Spécial sécurité : un keylogger à la portée des caniches

Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s’amusent d’un kit de construction, plutôt primaire, d’un keylogger maison, se voient ravis des mises à jour pour iPhone, Android, et Windows Phone qui effacent les données GPS, ironisent sur l’industrie du disque et sur le piratage, listent les rustines du Patch Tuesday et félicitent la prouesse des Français qui ont réalisé un bel exploit sur Chrome.

Sommaire
1 - Un keylogger à la portée des caniches
2 - Téléphones-mouchards : léger recul des menaces
3 - Quand s’étripent les grands saigneurs de la variété
4 - Sysinternals : comme le temps passe !
5 - Mercredi, jour du « patch Tuesday »
6 - Vupen compromet Chrome (ASLR/DEP/sandbox K.O.)

1 - Un keylogger à la portée des caniches
Comment espionner son voisin de bureau sans maîtriser le B.A.-Ba de l’électronique, de l’informatique ou de l’intrusion via rootkit, backdoor, eavedropping réseau et autres barbarismes techno-geek ? En lisant Instructable, le site de tout ce qui se bidouille et se hacke, du macramé en fil de saucisson au barbecue à pédale, en passant par les « tuning steampunk » de souris à vapeur et les modifications d’ordinateurs à coup de colle et de ciseaux.

Le principe de fonctionnement est simple : un microcontrôleur PIC (Microchip) et une eeprom, le tout intercalé entre la sortie clavier et le connecteur USB du périphérique. Ce n’est donc pas à proprement parler un keylogger USB, puisqu’il capture ce qui vient d’un port dédié PS/2. L’assemblage des composants tient par l’opération du Saint-Esprit, et la propreté du montage relève presque des dessins d’Albert Dubout. Un petit circuit double face sur un support FR4 de 3/10eme serait considérablement plus propre et plus efficace. Mais qu’importe : l’efficacité est là, ce keylogger à PIC est réalisable par n’importe quel bricolo légèrement minutieux.

Si l’on envisage de réaliser un véritable keylogger USB, l’affaire est légèrement plus complexe. L’on trouve d’autres microcontrôleurs parfaitement adaptés à ce genre de sport -18F2550 par exemple, qui possèdent nativement une entrée USB. La véritable difficulté réside dans le fait que toute « intelligence » glissée entre le connecteur USB et le clavier risque d’obliger l’électronicien-espion à installer sur le poste de la victime le pilote nécessaire à la reconnaissance du composant Microchip (ou Arduibidule équivalent). Ce qui implique un accès préalable à la console.

NDLC Note de la correctrice : le paragraphe suivant débutait par « Il existerait pourtant une méthode un peu plus…. » que je me suis permise de censurer sans la moindre hésitation. L’honneur et la crainte des foudres de la LCEN nous interdisent d’entraîner les jeunes générations sur la pente savonneuse de la délinquance micro-électronico-informatique.



2 - Téléphones-mouchards : léger recul des menaces
C’est Mashable qui, le premier, a signalé la mise à jour d’IOS 4.3.3, dont la principale fonction est de « vider » la cache dans laquelle sont stockées les données GPS des iPhones 4 et 3GS.

Chez Microsoft, on « pousse » une mise à jour destinée aux Windows phone 7. Pas question de nettoyer les informations de géolocalisation, puisque cette rustine sera essentiellement destinée à colmater la brèche laissée ouverte après le hack des serveurs Comodo. Un « fix » qui a mis bien du temps à être mis au point.

Les utilisateurs de systèmes Android n’ont pas été oubliés : Moxie Marlinspike leur offre WhisperMonitor, un firewall qui bloque –entre autres choses- l’émission des informations de localisation. Ce programme est un des éléments de WhisperCore, mini-suite qui intègre également un outil de chiffrement des espaces de stockage.

3 - Quand s’étripent les grands saigneurs de la variété
Alki David, producteur de groupes musicaux (rap et Rn’B), poursuit C-Net, filiale de CBS, pour violation du copyright en vertu du fait que ledit site C-Net propose en téléchargement des logiciels d’échange P2P tel que LimeWire . Une information rapportée par TorrentFreak, qui précise que cette action en justice n’est qu’une réponse du berger à la bergère. Ce même CBS avait poursuivi, pour les mêmes motifs, ce producteur excentrique. On ne peut que regretter l’absence de Commission Hadopi de l’autre côté de l’Atlantique. L’amour des procédures et des poursuites judiciaires résoudrait probablement très rapidement l’épineuse question du piratage des « œuvres » musicales, faute de combattants.

En France, nos confrères de Que Choisir publient un article ravageur sur les méthodes de gestion des Sacem, SPRD et autres officines de perception des droits d’auteurs. Au total, 26 organismes sont chargés de la récupération, de l’administration et de la transmission de taxes diverses, donc certaines sur les supports numériques et justifiées par une soi-disant situation financière critique provoquée par le « piratage en ligne ». 26 établissements parfois totalement virtuels, mais qui prélèvent au passage leur dime de fonctionnement, sur un gâteau de plus de 1,5 milliard d’Euros.

4 - Sysinternals : comme le temps passe !
ZoomIt v4.2, Process Explorer v14.11, ProcDump v3.04 … P.E. 14.11, on a l’impression que la première édition date d’hier… avant-hier à la rigueur. L’annonce a été faite par Karl Seng, sur le simili-blog de Sysinternals. Le court article s’achève avec l’annonce d’une conférence-Webcast qui se déroulera le 23 juillet prochain avec le titre « Mark Live: Zero Day Malware Cleaning with the Sysinternals Tools ». Ecouter et voir Russinovich lors d’une démonstration de debugging ou de chasse à l’octet, c’est toujours un moment aussi divertissant qu’instructif. Ne pas perdre de vue que ladite conférence est aussi destinée à vendre le tout dernier ouvrage du « maître », (Zero Day et le Sysinternals Administrator’s reference).

5 - Mercredi, jour du « patch Tuesday »
Une seule faille critique cette fois-ci, la ms11-035 : une vulnérabilité affectant Wins sur les serveurs 2003, 2008 et 2008 R2 tous SP installés. La faille est exploitable et peut conduire à un accès distant… c’est hélas souvent le cas pour ce qui concerne les défauts découverts dans un composant réseau.

Les deux autres vulnérabilités sont moindres explique le bulletin du MSRC, puisqu’elles concernent deux pailles découvertes dans PowerPoint. Mois impair, mai offre aux responsables de déploiement un peu de répit après l’avalanche de 64 rustines d’avril dernier.

6 - Vupen compromet Chrome (ASLR/DEP/sandbox K.O.)
Aucun détail technique n’est pour l’heure communiqué au public (seuls les « clients gouvernementaux » ont droit à ce genre d’information), mais la démonstration vidéo diffusée par Vupen ne laisse planer aucun doute : les chercheurs français de l’équipe Bekrar sont parvenus à contourner à la fois ASLR, DEP et la sandbox. Le hack permet d’exécuter, sans que l’usager puisse remarquer quoi que ce soit, n’importe quel exécutable à distance en tirant parti d’une faille jusqu’alors inconnue du navigateur de Google. Bel exploit –aux deux sens du terme- pour l’équipe Montpelliéraine.

Pour approfondir sur Menaces, Ransomwares, DDoS