via le blog sécurité de Jean-François Audenard le 20/01/09
Les attaques de hameçonnage (phishing) utilisent généralement le mail comme vecteur d'attaque : L'attaquant envoie des messages usurpant l'identité et le look&feel d'une banque ou autre organisme afin d"inciter les personnes peu soupçonneuses à cliquer sur un lien ; ce dans le but de collecter des informations personnelles de connexion.

....

La créativité et l'adaptabilité aidant, une nouvelle technique baptisée "in-session phishing" vient d'être identifiée par des experts en sécurité de la société Trusteer. Au vu des informations à ma disposition, celle-ci serait d'une efficacité redoutable... Son principal défaut est quelle repose sur un ensemble de facteurs que l'attaquant ne maitrise pas totalement. Elle n'en reste pas moins des plus pernicieuse.

Je vous propose d'en découvrir les principales caractéristiques.

via SCTeam de Ju4n1t0 le 19/01/09

spying1C'est un exercice original et inquiétant auquel se sont livrés les journalistes du Tigre, un bimestriel présenté comme un « curieux magazine ». L'idée : dresser le portrait d'un parfait inconnu à partir d'informations glanées sur le Web.

Le sujet - ou plutôt la victime - de ce portait Google est Marc L, un architecte d'intérieur de 29 ans habitant dans l'ouest de la France, utilisateur de réseaux sociaux et autres outils du web 2.0. Des instruments pratiques pour rester en contact avec ses amis mais néanmoins redoutables : en y éparpillant des morceaux de vie privée, les internautes s'exposent à être dépossédés de leur identité numérique.

En témoigne ce portrait « violemment impudique » de Marc L, écrit « pour la bonne cause » avec une pointe de sarcasme : « après tout, c'est de ta faute, tu n'avais qu'à faire attention. »

L'enquête sur la vie de Marc L débute à partir de quelques photos trouvées sur Flickr. En explorant les quelque 17 000 clichés mis en ligne par le jeune homme, on retrace ses voyages et découvre ses fréquentations et ses centres d'intérêt : séjour au Canada avec Helena et Jose en 2008, groupe de musique monté à la fin des années 1990 puis abandonné en 2002, retrouvailles avec Dom pour la fête de la musique en 2008. « Dom, c'est Dominique F., il est thésard à Bordeaux III », précise le Tigre.

Un passage sur Facebook nous apprend que Marc L est hétérosexuel, qu'il a fréquenté Jennifer, puis Claudia, dont les parents vivent boulevard V, à Bordeaux. Claudia travaille avec Lukas au Centre culturel franco-autrichien de la préfecture de Gironde.

Les trois amis se voient régulièrement, pour jouer à la pétanque à Arcachon ou « fêter les sous de la CAF », comme le 31 mai dernier. L'histoire avec Jennifer avait duré deux ans. En 2006, les amoureux sont partis en vacances en Bretagne. « Tu avais les cheveux courts à l'époque, ça t'allait moins bien. »

La suite de l'article du Tigre regorge de détails sur la vie privée de Marc, que n'importe quel internaute curieux aurait pu dénicher en fouinant sur Google, Youtube, Pagesjaunes, les sites des journaux régionaux, etc.

Ce qui est valable pour Marc l'est évidemment pour une multitude d'individus : si certains prennent grand soin de ne pas diffuser des informations personnelles, la plupart se laissent séduire par les outils qu'ils utilisent et éparpillent des pans de leur existence de ci, de là, sans avoir conscience de la facilité avec laquelle il est possible de rassembler les pièces du puzzle.

(Source: securite.reseaux-telecoms.net)

via eMule-Box - Dernies Ajouts le 12/03/09

Un magazine pas cher !
Un magazine Kratos !


Pour les personnes qui découvrent 42 (soit tout le monde, numéro 1 oblige) le concept de ce webzine est simple : Raco

via ReadWriteWeb French edition de Fabrice Epelboin le 08/02/09

Ipoque, le leader Européen dans la fourniture de matériel d’espionnage et de filtrage de contenus internet, à destination des institutions, entreprises et fournisseurs d’accès, vient de publier un rapport étonnant sur les différentes méthodes destinées à filtrer l’internet afin de lutter contre l’échange de fichiers protégés par le copyright.

