Accueil Le blog

McAfee : une entreprise sur quatre touchée par des vols de données

Hits: 3

 

McAfee.jpgLa sécurité sur le cloud privé constitue un enjeu de taille pour les entreprises. Basé sur un sondage réalisé auprès de 1 400 experts en technologies à travers le monde, le rapport indique que 96 % des entreprises utilisent actuellement des services cloud public ou privé ou une combinaison des deux (NDRL : cloud hybride), contre 93 % un an plus tôt.

Selon l’étude, 83 % des entreprises stockent des données sensibles sur le cloud, mais seulement 69 % d’entre elles font confiance au cloud public pour garder leurs données en sécurité. Bien que 83 % des entreprises aient déjà été victimes d’au moins un incident de sécurité sur le nuage, l’adoption du cloud ne cesse de s’accélérer. Les problèmes courants incluent le manque de visibilité des données dans les applications de cloud computing (30 %), le vol d’applications cloud par un tiers malveillant (26 %), et enfin le manque de contrôle sur l’accès aux données sensibles (25 %). Une entreprise sur cinq aurait subi une attaque critique via le cloud.

La nouvelle loi européenne sur la vie privée rend les entreprises fébriles

« L’étude de cette année montre qu’il y a des entreprises qui accélèrent leur migration sur le cloud et augmentent leurs investissements pour gérer les risques, et d’autres de plus en plus nombreuses qui au contraire adoptent une approche plus prudente », explique dans le rapport Raj Samani, chercheur en chef chez McAfee. Selon le rapport de McAfee, le cloud-first constitue la stratégie informatique privilégiée par de nombreuses entreprises.

La prudence reste toutefois de mise, car le nombre d’entreprises ayant adopté une stratégie cloud-first a baissé de 82 % à 65 % cette année. L’enquête montre également que 10 % des sociétés prévoient de diminuer leurs investissements sur le cloud à cause de la nouvelle loi sur la vie privée (RGPD) de l’Union européenne qui va entrer en vigueur au mois de mai. Avec cette loi, les entreprises pourraient se voir en effet lourdement sanctionnées en cas de vols de données des consommateurs.

lesnumeriques

Le site des impôts force ses visiteurs à regarder une vidéo YouTube pour entrer

Hits: 5

 

image dediée

Si vous avez tenté de déclarer vos revenus pour 2017 sur le site des impôts, vous avez sans doute constaté qu’il était impossible de rentrer à moins de regarder une vidéo.

Cette semaine, la Direction générale des finances publiques (DGFiP) a ouvert le site permettant à chacun d’effectuer sa déclaration d’impôt 2018 sur les revenus de 2017. Une campagne importante et charnière, puisque le prélèvement à la source prendra le relai dès 2019, après un report d’un an.

Pour préparer cette échéance, la DGFiP précise qu’« à partir de mi-avril 2018, si vous déclarez vos revenus en ligne, votre taux de prélèvement à la source, ainsi que vos éventuels acomptes applicables à compter du 1er janvier 2019 seront présentés à la fin de votre déclaration ».

Une nouveauté sur laquelle il faut communiquer. Ainsi, outre les relais habituels dans la presse, de nombreuses ressources ont été mises à disposition des contribuables. Mais en cherchant à s’assurer qu’elles seraient vues par le plus grand nombre, les services fiscaux sont allés un peu trop loin.

Vous pourrez déclarer vos impôts après ce message à caractère informatif

Ainsi, depuis quelques jours, de nombreux utilisateurs se plaignent de voir une fenêtre modale sur le site officiel des impôts. Celle-ci contient une vidéo d’un peu plus de deux minutes présentant le prélèvement à la source, ainsi qu’un bref message et un bouton d’accès à l’espace professionnel. Mais aucune fonction ne permet de fermer le tout.

En réalité, il faut lancer la vidéo et attendre au moins une minute. C’est seulement lorsqu’un compteur de 60 secondes est arrivé à son terme que l’on peut rentrer sur le site. Avant, impossible de rentrer : la fenêtre s’affiche sans possibilité de l’éviter.

