Spécial Sécurité : Albert Gonzalez, multirécidiviste du cybercrime
Aujourd'hui, nos confrères de CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information, s'attardent sur la sécurité des transmissions quantiques puis se penchent le cas d' Albert Gonzalez, un célèbre cybercriminel qui vient une nouvelle fois de plaider coupable. Avant de revenir sur la fausse-vraie faille IIS.
Sommaire :
1 - Transmissions quantiques : avalanche dans les avalanches
2 - Albert Gonzalez, multirécidiviste du cybercrime
3 - Le « point-virgule » qui tue ne tue presque pas
1 - Transmissions quantiques : avalanche dans les avalanches
Encore une révélation faite à la 26C3 : rien n’interdit d’effectuer une attaque « man in the middle » sur le brin optique chargé de la transmission d’une clef quantique. Le scénario était théoriquement impossible à exploiter en vertu du principe d’incertitude d’Heisenberg, mais un groupe de chercheurs de l’Université de Singapour a découvert une faille. Une faille de taille, car elle tire parti d’une caractéristique technique Composant, plus précisément les diodes avalanche qui servent de récepteur dans un brin QDK. Des diodes avalanche que l’on retrouve dans la plupart des systèmes de transmission quantique.
Le principe est simple, sa mise en œuvre complexe. Il « suffit » qu’Eve récupère les informations provenant d’Alice et les retransmette à Bob… Pour ce faire, Alice envoie, à périodes régulières, des impulsions qui « aveuglent » le capteur de Bob, lequel perd sa capacité à ne détecter que des photons uniques. Cette désensibilisation donne à Eve la possibilité d’expédier à Bob ce qu’elle désire –dont notamment une réplique exacte de ce qu’elle intercepte-, sans que Bob s’aperçoive que son récepteur de photon unique travaille dans un mode anormal.
Cette même équipe avait déjà publié une étude allant dans le même sens et exploitant ce même principe dès octobre 2008. Il ne s’agit donc pas d’une « première » comme semblent l’affirmer certains de nos confrères.
2 - Albert Gonzalez, multirécidiviste du cybercrime
Albert Segvec Gonzalez vient de plaider « coupable » dans l’affaire du piratage qui avait visé Heartland, mais également les magasins 7-Eleven et Hannaford Brothers. Ce technocambrioleur en série avait déjà été inculpé pour avoir piraté la comptabilité informatique de TJX, BJ’s Wholesale Club, OfficeMax, Boston Market, Barnes & Noble et Sports Authority. Selon nos divers confrères anglo-saxons, le Reg et Security News, l’inculpé risque entre 17 et 25 ans de privation de liberté.
TJX a été la plus grosse affaire de hacking reposant sur une intrusion Wifi à ce jour. La DSI de l’entreprise avait jugé inutile de mettre à niveau les « douchettes » de lecture de codes à barres (qui utilisaient un chiffrement WEP), pour de simples raisons d’économie. Les données de 94 millions de clients avaient été ainsi capturées par la bande.
Heartland,pour sa part, est un intermédiaire bancaire regroupant les transactions de millions de petits commerçants situés aux USA. Ses ordinateurs avaient été violés et près de 130 millions de numéros de cartes de crédits s’étaient retrouvées dans la nature. Ces deux « casses » comptent pour être les plus importants de ces trois dernières années.
3 - Le « point-virgule » qui tue ne tue presque pas
« Après examen, la faille Internet Information Server du « point-virgule » n’est pas une véritable faille » explique Christopher sur le blog du MSRT. Car par défaut, lIS 6.x n’est pas configuré en « écriture/exécution ». « Si vous avez configuré un répertoire de votre serveur de cette manière, envisagez sérieusement de reconsidérer vos « bonnes pratiques » et effectuez les changements de paramètres qui s’imposent » .