Fermer le menu

sécurité

Fuite de photos dénudées : Apple enquête

| 01/09/2014 | 22:26 |  

Depuis ce matin, l'affaire fait grand bruit. Des photos de célébrités nues sont en libre circulation sur internet, suite à l'exploitation d'une faille au sein du service Localiser mon iPhone. Les pirates ont en fait usé de force brute sur les comptes iCloud des victimes, en utilisant un script Python qui teste des milliers de combinaisons avant de trouver le sésame.

L'actrice Jennifer Lawrence fait partie des victimes de ce piratage.

Apple a rapidement comblé la brèche, mais malgré tout le mal est fait : à quelques jours d'un special event où il devrait être question d'un objet « prêt à porter » mesurant et analysant l'activité physique, la sécurité des données revient sur le devant de la scène : qui voudrait laisser à iCloud le soin de stocker des informations aussi précieuses concernant sa santé si la sécurité n'est pas maximale ?

Apple « enquête activement » sur le vol de données qui a eu lieu sur les comptes iCloud des vedettes touchées, assure le constructeur à Re/code. « Nous prenons la vie privée très au sérieux et nous enquêtons sur le sujet », fait savoir Natalie Kerris, porte-parole du groupe. Il est effectivement capital pour Apple de prendre le problème à bras le corps, au moment où la société va sans doute proposer de stocker encore plus de données très personnelles dans son nuage.

Ce piratage aurait été rendu beaucoup plus difficile si Apple faisait une plus grande publicité à son système de vérification en deux étapes, pointent des experts en sécurité. Dans la confusion certaine qui règne encore autour de cette affaire, il semble néanmoins qu'Apple ne soit pas seule en cause : apparemment, des vidéos circulant sur Dropbox auraient aussi été piratées.

> Accéder aux commentaires

Fuite de photos de stars nues : la faille liée à Localiser mon iPhone comblée

| 01/09/2014 | 15:39 |  

Le mystère s'éclaircit autour de la divulgation de photos personnelles et dénudées de célébrités. C'est apparemment une faille dans le service Localiser mon iPhone qui a permis le piratage des comptes iCloud des victimes. Un script en Python publié sur GitHub permettait de réaliser une attaque par force brute sur des comptes iCloud par l'intermédiaire de l'API du service de localisation.

Autrement dit, ce script permettait d'essayer des milliers de combinaisons jusqu'à trouver le bon mot de passe. Si le mot de passe utilisé était très simple, l'opération pouvait être très rapide.

Apple bloque normalement pendant quelques minutes l'authentification à un compte iCloud après cinq essais infructueux, mais l'API de Localiser mon iPhone contenait une faille qui permettait de passer outre cette mesure de protection.

Une fois en possession du mot de passe, la personne malveillante avait accès à l'intégralité du compte iCloud, dont le flux de photos.

Apple a apparemment comblé cette faille il y a quelques dizaines de minutes. « Fini de s'amuser, Apple vient juste de corriger [la faille] », peut-on lire sur la page GitHub du script.

Il n'est toutefois pas certain que toutes les photos divulguées proviennent d'iCloud. Certains dossiers contenant les photos renferment des fichiers propres à Dropbox.

Pour éviter ce genre de déconvenues, outre utiliser un mot de passe fort, il est vivement recommandé d'activer la vérification en deux étapes. Un code de validation est envoyé sur un appareil censé être sûr (son smartphone, typiquement) quand on se connecte à partir d'un terminal ou d'un lieu différent. La vérification en deux étapes est disponible pour les services d'Apple, de Google et de Dropbox, entre autres.

> Accéder aux commentaires

Des routeurs Wi-Fi vulnérables à une attaque ciblant le WPS

| 01/09/2014 | 14:39 |  

Un chercheur en sécurité a mis en lumière une vulnérabilité qui permet de pirater très rapidement certains routeurs Wi-Fi. La découverte de Dominique Bongard, fondateur de la société de sécurité 0xcite, repose sur une mauvaise implémentation du WPS (Wi-Fi Protected Setup), un protocole qui simplifie la connexion d'un appareil à un réseau Wi-Fi.

Le WPS prévoit différentes méthodes de connexion. L'une d'entre elle consiste à appuyer pendant quelques secondes sur un bouton présent sur le routeur. Une autre nécessite de saisir un code PIN à 8 chiffres inscrit sur le matériel.

C'est ce code PIN qui peut poser problème dans certains cas. De précédentes recherches ont montré qu'il fallait tester jusqu'à 11 000 possibilités pour parvenir à cracker le protocole. Dominique Bongard a pour sa part remarqué qu'à cause d'une absence ou d'une faiblesse de génération de nombre aléatoire sur certains modèles, il était possible de calculer le code PIN exact. Ensuite « cela prend une seconde. Bang. C'est fait », explique le chercheur.

