learn.hack.repeat

La Cour européenne dit non à la création d’une porte dérobée pour accéder aux messageries chiffrées

La Cour européenne des droits de l’homme (CEDH) a statué que les lois exigeant un chiffrement affaibli et une conservation extensive des données constituent une violation du droit au respect de la vie privée en vertu de la Convention européenne des droits de l’homme. Cette décision pourrait faire dérailler la législation européenne sur la surveillance des données, connue sous le nom de Chat Control.

Source: Wikipedia

La législation contestée prévoyant la conservation de toutes les communications Internet de tous les utilisateurs, l’accès direct des services de sécurité aux données stockées sans garanties adéquates contre les abus et l’obligation de décrypter les communications cryptées, telle qu’elle s’applique aux communications chiffrées de bout en bout, ne peut être considérée comme nécessaire dans une société démocratique.

décision de La cour rendue mardi

Les gouvernements peuvent légiférer pour que les sociétés de télécommunications et de messagerie conservent temporairement les communications électroniques des citoyens, mais l’accès au contenu de ces communications « à grande échelle et sans garanties suffisantes porte atteinte à l’essence même du droit au respect de la vie privée consacré par l’article 8 de la Convention européenne des droits de l’homme ».

La législation contestée mentionnée ci-dessus concerne un recours en justice qui a débuté en 2017 après que le Service fédéral de sécurité (FSB) de Russie a exigé que le service de messagerie Telegram fournisse des informations techniques pour aider au déchiffrement des communications d’un utilisateur. Le plaignant, Anton Valeryevich Podchasov, a contesté l’ordonnance en Russie, mais sa demande a été rejetée.

En 2019, M. Podchasov a porté l’affaire devant la Cour européenne des droits de l’homme. La Russie a adhéré au Conseil de l’Europe, une organisation internationale de défense des droits de l’homme, en 1996 et en est restée membre jusqu’à son retrait en mars 2022 à la suite de son invasion illégale de l’Ukraine. L’affaire de 2019 étant antérieure au retrait de la Russie, la Cour européenne des droits de l’homme a poursuivi l’examen de la question.

La Cour a conclu que la loi russe imposant à Telegram de « décrypter les communications chiffrées de bout en bout risque de constituer une obligation pour les fournisseurs de tels services d’affaiblir le mécanisme de chiffrement pour tous les utilisateurs ». En tant que telle, la Cour considère qu’une telle exigence est disproportionnée par rapport à la réalisation d’objectifs légitimes de maintien de l’ordre.

Bien qu’il soit peu probable que la décision de la Cour européenne des droits de l’homme affecte la Russie, elle est pertinente pour les pays européens qui envisagent d’adopter des lois similaires sur le déchiffrement, telles que Chat Control et la loi sur la sécurité en ligne du gouvernement britannique.

Patrick Breyer, membre du Parlement européen pour le Parti Pirate, a salué la décision qui démontre que le Chat Control est incompatible avec le droit européen.

Avec cette décision historique, la surveillance par balayage côté client de tous les smartphones proposée par la Commission européenne dans son projet de loi sur le contrôle du chat est clairement illégale.

a déclaré M. Breyer.

Elle détruirait la protection de toutes les personnes au lieu d’enquêter sur les suspects. Les gouvernements de l’UE n’auront pas d’autre choix que de retirer la destruction du cryptage sécurisé de leur position dans cette proposition, ainsi que la surveillance indiscriminée des communications privées de l’ensemble de la population.

Chat Control est un raccourci pour la législation européenne sur la surveillance des données qui exigerait que les fournisseurs de services Internet analysent les communications numériques à la recherche de contenu illégal, en particulier de matériel pédopornographique et d’informations potentiellement liées au terrorisme. Pour ce faire, il faudrait nécessairement affaiblir le chiffrement qui préserve la confidentialité des communications. Malgré la condamnation générale des universitaires, des organisations de défense de la vie privée et des groupes de la société civile, des efforts ont été déployés depuis plusieurs années et se poursuivent encore aujourd’hui pour élaborer des règles réalistes.

