239 liens privés
L’attaque SSL Stripping est une menace qui oblige votre navigateur à visiter des connexions HTTP moins sécurisées en rétrogradant à partir de la connexion HTTPS cryptée.
Quelles sont les différences techniques entre ces fameuses applications que je conseille pour protéger votre vie privée et/ou votre anonymat ?
Signal - Les précurseurs
Ils arrivent et fracassent techniquement le marché des communications en temps réel en sortant un protocole open-source réutilisable E2EE qui intègre des fonctionnalités avancées comme le Perfect Forward Secrecy, Double Ratchet, X3ECDH, Dénégation Plausible.
Ces technologies ne vous disent peut-être rien, donc je vais les expliquer rapidement.
E2EE, vous connaissez déjà, c'est l'acronyme de End to End Encryption.
Ça signifie que votre communication est chiffrée de bout en bout, aucun serveur ou fournisseur ne peut lire votre conversation, seuls l'émetteur et le récepteur du message. À l'inverse des emails, de vos DMs et des groupes Telegram.
En sachant que les conversations sont chiffrées avec des clés, la sécurité de ces clés est cruciale. Imaginons que toute votre conversation soit chiffrée avec une seule clé et qu'elle finisse par être récupérée par un attaquant, votre conversation sera déchiffrée et donc lisible par l'attaquant.
Pour réduire ce risque, Signal a intégré les notions de Perfect Forward Secrecy et l'algorithme de Double Ratchet. Cela permet d'avoir à chaque fois une nouvelle opération de chiffrement et donc de nouvelles clés pour chaque nouveau message envoyé/reçu. Si une des clés est récupérée, seul le message chiffré avec cette clé sera lisible, mais pas les anciens ni les nouveaux messages.
L'autre concept amené par Signal pour protéger votre vie privée, c'est la Dénégation Plausible ou Répudiation. Là où en sécurité nous sommes plutôt habitués à la non-répudiation, ici, c'est l'inverse qui s'applique.
En effet, la non-répudiation est très utile en sécurité pour permettre de certifier qu'un message a bien été envoyé par un certain interlocuteur et pas un autre.
Mais quand on veut protéger sa vie privée, on préfère que personne ne puisse certifier que nous sommes réellement l'auteur ou non d'un message. C'est là qu'intervient la Dénégation Plausible.
Elle permet de s'assurer techniquement que le message est bien de l'utilisateur et non d'un usurpateur, sans donner le pouvoir cryptographique au récepteur de prouver qu'un message provient de cet utilisateur. Ceci grâce à une signature différente pour chaque message envoyé.
Pour nous permettre d'avoir ces différentes protections et sur plusieurs équipements, les deux interlocuteurs doivent pouvoir s'échanger plusieurs clés (publiques, éphémères, partagées) avant la communication, via un canal non protégé, puisque pas encore chiffré de bout en bout. À cela s'ajoute la complexité que les utilisateurs ne sont pas forcément connectés en même temps au serveur.
C'est pour cela qu'existe le X3ECDH pour eXtended Triple Elliptic Curve Diffie Hellman.
Diffie Hellman (DH) est connu pour être le protocole d'échange de clés partagées sur un canal non protégé avant une communication chiffrée.
C'est là qu'Alice donne sa clé publique à Bob et inversement. C'est là aussi qu'ils décident des modalités de génération d'une clé partagée commune dérivée de leur clé privée respective. Ces fameuses modalités, qui auparavant n'étaient qu'un simple nombre premier et la racine primitive modulo ce nombre premier, sont maintenant remplacées par une courbe elliptique (EC) définie sur un corps fini.
On passera les détails, mais cette courbe permet de générer de plus petits nombres sans altérer la sécurité, et cela optimise les opérations d'échange de clés et de chiffrement/déchiffrement.
Ces avancées marquent un tournant dans les communications mobiles chiffrées, c'est pourquoi leur protocole est directement intégré à d'autres applications comme WhatsApp et Session.