Le site sait que vous avez vu cette vidéo grâce à un cookie déposé dans votre navigateur : videoPAS_session, qui contient la valeur nepasreafficher. Ainsi, dès que vous changerez de machine ou de navigateur, il faudra recommencer. Un dispositif plutôt efficace, puisque là où les vidéos de la DGFiP dépassent difficilement les quelques centaines de vues, celle sur le prélèvement à la source en est à 3,9 millions en deux semaines.

Un précédent aux multiples dérives possibles

Mais voilà, le dispositif interroge, tant sur sa moralité que sur sa légalité. Car forcer l’utilisateur à regarder une vidéo pour entrer sur un site est une pratique assez peu appréciée des internautes de manière générale. C’est donc encore plus le cas lorsqu’il s’agit d’un site officiel sur lequel chacun doit se rendre, notamment pour effectuer sa déclaration.

Imaginez par exemple qu’un ministre juge nécessaire que l’on regarde sa dernière allocution avant de rentrer sur le site de son ministère, ou que ceux qui acceptent FranceConnect vous imposent de regarder une vidéo de présentation avant de pouvoir entrer afin de promouvoir le dispositif. Vous allez sur le site de Pôle Emploi ? Le gouvernement vous explique sa refonte du droit du travail avant de vous laisser déclarer votre situation.

La pratique est néanmoins clairement assumée par la DGFiP qui a répondu ce week-end sur Twitter à ceux qui critiquaient le procédé, suite à un message l’expliquant. « C’est une réforme importante qui mérite bien quelques minutes d’attention » précisait le compte, avouant qu’il y a tout de même quelques limites techniques.

Ainsi, un utilisateur n’acceptant pas les cookies « ou si vous êtes derrière un pare-feu ou un Proxy » pourra voir cette vidéo lui être proposée en boucle, sans alternative. On s’interroge aussi sur la prise en compte des personnes aveugles ou malentendantes.

La justification donnée est la volonté d’apporter une réponse aux Français qui s’estiment mal informés sur les réformes. Avec ce petit cours de rattrapage, ils ne pourront plus dire qu’ils n’ont pas eu le message. Une pratique jugée «acceptable », qui ne sera que temporaire :

Le choix de YouTube et l’accès à nos données

Outre cette méthode plus que cavalière, plusieurs questions se posent, notamment sur le choix de YouTube. En effet, la vidéo étant affichée par défaut, les informations de navigation de l’utilisateur sont envoyées au service américain, ce dernier déposant des cookies sur la machine de l’utilisateur, qui n’aura pas donné son consentement.

Pourtant la DGFiP aurait pu utiliser un service de diffusion maison, un service « French Tech », une instance PeerTube, ou même le mode « Confidentialité avancée » de YouTube (domaine youtube-nocookie.com). Cela n’a pas été le cas. D’autant que la page contient ainsi des appels aux services de Google et de la régie publicitaire DoubleClick en plus de Xiti.

Assez ironiquement d’ailleurs, sous la fenêtre contenant la vidéo, on voit le « bandeau cookies » du site s’afficher. Si l’on demande à avoir plus d’informations sur l’utilisation faite de nos données et les méthodes d’expression du consentement, on est redirigé vers une page… qui ne s’affichera pas tant que la fameuse vidéo n’a pas été lue.

DGFiP YouTube ForcingDGFiP YouTube Forcing

Cette page contient de toute façon assez peu d’informations utiles, puisqu’elle se contente de donner le numéro de la déclaration CNIL, sans plus de précisions. On en apprendra par contre beaucoup plus sur les droits de reproduction et les conditions permettant d’effectuer des liens vers les pages du site.

Autant dire qu’à un peu plus d’un mois de l’application du RGPD (voir notre analyse), et en pleine affaire Cambridge Analytica, un tel procédé fait désordre. Espérons que la DGFiP comprendra rapidement les problèmes posés, pour s’expliquer et changer d’avis. Mais aussi que la CNIL en profitera pour faire suivre quelques recommandations aux administrations qui seraient tentées de placer « l’efficacité » avant le respect de droits des citoyens.

Malware Android : Google Play infiltré par des applications de lecture QR code malveillantes

Hits: 10

Les SophosLabs nous ont juste alertés sur un type de malware Android ayant infiltrée Google Play en se présentant comme un ensemble d’utilitaires.

