Twitter, Google, Facebook,... Flambés par FireSheep

Pas moins d’une Semaine on entendait toujours parler  des récentes mesures prises par Facebook pour renforcer son système de sécurité afin de protéger les comptes de ses million d’utilisateurs,  One-time Password et Active Session, et voilà qu’un nouveau fléau s’abat sur ces mêmes utilisateurs censés être protégés par la dite compagnie, FIRESHEEP (Mouton enflammé).

Tant de mesures sécuritaires analysées et implémentées, par-contre  cela n’arrête pas les chercheurs et surtout profiteurs qui avec leur arme redoutable (leur motivation) guette la moindre imprudence en ce qui a trait à la sécurité. Cette fois ci Face n’en n’est pas la seule victime, plusieurs autres sites tels que Google, Amazon, Twitter et autres, se trouvent être la cible de l’arme redoutable d‘Eric Butler cette semaine, qu’est FireSheep.

Une Extension de Firefox, ce petit module, à l’aide de Wincap (pour Windows) et d’une attaque ARPSpoof, permet d’utiliser le compte d’un usager de Facebook, Twitter, Amazon, Google  sans qu’un pirate ait besoin d’avoir les informations de connexion (User Name/Mot de passe) de l’utilisateur en question.

Comme présenté sur l’image ci-dessus, l’application Firesheep représente un argument redoutable  de Eric Butler, dans le but de sensibiliser utilisateurs et compagnies en ce qui concerne l’utilisation permanente d’une session SSL, car d’après ce  qu’on a pu voir, la plupart de ces sites fortement fréquentés par des et des million d’utilisateurs à but personnels et professionnels  nous offrent un premier niveau de protection en chiffrant  la premiere session de connection lors de la saisie des paramètres d’authentification, puis laissant en texte clair les autres sessions comportant des cookies ayant des informations de reconnexion, or, ces cookies ou fichiers tampon une fois transités sur le réseau en clair (non-chiffré), peuvent être interceptés et utilisés par un pirate afin de voler l’identifiant d’un utilisateur et utiliser le compte piraté.

Des Mesures, oui il en existe

Plusieurs sites de sécurité prônent de ne pas fréquenter les réseaux sans fil publics, certes cela devrait minimiser le risque de piratage de votre compte par des Hack-amateurs  ou Pirates du dimanche par contre comme présenté sur la figure ci-dessus tout réseau peut être affecté que vous soyez sur un réseau public , privé ou pire un réseau d’entreprise, car on ne peut prétendre savoir si votre collègue serait intéressé ou pas aux messages que vous recevez sur facebook ou aux transactions que vous effectuez sur Amazon.

Du côté d’IT Sécurité en Haïti et de  SecHai-T Labs, on ne néglige pas l’approche de non-connexion à ces services dans un réseau public sans-fil. Mais il est de notre devoir de vous présenter la meilleure façon de se protéger, qui est d’utiliser des réseaux privés virtuels ou VPN qui encryptent toutes vos sessions, le travail qu’étaient censé faire ces sites qui disent nous protéger.

Leslie.

Création de SecHait-T Labs

Chers Lecteurs,


L'équipe de IT Sécurité Haïti, vous annonce le lancement de SecHai-T Labs. Toujours dans l'objectif de vous  apporter de bonnes informations, ce laboratoire de recherche fournira en fin de mois un rapport sur ces activités que les lecteurs pourront consulter sur notre blog.

SecHai-T Labs consiste en un  laboratoire mobile que le groupe a mis sur pied dans le but d'implémenter des techniques, des mesures sécuritaires ; tout aussi des attaques contre des systèmes et des données sensibles.
Vu le nombre d'articles publiés à l'égard des mesures sécuritaires, et qui seront publiés chaque semaine, l'équipe de IT Sécurité Haïti a jugé bon non seulement, de publier les informations, mais aussi d'implémenter certaines techniques afin de s'assurer que ces informations publiées sont valides et fiables.

Pour le moment ce laboratoire mobile dispose de deux ordinateurs Portables, dont l'un des deux comporte quatre (4) machines virtuelles à partir de VMware.

PC -1

Photos du PC

Capture d'ecran

PC -2

Capture d'ecran

Photo du PC

Machine Virtuelles

(Windows XP, Ubuntu, Mac OS X, Backtrack)

Facebook veut limiter le vol des CREDENTIALS

Facebook annonce, le lancement d’One-Time Password, un service offrant la possibilité d’utiliser un mot de passe temporaire afin de qu’un utilisateur puisse protéger son mot de passe usuel quand cet utilisateur accède à son compte Facebook sur  un ordinateur ou à partir d’un autre réseau sur lequel il n’est pas habitué.

