Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).





Voler une tesla grâce à son App

Le hack d'objet connecté et en particulier de voitures est presque devenu monnaie courante.
On en voit de plus en plus souvent.

Il reste tout de même, et pour ma part, assez impressionnant.

Ainsi, une fois de plus, les voitures Tesla sont prise pour cible avec une technique qui se veut changer des habitudes.

En effet, cette fois, des chercheurs en sécurité en montré qu'un malware Android pouvait rooter le téléphone du propriétaire, et ainsi pouvoir accéder aux fichiers du téléphone ainsi qu'à toutes ses applications.
Y compris donc l'application Tesla.

Une fois ceci fait, il est possible de supprimer les informations d'authentification du propriétaire sur les serveurs de Tesla (elles sont stockées en clair dans un simple fichier texte) obligeant alors le dit propriétaire à se reconnecter. Lors de cette reconnexion, les informations de connexions sont volées et, grâce à ces dernières, le chercheur a pu ouvrir la voiture, la faire démarrer et finalement, la voler ...

La société Tesla insiste cependant sur le fait qu'elle n'est pas la seule qui pourrait être ciblée par ce genre d'attaque et que tout téléphone rooté est un risque de sécurité pour toutes les applications de ce dernier.

Source : http://thehackernews.com/2016/11/hacking-tesla-car.html


Locky dans des images de Facebook messenger

Vous souvenez vous de Locky ? Ce ransomware qui a inondé le web plus tôt cette année.

Et bien ce cher Locky a trouvé un nouveau vecteur d'infection basé sur les réseaux sociaux.

Facebook Messenger est touché mais il n'est apparement pas le seul, LinkedIn semblerait également être ciblé (ainsi que d'autres dites actuellement non dévoilés).

Cette faille provient d'une mauvaise configuration dans les plateformes de réseaux sociaux permettant aux attaquants d'obliger le téléchargement de l'image infectée.

Une fois cette dernière téléchargée et ouverte, elle permettrait de télécharget et d'exécuter Locky sur la machine attaquée.
Les détails de l'attaque n'ont pas été divulgués dans la mesure où les réseaux sociaux sont encore à l'heure actuelle sensibles à la dite attaque (Il parait même que facebook démentirait cette dernière).


Locky se répand normalement et principalement par des mails de phishing mais ce nouveau vecteur pourrait bien relancer ce ransomware de façon colossale.
Faites donc bien attention à votre consommation de réseau sociaux pour les jours à venir.

Source : http://thehackernews.com/2016/11/fac...ansomware.html

Windows 10 partagerait des données de télémétries à d'autres entreprises

Sur ce forum, nous sommes à mon avis un peu tous d'accord sur ce sujet. La sécurité informatique est essentielle (sinon pourquoi serions nous là après tout ?.
Heureusement, grâce à l'avancée des technologies de machine learning et d'intelligence artificielle, la sécurité peut s'améliorer de jour en jour et même parfois de manière pleinement automatique.

C'est ainsi que Microsoft a intégré à son OS Windows 10, un nouveau système de machine learning afin d'aider à améliorer la sécurité de l'OS.

Cependant, pour appliquer ce genre de méthodes, il faut des données, beaucoup de données.
Des données qu'il faut collecter, analyser, afin de finalement les utiliser.

Toutefois, comme chacun le sait, Microsoft aime un peu trop ses collectes de données massives et ces données, on ne sait pas toujours ce que la firme américaine en fait.

Il semblerait toutefois que dans notre cas particulier, la firme donne une part de ces données à de tierces parties même si elle affirme que tel n'est pas le cas.

En particulier, le rachat de FireEye par microsoft a signé pour la première fois l'acte publique de vente de données de télémétrie à la première société.

Les données des utilisateurs de Windows ne semblent donc pas être en de très bonne main et de plus en plus, les systèmes open source devraient être privilégiés.

Source : http://thehackernews.com/2016/11/win...etry-data.html

Linux, un bug pour contourner le chiffrement
C'est un bug amusant qui touche l'utilitaire CryptSetup de Linux.
Amusant mais inquiétant.

En effet, c'est cet utilitaire qui permet de gérer le chiffrement du disque dur et de demander le mot de passe de déchiffrement au démarrage de l'ordinateur.

Des chercheurs en sécurité informatique ont démontrés que ce programme dispose d'un bug qui permet, si la touche "Entrée" est pressée pendant environ 70 secondes, d'ouvrir un terminal disposant des droits root sur le système.

Ce terminal pourrait permettre de modifier le noyau ou d'installer un programme au démarrage du système.
À partir de là, la seule limite à l'exploitation reste l'imagination de l'attaquant.

Même si cette faille semble nécessiter un accès physique, les chercheurs affirment qu'elle pourrait également être exploitée à distance.

La seule et unique bonne nouvelle est que le shell root ne dispose pas d'accès aux données qui restent chiffrées.

Un correctif est déjà mis en ligne pour corriger ce problème.

Source : https://www.undernews.fr/alertes-sec...iffrement.html

L'iPhone envoie secrètement votre historique d'appels à Apple
La société à la pomme se targue de défendre la vie privée de ses utilisateurs en refusant de donner des portes dérobées aux gouvernements.
Cependant, elle n'est pas non plus toujours une oie blanche dans ce domaine.