Des routeurs qui sont équipés de puce Broadcom et d'une seconde marque qui n'est pas nommée sont touchés. Les modèles exacts ne sont pas connus. Si vous n'utilisez pas le WPS, le plus sage est de le désactiver.

> Accéder aux commentaires

iCloud aurait été hacké pour des photos de stars nues

| 01/09/2014 | 09:16 |  

Dans la nuit de dimanche à lundi, des photos de Jennifer Lawrence nue sont apparues sur la toile. L’actrice devenue célèbre pour sa participation à la saga Hunger Games n’est pas la seule concernée : plusieurs stars ont été ainsi mises à nu et les responsables ont publié une liste avec une vingtaine de noms. À chaque fois, les responsables auraient profité d’une faille liée à iCloud pour accéder à ces images.

Le conditionnel reste de rigueur toutefois. En effet, les photos sorties dans la nuit ne sont pas toutes de vraies images des stars. Si celles de Jennifer Lawrence ou de l’actrice Mary Elizabeth Winstead sont vraiment des photos personnelles, d’autres sont au contraires fausses, comme celles de l’actrice, chanteuse et danseuse Victoria Justice. Plus troublant encore, certaines photos auraient été effacées depuis longtemps des iPhone concernés.

Difficile ainsi de démêler le vrai du faux à ce stade, mais il faudra savoir si la sécurité des comptes iCloud est vraiment compromise. Les pirates ont-ils simplement réussi à deviner le mot de passe des stars ? Ou ont-ils pu accéder aux serveurs d’iCloud pour piocher soit dans le flux de photo, soit dans les sauvegardes des appareils iOS ?

On n’en sait pas plus pour l’heure, mais étant donnée l’ampleur des évènements quelques heures seulement après l’apparition des photos, on se doute qu’Apple devra répondre, d’une manière ou d’une autre.

> Accéder aux commentaires

Finalement, Java sera toujours nécessaire pour voter en ligne

| 18/08/2014 | 15:30 |  

À la suite de problèmes liés à Java lors des élections législatives de juin 2012 et des élections des conseils consulaires en mai dernier, Fleur Pellerin avait annoncé que la technologie d'Oracle allait être abandonnée pour les prochains votes en ligne. Une déclaration finalement contredite par le ministre des Affaires étrangères.

Dans une réponse à une députée repérée par Next INpact, Laurent Fabius indique que « [l'utilisation de Java] est un prérequis imposé par la mise en conformité de la solution de vote avec le Référentiel général de sécurité (RGS) et les recommandations de la CNIL ».

Si Java est un prérequis, c'est parce qu'il « offre à l'électeur un environnement sécurisé lui permettant de garantir la sincérité de son vote ». Le terme « sécurité » revient en effet souvent quand il est question de Java, mais rarement pour les bonnes raisons.

Le ministère des Affaires étrangères reconnait toutefois « la complexité de la technologie Java et souhaite améliorer l'accessibilité des électeurs au portail de vote. » Pour cela, un nouvel appel d'offre sera lancé. « Ce marché tiendra compte de l'expérience des scrutins antérieurs (législatives 2012/2013 et conseillers consulaires 2014) et veillera à ce que la solution de vote électronique retenue permette de répondre aux exigences de facilité d'accès pour l'utilisateur et aux conditions de sécurité très rigoureuses (secret du vote, résistance aux intrusions) », précise le ministre.

Pour mémoire, Java n'est plus intégré par défaut dans OS X. Si une application a besoin de cette technologie pour fonctionner, au premier lancement, le système affichera un message pour télécharger et installer Java. Autrement, on peut chercher soi-même le logiciel sur le site d'Oracle. Pour des questions de sécurité, Apple bloque régulièrement l'exécution des vieilles versions du plug-in web Java.

> Accéder aux commentaires

La Chine interdit l'iPad et le MacBook à ses administrations

| 06/08/2014 | 14:37 |  

La polémique sur la sécurité des produits d'Apple rebondit en Chine. Les médias du pays ont mi juillet pris en grippe les services de géolocalisation d'iOS, et notamment la fonction Lieux fréquents qui autorise l'iPhone à mémoriser les endroits souvent fréquentés pour « obtenir des données de localisation utiles ». Ce service serait coupable de divulguer des « secrets d'État », d'après la CCTV dont les « scoops » contre des entreprises occidentales sont souvent téléguidés par le pouvoir central. Apple n'avait pas tardé à répliquer avec force, expliquant sur son site web, en mandarin et en anglais, que son « activité ne repose pas sur la collecte de gros volumes de données personnelles de nos consommateurs » et que les données de localisation fréquentes ne servent que pour les conditions routières (lire : Chine : Apple éteint la polémique sur la localisation).

