Archives pour la catégorie Sécurité

Google lance enfin l’appli Android Device Manager pour localiser son mobile perdu

Annoncée en août dernier, la solution associe une application et un site Web. Elle permet aux utilisateurs Android de localiser leur téléphone en cas de perte et d’effacer les données qu’il contient s’il s’agit d’un vol.

Android se met enfin à niveau de la concurrence en ce qui concerne les solutions officielles de localisation/protection des terminaux à distance. Alors qu’iOS (Localiser mon iPhone), BB10 ou Windows Phone le proposent depuis longtemps, Google n’a présenté son outil qu’en août dernier. Quatre mois plus tard, elle est disponible à travers une application.

Android Device Manager se compose d’un service en ligne associé à un compte Google (obligatoire) et d’une application à installer (Android 2.3 et suivants).

Si le smartphone ou la tablette perdus se trouvent à proximité, on pourra les faire sonner avec le volume poussé au maximum. S’ils ont été perdus ou oubliés dans un lieu public, Android Device Manager localisera l’appareil sur une carte géographique.

Et s’il s’avère impossible de le récupérer ou s’il s’agit d’un vol, son propriétaire pourra alors effacer les données à distance.

Utile pour le grand public, cette solution pourrait également renforcer la présence d’Android dans les entreprises, notamment à travers une approche BYOD. Les directions informatiques se sont toujours méfiés de l’OS de Google notamment à cause de l’absence de ce type d’outil officiel.

Source : http://www.zdnet.fr/actualites/google-lance-enfin-l-appli-android-device-manager-pour-localiser-son-mobile-perdu-39796289.htm

Piratage Netissime : « Comment j’ai récupéré 60 000 adresses »

Cette article à pour objectif de vous sensibiliser à la sécurité de vos mots de passe.

7 000 euros : c’est l’argent qu’a touché ce jeune homme pour accéder au fichier client de l’hébergeur lyonnais Netissime. 

Hier, nous publiions un article intitulé « Netissime attaqué ? Non, victime d’une faille du help desk ». Nous relations alors l’affaire suivante : quelqu’un avait réussi à utiliser le système de ticket d’incident pour envoyer un mailing massif aux clients, diffusant un faux message. Selon Netissime, une fonction de l’outil de help desk (Kayako) était activée par défaut, permettant de contacter la base client sans toutefois se l’approprier.

Ce n’était pas tout à fait vrai. Ce matin, nous avons pu nous entretenir avec l’auteur de ce qui peut désormais s’appeler un piratage, ou tout du moins une introduction volontaire. Il a une vingtaine d’années : appelons-le Nathan. « J’ai été contacté grâce au bouche à oreille », nous explique-t-il. Ce n’est pas sa première fois. Il a déjà sévi dans d’autres affaires, pour le compte de « grosses entreprises. Par exemple, le concurrent n°1 de la célèbre entreprise qui vend des coffrets cadeaux. Eux aussi voulaient récupérer la base de fichiers clients ».

Mot de passe : nutella

Nathan a donc été contacté par un concurrent de Netissime, qui souhaitait lui aussi récupérer un gros volume d’adresses mail. « J’ai essayé plusieurs hébergeurs. C’est assez difficile pour les plus gros d’entre eux, de pénétrer dans le système. Netissime m’est apparu comme la cible parfaite ». Comme souvent dans ce genre d’affaires, c’est à une défaillance humaine qu’il doit son intrusion. « Ce n’est pas un piratage à proprement parler. Je n’ai écrit aucune ligne de code », explique-t-il. Nathan s’est débrouillé pour récupérer des noms d’employés. Comme cette fameuse Marion, commerciale. « J’ai simplement lancé un script : ça m’a pris moins de 12 heures pour trouver son mot de passe. Ni accent, ni caractères spéciaux, ni majuscules. Son mot de passe : nutella ».

