Version imprimable du sujet

Écrit par : Lionel 6 Jun 2018, 23:00

Le 26 mai dernier, nous vous apprenions que Cisco avait découvert un botnet installé sur un demi million de routeurs de marques variées et exploité activement.
Son étude poussée a permis de s'apercevoir qu'il est en fait encore plus dangereux qu'on pouvait le penser au départ.
En effet, son code a dévoilé qu'il a des capacités d'attaques appelées "Man in the Middle". Ces attaques lui permettent de récupérer en clair du trafic que l'on pense chiffré et de récupérer à cette occasion identifiants et mots de passe ainsi que d'autres données sensibles, qui seront acheminées vers ceux qui contrôlent ce réseau. Pour cela, le routeur va tenter de bloquer les connexions chiffrées et ainsi obliger les utilisateurs à se connecter sans chiffrement.

Si les détails vous intéressent, Cisco a publié sa nouvelle étude à ce sujet.

http://macbidouille.com/news/2018/06/07/le-botnet-qui-est-installe-sur-500-000-routeurs-est-pire-quon-le-pensait

Écrit par : Fafnir 7 Jun 2018, 05:36

Comme dans l'émission "la camera cachée (humour)".

Écrit par : iSpeed 7 Jun 2018, 06:15

C'est pas grave c'est pas Apple... Tu boudes iapx ?

Écrit par : PierreH 7 Jun 2018, 06:37

Le monde qui se dessine - et qui est déjà bien dessiné - commence à sacrément puer...

Écrit par : Licorne31 7 Jun 2018, 06:56

Deux questions :

1. Comment savoir si on est infecté?
2. Si c'est le cas, comment ça se nettoie?

Question subsidiaire... le tout en utilisant un G4 sous Tiger, ou un MHack sous Snow en solution de repli...

Si quelqu'un sait, merci d'avance!

Écrit par : gesti 7 Jun 2018, 07:04

Pour etre precis, il ne permet pas de "recuperer en clair des donnees que l'on pense chiffrees".

Quand un site dispose d'une version https et d'une version http, il va essayer de rediriger votre navigateur vers la version http non chiffree, meme si vous avez explicitement tape l'adresse https. Mais ce n'est pas transparent, et il suffit d'observer la barre d'adresse de votre navigateur pour verifier que vous etes bien sur la version chiffree ou pas.

Écrit par : dan31 7 Jun 2018, 07:15

Cela va fonctionner pour ceux qui ont un minimum de culture informatique, mais lorsque l'on voit que la plupart des gens ne savent pas ce qu'est une barre d'adresse, je reste songeur.

Écrit par : Highmac 7 Jun 2018, 07:46

Un monde PARFAIT !

Écrit par : WipeOut 7 Jun 2018, 07:58

La grande question est qui la crée ce botnet et à qui ça profite.
Moi je dirais au hasard... NSA... FBI... CIA... Pentagone, bref les USA

Écrit par : ronparchita 7 Jun 2018, 08:30

Bonjour,
En me connectant à plusieurs sites, et devant entrer un ID et un mdp, avoir à ce moment là un message qui dit attention, votre connection n'est pas sécurisée, et le mdp peut être intercepté.


Est-ce que ça a un rapport ?



Le routeur, ça peut être une box ?

Le chiffre de 500 000 routeurs, c'est à la louche ? C'est mesuré, établi ? Ca vient d’où ? Faut-il le croire ?

Edité :
Cisco Talos Intelligence Group est l'une des plus grandes équipes de renseignement sur les menaces commerciales au monde, composée de chercheurs, d'analystes et d'ingénieurs de classe mondiale. Ces équipes sont soutenues par une télémétrie inégalée et des systèmes sophistiqués pour créer des renseignements précis, rapides et exploitables sur les menaces pour les clients, les produits et les services de Cisco. Talos défend les clients Cisco contre les menaces connues et émergentes, découvre de nouvelles vulnérabilités dans les logiciels communs et interdit les menaces dans la nature avant qu'elles ne puissent nuire davantage à Internet. Talos maintient les jeux de règles officiels de Snort.org, ClamAV et SpamCop, en plus de publier de nombreux outils de recherche et d'analyse open-source.
Question : Cisco vend de la sécurité ?