Cependant, petit problème pour l'anonymat, Signal demande un numéro de téléphone pour s'inscrire. Ceci fâche la communauté anonyme qui, pour certains, va totalement boycotter l'application et pour d'autres, utiliser un numéro anonyme pour quand même profiter du protocole.
L'autre aspect qui refroidit la communauté, c'est la centralisation de leur plateforme. En effet, l'architecture de Signal repose sur la centralisation de ses serveurs qui, en plus, récoltent des informations comme l'adresse IP et des métadonnées sur les messages et contacts. Même si cela ne semble pas être leur business model, à la différence de WhatsApp, ils pourraient fournir ces informations.
Que s'est-il passé ?
Le 19 juillet 2024 à 04:09 UTC, dans le cadre des opérations en cours, CrowdStrike a publié une mise à jour de la configuration des capteurs pour les systèmes Windows. Les mises à jour de la configuration des capteurs font partie intégrante des mécanismes de protection de la plateforme Falcon. Cette mise à jour de la configuration a déclenché une erreur logique entraînant un crash du système et un écran bleu (BSOD) sur les systèmes concernés.
La mise à jour de la configuration du capteur à l'origine du blocage du système a été corrigée le vendredi 19 juillet 2024 à 05:27 UTC.
Ce problème ne résulte pas d'une cyberattaque et n'y est pas lié.
Impact
Les clients utilisant le capteur Falcon pour Windows version 7.11 et supérieure, qui étaient en ligne entre le vendredi 19 juillet 2024 04:09 UTC et le vendredi 19 juillet 2024 05:27 UTC, peuvent être impactés.
Les systèmes utilisant Falcon sensor pour Windows 7.11 et supérieur qui ont téléchargé la configuration mise à jour entre 04:09 UTC et 05:27 UTC - étaient susceptibles de provoquer un crash du système.
Fichier de configuration
Les fichiers de configuration mentionnés ci-dessus sont appelés "fichiers de canaux" et font partie des mécanismes de protection comportementale utilisés par le capteur Falcon. Les mises à jour des Channel Files font partie du fonctionnement normal du capteur et ont lieu plusieurs fois par jour en réponse aux nouvelles tactiques, techniques et procédures découvertes par CrowdStrike. Il ne s'agit pas d'un nouveau processus ; l'architecture est en place depuis la création de Falcon.
Détails techniques
Sur les systèmes Windows, les fichiers Channel se trouvent dans le répertoire suivant :
C:\Windows\System32\Drivers\CrowdStrike\
et ont un nom de fichier qui commence par "C-". Un numéro est attribué à chaque fichier de canal en tant qu'identifiant unique. Le fichier de canal impacté dans cet événement est le 291 et son nom de fichier commence par "C-00000291-" et se termine par une extension .sys. Bien que les fichiers de canaux se terminent par l'extension SYS, il ne s'agit pas de pilotes de noyau.
Le fichier de canal 291 contrôle la façon dont Falcon évalue l'exécution de named pipe1 sur les systèmes Windows. Les tuyaux nommés sont utilisés pour la communication normale, interprocessus ou intersystème dans Windows.
La mise à jour qui a eu lieu à 04:09 UTC a été conçue pour cibler les tuyaux nommés malveillants récemment observés et utilisés par des structures C2 courantes dans les cyberattaques. La mise à jour de la configuration a déclenché une erreur logique qui a entraîné un plantage du système d'exploitation.
Fichier de canal 291
CrowdStrike a corrigé l'erreur logique en mettant à jour le contenu du Channel File 291. Aucune modification supplémentaire ne sera apportée au Channel File 291 au-delà de la mise à jour de la logique. Falcon continue d'évaluer et de se protéger contre l'utilisation abusive des tuyaux nommés.
Ce problème n'est pas lié aux octets nuls contenus dans le fichier de canal 291 ou dans tout autre fichier de canal.
Remédiation
Les recommandations et informations de remédiation les plus récentes peuvent être trouvées sur notre blog ou dans le portail de support.