D’autant plus que Nathan précise : « Si vous êtes inscrit chez Netissime, vous l’êtes automatiquement au niveau du suivi de tickets. C’est prendre deux fois plus de risques pour l’hébergeur, sachant qu’en plus, les mots de passe sont stockés en clair ». Il ne restait plus qu’à Nathan à remettre à la personne, ou l’entreprise qui l’a mandaté pour ce « travail », « l’identifiant et le mot de passe pour accéder en tant qu’administrateur ». C’est donc ainsi qu’une base client comprenant 60 000 adresses mail a été récupérée. Parmi elles, seules 10 à 20 000 seraient exploitables (si l’on se réfère aux adresses mails, aux données de connexions, etc.). Nous publions ci-dessous une petite partie du fichier Netissime que nous a transmis Nathan pour prouver ce qu’il avance :

Reste quelque chose que l’on ne s’explique pas : la fameuse entreprise a ensuite utilisé la fonction d’envoi massif de mail pour envoyer le message que nous publiions hier dans notre précédent article. Mais pourquoi avoir redirigé vers mac-heberg.com ? « Personnellement je n’ai aucun contact avec ces gens-là, je ne les connais pas. Selon moi, mon client a fait ça pour brouiller les pistes… », estime Nathan.

De l’importance capitale des mots de passe

Suite à ce #Netissimegate, l’hébergeur a renforcé sa sécurité, et visiblement changé quelques-uns de ses mots de passe. C’est surtout cela que révèle cette histoire : vos mots de passe doivent obligatoirement être très sécurisés, peu importe le service que vous utilisez. Un même mot de passe utilisé pour plusieurs services (votre banque, vos mails, Facebook ou autre) peut permettre d’accéder à toute votre vie numérique. Nous invitons bien entendu les clients de Netissime à RAPIDEMENT changer leurs mots de passe.

Le second constat est un brin plus alarmant : Nathan n’est pas un cas isolé. Et même plus : les entreprises qui ont recours à ces pratiques sont de plus en plus nombreuses. Nathan nous le confirme : « J’ai de plus en plus de demandes », confie-t-il. Pour lui, le compte est rapidement fait : il a touché 7 000 euros pour avoir « ouvert la porte » de Netissime. De plus, les entreprises qui font ce genre de choses sont très prudentes. Nathan a été payé en liquide, dans une enveloppe venant d’Espagne apportée par un transporteur privé. Avant de mettre fin à cette histoire, rappelons deux choses. La première : Netissime a déposé une plainte contre X et une enquête est en cours. La seconde, un rappel à la loi :

« Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30 000 euros d’amende.

Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 45 000 euros d’amende.

Lorsque les infractions prévues aux deux premiers alinéas ont été commises à l’encontre d’un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, la peine est portée à cinq ans d’emprisonnement et à 75 000 euros d’amende ».

Que dit Netissime ?

Nous avons bien entendu contacté Netissime pour avoir sa version des faits. Pour lui, une personne a effectivement récupéré les contacts (et non les clients) issus de l’outil de help desk Kayako. Mais l’hébergeur nie s’être fait pirater sa base de données. Une version qui est donc opposée à celle de Nathan.

Source : http://www.linformaticien.com/actualites/id/31329/piratage-netissime-comment-j-ai-recupere-60-000-adresses.aspx

Une énorme faille de l’Internet permet de détourner du trafic à volonté

L’aiguillage des flux sur la Toile est faillible. Des experts ont observé, pour la première fois, des détournements massifs permettant de siphonner des données en toute tranquillité. Mais leur origine reste mystérieuse.

Si vous envoyez des données de Paris à Marseille, sachez qu’il est possible de siphonner ce trafic ni vu ni connu, sans avoir besoin d’accéder à une quelconque fibre optique ou à un serveur dans le cloud (comme le fait par exemple la NSA). Une énorme faille de l’Internet permet, en effet, à des organisations malveillantes d’aiguiller n’importe quelles données de telle manière à ce qu’elles passent par des routeurs d’espionnage, avant qu’elles n’arrivent à destination. Comme un train que l’on ferait passer par une voie parallèle pour détrousser les passagers, avant de le remettre sur le trajet initial.
Cette faille a été décrite en 2008 par les deux chercheurs en sécurité MM. Pilosov et Kapela, mais n’était jusqu’à présent que théorique. De récentes observations tendent à prouver qu’elle est désormais exploitée de manière active… et inquiétante. Dans un article de blog datant de novembre, la société Renesys, spécialisée dans l’analyse réseau, a montré pour la première fois de vrais détournements de trafic, avec à la clé une quantité importante de données apparemment siphonnées. Parmi les victimes: des organisations gouvernementales, des institutions financières, des fournisseurs de services, etc.

