[Episode 17] Bring Your Own Suze

Hello Everyone !

Le numéro 17 est prêt pour vos oreilles. Suite au bon conseils de nos ami du podgast nous avons fait un épisode spécial Suze !

Au programme

Lire

Bonne écoute !

Liens et références

 

//News

Justin

Full Disclosure List ferme ses portes lien1 lien2

PopcornTime Lien1 Lien2

Morgan

Anti-fraude Mastercard par géolocalisation

Scandale du backup whatsapp Lien1 Lien2 Lien3

Conseils mot de passe CNIL

Youenn

DGSE et Orange

Reset Twitter

//Dossier BYOD

http://www.zdnet.fr/actualites/byod-les-outils-de-mobile-device-management-la-solution-technique-39772744.htm

http://www.journaldunet.com/solutions/expert/56719/byod–cyod–cope—co—meilleurs–ennemis–du-dsi.shtml

http://www.channelpartnersonline.com/blogs/peertopeer/2013/06/byod-cyod-cleo-cope-making-sense-of-mobility-term.aspx

 

//What’s Next BYOID

 http://www.virginmediabusiness.co.uk/News-and-events/News/News-archives/2012/Social-media-continues-to-rise-in-popularity-among-high-street-banks/

http://www.google.fr/intx/fr/enterprise/apps/business/customers.html

http://www.forbes.com/sites/kashmirhill/2011/08/29/googles-eric-schmidt-says-plus-is-an-identity-service-not-a-social-network/

http://www.numerama.com/magazine/19464-l-anonymat-en-ligne-doit-disparaitre-selon-une-responsable-facebook.html

http://www.numerama.com/magazine/19411-google-fait-la-chasse-aux-pseudonymes.html

 

Lien direct pour le podcast ici

Flattr this!

Heartbleed: une faille critique dans OpenSSL qui remue le monde de la sécurité informatique

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Voici ce qu’ont pu lire ceux qui suivent l’actualité sécu sur le site d’OpenSSL.org hier matin.

La faille joliment appelée « heartbleed » à cause de la fonctionnalité de heartbeat d’OpenSSL est présente dans les bibliothèques d’OpenSSL 1.0.1 jusqu’à 1.0.1f et permet de déchiffrer les échanges entre le client et le serveur utilisant SSL/TLS. Elle permet de compromettre la clé privée du serveur utilisée pour chiffrer le trafic. Ainsi, il est possible, par exemple, de récupérer le login et le mot de passe de services ou d’utilisateurs, afin d’usurper leurs identités et d’infiltrer le serveur sans laisser de traces.

Cette vulnérabilité a été découverte par un groupe de chercheurs de Codenomicon, avec l’aide d’une personne de Google Security. D’après Netcraft, plus de 500 000 serveurs seraient impactés.

OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics Vidéo expliquant le concept de heartbleed.

Comme souvent dans les failles liées au chiffrement, ce n’est pas l’algorithme en lui-même qui est faillible mais l’implémentation qui en est faite. Une erreur de programmation dans la bibliothèque permet de révéler la clé privée du certificat X509 du serveur. Bien heureusement, un patch est déjà disponible. Cependant, il faudra régénérer l’intégralité des certificats au cas où une fuite a déjà eu lieu (rappelez-vous, l’attaque ne laisse pas de traces). De plus, des comptes techniques ou utilisateurs ont pu être dévoilé. Il faudra ainsi changer les mots de passe ainsi que les éventuels cookies des utilisateurs. On peut d’ailleurs s’étonner sur le fait que très peu de sites Web ont réinitialisé les passwords de leurs utilisateurs…

Cette vulnérabilité fait beaucoup bouger le monde de la sécurité informatique car non seulement elle est très critique mais en plus demande un coût humain important pour la combler (régénération des mots de passes et des certificats).

Comment les administrateurs vont devoir combler cette faille ?

  • Tout d’abord, il faut mettre à jour la bibliothèque soit en passant en version en 1.0.1g ou bien en recompilant votre version d’OpenSSL avec le flag OPENSSL_NO_HEARTBEATS (Attention toutefois aux binaires qui disposent d’OpenSSL compilé en natif qui seront donc toujours vulnérable).
  • Ensuite, régénérer les certificats car il est impossible de savoir si ils ont été effectivement compromis.
  • Révoquer les cookies des utilisateurs
  • Encourager, voir forcer les utilisateurs à réinitialiser leurs mots de passe
  • Enfin, pour compléter le tout, faites un tour du côté du Perfect Forward Secrecy qui permet de garder l’intégrité de la clé de session même si la clé privée du serveur est compromise

Pour les utilisateurs, une procédure est envisageable :