Plus d0information:
https://www.theregister.com/2024/02/15/echr_backdoor_encryption/
https://www.echr.coe.int/documents/d/echr/Convention_SPA
https://fr.eureporter.co/world/human-rights-category/european-court-of-human-rights-echr/2024/02/14/european-court-of-human-rights-bans-weakening-of-secure-end-to-endencryption-the-end-of-eus-chat-control-csar-mass-surveillance-plans/

LockBit : le plus grand groupe de ransomwares démantelé lors d’une opération multinationale

Dans le cadre d’une opération internationale conjointe, les forces de l’ordre ont saisi plusieurs domaines du darknet exploités par le groupe de ransomware LockBit, connu pour être l’un des plus prolifiques. L’opération, baptisée « Opération Cronos », a impliqué les autorités de 11 pays et a été menée en exploitant une vulnérabilité critique de PHP.

Le site web lié au groupe de ransomware LockBit est sous le contrôle des forces de l’ordre de 11 pays dans le cadre d’une opération internationale qui a permis de démanteler une partie de son infrastructure. La National Crime Agency (NCA) du Royaume-Uni a dirigé l’opération « Cronos » avec l’aide d’Europol et d’Eurojust. Bien que l’ampleur de l’opération soit inconnue, la visite du site .onion du groupe affiche une bannière de saisie avec le message suivant : « Le site est maintenant sous le contrôle des forces de l’ordre ».

Les autorités de 11 pays (Allemagne, Australie, Canada, États-Unis, Finlande, France, Japon, Pays-Bas, Royaume-Uni, Suède et Suisse, ainsi qu’Europol) ont participé à l’exercice conjoint.

Dans un message posté sur X (Twitter), le groupe de recherche sur les logiciels malveillants VX-Underground a déclaré que les sites ont été mis hors service par l’exploitation d’une vulnérabilité de sécurité critique affectant PHP (CVE-2023-3824, CVSS score : 9.8) qui pourrait entraîner l’exécution de code à distance.

Lockbit : groupe de ransomware

LockBit, apparu le 3 septembre 2019, a été l’un des groupes de de ransomwares les plus actifs et les plus notoires de l’histoire, faisant plus de 2000 victimes. On estime qu’il a extorqué au moins 91 millions de dollars à des organisations américaines uniquement. Selon les données communiquées par la société de cybersécurité ReliaQuest, LockBit a répertorié 275 victimes sur son portail de violation de données au cours du quatrième trimestre 2023, dépassant de loin tous ses concurrents. Il n’y a pas encore eu d’arrestations ou de sanctions. Toutefois, ce développement porte un coup définitif aux opérations à court terme de LockBit et intervient deux mois après que le gouvernement américain a démantelé l’opération de ransomware BlackCat.

Grâce à notre étroite collaboration, nous avons piraté les pirates, pris le contrôle de leur infrastructure, saisi leur code source et obtenu les clés qui aideront les victimes à décrypter leurs systèmes.

Graeme Biggar, directeur général de la NCA

À partir d’aujourd’hui, LockBit est bloqué. Nous avons porté atteinte aux capacités et, surtout, à la crédibilité d’un groupe qui s’appuyait sur le secret et l’anonymat. LockBit peut essayer de reconstruire son entreprise criminelle. Cependant, nous savons qui ils sont et comment ils opèrent.

Graeme Biggar, directeur général de la NCA

Ils ont laissé une note sur le panneau d’affiliation, indiquant qu’ils avaient « le code source, des détails sur les victimes que vous avez ciblées, la somme d’argent extorquée, les données volées, les chats et bien plus encore », ajoutant que cela avait été rendu possible grâce à « l’infrastructure défectueuse » de LockBit.

