background preloader

Sécurité informatique

Facebook Twitter

Récupérer des logins et mots de passe sur une machine verrouillée. Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu'il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.

Récupérer des logins et mots de passe sur une machine verrouillée

Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n'est ni plus ni moins qu'un mini-ordinateur qui permet de faire du man in the middle sur n'importe quelle machine. La double authentification par SMS bientôt abandonnée. Excepté le paragraphe introductif, les notes et les intertitres, c’est quasiment le seul élément en gras dans la dernière révision des recommandations du NIST (National Institute of Standards and Technology) : le SMS est considéré comme obsolète pour l’authentification forte.

La double authentification par SMS bientôt abandonnée

L’agence rattachée au département du Commerce des États-Unis recommande de se tourner vers des mécanismes dits « plus sécurisés », notamment les applications mobiles et la biométrie*. Si ces consignes ont une valeur générale, elles ne s’imposent, dans la pratique, qu’aux organes gouvernementaux qui implémentent des dispositifs d’authentification électronique dans leurs systèmes d’information. Leur dernière rédaction – datée du 26 juillet 2016 – n’est, par ailleurs, encore qu’à l’état d’ébauche.

Pour autant, le ton est donné. #Vault7 - Le fiasco de la CIA. Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA.

#Vault7 - Le fiasco de la CIA

En gros, le service qui s'occupe de l'espionnage cyber chez nos amis américains. Ce service a la particularité d'être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d'une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US). Et le contenu rassemblé sous le hashtag #Vault7 n'est pas triste. Premièrement, on y trouve pas mal d'exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days). Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d'autres, leur permettant de collecter les messages textes et audio en clair.

DoubleAgent - Une injection de code indétectable et instoppable par les antivirus. Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine.

DoubleAgent - Une injection de code indétectable et instoppable par les antivirus

La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement. Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc.

Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog. Les 10 commandements de la sécurité sur l'Internet. Les 10 commandements (au nombre de 20 à ce jour !)

Les 10 commandements de la sécurité sur l'Internet

De la bonne conduite pour sécuriser votre ordinateur, protéger votre vie privée, et avoir une expérience de l'Internet moins angoissante. Les droits administratifs, tu banniras ! Le besoin d'utiliser des privilèges administratifs est extrêmement rare, exceptionnel. Vous n'en avez jamais besoin et vos programmes n'en ont jamais besoin. Seuls les programmes légitimes touchant au système d'exploitation en ont besoin (les antivirus, les anti-malwares, les pare-feu, les outils de sécurité, etc. ...). Imaginez qu'une malveillance arrive à s'exécuter au moment où vous êtes identifié avec des privilèges administratifs ! Mis en oeuvre systématiquement et automatiquement par Microsoft à partir de Windows Vista, le principe de moindre privilège est réellement une des très bonnes choses faites par Microsoft, qui a écouté ses utilisateurs.

Le méga-phishing sur Google Docs met en lumière les risques du protocole OAuth. Des millions de smartphones peuvent être piratés à cause de leur module Wi-Fi. Il est possible de pirater une télé connectée… avec un faux signal TNT. Comment crypter votre clé USB pour protéger vos données sensibles ? Parce qu’on n’est jamais à l’abri d’une perte ou d’un vol, il peut être important de crypter sa clé USB pour éviter que des données confidentielles puissent tomber aux mains de personnes étrangères.

Comment crypter votre clé USB pour protéger vos données sensibles ?

L’outil BitLocker de Windows ou FileVault sous MacOS permettent de le faire efficacement. Mais il est également possible d’opter pour VeraCrypt, une application gratuite et multiplateforme. L’outil BitLocker intégré nativement à Windows depuis la version Vista est assez populaire. Il permet de chiffrer des lecteurs de sorte à les rendre illisibles à moins de disposer d’un mot de passe. Mais l’utilitaire n’est disponible que dans les versions Pro et supérieures du système.

Pourquoi VeraCrypt ? Il y a quelques années, de nombreux utilisateurs faisaient confiance à TrueCrypt, une application Open Source qui permettait de chiffrer n’importe quel lecteur en le transformant en un coffre-fort numérique.