Tweet
L'actualité infosec de la semaine - 19ème numéro (1er au 8 août)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
N'utilisez plus de VPNs si vous êtes aux émirats
Dorénavant, l'utilisation d'un VPNs aux émirats arabes sera considéré comme un crime et sera sévèrement puni.
Cette loi serait pour empêcher les cyber crimes mais d'une façon tout à fait particulière.
De plus, cette restriction concernera également les proxys et le réseau Tor.
Dans un pays ou les appels VOIP via snapchat et autres sont interdits, cette nouvelle n'est pas vraiment étonnante.
Elle en reste cependant mauvaise pour la liberté.
Source : http://www.undernews.fr/anonymat-cry...ws+(UnderNews)
Un hack physique trouvé contre les ATMs
Cette semaine, un hack physique sur les ATMs a été dévoilé.
Celui-ci permet via un rapsberry pi de voler des données des utilisateurs et ainsi de pouvoir retirer de l'argent très facilement.
Les chercheurs ont ainsi retirés quelques 50.000 dollars de l'ATM en quelques minutes.
Source : http://thehackernews.com/2016/08/hac...-pin-card.html
Apple et Bug Bounty : C’est le Jackpot pour les experts en sécurité
Lors de la conférence Black Hat qui s’est tenue à Las Vegas du 30 Juillet au 4 Aout, la firme Apple a annoncée de faire appel à des experts en sécurité pour faire remonter des failles de sécurité sur les systèmes mobiles IOS et le service en ligne ICloud grâce à son programme Bug Bounty dès septembre.
Voici les failles concernées ainsi que les primes :
- Faille dans les composants du firmware Secure Boot : jusqu’à 200 000 dollars.
- Extraction de données protégées par la Secure Enclave : jusqu’à 100 000 dollars.
- Exécution de code avec les privilèges du kernel : jusqu’à 50 000 dollars.
- Accès non autorisé à des données iCloud sur les serveurs d’Apple : jusqu’à 50 000 dollars.
- Accès à des données privées au travers du bac à sable applicatif : jusqu’à 25 000 dollars.
Le Bug Bounty sera accessible uniquement par invitation, donc patience même si les primes font rêver…
Source: Silicon
Des millions de comptes Yahoo en vente sur le DarkWeb
Peace of Mind fait de parler de lui avec une base de donnée contenant environ 200 millions de noms d’utilisateurs et de mots de passe pour 3 bitcoins soit 1790 euros.
Cette base de donnée serait en vente sur The Real Deal sur le Dark Web, la date exacte du vol de cette base de donnée n’a pas été déterminée mais laisse supposer l’année 2012, année ou Yahoo a été piraté.
Le type d’algorithme utilisé pour les mots de passe volés seraient en hashs MD5 réputé insuffisant en terme de protection des données et permettant donc une exploitation des comptes utilisateurs.
Même si le prix des informations est élevé, il est vivement conseiller de modifier son mot de passe. Yahoo met tout en œuvre afin de trouver une solution.
Source: undernews
Le bot Mayhem remporte 2 Millions de dollars lors du CTF organisé par la DARPA
À l’occasion de la conférence Blackhat 2016, la DARPA a sponsorisé une compétition CTF mettant pour la première fois en compétition des IA.
Le but de la compétition était de détecter et patcher des failles dans un binaire inconnu, le tout en quelques secondes. En plus de ces mesures défensives, les IA devaient également trouver des failles chez leurs concurrents et les exploiter avant leur correction.
L'objectif de la compétition était d'accélérer le développement de systèmes de détection de failles. Il peut arriver que plusieurs mois passent avant qu'une faille ne soit découverte puis patchée.
http://www.infosecurity-magazine.com...wins-2m-darpa/
Le cabinet d'avocats Mossack Fonseca connu depuis l’affaire Panama Papers victime de piratage
Le cabinet d'avocats Mossack Fonseca, bien connu du grand public depuis l'affaire des Panama Papers, aurait récemment été victime d'un pirate russe.
