Démonstration d'une attaque à base d'interception de SMS (2FA) DoubleAgent - Une injection de code indétectable et instoppable par les antivirus. Une équipe de chercheurs en sécurité israéliens ont découvert une nouvelle faille dans TOUTES les versions de Windows (de XP à Windows 10) qui permet à un attaquant de prendre le contrôle total d'une machine.
La faute à une fonctionnalité âgée 15 ans, non documentée, baptisée "Application Verifier". Il s'agit d'un outil Windows qui charge des DLL comme processus pour permettre aux développeurs de rapidement les tester et détecter leurs erreurs de développement. Mais simplement en créant une clé de registre portant le même nom que l'application à détourner, l'attaquant peut injecter dans n'importe quel processus légitime, sa propre DLL custom et ainsi faire ce qu'il souhaite comme installer une backdoor ou un malware, détourner des permissions, récupérer la main sur des sessions d'autres utilisateurs...etc. Si le sujet vous intéresse, les chercheurs israéliens ont mis en ligne un proof of concept sur Github et publié quelques articles sur leur blog.
Source. #Vault7 - Le fiasco de la CIA. Hier, Wikileaks a publié environ 8700 documents datés entre 2013 et 2016, qui selon leurs dires, viennent du Centre de Cyber Intelligence de la CIA.
En gros, le service qui s'occupe de l'espionnage cyber chez nos amis américains. Ce service a la particularité d'être sur un réseau haute sécurité totalement isolé à Langley en Virginie et dispose aussi d'une antenne en Europe dans la jolie ville de Francfort en Allemagne (dans le consulat US). Et le contenu rassemblé sous le hashtag #Vault7 n'est pas triste. Premièrement, on y trouve pas mal d'exploits Android qui ont été développés par la CIA, la NSA, le GCHQ (la NSA anglaise) et des vendeurs privés, sur la base de failles non connues (0days). Ces attaques visant les smartphones permettent à la CIA de contourner le chiffrement de WhatsApp, Signal, Telegram et d'autres, leur permettant de collecter les messages textes et audio en clair. Récupérer des logins et mots de passe sur une machine verrouillée.
Mubix (Rob Fuller) a publié sur son site un article intéressant où il explique, encore tout étonné, qu'il est possible de récupérer des identifiants (login + passwords) sur un ordinateur dont la session est verrouillée.
Menaces numériques - Votre domicile est-il exposé ? Ça va, vous êtes bien au chaud chez vous ?
Avec cette vague de froid, on est bien mieux à la maison. En sécurité. Kodachi - La distrib linux "anti forensics, anonyme et sécurisée" Kodachi est une distrib Linux dont je n’avais pas encore parlé, qui est basée sur une Debian 8.6 Live + XFCE et qui se présente comme une distrib sécurisée, anonyme et anti-forensic.
Une fois l’ordinateur démarré avec Kodachi, celui-ci se connecte directement sur un VPN (proposé par la team Kodachi avec choix du pays de sortie… donc a vous de voir quel confiance vous leur accordez) ainsi que sur Tor. Et DNSCrypt est lui aussi activé. Rien besoin de configurer et pas besoin d’avoir de grandes connaissances en Linux pour l’utiliser. Ensuite, tout ce que vous ferez avec cet OS utilisera de la mémoire temporaire stockée dans la RAM, donc à moins d’une attaque de type cold boot, toutes vos traces disparaitront dès que vous éteindrez la machine. Windows 10 Anniversary Update : désactiver Cortana. Windows 10 Home : désactivation via la base de registres La marche à suivre… Lancez regedit via le menu démarrer.Rendez-vous dans la clé HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search (si la clé n’existe pas, créez-la à cet endroit via un clic droit > New > Key).Faites un clic droit sur la clé dans le volet de gauche et choisissez New > DWORD (32-bit) Value.Renommez cette nouvelle valeur en AllowCortana.Double cliquez dessus et assignez-lui une valeur de « 0 ».Redémarrez votre PC.
Deux chercheurs ont verrouillé un thermostat connecté avec un ransomware. Deux chercheurs en sécurité ont montré samedi durant la Def Con qu’il était possible d’introduire un ransomware dans un thermostat connecté, aboutissant au verrouillage de ce dernier.
