel. Des chercheurs de l’Université Américaine de l’Indiana, secondés par leurs mécènes (Microsoft), ont découvert plusieurs vulnérabilités dans l’OS de Google, Android.

Les ingénieurs expliquent qu’il serait possible à un pirate de prendre la main sur les privilèges de la machine via des applications malveillantes… et autorisées par Google et les utilisateurs. Bilan, les Applis prennent le pouvoir quand de nouvelles fonctionnalités apparaissent dans Android.

Des fonctions qui s’intègrent automatiquement dans les applications quand l’OS se met à jour. De nouvelles fonctions que les utilisateurs subissent et ne peuvent contrer. Des privilèges imposés qui ont rapidement été repérés par des malveillants. Les chercheurs ont diffusé une application piégée sur Google Play et l’AppStore d’Amazon pour leur démonstration. « Ces vulnérabilités affectent tous les appareils Android dans le monde » expliquent les chercheurs, soit plusieurs centaines de millions d’utilisateurs.

En gros, quand une application est installée, vous découvrez la liste des autorisations de la dite application (faut-il encore lire la liste, ndr). Quand l’OS se met à jour, et propose de nouvelles fonctionnalités, ces dernières sont intégrées dans les applications… sans que vous en soyez au courant.Bilan, des « bonus » qu’exploitent certaines applications sans que vous en soyez alerter.

Google avait déjà corrigé une faille de ce type, en 2013. Une vulnérabilité, découverte par la société Bleubox, qui visait Android depuis 4 ans.

Joomla, Logiciels, Mise à jour, Patch

Failles : Accès BDD et à gMail pour Joomla

Si votre site fonctionne sous Joomla 3.2.2, un conseil mettez à jour votre CMS vers la nouvelle version 3.2.3.  Joomla 3.2.3 a été publié, voilà quelques heures, pour permettre la correction de plus de 40 bugs et quatre vulnérabilités de sécurité. L’une des failles en question corrigé une injection SQL. Une vulnérabilité grave qui affecte les versions de 3.1.0 à 3.2.2. Pour rappel, une iSQL permet de mettre la main sur les bases de données qui font tourner un site web. Des données publiques et non publiques (emails, mots de passe, …)

Deux autres failles ont été corrigées, des XSS (Cross Site Scripting). Le dernier « bug » permettait des connexions non autorisées via l’authentification GMail. Vulnérabilité qui affecte les versions 2.5.8 à 3.2.2.

Une correction rapide est conseillée. Data Security Breach a pu constater l’utilisation, par des pirates, d’exploits visant ces failles et les CMS faillibles.

 

Chiffrement, cryptage, Cyber-attaque, Identité numérique, Leak, Piratage

300 000 routeurs exploités par des pirates

Cette semaine, 300 000 routeurs installés dans des foyers ou des petites et moyennes entreprises ont été piratés et utilisés pour réaliser des envois massifs de spams et de malwares. Révélée par l’entreprise Team Cymru, cette attaque particulièrement dangereuse concernerait des routeurs situés partout dans le monde, y compris dans plusieurs pays d’Europe. David Emm, chercheur senior chez Kaspersky Lab, explique que « Les petits appareils réseau qui peuvent s’installer et s’utiliser en quelques minutes, comme les routeurs, sont de plus en plus populaires. Mais cette simplicité est souvent garantit au détriment de la sécurité. La configuration par défaut est-elle pensée pour protéger l’utilisateur ? Peut-on les utiliser sans s’aventurer dans les paramètres et se sentir en sécurité ? Dans la plupart des cas, la réponse est non. Attention, il y a de forte chance que le nombre de 300.000 ne soient qu’une goûte d’eau dans la mesure ou d’autres groupes de pirates ont pu exploiter la faille sans que personne ne s’en soit aperçu.