More Ways To Stay Secure,  c’est ce qui a été publié sur le blog de Facebook faisant référence au lancement de deux services, devant aider les utilisateurs à mieux se protéger du vol d’identité, One Time Password et l’Active Session,  ce dernier permet de visualiser les différentes sessions actives tout en ayant le droit de mettre fin à une session, très utile pour les gens qui oublient assez souvent de se déconnecter. Pas grand-chose à dire de cette fonctionnalité, le fait que plusieurs logiciels et services l’ont adoptée et cela depuis des années.

Avec Le One-Time Password Facebook permet à un utilisateur de faire une requête par SMS d’un mot de passe temporaire, valide pour vingt (20) minutes avec une seul utilisation, ce mot-de-passe envoyé par SMS à l’utilisateur , fournira à ce dernier l’assurance que malgré que ce mot-de-passe pourrait bien être capté par un Keylogger ¹ , que ces paramètres d’accès ne seront pas captés et utilisés à son insu.

Pour le moment accessible aux USA, l’utilisateur n’aura qu’à envoyer le message ‘ OTP’ à ce numéro 32665 et automatiquement un SMS avec le mot de passe temporaire lui sera envoyé par le service de Facebook. Nul doute la dessus il faudra d’abord enregistrer votre numéro de téléphone sur Facebook afin que ce service puisse être opérationnel pour vous.

Une fois que ce service s’étendra plus loin en touchant divers autres pays,  nous pourrions peut être l’expérimenter, pour le moment la seule façon de l’utiliser en Haïti c’est d’utiliser un téléphone IP avec option SMS rattaché à une compagnie cellulaire implantées aux USA. Et au-delà de cette future expérimentation, tout comme je l’ai mentionné sur leur blog, je pense que Facebook devrait apporter plus de contrôle lors même de l’utilisation de cette session à mot-de-passe temporaire, comme bloquer l’accès aux contrôles de sécurité et des paramètres de la vie privée, car on ne sait jamais qui pourrait avoir accès à votre portable.

Keylogger : application permettant de capturer toutes les saisies de clavier d’une session en cours et de les transmettre à un pirate, soit par clef USB, soit par mail, ou protocole spécialisé

Leslie.

Et quand Microsoft se soucie d'une défense collective

Dans un document  de Scott Charney, publié par Microsoft le mardi 5 octobre, le vice-président du département des Solutions fiables, plonge à grande vitesse dans le concept de la défense collective, en avançant l’idée de bannir de l’internet les ordinateurs appartenant à un Botnet. Action et idéologie fortement critiquée suite à certains brin d’articles circulant sur la toile d’araignée, visant à alarmer les internautes et autres acteurs du secteur sur la question de vie privée, j’ai du y accordé un très fort intérêt par la suite, tout après avoir lancé une analyse approfondie du contenu de ce document.

Internet ? Votre Certificat  Médical s’il vous plait.

Travail de Titan, l’idée pourtant parait être simple, tout comme dans le monde réel il est primordial d’avoir un certificat de santé pour être admis dans des écoles, des institutions ou organisations, le modèle présenté par Microsoft reprend ce même principe plus méthodique ;  avoir une plateforme qui vérifiait l’état de santé des équipements nécessitant un accès à internet, cette évaluation de cet état de santé de l’équipement se fera à partir d’un certificat de sécurité fourni suite à une évaluation de l’équipent.

Cette évaluation pour le moment sera basé sur l’application des correctifs, la mise à jour de la base de donnée virale d’un antivirus, l’activation d’un pare-feu, et la non-détection de vers ou virus, une fois l’une de ces conditions ne serait pas remplie, un ensemble d’actions et mesures seront prises par rapport à l’équipement en question, ces mesurent peuvent aller de l’avertissement et  d’ un support sécuritaire  à des mesures plus radicales comme un accès refusé à l’internet dans le cas où l’équipement serait suspecté d’appartenir à  un botnet (réseau d’ordinateurs sous le contrôle d’un Hacker.) afin de ne pas infecté d’autres équipements sains

Dans un système pareil, on peut dire que Microsoft a vraiment envisagé le monde réel sachant, ce qu’une solution radicale comme un refus d’accès  pourrait susciter, la firme de Redmond n’a aucunement oublié les centres d'urgences. Le principe serait de rediriger une machine infectée vers des centres d’urgences afin d’éradiquer toute infection, en fournissant outils et méthodes adéquates, tout comme on hospitaliserait un malade ou pire selon l’infection le placer en quarantaine tout en poursuivant avec le traitement approprié.

Par-contre, je n’arrête pas de réfléchir sur certains points sombres concernant surtout la vie privée de chaque utilisateur, car avec un système pareil, le confort et la transparence qu’apportait le NAT (Network Address Translation) dans un réseau n’existerait plus, avec le NAT il était presqu’impossible de cartographier un réseau vu de l’extérieur. Avec le certificat de santé, un FAI devrait être en mesure de savoir combien d’ordinateurs et appareils mobiles qu’un particulier ou entreprises possèdent en avançant l’idée que tous ces appareils accèdent à l’internet. 

