Actualités

Pour vous abonner au fil RSS, cliquez sur la vignette d'abonnement de votre choix :

     

Tous > Général > Technique > CNIL > Alertes > Articles > Apple > RGPD 




NoLimitSecu : Les dénis de services

Publié le 22/01/2016


Episode de NoLimitSecu dédié aux dénis de service...

A ecouter sans moderation par ici.
Attention : technique...


Consulter l'article source.




SLOTH, la petite dernière dans le monde des attaques sur les protocoles cryptographiques

Publié le 01/01/2016


Après LOGJAM, FREAK ou encore POODLE, une nouvelle attaque cryptographique baptisée SLOTH vient d'être révélée par des chercheurs français. Comme toute attaque digne de ce nom, SLOTH est un acronyme, signifiant "Security Losses from Obsolete and Truncated Transcript Hashes". Contrairement à certaines attaques divulguées auparavant qui étaient liées à la conception même des protocoles cryptographiques, il ne s'agit pas directement, cette fois-ci, d'une attaque ciblant l'utilisation des protocoles cryptographiques connus comme étant obsolètes (tels que SSL v2, SSL v3 ou encore TLS 1.0), mais plutôt l'utilisation d'algorithmes de hachage obsolètes au sein des protocoles cryptographiques (qu'ils soient obsolètes ou non).

Plus précisément, les chercheurs de l'INRIA, Karthikeyan Bhargavan et Gaëtan Leurent, ont pointé du doigt l'utilisation de SHA-1 et MD5, entre autres au sein des protocoles actuellement sûrs d'utilisation, qui sont aujourd'hui obsolètes, et dont l'usage n'est plus recommandé depuis plusieurs années. Par exemple, TLS 1.2 (la dernière version en date) pourrait être rendu inopérant en cas d'utilisation de SHA-1 ou de MD5. D'autres protocoles tels que IKE (VPN) ou SSH, pourraient également faire les frais de l'utilisation de ces fonctions de hachages obsolètes.
Il est important à cette occasion de rappeler aux administrateurs que la configuration de leurs clients/serveurs ne se limite pas à la sélection de la suite de chiffrement (par exemple ECDHE_RSA_AES_128_GCM_SHA256). Il est également important de se pencher sur les autres aspects du protocole, tels que l'authentification. Pour rappel, l'authentification repose sur la signature d'informations avec une clef privée, procédure pouvant être vérifiée par le correspondant à l'aide de la clef publique associée. Dans ce contexte, ce n'est pas la suite de chiffrement qui est impliquée, mais un autre paramètre dédié. Ainsi, il est tout à fait possible pour un serveur SSH ou TLS par exemple d'utiliser une suite de chiffrement considérée comme étant sûre, et en parallèle d'utiliser RSA-MD5 pour signer les données. Auquel cas, ce serveur est vulnérable à SLOTH.
Dans le cadre de ces recherches, les chercheurs ont identifié un nouveau type d'attaque cryptographique, baptisée "transcript collision". Le détail de ces travaux, et les résultats obtenus sont détaillés ici ou (au passage, je vous recommande www.mitls.org) ^_^
Les dommages diffèrent bien sûr pour chacun des protocoles reposant sur l'utilisation des fonctions de hachages obsolètes. Ils vont de l'usurpation d'identité sur TLS 1.2 par exemple, jusqu'à des contournements de restrictions de sécurité pour SSH 2.
L'un des principaux résultats de ces recherches est l'abandon, par le groupe de travail en charge des spécifications de TLS 1.3, du support des signatures RSA-MD5. Enfin, pour les administrateurs de serveurs SSH, TLS, ou IKE, la principale recommandation à adopter est de ne plus supporter les signatures RSA-MD5. Par ailleurs, les chercheurs ont identifié une première liste de logiciels concernés par SLOTH. Les développeurs de ces logiciels ont été contactés de manière anticipée, pour proposer des correctifs. Parmi les logiciels impactés figurent :
* OpenSSL <= 10.1e
* Firefox <= 42
* Oracle Java <= 8u66
* Oracle Java <= 7u79)
* GnuTLS <= 3.3.14
* BouncyCastle (Java Client) <= 1.53
* BouncyCastle (C# Client) <= 1.8.0
* PolarSSL/mbedTLS <= 2.2.0
Enfin, selon les chercheurs, un scan réalisé sur l'intégralité d'Internet montrerait que 32% des serveurs TLS supporteraient RSA-MD5, et sont donc vulnérables à SLOTH.