La NCA s’est engagée à contacter les victimes britanniques afin qu’elles puissent utiliser les clés pour lesquelles elles devraient être ajoutées à la page No More Ransom surveillée par Europol. Les victimes d’attaques pourront utiliser cette ressource pour découvrir les dernières clés de décryptage de LockBit. Les victimes de ce logiciel malveillant sont invitées à contacter le FBI à l’adresse https://lockbitvictims.ic3.gov/ afin de permettre aux autorités de déterminer si les systèmes affectés peuvent être décryptés avec succès.

Plus d’information:
https://www.nationalcrimeagency.gov.uk/news/nca-leads-international-investigation-targeting-worlds-most-harmful-ransomware-group
https://en.wikipedia.org/wiki/Lockbit
https://twitter.com/vxunderground/status/1759732862335504773
https://nvd.nist.gov/vuln/detail/CVE-2023-3824

Et s’il s’agissait de la pire attaque DNS jamais découverte?

KeyTrap est probablement peut-être la pire attaque DNS jamais découverte. Il s’agit d’un déni de service sur les serveurs DNSSEC (aujourd’hui utilisés dans 31 % des résolutions), précisément parce qu’ils traitent des clés chiffrées. Si un ou plusieurs domaines concernés étaient attaqués, des parties entières de l’internet disparaîtraient ou auraient des problèmes de connectivité.

Sources: Wikipedia

Découverte par des universités allemandes et le Centre national allemand de recherche en cybersécurité appliquée, le rapport The KeyTrap Denial-of-Service Algorithmic Complexity Attacks on DNS (attaques de complexité algorithmique par déni de service sur le DNS) qui vient d’être publié, décrit comment un serveur DNSSEC vulnérable se verrait demander comment résoudre un domaine malveillant, qui à son tour renverrait à un serveur malveillant, lequel renverrait une réponse qui l’amènerait à effectuer des calculs si complexes qu’ils épuiseraient les ressources du serveur.

Selon la spécification DNSSEC elle-même, la réponse RRSet spécialement manipulée devrait contenir tout le matériel chiffré nécessaire pour valider avec succès l’intégrité de la résolution.

La création des correctifs a été coordonnée entre les principaux fournisseurs et BIND, le logiciel libre par excellence. Ils sont maintenant disponibles pour tous. Cela atténue le problème de la validation du matériel, mais pas le défaut de conception.

Ce défaut a été introduit en 1999 dans le RFC 2535, aujourd’hui obsolète, et reproduit dans les RFC 6781 et RFC 6840. Il est implémenté dans BIND depuis 2000.

Exploitation de la vulnérabilité

Voyons les différentes étapes qui formeraient l’exploitation de la vulnérabilité KeyTrap, de l’identification au déni de service:

  1. Identification de serveurs DNSSEC vulnérables : Les attaquants identifient les serveurs DNSSEC vulnérables qui sont susceptibles d’être exploités. Cela peut être réalisé en effectuant des scans de réseau ou en utilisant des outils de reconnaissance pour repérer les serveurs qui utilisent DNSSEC.
  2. Sélection d’un domaine malveillant : Les attaquants sélectionnent un domaine malveillant qu’ils contrôlent. Ce domaine sera utilisé pour déclencher l’attaque et rediriger le trafic vers des serveurs malveillants contrôlés par les attaquants.
  3. Manipulation des réponses DNS : Les attaquants manipulent les réponses DNS en modifiant les enregistrements RRSet (Resource Record Set) pour inclure des clés de chiffrement spécialement conçues. Ces clés manipulées sont ensuite retournées dans la réponse DNS aux requêtes légitimes des utilisateurs.
  4. Déclenchement de l’attaque : Lorsque les utilisateurs légitimes effectuent des requêtes DNS vers les serveurs vulnérables, les réponses manipulées sont renvoyées par les serveurs vulnérables. Cela déclenche l’attaque, car le traitement de ces réponses manipulées exige des calculs complexes qui épuisent les ressources du serveur.
  5. Épuisement des ressources du serveur : Les serveurs DNSSEC vulnérables sont submergés par des requêtes contenant des réponses manipulées, nécessitant des calculs complexes pour valider l’intégrité de la résolution DNS. Cela entraîne une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle du service DNS.
  6. Impact sur la connectivité Internet : En raison de l’épuisement des ressources des serveurs DNSSEC vulnérables, des parties entières de l’internet peuvent subir des perturbations majeures voire une indisponibilité partielle de l’accès à Internet. Cela peut entraîner des problèmes de connectivité pour les utilisateurs légitimes et causer des perturbations dans les services en ligne.