Une manipulation qui n’est pas à la portée de tous

Ainsi, en février 2013, des flux de données ont été détournés presque quotidiennement pour passer par l’opérateur biélorusse GobalOneTel avant d’arriver à destination. En mai 2013, la société observe une série de détournements où les données passent systématiquement par un opérateur islandais, alors qu’une telle route ne devrait pas exister dans la pratique.
En effet, le routage des données Internet est basé sur le protocole BGP. Son principe est simple : un routeur informe les autres quelles destinations il est capable de desservir rapidement, en diffusant des messages appelés « annonces BGP ». Le problème, c’est que ce système n’est pas du tout sécurisé, mais uniquement basé sur une confiance réciproque. Si quelqu’un falsifie les annonces BGP d’un routeur, les routeurs voisins ne s’en inquiètent pas : les données sont bêtement transférées selon la nouvelle route indiquée.
Mais usurper les annonces BGP n’est pas suffisant. Pour réaliser un « bon détournement », il faut également faire en sorte que les données siphonnées arrivent à bon port, pour ne pas éveiller des soupçons côté destinataire. Et ça, c’est beaucoup plus compliqué. « Ce n’est pas à la portée du premier lycéen venu. Il faut une équipe de spécialistes et un certain budget pour pouvoir réaliser cette opération », explique Stéphane Bortzmeyer, ingénieur réseau.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l\'Islande.
Bizarre, bizarre: pour aller de Denver à Denver, les données passent par l’Islande.

Il manque la preuve d’une malveillance

En effet, pour assurer l’acheminement vers le destinataire final, il faut une connaissance approfondie des routes empruntées par les données sur Internet, une sorte de carte IGN pour la Toile. «  Pas la peine d’être un génie, mais c’est un travail long et ennuyeux. C’est facile à faire pour un état. C’est également à la portée d’une entreprise si elle dispose des compétences adéquates », ajoute Stéphane Bortzmeyer. Pour une organisation telle que la NSA, ce serait certainement un jeu d’enfant. On sait d’ailleurs, depuis quelques semaines, que le service secret américain dispose d’une carte mondiale de l’Internet, appelée « Treasure Map ».
Toutefois, la communauté des ingénieurs réseau reste divisée sur la réelle malveillance des détournements observés par Renesys. Aucune preuve n’a été mise en évidence permettant de dire que les annonces BGP ont été intentionnellement modifiées. Cela pourrait être aussi le résultat d’une erreur configuration, estiment certains, même si la probabilité est faible. Et même si on arrive à démontrer une malveillance, il n’est pas du tout certain que l’on puisse remonter aux auteurs, qui pourraient très bien avoir trouvé un moyen pour trafiquer le routeur BGP d’un fournisseur parfaitement innocent.
Dans ce cas, comment peut-on se prémunir contre ce type d’attaque ? En tant qu’utilisateur d’Internet, le seul moyen actuel est de chiffrer ses échanges de données, par exemple au travers d’un VPN. Même détournées, elles resteraient illisibles. Quant à l’élimination de la faille elle-même, c’est beaucoup plus compliqué. Pour empêcher l’usurpation des annonces BGP, il faudrait introduire un système d’authentification à base de signature électronique. Ce qui suppose une coordination assez poussée entre les différents acteurs de l’Internet. Il n’est pas certain que cela arrive un jour.

ZeroAccess : Microsoft participe à la lutte contre un botnet

Sécurité : Au travers d’un partenariat de sécurité public-privé, Europol et le FBI, associés à des acteurs technologiques dont Microsoft, ont mené une action contre le botnet ZeroAccess. Mais si son fonctionnement est perturbé, il n’est cependant pas démantelé.

