Habu

Durant tout le mois de juin, aura lieu le traditionnel Forum Dell EMC et cette année, je me rendrai à celui de Lyon, pour à la fois y échanger (en live sur Periscope) avec les personnes présentes, mais aussi pour y animer une petite conf en compagnie de Bernard Montel de RSA, où nous ferons le le lien entre les solutions autour de la surveillance de la sécurité / l’intérêt d’un SOC et la threat intelligence pour tirer le meilleur des connaissances de la vulnérabilité grâce au bug bounty et à une communauté de chercheurs en sécurité.

Mais j'ai regardé aussi le programme de près et j'ai vu qu'il y avait une conférence sur la GDPR. Vous le savez, le sujet m'intéresse et avec Eric A. Caprioli, Avocat à la Cour, Docteur en droit, membre de la délégation française aux Nations Unies et Isabelle Cantero, Avocat associé (Caprioli & Associés), responsable du Pôle Vie privée et données personnelles, nous avons réalisé cet article qui explique tout ce qu'il y a à savoir sur la GDPR. Je vais donc pas revenir spécialement là-dessus, mais pensez bien à entourer en rouge la date du 25 mai 2018 sur votre agenda, car c'est à cette date qu'entrera en vigueur le texte.

Toutes les sociétés qu'elles soient petites ou grandes sont concernées. C'est un texte européen donc ça concerne d'abord les entreprises européennes, mais si votre entreprise fait du business en Europe, vous êtes aussi concernés.

Le deal est simple : Les sociétés doivent collecter, stocker et utiliser les données personnelles de leurs clients de manière sécurisée. En cas de fuite de ces données, si la protection n'était pas assez effective, l'entreprise peut être sanctionnée et je vous le dis tout de suite, les amendes vont être salées.

Alors en tant qu'entreprise, que devez-vous faire pour vous préparer à la GDPR ? Et bien voici une petite checklist qui je l'espère vous aidera a y voir plus clair.

Étape 1 : Informez-vous

Et quand je dis "vous", je ne parle pas uniquement des dirigeants, DSI, RSSI et du service juridique. Non, vous devez informer l'ensemble des employés à ce qu'est la GDPR d'abord pour que chacun prenne conscience du rôle qu'il aura à jouer vis-à-vis des données des clients, mais aussi pour faire remonter les process à risque.

Étape 2 : Faites l'inventaire

Quelles sont les données personnelles que vous stockez, où sont-elles conservées, comment les obtenez-vous, qui y a accès, combien de temps les conservez-vous, sont-elles chiffrées, les partagez-vous avec des tiers ? etc. Posez-vous toutes les questions et plus encore pour obtenir un inventaire précis des données en votre possession, mais aussi de ce que vous en faites.

Étape 3 : Passez en revue vos conditions générales

Passez en revue l'intégralité de vos CGV et textes relatifs à la collecte des données personnelles de vos utilisateurs. Identifiez les faiblesses de ces textes, complétez-les, renforcez-les et faites en sorte que vos utilisateurs soient informés comme il se doit de vos processus de collecte de données personnelles, de la manière la plus réaliste et précise qui est. Cela vous permettra d'isoler certaines faiblesses pour retravailler ensuite sur vos process internes.

Étape 4 : Soyez le garant de la vie privée de vos utilisateurs

Assurez-vous que vous respectez bien les droits relatifs à la vie privée et aux données personnelles de vos utilisateurs et validez bien la présence de processus de suppression de ces données, de modification ou d'export de ces données à la demande de l'utilisateur.

Étape 5 : Ajustez les délais

Passez en revue et mettez à jour vos procédures pour qu'elles soient réalisables dans les nouveaux délais exigés par la GDPR. Une requête en provenance de l'un de vos utilisateurs doit maintenant être traitée en moins d'un mois.

Étape 6 : Mettez-vous au droit

Le but est de comprendre l'ensemble des processus liés aux données personnelles dont vous disposez et d'identifier et documenter pour chacun d'entre eux vos droits (légalement parlant) à les obtenir, les conserver et les exploiter. Une fois encore, c'est la transparence qui est de mise et c'est ce travail de documentation qui vous permettra de détecter d'éventuels abus de votre côté. Abus pouvant être sanctionnés comme je le disais en début d'articles.