En résumé, les attaquants exploitent la vulnérabilité KeyTrap en manipulant les réponses DNS pour inclure des clés de chiffrement spécialement conçues. Lorsque ces réponses manipulées sont traitées par des serveurs DNSSEC vulnérables, elles entraînent une surcharge des ressources du serveur, provoquant des dysfonctionnements majeurs voire une indisponibilité partielle des services DNS.

Plus d’information:
https://www.athene-center.de/fileadmin/content/PDF/Technical_Report_KeyTrap.pdf
https://datatracker.ietf.org/doc/rfc2535/
https://www.presseportal.de/pm/173495/5713546
https://stats.labs.apnic.net/dnssec/XA?hc=XA&hx=0&hv=1&hp=0&hr=0&w=30&r=1

N’oubliez pas votre brosse à dents!

Selon un rapport du portail d’information suisse Aargauer Zeitung, une entreprise suisse a subi une attaque par déni de service distribué (DDoS), qui a rendu ses serveurs inopérants pendant plusieurs heures. Cette situation n’est malheureusement pas rare. Ce qui est frappant, c’est que l’attaque a été menée à l’aide de trois millions de brosses à dents « intelligentes » connectées au réseau.

Source: pexels

La connectivité atteint n’importe quel appareil, qu’il soit nécessaire ou non. Pour les fabricants, il s’agit d’une méthode de collecte de données télémétriques. Pour les attaquants, c’est l’occasion de récolter de la bande passante pour des attaques par déni de service.

C’est précisément l’excuse selon laquelle une simple brosse à dents n’a pas besoin d’être spécialement protégée dans son logiciel ou sa connectivité qui permet aux attaquants d’exploiter davantage et mieux ses failles.

Mise à jour 08.02.2024

Dans cet article, nous avons discuté des rumeurs sensationnalistes concernant une prétendue attaque DDoS orchestrée par trois millions de brosses à dents électriques connectées. Depuis lors, de nouvelles informations ont émergé, remettant en question la validité de cette histoire sensationnelle.

Initialement rapportée par Aargauer Zeitung et reprise par plusieurs médias technologiques, l’affirmation selon laquelle des brosses à dents électriques auraient été infectées par un logiciel malveillant pour mener une attaque DDoS reste non corroborée. Malgré les spéculations et la viralité de l’histoire, aucune preuve tangible n’a été présentée pour étayer ces allégations.

De plus, l’absence de communication de la part de Fortinet, la société de cybersécurité mentionnée dans l’article initial, ajoute à la suspicion entourant cette affaire. Sans confirmation ni détails supplémentaires de la part d’une source crédible, il est difficile de prendre au sérieux cette prétendue attaque.

Il est également important de rappeler que les brosses à dents électriques, tout comme de nombreux autres appareils IoT (Internet des objets), ne peuvent pas se connecter directement à Internet. Généralement, ces appareils se connectent via Bluetooth à des applications mobiles qui, à leur tour, se connectent aux serveurs en ligne pour télécharger des données. Cette architecture rend très improbable l’infection directe de millions de brosses à dents électriques pour mener une attaque DDoS.

En conclusion, bien que les menaces de sécurité dans le domaine de l’Internet des objets soient une réalité à prendre au sérieux, il est important de distinguer entre les véritables risques et les histoires sensationnalistes. Dans le cas présent, il semble que l’affaire des brosses à dents électriques orchestrant une attaque DDoS relève plus de la spéculation que de la réalité.

