La sécurité pendant la semaine 36 : vols sur les appareils jailbreakés, adieu au RC4 et failles de sécurité dans des routeurs

Récapitulatif des dernières nouvelles en matière de sécurité : le plus grand vol commis sur iOS, l’adieu à l’algorithme de chiffrement RC4, de nombreuses vulnérabilités dans les routeurs.

Notre vie sera plus douce une fois que nous aurons un PC intégré dans le cerveau. Au lieu de SMS, nous recevrons des « mentalgrammes », qui nous seront murmurés à l’oreille par notre voix interne. Une idée brillante vous traversera l’esprit ? Vous pourrez la partager avec vos amis grâce à des ondes cérébrales ! Vous vous souviendrez de la liste des courses avec une application qui ne coûtera que 2,99 €.

Après cela, les nouvelles interfaces biodiscrètes transfèreront les données à une vitesse de plusieurs téraoctets par minute vers l’ordinateur (qui seront en gros des sortes de smartphones sans écran). Les sens percevront tous les bruits alentours et des processeurs plus puissants du futur les traiteront.

security-week-36-brain

Pourquoi des fils pour convertir du 12V en 5V sortent-ils de la tête de quelqu’un ? Je ne sais vraiment pas !

Pour faire simple, le futur iPhone 164 saura tout sur vous. Google, qui aura subi 34 campagnes de relooking et survécu à 8 restructurations, conservera et traitera ces données dans un centre qui occupera 2 % de la surface de la Terre. Ce n’est qu’à ce moment-là, lorsque ses découvertes technologiques seront un peu plus évoluées, qu’il pensera à sécuriser tous ces volumes immenses de données.

Malheureusement, avant que ces données ne soient sécurisées, elles seront sûrement déjà en circulation sur le marché noir. Ce ne sera qu’à cet instant que nous penserons finalement aux types de données que nous récoltons et à la manière de les conserver.

Cela arrivera forcément plus tard. Je me demande si la quantité de données sur les utilisateurs que révélerait une collecte de données gyroscopiques  intéresserait vraiment quelqu’un. Les recherches en matière de sécurité ont souvent un temps de retard sur les technologies commerciales. En outre, les concepteurs de nouvelles technologies ne pensent que rarement à la sécurité.

Dans ce récapitulatif sur les principales nouvelles de la semaine dernière, nous parlerons de softwares et d’appareils actuels, que des millions d’utilisateurs disposent depuis un certain temps déjà. Une fois de plus, voici les règles du jeu : chaque semaine, l’équipe de Threatpost choisit trois nouvelles importantes, que je me propose de commenter. Vous trouverez ici tous les articles précédents.

Un cheval de Troie dérobe des données sur des iPhones jailbreakés

L’article. Les recherches de Palo Alto Networks. Une brève explication sur ceux qui devraient s’en inquiéter.

Tous les articles sur les piratages ou les bugs ne sont pas rédigés avec des mots simples, bien que ce soit le cas du présent article. En Chine, une application indésirable sur iOS a été découverte : elle se glisse dans les communications entre les smartphones et les serveurs d’Apple et dérobe les mots de passe sur iTunes. Ce malware s’est fait débusquer car il a trop attiré l’attention : de nombreux utilisateurs ont commencé à rapporter des vols commis sur leurs comptes iTunes (pour rappel, un compte Apple est rattaché à une carte bancaire, et la seule chose dont vous avez besoin pour payer dans Angry Birds est un mot de passe).

C’est super, non ? Pas du tout ! L’attaque ne concerne que les utilisateurs qui ont un appareil jailbreaké. Des chercheurs indépendants chinois, qui se disent appartenir à WeipTech, ont pénétré, par hasard, dans le serveur de contrôle et de commande des hackers. Ils y ont découvert plus de 225 000 données d’utilisateur (c’est incroyable le nombre de gens qui aiment le jailbreak), lesquelles comprennent les identifiants, les mots de passe et le GUID des appareils.

L’application malveillante se télécharge depuis Cydia, une app store iOS alternative. Elle s’incruste ensuite dans les communications entre l’appareil et les serveurs Apple, en suivant la vieille méthode de « l’homme du milieu » et en redirigeant les données piratées vers son propre serveur. A présent, cerise sur le gâteau : le malware utilise une clé de chiffrement fixe « mischa07 » (pour information, le mot russe « Misha » est à la fois le diminutif de « Michael » et le nom d’un « ours« ).

security-week-36-featured

Mischa07 dérobe les mots de passe d’utilisateur iOS

 

Nous ne savons pas si ce « Mischa » a réussi à empocher beaucoup d’argent grâce à l’attaque du KeyRaider. Quoi qu’il en soit, la leçon à retenir est qu’un iPhone jailbreaké est encore plus susceptible d’être attaqué qu’un appareil Android. Une fois que la sécurité robuste d’iOS est compromise, il ne reste plus aucune protection. Par conséquent, n’importe qui peut faire n’importe quoi.