Étape 7 : Assurez-vous que le consentement de vos utilisateurs est sans faille

C'est le moment de vérifier la façon dont vos utilisateurs donnent leur consentement lorsque vous leur demandez des données personnelles. Assurez-vous qu'il n'y a pas d'entourloupe ni de tromperie de votre part qui puisse ensuite vous être reprochée.

Étape 8 : Attention aux mineurs

Si vous proposez des services à destination des enfants et que vous collectez des données sur des mineurs, assurez-vous d'obtenir l'autorisation des parents et mettez en place un mécanisme de vérification d'âge.

Étape 9 : Préparez un plan d'action pour gérer les fuites de données personnelles

Mettez en place des procédures pour détecter, reporter et enquêter sur d'éventuelles fuites de données de vos utilisateurs. Et en cas de faille, assumez-la systématiquement et oeuvrez pour résoudre le problème.

Étape 10 : Apprenez à mener une Étude d'impact sur la vie privée

En anglais, ça se dit DPIA et c'est une méthodologie permettant d'évaluer l'impact potentiel qu'un projet ou une initiative sur la vie privée des gens. L'objectif c'est de permettre aux sociétés d'identifier d'éventuels problèmes liés à la vie privée avant qu'ils émergent et de savoir comment les régler. La CNIL a publié un fascicule sur le sujet que je vous invite à lire.

Étape 11 : Nommez un responsable chargé de la protection des données

C'est le genre de nouveaux jobs qui vont de plus en plus se démocratiser. En anglais ça se dit DPO pour Data Protection Officier. C'est cette personne qui est en charge de veiller sur les données personnelles que vous avez en votre possession. Il joue un rôle transversal dans l'entreprise en aidant chacun à faire sa part pour être carré dans la gestion de ces données et il veille à la sécurité de celles-ci.

Étape 12 : Faites-vous accompagner

Que vous soyez une entreprise mono pays ou établi dans plusieurs pays de l'Union européenne, vous pouvez vous rapprocher des organismes en charge localement de faire respecter la GDPR. En France c'est la CNIL qui est en charge de ça. Dites-leur que vous venez de ma part.

J'espère que ces 12 points de départ vous aideront à y voir plus clair. Je me suis largement inspiré de ce document réalisé par la CNIL irlandaise, mais sachez qu'il y a beaucoup de ressources sur la toile concernant la GDPR et je suis certain qu'en cherchant un peu, vous trouverez la réponse à toutes vos questions. En tout cas, je sais que la CNIL a pas mal de ressources à ce sujet donc allez voir ça.

En attendant, je vous souhaite une excellente journée et j'espère qu'on se croisera lors du DELL EMC forum de Lyon.

---

Philips Détecteur de mouvement Hue Motion Sensor

Amazon.fr: Petits prix et livraison gratuite dès 25 euros d'achat sur les produits Philips. Commandez Philips Détecteur de mouvement Hue Motion Sensor.

Cet article merveilleux et sans aucun égal intitulé : Comment se préparer au GDPR ? ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

C’est désormais officiel, Flash n’en a plus que pour quelques années à vivre. Fin 2020, tout développement sera arrêté, en même temps que le support. En partenariat avec les principales entreprises concernées, Adobe enjoint les développeurs à se tourner vers HTML5 et autres technologies associées.

• Lire la suite

La Cour de justice de l’Union européenne a rendu un avis au vitriol sur l’accord entre le Canada et l’Union européenne relatif au transfert et au traitement des données des dossiers passagers (PNR ou passenger name record). Explications des 74 pages de son avis.

• Lire la suite

On en sait un peu plus sur la fuite de données qu'a subi la Suède en 2015 et 2 ans plus tard, on peut clairement dire que celle-ci est à classer dans la catégorie des fuites de données "ultra violentes qui piquent++".

