Hack in Paris 2016 – Résumé des conférences

Le Hack in Paris 2016 a eu lieu les 30 juin et 01 juillet 2016 à … Paris! Deux jours de conférences dédiées à la Sécurité Informatique avec des intervenants du monde entier.
Cet article contient un certain nombre de résumés de conférences ayant eu lieu durant ces deux jours. J’espère être resté fidèle aux propos des intervenants, mais il n’est pas exclus qu’une erreur se soit glissée. N’hésitez pas à commenter l’article pour indiquer une correction.

Parmi toutes les conférences, j’ai décidé de me focaliser sur cinq d’entre elles. Pour les autres conférences dont j’ai retrouvé la présentation, je mets le lien en bas de l’article. Au programme, les conférences traitées ci-dessous seront « Voting between sharks », « Whisper in the Wire: Voice Command Injection Reloaded », « What could have derailed the Northeast Regional no. 188? », « All Your Door Belong To Me – Attacking Physical Access Systems », « 3 APIs + 1000 lines of code = Super pretty OSINT ».

[Mise à jour du 20/09] J’ai mis les vidéos des conférences concernées directement dans chaque article, mais vous pouvez retrouver l’ensemble des présentations sur la Playlist YouTube : https://www.youtube.com/playlist?list=PL3UAg9Zuj1yJ_6pySNwbJWi_M1RqJU7Wf

Lire plus…

Hack in Paris 2016 – Jour 1

Le pass V, comme VIP, pour PiXel et Nan0

Compte rendu de la première journée

Aujourd’hui, le contenu des conférences étaient :

  • Le vote par Internet : risques et contre-mesures.
  • Comment commander son assistant personnel (sur smartphone : « Siri », « Ok Google », etc…) sans la voix ? Et avec tous les travers que cela implique. Abracadabra!
  • Détection des comportements anormaux sur les réseaux par des techniques de « machine learning ».
  • Apprendre de ses erreurs. Au titre, on peut se demander ce que ça fait ici, mais finalement, la réaction devant une erreur, une faute, peut parfois aggraver la situation ; alors qu’en Sécurité, il faut avoir le « self-control ».
  • Le déraillement du train Northeast Regional no. 188, aux États-Unis en mai 2015, et s’il s’agissait d’une cyber-attage?
  • Les systèmes d’accès physiques (serrures électroniques, lecteurs de badge, etc…) manquent de Sécurité, ils ont 15 ans de retard, par rapport à la Sécurité dans l’informatique.
  • Élévation de privilège sur des systèmes Windows, s’appuyant sur le déploiement des GPO.
  • Débat : Chercher des bugs dans un programme : une bonne (d’avantages de découverte de bugs) ou une mauvaise (ne respecte pas les conditions d’utilisation) chose ?

Toutes les conférences étaient intéressantes, mais pour moi, deux sortent du lot : « Siri sans voix » et « cyberattaque d’un train ».

Je prendrai le temps de rédiger un résumé pour chaque conférence cet été, mais je vous fait un rapide résumé de ces deux là (ba oui, demain il faut se lever tôt pour la J2!). Celui que je viens d’appeler « Siri sans voix » consiste à donner des « ordres » à Ok Google ou Siri sans que l’on ait besoin de parler. L’équipe de recherche a étudié les niveaux électromagnétiques émis par le câble USB lorsqu’on appelle l’assistant, puis lorsqu’on lui donner un ordre. Ensuite, avec un injecteur de flux électromagnétique autour du câble, l’ordre est retranscrit par le smartphone.

Concernant la cyberattaque de train, il s’agit en fait d’une spéculation, mais elle semble très crédible. En mai 2015, un train roulant à plus de 100mph arrive sur une zone où sa vitesse devrait être limitée à 50mph, par rapport au virage. Lors de la conf, on apprend que la société ayant la gestion des trains décide d’offrir le WiFi dans ses trains quelques semaines plus tôt, ce qui se fait de plus en plus aujourd’hui. Par contre, j’espère que les autres ne partagent pas leur WiFi avec le réseau de gestion des systèmes automatisés du train. De plus la sécurité des équipements aurait été quasi inexistante.

Je m’arrête là pour le moment. C’est l’heure de prendre du repos pour la J2. 🙂

Lire plus…

Migration Windows 7 vers 10 (mis à jour)

Et bim ! Teri Goldstein, américaine, a porté plainte contre Microsoft parce qu’elle s’est retrouvé avec Windows 10 sans l’avoir demandé. La mise à jour a planté et du compte elle a perdu 4 jours de travail avant de retrouver ses fichiers. Au passage, elle empoche $10 000.

