Dans l’actualité cette semaine, nous continuons de parler de OpenSSL et de sa célèbre vulnérabilité, Heartbleed, Apple résout un problème de chiffrement aussi bien sur iOS, son système d’exploitation mobile, que sur OSX, son système d’exploitation standard; AOL et ses clients souffrent d’un sérieux incident de sécurité et l’université Iowa State est piraté par des hackers cherchant à utiliser les ressources informatiques de l’université pour miner des Bitcoins.
La saga continue
Les débats sur l’étendue et la gravité du bug de OpenSSL, Heartbleed, ont continué. La plupart d’entre eux concernait les perspectives à long terme pour le système de certificats numériques qui est à la base de la fiabilité d’Internet ainsi qu’à l’origine de l’efficacité et des défauts du chiffrement.
Néanmoins, cette semaine fut quelque peu différente car pour la première fois, les entreprises ont commencé à chercher des manières d’éviter ces bugs de revenir.
Un nouveau groupe, la Core Infrastructure Initiative, est en train de rassembler des ressources afin de créer un fond de plusieurs millions de dollars pour supporter les projets à source ouverte vitaux pour la sécurité du Web. OpenSSL est le premier projet a être concerné par cette donation de fonds qui sont principalement fournis par la Linux Foundation, Microsoft, Facebook, Amazon, Dell, Google et bien d’autres géants des technologies. La Mozilla Corporation est également en train de réagir avec un nouveau programme spécial contre les bugs offrant 10 000 dollars à n’importe quel chercheur qui détectera une sérieuse vulnérabilité dans la nouvelle librairie de vérification de certificats qu’ils ont l’intention d’ajouter à la version 31 de leur navigateur Firefox cet été.
Apple répare son système de chiffrement SSL dans iOS et OSX
Toujours sur le même thème, Apple a corrigé une sérieuse faille qui était présente dans de nombreuses versions de iOS et OSX. La vulnérabilité pourrait donner à un pirate la capacité d’intercepter les données transférées sur des connexions SSL chiffrées. En d’autres termes, le bug pourrait permettre à un pirate de lire les contenus de nos messages – qu’il s’agisse de communications ou d’autres données sensibles.
Le bug fait partie des nombreux bugs que la société, originaire de Cupertino en Californie, a corrigé mardi dernier, sur ses deux principaux systèmes d’exploitation. Bien que moins graves, les failles de chiffrement ne sont qu’une conséquence parmi d’autres. Si vous travaillez (ou jouez) avec un produit Mac, rendez-vous dans l’App Store et installez les mises à jour de système d’exploitation aussi vite que possible.
Normalement discret, AOL fait des vagues
Je ne suis pas certain de la part de marché qu’occupe le service de messagerie de nos jours (et croyez-moi, j’ai cherché), mais un nombre inconnu d’utilisateurs de AOL Mail se sont fait usurper leur compte cette semaine. Une fois infiltrés, les pirates ou le botnet responsable commençaient à inonder de courriers indésirables les contacts des comptes compromis. AOL a confirmé qu’ils étaient conscients du piratage (bien qu’ils n’utilisent pas le terme « piratage ») mais le nombre d’utilisateurs affectés et le nombre de courriers indésirables envoyés restent inconnus. Curieusement, AOL affirme qu’il y a peu de chances que les comptes e-mails aient été compromis, déclarant ensuite qu’ils avaient certainement été usurpés.
Curieusement, AOL affirme qu’il y a peu de chances que les comptes e-mails aient été compromis, déclarant ensuite qu’ils avaient certainement été usurpés.
Comme AOL le souligne, le « spoofing » (ou « usurpation » en français) consiste à envoyer des courrier indésirables paraissant provenir du compte d’une victime mais qui viennent en fait du compte des pirates et qui sont envoyés via les serveurs de ces derniers. En d’autres termes, AOL déclare qu’aucun compte n’a été piraté mais que les pirates ont juste copié les comptes de leurs victimes. Cette explication n’explique en aucun cas comment les pirates ont obtenu la liste de contacts de leurs victimes, ce qui signifie que nous pourrions bien en découvrir davantage dans les semaines à venir.
Un cheval de Troie qui envoie des SMS aux États-Unis
Les chevaux de Troie qui envoie des SMS à des numéros surtaxés ne sont pas nouveaux. L’arnaque fonctionne ainsi : les pirates encouragent leurs victimes à télécharger un cheval de Troie sur leurs appareils mobiles. Ce cheval de Troie acquiert l’habilité d’envoyer des SMS avec l’appareil infecté. Le cheval de Troie envoie des SMS à un numéro surtaxé, qui est soit contrôlé par le pirate soit contrôlé par quelqu’un qui paie le pirate. Le coût de ces messages est ensuite facturé aux propriétaires des appareils infectés.
Comme je l’ai dit, ce système existe depuis longtemps. Mais curieusement, pour une raison inconnue, ce type de cheval de Troie n’avait jamais vraiment envahi les États-Unis. Cela a changé plus tôt cette semaine quand nos amis de Securelist ont détecté un cheval de Troie Android le faisant.
En plus d’être le premier cheval de Troie de ce type aux États-Unis, le cheval de Troie Android connu sous le nom de Fakeinst cible également les utilisateurs Android dans 65 autres pays. Fakeinst est d’ailleurs connu pour avoir ciblé des utilisateurs en Allemagne, en France, en Finlande, à Hong Kong, en Ukraine, au Royaume-Uni, en Suisse, en Argentine, en Espagne, en Pologne, au Canada, en Chine et dans bien d’autres pays.
L’université Iowa State piratée pour… des Bitcoins ?
C’est bien vrai. La célèbre université américaine a été piratée et sa puissance de calcul a été utilisée pour générer des Bitcoins. Bitcoin est une monnaie électronique qui, depuis un an, connait des hauts et des bas. Si vous disposez d’une puissance de calcul suffisante, vous pouvez utiliser cette puissance pour résoudre des problèmes algorithmiques et créer de nouveaux Bitcoins. Ce procédé est connu sous le nom de minage de Bitcoins et il peut rapporter beaucoup d’argent. Comme dans tous les cybercrimes, les criminels suivent l’argent. Le minage de Bitcoins malveillant n’a rien de nouveau mais cet incident est une première car il implique l’utilisation de la puissance de calcul d’une célèbre institution universitaire. Et ce n’est pas tout, il semblerait que l’attaque aurait également exposé les numéros de Sécurité Sociale de près de 30 000 anciens élèves de l’université Iowa State.