Écrit par : linus 7 Jun 2018, 09:09

Cette brève est une sacrée pierre dans le jardin des petits malins qui, notamment sur ce forum, n'ont pas de mots assez durs contre ceux qui se sont fait pirater et qui se voient traiter de nuls, d'incompétents et d'incapables. Car, bien entendu, à eux, les malins, cela ne pourrait jamais arriver.
J'ai déjà dit ici que lors d'un exposé par un chercheur en cryptologie (est ce le bon terme ?), il nous avait expliqué que https protège très peu, que les chiffrements actuels sont plus facilement crackables qu'il n'y paraît, que la preuve mathématique de l'inviolabilité d'un chiffrement est faite sur la base d'un contexte (par exemple échange en A et B ) et qu'il suffit de se placer hors de ce contexte (C entre A et B = man in the Middle) pour que la sécurité tombe à zéro. Évidemment "man in the Middle" est juste le cas le plus simple mais il se trouve que les chiffrements actuels ne sont même pas immunisés contre cette attaque la plus triviale.
Bref, bref, bref, il avait expliqué que, conscient du problème (c'était il y a 5 ans au moins) l'ensemble des labos spécialisés dans ce domaine (peu nombreux) avait lancé une compétition pour l'algorithme le plus incrakable possible. De mémoire, il y avait eu une quinzaine de participants dans le monde. Un mois après la présentation des nouveaux algorithmes, 9 sur 10 avaient été crackés.... par les collègues concurrents ! J'ignore où on en est maintenant.
Bref, sans même parler d'informatique quantique, il était très pessimiste quand à la sécurisation de l'informatique.

Écrit par : maximuspascus 7 Jun 2018, 09:44

De mon point de vue d'informaticien de base, et en aucun cas compétent en sécurité informatique, on est dans la même situation que la protection physique d'un logement.
C'est uniquement une question de temps pour casser une protection, que ce soit un nouvel algo, pour le défi ou la science, ou une protection bien ancrée dans les usages (AES, https).

Pour un logement c'est pareil, la clé, la porte elle même, la cornière anti pied de biche, ne sont que des retardateurs et considérés comme tels par...Les assureurs !
Finalement, la voie serait elle plutôt de chercher à assurer ce type de problème plutôt que d'essayer de l'empêcher ?

Écrit par : FlyingNono 7 Jun 2018, 10:35

Salut,
Le but est de retarder pour laisser le temps de s’apercevoir d'une intrusion "visible" et/ou compliquer suffisamment pour que le choix de se porte sur le voisin moins protégé.
C'est une nuance importante, elle est valable dans tous les domaines
a+

Écrit par : white.spirit 7 Jun 2018, 10:50

Ça me fait penser à un sketch de Coluche sur la sécurité aérienne: "on ne peut même plus faire passer un couteau suisse ou une pince à ongles [...] on va nous faire croire que ce sont les passagers qui montent les bombes ? Mais non, les bombes montent à l'escale, avec des passeports diplomatiques, ou dans le personnel, on se démerde… [...] et on apprend aux nouvelles qu'un attentat qui avait fait 80 morts avait tout simplement été préparé par les services secrets italiens!"

Écrit par : Licorne31 7 Jun 2018, 10:53

J'en suis moins sûr que toi... Si c'est le routeur qui fait le boulot, ton navigateur n'y verra que du feu, et toi aussi, puisque la barre d'URL te dira quand même https...

Et même si c'est le cas, ça ne répond pas à la question 2 :

Écrit par : JayTouCon 7 Jun 2018, 11:27

@linus : tout a fait

au risque de surprendre en général c'est plutôt "sain" que certains arrivent à cracker. réfléchissez y

Écrit par : SartMatt 7 Jun 2018, 13:15

Non. Car si le routeur t'envoie des données chiffrées, le certificat ne sera pas signé par une autorité reconnue par le navigateur, et donc le navigateur te fera une alerte de sécurité.

Écrit par : Ze Clubbeur 7 Jun 2018, 21:08

La réponse à ce que tu dis est contenue ci-dessous :



En d'autres termes, l'utilisateur sait TOUJOURS ce qu'il se passe. Mais entre voir ce qu'il se passe et comprendre ce qu'il se passe, c'est autre chose...
On en revient donc encore et toujours au même problème : l'éducation des utilisateurs. Si une personne a l'habitude de se connecter à facebook et que du jour au lendemain, son navigateur lui signale une alerte, comme quoi la connexion à facebook n'est plus sécurisée, si il décide de l'ignorer et qu'il se fait voler ses identifiants, au final, c'est de sa faute. Il en va de même pour sa banque, sa boite mail, le portail de son opérateur internet...

Écrit par : TiSyl 7 Jun 2018, 21:38

Mais si le routeur redirige vers une adresse http: Peut-on le forcer à revenir sur l'adresse https: ?

Écrit par : SartMatt 7 Jun 2018, 21:58

Non, tu pourras pas forcer à revenir en HTTPS. Mais si tu tapes une adresse HTTPS et que le routeur te redirige vers du HTTP, tu as quand même une alerte du navigateur, puisque le certificat négocié lors de la requête HTTPS initiale sera foireux, donc tu sais qu'il y a un truc qui cloche.

À priori, à moins que l'attaquant ait mis la main sur les clés pour forger un certificat valide, une attaque man in the middle ne marchera sans alerte de sécurité que si à la base l'utilisateur ne se rend pas sur le site en HTTPS mais en HTTP. Ce qui est malheureusement souvent le cas (si tu tapes une URL dans ton navigateur, il va par défaut essayer en HTTP, et c'est ensuite le serveur distant qui va éventuellement le rediriger vers le HTTPS... le routeur peut alors sans problème intercepter la redirection et continuer à servir le site en HTTP au navigateur, le routeur lui même utilisant par contre HTTPS pour communiquer avec le serveur).

