Ma petite parcelle d'Internet...

'est via le Diary du SANS que j'apprenais la présence d'un malware dans le package logiciel qui accompagne un chargeur de piles USB Energizer. Par malware, on entendra une fort jolie backdoor qui permet d'accéder système à distance. Pas top.

Plus récemment c'est cette histoire de smartphone infecté qui est arrivée sur la table. Un utilisateur, se trouvant également être un employé de l'éditeur d'antivirus PandaSecurity, s'étonnait d'avoir à faire face à un HTC Magic bien décidé à lui délivrer quelques méchanteries bien senties, dont le désormais célèbre Mariposa... Incident isolé qu'on nous dit...

Lire la suite...

ême si les faits datent d'il y a deux mois et s'ils ont déjà généré leur lot de buzzz et de polémique, cette histoire de clés USB chiffrées vulnérables me titille à plus d'un titre. D'abord parce que la faille en question, initialement publiée par deux chercheurs allemands de SySS, touche un produit utilisant du chiffrement AES implémenté matériellement sur un composant dédié. Ensuite parce que si on va retrouver cette même faille sur d'autres produits de la même marque, elle va également toucher deux autres constructeurs...

Enfin et surtout, parce que tous ces produits ont reçu leur certification FIPS 140-2 niveau 2. Et que considérant le caractère presque trivial, voire amusant, de la vulnérabilité, il y a vraiment de quoi se poser des questions sur la valeur d'un tel coup de tampon...

Lire la suite...

limentée par une tonne d'avis plus ou moins éclairés sur la compromission de Google et quelques autres grosses boîtes, une gentille polémique médiatique commence à enfler autour de la faille qui affecte en ce moment Internet Explorer. Car ce que d'aucuns pensaient être initialement attribuable à une campagne d'exploitation de la dernière faille Acrobat, serait en fait parti d'un 0day sur le navigateur de Microsoft.

Parmi les nombreux écrits diffusés sur le sujet, deux avis publiés à quelques heures d'intervalle par le BSI allemand et notre CERTA national ont semble-t-il retenu l'attention de pas mal d'observateurs, au point de se frayer un chemin jusqu'à la presse grand public, avec en point d'orgue le JT de 8h sur France 2. Mais comme souvent dans la vie, les choses ne sont pas aussi simples...

Lire la suite...

eux personnes abonnées à mon fil RSS, et je les en remercie, m'ont alerté par email et commentaire sur une réaction intéressante de leur antivirus face à mes fils :

Mon avast hurle à la mort contre un fichier 
sid.rstack.org/blog/rss.php qui soit disant contient un truc 
pdf malveillant...
Qu'en penser ? faux positif ou pas ?

Jusqu'à preuve du contraire, les fils RSS et Atom de ce blog ne sont pas des fichiers PDF et n'en contiennent pas, à ma connaissance, non plus. Donc d'ici à fournir du contenu corrompus et/ou malveillants... Par contre, un des billets contient ce qu'on pourrait à peine qualifier de PoC avec un simple morceau de code dont on sait qu'il appuie là où ça fait mal...

Lire la suite...

e Cloud, c'est beau, c'est bien, c'est à la mode, mangez-en qu'on nous dit. Non sans toutefois s'interroger sur les conséquences que pourraient avoir d'éventuels soucis de sécurité avec ce subit engouement pour l'externalisation extrême de son informatique. Mais il paraît que c'est l'avenir, un peu comme embaucher des armées de codeurs en Orient...

Il n'aura cependant pas fallu très longtemps à d'autres pour s'apercevoir du potentiel énorme de ce concept pour la réalisation de tâches que d'aucuns qualifieraient de moins légitimes. Avec bien sûr en tête de liste une application gourmande en ressources et qu'on se plait à paralléliser à l'extrême : le crackage de mots de passe. Qu'il s'agisse de réaliser son propre nuage, d'installer un outil connu sur les clusters d'Amazon ou de proposer un service de cassage de PSK, les initiatives dans le domaine ne manquent pas. Et je ne pense pas que les efforts pour y faire tourner des outils nettement plus offensifs viennent également à manquer...

Lire la suite...

e qu'il y a de bien avec les antivirus, c'est qu'ils nous protègent des pires saloperies qui traînent sur le net. Vous recevez du malware à n'en plus finir ? L'antivirus est là. Là ? Oui, certes, mais encore faudrait-il qu'il fasse son boulot, à savoir détecter les-dits malwares. Je dis ça parce que je viens de recevoir ce matin la troisième instance d'un PDF vérolé sur une de mes messageries, équipée comme il se doit d'un filtre à méchanteries.

Évidemment, quand on regarde la tête du mail, on suspecte immédiatement le truc un peu louche. Un rapide examen des entêtes suffit à confirmer le verdict pifométrique. Et puis on en vient à se demander si ce ne serait pas un truc un peu nouveau, genre une exploit pour la dernière faille PDF, avec un pur payload des familles. Peut-être pas un vrai 0day, mais au moins du code inédit. C'est d'ailleurs ce qui pousse à creuser plus loin...

Lire la suite...

n des âges reculés à l'échelle du temps numérique, une loi pour la Confiance en l'Économie Numérique, LCEN pour les intimes, venait ajouter un nouvel article au code pénal qui a fait coulé beaucoup d'encre en 2004. Car ce dernier rend illégal "le fait, sans motif légitime, d'importer, de détenir, d'offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs infractions" informatiques. Ce qui a pour effet d'interdire toute publication de sécurité portant sur des failles et leur exploitation.

Bien qu'on ait pu lire énormément de conjectures, parfois éclairées, sur ce fameux motif légitime, son appréciation ne relevait guère que de la supposition en l'absence de jurisprudence. Or, un arrêt récent de la cour de cassation nous en apprend peut-être un peu plus sur le sujet en confirmant une condamnation prononcée par la cour d'appel de Montpellier sur la base, justement, de ce fameux article 323-3-1...

Lire la suite...

moins que vous ne viviez en ermite au fond d'une grotte du Larzac profond, il y a peu de chance que vous ayez loupé la news de la semaine dernière : il y aurait une jolie possibilité d'exploitation de Man in the Middle affectant TLS v1.2 et d'autres versions antérieures, dont SSL v3. Le problème a été remonté sur la liste du groupe de travail TLS de l'IETF. Un article un poil plus détaillé de Marsh Ray et Steve Dispensa a été posté.

Il s'agirait d'une soucis de cohérence entre TLS et l'application dans les renégociations de session qui visent à renouveler le contexte cryptographique d'une session en cours et peuvent être initiée aussi bien par le serveur que par le client. L'article propose trois scénarios d'exploitation visant des communications HTTPS qui permettent à un attaquant d'injecter des données arbitraires dans un flux TLS établi modulo le MitM. Pas glop, d'autant qu'une large majorité des implémentations sont touchées...

Lire la suite...