Plusieurs éléments rendent ses appareils vulnérables (les marques D-Link, Micronet, Tenda, TP-Link, pour les plus connues, ont été la cible de l’attaque, ndr datasecuritybreach.fr) : D’abord l’utilisation d’un mot de passe faible, ou le non-renouvellement des mots de passe. Une configuration par défaut non sécurisée, qui permet aux équipes de support technique du fabricant d’accéder au réseau ; Les vulnérabilités du firmware & les erreurs dans l’implémentation des services ; Le manque de connaissance des utilisateurs et des vendeurs, l’absence de prise de conscience des risques.

À cause de tous ces éléments, les modems et routeurs sont des cibles faciles pour les cybercriminels. Contrôler un routeur permet à la fois de surveiller de façon permanente et transparente le réseau, de voler des données et de rediriger les utilisateurs vers des sites malveillants. D’autre part, ces appareils sont la solution idéale pour qui souhaite cacher un malware qui pourra par la suite infecter tous les ordinateurs connectés ou construire une réseau botnet.  Quant à la raison qui se cache derrière ces attaques, elle ne change pas : l’argent.

Pour rappel, les conséquence de l’accès non autorisé à un routeur sont : Le contrôle du trafic réseau ; La capacité d’espionner les échanges/conversations VoIP ; Le vol des clés WEP/WPA ; La possibilité de modifier la configuration, changer ou réinitialiser les mots de passe ; Exposer les réseaux internes sur le WAN ; Risque de backdoors (redirection de ports) ou encore la modification des réglages DNS (drive-by pharming).

Etes-vous victimes ?

Une fois qu’un périphérique a été compromis, les pirates modifient les paramètres DNS. Ainsi toutes les demandes passent par les serveurs qu’ils contrôlent. Cela permet aux pirates de détourner des sessions à leur guise. Il vous faut découvrir si vos paramètres DNS ont été changés. Le meilleur moyen est de vous connecter à votre appareil via l’interface d’administration et de vérifier les paramètres DNS. Les malveillants ont réorientés  les DNS vers les adresses IP 5.45.75.11 et 5.45.76.36. Donc si vous voyez ces adresses dans votre administration, vous avez un sérieux problème !

Logiciels

Faille pour Windows 8.1 et Internet Explorer 11

Un chercheur Chinois met la main sur une potentialité de fuite de données pour Windows 8.1 et Internet Explorer 11. Il se nomme Exp Sky, un chercheur en sécurité informatique Chinois. Ce bidouilleur de talent vient de mettre la main sur un problème informatique visant Windows 8.1 « plus Internet Explorer 11 » rajoute le jeune homme sur son blog, ce 28 février. Un exploit qu’il décortique (En Chinois). La première version du code de son exploit ne contient que la fonction de « fuite d’information », et cela en seulement quelques lignes de javascript. Simple mais particulièrement efficace.

 

 

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch

Faille critique corrigée pour OpenSSH

Un commentaire

L’excellent outil OpenSSH permet de chiffrer les communications sur Internet. Une faille critique vient d’être corrigée. Sortez la rustine, la colle et votre plus beau sourire. OpenSSH, un outil qui offre la possibilité de chiffrer vos communications sur Internet, via le protocole SSH, vient de corriger une vulnérabilité considérée comme critique. « Une corruption de mémoire existe dans le processus de sshd post-authentification lors d’un chiffrement AES-GCM (AES128-GCM @ openssh.com ou aes256-gcm@openssh.com) » indique OpenSSH.

Si elle est exploitée, cette vulnérabilité pourrait permettre l’exécution de code avec les privilèges de l’utilisateur authentifié. La vulnérabilité a été identifiée par un développeur d’OpenSSH, Mark Friedl, le 7 Novembre.

Le correctif a immédiatement été mis en ligne. L’erreur est fixé dans OpenSSH version 6.4. Pour ceux qui veulent rester sous OpenSSH 6.2 et 6.3, des rustines sont disponibles.