  • Il faut tout d’abord tester si les sites sur lesquels vous avez un compte sont vulnérables. Pour tester la faille sur les serveurs, il existe un site web vous permettant de le vérifier en direct.
  • Si le serveur n’est plus vulnérable, il faut vérifier que les certificats ont été régénérés. Pour cela, regardez la date d’émission, si elle est antérieure au 8 avril, c’est mauvais signe.
  • Si et seulement si ces deux conditions sont validées, vous pouvez changer votre mot de passe, sinon cela ne sert à rien.
  • Enfin regardez du côté de la communication du site web pour savoir s’ils ont été gravement touchés. Par exemple, Lastpass a publié un post sur son blog pour annoncer qu’aucun mot de passe situé sur leur plateforme ne pouvait avoir été compromis via cette faille
  • Faites aussi attention aux éventuels mails de phishing qui risquent d’arriver dans vos boites aux lettre ces jours prochains. C’est d’ailleurs l’occasion, si cela n’est déjà fait, de suivre les bonnes pratiques de sécurité pour vos mots de passe, et pourquoi pas passer sur un gestionnaire de mots de passe! Il facilitera grandement votre processus de réinitialisation, en mettant des mots de passe robuste dont vous n’aurez pas à vous souvenir.

heartbleed

Dernier point, comme le souligne TroyHunt, assurez vous que votre navigateur vérifie si le certificat du site visité est encore actif. Si la révocation n’est pas vérifié, un certificat compromis par heartbleed pourra encore vous être servi lors d’une attaque en man in the middle dans plusieurs semaines sans que Chrome n’avertisse de quoi que ce soit…

chrome_ssl

Évidemment, sur ce genre de vulnérabilité à grande échelle, des exploits sont déjà vendu sur le marché noir. C’est pour cela qu’il est très important de corriger cette faille au plus vite.

P.S: Pour rappel, nous avions parlé des différentes failles potentielles de TLS et de SSL dans notre épisode pilote.

Flattr this!

Pwn2Own 2014 : Les résultats sont toujours aussi catastrophiques

Pour ceux qui ne connaissent pas, le Pwn2Own est un concours (présentement sponsorisé par HP) au cours duquel des chercheurs en sécurité sont mis au défi de prendre le contrôle d’un ordinateur.

Encore une fois cette année, le navigateur est la voie royale de l’attaquant, accompagné des éternels Adobe Flash et Adobe Reader.

Mozilla Firefox, Google Chrome, Internet Explorer et Safari se sont fait retourner lors de cette 8ème édition. Ici l’excuse de l’obsolescence ne passe pas, avec un Windows 8 64 bits comme support.

Il semblerait que Vupen se soit assagi, en effet, cette année, point de cachotteries de la part de notre revendeur de 0day, toutes les vulnérabilités exploitées auraient été divulguées aux éditeurs respectifs.

vupen-proactive

On ne peut s’empêcher d’être un peu défaitiste en voyant ces résultats. Cela me fait un peu penser au concours Pwn2Kill organisé par l’ESEIA lors de leur « iAWACS ». Ce concours demandait aux participants de faire passer un malware à l’insu des grands antivirus du marché.

A priori, il n’y a pas eu de nouvelle session depuis 2010, mais les deux sessions de 2009 et 2010 ont montré une victoire écrasante des attaquants. L’ensemble des charges malveillantes était passé, aucun moteur antivirus ne les avait détectés.

On est en droit de se demander si les éditeurs font les efforts nécessaires en interne pour éprouver efficacement la sécurité de leurs produits avant de les diffuser au grand public.

Nous sommes désormais dans une course aux fonctionnalités, il est plus tentant d’être le premier à sortir une nouvelle version innovante. On le voit très bien avec l’envolée ridicule des numéros de version des navigateurs.
Un bel exemple est Google Chrome. Il fut un temps ou le changement du numéro majeur de version d’un navigateur était significatif. Il y a longtemps que l’on n’y fait plus attention avec Chrome, qui en est à sa version… 32.

Les récompenses offertes aux chercheurs en échange de la révélation de ces vulnérabilités atteignent des sommes colossales. Cette dernière édition du Pwn2Own ne totalise pas moins de 850 000 dollars de « bounty » !

Mais après tout, est-ce tant que ça pour un éditeur comme Microsoft ou Google ? Peut-être est-il plus intéressant pour eux de payer pour les résultats de ces chercheurs plutôt que de les payer pour les faire chercher en interne.

schneier2

Doit-on baisser les bras, arrêter de nous échiner à mettre à jour notre ordinateur et nos logiciels ? Abandonner les antivirus, firewall et autre outil de sécurisation ? Bien sûr que non !

La sécurité absolue n’existe pas, et ces concours nous le prouvent, cependant, toutes ces mesures de sécurité ne sont pas pour autant totalement inutiles. Une quantité astronomique de malware circule sur Internet, un Windows obsolète ne tient que quelques heures avant d’être infecté une fois connecté.

Les vulnérabilités présentées sont le fruit d’experts dans le domaine, ils ont investi un temps considérable dans leurs découvertes, et ces vulnérabilités seront patchées par leurs éditeurs.

Ce n’est pas parce qu’il restera toujours possible d’entrer chez vous avec un tank ou un expert en crochetage qu’il ne faut plus prendre la peine de fermer la porte à clé.

Flattr this!