Restez informés, soyez sceptiques et recherchez toujours des sources fiables avant de croire et de partager des informations potentiellement trompeuses.

Plus d’information:
https://www.aargauerzeitung.ch/wirtschaft/kriminalitaet-die-zahnbuersten-greifen-an-das-sind-die-aktuellen-cybergefahren-und-so-koennen-sie-sich-schuetzen-ld.2569480
Non, 3 millions de brosses à dents électriques n’ont pas mené une attaque DDoS (tomsguide.fr)
https://www.bleepingcomputer.com/news/security/no-3-million-electric-toothbrushes-were-not-used-in-a-ddos-attack/

AnyDesk confirme une cyberattaque sur les serveurs de production, le code source et les clés volées

AnyDesk, logiciel de bureau à distance bien connu, a récemment reconnu une cyberattaque qui a entraîné un accès non autorisé à ses systèmes de production.

Source: AnyDesk

La faille de sécurité, détectée après une activité suspecte sur des serveurs, a conduit au vol du code source et des clés de signature du code privé. Le logiciel, populaire auprès d’entreprises telles que 7-Eleven, Comcast, Samsung et le MIT, attire également les attaquants pour qu’ils obtiennent un accès permanent aux appareils et aux réseaux compromis.

AnyDesk a réagi à l’incident en réalisant un audit de sécurité et en collaborant avec la société de cybersécurité CrowdStrike. Bien que l’entreprise ait rassuré les utilisateurs en affirmant qu’il n’y avait aucune preuve que les appareils des utilisateurs finaux aient été affectés, elle a confirmé la compromission du code source et des certifications de signature de code. AnyDesk, qui a alerté ses plus de 170 000 clients dans le monde, a pris des mesures rapides, révoquant les certificats liés à la sécurité, remplaçant les systèmes compromis et garantissant l’intégrité de la dernière version du logiciel.

Bien qu’AnyDesk ait affirmé qu’aucun jeton d’authentification n’avait été volé, elle a choisi de révoquer tous les mots de passe des portails web par mesure de précaution. L’entreprise a exhorté les utilisateurs à changer de mot de passe, en insistant sur la conception sécurisée de leurs jetons d’authentification. Le cyberincident a entraîné une panne de quatre jours, à partir du 29 janvier, au cours de laquelle les utilisateurs n’ont pas pu se connecter. AnyDesk a confirmé que la période de maintenance était liée à l’incident de cybersécurité.

En réponse à la violation, il est fortement conseillé aux utilisateurs d’AnyDesk de passer à la dernière version du logiciel, car l’ancien certificat de signature de code sera bientôt révoqué.

À ce jour, nous n’avons aucune preuve que les appareils des utilisateurs finaux ont été affectés. Nous pouvons confirmer que la situation est sous contrôle et qu’AnyDesk peut être utilisé en toute sécurité. Assurez-vous d’utiliser la dernière version, avec le nouveau certificat de signature de code.

AnyDesk

Bien que l’entreprise assure que les mots de passe n’ont pas été compromis, elle conseille aux utilisateurs de changer leurs mots de passe et de revoir les mesures de sécurité, en tenant compte de l’accès non autorisé aux systèmes de production. Cet incident vient s’ajouter à la liste croissante des cyberattaques contre des entreprises de premier plan, ce qui témoigne des défis permanents que pose le maintien de la sécurité numérique.

Cloudflare a déjà révélé qu’elle avait été piratée le jour de Thanksgiving en utilisant des clés d’authentification volées lors de la cyberattaque d’Okta l’année dernière.

Plus d’information:
https://anydesk.com/en/public-statement
https://blog.cloudflare.com/thanksgiving-2023-security-incident
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

Page 1 of 27

Fièrement propulsé par WordPress & Thème par Anders Norén