Android, Sécurité, Smartphone

Android KitKat a des progrès à faire en matière de sécurité

Cinq spécifications qui permettraient à la version Android 4.4 de mieux protéger ses utilisateurs contre les malwares. Face à un nombre toujours croissant de menaces spécifiquement conçues pour les appareils mobiles, les laboratoires Bitdefender ont étudié la dernière version du système d’exploitation Android (4.4) afin d’identifier les spécifications manquantes en matière de sécurité et de protection des utilisateurs.

Bitdefender a ainsi listé 5 spécifications dont devrait disposer Android 4.4 pour assurer une meilleure protection des utilisateurs et permettre également aux éditeurs d’antivirus de lutter plus efficacement contre les malwares.

Android est aujourd’hui le 1er OS mobile avec plus de 900 millions d’appareils dans le monde, et donc une cible privilégiée des cybercriminels. Malgré les importantes modifications apportées à sa version Jelly Bean 4.3, le prochain système baptisé KitKat a cependant des progrès à faire en matière de sécurité :

1- Une API d’analyse antivirus
Par défaut, Android n’autorise pas les applications à interagir les unes avec les autres, sauf si l’application partage un identifiant utilisateur et est signée numériquement par le même développeur. Cela pose un problème aux développeurs antivirus qui ne peuvent pas analyser correctement les autres applications installées, à moins que le téléphone ne soit rooté.
Une API d’analyse antivirus permettrait aux éditeurs de mieux intégrer leur solution de sécurité au système d’exploitation et garantirait ainsi à l’utilisateur que toutes les applications soient analysées convenablement.

2- Un contrôle individuel des permissions des applications
Celui-ci permettrait à un utilisateur d’accepter ou de refuser des autorisations spécifiques à une application. Il semble que Google travaille dans ce sens puisque la version Android 4.3 dispose d’un menu caché qui permet de gérer de façon précise certaines autorisations avant d’installer l’APK.

3- Des applications de sécurité intégrées
La possibilité de disposer d’applications clés de sécurité et de protection des données, telles qu’un outil antivol, directement intégrées dans son appareil permettrait de parer à la suppression des données et à la restauration des paramètres d’usine.
En effet, lorsqu’un appareil est perdu ou dérobé par un tiers, il est d’usage que le voleur efface complètement les données utilisateur à l’aide du mode de restauration intégré, ce qui supprime entre autres les applications de sécurité et les outils antivol et par conséquent ne permet plus au propriétaire de contrôler son appareil à distance et d’activer la géolocalisation de l’appareil.

4- Une sandbox intégrée pour isoler les applications suspectes
Lorsque l’utilisateur installe une application à partir d’une source non fiable, comme des ‘market-places’ alternatives ou directement de développeurs, il faudrait qu’il ait la possibilité de l’exécuter dans une sandbox (bac-à-sable) et ainsi surveiller les éventuelles fuites d’informations ou les activités coûteuses (telles que l’envoi ou la réception de SMS premium).

5- Des profils selon les usages : Professionnel / Loisirs
La configuration de 2 profils pour un utilisateur sur un appareil unique : d’une part un profil Professionnel pour consulter les données liées à son entreprise, et d’autre part un profil Loisirs avec les applications personnelles, répondrait parfaitement au manque de politique de sécurité encadrant le BYOD qui permet aux salariés d’accéder aux données confidentielles de l’entreprise via leurs appareils personnels.

Selon le dernier rapport sur l’évolution des malwares Android publié par Bitdefender, les techniques utilisées par les menaces sur mobiles se rapprochent de plus en plus de celles utilisées sur PC, à l’exemple du malware bancaire Zeus qui s’est répandu sous l’appellation ZitMo dans sa version mobile. La sécurité mobile sur Android n’est plus facultative mais obligatoire. Plusieurs initiatives, plus ou moins pertinentes, vont dans le sens d’apporter plus de sécurité aux utilisateurs d’appareils mobiles à l’instar de Firefox OS de Mozilla, Knox de Samsung, Ubuntu for Touch de Canonical ou encore le projet DAVFI.