Article pavé ! Bon courage pour la lecture 🙂

L’article d’origine date du 23 juin 2016.
Un peu comme tout le monde, sauf les professionnels qui restent encore réticents, j’ai réalisé ma migration vers Windows 10. D’un certain côté, il y a une certaine forme de joie, c’est quand même la première fois que Microsoft offre une montée de version de son système d’exploitation, mais d’un autre, il y a, de plus en plus, une légère impression de se faire avoir (pour rester poli).

Ça a commencé il y a près d’un an, en juillet 2015 Microsoft annonce la disponibilité de son nouveau système d’exploitation. Tout le monde s’attendait à un Windows 9, mais finalement, c’est Windows 10 qui a été annoncé. Depuis, votre Windows 7, 8 ou 8.1 vous informe que Windows 10 est disponible et qu’il est possible de procéder à une mise à jour. Pour ceux qui n’ont pas suivi le sujet, cette gratuité ne serait valable que pendant un an ; cette date devrait prendre fin en juillet 2016. Par contre, après ce délai, aucune information… On ne sait ni si la gratuité va continuer, ni si ça va devenir payant, ni combien ça coûtera… Microsoft reste très flou sur le sujet, et je pense que cela fait parti de leur stratégie !

Lire plus…

SauvTag : Retrouver vos êtres chers

Pour être parfaitement sincère dans la démarche, il ne s’agit pas d’un article sponsorisé, mais d’un coup de pouce à un ami.

Dans quelques jours auront lieu le Hack in Paris et la Nuit du Hack. Imaginez 4 jours de conférences animées par des spécialistes dans leurs domaines (Sécurité Informatique, Web Application, Base de données, Lockpicking, etc…). Pour la première fois, monClavier.fr sera présent sur ces deux évènements !

Et pour me donner une petit coup de main pour le suivi des conférences et la rédaction des articles, PiXel et Nan0 seront présents.

Les savoir dans ces grands espaces remplis de monde me rendais plutôt inquiet. Comment m’assurer que, s’ils se perdent, on me contacte pour venir les chercher ? J’ai bien pensé à leur apposer une pancarte avec toutes les informations, comme on en avait quand on était petit, mais bon, il faut bien reconnaître que ce n’est pas très sexy… et en terme de protection des données, ce n’est pas très malin. Et puis, on est au XXI sème siècle quand même…

C’est à ce moment-là qu’un ami m’a parlé d’un service qu’il souhaitait proposer.

bracelet_sauvtag_jaune

SauvTag, c’est le nom du service, est une plateforme sur laquelle vous commandez un « tag », une petite pièce de plastique, de trois centimètres sur trois, sur laquelle se trouve un QR Code, l’équivalent d’un code barre en deux dimensions. Lorsqu’on scanne ce code, depuis une application comme QR Reader pour iOS, vous arrivez sur la fiche du porteur, avec les informations de santé à connaitre, la personne à contacter, le groupe sanguin, etc… Toutes ces informations qui peuvent être utiles pour une personne perdue, ou inconsciente.

sauvtag_chaussure

Ce système est adapté à plusieurs sortes de catégories de personnes, ou d’animaux :

  • les sportifs, qui n’ont pas toujours leurs papiers sur eux pendant leur entrainement
  • les enfants, qui ne savent pas toujours répondre aux questions élémentaires, comme le numéro de téléphone de leurs parents, ou leur adresse
  • les personnes âgées, qui n’ont parfois plus les facultés mentales pour savoir où ils habitent (alzheimer)
  • les animaux de compagnie, qu’on ne comprend pas toujours très bien, quand ils nous indiquent leur adresse 🙂

Si vous êtes intéressés par le service, vous pouvez retrouver toutes les informations sur son site : https://sauvtag.com.

En plus, si vous êtes sportif, Bertrand, le créateur de SauvTag, anime également un blog sur plusieurs disciplines (marathon, biathlon, triathlon, natation, etc…). Il est disponible à l’adresse https://www.sauvtag.com/blog/.

 

NB : Promis, pendant l’évènement, je prends une photo de mes deux compères avec leur badge. 😉

Nissan Leaf – Carwings – faille ou faute ? [mis à jour le 05/04/2016]

Article originel publié le 27 février 2016.