C’est une faille fréquente dans tous les systèmes robustes. A l’extérieur, des pare-feu puissants et des moyens physiques de protection se déploient dans le périmètre, et le système lui-même est claquemuré. Ce dernier s’apparente alors à une forteresse. Mais à l’intérieur, il ressemble à un vieux PC Pentium 4 qui tourne sous Windows XP et qui a été corrigé pour la dernière fois en 2003. Dans une telle situation, que se passerait-il si quelqu’un parvenait à pénétrer dans le périmètre ?

Voici la question qui se pose concernant le système iOS : que se passerait-il si un simple exploit de root apparaissait ? Dans ce cas-là, Apple a-t-il prévu un plan B ? Android aurait-il un avantage, après tout, car il envisage la possibilité d’être piraté, et ses développeurs agissent en conséquence ?

Google, Mozilla et Microsoft (même plus tôt) diront au revoir au RC4 en 2016

L’article.

Dans l’article sur la sécurité de la semaine dernière (celui dans lequel nous avons parlé de l’attaque DDoS, du type « homme du côté », subie par GitHub), nous avons conclu qu’il valait mieux utiliser le protocole HTTPS, tant du point de vue de l’utilisateur que de celui du propriétaire du service Web). Cela reste vrai, même si tous les HTTPS ne sont pas bons pour la santé. En outre, certains d’entre eux, qui utilisent d’anciennes méthodes de chiffrement, sont même dangereux.

Pour ne citer qu’un exemple, laissez-moi vous rappeler le rôle du SSLv3 dans l’attaque du POOLE et, fondamentalement, tout ce qui utilise l’algorithme de chiffrement RC4. Si SSLv3 a tout juste 18 ans et vient d’atteindre la majorité, RC4 est lui beaucoup plus âgé car il est né dans les années 1980. Pour ce qui est du Web, il est difficile de savoir avec certitude si l’algorithme RC4 a été utilisé à la suite d’une connexion piratée ou non. Plus tôt, le Détachement d’ingénierie d’Internet avait reconnu que, théoriquement, les attaques dans le RC4 allaient probablement se généraliser.

Au fait, voici les conclusions d’une étude récente : le passage d’un chiffrement robuste au RC4 permet à un individu de décrypter des cookies (c’est-à-dire, de pirater une session) en seulement 52 heures. Pour réussir, il doit détourner certains cookies en gardant à l’esprit les résultats attendus, avant de forcer le site Web, ce qui augmente ainsi ses chances de parvenir à ses fins. Est-ce réalisable ? Oui, si on prend en compte plusieurs variables. Est-ce arrivé ? Personne ne le sait. Les fichiers révélés par Snowden contenaient des allégations selon lesquelles les services d’intelligence seraient en mesure de pirater l’algorithme de chiffrement RC4.

Malgré tout, voici la bonne nouvelle : un algorithme de chiffrement potentiellement vulnérable n’a jamais été piraté (du moins, pas à l’échelle internationale) avant d’avoir été bloqué pour de bon. Même à présent, cette situation est rare. Dans Chrome, seulement 0,13 % des connexions sont concernées. Toutefois, dans l’absolu, ce pourcentage représente un nombre énorme. L’enterrement officiel de l’algorithme RC4 aura lieu entre le 26 janvier (pour Firefox 44) et à la fin du mois de février (pour Chrome).

Microsoft prévoit également d’abandonner le RC4 au début de l’année prochaine (pour Internet Explorer et Microsoft Edge), étant donné qu’il est impossible de faire la différence entre le recours au TLS 1.0 sur un site Web qui utilise l’algorithme RC4 et une attaque de type « homme du milieu ».

Je ne peux me retenir de gâcher cet optimisme avec une pointe de scepticisme. De tels changements d’algorithme de chiffrement entraînent généralement des conséquences aussi bien sur les sites Web un peu perdus que sur les services en ligne essentiels, lesquels ne sont pas faciles à modifier. Il est fort probable que nous verrons, en début d’année prochaine, des discussions animées portant sur la possibilité de se connecter à des sites Internet de banques après la mise à jour des navigateurs. Qui vivra verra.

Les vulnérabilités des routeurs Belkin N600

News. CERT Advisory.

J’adore les nouvelles sur les vulnérabilités de routeur. Contrairement aux ordinateurs, aux smartphones et aux autres appareils, les routeurs ont de grandes chances d’être oubliés dans un coin pendant des années, surtout si le routeur fonctionne sans interruption. Personne ne prendra la peine de regarder ce qu’il se passe à l’intérieur de cette petite boîte noire, même si vous utilisez un firmware OpenWRT flambant neuf, et surtout si vous n’êtes pas un utilisateur avancé et que votre routeur a été configuré par votre fournisseur de réseau.

Le routeur est donc une clé d’accès à toutes vos données : n’importe qui peut accéder à vos plateformes de partage de fichiers locaux, détourner votre trafic, remplacer le site de votre banque en ligne par un site d’hameçonnage ou encore, intégrer des publicités indésirables dans vos résultats de recherche Google. C’est possible, une fois que quelqu’un s’est infiltré dans votre routeur grâce à une simple vulnérabilité ou, encore plus probable, grâce à une configuration par défaut vulnérable.