Serait-ce la fin des proxys, ou pire y’aura-t-il encore une prolifération plus grande. Que se passerait -il dans le cas où une session de vérification d’un certificat de santé serait piraté par session HiJacking, un tel système de certificat de santé, ne serait-t-il pas un moyen facilitant l’objectif des attaques par déni de service car au lieu d’attaquer certains serveurs du FAI ne serait-il pas plus ingénieux d’attaquer les centres qui délivrent les certificats et bloquer l’accès à l’internet de certains serveurs sensibles. 

Microsoft devra envisager encore beaucoup plus sur l’analyse d’un tel projet si prometteur et si ambitieux que je me dis, en passant en revue de simples questions, quand on sait que d’autres plus graves se posent déja.

Leslie.

Suivie à la Trace, un Cadeau signé GSM/GPS.

Il est intéressant de savoir, combien les nouvelles technologies peuvent nous faire vivre nos rêves enfantins, bien avant je rêvais toujours de devenir une sorte de James Bond ou un agent de renseignement hyper équipé, retraçant le parcours de mes sujets à l’aide de gadgets électroniques style Mission Impossible. Aujourd’hui à la portée de la main et de notre bourse on retrouve ces petits gadgets qu’on peut bien utiliser ou pouvant bien être utilisé contre nous, et là j’annonce l’heureux élu de cet article le couple GSM/GPS.

GSM et Triangulation

Ne vous croyez pas à l’abri, si la justice Haïtienne le voulait, certaines personnes seront déjà derrière les barreaux, tout comme ces malfaiteurs vous aussi pouviez être victime de ce que l’on nomme la localisation GSM, il suffirait que l’un des opérateurs de télécommunications offre ce service, que certains employés seront de mèches avec des bandits ou compagnies de publicités et ainsi se trouver dans la situation ou toutes vos positions soient révélés, une fois votre téléphone allumé.

Tout opérateur, a le pouvoir de localiser et ceci avec précision tout détenteur d’un portable connecté à son réseau. Ceci pouvant être réalisé à partir de différentes techniques de calcul de temps de réponse et d’émission de signal émis par les appareils mobiles et les antennes de télécommunications (Multilateration, Triangulation).

D’après certaines sources un accord devait être signé entre Digicel et la Police nationale afin de mettre sur pied ce service, ceci devrait apporter un plus dans les opérations policières, par contre je me demande vu la corruption qui règne au sein de cette institution ne serait-ce pas un danger pour nos concitoyens et nos hommes politiques.

Une Localisation Smartphone-Trojan

Etre localisé par Triangulation ou Multilateration par les autorités, nécessitait une action directe de l’opérateur mobile en question, que ce soit en fournissant les coordonnées aux autorités ou en leur fournissant des bibliothèques de fonctionnalités afin que ces derniers puissent recueillir eux même les infos dans leurs applications.

Ces jours ci, nous avons malheureusement le privilège de nous faire espionner nous-même, la plupart des téléphones qu’on utilise intègrent des fonctionnalités GPS (Global Positionning System), or ces même téléphones super-intelligents commencent à utiliser la multitâche certes très alléchant pour les concepteurs d’applications mobiles mais aussi très intéressant pour les concepteurs de malware ; imaginons un peu l’impact d’un trojan exploitant les infos recueillis d’une fonctionnalité GPS d’un MOBILE, tout comme a été le cas du trojan Tap Snake qui transmettait la position d’un téléphone sur lequel il est installé et équipé d’un module GPS à l’aide d’un autre outil tierce que ce Trojan téléchargeait, GPS Spy.

GSM/GPS Style Mission impossible

D’un autre côté, on retrouve d’autres gadgets plus discrets et facile à cacher (un sac à main, le coffre d’une voiture, une mallette etc...), les traceurs GPS/GSM. Un traceur de ce genre utilise la technologie GPS pour localiser l’endroit où il se trouve (États Unis, France, Jacmel, Marmelade, etc...), tout comme dans les séries télévisés (24 heures Chrono), et transmet cette même position par le biais de SMS (Short message Service ) du réseau GSM, Style Mission Impossible. Ces messages, une fois transmis à un autre portable ou un ordinateur équipé d'un modem GSM/GPRS, peuvent directement être interprétés et utilisés dans des logiciels de cartographie tels que Google Map et Google Earth afin de localiser la cible en question.

Par-contre, ce genre de traceur très miniatures, tres accessibles côtés coût ont l’inconvénient d’être découverts à cause des parasites crées lors des interférences avec d’autres ondes radios.

N'est il pas intéressant, à vous Officier de Police, ITPD, (IT private detective/détective privée utilisant le support de l'IT), compagnie de publicités, de voir tout ce que apporte aujourd'hui et à bon marché, de telles gadgets de la technologie.

Leslie.