Sophos détecte ce malware sous le nom Andr/HiddnAd-AJ, et son nom vous donne une idée du potentiel de cette application malveillante : vous noyer sous des tonnes de publicités, mais seulement après être restée silencieuse un temps, pour vous donner un faux sentiment de sécurité.

malware android

Nous avons signalé l’application malveillante auprès de Google, qui l’a depuis retirée du Play Store, mais certaines d’entre elles ont tout de même réussi à générer plus de 500 000 téléchargements.

Le subterfuge utilisé par les développeurs pour obtenir l’indulgence du processus de validation de l’application « Play Protect » de Google semble étonnamment simple.

malware android

Tout d’abord, les applications étaient, du moins en apparence, conformes à ce qu’elles prétendaient être : six étaient des applications de lecture de code QR, une autre était une soi-disant « boussole intelligente ».

En d’autres termes, si vous étiez juste en train d’essayer des applications pour le plaisir, ou dans un but bien précis, vous pouviez être amené à les juger sur la base de leurs propres descriptions.

Deuxièmement, les cybercriminels n’ont pas répandu la partie adware de leurs applications immédiatement, mais ils l’ont cachée innocemment pendant quelques heures avant de déclencher une rafale de publicités.

Troisièmement, la partie adware de chaque application était intégrée dans ce qui semblait, à première vue, être une bibliothèque de programmation Android standard, qui était elle-même intégrée dans l’application en question.

En ajoutant un sous-composant « graphique », à l’apparence innocente, au sein d’une collection de routines de programmation que vous vous attendez à trouver dans un programme Android normal, le moteur de l’adware à l’intérieur de l’application, se cachait effectivement à la vue de tous.

Malgré son innocence apparente, ce malware Android affiche non seulement des fenêtres pop-up publicitaires, mais peut envoyer également des notifications Android, incluant des liens cliquables, pour vous inciter à générer des revenus publicitaires pour les cybercriminels.

malware android

Lorsque vous exécutez l’une de ces applications infectées pour la première fois, elle effectue un  » call home  » pour recevoir des informations de configuration auprès d’un serveur contrôlé par les cybercriminels.

Chaque configuration téléchargée donne au malware Android :

  • Un identifiant Google Ad Unit à utiliser.
  • Une liste d’URLs à ouvrir dans votre navigateur pour vous envoyer des annonces.
  • Une liste de messages, d’icônes et de liens à utiliser dans les notifications que vous verrez apparaitre.
  • Le temps d’attente avant d’effectuer un « call home » pour obtenir la prochaine mise à jour de la configuration.

Ce protocole permet aux cybercriminels d’adapter à distance le comportement du malware Android, en modifiant facilement à la fois ses campagnes publicitaires et son agressivité, et ce sans avoir besoin de mettre à jour le code malveillant lui-même.

Lorsque les SophosLabs ont testé ces échantillons, les paramètres de la première configuration, mise en avant par les cybercriminels, étaient plutôt très discrets.

En effet, durant les six premières heures, la liste des annonces était vide, signifiant ainsi que le comportement des applications était irréprochable à première vue …

… avant d’inonder l’appareil de publicités en plein écran, d’ouvrir diverses pages web liées aux annonces et d’envoyer des notifications avec des liens associés aux annonces, même lorsque les fenêtres des applications étaient fermées.

Quoi faire ?

Comme mentionné, Google n’approuve plus ces applications à présent, et si vous installez notre produit gratuit Sophos Mobile Security pour Android, nous détecterons et facultativement supprimerons ces applications publicitaires imposées, si ces dernières sont déjà présentes sur votre appareil.

Malgré l’incapacité de Google à repérer ces « utilitaires » malveillants avant que ces derniers ne reçoivent l’autorisation de figurer dans le Play Store, nous vous recommandons néanmoins de rester sur Google Play si vous le pouvez.

Le processus de validation des applications de Google est loin d’être parfait, mais l’entreprise effectue au moins quelques vérifications en guise de pré-acceptation.

De nombreux référentiels parallèles d’applications Android ne pratiquent aucun contrôle, ils sont ouverts à tous. Ainsi ils s’avèrent très pratiques si vous recherchez des applications inhabituelles ou hautement spécialisées, qui ne seront pas diffusées sur Google Play (ou bien en essayant de publier du contenu non conventionnel).

Mais les référentiels d’applications non réglementés sont également risqués, pour toutes ces mêmes raisons !


