Archives de catégorie : Brèves

Revue de l’actualité sécurité faite au fil de l’eau.

Nouvelle section : Le Panthéon du Comptoir

Bonjour à tous,

Aujourd’hui, pas de nouvel épisode, mais une nouvelle section dans notre site : Le Panthéon du Comptoir.

Sur cette page vous retrouverez les personnes qui, bien que ne faisant pas partie de l’équipe, ont contribué, à leur manière, à nous améliorer.

Au ComptoirSécu, on a pas de sous, donc à défaut de vous récompenser avec un gros chèque, on lève notre pinte à votre santé. Mieux, on se fera une joie de vous en offrir une si l’on a l’occasion de se croiser!

Nous inaugurons cette catégorie avec Cyril Vallicari, aka @Ug_0Security, pour nous avoir donné un bel exemple de « responsible disclosure » en nous remontant en PM sur Twitter une vulnérabilité de type « énumération de comptes » sur notre blog. C’est désormais « patché » ;).

Sur ce, je vous dis à bientôt pour de nouveaux épisodes. Sans vouloir faire du teasing gratuit, Loïs prépare du lourd en nouveau sujet!

 

Flattr this!

[FIC2015] Programme du ComptoirSecu

Bonjour à tous,

Comme on vous a annoncé ces dernières semaines, nous serons présent à partir de demain au Forum International de la Cybersécurité en tant que « Radio du FIC ». Nous commenterons les différents évènements durant ces 2 jours : plénières, conférences, exposants…

Si vous êtes sur le salon, n’hésitez pas à venir sur notre stand afin de discuter autour d’une bonne pression ! 😉

Pour les absents du salon, nous serons diffusés en live sur Dailymotion: le lien. Pour réagir, n’hésitez pas à utiliser le hashtag #ComptoirFIC sur Twitter.

Pour ces 2 jours de salon, on vous a fait un programme :

Mardi

11h-12h : Retours sur les plénières de la matinée
13h-14h : Diffusion des dossiers Comptoir Secu durant la pause déjeuner
14h-15h30 : Libre antenne
15h30-17h : Interviews au comptoir
17h-17h40 : Retours avec le public du FIC sur la journée

 Mercredi 

11h-12h30 : Retours sur les plénières de la veille et de la matinée
13h-14h : Diffusion des dossiers Comptoir Secu durant la pause déjeuner
14h-15h30 : Libre antenne
15h30-17h : Interviews au comptoir
17h-17h40 : Retours avec le public du FIC sur la journée

 Bonne écoute !

Flattr this!

Heartbleed: une faille critique dans OpenSSL qui remue le monde de la sécurité informatique

A missing bounds check in the handling of the TLS heartbeat extension can be
used to reveal up to 64k of memory to a connected client or server.

Voici ce qu’ont pu lire ceux qui suivent l’actualité sécu sur le site d’OpenSSL.org hier matin.

La faille joliment appelée « heartbleed » à cause de la fonctionnalité de heartbeat d’OpenSSL est présente dans les bibliothèques d’OpenSSL 1.0.1 jusqu’à 1.0.1f et permet de déchiffrer les échanges entre le client et le serveur utilisant SSL/TLS. Elle permet de compromettre la clé privée du serveur utilisée pour chiffrer le trafic. Ainsi, il est possible, par exemple, de récupérer le login et le mot de passe de services ou d’utilisateurs, afin d’usurper leurs identités et d’infiltrer le serveur sans laisser de traces.

Cette vulnérabilité a été découverte par un groupe de chercheurs de Codenomicon, avec l’aide d’une personne de Google Security. D’après Netcraft, plus de 500 000 serveurs seraient impactés.

OpenSSL Heartbeat (Heartbleed) Vulnerability (CVE-2014-0160) and its High-Level Mechanics Vidéo expliquant le concept de heartbleed.

Comme souvent dans les failles liées au chiffrement, ce n’est pas l’algorithme en lui-même qui est faillible mais l’implémentation qui en est faite. Une erreur de programmation dans la bibliothèque permet de révéler la clé privée du certificat X509 du serveur. Bien heureusement, un patch est déjà disponible. Cependant, il faudra régénérer l’intégralité des certificats au cas où une fuite a déjà eu lieu (rappelez-vous, l’attaque ne laisse pas de traces). De plus, des comptes techniques ou utilisateurs ont pu être dévoilé. Il faudra ainsi changer les mots de passe ainsi que les éventuels cookies des utilisateurs. On peut d’ailleurs s’étonner sur le fait que très peu de sites Web ont réinitialisé les passwords de leurs utilisateurs…

Cette vulnérabilité fait beaucoup bouger le monde de la sécurité informatique car non seulement elle est très critique mais en plus demande un coût humain important pour la combler (régénération des mots de passes et des certificats).

Comment les administrateurs vont devoir combler cette faille ?