L’information est tombée hier matin avec des titres, plus ou moins, racoleurs :

  • automobile-propre.com : Nissan Leaf : une faille la rend vulnérable aux hackers
  • 01net.com : La Nissan Leaf, proie facile pour les hackers
  • autonet.ca : L’application mobile de la Nissan Leaf piratable
  • tomsguide.fr : Les Nissan Leaf sont incroyablement faciles à pirater
  • zdnet.fr : Un hack enfantin sur la Nissan Leaf
  • mac4ever.com : La Nissan Leaf peut être piratée avec un simple lien internet

Tous parlent de piratage ou de hacking, pourtant, pour moi, il s’agit principalement d’une énorme erreur de développement, donc pour reprendre le titre de l’article, je me tournerai davantage vers une faute… qui entraine une faille dans leur application.

Lire plus…

monClavier… à la française

Je ne sais pas si vous en avez entendu parler dernièrement, mais le gouvernement Français a décidé de se lancer dans un projet pour le moins surprenant : repenser nos claviers pour qu’ils soient plus adaptés à nos spécificités « à la française » : ‘Ç’, ‘æ’, ‘œ’, etc…

Si j’ai bien compris le principe, parce qu’on voit le contraire et son opposé sur les différents articles traitant du sujet, il ne serait pas prévu de repenser entièrement le clavier AZERTY que nous, francophones, connaissons, mais de simplifier les combinaisons de touches. Ainsi, comme pour taper un ‘|’ sur un clavier AZERTY classique (non Mac) en utilisant la combinaison « AltGr + 6 », on pourrait, par exemple, taper directement ‘æ’ en utilisant la combinaison « AltGr + a », un peu comme sur un clavier Mac (« Alt + a »).

Personnellement, je pense qu’il s’agit d’un faux problème. Il y a sûrement plus important à s’occuper. De plus, ajouter cette contrainte pour les fabricants de claviers et de systèmes va forcément engendrer un surcoût qui sera répercuté sur le prix d’achat, et au final, le client paiera deux fois : une première fois pour l’équipe qui sera chargée de définir les emplacements des caractères sur le clavier, ainsi que les combinaisons à utiliser – payée avec nos impôts ; et une deuxième fois lors de l’achat du produit.

Et du point de vue de l’utilité, je reste sceptique. Maintenant, tous les logiciels manipulant du texte sont équipés d’un correcteur orthographie qui permet de retrouver le bon orthographe, et quand ce n’est pas le cas, il suffit de faire un copier-coller depuis un logiciel qui le fait. Et en dernier recours, il reste l’ajout de caractères spéciaux. Ainsi, vous arriverez toujours à écrire un mot correctement sans perdre énormément de temps.

Au moins, ce sujet aura permis de mettre en lumière un type de clavier que je ne connaissais absolument pas : le bépo. Sur ce clavier, l’emplacement des touches a été repensé pour permettre une saisie optimisée, et donc plus rapide, des caractères spécifiques aux européens. Un peu comme pour le clavier QWERTY, où l’emplacement des caractères ‘A’, ‘Q’, ‘Z’ et ‘W’ ont été intervertis pour correspondre aux habitudes lexicales des anglophones. Les travaux d’élaboration du clavier ont commencé en 2003 et se sont terminés en 2008 (selon Wikipédia), et serait maintenant pris en charge par tous les systèmes d’exploitations actuellement répandus.

Voici à quoi ressemble un clavier Bépo - Par Ignace72 — Travail personnel, CC BY-SA 3.0

Voici à quoi ressemble un clavier Bépo – Par Ignace72 — Travail personnel, CC BY-SA 3.0

Une autre réflexion qui a été médiatisée quelques jours plus tôt me paraît plus censée : la réalisation d’un système d’exploitation « entièrement » français.

Dans le contexte difficile de la Sécurité Informatique, cette démarche est compréhensible, surtout après les déclarations d’Edward SNOWDEN concernant la surveillance massive de toutes communications par des agences de renseignements étatiques (majoritairement américaines).

Par contre, pour la réalisation, ils ne pourront pas partir de la feuille blanche. Ils n’auront d’autres choix que de s’appuyer sur un kernel, des librairies ou des logiciels déjà existants ou développés par des programmeurs ne travaillant pas pour l’État Français, donc avec la possibilité qu’ils contiennent des failles, présentes de façon délibérées ou non. D’ailleurs, le fait que cet OS soit développé en interne ne les protègeront pas des failles liées à des erreurs de codage, mais ils auront la main sur le code source et pourront, plus facilement, déployer les correctifs à apporter, en ayant toute confiance sur le distributeur.