Billet inspiré de Crooks infiltrate Google Play with malware in QR reading utilities, sur Sophos nakedsecurity.

CloudFlare lance un DNS pour une navigation internet plus rapide et plus sûre

Hits: 14

fkqsmlfqksf - CloudFlare lance un DNS pour une navigation internet plus rapide et plus sûre

Avec le scandale Cambridge Analytica impliquant Facebook, les internautes se rendent compte que leurs précieuses données sont vulnérables. S’il n’existe aucune solution miracle pour échapper à l’indiscrétion de vos sites préférés, l’entreprise CloudFlare propose désormais un outil qui pourrait vous intéresser.

CloudFlare : un DNS qui ne sauvegarde aucune donnée de ses utilisateurs

Ce dimanche 1er avril, CloudFlare a lancé son serveur DNS nommé simplement « 1.1.1.1 ». Disponible pour tous, celui-ci est supposé protéger les données de ses utilisateurs, tout en améliorant la rapidité de leur navigation internet. Si vous ne le savez pas, un serveur DNS permet tout simplement de traduire un nom de domaine en adresse IP. En d’autres termes, c’est une sorte d’annuaire que votre ordinateur consulte.

Habituellement, votre box vous attribue automatiquement un serveur DNS. Votre fournisseur d’accès à internet a alors l’occasion d’accéder à tout un tas de données sur votre historique de navigation. Heureusement, vous avez la possibilité d’en sélectionner un autre, comme celui de CloudFlare. Celui-ci promet un temps de résolution avec un temps de réponse inférieur à 15 ms. À titre de comparaison, il est de 20 ms pour OpenDNS et de 30 ms pour celui de Google.

Pour configurer le serveur DNS proposé par CloudFlare, rien de plus simple. Tapez « 1.1.1.1 » dans la barre URL de votre navigateur, et vous tomberez sur une page vous donnant des instructions pour le configurer. Pour ceux qui pensent à un poisson d’avril, étant donné que ce nouvel outil est disponible depuis le 1er avril, rassurez-vous. Le boss de l’entreprise américaine, Matthew Prince, a jugé drôle de l’annoncer à cette date. Aux États-Unis, 1er avril s’écrit « 4/1″…

erenumerique

Clauses abusives : la justice enfonce SFR en appel

Hits: 16

 

Contrat SFR.jpg

Le 17 mai 2016, l’UFC-Que Choisir remportait une première manche dans un procès qui l’oppose à SFR, accusé d’avoir fait figurer dans ses contrats grand public quelque 22 clauses abusives. L’association avait fourni à la justice un dossier démontrant le caractère abusif de divers points contractuels, permettant à l’opérateur de s’exonérer de ses responsabilités vis-à-vis des règles érigées par l’Arcep et des lois prévues par le Code de la consommation. Des clauses qui permettaient, entre autres, à SFR d’appliquer une politique de dédommagement très peu avantageuse pour les clients, d’interdire les résiliations sans frais en cas d’augmentation tarifaire, de s’accorder une confortable marge de 10 % d’échecs sur les appels, SMS et connexions, ou encore de se dédouaner en cas de dysfonctionnement des services proposés. SFR avait alors été condamné à mettre ses contrats en conformité et à verser 30 000 € à l’association de défense des consommateurs. Et évidemment, SFR avait fait appel de cette condamnation.

Hier, l’UFC-Que Choisir était heureuse d’annoncer que ce jugement a été validé en appel, ajoutant aussi que la liste des reproches faits à SFR s’est allongée. La Cour d’appel a en effet également reconnu l’opérateur coupable d’avoir utilisé une police d’écriture trop petite et donc illisible pour la présentation de ses conditions générales de vente, qui sont donc intégralement qualifiées d’illicites. La taille de police utilisée, inférieure à 3 mm, rend en effet quasiment impossible la lecture de cette partie du contrat à l’œil nu, ce qui — aux yeux de la loi — empêche le consommateur de prendre connaissance de ces termes spécifiques. Précisons que cette irrégularité a été constatée dans les 9 versions des conditions générales d’abonnement et d’utilisation fournies par SFR à ses clients entre janvier 2012 et juin 2014. En outre, trois clauses supplémentaires ont finalement été reconnues en appel comme abusives par la justice, et notamment le fait de prévoir des frais supplémentaires en cas de changement de moyen de paiement.

quechoisir

Failles critiques chez Cisco, des millions de Switch vulnérables

Hits: 11

Il va falloir patcher vos équipements Cisco. L’équipementier vient de rendre disponible une série de correctifs s’attaquant à 34 failles dans ses produits qui affectent notamment IOS et IOS XE, ses logiciels réseaux. Une d’entre-elles semble particulièrement sérieuse.

