BLOG

Les attaques par phishing utilisant les noms de domaine internationalisés ont récemment eu le vent en poupe grâce à la découverte du chercheur Xudong Zhenga montrant que les navigateurs échouaient à montrer la différence entre deux noms de domaine composés d’alphabets différents. Nous avons voulu pousser l’expérience un peu plus loin en ne se limitant pas seulement à l’alphabet Cyrillique mais en utilisant l’alphabet latin qui offre beaucoup plus de possibilités dans la création d’un nom de domaine.

Under Linux, setuid binaries is a well-known security topic since it allows users to run programs using the security context of their owner. Thus, if a program, whose owner is root, is executed by a non-privileged user, the binary will run under a privileged security context and will be able to perform actions that he normally wouldn’t be able to. Therefore, it is important to check that setuid binaries are well secured and that their behaviour can’t be altered.

An english description is available at the end of the article. Une démonstration, montrant comment infecter un appareil Android, est disponible en fin d'article.  

Rappel du contexte

  L’existence de malwares et d’applications volant bon nombres de données confidentielles sur nos smartphones ne sont plus un secret depuis longtemps. Un des mécanismes de protection essentiel à la sécurité de l’écosystème Android est le système de permissions autorisées pour chaque application téléchargée sur le Google Play Store.   Dès lors, les utilisateurs sont à peu près sensibilisés à ces concepts d’autorisations qui seront attribuées à une application Android. En effet, si une application tente d’accéder aux contacts, aux SMS, aux photos, etc. un utilisateur le saura lors de son téléchargement. Dans cet article, rien de bien nouveau en ce qui concerne la partie « développement de malware », nous avons simplement développé une application cliente se connectant à un serveur une fois que l’appareil télécharge l’application malicieuse. Le problème est que cette application affiche à l’utilisateur les nombreuses permissions qui sont requises pour accéder aux données de la victime : SMS, Contacts, …   android Le challenge pour un attaquant est alors de mener (voire forcer) notre victime à télécharger discrètement l’application malicieuse.

sony-hacked                 Ces derniers jours une filiale de la société Sony (Sony Pictures Entertainment) fait le buzz (bad buzz) suite à une nouvelle intrusion d’un groupe de « hackers » qui se fait appeler « Guardians of Peace » [#GOP].

Le caniche est insomniaque [1]

  Si vous suivez l'actualité vous avez constaté les différentes annonces sur le caniche voulant manger du TLS. Que l’on se rassure c’est «presque » normal et ce n’est pas TLS qui est remis en cause. Par contre ceux qui ont construit des implémentations de TLS basées sur des fonctions de chiffrement provenant de SSLv3 doivent sentir la morsure.

Les trois chercheurs Bodo Möller, Thai Duong, and Krzysztof Kotowicz viennent le 14 octobre de remettre le monde dans la torpeur des vulnérabilités du protocole SSL. En effet POODLE (pour Padding Oracle On Downgraded Legacy Encryption) est une vulnérabilité touchant le protocole SSLv3 et le moins que l'on puisse dire c'est qu'elle semble avoir enterré cette version du protocole pour de bon. Pourquoi pour de bon ? Eh bien parce que malgré l'effet de surprise généré par l’annonce, il faut rappeler que le protocole TLS qui a fait suite au SSLv3 est disponible depuis 1999 (RFC 2246). Et depuis, plusieurs dates ont marqué l'histoire du SSL. POODLE est donc une vulnérabilité, de plus, dans le protocole et non une erreur d'implémentation comme l'a été HEARTBLEED très récemment. Cette vulnérabilité a été rendu possible par deux choses :
  • Le fait de pouvoir réduire la sécurité d'un échange SSL entre un client et un serveur pour des besoins d’interopérabilité.
  • Une faiblesse cryptographique présente dans SSLv3.