2015/04/30

Piratage d'un avion ? Précisions sur la menace

Le FBI vient de publier une alerte à l’intention des compagnies aériennes leur demandant de scruter les tentatives de connexions aux réseaux embarqués dans les avions.

Il y a quelques jours, le chercheur en sécurité Chris Roberts est arrêté par le FBI à sa descente d’un vol sur la compagnie aérienne United. Ses appareils informatiques et de stockage (MacBook Pro et iPad) lui sont confisqués et l’homme est interrogé pendant quatre heures. La raison est simple, durant un vol entre Denver et Syracuse, état de New York, ce spécialiste de la sécurité des avions affirme qu’il s’est connecté à plusieurs réseaux de l’appareil à l’aide de la connexion WiFi proposée en vol. Système d’alertes, informations sur les températures, niveaux de carburant, pression d’huile, etc. Tout était à sa portée.
Le White Hat n’hésite pas à tweeter sa découverte en ironisant sur la situation et informe dans un même temps les autorités du problème. Chris Roberts n’a pas pris le contrôle de l’avion mais il rend public la vulnérabilité des réseaux embarqués dans les appareils en vol, une situation qu’il ne cesse de dénoncer depuis pas moins de 5 ans et pour laquelle il n’a jamais reçu la moindre réponse de la part desdites compagnies aériennes.

Le FBI prend la menace au sérieux
Quelques jours plus tard, alors qu’il doit se rendre à la conférence RSA se tenant à San Francisco, il se voit interdire l’accès au vol United et on lui explique que la raison de ce refus lui sera expliquée ultérieurement via un message électronique. Il est évident que cette décision plutôt ridicule est liée à son précédant piratage du réseau et au tweet qui l’incrimine qui s’en est suivi…
L’entreprise aérienne fait preuve d’aucune reconnaissance pour le travail du chercheur en sécurité, alors que ce dernier devrait permettre de rendre plus sûr les réseaux des compagnies aériennes. Pourquoi ne pas vouloir éviter ou tout du moins diminuer une attaque potentielle via ce biais ? Chris Roberts a indiqué s’être connecté des dizaines de fois aux réseaux internes de l’appareil et avoir à maintes reprises prévenu Airbus et Boeing de ses découvertes. 
 Finalement, l’interrogatoire par les autorités a peut-être été utile puisque le FBI vient de notifier aux compagnies aériennes de se méfier des tentatives d’intrusion dans les réseaux informatiques embarqués dans les appareils. La police américaine insiste sur le fait qu’elle n’a actuellement pas d’information techniques ni de recul quant à la possibilité qu’un attaquant puisse prendre le contrôle du système de navigation d’un avion via le réseau WiFi ou IFE (In Flight Entertainment) des passagers, mais elle affirme prendre la menace au sérieux et cherche à évaluer s’il s’agit d’une menace crédible ou non. Elle demande donc au personnel embarqué de regarder attentivement durant les vols si des passagers tentent de se connecter aux ports réseaux qui sont situés sous leurs sièges. 

Des instructions précises
Le bulletin d’alerte décrit précisément les signaux auxquels les membres d’équipage doivent être attentifs : tentative de connexion d’un câble au système IFE de l’appareil, tentative de retirer les couvercles de protection des ports réseaux, messages sur les réseaux sociaux avec des références menaçantes sur les réseaux de contrôle du trafic, de fonctionnement de l’appareil, analyse des logs réseaux pour s’assurer qu’aucune activité suspecte comme le scan du réseau ou une tentative d’intrusion ait pu se dérouler, etc.

Ce qui n’est pas dit dans les fiches de poste de codeur (mais qu’il faut quand même maîtriser)

Ce qui n’est pas dit dans les fiches de poste de codeur (mais qu’il faut quand même maîtriser)




Google Online Security Blog: Protect your Google Account with Password Alert

Google Online Security Blog: Protect your Google Account with Password Alert

Would you enter your email address and password on this page?



This looks like a fairly standard login page, but it’s not. It’s what we call a “phishing” page, a site run by people looking to receive and steal your password. If you type your password here, attackers could steal it and gain access to your Google Account—and you may not even know it. This is a common and dangerous trap: the most effective phishing attacks can succeed 45 percent of the time, nearly 2 percent of messages to Gmail are designed to trick people into giving up their passwords, and various services across the web send millions upon millions of phishing emails, every day.

To help keep your account safe, today we’re launching Password Alert, a free, open-source Chrome extension that protects your Google and Google Apps for Work Accounts. Once you’ve installed it, Password Alert will show you a warning if you type your Google password into a site that isn’t a Google sign-in page. This protects you from phishing attacks and also encourages you to use different passwords for different sites, a security best practice.

Des pirates informatiques volent 5 millions de dollars à Ryanair

Des pirates informatiques volent 5 millions de dollars à Ryanair

Un peu moins de 5 millions de dollars (4,5 millions d'euros) ont été dérobés d'un des comptes de la compagnie aérienne à bas coûts Ryanair. Selon la société irlandaise, des pirates informatiques se seraient emparés de la somme par « un transfert électronique frauduleux passé via une banque chinoise ».

2015/04/29

70 ans de menaces informatiques

70 ans de menaces informatiques

Sécurité : Depuis les premiers « phreakers », qui pirataient les lignes téléphoniques, jusqu'à Heartbleed, qui a semé la panique sur le web, la menace informatique a évolué au fil des années. À mesure que la sécurité progresse, les pirates innovent.




2015/04/28

Combien de feuilles de papier pour imprimer tout Internet ?

