Spécial sécurité : Cher utilisateur; pirate piraté et skype un peu plus décrypté
Nos confrères de CNIS, magazine spécialisé dans la sécurité informatique, reviennent aujourd'hui sur l'extrême en matière d'interaction entre un hacker et un utilisateur, qui consiste à faire copier coller par ce dernier le code qui va permettre de l'infiltrer (si si...). Ils se penchent aussi sur le piratage de The Pirate Bay (ça ne s'invente pas) et sur la décryption partielle de l'algorithme de chiffrement des communications par Skype.
Sommaire
1 - « User interaction » : les limites de l’infini
3 - Skype partiellement « déchiffré »
1) « User interaction » : les limites de l’infini
Roger Thomson, le Chief Research Officer d’AVG, publie sur le blog de l’entreprise un article d’un niveau technique relativement insignifiant, mais d’une profondeur insondable d’un point de vue humain. En fouillant dans le marais des messages Facebook, Thomson est tombé sur l’une de ces nombreuses alertes incitatives invitant à visualiser une séquence vidéo. Peu importe la « charge utile » ou l’escroquerie sous-jacente. C’est surtout le contenu du message d’incitation qui est étonnant, puisqu’il demande à la « victime » d’effectuer un couper-coller d’un texte vers le champ de saisie d’adresse de son navigateur. Un texte qui n’est rien d’autre qu’un javascript.
Sur les quelques 600 000 personnes ayant visité cette page –et qui, par le truchement d’un automatisme, se sont vues déclarer « aimer cette vidéo »- combien ont réellement effectué ce couper-coller ? Combien de temps encore pourra-t-on lire des bulletins d’alertes émis par les différents éditeurs expliquant que telle ou telle faille ne mérite nullement le qualificatif de « critique » compte tenu du fait qu’elle demande une « strong user interaction » ? la dissociation –voir la totale ignorance- de l’élément humain dans l’appréciation technique de l’exploitation d’une faille est encore le dernier rempart de certains fonctionnaires-comptables de la sinistralité logicielle dont le rôle est de maintenir les statistiques en deçà d’un certain seuil. Avec deux doigts de psychologie, l’on peut tout exiger d’une victime : saborder son propre ordinateur ou adopter n’importe quel comportement à risque. Mais contre çà, il n’existe aucun « patch ».
Brian Krebs nous apprend que les identités d’inscription de près de 4 millions d’utilisateurs de Pirate Bay (https://krebsonsecurity.com/2010/07/pirate-bay-hack-exposes-user-booty/) –notamment nom d’utilisateur et adresse email- auraient été accessibles via plusieurs attaques par injection SQL conduites par un hacker Argentin du nom de Ch Russo (http://insilence.biz/2010/07/multiple-sql-injections-on-the-pirate-bay/). Les données en question n’ont fait l’objet d’aucune modification ou communication à un industriel du divertissement, affirme le chercheur. Lequel n’aurait publié le résultat de son hack que pour sensibiliser les administrateurs de Pirate Bay et de ses usagers des carences de sécurité du site. Bien sûr, aucun des lecteurs de CNIS Mag n’a pu être identifié au fil de ce fichier, exception faite de quelques chercheurs s’étant inscrits à des fins de pure analyse et intérêt professionnel …
3) Skype partiellement « déchiffré »
Sean O'Neill, après un imposant travail d’ingénierie inverse, offre en téléchargement une bibliothèque de fonctions qui sert à émuler l’algorithme de chiffrement RC4 modifié utilisé dans Skype. On est encore loin d’une « bretelle » virtuelle capable d’espionner les communications VoIP de la filiale d’eBay. Un article tout en nuances de The H explique qu’il est grandement prématuré de paniquer.