Mais il y a une parade à ça, le HSTS (HTTP Strict Transport Security). C'est un en-tête supplémentaire que le serveur peut passer au navigateur pour lui dire "à partir de maintenant et pour une durée de x, tu ne viens plus en HTTP, passe systématiquement par HTTPS" (avec généralement x = plusieurs mois).

Dans ce cas, le routeur ne pourra pas te forcer à passer en HTTP, tant que tu as visité au moins une fois le site avant l'infection du navigateur.

Les utilisateurs de Firefox peuvent voir dans le répertoire de leur profil un fichier SiteSecurityServiceState.txt qui contient la liste des sites ou le HSTS est actif.

On peut aussi supposer qu'à terme les navigateurs finiront par tester d'abord le HTTPS avant de basculer en HTTP seulement si le HTTPS n'a pas répondu.

Écrit par : Licorne31 8 Jun 2018, 11:02

Donc, si j'ai souvent des "alertes certificat" quand je visite des sites en https://, ou, si, en visitant un site en https://, j'ai une URL http:// qui s'affiche dans la barre...
Je peux raisonnablement supposer que mon routeur est infecté, exact?

Si c'est le cas, sous Firefox (et TenFourFox ?), il me faut aller consulter le fichier SiteSecurityServiceState.txt...
Si j'y ajoute, à la main, une liste de sites https que je consulte plus ou moins régulièrement (genre banque, fisc, assurance, ...) avec une durée x de 20 ans, ça devrait me permettre d'être protégé quand je vais sur ces sites?

Écrit par : ronparchita 8 Jun 2018, 13:01

Bonjour,
Je suis intéressé aussi par la reponse à la première question parce que j'ai eu récemment des problèmes de certificat non valide alors que les sites visités sont d'entreprises "prestigieuses" (connues, qu'on imagine difficilement ne pas faire ce qu'il faut pour que les certificats soient à jour).

J'ai continué de piocher sur le Web. Apparemment, une box est un routeur.
Merci, si vous le savez de confirmer ou d'infirmer.
Une borne Airport aussi ?

Si ce sont des routeurs, est-ce que ça veut dire, de manière pratique, que même si je n'ai pas stocké sur un fichier ad'hoc les infos relatives à ma carte de crédit, dès que j'effectue un paiement, donc que je vais compléter les champs de la fenêtre d'AMAZON, par exemple, les infos de ma carte sont susceptibles d'être "lues" par un prédateur ?

D'avance merci.

Autre merci pour dire à ceux qui ne savent pas si cette information est fiable ou pas, qu'est-ce ce qui fait pencher la balance d'un coté ou de l'autre pour les spécialistes. Car il apparait en clair que l'entreprise vend de la sécurité.

Écrit par : SartMatt 8 Jun 2018, 13:18

C'est pas nécessairement le routeur qui est infecté, ça peut aussi être au niveau de ton ordinateur. Mais oui, si tu as souvent des alertes de sécurité, il y a très probablement un problème quelque part.

Ça ne te protégera pas forcément, mais ça devrait te garantir que tu auras une alerte de sécurité. Après, je ne sais pas si la durée de 20 ans sera conservée, Firefox la mettra probablement à jour à chaque visite en fonction de la durée donnée par le serveur.

À priori, ça devrait marcher avec TenFourFox également, il est basé sur des versions de Firefox qui supportent l'HSTS.

Oui et oui. À partir du moment où un appareil te permet d'en connecter plusieurs autres à Internet au travers d'une connexion unique, c'est un routeur.

Oui, si le routeur est infecté il y a un risque qu'il puisse intercepter le numéro de carte envoyé à Amazon. Le risque est cependant faible si ton navigateur t'indique que la connexion à Amazon est sécurisée. Très élevé s'il ne te l'indique pas.

Aucun risque par contre si tu fais une commande en utilisant une CB enregistrée dans le compte Amazon, le numéro de la carte n'étant pas transmis dans ce cas.

Écrit par : Benzebut 8 Jun 2018, 13:25

Oui et non. Une box est d'abord un modem, soit un modulateur-démodulateur (MO-DEM est le nom) pour aller surfer sur un réseau. Un routeur est simplement un dispositif qui distribue des adresses. Les box par défaut n'ont pas la partie routeur active, mais si vous connectez plusieurs appareils dessus pour avoir un accès à Internet et que chacun de ces appareils à une adresse IP, alors le mode routeur est actif. D'où l’appellation modem-routeur.
Une borne Airport est un modem-routeur s'il est configuré ainsi, sinon que modem, voire que point d'accès wifi.


Pour l'instant ce sont certains routeurs qui sont contaminés et pas tous. Ensuite, oui toute interface interceptant du flux peut interpréter vos données. Donc si votre routeur est infecté, vos infos de votre carte peuvent être lues et bien sur, utilisées. Dans quelques temps, les caractéristiques de ces routeurs seront connues et une mise à jour sera proposée. Ou un testeur pour savoir l'état de santé. Ou rien du tout si les entreprises estiment que cela n'en vaut pas la peine...