On aurait pu s’attendre à ce qu’Ipoque fasse un plaidoyer pour ses propres solutions, tant le marché qui va s’ouvrir dans des pays comme la France s’annonce lucratif, mais bien au contraire, le rapport dresse un état des lieux que tous les universitaires et les spécialistes de haut niveau que nous avons interrogé jusqu’ici nous avait déjà dépeint : techniquement, c’est de l’ordre de l’impossible, qui plus est, il faudrait, pour espérer ne serait-ce qu’une infime efficacité, que les usages en cours n’évoluent pas et ne prennent pas en compte un évolution de leur environnement technologique. Un peu comme si l’invention de la serrure avait mis un terme définitif aux cambriolages.

Ce rapport met par ailleurs en relief une caractéristique pour le moins comique des législateurs, qui voient les technologies comme quelque chose que l’on peut maîtriser, et les usages qui en sont faits comme quelque chose de stable, une vision probablement héritée d’une approche de l’internet calquée sur celle de la télévision ou de la radio.

Cela n’empêche pas le gouvernement de préparer en ce moment même un projet de loi destiné à ‘filtrer’ internet, qui sera précédé de la loi Hadopi, prévue pour mars prochain, et probablement d’une loi destinée à favoriser les contenus subventionnés (contrôlés ?) par le gouvernement (l’une des propositions du libre Blanc - à moins que ce ne soit le vert - issu des Etats Généraux de la Presse).

Les différents moyens techniques pour filtrer internet - autant dire censurer, si l’on se place du coté des usagers - sont abordés les uns après les autres. Nous vous proposons ici de les passer en revue.

Bloquer les DNS

“Bloquer les adresse IP pourrait être une mesure complémentaire à d’autres mesures, mais ce n’est en rien un moyen de résoudre le problème”

En effet, bloquer les DNS et empêcher l’accès à une liste de sites web n’est pas très efficace, cette méthode, déjà expérimenté au Danemark pour bloquer ThePirateBay, ne marche pas.

Filtrer les URL

“Les filtres d’url sont déjà très utilisés [en entreprise]. Les services centralisés tels que ThePirateBay et les trackers BitTorrent pourrait être bloqués. Une liste à jour des url est indispensable pour que cette mesure soit efficace. Malheureusement, il est quasiment impossible de garder une telle liste à jour. Les sites bloqués pourraient rapidement changer d’url et propager ces changements. A terme, le résultat serait un perpétuel jeu du gendarme et du voleur”

Là encore, la rapport met le doigt sur une réalité, et en oublie même une autre, la propagation des informations d’un site ainsi censuré par son flux RSS, lui même traité par des services tels que Feedburner, et donc non filtrés, disposant d’une url différente, et potentiellement répliqués sur un nombre sans cesse croissant de sites agissants comme des miroirs.

L’injection de fake

“[l’injection de faux fichiers] a été à l’origine du succès des réseaux BitTorrent, qui sont quasiment insensibles à de tels attaques, car la distribution des contenus est organisée à travers des répertoires [et des communautés qui les modèrent]. Conclusion : l’injection de faux fichier n’est plus une mesure efficace”

Des système à base d’ «empreinte digitale »

“La complexité informatique du filtrage par l’empreinte digitale des fichiers fait qu’un tel filtrage ne peut se faire en temps réel pour les réseaux à haut débit. Qui plus est, au fur et à mesure que de nouveaux formats de compression sont rendus disponibles, la compression rend invisible ces fichiers à des telles technologies (e.g. des fichiers compressés en zip et protégés par un mot de passe), et ces méthodes sont de plus en plus populaires. Un déploiement à grande échelle de telles technologies rendrait l’usage des transferts cryptés très populaires ce qui rendrait totalement inefficace tout le système”

DRM

“Dans le passé, tous les mécanismes de DRM ont été hackés ou contournés. Cela a toutes les chances d’arriver avec n’importe quel nouveau système”.

On le sait, les systèmes de DRM n’ont jamais fait - au final - qu’importuner ceux qui achètent légalement des contenus.

