L'actualité infosec de la semaine - 34ème numéro (28 au 4 Novembre)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Six secondes chrono pour hacker une carte bancaire
Des chercheurs de luniversité de Newcastle ont utilisé une attaque par force brute pour contourner un système de paiement en ligne.
Les chercheurs ont lancé des attaques par force brute à répétition pour tester plusieurs combinaisons possibles sur différents sites afin dobtenir un résultat favorable, cest à dire les informations complètes de la carte.
Pour bien illustrer, prenons un exemple dun film despionnage. Lespion se trouve devant une porte sécurisée avec une combinaison de plusieurs chiffres chiffrés et par magie, il sort un boitier électronique qui vérifie un à un la combinaison pour trouver le code et BINGO cest ouvert.
Ici, c'est votre carte bancaire qui est testée sur différents sites en simultané pour obtenir la bonne combinaison.
La fraude nest pas détectée par la banque à l'instant T, car chaque site ne demande pas les informations aux même moment. De plus, si les six premiers chiffres sont validés, il est beaucoup plus simple aux pirates de trouver les autres informations manquantes.
Toutefois, les banques sefforcent de protéger leurs clients avec de nouveau systèmes didentification mais rien nest infaillible.
Source : latribune
Faille Zéro Day sur lapplication AirDroid
AirDroid est une application Android permettant de faire des transferts de fichier par liaison Wi-Fi entre plusieurs périphériques (smartphone, pc..) et même avec un Mac.
La société Zimperium a détecté plusieurs vulnérabilités dont une faille zéro day, cest à dire quil ny a pas de correctif proposé par léditeur à ce jour.
La faille proviendrait de la faible sécurité du canal de communication permettant le transfert des données entre un téléphone et une tablette par exemple. Grâce à une attaque de l'Homme du milieu, lattaquant peut avoir accès à la clé de chiffrement codée dans lapplication, pouvant alors exécuter des codes malveillants en installant des fichiers APK à distance, prendre possession des données personnelles de lutilisateur, etc
Malgré les alertes répétées de la société Zimperium, lapplication reste toujours vulnérable, alors méfiance, désinstallez la par précaution !
Source: silicon
Gooligan - Le malware Android aurait infecté 1 million d'appareils
Gooligan, c'est le nom de ce redoutable malware Andoird qui aurait infecté plus d'1 million d'appareils à travers le monde. Détecté par la firme de sécurité israélienne Checkpoint, Gooligan est en vérité un cheval de Troie, qui se dissimule dans les applications tierces (86 recensées actuellement), disponibles en dehors du Play Store.
Le cheval de Troie cible les smartphones équipés des anciennes version d'Android (Jelly Bean, KitKat et lipop) afin de pirater les données des comptes Google disponibles sur les smartphones infectés. Ainsi, les pirates ont fait main mise sur autant de données confidentielles disponibles sur Google Photos, Gmail, Google Play... Et la liste est longue.
Google, prévenu par la firme Chekpoint, est entrain de prévenir les utilisateurs concernés, afin de sécuriser leurs appareils.
Source: https://www.undernews.fr/telephonie-...s-android.html
Firefox - Une faille permettrait de démasquer les utilisateurs de TOR
Tor Browser est une version du logiciel TOR fonctionnant avec le navigateur Firefox. Ce fameux logiciel d'anonymat est notamment réputé pour sa fiabilité et son étanchéité. Mais un administrateur du service mail SIGAINT a publié sur la mailling list de TOR, un exploit actif actuellement qui permet dexécuter du code malicieux sur une machine Windows.
L'exploit est basé sur un fichier HTMl et un fichier CSS qui permettent d'obtenir un accès direct au kernel32.dll à cause d'une faille dans la gestion de mémoire de Firefox. Un accès de ce type permet aisément de faire fuiter l'identité des utilisateurs TOR.
Il ne reste plus qu'a attendre un patch pour les futures versions de Firefox et de Tor Browser.