Christophe Auffray

Par Christophe Auffray |

L’équipe de Microsoft dédiée à la lutte contre la criminalité digitale, aux côtés d’autres acteurs technologiques, a participé à une opération conjointe entre les autorités européennes (Europol) et américaines (FBI).

Objectif de la manœuvre : mettre à mal le botnet ZeroAccess ou Sirefef, un réseau de PC zombies, c’est-à-dire compromis par un programme malveillant. Selon Microsoft, ZeroAccess serait responsable de l’infection d’un 1,9 million de PC et le botnet compterait plus de 800.000 machines actives.

Perturbé mais pas mis à terre

Et si Microsoft a été associé à cette opération, c’est certes car l’éditeur à une expérience dans la lutte contre les botnets, mais aussi en raison des actions frauduleuses menées par ZeroAccess, en lien direct avec son activité : la recherche en ligne.

Le programme malveillant est notamment exploité pour manipuler les résultats de recherche des internautes et les rediriger vers des sites donnés afin de générer frauduleusement des revenus publicitaires.

Selon Microsoft, sont ainsi visés les résultats des principaux moteurs de recherche dont ceux de Bing et coûtent aux annonceurs environ 2,7 millions de dollars chaque mois. Pour perturber ce botnet, et à terme si possible le démanteler, des actions juridiques ont été engagées de manière concertée.

L’éditeur précise ainsi avoir déposé plainte au Texas afin de pouvoir bloquer le trafic entrant et sortant entre des ordinateurs localisés aux Etats-Unis et 18 adresses IP identifiées comme exploitées par ZeroAccess. Microsoft a par ailleurs fait saisir 49 domaines associés au botnet afin de perturber ce dernier.

18 adresses IP détectées et 49 domaines Internet saisis

De son côté, Europol a travaillé de concert avec les autorités de plusieurs Etats européens afin que soient saisis les serveurs informatiques liés aux 18 adresses IP détectées. Mais si l’activité de ZeroAccess a été affectée, le botnet n’en est pas pour autant démantelé, notamment car les PC infectés le demeurent.

 « Microsoft et ses partenaires ne s’attendent pas à éliminer totalement le botnet ZeroAccess en raison de la complexité de la menace. Toutefois, Microsoft s’attend à ce que cette action perturbe considérablement le fonctionnement du botnet » écrit la firme dans un communiqué.

Les PC compromis doivent en effet encore être identifiés et désinfectés pour prévenir toute reprise de contrôle par les cybercriminels. Or, en désactivant les fonctions de sécurité, le malware contribue à complexifier sa détection et la désinfection.

Les opérations ciblées : seule solution efficace

Les actions concertées dans la lutte contre les botnets ne sont plus une première. Depuis 2010, elles tendent à se généraliser, avec une certaine efficacité – à pondérer cependant, principalement en raison de l’architecture complexe de ces botnets conçue pour leur assurer une forte résilience.

Mais l’entraide apparaît surtout comme la seule véritable solution contre les botnets, à condition qu’il ne s’agisse pas de coups d’éclat et qu’elle soit accompagnée d’autres actions, en particulier la notification des utilisateurs infectés.

A noter que la taille des botnets fait aussi encore trop souvent l’objet de fantasmes et qu’un botnet n’est généralement pas unique mais composé d’une multitude de plus petits botnets constitués à partir d’une même souche virale.

Quant au nombre de PC qui composent les botnets, il est toujours difficile à évaluer et les chiffrages parfois trompeurs car basés sur la comptabilisation des adresses IP. Le botnet Torpig en est une illustration.

Derrière les 1,2 million d’IP infectées se cachaient en réalité 180.000 machines compromises et non 1,2 million comme cela avait pu être annoncé – par exemple par des éditeurs de sécurité en quête de notoriété.

source : http://www.zdnet.fr/actualites/zeroaccess-microsoft-participe-a-la-lutte-contre-un-botnet-39796144.htm