Archives par mot-clé : hacking

Santé et sécurité : peut-on hacker le cœur humain ?

Les appareils utilisés dans le secteur de la santé et les failles de sécurité s’y trouvant inquiètent les chercheurs en sécurité.

Même la branche de la santé ne résiste pas à la tendance croissante de la mise en réseau. Cette interconnexion promet des avantages, autant pour les patients que pour les médecins et le personnel soignant. Mais à côté de ces annonces enthousiastes, on trouve des experts de sécurité qui mettent en garde contre des systèmes potentiellement non sécurisés. G Data tire la sonnette d’alarme.

L’Internet des objets en question

En août 2016, des chercheurs ont trouvé des failles de sécurité un produit connecté du fabricant St. Jude Medical, leader dans la production de stimulateurs cardiaques et défibrillateurs. Sur ce produit, un émetteur/récepteur permet une surveillance à distance des valeurs de l’appareil implanté. En fonction des valeurs, des actions à distances sur l’appareil sont possibles. Seul prérequis : le patient doit se trouver à proximité de l’émetteur. Mais des chercheurs ont démontrés qu’en exploitant certaines failles de sécurité, ils pouvaient également agir sur cet appareil.

Le fabricant a publié une mise à jour qui corrige les vulnérabilités. L’office américaine de contrôle des produits pharmaceutiques et alimentaires (FDA) a rendu l’information publique et informé le personnel médical tout comme les patients sur la mise à jour logicielle nécessaire.

Des failles de sécurité dans les appareils médicaux : rien de nouveau !

En 2015, un chercheur de sécurité allemand a repéré que les standards de sécurité des appareils médicaux dataient des années 1990. Il a pu désactiver la fonction respiratoire d’un appareil d’anesthésie connecté. Son rapport montre que via les failles de sécurité dans le logiciel de contrôle d’une pompe à insuline, les attaquants peuvent administrer une dose mortelle du médicament. La même chose est possible pour les pompes à transfusion utilisées dans les hôpitaux. Tous les appareils médicaux, modernes et connectés qui arrivent aujourd’hui sur le marché sont en retard sur le domaine de la sécurité. Une des raisons est la lenteur des procédures d’autorisations et de certifications.

Intégrer la sécurité dès la conception des appareils

Avec l’augmentation et la popularité croissante des ransomware, des nouveaux scénarios sont envisageables. Des attaquants pourraient demander des rançons en échange de quoi ils n’agiraient pas sur des appareils médicaux maintenant des patients en vie. Pour éviter cela, une coopération efficace entre chercheurs en sécurité et fabricants est indispensable, au niveau des appareils mais aussi au niveau des plateformes connectées qui centralisent les données des patients. Accélérer les processus de certifications est également nécessaire. Enfin, intégrer la sécurité dès la conception des produits « security by design » constitue une étape indispensable pour l’industrie médicale.

Piratage de banques polonaises, le voleur passe par le régulateur national

Piratage de banques ! Plusieurs institutions financières polonaises ont confirmé l’infiltration de leurs systèmes informatiques par un malware.

Piratage de banques ! Étonnante attaque informatique, surtout quelques jours après l’arrestation de neuf pirates Russes du groupe Lurk, professionnels de l’infiltration bancaire, dans les serveurs de plusieurs institutions financières polonaises. L’aspect intéressant de cette attaque, la partie social engineering. Les escrocs ont utilisé le régulateur financier polonais, la KNF, pour diffuser plusieurs logiciels malveillants.

Un porte-parole de la KNF a confirmé que les systèmes internes du régulateur avaient été compromis par des pirates « d’un autre pays« . Une fois dans les serveurs de la KNF, les pirates ont modifié un JavaScript (JS), puis ils ont écrit aux banques, leur proposant de venir visiter KNF. Une usurpation d’identité particulièrement efficace. Le JS malveillant téléchargeait plusieurs codes pirates, dont un cheval de Troie, dans les machines des visiteurs ciblés.

Le « bombe 2.0 » était caché sur des sites basés en Suisse (sap.misapor.ch) et en Inde (eye-watch.in). Afin d’éviter la propagation des logiciels malveillants, les autorités ont pris la décision de fermer l’ensemble du réseau de la KNF.

Du côté des banques, les personnels informatique des plus importantes banques du pays ont remarqué le trafic anormal associé à la présence d’exécutables sur plusieurs serveurs. Ironiquement, le KNF est l’organisme de réglementation qui surveille et promeut des mesures de sécurité a adopter dans les banques polonaises.

L’agence de renseignement du Danemark lance une académie de hacking

Académie de hacking – Décidément, le temps ou il fallait cacher son intérêt pour le hacking est bien révolu. Après la France, les USA, la Suisse, voici venir le Danemark. L’agence de renseignement Danoise vient de créer une académie dédiée au hacking.