La faille estampillée CVE-2018-0171 est présente dans Smart Install, un logiciel client maison qui permet de déployer rapidement des nouveaux switchs. De très nombreux routeurs et de switchs Cisco sont supportés par ce logiciel, ce qui vaut à la vulnérabilité le score de dangerosité de 9,8/10. Un attaquant distant peut l’exploiter afin d’exécuter du code ou provoquer un déni de service.

Selon Embedi, la société qui a découvert la vulnérabilité, des millions d’équipements connectés seraient exposés, notamment parce que Smart Install laisse ouvert par défaut le port TCP 4786. Un PoC (proof of concept) d’un code d’exploitation a été publié par l’éditeur de sécurité, preuve qu’il ne faut pas tarder à patcher.

Il est à noter qu’Embedi a découvert cette faille en mai 2017 et en a communiqué les détails à Cisco en septembre dernier… On rappellera que la firme américaine est accusée de jouer la montre en matière de correctifs. Un précédent correctif corrigeant une faille majeure dans ses firewalls (score CVSS de 10/10) était ainsi disponible 80 jours avant l’avertissement de Cisco.

ZDnet

Le Bitcoin et ses utilisateurs surveillés par la NSA depuis au moins 2013

Hits: 18

Le Bitcoin et ses utilisateurs surveillés par la NSA depuis au moins 2013Si vous avez acheté, vendu ou miné du Bitcoin, alors vous êtes sûrement fiché par la NSA. C’est ce qui ressort des différents documents confidentiels transmis à la presse par Edward Snowden.

NSA + Bitcoin = MonkeyRocket

Ainsi, dans la masse des documents du lanceur d’alerte, le site The Intercept a mené son enquête et découvert le programme MonkeyRocket. Les documents sont certes un peu anciens, car ils datent de 2013, mais ils révèlent la surveillance massive et systématique des utilisateurs de Bitcoin par la NSA. Le nom de ce programme avait déjà été évoqué auparavant et fait partie du programme général de la NSA nommé OakStar. Mais son utilité n’était pas définie.

Cette surveillance se fait d’abord par la récupération des données publiques disponibles via Blockchain, mais aussi par la récupération de données comme l’adresse MAC (réseau) des ordinateurs des utilisateurs, des mots de passe, des données personnelles, activité sur Internet, etc.

Un VPN pour piéger Bitcoin ?

Si les documents transmis par Edward Snowden révèlent l’ampleur de la surveillance des utilisateurs de la cryptomonnaie, la méthode de récupération des données par la NSA ne semble pas claire. Un « faux » VPN semble avoir été utilisé.

En effet, la NSA aurait mis en place un VPN afin que les utilisateurs Bitcoin soucieux de leur anonymat passent par cette passerelle. Sauf que, derrière, la NSA pouvait tranquillement espionner les faits et gestes de ce qui l’utilisait.

La surveillance de Bitcoin encore active ?

Si la NSA a surveillé assez rapidement cette cyptomonnaie et sûrement d’autres, c’est peut-être parce qu’elles sont souvent accusées de financer terrorisme et crime organisé. La question, sans réponse pour le moment, est de savoir si le programme MonkeyRocket est arrêté, en sommeil ou toujours actif.

L’autre souci est que l’utilisation d’un « faux » VPN par la NSA pourrait nuire au marché des « vrais » VPN. Et, de même, est-ce ces actions peuvent nuire à la réputation du Bitcoin et des cryptomonnaies ?

erenumerique

Qu’est-ce qu’un malware « macro-less » et pourquoi cela vous dit-il quelque chose ?

Hits: 23

Tribune par Pascal Le Digol, Country Manager France de WatchGuard – Dans une analyse de novembre 2017, le géant de la sécurité McAfee a mis à jour une campagne d’APT28 utilisant une combinaison de ‘phishing’ (hameçonnage) et de malware « macro-less » pour installer un spyware (logiciel espion) dans l’ordinateur de leurs victimes.

