Spécial Sécurité : distributeurs bancaires... piratables, mais chuuut.
Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères s'étonnent du retrait du programme de la Black Hat 2009, d'une présentation sur l'insécurité des distributeurs bancaires de billets. Il reviennent aussi sur le récent Hacker Space Festival de Vitry et sur les mésaventures juridiques américaines d'un distributeur de spyware face à Kaspersky. Pour finir avec une anecdote amusante sur le prochain salon RFID.
1 - Distributeurs de billets : piratables, mais… chuuut
2 - HSF 2009 : 4 jours de hacking échevelés et chevelus
3 - Kaspersky/Zango, 2 à 0 par KO
4 - RFID, le salon qui respecte l’étiquette
1) Distributeurs de billets : piratables, mais… chuuut
Barnaby Jack sera interdit de conférence lors de la prochaine Black Hat 2009, annonce Juniper dans un communiqué de presse laconique. Le gourou sécurité avait initialement prévu une conférence intitulée "Jackpotting Automated Teller Machines" (faire Jackpot avec un DAB). « Faire de telles révélations avant que les fournisseurs de distributeurs aient pu corriger les failles découvertes auraient, affirme l’équipementier, exposé à un risque certains de leurs clients». Il faut avouer que les banques américaines n’ont pas besoin de çà actuellement. Tout aurait été mis en œuvre pour tenter de déployer les correctifs nécessaires avant la fin de la BH, mais en vain… Barnaby Jack ne pourra pas parler des trous de sécurité des DAB américains.
Le mois dernier, plusieurs chasseurs de virus, dont l’anglais Sophos, avait mis en évidence l’existence de troyens keyloggers découverts dans certains distributeurs. Bien évidemment, en France, pays où la sécurité bancaire fait pâlir d’envie les amateurs de la finance que sont les Helvètes, de tels défauts sont hautement improbables. Et quand bien même cela serait que nos Grands Argentiers possèdent une technique bien à eux pour faire taire toute rumeur et « patcher » d’un coup l’ensemble d’un parc de DABs, ainsi nous le rappelle cet article de Legalis.net à propos de l’affaire Humpich.
Barnaby Jack, qui ne craint pas trop la hargne des avocats du GIE Cartes Bancaires, s’était déjà illustré, lors de la BH 2006, en montrant combien il était facile de hacker des systèmes embarqués. Sa technique, fort répandue depuis grâce à des « fuzzer hardware », consistait à effectuer des intrusions dans les firmwares embarqués via les prises Jtag. Comme lesdits firmwares ne sont généralement jamais protégés en lecture par cette sorte de « port série de maintenance », ce genre de technique ouvre toutes les portes à un usager souhaitant outrepasser certaines limitations d’usage imposée par le constructeur. Du téléphone à la console de jeux, en passant par les machineries d’ascenseur ou les routeurs, tout équipement possédant l’équivalent d’un Bios dispose de ce genre de prise ou d’un point d’entrée similaire.
2) HSF 2009 : 4 jours de hacking échevelés et chevelus
Le Hacker Space Festival (HSF) du tmp/lab de Vitry s’est achevé cette semaine, après 4 jours d’intenses activités. Plus de 250 inscrits, des dizaines de présentations, tables rondes ou ateliers, quelques fêtes et surtout beaucoup de travail.
Qu’est-ce que le HSF ? Essentiellement un moment de rencontre entre hackers. Mais une définition du mot hacker très étendue, non restreinte uniquement au seul domaine de la connaissance et de la maîtrise des systèmes informatiques ou des protocoles de sécurité. La définition du HSF –tout comme celle des autres « hacker space » Européens ou Nord Américains- est plus proche de ce qui aurait pu décrire un Pic de la Mirandole, un Rousseau, un D’Alembert, un D’Holbach ou tout autre esprit des Lumières. Ici, l’on se passionne pour Tout. Pour la fabrication de biodiesel et autres carburants, table de Mendeleïev en main et lunettes de protection à l’appui. Pour le « hacking du vivant », autrement dit la biologie moléculaire et l’activité des champignons, des enzymes, des bactéries et de leur rôle dans les opérations de fermentation. Pour bien sûr des activités plus classiques, tel que le pentesting des réseaux sans fil, les frameworks de test d’intrusion Open Source comme Metasploit. Pour des sujets plus ludiques également, ainsi la fabrication de A à Z d’une console de jeu Open Source à base de FPGA, intelligente… et dépourvue de DRM. HSF, ce fut également l’occasion de découvrir une foultitude de projets artistiques associant les nouvelles technologies et le graphisme, l’écriture, la musique. HSF est donc indescriptible, polymorphe, nécessairement instable en raison de son évolution permanente. On y retrouve la passion des communications qui a présidé au lancement des tous premiers BBS –une forme primitive des liaisons Internet-, l’amour de l’informatique, à des degrés oscillant entre le niveau « Microtel Club » et la thèse de troisième cycle, la passion de l’électronique –car la compréhension d’un système informatique passe nécessairement par son support physique- et surtout l’intérêt pour tout ce qui est « autre » et susceptible d’apporter un peu d’eau au moulin de la science.