Nous comprenons que certains clients peuvent avoir des besoins de support spécifiques et nous leur demandons de nous contacter directement.
Les systèmes qui ne sont pas actuellement touchés continueront à fonctionner comme prévu, à fournir une protection et ne risquent pas de subir cet événement à l'avenir.
Les systèmes fonctionnant sous Linux ou macOS n'utilisent pas le fichier de canal 291 et n'ont pas été touchés.
Analyse des causes profondes
Nous comprenons comment ce problème s'est produit et nous procédons à une analyse approfondie des causes profondes pour déterminer comment cette faille logique s'est produite. Cet effort se poursuivra. Nous nous engageons à identifier toutes les améliorations fondamentales ou de flux de travail que nous pouvons apporter pour renforcer notre processus. Nous mettrons à jour nos conclusions dans l'analyse des causes profondes au fur et à mesure de l'avancement de l'enquête.
Newly Registered Domain Domains that were very recently registered.
20.10.2022
Le Réseau pédagogique neuchâtelois (RPN), victime d'un nouveau piratage informatique, a pu stopper l'attaque avant l'installation d'un logiciel de rançon. Une enquête est en cours en collaboration avec la police cantonale.
L'attaque est intervenue via le serveur de messagerie RPN, a déclaré jeudi Hugo Sobrino, responsable de la sécurité des systèmes d'information (RSSI) du canton. Au total, 25'000 à 30'000 utilisateurs, soit des enseignants, des élèves de l'école obligatoire et des étudiants du secondaire 2, sont concernés.
Les adresses courriels ont été bloquées. Les mots de passe doivent être réactualisés à l'interne. « Les accès externes sont encore bloqués », a expliqué Daniel Crevoisier, chef du Service informatique de l'Etat de Neuchâtel (SIEN).
Les services de l'enseignement obligatoire et post-obligatoire ont été informés mercredi dans la soirée de l'attaque, afin que les enseignants aient l'information à leur arrivée jeudi matin. « Ils ont assez de ressources pour faire des leçons un ou deux jours sans se connecter », a déclaré Crystel Graf, conseillère d'Etat en charge de la formation et de la numérisation.
Surveillance active
Le SIEN était en alerte depuis le début de la semaine car un logiciel malveillant avait été détecté. Des premières mesures de nettoyage et des analyses ont été effectuées. Une surveillance active a été opérée.
Un plan d'action a été élaboré pour une coupure coordonnée sans alerter l'attaquant. Des sauvegardes ont été effectuées. Comme les tentatives d'attaque se sont intensifiées mercredi, le service a décidé de passer à l'action.
Les pirates, qui étaient en phase de reconnaissance, n'ont pas été alertés par les manoeuvres et n'ont donc pas pu déposer un logiciel de demande de rançon, a expliqué Hugo Sobrino. Depuis mercredi soir, il n'y a pas eu de nouvelles attaques. « La situation est en train de revenir à la normale ».
Le responsable de la sécurité n'a pas voulu s'exprimer sur la provenance des pirates. « On limite l'accès à nos serveurs à certains pays, mais cela peut quand même être contourné », a-t-il ajouté. Apparemment il n'y a pas eu de fuite de données.
Interrogée sur la multiplication des cyberattaques dans le canton depuis le début de l'année (Université, Haute Ecole Arc, cabinets médicaux et RPN déjà en mars), Crystel Graf a expliqué que quand des pirates découvrent des failles, ils essaient d'autres cibles potentielles dans la même zone. Ils réutilisent aussi parfois des données (mails par exemple), obtenues lors d'une précédente attaque en usurpant l'identité.
Le canton est en train de mettre en place de nouvelles procédures, avec la double authentification notamment, pour augmenter la sécurité. Il est en train d'établir une politique de données pour maîtriser leur typologie, leur niveau de confidentialité et leurs flux, a déclaré Martine Margairaz, déléguée à la numérisation. La sensibilisation auprès des utilisateurs va être aussi renforcée.
/ATS
sécurité information