Spécial sécurité : biométrie, DNSChanger, Asté... risque
Régulièrement, LeMagIT ouvre ses colonnes à ses partenaires de CNIS Mag, magazine sur la sécurité des systèmes d’information. Dans cette édition, nos confrères s'attaquent aux limites de la biométrie, reviennent sur DNSChanger, un outil pour hacker accro à la malbouffe, et aux menaces qui planent sur le célèbre IP PBX Asterisk.
Sommaire :
- 1 - Maton matant des photomatons : échec et mat
- 2 - DNSChanger, piratage subtil pour amateur de fast food
- 3 - Asté… risque : allo belliciste
1- Maton matant des photomatons : échec et mat
La biométrie, vecteur technologico-marketing totalement illusoire dans le domaine de la sécurité des outils « mobiles », vient, une fois de plus, d’être mise en échec par une équipe de chercheurs Vietnamiens. Les systèmes de reconnaissance facial Lenovo Veriface III, Asus SmartLogon V1.0.0006 et Toshiba Face Recognition 2.0.2.32 prennent pour de la véritable graine de Sésame le simple photomaton du propriétaire de l’ordinateur. La preuve en images est disponible sur le site du Bach Khoa Internetwork Security Center de l’Université d’Hanoï.
Cette étude marque une étape importante dans les progrès apportés par la biométrie dans le domaine de la sécurité des informaticiens. Notamment sur deux points : il n’est plus nécessaire de porter d’étouffants masques en silicone à la manière de Mission : Impossible pour circonvenir une machine laissée à l’abandon, et surtout, il n’est plus obligatoire de décapiter l’admin pour obtenir son mot de passe. Les autres motivations poussant un administré au meurtre de leur « Root » (sauvegardes irrécupérables, effacement de données sous prétexte de maintenance ou de nouvelle version, changement abrupt de logiciel qui, jusqu’à présent, fonctionnait, filtrage stalinien des accès Internet…) demeurent, toutefois encore totalement valables.
C’est là un Hack de petite, toute petite technicité, puisque le fait est connu des adolescents américains, lesquels ont depuis belle lurette découvert cette méthode pour circonvenir les distributeurs automatiques de boissons alcoolisées et de revues pour adultes. Ceci étant précisé, le principal avantage d’un système de login biométrique sur une machine portable, c’est avant tout sa simplicité et son ergonomie. Dactylographier un mot de passe complexe sur le clavier virtuel d’un PDA est une torture physique qu’une simple prise de photographie fait immédiatement oublier. De là à estimer que c’est un outil de sécurité fiable, il y a encore quelques progrès à faire. Du moins dans le cadre des machines et des périphériques « grand public ».
Université de Hanoï
2 - DNSChanger, piratage subtil pour amateur de fast food
Le Sans Institute signale l’existence d’un nouveau Troyen découvert par Symantec, capable de détourner des internautes sans que leur propre machine soit infectée. Cette engeance se nomme Trojan.Flush.M et simule le comportement d’un serveur DHCP pour mieux orienter les usagers du Net vers des sites particulièrement dangereux. Voici, de manière très schématique, comment se déroule l’attaque
- Reynald, homme toujours débordé et peu soucieux de la santé de sa machine, vient déguster un Royal Cheese dans sont fast-food de quartier. Lorsqu’il raccorde son ordinateur portable au réseau Wifi de ce que l’on peut difficilement appeler un restaurant gastronomique, il réveille du coup son appétit et le fameux cheval de Troie « Flush ».
- Peu de temps après, Cyrille, informaticien soigné et méticuleux, amoureux des « patchs Tuesday » et respectueux des « java update », vient assouvir une soudaine soif de boisson carbonatée de couleur brunâtre (un vice passager chez ce charmant individu). Au démarrage de son ordinateur, la couche réseau expédie une requête DHCP afin d’obtenir un numéro IP et un lien avec le DNS préconisé.
- A ce moment précis, la machine de Reynald intercepte l’appel, y répond en indiquant le numéro IP d’un DNS pirate. Toutes les recherches d’adresses émises par l’ordinateur de Cyrille seront adressées à ce DNS, et non plus à un annuaire réputé.
- Cyrille envisage de consulter son compte en banque sur www. credit-populaire d’épargne.fr, ce qu’il fait chaque fois avant de boire un verre, histoire de se mettre en appétit. L’URL qui s’inscrit dans la barre d’adresse de son navigateur est bien celle de sa banque, sa machine n’est infectée par aucun virus ou rootkit, ses fichiers de paramétrage sont exempts d’erreur ou de corruption… mais le site web qu’il a sous les yeux est hébergé en Estonie.
- Cyrille entre, comme de coutume, son couple « login/mot de passe ». De l’autre côté de l’Europe physique, un programmeur fou s’exclame « Da ! françousky kaputt ! »
- Cyrille, ruiné, finira sa triste de vie de programmeur à la solde des mafias Russes en mal de sous-traitance.
Le taux propagation de Flush.M est, de l’avis même de l’équipe Symantec, relativement faible. Il dénote toutefois du niveau d’inventivité extrême dont font preuve les codeurs de virus. L’une des seules parades connues contre ce genre d’attaque demeure la toolbar Netcraft, qui indique généralement la localisation géographique du site visité. Las, cette indication de localisation n’est pas toujours d’une fiabilité absolue, et l’ajout de ce BHO diminue très fortement la rapidité des navigateurs.
Par Eesti
3 - Asté… risque : allo belliciste
Une faille du PABX privé open source Asterisk, signalent les agents du FBI, serait actuellement exploitée par des pirates. Ce trou de sécurité donne la possibilité de transformer le central téléphonique VoIP en question en une véritable machine de guerre à composition téléphonique massive, dans le cadre d’une opération de vishing (phishing VoIP) (gageons que la Commission de Défense de la langue Française parlera de Tameçonnage, pour hameçonnage Téléphonique).
Non seulement les conséquences en terme de facturation peuvent être très graves –tous les opérateurs VoIP n’assurent pas les mêmes tarifs selon la destination d’appel- mais encore faut-il redouter un impact assez fort sur l’image de marque de l’entreprise victime. En effet, c’est l’identifiant de l’appelant qui sert de blanc-seing à toutes ces communications pirates.
Pis encore, rien n’interdit d’imaginer le scénario diabolique suivant :
- Un roi du phishing expédie quelques milliards de pourriels signalant une compromission de compte. De plus amples renseignements sont disponibles sur www. credit-populaire d’épargne.fr (encore lui !)
- Sur le site en question, nulle demande de mot de passe, nulle incitation à livrer le moindre numéro de compte. Mais un champ de saisie, précédé par un « indiquez vos noms, prénoms et numéro de téléphone –portable y compris- où notre conseiller financier pourra vous joindre en toute confidentialité »…
- Sur la base de cet annuaire alimenté par les victimes, relais est donné au vecteur de vishing qui appellera directement le « client ». Et lui demandera, de manière préliminaire, les numéros de carte bancaire, code cryto et date d’expiration, de ses cartes de crédit. Autant de données numériques qu’il est simple d’entrer via un clavier de terminal téléphonique. Clavier qui, bien des enquêtes conduites par le FBI le prouvent, inspire plus confiance que la voix d’un éventuel correspondant. Une forme de crédit aveugle en la technologie, en quelques sortes. (photo par Freaksunitel)