Source: https://thehackernews.com/2016/11/fi...r-exploit.html
Porno - Piratage de 380 000 comptes xHamster
Avis au utilisateurs du site pornographique xHamster, le site vient de subir un important piratage de 380 000 comptes. Les données compromises contiennent le nom d'utilisateur, l'e-mail et le mot de passe chiffré. Les données ont étés mises en vente par les pirates, sur le blackmarket. Le porte parole du site se veut rassurant, est affirme que les mots de passe sont correctement chiffrés, et que les données sont donc sécurisées. Dans le cas contraire, les pirates pourraient remonter les préférences des tous les utilisateurs, et faire grimper le prix de la revente.
Rappelons que le dernier piratage du site de rencontre extra-conjugales Ashley Madison l'an dernier, avait conduit à de nombreuses dépressions et suicides, suite à la divulgation de données.
Source: http://www.clubic.com/antivirus-secu...0-comptes.html
La mise à jour à ne pas faire
Il n'y a pas que les ordinateurs de particuliers qui peuvent être touchés par une mise à jour buguée.
Ainsi, c'est deux gammes de serveurs Lenovo qui planteront au redémarrage si l'option secure boot est activée et que la mise à jour de Novembre de Windows est effectuée. Les systèmes sous Windows Server 2016 sont eux aussi affectés, secure boot ou non. Les utilisateurs sont donc invités à mettre à jour leur boot UEFI AVANT de mettre à jour Windows sur ces machines.
Une preuve donc que même si les mises à jour restent le b.a.-ba de la sécurité, elles ne doivent pas être mise en place sans étude préalable de leur contenu.
Source : http://www.zdnet.fr/actualites/les-s...t-39845462.htm
134,386 numéros de sécurité sociale de membres du personnels de l'US Navy piratés
La semaine passée, la société HP (avec laquelle l'US Navy a des contrats) a remarqué qu'un ordinateur portable contenant un grand nombre d'informations personnelles de membre de l'organisation aurait été piratés.
C'est une affaire que l'US Navy prend très au sérieux dans la mesure où ce n'est pas la première fois qu'elle se produit. Cependant, si la dernière fois le gouvernement américain avait accusé le gouvernement iranien (ou un groupe de hacker lié à ce dernier), ils n'ont cette fois plus l'excuse.
L'enquête se poursuit donc afin que ces informations ne soient pas divulguées mais également pour éviter que ce hack ne se produise une troisième fois (bientôt, les sites .gov deviendront l'exploit d'entrée sur root-me ).
Il ne faudrait pas non plus que la population pense que les infrastructures gouvernementale sont de vraies passoires (ça serait bête tout de même).
Source : http://news.softpedia.com/news/us-na...n-510466.shtml
Speake(a)r où comment vos écouteurs peuvent vous espionner
Toute personne s'y connaissant un tant soit peu en électronique sait qu'entre des écouteurs et un micro, la différence est minime.
Il est donc possible de transformer l'un en l'autre en un battement de cil. On pourrait ainsi espionner des conversations et ce même si la qualité d'enregistrement est plutôt mauvaise.
Nous pouvons cependant nous penser protégé si l'on considère que généralement, nos écouteurs sont branchés à une sortie jack plutôt que sur une entrée.
Mais c'est sans compter sur une faille dans RealTek permettant de transformer un entrée en sortie et inversement.
C'est ainsi que des chercheurs en sécurité informatique ont réussi à mettre en branle tout ce processus pour créer une preuve de concept prouvant l'exploitation.
Ils ont ainsi pu enregistrer des conversations en faibles qualités sur des ordinateurs Windows et MacOS.
Nous savions donc que nos USBs peuvent être attaqués, nos webcams peuvent être allumées à distances, nos micros peuvent servir pour nous espionner et nous devrions maintenant reboucher nos prises jack ! En effet, corriger cette faille n'est pas facile car pour ce faire, il faudrait changer les chipsets de toutes les cartes sont de tous les ordinateurs. Autant dire que c'est impossible !
Ne laissez donc pas vos écouteurs branchés lorsque vous ne les utilisez pas (il n'est apparemment pas possible d'utiliser les écouteurs comme micros si ils sont eux même occupés à diffuser de la musique) ou lorsque vous avez une conversation privée.
Source : https://amp.thehackernews.com/thn/20...g-malware.html
By gohy, Anonyme77, L'OMBRE, Creased, Bioshock & _47