M.01net.com - article. Sécurité07/10 à 16:05 Mis à jour le 07/10 à 16:08 Un code pour exploiter la mégafaille USB téléchargeable sur Internet Deux chercheurs en sécurité ont fait de nouvelles démonstrations sur la faille BadUSB et publié leur code source sur le web. Mais ils disent que c'est pour une bonne cause : faire bouger les fabricants. Vous souvenez-vous de « BadUSB », cette terrible faille de sécurité qui permet de transformer n’importe quelle clé USB en un vecteur de malveillance ? Cette brèche a été décelée en août dernier par les chercheurs en sécurité Karsten Nohl et Jakob Lell de Security Research Labs et présentée lors de la conférence BlackHat à Las Vegas. Elle s’appuie sur le fait que la plupart des firmwares des accessoires USB peuvent être reprogrammés pour y insérer un autre code. En particulier, il est possible de faire passer une clé USB pour un clavier et envoyer des commandes à l’ordinateur.
Deux autres chercheurs en sécurité viennent maintenant de pousser le bouchon un peu plus loin. L'identification mobile appel. Les systèmes d'identification portables sont proches de la généralisation. Leur multiplication soulève des questions d'interopérabilité et de normalisation. La biométrie n’est plus, loin s’en faut, cantonnée au domaine militaire ou aux complexes industriels de pointe. Le développement de l’identification mobile dans la police, la douane, l’armée ou encore l’hôpital annonce une banalisation qui n’est pas sans poser quelques questions.
C’est pourquoi le National Institute of Standards and Technology a jugé nécessaire de proposer des recommandations pour encadrer au mieux cette généralisation. Elles viseront également à assurer une meilleure qualité biométrique, à améliorer la fiabilité des produits et à assurer la compatibilité avec les systèmes existants.
Le souci de l’interopérabilité L’absence d’interopérabilité est l’un des principaux problèmes que cherche à résoudre ce rapport. Un filtre pour sécuriser les appels en VoIP. SIP-Aware Application Layer Gateway utilise un filtre qui inspecte l'ensemble des paquets de données, et non pas quelques points prédéfinis. Intérêt : rendre les communications plus sûres et plus rapides. Pour accélérer la transmission du trafic voix sur Internet et assurer une plus grande sécurité, l’université de Columbia et les laboratoires de Verizon avaient déjà mis au point une technologie qui filtre les connexions VoIP au fur et à mesure de leur entrée dans le réseau.
Celle-ci s’appuie sur SIP (Session Initiation Protocol), un protocole ouvert de gestion de sessions souvent utilisé pour les télécommunications. Elle a été baptisée SIP-Aware Application Layer Gateway. Pour passer de l'étape du projet à son industrialisation, Cisco annonce s'être rapproché du CATT*. Les deux partenaires travailleront à sa commercialisation.
Une clé personnalisée pour sécuriser les connexions mobiles. Le DAIICT a mis au point un système de cryptographie qui repose sur l'installation, l'enregistrement et l'échange de clés authentifiées. Celui-ci verrouille les réseaux GSM lors de l'échange de données sensibles. L’utilisation des téléphones portables comme plate-forme de paiement, de m-banking ou d’emails crée de nouveaux défis en terme de sécurité. Défis auxquels les protocoles de sécurisation actuels des réseaux GSM ne répondent pas, estiment des chercheurs indiens du DAIICT*. C’est pourquoi ils proposent un protocole de cryptographie reposant sur l’identité de l’utilisateur comme clé publique. C’est à dire que l’on crée une clé de chiffrement propre à chaque mobile, ce qui rend inutile la certification des clés publiques. Le protocole consiste en trois phases : l’installation, l’enregistrement et l’échange de clés authentifiées.
Lors de l’installation, une clé propre à chaque abonné est générée. Shoot&Proof - Accueil.