Le serveur Web du cabinet utilisait une version du noyau Linux datant de 2013 et serait donc potentiellement sujette à une ou plusieurs vulnérabilités. De plus, un fichier PHP exposant des informations sur la configuration du serveur serait apparemment directement accessible depuis internet.
http://resources.infosecinstitute.co...-fonseca-firm/
Une vulnérabilité fait débat chez Telegram
Une vulnérabilité ou erreur dans l’implémentation de l’application de messagerie sécurisée P2P Telegram sur les systèmes MacOS a été découverte par le chercheur en sécurité russe Kirill Firsov.
En effet, le chercheur a découvert que chacun des messages collés dans l’application étaient directement journalisés dans le syslog du système et s’est empressé de le signaler publiquement au CEO et fondateur de Telegram, Pavel Durov, via Twitter.
Cette découverte ne fait cependant pas l’unanimité, en effet, selon le CEO de Telegram, il ne s’agit en aucun cas d’un problème de sécurité majeur si l’on prend en compte le fait que les messages contenus dans le presse-papier sont de toute manière accessibles à toutes les applications du système et que les journaux syslog ne sont pas accessibles en lecture par les applications de l’AppStore grâce au mécanisme de « bac à sable » (sandbox) (voir la documentation conceptuelle de Apple).
Pour autant, comme le suggère le chercheur Kirill Firsov au travers de ses différents tweets : « Imaginez que votre terminal soit saisi par les autorités, après avoir supprimé vos conversations privées, vous serez persuadés de n’avoir laissé aucune trace quant au contenu de ces conversations, cependant ils seront dans la capacité de récupérer un grand nombre d’informations dans vos fichiers de journaux syslog. »
La vulnérabilité semble depuis avoir fait l’objet d’un correctif qui devrait certainement intégrer les prochaines mises-à-jours.
Pour plus d’informations :
- Ars Technica – Telegram app vuln recorded anything macOS users pasted—even in secret
- SC Magazine – Telegram for Mac OS records everything pasted into app
- IT Espresso – Telegram : cette faille de sécurité qui fait débat
- Silicon – Sécurité : Telegram, une vulnérabilité qui prête à discussion
Le logiciel VeraCrypt (renouveau de truecrypt) sera prochainement audité
Le logiciel de chiffrement de disque VeraCrypt, basé sur TruCrypt, sera prochainement audité. L’OSTIF (Open Source Technology Improvement Fund) a annoncé sur son site Internet que l’audit sera réalisé par la société française QuarksLab. Celui-ci sera financé par le moteur de recherche DuckDuckGo et le fournisseur de VPN VikingVPN.
L’audit du code source permettra de rechercher d’éventuelles vulnérabilités et de sécuriser davantage ce logiciel gratuit et open-source. Les résultats sont attendus à la mi-septembre. Les vulnérabilités identifiées seront remontées directement au développeur principal de VeraCrypt de façon sécurisée.
Les résultats seront rendus publics lorsque toutes les vulnérabilités auront été corrigées.
https://ostif.org/we-have-come-to-an...crypt-audited/
L'ANSSI publie ses recommandations en matière de sécurisation de l'environnement d'exécution JAVA
Dans la continuité de son action, l'agence nationale en charge de la sécurité des systèmes d'information français, vient de publier un document détaillant ses recommandations de sécurité en matière de sécurisation de l’environnement Java installé sur un poste de travail Windows.
Ce document de travail, destiné à être lu aussi bien par des développeurs que par des administrateurs, propose à la fois une méthodologie d’inventaire destinée à recenser précisément les besoins liés à Java, ainsi que les recommandations associées, permettant de mener à bien une démarche de sécurisation de ces environnements. Différents contextes d’utilisation de Java sont ainsi passés en revue : les applets Java exécutés au sein d'un navigateur web, mais également les clients lourds installés directement sur le poste de travail ou exécutés à distance au travers de Java Web Start / JNLP.
Ce guide de recommandation est disponible à l'adresse suivante : http://www.ssi.gouv.fr/uploads/2013/...e_notetech.pdf
By Anonyme77, Gohy, Bioshock, Creased, & _47
Commentaire