J’aimerais vous dire que je mets à jour le firmware de mon routeur dès qu’une nouvelle version est disponible mais ça serait faux. Au mieux, je le fais une fois tous les 6 mois, grâce à des notifications intégrées dans mon navigateur. Avant, je mettais mon ancien routeur à jour plus souvent, mais c’était seulement pour éviter les défaillances constantes.  Mon routeur a donc été vulnérable aux accès à distance pendant un certain temps.

Cinq bugs de sécurité sérieux ont été détectés sur les routeurs Belkin, parmi eux :

  • Les transactions d’identité faciles à deviner au moment d’envoyer des requêtes au serveur DNS, qui en théorie, permettraient de remplacer le serveur au moment, par exemple, de contacter le serveur pour mettre à jour le firmware. Rien de bien méchant.
  • L’HTTP utilisé par défaut pour des opérations critiques, telles que pour des requêtes de mise à jour de firmware. Plutôt effrayant.
  • L’interface Web n’est pas protégée par un mot de passe par défaut. Avec ce bug, tout peut être remplacé si le hacker s’est déjà infiltré dans le réseau local. Niveau de frayeur : moyen.
  • Le contournement des authentifications par mot de passe au moment d’accéder à l’interface Web. Le fait est que le navigateur informe le routeur si celui-ci est authentifié et non pas l’inverse. Remplacez quelques paramètres dans les données du routeur et aucun mot de passe ne sera requis. Niveau de frayeur : 76%
  • Une fois que l’utilisateur est encouragé à cliquer sur un lien créé à cet effet, le hacker pourra modifier les paramètres du routeur à distance. Extrêmement effrayant.

D’accord, ils ont trouvé toute une série de failles dans un routeur qui n’est pas très populaire, et alors ? Le problème est que peu de personnes s’intéressent aux bugs des routeurs et les vulnérabilités trouvées au sein du routeur Belkin ne signifient pas que les appareils d’autres fabricants sont sécurisés. Leur heure viendra peut-être aussi. Cette nouvelle prouve que nos objets sont dans un bien piètre état.

https://twitter.com/kaspersky/status/598462812961255424/photo/1?ref_src=twsrc%5Etfw

Que doit-on en tirer ? Il est essentiel de protéger son réseau local du mieux que possible, même avec les outils dont on dispose : protéger l’interface Web avec un mot de passe, ne pas utiliser le Wi-Fi à travers un WEP, ainsi que désactiver le WPS et les autres fonctionnalités comme les serveurs FTP et les accès Telnet/SSH (surtout s’ils sont externes).

Quelles sont les autres nouvelles ?

Le plan des États-Unis d’infliger des sanctions à la China des suites de leurs campagnes massives d’espionnage. C’était l’une des nouvelles majeures de cette semaine, mais elle a une particularité : cela n’aurait aucun impact sur la cybersécurité ou le paysage des menaces, cela restera politique et rien d’autre.

Les routeurs ne sont pas les appareils les plus vulnérables. Les moniteurs pour bébé et autres appareils faciles à utiliser sont encore pires. L’absence de chiffrement et d’autorisation ainsi que bien d’autres bugs en sont la cause.

http://twitter.com/kaspersky/status/535838818780594177/photo/1

Une nouvelle méthode de piratage des pages Facebook a été découverte : l’application Pages Manager. La vulnérabilité a été patchée et les chercheurs ont reçu une récompense pour leur travail.

Plus ancien

La famille Andryushka

Il s’agit de virus  » fantômes  » extrêmement dangereux. Ils contaminent les fichiers COM et EXE (sauf les COMMAND.COM) au moment de lancer les fichiers infectés (dans le recherche de catalogue) et leurs copies TSR (lors de l’ouverture, l’exécution, la modification du nom, etc.). Adryushka-3536 convertit les fichiers EXE en COM (cf. le virus VASCINA). Le virus est placé au milieu du fichier, la partie compromise du fichier (là où le virus s’écrit) est chiffrée et écrite à la fin du fichier infecté.

Ils déploient des registres infectés dans les secteurs de démarrage des disques durs et, selon la valeur du registre infecté, ils sont capables de corrompre plusieurs secteurs sur le disque C://. Lors de ce processus, ils jouent une mélodie et affichent le texte suivant sur votre écran :

security-week-36-andryushka

Ces virus incluent également le texte suivant :  » mémoire insuffisante « . Ils emploient une méthode de travail sophistiquée avec des ISR : ils gardent une partie de la fonction int 25h dans leur corps et écrasent leur propre code (appel int 21h) dans l’espace disponible. Quand int 25h est appelée, ils restaurent la fonction int 25h.

Citation tirée de l’ouvrage  » Computer viruses in MS-DOS « , par Eugène Kaspersky, 1992. Page 23.
Clause de non-responsabilité : cet article ne reflète que l’opinion personnelle de l’auteur. Elle peut correspondre à la position de Kaspersky Lab, mais pas nécessairement.

Conseils