En effet, les iPhone collecteraient et enverraient secrètement votre historique d'appel à Apple et ce même si vous avez désactivé cette option.
Apple affirme que cette action est effectuée afin de pouvoir accéder à cet historique sur tous les appareils connectés et que de plus ce dernier est stocké chiffré.
Cette justification n'explique cependant pas pourquoi ces informations sont envoyées même lorsque l'option est désactivée.

À ce jour, les deux seuls moyens de contourner ce problème sont de :

1. Désactiver complètement la synchronisation iCloud (ce qui n'est pas forcément souhaitable)
2. Supprimer manuellement chaque appel effectué

Aucune de ces solutions n'est donc vraiment optimale mais ne jetons pas directement la pierre à Apple.
Google et Windows feraient apparemment de même sur leurs propres appareils.

Source : http://thehackernews.com/2016/11/icloud-backup.html

Près de 3 millions d'appareils Android auraient été vendus avec un rootkit préinstallé
Prêt de 3 millions d'appareils Android chinois seraient vulnérable à une attaque de l'Homme du milieu (MITM).
La faille serait due à une mauvaise implémentation du protocole OTA et permettrait à un attaque d'exécuter du code arbitraire avec des droits root sur le téléphone.

Cependant, les chercheurs affirment également que le programme induisant cette faille, caché dans le dossier /system/bin/debugs, agirait en fait comme un rootkit dans le téléphone.
Ainsi, il collecterait des informations personnelles de l'utilisateur et tenterait de les transmettre à 3 noms de domaines codé en dur dans le système. De plus, le système semble être pourvu de plusieurs mécanismes tentant de cacher son exécution aux utilisateurs.

Les téléphones impliqués seraient principalement ceux de la société chinoise BLU Products.

Et ne l'oublions pas, ce rootkit pourrait en plus être exploité afin d'exécuter du code arbitraire avec des droits root sur le téléphone.
Rien de très rassurant donc.

La société BLU a d'ores et déjà proposé une mise à jour du logiciel permettant de corriger ce problème.
Cependant, aucun chercheur en sécurité informatique n'a encore écrit à propos de son efficacité.

Source : http://thehackernews.com/2016/11/hac...rtphone18.html

Metasploitable 3 : Une nouvelle mouture de cette machine intentionnellement vulnérable

Metasploitable est une distribution Linux spécialement étudiée afin d'être vulnérable et de permettre l'apprentissage de la sécurité informatique.

Les chercheurs en sécurité informatique et autres (apprentis-)hackers connaissent bien cette distribution Linux.
Bien souvent, ils se sont cassés les dents dessus pendant un bon moment avant d'arriver à leur première exploitation réussie.

Et bien bonne nouvelle chers amis, la distribution propose depuis peu une nouvelle mouture avec de nouvelles spécifications.

Cette nouvelle version propose en effet :

1. Un environnement plus complexe à exploiter que Metasploitable 1 ou 2
2. Des flags représentant des données qui devraient être dérobées dans un système réel
3. Une bonne protection des flags avec, parfois des connaissances nécessaires en post-exploitation
4. Différents niveaux de défense dans les firewalls

Que de bonnes choses donc et de nouveaux exercices intéressants à effectuer.

Prêt à vous lancer ?
Si tel est le cas, n'hésitez pas à venir faire des CTFs avec la team de HK !


What.cd - Fermeture définitive du tracker musical

Décidément, c'est une année noire pour les sites de téléchargements illégaux. Après KickAss Torrents, c'est au tour de What.cd d'annoncer sa fermeture. Le site possédait une renommé rare, et ceux en partie grâce à sa difficulté d'accès. En effet, l'accès au site, et donc aux fichiers sons, se faisait uniquement sur invitation, et suite à un dur test d'admission. La valeur d'un compte pouvait donc grimper jusque à 150€ sur le marché noir.
Mais suite à une opération de grande ampleur, la police a saisi 12 serveurs notamment hébergés chez OVH. Triste fin donc, pour cette grande communauté de passionnés.

Source: https://www.undernews.fr/warez-telec...policiere.html

Phreaking - 80 000€ pour la mairie de Saint-Malo

Triste nouvelle pour la mairie de Saint-Malo. En effet, cette dernière a été frappée l'année dernière par une attaque de phreakers. Durant quatre jours, le standard téléphonique a été détourné pour passer des appels surtaxés dans des pays africains, principalement au Burkina Faso. La facture s’élève a près de 80 000€. Une enquête sur l’arnaque est en cours, et le prestataire de l’équipement téléphonique va devoir répondre aux questions se posant face à l’insuffisance des systèmes de sécurité du standard ayant permis le piratage.

Source: https://www.undernews.fr/hacking-hac...aint-malo.html

Gmail: Des tentatives de piratage chez les journalistes

C'est ce que soupçonne Google sur des comptes appartenant à de grands journalistes du New York Times, du The Intercept et d'autres grands noms de la profession. EN effet, ces derniers se sont étonnés publiquement ,via Twitter, d'alertes de la part de Google, au sujet d'une probable compromission de leur compte.
L'alerte de Google laisse penser que ce serait des pirates sponsorisés par un Etat (La Russie ?) qui tenteraient d'accéder à des données journalistiques.

Source: http://arstechnica.com/security/2016...-under-attack/

By gohy, Anonyme77, L'OMBRE, Creased, Bioshock & _47