En 2015, l'Agence Suédoise du Transport qui dépend du gouvernement, a uploadé sur le cloud d'IBM l'intégralité de sa base de données qui contient des infos sur tous les véhicules utilisés dans le pays par les particuliers, mais aussi par les militaires, la police et même les personnes placées sous le régime de protection des témoins. Autant dire les données personnelles de millions de personnes.

Et ces andouilles ont ensuite envoyé un email en clair avec la base, non nettoyée de ses données sensibles, aux professionnels du marketing qui s'était inscrit pour la recevoir. (Oui, en France aussi, les données personnelles fournies dans le cadre de l'édition de cartes grises sont vendues à des marketeux. C'est dégueulasse, mais comme on doit être moins de 5 dans le pays à trouver ça abusé, ça passe.)

Cette histoire date d'il y a 2 ans (2015), le leak a été découvert il y a 1 an (2016) et l'enquête n'a commencé qu'en janvier 2017. Le directeur de l'Agence du Transport s'est fait virer et a été condamné à payer une amende de 7300 euros pour "négligence concernant des informations secrètes".

Mais les infos concernant l'ampleur du fail commencent à sortir et on sait donc exactement ce qu'il y a dans ce fichier :

• Le poids max supporté par toutes les routes et tous les ponts du pays (ce qui est une information importante en temps de guerre)
• Les noms, photos et adresses des pilotes de combat de l'Armée de l'Air Suédoise
• Les noms, photos et adresses de tous ceux qui sont enregistrés dans un fichier de police (information normalement classifiée)
• Les noms, photos et adresses des militaires travaillant dans l'Unité d'Élite la plus secrète du pays (l'équivalent du COS - Commandement des Opérations Spéciales regroupant le Régiment Parachutiste d'Infanterie de Marine, les Commandos Marine...etc).
• Les noms, photos et adresses de tous les gens à qui ont a donné de nouvelles identités dans le cadre d'un programme de protection des témoins.
• Le type, modèle, poids et défaillances de tous les véhicules gouvernementaux et militaires.

Ouch !

Bref, gros scandale à l'horizon au pays d'ABBA.

Source

Cet article merveilleux et sans aucun égal intitulé : Quand la Suède balance dans la nature les données personnelles de millions de ses citoyens… ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

C’est presque une version remastérisée.

Les experts sécu de la société Senrio étaient en train d'auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.

Cette faille toute fraiche baptisée Devil's Ivy (CVE-2017-9765) permet à un attaquant d'exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s'ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l'exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d'accéder au flux.

gSOAP a été téléchargé plus d'un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil's Ivy.

Voici une démonstration vidéo de l'exploitation de cette faille sur une caméra Axis M3004 :

Senrio fait les recommandations suivantes pour se protéger :

• Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n'importe où sur la planète.
• Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l'exposition et améliorer la détection d'éventuelles attaques
• Patcher vos appareils dès que les constructeurs sortiront des mises à jour.

Ce dernier conseil m'amuse beaucoup dans on voit ce qui s'est passé avec EternalBlue... Donc j'imagine qu'on entendra à nouveau parler de Devil's Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)

Source

Cet article merveilleux et sans aucun égal intitulé : Devil’s Ivy – Une faille de sécurité dans gSOAP et potentiellement des millions d’objets connectés et de serveurs impactés ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Obsolescence programmée très rapidement.

C'est avec Netflix que nous entamons la ronde des résultats du deuxième trimestre. Le géant de la SVOD se porte relativement bien, avec un chiffre d'affaires toujours en croissance, mais des marges qui se sont nettement réduites par rapport au premier quart de l'année. 

• Lire la suite

Candy Crush Soda, Fallout Shelters, March of Empires, Phototastic Collage, Facebook, Twitter, Royal Revol, Minecraft : de nombreux utilisateurs ont constaté que depuis la mise à jour Creators Update, Windows 10 installait des jeux et des applications automatiquement et sans votre autorisation. Pour empêcher ce comportement indésirable, vous devez modifier le Registre.

La marque à battre !

À la sortie de la Fall Creators Update, Windows 10 sera capable de gérer avec précision la récupération des mises à jour. Microsoft répond à l’une des critiques les plus souvent formulées contre son système, qui avait tendance à aspirer une bonne partie de la bande passante.