Les malwares « macro-less » exploitent un protocole Microsoft appelé DDE (Dynamic Data Exchange) pour exécuter du code malicieux au sein de documents Microsoft Office. DDE a également des usages légitimes, principalement pour partager des données entre différentes applications. Dans ce cas, les pirates peuvent utiliser DDE pour lancer d’autres applications, comme PowerShell, et exécuter du code malicieux.

Ces nouvelles attaques DDE nécessitent toujours une certaine interaction de la part des utilisateurs, comme les attaques macro traditionnelles sur Office. Afin que le code DDE malicieux puisse s’exécuter, l’attaquant doit convaincre sa victime de désactiver le Mode Protégé et de cliquer sur au moins une fenêtre supplémentaire. Ce qui diffère des attaques macro traditionnelles est la façon dont sont conçues les fenêtres de dialogue pour l’utilisateur.

Avec Microsoft Office 2003 et ses versions suivantes, Microsoft a changé les fenêtres de dialogue macro pour souligner leurs implications en matière de sécurité, en utilisant des boucliers jaunes et des messages proéminents « Alerte de Sécurité ». Les fenêtres d’exécution DDE toutefois, sont de simples boîtes de dialogue grises, parfois sans aucune mention de sécurité, qui demandent aux utilisateurs « Ce document contient des liens pouvant mener à d’autres fichiers. Voulez-vous mettre à jour ce document avec les données provenant du fichier associé ? » En d’autres termes, DDE est maintenant géré de la même façon que les macros traditionnels il y a vingt ans dans Office 97. Nouvelle méthode d’attaque, mais interaction des utilisateurs similaire.

Les macro malwares et macro less malwares ont tous deux le même résultat – ils permettent aux attaquants d’exploiter le moteur de script de Microsoft Windows pour télécharger et exécuter des contenus malicieux. Alors que des macros peuvent embarquer du code Visual Basic directement dans un document Word, DDE doit lancer une application séparée, telle que PowerShell, pour effectuer des tâches complexes telles que télécharger et exécuter un malware.

Donc pourquoi les attaquants font-ils cela ? Les attaques par macro-less malware sont efficaces pour la même raison que les macro malwares l’étaient durant plus de vingt ans. Une large proportion des utilisateurs ne lit simplement pas les fenêtres de dialogue avant de cliquer sur « oui ». Les attaquants accroissent souvent leurs chances de succès en utilisant des tactiques d’ingénierie sociale telles que des instructions explicites visant à accepter tous les messages afin « d’accéder au message important ». Les cyber criminels sont connus pour recycler tout ce qui fonctionne, donc il est courant de voir des tactiques malicieuses comme celle-ci réapparaître régulièrement sous des formes différentes.

Heureusement, il existe des mesures à prendre pour se protéger. Dans le sillage des attaques d’APT28, Microsoft a publié un message de sécurité avec des instructions permettant de désactiver entièrement le protocole DDE. Beaucoup de solutions avancées de ‘sandboxing’ anti malware peuvent détecter les malwares basés sur DDE et les stopper avant qu’ils ne pénètrent dans le réseau. Plus important toutefois, les utilisateurs finaux doivent être formés à l’identification des attaques de ‘phishing’ et aux méthodes d’ingénierie sociale que les pirates utilisent pour persuader leurs victimes de cliquer sur les fenêtres de dialogue DDE.

Microsoft a déjà commencé à améliorer le traitement par Office des malwares macro-less en ajoutant plusieurs contrôles invisibles afin de stopper la progression du code DDE malicieux. Il est probable que Microsoft parviendra très rapidement à améliorer les fenêtres de dialogue de DDE pour mieux avertir les victimes potentielles. Mais ces alertes de sécurité, bien que très visibles, n’ont pas réussi à tuer les macro malwares, ce qui veut dire que les deux types d’attaques devront toujours être prises en considération dans l’avenir. Comme toujours, en cas de doute, il vaut mieux s’abstenir de cliquer sur quelque chose d’inattendu ou que l’on ne comprend pas.

undernews

Les réseaux 4G sont criblés de failles de sécurité

Hits: 26

Les réseaux 4G sont criblés de failles de sécurité

Avec l’arrivée de la 4G, on pensait que les problèmes de sécurité dont souffrait la 3G allaient être résolus. Malheureusement, on est loin du compte. Quatre chercheurs issus de Purdue University et de l’Université de l’Iowa ont créé LTEInspector, une plate-forme d’analyse de la sécurité des protocoles 4G. Ils l’ont appliqué à trois procédures techniques mises en œuvre dans ce type de réseau mobile : le raccordement de l’utilisateur, la déconnexion de l’utilisateur et la notification.