Les outils de détection automatiques

“De tels systèmes peuvent détecter des partages illégaux tant sur le plan national qu’international. Ces outils automatiques sont efficaces et fournissent des preuves utilisables devant la justice. Cette mesure est difficile à contourner”

“Le monitoring a donné une très mauvaise réputation aux fournisseurs de contenus qui ont tenté par le passé de criminaliser les atteintes au copyright en leur imposant des amendes ridiculement élevées. Qui plus est, il y a eu une multitude de procès fait à tord contre des personnes qui ne disposaient même pas d’accès à internet. Une enquête minutieuse [faite à la suite d’une détection] est indispensable pour qu’une telle mesure soit accepté par la population”

C’est cette méthode qui a pour l’instant les faveurs du dispositif Hadopi, les dénonciation et la surveillance sera assurée par une officine privée auprès de l’administration, qui ne réalisera aucune enquête, et prononcera une sanction sans passer par la justice et sans donner droit à une défense… Certes, c’est contraire à la constitution, mais c’est comme cela.

Les échanges cryptés

“Les communications et les échanges de fichiers cryptés ne peuvent être contrôlés qu’au travers de moyens criminels qui impliqueraient des efforts [et des investissements] considérables”

Les réseaux d’échanges cryptés, dans le cas où Hadopi serait adopté, en France et dans d’autres pays, ont toutes les chances de devenir la norme dans le monde du Peer to Peer, il est rassurant de voir que les contre mesures sont d’un prix tel qu’il rendent cette option invraisemblable (l’aspect criminel d’une telle stratégie n’étant à priori pas un soucis, Hadopi étant déja parfaitement anticonstitutionnel : atteinte à la présomption d’innocence, jugement sans possibilité de défense et sans passer par l’autorité judiciaire, etc.)

La conclusion d’Ipoque

La conclusion du fabricant de matériel de filtrage est probablement la cerise sur le gâteau…

“Tout d’abord, et c’est le plus important, [l’industrie des] contenu doit fournir d’autres accès de haute qualité, à des prix justes, à ses contenus. De nouveaux modèle économiques sont inévitables. A terme, c’est la seule solution pour rendre le partage de contenus copyrithés moins intéressants.”

En conclusion, ce rapport que tout parlementaire devrait lire, souligne à quel point la loi Hadopi deviendra, si elle passe, inefficace en quelques mois, et comment une loi destinée à censurer internet n’aura, au final, pas beaucoup d’efficacité, si ce n’est de faire passer aux yeux de la population Française, la France pour une dictature.

(source: TorrentFreak)

A lire sur le même thème :

via Ma petite parcelle d'Internet... de Sid le 05/02/09

Pwned

V

ous n'avez pas pu rater la compromission de phpbb.com qui se retrouve maintenant en mode maintenance. Vous me direz, avec l'historique de cette application que d'aucuns ont un jour qualifié de portage de wu-ftpd en PHP, ce n'est guère étonnant. Et bien figurez-vous que ce n'est pas aussi simple. Comment le sait-on ? Tout simplement parce que l'auteur du méfait s'est fendu d'un long billet dans un blog créé spécialement sur Blogspot. Et ça fourmille de détails.

Dans le même domaine, tout frais sorti de la boîte à news, Nerim s'est apparemment fait déchirer son hosting de pages de persos. En effet, un grand nombre de sites hébergés sur la machine perso.nerim.net retournaient une page d'accueil très claire : "Hacked By LiONS TeAm". Bref, ça fait pas mal de monde affecté. Par contre, là, pas trop de détail, même si ça discutait fort sur #nerim sur IRCNet...


Update (8 février 2009) : j'apprends que le site US de Kapersky y est passé aussi, sa base succombant aux coups d'une injection SQL...


Screenshot pwnage Nerim

Bon ben une machine de Nerim, ou du moins une partie non négligeable de son hébergement, se serait faite compromettre ? Ça arrive. On n'a aucune idée de l'ampleur des dégâts tellement il y a de méthodes pour parvenir à l'effet illustré ci-contre et qu'on peut encore constater sur pas mal de sites, alors que certains partent en 404 et d'autres sont apparemment revenus à la normale. Effet dûment accompagné d'une image de circonstance, d'une musique dont je vais cependant vous faire grâce, et d'un scrolling vertical d'un fort bel acabit. Le tout avec un pointeur vers un site qui n'est apparemment plus en ligne à l'heure où je rédige ces lignes.