Les services de renseignement Danois viennent de se lancer dans un recrutement qui a le mérite d’attirer l’œil. La DDIS (Danish Center for Cyber Security), le service de cyber renseignement danois lance une académie pour former des hackers. Mission, former des pirates informatiques éthiques capables de fissurer des systèmes de sécurité cybernétique compliqués. Une création en réponse aux nombreuses attaques vécues par le pays ces derniers mois. Le Danemark a dû repousser plusieurs cyber-attaques dont une contre le ministère des affaires étrangères (via un phishing) qui aura permis un espionnage de 7 mois. En décembre 2015, un DDoS a cloué les serveurs du Parlement danois.

King of Phantom : académie de hacking

Les admissions débuteront le 1er août 2016. Le service de renseignement ne va pas par quatre chemins et parle de recruter « de talentueux blackhats« . Pour rappel, un black hat n’est pas un hacker « sympathique« , mais plutôt du genre « casse tout ».

Les principales tâches du DDiS sont de collecter, traiter et diffuser des informations sur les situations qui touchent le Danemark, à l’étranger. Une partie du service se compose d’une unité spéciale dont la tâche est d’avoir accès à l’Internet fermé, aux  systèmes informatiques et aux ordinateurs. « Notre dispositif n’est pas fait pour tout le monde, et il préconise des compétences particulières et une certaine personnalité« .

Trois modules dans cette formation : un module de base où vous apprendrez les réseaux, l’infrastructure informatique et la sécurité avancée. Un module de défense où vous apprendrez comment se défendre face aux pirates. Un module offensive où vous apprendrez à pirater. L’annonce indique que la DDiS encourage tout le monde à participer « peu importe les antécédents personnels« .

HackNowLedge Contest : direction Las Vegas

Les 48 meilleurs hackers d’Espagne, de France, du Benelux, du Maroc, de Tunisie, de Côte d’Ivoire se sont retrouvés, ce week-end à Jeumont (59), à l’occasion de la grande finale du HackNowLedge Contest. Après un an de compétition, à sillonner l’Europe et l’Afrique, les bénévoles de l’association Maubeugeoise de l’ACISSI, instigatrice de l’idée et des 70 épreuves d’Hacking Ethique, ont invité les gagnants de chaque compétition nationale pour la grande finale qui s’est tenue dans les locaux de la Gare Numérique de Jeumont. But ultime, finir sur la première marche du podium pour remporter un séjour à Las Vegas, au mois d’août prochain, lors de la Def Con XXI. La mission des concurrents, durant 10 heures, est de cracker des clés de chiffrement, taquiner de la biométrie, jongler avec de la sténographie, des digits codes, des téléphones portables, des serrures et des dizaines d’autres « épreuves » numériques. L’idée, mettre en avant ses compétences techniques au service du hacking éthique.

Conférences d’avant match
Avant le lancement de la compétition, plusieurs conférences ont été proposées dans l’espace de la Gare Numérique. Etat des lieux de la sécurité informatique au Maroc, en Belgique ou encore des infrastructures informatiques industrielles, en passant par l’évolution de la loi française face aux amateurs de failles, les « brouteurs » (scammeurs – Arnaque Nigériane – 419) en Côte d’Ivoire ou encore un retour sur l’action des « Anonymous » lors de la révolution de Jasmin, en Tunisie. « Il va être très compliqué de combattre le scam, souligne Serge Didikouko, spécialiste local en sécurité informatique. Les jeunes peuvent gagner jusqu’à un an de salaire d’un fonctionnaire en une seule journée. Dans notre pays, les cyber-cafés s’ouvrent un peu partout. La connexion coute entre 0.50€ et 0.75€. Beaucoup de personnes gagnent de l’argent grâce aux brouteurs. Du gamin de 10 ans qui surfe toute la journée en passant par l’agent de change qui peut toucher jusqu’à 10% sur chaque réception d’argent ». Les arnaques se multiplient : fausses ventes, faux amants, faux fils de président décédé. Le but, soutirer de l’argent aux pigeons piégés sur la toile.

Du côté de l’hexagone, Maître Raphaël Rault, du cabinet d’Avocats BRM est revenu sur comment tester la sécurité en toute légalité ? « Il faut rappeler, indique l’homme de loi, qu’un test d’intrusion ne peut se faire sans l’accord du propriétaire ; lui rappeler que tous ses partenaires sont susceptibles d’être directement ou indirectement impactés par l’audit. Ils doivent être signataires du contrat passé avec le propriétaire de l’espace à auditer ». Des obligations qu’il ne faut pas prendre à la légère. Aucune intervention sur le système d’information visé, sans un accord écrit sous peine de se voir appliquer les dispositions pénales spécifiques « sans parler du risque d’atteinte aux traitements de données à caractère personnel. » Bref, hacker n’est pas jouer.