Consulter l'article source.
Consulter aussi la référence CVE.




Un nouveau type d'attaque : Stegosploit

Publié le 18/11/2015


Lors de la conférence Hack In The Box d’Amsterdam, le chercheur en cybersécurité indien Saumil Shah a présenté Stegosploit, un protocole permettant d’intégrer un malware à l’intérieur d’une banale image numérique...!

Baptisée Stegosploit, cette technique imaginée par Saumil Shah consiste à encoder le payload dans une image JPG ou PNG (partie sténographie), puis à le faire décoder par le navigateur au moment de la lecture de l'image (Polyglots).
L’attaque utilise la sténographie -l’art cryptographique de cacher un message dans une image. Le code malveillant est découpé en morceaux puis éparpillé sur les différentes couches constituant le code JPEG ou PNG de l’image et ceci sans modifier ou altérer la perception humaine de cette image (cf. l'explication donné sur le site stegosploit.info, en anglais).
L’œil ne s’aperçoit de rien tout et, vous vous en doutez, c'est parfaitement indétectable par les antivirus pour le moment!
Si la technique vous intéresse, le chercheur en sécurité Ange Albertini a mis en ligne une démo de tout ça ((zip)! où un simple Gif ou BMP exécute un Hello World en javascript.


Consulter l'article de Korben sur le sujet.
Voir la video de la présentation de Saumil Shah ou accéder à la presentation PDF

Enfin, pour en savoir plus sur la sténographie, commencer par ici!





Xen corrige une vulnérabilité très critique dans son hyperviseur

Publié le 02/11/2015


Xen Project a corrigé neuf vulnérabilités pour son hyperviseur dont une critique présente depuis 7 ans au coeur de son code, identifiée comme étant la pire jamais décelée dans ce logiciel de virtualisation.

Les patchs publiés jeudi par Xen corrigent un total de neuf vulnérabilités, mais celle qui accorde un privilège d'escalade, CVE-2015-7835, est la plus sérieuse. Elle découle non pas d'une erreur de programmation traditionnelle mais d'une faille logique sur la façon dont Xen implémente la virtualisation de mémoire pour les VM paravirtualisées. La paravirtualisation est une technique qui permet la virtualisation sur les processeurs centraux ne supportant pas la virtualisation assistée sur matériel.
En tant que tel, la faille peut seulement être exploitée par des administrateurs malveillants d'hôtes paravirtualisés, et seulement sur les systèmes x86, a indiqué Xen Project dans une note.
Selon Qubes OS Project; l'équipe sécurité ayant detecté les failles, "le projet Xen devrait essayer de revenir avec des pratiques et peut être des mécanismes supplémentaires qui ne permettraient plus jamais à de telles failles de sévir dans l'hyperviseur. Sinon, l'ensemble du projet n'a pas de sens, du moins pour ceux qui voudraient utiliser Xen pour des travaux nécessitant de la sécurité. »


Consulter l'article du Monde Informatique!
Consulter aussi le CERT S.G.D.S.N!





WordPress – Alerte au attaques brute force sur les sites FR et US

Publié le 02/11/2015


Les CMS populaires comme WordPress ont un footprint facile à repérer et sont la cible prioritaire des pirates informatiques. Durant la dernière semaine d’octobre, le nombre d’attaque par brute force a doublé : l’alerte est donc lancée.

Wordfence, l’éditeur de l’un des principaux plugin dédié à la sécurité des sites WordPress a lancé l’alerte après avoir repéré une énorme pointe sur la courbe montrant le nombre d’attaques par brute force quotidiennes : les attaques ont violemment doublées, passant de 10 000 attaques/minute à environ 20 000/minute!
Pour vous protéger, si vous n’êtes pas développeur Web, pensez à installer un plugin de sécurité et configurez-le de façon à ce qu’il limite les tentatives de connexion par heure (entre 3 et 5 par exemple) sur les comptes utilisateurs et administrateurs du site. En plus de cela, pensez à utiliser un compte administrateur sur-mesure et non le fameux « admin » (désactivez-le complètement). De plus, mettez bien à jour le core ainsi que l’ensemble des plugins.


Consulter sur undernews!
Plus d'information sur le site Wordfence (en anglais).

1 >Suivant >>2