Ces explications n'ont visiblement pas convaincu les autorités chinoises, qui ont pris la décision d'exclure le MacBook et l'iPad de la liste de produits qui peuvent être achetés pour les administrations avec les deniers publics. En cause : « s'assurer de la sécurité informatique » des produits concernés, d'après l'agence Xinhua News. En tout, ce sont dix produits d'Apple (tous les iPad et tous les MacBook) qui ont été exclus d'une liste établie par le ministère des Finances et la Commission sur la réforme et le développement national du pays, et qui recense les terminaux qui peuvent être achetés par les administrations. Les modèles d'Apple étaient pourtant présents dans un brouillon de cette liste en juin. Dell, HP et le régional de l'étape Lenovo figurent bien sur la liste finale.

La Pomme n'est pas seule : les administrations chinoises ne peuvent plus acheter d'antivirus Symantec et Kaspersky, tandis que certains produits Microsoft (Windows 8, notamment) ont été exclus des futurs achats d'ordinateurs économes en énergie. D'après un analyste interrogé par Bloomberg, « le gouvernement chinois veut s'assurer que les entreprises étrangères n'ont pas trop d'influence en Chine ». Le marché local est l'un des plus importants pour Apple : au second trimestre, le constructeur y a généré 16% de ses revenus (37,4 milliards), avec des ventes d'iPad qui ont augmenté de 51% (+39% pour les Mac). À noter que la fameuse liste ne concerne pas l'iPhone.

> Accéder aux commentaires

Sécurité : 1,2 milliard de mots de passe dans la nature

| 06/08/2014 | 10:16 |  

Le casse virtuel du siècle ? Peut-être pas, mais si l’information révélée par le New York Times s’avère exacte, nous allons tous passer quelques heures à mettre à jour nos mots de passe.

En effet, un groupe de pirates informatiques russes — surnommé CyberVor — est parvenu à récupérer 1,2 milliard d’identifiants et de mots de passe ainsi que 500 millions d’emails ! Selon les chercheurs de la société de sécurité informatique Hold Security, ils ont réussi à exploiter une faille de sécurité sur 420 000 sites ! « Cela va des entreprises référencées dans le classement Fortune 500 aux très petits sites » estime Alex Holden, fondateur de Hold Security, qui ajoute que la plupart des sites en question sont toujours vulnérables.

Image elhombredenegro CC BY

Le groupe à l’origine de cette attaque serait minuscule comparé à l’ampleur du butin : moins de douze personnes âgées de 20 ans en moyenne. Géographiquement parlant, les CyberVors seraient localisés dans une petite ville au sud de la Russie coincée entre le Kazakhstan et la Mongolie. Un petit groupe certes, mais relativement bien organisé avec des divisions : certains écrivent des programmes pendant que d’autres les exploitent pour voler des données.

Ce groupe a commencé à se faire connaître en 2011 en tant que « spammeurs amateurs ». Ils achetaient des bases de données d’emails et tentaient de piéger les internautes en les invitant à surfer sur des pages infectées. Mais depuis, ce groupe, surveillé depuis un certain temps déjà par la société Hold Security, est passé à la vitesse supérieure.

Afin de parvenir à amasser un tel butin, ils ont utilisé des botnets (des réseaux d'ordinateurs compromis qui peuvent être contrôlés à distance). A chaque fois qu’un ordinateur infecté se connectait à un site web, le programme mis au point par les hackers testait si celui-ci était vulnérable à leur injection SQL. Si le site s’avérait être attaquable, alors ils revenaient un peu plus tard pour voler les informations qui les intéressaient.

« Ils ont fait un audit d’Internet », déclare Alex Holden qui se demande combien d’ordinateurs infectés ils avaient à leur disposition quand ils ont commencé cette opération. D’après sa société, ils avaient en juillet plus de 4,5 milliards d’enregistrements (identifiant et mot de passe). Toutefois, certaines données étaient redondantes. Après analyse de celles-ci, Hold Security estime qu’ils ont à leur disposition plus de 1,2 milliard d’enregistrements uniques !

...

> Lire la suite et accéder aux commentaires

Mozilla : des milliers d'identifiants et de mots de passe à l'air libre

| 04/08/2014 | 14:30 |  

Une opération de maintenance sur la base de données du Mozilla Developer Network (MDN) a conduit malencontreusement à l'exposition de 76 000 adresses emails d'utilisateurs et 4 000 mots de passe chiffrés sur un serveur public, a averti ce week-end la fondation.