Mais plus important que ces manifestations annuelles (le HSF fête son second anniversaire), la présence d’un espace permanent, le tmp/lab (http://www.tmplab.org/wiki/index.php/Main_Page) de Vitry, donne à toute personne qui en exprime le désir, la possibilité de trouver un cadre facilitant les échanges de points de vue et les réalisations. Une sorte de « club de clubs » plus orienté recherche que réalisation. Au tmp/lab, on parle avec son fer à souder, avec son compilateur, et surtout avec une écoute scrupuleuse et un respect absolu des opinions et des recherches d’autrui. Il n’y a pas de sotte passion, si ce n’est celle de ne chercher qu’à reproduire ce qui a déjà été fait sans en tirer ni enseignement ni désir d’amélioration.
Vers quoi tout cela débouche ? Ainsi qu’il était mentionné plus avant, sur des projets susceptibles de commercialisation ou de diffusion publique. Comme la plateforme de jeux ouverte, les réalisations liées à l’exploitation des énergies renouvelables ou issues de récupération, le portage d’outils d’une plateforme à l’autre ( Milkymist, ou Milkdrop sur FPGA) ou l’enrichissement des noyaux GNU Linux avec des fonctions similaires à celles intégrées à des systèmes d’exploitation commerciaux. Le seul point qui soit fortement désagréable, dans l’organisation du HSF, c’est qu’il faille attendre 360 jours avant que ne se déroule le prochain.
3) Kaspersky/Zango, 2 à 0 par KO
Zango est un éditeur spécialisé dans ces programmes de « diffusion-marketing-que-l’on-n’a-pas-le-droit-d’appeler-spywares » au risque de s’attirer les foudres d’une horde d’avocats. Un éditeur qui lâche également sa meute contre les vendeurs d’antivirus ayant eu l’outrecuidance de les compter au nombre des nuisances à bloquer sans l’ombre d’une hésitation. Et, au nombre de ces éditeurs, Kaspersky. Un premier procès est remporté de haute lutte par la firme moscovite, qui invoque un article du Communications Decency Act stipulant qu’un fournisseur d’accès ne peut être tenu pour responsable d’avoir agi pour le bien de la majorité en bloquant un contenu qu’il pourrait juger offensif. Une forme de censure de droit divin propre à la loi américaine.
Mais voilà que Zango fait appel et contre-attaque en affirmant que Kaspersky n’est pas plus fournisseur d’accès que ses nobles utilitaires ne sont des virus. Réflexion frappée au coin du bon sens et de la logique. Mais, plus retord encore que ne peuvent l’être les avocats de Zango, le juge donne de nouveau raison à Kaspersky en se reposant sur le fait que le système complexe de mise à jour de l’antivirus est un service à part entière, utilisant les mécanismes d’Internet, ce qui assimile donc le chasseur Russe de virus à un FAI. Le CQFD de 20 pages du juge John C. Coughenour mérite presque d’être encadré.
4) RFID, le salon qui respecte l’étiquette
Il se tiendra les 8 et 9 décembre, ce salon de l’étiquette intelligente, dans le cadre du Cnit de Paris La Défense. Les inscriptions sont ouvertes depuis ce début juillet sur le site des organisateurs. A noter que cette inscription donne droit à un badge provisoire avec « code à barre »EAN qui, une fois imprimé, sert à son tour à obtenir un badge cartonné. Ce qui prouve bien que le sectarisme technologique n’existe pas dans le secteur de l’étiquette intelligente.
[Retrouvez le nouveau site web de CNIS-Mag à l'adresse : http://www.cnis-mag.com]
Pour approfondir sur Gestion des accès (MFA, FIDO, SSO, SAML, IDaaS, CIAM)
-
Cryptojacking : perfctl détourne les machines Linux pour miner des cryptodevises
-
WatchGuard renouvelle son approche de la sécurité intégrée entre hôtes et réseau
-
Attaque de distributeur automatique de billets par boîte noire
-
Protection du poste de travail : le prix désormais plus déterminant que l’efficacité ?