Ce développement pourrait coûter très cher, avec le risque que le projet soit annulé en cours de route à cause du budget, mais représente un véritable intérêt ; bien plus grand que de réfléchir aux touches de nos claviers…

Gare à la pub : nouvelle méthode de diffusion de virus!

Il y a quelques années, quand on se retrouvait avec des virus sur son ordinateur, la première réaction des collègues et amis étaient « Forcément! Si tu ne vas que sur des sites porno ou de téléchargement de jeux. Moi je ne vais que sur Google, Yahoo et Facebook : aucun virus! ». Ce discours devrait très prochainement changer.

Les virus sont de plus en plus discrets et intrusifs et leurs méthodes d’infection évoluent également, en grande partie grâce au Social Engineering. Ce terme, qui peut paraître barbare, consiste à vous mettre en confiance pour vous inciter à faire des actions que vous n’auriez normalement pas réalisées (cliquer sur un lien, tenir la porte ouverte par gentillesse alors que vous entrez dans une zone sécurisée). Vous avez beau faire attention à toujours cacher votre code de carte bleue quand vous le taper sur le terminal de paiement, avec du Social Engineering vous ne vous rendrez même pas compte que vous avez entré votre code sous le regard d’une jolie blonde à robe rouge, ou le bellâtre suédois qui vient vous aborder, à moins qu’ils ne cherchent à détourner votre attention pour qu’une autre personne derrière vous en profite pour récupérer votre code.

Mais un nouveau palier vient d’être franchi, et là vous avez beau y faire attention, vous aurez du mal à déceler ce qui se passe sur votre ordinateur.

Sur Internet, je ne vous apprendrai rien si je vous dis que la publicité règne en maître. C’est le moyen de financement le plus facile et lucratif, tout en permettant de donner du contenu gratuit aux utilisateurs. Facebook, Google, Twitter, tous ces services vous semblent gratuits, mais il faut bien payer les centaines, les milliers de personnes qui travaillent pour ces entreprises et offrent toujours plus de contenu et de fonctionnalités. Et quel meilleur moyen de vous proposer de la publicité que de vous connaître personnellement : goûts, passions, travail, vacances, etc…, toutes ses informations qu’on fournit à ces entreprises.

Normalement, à ce moment-là, vous devriez vous dire deux choses : « j’aurai peut-être dû lire les Conditions Générales d’Utilisation »,  et « C’est quoi le rapport avec les virus? … ».

Des entreprises ayant pignons sur rue, comme Yahoo et AOL, se sont récemment rendus compte que leurs sites Internet propageaient des virus en toute discrétion. Pourtant, aucun fichier de ce genre n’est présent sur leurs serveurs. Les virus passent par la publicité qui s’affichent sur ces pages. Des pirates se sont payés les services de grandes sociétés chargées de la diffusion d’annonce, pour diffuser des publicités infectées, sous forme d’animations Flash. À première vue, il s’agit d’une publicité classique, c’est la raison pour laquelle elle a été acceptée et diffusée par ces intermédiaires entre le faux annonceur et le site en question, mais derrière elle fait appel à des mécanismes du fonctionnement des applications Flash contenant des failles de sécurité, qui lui permettent d’installer des virus du type Ransomwares (virus qui empêche l’accès à vos données, sauf si vous payer la rançon – pour être franc, je ne suis pas sûr que vous retrouviez vos données même si vous payer, mais c’est une autre histoire).

Il n’est donc plus nécessaire de cliquer sur un lien douteux, aller sur des sites pornographiques, ou des sites pour télécharger toutes sortes de fichiers, il vous suffit de faire une recherche sur Yahoo, de regarder la météo sur Weather.com ou encore faire vos enchères sur eBay. Et malheureusement, si ces grands groupes ont diffusés ces publicités, tous les sites reposant sur la publicité sont potentiellement devenus des diffuseurs de virus.

En réponse à cela, Google vient d’annoncer que la lecture des animations Flash ne serait plus possible sur son navigateur Chrome, rejoignant donc Apple, qui a fait le choix, il y a plusieurs années maintenant, de ne pas lire les animations Flash à travers son navigateur Safari.
De plus, maintenant que la méthode est connue, j’espère que des contrôles seront appliqués sur les publicités proposées.


Source : http://www.silicon.fr/nouvelle-vague-publicites-piegees-ransomware-124341.html <– ce lien est valide, vous pouvez cliquer dessus, vous avez confiance en moi…  🙂