  • Tout d’abord, il faut mettre à jour la bibliothèque soit en passant en version en 1.0.1g ou bien en recompilant votre version d’OpenSSL avec le flag OPENSSL_NO_HEARTBEATS (Attention toutefois aux binaires qui disposent d’OpenSSL compilé en natif qui seront donc toujours vulnérable).
  • Ensuite, régénérer les certificats car il est impossible de savoir si ils ont été effectivement compromis.
  • Révoquer les cookies des utilisateurs
  • Encourager, voir forcer les utilisateurs à réinitialiser leurs mots de passe
  • Enfin, pour compléter le tout, faites un tour du côté du Perfect Forward Secrecy qui permet de garder l’intégrité de la clé de session même si la clé privée du serveur est compromise

Pour les utilisateurs, une procédure est envisageable :

  • Il faut tout d’abord tester si les sites sur lesquels vous avez un compte sont vulnérables. Pour tester la faille sur les serveurs, il existe un site web vous permettant de le vérifier en direct.
  • Si le serveur n’est plus vulnérable, il faut vérifier que les certificats ont été régénérés. Pour cela, regardez la date d’émission, si elle est antérieure au 8 avril, c’est mauvais signe.
  • Si et seulement si ces deux conditions sont validées, vous pouvez changer votre mot de passe, sinon cela ne sert à rien.
  • Enfin regardez du côté de la communication du site web pour savoir s’ils ont été gravement touchés. Par exemple, Lastpass a publié un post sur son blog pour annoncer qu’aucun mot de passe situé sur leur plateforme ne pouvait avoir été compromis via cette faille
  • Faites aussi attention aux éventuels mails de phishing qui risquent d’arriver dans vos boites aux lettre ces jours prochains. C’est d’ailleurs l’occasion, si cela n’est déjà fait, de suivre les bonnes pratiques de sécurité pour vos mots de passe, et pourquoi pas passer sur un gestionnaire de mots de passe! Il facilitera grandement votre processus de réinitialisation, en mettant des mots de passe robuste dont vous n’aurez pas à vous souvenir.

heartbleed

Dernier point, comme le souligne TroyHunt, assurez vous que votre navigateur vérifie si le certificat du site visité est encore actif. Si la révocation n’est pas vérifié, un certificat compromis par heartbleed pourra encore vous être servi lors d’une attaque en man in the middle dans plusieurs semaines sans que Chrome n’avertisse de quoi que ce soit…

chrome_ssl

Évidemment, sur ce genre de vulnérabilité à grande échelle, des exploits sont déjà vendu sur le marché noir. C’est pour cela qu’il est très important de corriger cette faille au plus vite.

P.S: Pour rappel, nous avions parlé des différentes failles potentielles de TLS et de SSL dans notre épisode pilote.

Flattr this!

Stripe, Un paiement simplifié et sécurisé ?

Aujourd’hui je vais vous parler d’un concurrent au très célèbre Paypal: Stripe.

C’est toujours assez complexe et pas vraiment sécurisant d’être redirigé vers un autre site web lors d’un paiement sur Internet. Il faut toujours vérifier le certificat SSL et le numéro de carte bleue peut être récupérer si on a un key logger sur sa machine. De plus, payer sur son mobile peut être assez fastidieux.

Stripe permet avec son téléphone de payer via Navigateur web, mobile et tablette sans aucune redirection vers un site tierce. Le tout est réalisé en Node.js ou via un plugin si c’est sur une application mobile.

Le concept est simple, le client voulant payer se connecte sur son compte via OAuth2.0 sur le site du vendeur. S’il n’a pas de compte, il est possible d’en créer un dans la foulée. Un sms contenant un code à usage unique est ensuite envoyé sur le téléphone de l’utilisateur. Il suffit de rentrer ce code sur le site pour payer. Le sms envoyé est lié à la commande et à la clé API du marchand.

598px-Oauth_logo.svg

Évidemment, ils prennent une commission: 2.9% de la transaction plus 30 centimes. Cela peut paraitre beaucoup mais Paypal utilise exactement la même grille tarifaire. D’ailleurs un des principaux investisseurs est Peter Thiel qui n’est autre qu’un des fondateurs du géant du paiement électronique. Paypal s’intéresse beaucoup à cette solution de checkout puisqu’ils ont annoncés eux aussi développer quelque chose de similaire .

Du côté de la sécurité, la société est certifié PCI Service Provider Level 1. Ce qui indique un bon niveau de maturité de ce côté-là. Pour rappel, PCI/DSS est une certification qui impose beaucoup de règles de sécurité avec des audits réguliers. Les numéros de cartes bleues sont chiffrés en AES-256 et les clés de déchiffrements sont stockées sur des machines séparées. Il n’y a malheureusement pas suffisamment de description sur leur site pour se faire une réelle idée des mécanismes de sécurité employés de leur côté. Toutefois, il possible de signaler les failles trouver sur leur système via une adresse mail: security@stripe.com avec un engagement de réponse dans les 24h. Cependant, ils demandent de ne pas publier la description de la faille avant leur avoir communiqué et aucune contrepartie n’est annoncée.

stripe mobile

Une attaque par l’homme du milieu me parait cependant faisable. C’est pour cela qu’ils conseillent aux vendeurs de faire attention aux autres javascripts qui seraient présent sur leurs sites. On peut très bien imaginé remplacer la clé API du vendeur par celle d’un attaquant afin de récupérer l’argent par exemple. Pour cela, il faudrait s’enregistrer sur leur site afin d’avoir une clé et le subterfuge serait, à mon avis, vite découvert.

Malheureusement, l’application n’est pas encore disponible en France mais cela ne saurait tarder. Attention, je vous déconseille de rechercher stripe sur le store android, j’ai eu des surprises NSFW 🙂

 

Sources:

http://techcrunch.com/2014/03/05/stripe-debuts-a-new-checkout-experience-with-one-click-payments-for-mobile-and-web/?ncid=rss

https://stripe.com/help/security

Flattr this!