Combien de feuilles de papier pour imprimer tout Internet ?

Il y a les questions existentielles auxquelles certains éminents spécialistes peuvent vouer leur vie et il y a ces questions totalement insolites qui ont au moins le mérite d'être posées. Et la réponse est souvent assez impressionnante. Petite question du jour donc, combien de feuilles de papier faudrait-il pour imprimer tout l'Internet ?

Des pirates russes ont lu des mails classifiés d'Obama

Des pirates russes ont lu des mails classifiés d'Obama | UnderNews
"L’enquête sur une attaque informatique révélée en octobre dernier montre que des pirates informatiques russes ont pu accéder à des messages électroniques classifiés du président américain Barack Obama.  Le New York Times vient de rapporter l’information."

La vérité est dans le commit | CommitStrip

Source: La vérité est dans le commit | CommitStrip - Blog relating the daily life of web agencies developers

2015/04/27

Google Online Security Blog: A Javascript-based DDoS Attack as seen by Safe Browsing

To protect users from malicious content, Safe Browsing’s infrastructure analyzes web pages with web browsers running in virtual machines. This allows us to determine if a page contains malicious content, such as Javascript meant to exploit user machines. While machine learning algorithms select which web pages to inspect, we analyze millions of web pages every day and achieve good coverage of the web in general.
In the middle of March, several sources reported a large Distributed Denial-of-Service attack against the censorship monitoring organization GreatFire. Researchers have extensively analyzed this DoS attack and found it novel because it was conducted by a network operator that intercepted benign web content to inject malicious Javascript. In this particular case, Javascript and HTML resources hosted on baidu.com were replaced with Javascript that would repeatedly request resources from the attacked domains.

Source: Google Online Security Blog: A Javascript-based DDoS Attack as seen by Safe Browsing

2015/04/24

Hack on the track: Signaling flaw leaves UK trains vulnerable

UK train services could be vulnerable to being hacked, hijacked and crashed, due to the trial of new digital signaling system designed to make lines safer, reports ITV.
According to government advisor Professor David Stupples, the new European Traffic Rail Management System (ETRMS) could be targeted by hackers and exposed to malicious software which could result in an accident. The system – which is being implemented by Network Rail and expected to be operational in the 2020s – is designed to replace aging signal lights, using computers to transmit critical information live from the tracks.

Source: Hack on the track: Signaling flaw leaves UK trains vulnerable

Le Galaxy S5 peut donner vos empreintes digitales aux pirates

Dans le fond, le capteur d'empreintes digitales de votre téléphone est une chose plus précieuse que votre mot de passe, pour la simple et bonne raison qu'il aisé de changer de mot de passe. C'est pour cela qu'il est inquiétant d'apprendre que le capteur du Galaxy S5 est sujet à une vulnérabilité.
...

Source: Le Galaxy S5 peut donner vos empreintes digitales aux pirates

Inculpation du journaliste qui a révélé LuxLeaks

Le journaliste français Edouard Perrin, qui a révélé le scandale LuxLeaks, a été inculpé aujourd'hui au Luxembourg, notamment pour vol domestique et blanchiment, a annoncé le parquet dans un communiqué.
...



Une économie de marché autour du 0-day

Une équipe d’experts et d’universitaires s’est penchée sur la perception et l’exploitation des failles zero-day par les chercheurs, les Etats… et les cybercriminels.
Les failles zero-day, ces vulnérabilités inconnues du public et surtout non corrigées dans les logiciels, sont le Saint Graal du hacking. C’est l’un des principaux enseignements à tirer d’une présentation effectuée dans le cadre de la RSA Conference par plusieurs experts et universitaires.
...

Source: Sécurité IT : une économie de marché autour du zero-day

2015/04/23

Project Fi: Say hi to Fi: A new way to say hello

In today's mobile world, fast and reliable connectivity is almost second nature. But even in places like the U.S., where mobile connections are nearly ubiquitous, there are still times when you turn to your phone for that split-second answer and don't have fast enough speed. Or you can't get calls and texts because you left your phone in a taxi (or it got lost in a couch cushion for the day). As mobile devices continually improve how you connect to people and information, it's important that wireless connectivity and communication keep pace and be fast everywhere, easy to use, and accessible to everyone. 
...

Source: Say hi to Fi: A new way to say hello

This smartphone is extra-secure and stronger than steel

How do you stand out if you're a fledgling smartphone maker that can't compete on specs alone? If you're Turing Robotic Industries (formerly QSAlpha), you pour your energy into clever design - both inside and out. The newly unveiled Turing Phone keeps up the company's emphasis on security, with its own server-free encrypted communication between owners and a fingerprint reader that encourages you to lock down your device. There's also an Apple-like magnetic charging system, so you won't send your phone flying. However, the real star of the show is the frame. It's built from "liquidmorphium," a metal alloy that's reportedly stronger than steel or titanium. While there's also aluminum, ceramic and plastic on the body, that exotic structure should reduce the chances that you'll wreck your handset through a nasty drop.
...

Source: This smartphone is extra-secure and stronger than steel

OnePlus One : le déploiement de Lollipop reprend avec une nouvelle mise à jour OTA

La mise à jour vers Lollipop et CyanogenMod 12S du OnePlus One a recommencé aujourd’hui. OnePlus et Cyanogen ont déployé une nouvelle mise à jour corrigeant quelques bugs et ajoutant la fonctionnalité « OK OnePlus ».

Source: OnePlus One : le déploiement de Lollipop reprend avec une nouvelle mise à jour OTA - FrAndroid