Spécial sécurité : malus et virus pour les cartes à puces

Régulièrement, nous ouvrons nos colonnes à CNIS Mag, magazine spécialisé dans la sécurité des systèmes d'information. Aujourd'hui, nos confrères se penchent sur le hacking de cartes de crédit, via des techniques sophistiquées (comme cette récente technique de corruption des distributeurs de billets) ou plus bateau (comme le phishing). Un arsenal de mauvais coups visant à alimenter de véritables "petits Rungis" de numéros frauduleux.

Sommaire :

- Hacker une carte de crédit : malus et virus pour les cartes à puce

- Twitter : ça va être ta fête

- iPhone firmware 3.0 : des trous en quantité

1) Hacker une carte de crédit : malus et virus pour les cartes à puce

Malmenée, la sécurité bancaire, ces derniers temps. Avec, notamment, la réapparition de l’affaire des virus contaminant les DAB (Distributeurs Automatiques de Billets). Le sujet avait agité la presse mi-mars. Il vient récemment d’être complété par deux analyses techniques et fonctionnelles effectuées respectivement par Shevchenko de TreatExpert et Trustwave. Certaines fonctions de la porte dérobée en question sont d’une subtile efficacité, notamment en ce qui concerne l’usage hors norme de l’imprimante destinée à la délivrance des tickets.

Pendant ce temps, la Caisse d’Epargne, la vieille Dame Digne du Livret A, se fait phisher depuis plus d’une semaine. Le courriel d’incitation est émis par différents zombies européens, et rédigé dans un style bancaire irréprochable. Seules ombres au tableau – hormis le fait qu’une banque n’expédie jamais ce genre d’email -, aucune lettre ne possède de caractère accentué et le charset utilisé est encore le bon vieux «  Windows-1251 », tant apprécié par les spécialistes russes du hameçonnage. Les sites hébergeant les fausses pages de phishing sont généralement des web personnels. Le véritable site de la Caisse d’Epargne, quant à lui, ne contient aucune alerte, aucun communiqué immédiatement visible. C’est dommage. Car très souvent, les phishers ne comprenant pas ce qu’ils intègrent dans leurs pages « multiframe », glissent sans le savoir les cris d’alarme anti-phishing de la banque visée.

Que deviennent-elles, ces cartes de crédits virtuelles nées d’un vol d’identité ? Elles se vendent, à faible prix, sur des places de marché mafieuses. Comme à Rungis, le client peut même goûter à la marchandise et en éprouver la qualité. Le « cent » de numéros peut être testé par échantillonnage avant que ne soit conclue la vente. Et cet échantillonnage s’opère de manière très simple, en effectuant un achat sur quelques sites cybermarchands pris au hasard sur la Toile. C’est ainsi que le truand-prospecteur obtient trois informations capitales : la validité du numéro de la carte, la solvabilité de son propriétaire originel, et le montant de crédit associé. C’est également ainsi qu’un cabaretier de l’Idaho (état renommé pour ses pommes de terre et ses sympathiques troquets d’agriculteurs), a découvert l’existence de ces incessants prélèvements de « tests ». Une aventure abracadabrante racontée par Brian Krebs du Post. Mais l’histoire ne s’arrête pas là. Car l’une des victimes dont le compte a été « testé » parvient, en quasi temps réel, à suivre l’utilisateur de la fausse carte de crédit, en informe sa banque, appelle chaque magasin afin que les bandes de vidéosurveillance situées au dessus de chaque caisse ne soient pas effacées et puissent être transmises aux autorités. Belle présence d’esprit, remarquable travail d’enquête qui, pourrait-on espérer, aurait pu valoir à son auteur les remerciements de la banque. Que nenni ! Alors même que madame Keri Tetlow signale les forfaits à son chargé d’affaires, celui-ci lui conseille de « souscrire une assurance contre le vol d’identité ».

2) Twitter : ça va être ta fête

Cela faisait fort longtemps que l’on n’avait assisté à l’ouverture d’un « mois du bug ». Aviv Raff tente de relancer la mode avec un MOTB, Month of Tweeter Bug qui débutera le premier juillet et s’achèvera avec le mois. Depuis quelques semaines déjà, les hébergeurs de blogs et de réseaux sociaux font l’objet de nombreuses tentatives de hack, dont beaucoup sont conduites avec succès. Si certaines d’entre elles sont de faible niveau technique (politiques de mots de passe faibles, failles ftp classiques…) d’autres, en revanche, sont d’un niveau un peu plus subtil. En ces temps de cloudification à outrance et de "réseausocialisation" débridée, l’on peut craindre que l’idée d’Aviv Raff ne fasse du chemin et que la communauté sécurité s’intéresse d’un peu plus près aux Facebook, Linkedin et autres géants du Web 2.0. Lesquels n’ont certainement rien à craindre si l’on en juge par les propos rassurants qu’ils distillent depuis bientôt deux ans.

Pour clore le chapitre en guise de pied de nez, signalons cet article légèrement humoristique «  Et si Twitter était le seul outil de communication en sécurité ». Pour lecteurs geek only. Avec la complicité involontaire – mais oh combien crédible - de Bruce Schneier, Markus Ranum, Alex Hutton, Ribolov (aka Michael Smith du blog Guerilla Ciso) et du tout nouveau Tzar de la Sécurité des Etats-Unis.

3) iPhone firmware 3.0 : des trous en quantité

Les «  branchés » l’attendaient avec impatience, se l’échangeait même sur les canaux P2P. Les utilisateurs normaux, quant à eux, l’on découvert dans le courant de la nuit du 17 au 18 juin. Lui, c’est le lot de correctifs et le firmware 3.0 de l’iPhone, le smartphone d’Apple. Une mise à jour lourde, de plusieurs centaines de Mo, truffées de fonctions nouvelles dont l’activation est laissée à la libre appréciation des opérateurs, et surtout corrigeant un nombre conséquent de failles de sécurité. Nos confrères du HNS – parmi tant d’autres - en ont fait une énumération méticuleuse, tandis que l’on commence à voir fleurir quelques divulgations « post rustiniennes » sur le Full Disclosure et des exploits de failles iTune sur Milw0rm.

Pour approfondir sur Internet et outils Web