 

Le résultat est édifiant. Les chercheurs ont réussi à trouver pas moins de 19 failles dont 10 qui n’étaient pas encore connues à ce jour. Sur les 10 nouvelles failles, 8 ont pu être validées dans la pratique, notamment dans le cadre d’un réseau 4G expérimental. L’attaque la plus grave exploite une faille dans le protocole d’authentification. Baptisée « Authentication relay attack », elle permet à un attaquant d’intercepter les messages d’un utilisateur, d’usurper sa position géographique et de provoquer des dénis de service. Pour y arriver, il suffit au pirate de mettre en place une fausse station de base et de connaître le numéro IMSI de sa victime, ce qui n’est pas très compliqué.

 

Quelques milliers d’euros suffisent pour pirater la 4G

 

En exploitant une faille dans le protocole de raccordement, les chercheurs ont également pu valider une attaque dite de « traçabilité » qui permet de localiser une personne dans une zone géographique donnée, une fonction dont les forces de l’ordre sont particulièrement friands. Là encore, il suffit d’avoir mis en place une fausse station de base. Parmi les autres failles, citons aussi « Panick attack ». Elle exploite une faille dans le protocole de notification et permettrait d’envoyer en masse de faux messages au travers d’une fausse station de base. Un pirate pourrait ainsi créer localement un mouvement de panique en diffusant des hoax : attaque terroriste, tsunami, etc. Toutefois, les chercheurs n’ont pas validé cette attaque de manière expérimentale.

Pour réaliser toutes ces attaques, pas besoin d’avoir gagné au loto. Les chercheurs ont dépensé entre 1300 et 3900 dollars pour créer leurs plate-formes d’attaques. Pour créer une fausse station de base, ils ont utilisé un équipement radio (USRP B210) qui se trouve dans le commerce et qui se branche en USB sur un ordinateur portable Intel Core i7 sous Ubuntu. Sur ce dernier, ils ont installé OpenLTE, une version open source de la pile protocolaire 4G. Les chercheurs n’ont pas publié les codes source de leurs attaques. Selon ZDnet, ils ne souhaitent pas le diffuser tant que les failles existent encore. Il est donc probable qu’ils ne vont jamais le faire, car corriger des failles protocolaires est extrêmement difficile. Mieux vaut donc attendre… la 5G.

01net

Ubuntu 18.04 proposera un mode « Installation minimale »

Hits: 86

L’installeur d’Ubuntu, nommé Ubiquity, proposera avec la prochaine révision du système une nouvelle option : l’installation minimale. La case à cocher sera disponible dans la même fenêtre demandant à l’utilisateur s’il souhaite des codecs supplémentaires.

La fonction fait exactement ce qu’elle dit : elle installe une configuration minimale. Plus précisément, la base du système, l’environnement graphique, un navigateur et quelques outils. Et c’est tout. Environ 80 paquets sont alors supprimés, parmi lesquels Thunderbird, Transmission, Rythmbox, LibreOffice, Cheese ou encore Shotwell.

Pour Canonical, il est clair que la plupart des utilisateurs n’auront pas envie de ce mode. Il est proposé pour ceux qui souhaitent contrôler finement ce qu’ils installent ensuite, ou encore quand l’espace disque est limité. Mais l’éditeur prévient que le gain reste relatif : 3,5 Go, à comparer aux 4 Go en moyenne d’une installation classique.

Cette solution est donc de type opt-in et ne sera d’ailleurs présente que dans Ubuntu 18.04. L’idée est ensuite de se débarrasser d’Ubiquity au profit de Subiquity, qui doit proposer le même type de fonctionnalité.

Pour rappel, Ubuntu 18.04 est prévu pour avril.

nextinpact