Il ne s’agit donc pas d’une menace réelle, mais d’une preuve que certaines craintes autour des objets connectés sont fondées. Depuis plusieurs années, de nombreux experts en sécurité mettent en garde contre les dangers inhérents aux objets connectés. De nombreuses fonctionnalités reliées à Internet ont été mises en place pour simplifier la vie des utilisateurs autant que l’interconnexion avec d’autres produits et services. QuadRooter : 4 failles sur les terminaux Android à puce Qualcomm. Dans le cadre de la Defcon 2016, Check Point a publié un rapport détaillant quatre failles majeures présentes sur plus de 900 millions de smartphones et tablettes Android.
No More Ransom. La double authentification par SMS bientôt abandonnée. Excepté le paragraphe introductif, les notes et les intertitres, c’est quasiment le seul élément en gras dans la dernière révision des recommandations du NIST (National Institute of Standards and Technology) : le SMS est considéré comme obsolète pour l’authentification forte.
L’agence rattachée au département du Commerce des États-Unis recommande de se tourner vers des mécanismes dits « plus sécurisés », notamment les applications mobiles et la biométrie*. Manipuler un smartphone à l'aide de commandes vocales dissimulées dans des vidéos Youtube. Des chercheurs de l'Université de Georgetown et UC Berkeley ont mis au point une attaque qui permet de compromettre un smartphone à l'aide de commandes vocales planquées dans des vidéos YouTube.
Pour y parvenir, ils cachent à l'intérieur de vidéo YouTube des commandes vocales, incompréhensibles par l'homme, mais pas par un smartphone équipé de Siri ou de Google Now. Si le téléphone est assez près pour "entendre" la vidéo, les commandes peuvent alors être lancées. Rien qu'avec un numéro de téléphone, il est possible de hacker la plupart des comptes web de quelqu'un (Twitter, Facebook, Whatsapp...etc) Vous êtes serein, car vous avez mis une phrase de passe de 72 caractères à Gmail et votre compte Facebook fonctionne avec un système de double authentification. C'est bien. Mais vous allez vite déchanter, car une nouvelle méthode testée et approuvée par des chercheurs de Positive Technologies permet de prendre la main sur n'importe quel compte Twitter, Facebook, Telegram, Whatsapp et bien d'autres.
Silentkeys - Le clavier qui protège votre vie privée. SilentKeys est un projet Kickstarter qui intéressera surement les gens soucieux de leur vie privée. Il s'agit d'un petit clavier qui une fois branché sur votre ordinateur vous apporte tous les services suivants : En gros, ce clavier embarque un système d'exploitation sécurisé avec tous les outils qu'il faut pour surfer en toute sérénité. On peut obtenir le même résultat avec une simple clé USB bootable mais avec SilentKeys, les claviers externes ou intégrés (ordinateurs portables) sont contournés.
Le clavier SilentKeys inclut une puce Hub tampon afin d'entraver les variantes hardware et évidemment, en bootant sur l'OS Satya intégré au clavier, les keyloggers logiciels sont rendus inopérants. Il est aussi possible en branchant ce clavier de profiter d'une sandbox sur l'OS de l'hôte qui permettra quand même de l'utiliser de manière sécurisée sans avoir à le redémarrer. IP Box - L'appareil à 150 € qui déverrouille les iPhones.
Après les derniers rebondissements entre Apple et le FBI pour cracker l'iPhone du terroriste de San Bernardino, le journal anglais Daily Mail a enquêté et a découvert un appareil capable de cracker un iPhone en à peine 6h. Et le pire c'est que ce machin baptisé IP Box s'achète librement sur le net pour la modique somme de 150 €. Une faille dans l'iPhone permet d'accéder aux photos sans déverrouiller le téléphone. Apple a mis à jour son iOS vers la version 9.3.1, corrigeant ainsi quelques bugs. Ransomware Petya - Comment récupérer vos fichiers sans payer la rançon ? Subgraph - L'OS sécurisé qu'on devrait tous utiliser.