Pour ceux qui ont du mal à lire les caractères du fait de la réduction de l'image, c'est à dire tout le monde, voici le texte[1]. Les parties en italiques ont été traduites de l'arabe par secdz.

HaCKeD By LiONS TeaM
Th!s S!T3 H4Ck3d By ErHaBi

.. :: ContacT :: .. 
.. :: ErHaBi HaCKeR :: ..  MSN: BzN@hotmail.com
.. :: FiRe HaCKeR:: ..  MSN: VLL@hotmail.com
.. :: ToNNiNO :: ..  MSN: AkO@HoTmAiL.CoM
.. :: DnYa AlWaLh:: ..  MSN: WaLhAno_911@hotmail.com
.. :: play with the best ... die like ather :: .. 

Dédicace à

NaJm-888
BaD_BoY
ASeeeR
DoN'T FoRgeT Our NamEs .. ( LIONS TeAm)
! We WiLL BaCk SooN DoN'T WoRRy !
see you !

Remets toi en cause et trouves la cause de la pénétration


Pour ce qui est de phpbb.com, la lecture du billet est très instructive. À la fois sur l'opportunisme de l'intrus et sur la démarche utilisée. Pour peu que cette histoire, qui n'a apparemment pas été démentie, se révèle vraie, c'est la lecture d'un exploit pour PHPlist qui aura tout déclenché. Phpbb.com utilisant ce logiciel pour gérer ses listes de diffusion, ce dernier a permis au pirate de faire ses premiers pas dans le système à l'aide d'un joli directory traversal permettant d'accéder à pléthore de fichiers arbitraires. Donc non, phpbb.com ne s'est pas fait pwner wia une faille PHPBB, mais via une application tierce...

En particulier, la lecture du fichier de configuration du serveur Apache et des logs d'erreur a permis à l'auteur du méfait de découvrir l'emplacement de l'installation de PHPBB sur le système de fichiers et en particulier le préfixe de nommage des fichiers d'avatars, lui permettant de les utiliser comme vecteur d'exécution pour de petits scripts lancés directement sur la machine. À partir de là, c'est un peu l'escalade, avec un attaquant qui, pas à pas, découvre de plus en plus d'informations et de capacité d'exécution. Je vous laisse découvrir la suite, qui n'a rien de techniquement extraordinaire certes, mais qui démontre assez bien comment s'enchaînent les actions et comment le château de cartes s'écroule au fur et à mesure de la progression de l'intrus.

On notera en particulier la récupération complète des bases utilisateurs et la publication des données qu'elles contiennent. En particulier, un peu moins de 30000 mots de passe stockés sous la forme d'un simple MD5 ont été crackés et diffusés. L'analyse faite par Robert Graham sur ces données est vraiment très intéressante à lire, je vous la recommande chaudement. On y apprend par exemple que 16% des mots de passe correspondent au prénom de l'utilisateur et 4% sont des variations du mot "password". Le mot de passe le plus fréquent est "123456" suivi de "password" et "phpbb". Deux tiers des mots de passe ont une longueur d'au plus 6 caractères, longueur qu'atteint la moitié d'entre eux. Seuls 5% des mots de passe dépassent les 8 caractères. Le même exercice, avec des jolis graphiques spécial manager, mais des chiffrent qui différent légèrement. Globalement, ces résultats pitoyables sont-ils surprenants ? Pas vraiment...

Maintenant, les personnes raisonnables se demanderont comment on peut se prémunir contre ce genre d'attaques. Dans un vieux billet, je revenais sur d'autres failles web classiques qui font mal. On est sur un cas du même tonneau ici, sauf qu'un bon gros directory traversal, c'est difficile à prévenir sans taper dans le code de l'application, ce qui veut dire trouver et corriger le bug, ou maîtriser l'hébergement de son site. Une méthode peut par exemple être d'essayer de limiter la portée des include à grand renfort de safe_mode_include_dir[2] par exemple, voire, pourquoi pas, de chrooter le serveur web. Pour autant, ce n'est pas bullet proof, même si ça limite la portée d'une exploitation réussie. En outre, de nombreuses applications sont tellement bien structurées, c'est à dire à peu près n'importe comment, ce qui rend l'utilisation de ce genre de directive largement inutile. Par contre, ça peut permettre d'éviter de se faire descendre un /etc/passwd, le fichier de configuration du serveur ou encore ses logs.

