Découvrez l’actualité Sécurité de la semaine avec la newsletter Adacis:
Au menu:
La vulnérabilité LogJAM
- Publication de la faille Logjam utilisée par la NSA pour casser les flux protégés par l’algorithme Diffie-Hellman avec des paramètres < 1024 bits
Logjam affecte les serveurs TLS/SSL incorrectement configurés. Les sites qui utilisent des paramètres Diffie Hellman d’au moins 1024 bits ne sont pas concernés mais l’utilisation de paramètres 2048 bits correspond à l’état de l’art.
L’objectif pour l’attaquant en utilisant cette faille est de downgrader à 512 bits la sécurité de certaines connexions et ainsi permettre son cassage en quelques minutes (en tout cas par un attaquant de type Etat)
La vulnérabilité ressemble à FREAK publiée il y a quelques mois.
- Attention également aux risques de blocage induits par les fix de la vulnérabilité Logjam
L’actualité marquante
- Modernisation du site exploit-db (offensive security)
« Over the past 6 years, we have been maintaining and updating the Exploit Database on a daily basis, which now boasts over 35,000 exploits … with the introduction of the new and improved Exploit Database website. »
« FBI Investigating Chris Roberts For Hacking Flight WiFi, Taking Control Of Engines …. »
« mSpy, the makers of a dubious software-as-a-service product that claims to help more than two million people spy on the mobile devices of their kids and partners, appears to have been massively hacked. »
Les conséquences sont particulièrement ennuyeuses pour les utilisateurs car l est ainsi possible de savoir (entre autres) quelles sont leurs préférences sexuelles, si ils sont engagés dans des relations extra-conjugales etc.
« US proposals for export controls for zero-day vulnerabilities and malware have finally been pushed forward, re-opening the fault lines of a long-running argument among security experts in the process. The proposals (pdf) from the US Department of Commerce would introduce the Wassenaar Arrangement (WA) – an international agreement forged in December 2013 – into US law. »
« Google analyzed hundreds of millions of password security questions and answers, revealing how startlingly easy it is for would-be hackers to get into someone else’s account. … »
« La Cour de cassation a finalement rejeté le pourvoi en cassation d’Olivier Laurelli aka BLuetouff. Remontant de plusieurs niveaux, il était alors tombé sur une page d’accueil, protégée par contrôle d’accès (login, mot de passe). Pour les juges, aucun doute : par cet aveu, l’inculpé « avait conscience de son maintien irrégulier dans le système de traitement automatisé de données visité. Au final, Bluetouff est condamné à 3 000 euros d’amende … »
« Necurs is a type of malware that opens a back door on the infected computer. It may also disable antivirus products as well as download additional malware … »
« 14 de ces failles ont été trouvées par des spécialistes extérieurs à Google En tout, Google aura dépensé 38 337 dollars pour récompenser ces spécialistes … »
Les autres nouvelles de la semaine
Les derniers outils
« The LaZagne project is an open source application used to retrieve lots of passwords stored on a local computer. Each software stores its passwords using different techniques (plaintext, APIs, custom algorithms, databases, etc.). This tool has been developed for the purpose of finding these passwords for the most commonly-used software. At this moment, it supports 22 Programs on Microsoft Windows and 12 on a Linux/Unix-Like OS. »
