Récupérer des logins et mots de passe sur une machine verrouillée. Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu'il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.
Pour cela, il a utilisé un Hak5 Turtle à 49,99 $ qui n'est ni plus ni moins qu'un mini-ordinateur qui permet de faire du man in the middle sur n'importe quelle machine. Voici d'ailleurs une explication plus détaillée de ce qu'est la Hak5 Turtle : Comme c'est déjà prévu sur la Turtle, c'est easy à configurer. Il suffit d'activer les modules "serveur DHCP" ainsi que le module Responder de Laurent Gaffié. Responder est un super outil capable de recevoir et de stocker toutes les demandes d'authentification (NTLMv1/NTLMv2/LMv2, NTLMSSP et authentification HTTP basique) qui passent par lui, que ce soit via HTTP/SMB/MSSQL/FTP/LDAP. La double authentification par SMS bientôt abandonnée.
Excepté le paragraphe introductif, les notes et les intertitres, c’est quasiment le seul élément en gras dans la dernière révision des recommandations du NIST (National Institute of Standards and Technology) : le SMS est considéré comme obsolète pour l’authentification forte.
L’agence rattachée au département du Commerce des États-Unis recommande de se tourner vers des mécanismes dits « plus sécurisés », notamment les applications mobiles et la biométrie*. Si ces consignes ont une valeur générale, elles ne s’imposent, dans la pratique, qu’aux organes gouvernementaux qui implémentent des dispositifs d’authentification électronique dans leurs systèmes d’information. Leur dernière rédaction – datée du 26 juillet 2016 – n’est, par ailleurs, encore qu’à l’état d’ébauche. Pour autant, le ton est donné.
En premier lieu au point 4, qui concerne les garanties minimales correspondant à chaque niveau d’authentification. C’est au point 5.1.3.2 qu’il est fait mention du SMS. A lire aussi : #Vault7 - Le fiasco de la CIA. Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA.
En gros, le service qui s'occupe de l'espionnage cyber chez nos amis américains. Ce service a la particularité d'être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d'une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US). Et le contenu rassemblé sous le hashtag #Vault7 n'est pas triste. Premièrement, on y trouve pas mal d'exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days). Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d'autres, leur permettant de collecter les messages textes et audio en clair.
DoubleAgent - Une injection de code indétectable et instoppable par les antivirus. Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine.
La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement. Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc.
Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog. Source. Les 10 commandements de la sécurité sur l'Internet. Les 10 commandements (au nombre de 20 à ce jour !)
De la bonne conduite pour sécuriser votre ordinateur, protéger votre vie privée, et avoir une expérience de l'Internet moins angoissante. Les droits administratifs, tu banniras ! Le besoin d'utiliser des privilèges administratifs est extrêmement rare, exceptionnel. Vous n'en avez jamais besoin et vos programmes n'en ont jamais besoin. Seuls les programmes légitimes touchant au système d'exploitation en ont besoin (les antivirus, les anti-malwares, les pare-feu, les outils de sécurité, etc. ...). Imaginez qu'une malveillance arrive à s'exécuter au moment où vous êtes identifié avec des privilèges administratifs ! Mis en oeuvre systématiquement et automatiquement par Microsoft à partir de Windows Vista, le principe de moindre privilège est réellement une des très bonnes choses faites par Microsoft, qui a écouté ses utilisateurs. Sous Windows XP, cet automatisme très sécuritaire n'existe pas.
Le méga-phishing sur Google Docs met en lumière les risques du protocole OAuth. Des millions de smartphones peuvent être piratés à cause de leur module Wi-Fi. Il est possible de pirater une télé connectée… avec un faux signal TNT. Comment crypter votre clé USB pour protéger vos données sensibles ?