Un peu trop ouvert...

Le fichier a été à l'air libre du 23 juin au 22 juillet. Mozilla indique ne pas avoir détecté d'activité malicieuse sur ce serveur public pendant ce laps de temps, néanmoins, elle ne peut pas assurer que le fichier n'a pas été copié.

Les mots de passe étaient chiffrés et ont été réinitialisés par mesure de sécurité sur le MDN. Reste toujours qu'avec un peu de volonté et un peu de temps, le chiffrement peut être cassé et il est possible que les utilisateurs emploient le même mot de passe sur différents services. Mozilla a prévenu individuellement les développeurs concernés par cette fuite.

Dans le même temps, ou presque, un hacker bien connu s'en est pris à Firefox. Non content d'avoir hacké le navigateur libre avec succès à la dernière édition de Pwn2Own — et d'avoir empoché 50 000 $ au passage —, George Hotz a remis le couvert la nuit dernière et en direct sur Twitch. geohot, qui fait actuellement un stage chez Google, s'est attelé à exploiter une faille de sécurité connue pour compromettre Firefox 28. Un challenge qu'il a relevé au bout d'une dizaine d'heures à tripatouiller du code.

> Accéder aux commentaires

SynoLocker : des NAS Synology pris en otage

| 04/08/2014 | 13:30 |  

Depuis quelques jours, des possesseurs de NAS Synology font état d'un piratage de leur appareil. En se connectant à l'interface d'administration de leur NAS, des utilisateurs font face à un message qui indique que les données sont chiffrées par un logiciel malveillant baptisé SynoLocker. Pour obtenir la clé de chiffrement et accéder ainsi de nouveau à ses fichiers, SynoLocker demande de l'argent (0,6 Bitcoins, soit environ 260 €).

Le vecteur de l'attaque est pour l'instant inconnu et Synology n'a pas communiqué publiquement sur le sujet. Sur le forum du fabricant, un utilisateur dit avoir reçu un email de Synology qui est au courant du problème et lui a donné une solution de secours. Il faut installer le système d'exploitation DSM sur un disque vierge puis migrer toutes ses données. La marche à suivre est détaillée ici.

Par mesure de précaution, mieux vaut désactiver certaines fonctions réseau et fermer quelques ports sensibles. Les témoignages viennent a priori exclusivement de personnes équipées de DSM 4.3, mais sans communiqué de Synology, on ne sait pas si la version 5.0, qui a récemment reçu une mise à jour de sécurité, est immunisée.

> Accéder aux commentaires

Une grosse faille dans l'USB

| 31/07/2014 | 18:31 |  

Les périphériques USB sont-ils mauvais pour la santé de nos ordinateurs ? C'est la conviction de Karsten Nohl et Jakob Lell, chercheurs pour SR Labs, qui ont mis au jour une faille qui ressemble à un « tour de magie » : il est en effet impossible de savoir d'où provient le virus, s'alarment ces spécialistes en sécurité dans Wired. Ils ont ainsi créé un maliciel de test afin de démontrer la dangerosité de leur découverte. BadUSB peut prendre le contrôle d'un PC, altérer des fichiers installés depuis la clé (ou n'importe quel support de stockage externe), et même rediriger le trafic web de la victime en modifiant les réglages DNS.

BadUSB — et la faille, donc — est présent non pas dans la mémoire du support, mais dans le firmware qui en contrôle les fonctions de base. La découverte de cette vulnérabilité est le fruit de plusieurs mois d'ingénierie inverse sur le firmware qui gère la communication entre le périphérique et son hôte. Il se trouve que ce firmware peut être reprogrammé pour masquer un virus — et cela touche aussi bien les supports de stockage que les souris, les claviers, et même les smartphones dotés d'un port USB. La NSA a très bien pu en tirer parti, soufflent les spécialistes.

Le code malveillant reste invisible mais bien présent, même si la clé semble ne rien transporter. Aucune solution n'a été trouvée par les deux chercheurs, si ce n'est de s'interdire d'utiliser un périphérique USB, ce qui n'est guère envisageable… à moins de se contenter des périphériques que l'on possède depuis longtemps et dans lesquels on a confiance. C'est d'ailleurs le discours de l'USB Implementers Forum, qui supervise le standard USB, en attendant une solution plus pérenne.

Les chercheurs dévoileront le détail de leur découverte la semaine prochaine, durant une conférence Black Hat à Las Vegas.

> Accéder aux commentaires

Pages