Ce qui ne rend pas l'application moins vulnérable ou exploitable, mais qui complique légèrement la vie de l'attaquant, comme on le verra si on se demande ce que devient la démarche décrite par l'attaquant de phphbb.com s'il n'était pas capable d'inclure un fichier en dehors de répertoires bien précis, ne serait-ce par exemple que la docroot...


Ces deux exemples montrent bien combien il est difficile de mettre en ligne des applications web de manière sécurisée. Entre les hébergements qui ne vous laisse pas assez de lattitude pour durcir la sécurité de votre site ou se montrent carrément laxistes par soucis de compatibilité, voire se font tout simplement compromettre leur infrastructure, et des applications potentiellement vulnérables sur lesquelles vous allez vous reposer, il y a de quoi se faire des cheveux blancs. En tout cas remettre plus la sécurité d'un site web à l'efficacité d'incantations vaudou qu'à de réelles compétences techniques...

Sinon, on peut aussi se dire qu'on maîtrise à peu près les choses, toucher du bois et espérer que...

Notes

[1] Les caractères arabes en moins, mais n'y voyez aucun racisme, c'est juste le jeu de caractères que j'utilise qui ne le permet pas.

[2] À noter que le safe mode va disparazître avec la version 6.0.0 de PHP.

via ZATAZ News de Bancal Damien dbancal@zataz.net le 03/02/09
Si vous n´avez pas d´identité en ligne, créez la avant qu’un pirate informatique ou un escroc ne le fasse à votre place.

via Les dernières actualités de Futura-Sciences de Futura-Sciences le 12/03/09
Enfiché dans un socle servant d'interface, un mobile pourrait être relié à de multiples périphériques, écran, clavier ou imprimante, ou encore à un réseau local. L'appareil n'existe pas encore mais Microsoft vient d'en déposer le brevet.
Avec son processeur, sa mémoire, son système d'exploitation et ses possibilités d'interfaçage, un mobile actuel fonctionne comme un ordinateur. Alors pourquoi ne pas exploiter cette puissance informatique autrement qu'à l'aide d'un clavier étriqué et un écra...

via Le Journal du Geek de Greg le 10/03/09

Selon nos sources, Apple lancerait bel et bien un iPhone nano au mois de juin lors d’un event dont seul Steve Jobs à le secret. Cet iPhone nano serait de la taille de l’écran de l’actuel iPhone 3G (voir notre montage plus bas) et disposerait des mêmes fonctionnalités que ce dernier (3G, GPS, WiFi…). Le bouton “home” passerait sur la tranche droite et l’appareil serait disponible en trois couleurs (rouge, noir ou blanc). À suivre.

iphone-nano

Partager : Facebook Wikio FR Netvibes Digg TwitThis del.icio.us Google blogmarks Technorati MySpace SphereIt Scoopeo Tumblr E-mail this story to a friend! Print this article!

Tags:, , , ,

Sur le même sujet :

via Le Journal du Geek de Greg le 11/03/09

C’est vrai que cette news n’a rien de geek et alors… Nous parlons tout de même de Chuck Norris qui vient de fêter hier son 69ème anniversaire (10 mars 1940) ! L’occasion de vous donner quelques “facts” déjà cultes tirées du site chucknorrisfacts, pour bien commencer la journée.

  • Chuck Norris a déjà compté jusqu’à l’infini. Deux fois.
  • Certaines personnes portent un pyjama Superman. Superman porte un pyjama Chuck Norris.
  • Chuck Norris ne porte pas de montre. Il décide de l’heure qu’il est.
  • Les suisses ne sont pas neutres, ils attendent de savoir de quel coté Chuck Norris se situe.
  • Quand Google ne trouve pas quelque chose, il demande à Chuck Norris.

6a00d8341c630a53ef00e55262ce5e8833-800wi

Partager : Facebook Wikio FR Netvibes Digg TwitThis del.icio.us Google blogmarks Technorati MySpace SphereIt Scoopeo Tumblr E-mail this story to a friend! Print this article!

Tags:,

Sur le même sujet :