• Lire la suite

L’annonce de Windows 10 S a surpris. Les caractéristiques du système, a priori réservé au monde de l’éducation, ont laissé des questions en suspens. Nous nous sommes entretenus avec Microsoft pour en savoir plus et éclaircir les principales zones d’ombre.

• Lire la suite

Retour au refroidissement actif pour les cartes mères ?

Lors de nos bons plans, il arrive que les affaires se trouvent de l'autre côté de la frontière, sur la version allemande du marchand Amazon. Ce dernier livre en France et peut être utilisé avec votre compte Amazon habituel. Mais si vous ne maitrisez pas la langue de Goethe, vous pouvez avoir du mal à vous y retrouver. Vous pouvez certes utiliser les outils de traduction de votre navigateur ou bien utiliser les outils du marchand qui permettent de passer le site en anglais, hollandais, polonais ou turc.

L’Espagne est en passe de revoir son régime de redevance copie privée. Suite à un arrêt de la Cour de justice de l’Union européenne, celle-ci revient sur sa décision qui visait à fiscaliser cette perception. Des barèmes transitoires ont été ébauchés en attendant un décret royal d’ici un an. 

• Lire la suite

Mauvaise passe pour Canal+, qui affirme avoir perdu 500 000 abonnés du fait du piratage, malgré les bonnes performances des intégrations aux offres télécoms. De quoi justifier une révision (tant réclamée) de la chronologie des médias, alors que le groupe est assigné en justice par des sociétés d'auteurs pour des paiements qui tardent à venir.

• Lire la suite

Hier, le développeur Christian Haschek a publié sur son blog un article qui explique comment il a dépoussiéré le concept de "zip bomb" pour en faire une méthode de défense contre les scanners de vulnérabilités.

Mais avant d'aller plus loin, qu'est-ce qu'une "zip bomb" ? Et bien cela consiste à créer un fichier zip contenant de la donnée ultra répétitive qui ne pèsera que quelques kb dans sa version compressée, mais qui générera un fichier de plusieurs petabytes si vous tentez de le décompresser. L'idée est bien évidemment de faire crasher la machine ou le soft en saturant le disque dur ou la RAM.

Vous pouvez trouver une bombe zip en téléchargement ici, si vous voulez faire sauter votre disque dur. Le concept de la zip bomb est assez ancien et Christian l'a adapté pour défendre son site et faire chier les scripts kiddies.

Les navigateurs ne sachant pas décompresser du zip, il a donc fabriqué une gzip bomb...

...qu'il envoie ensuite via une page PHP lorsqu'il détecte le user-agent d'un scanner de vuln (voir son article pour consulter le code associé).

C'est basic, mais efficace car ça fait planter des navigateurs comme Chrome, IE ou encore Edge et détraque certains scanners de vuln comme SQLmap ou Nikto.

Maintenant si vous voulez tester par vous même, vous pouvez cliquer ici à vos risques et périls : https://blog.haschek.at/tools/bomb.php

Source

Hack du scanner Iris du S8

Après les Galaxy Note 7 qui prend feu, le spot de pub qui nous explique que maintenant, ça y est, ils ont compris et ils font les meilleurs tests qualité possibles sur leur matos, voici que la sécurité de déverrouillage par l'iris présente dans le Galaxy S8 et le Galaxy S8 Plus est mise à mal.

En effet, les hackers du CCC...

Cet article merveilleux et sans aucun égal intitulé : Adapter le concept de la Zip Bomb pour défendre son site web des scripts kiddies ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Petya, notpetya, petwrap, Expetr, GoldenEye et j'en passe, profite de la faille SMBv1 que Microsoft a patchée en mars 2017 et qui a leakée des mains de la NSA il y a peu sous le nom EternalBlue et EternalRomance. Je ne vais pas revenir sur le problème, car j'ai exprimé le fond de ma pensée pour Wannacry à l'époque.

Rien n'a changé... Grosse responsabilité de la NSA et de tous ceux qui n'ont pas fait leurs mises à jour, même si dans certains environnements, je peux concevoir que ce n'est pas si simple (mais rien n'est simple dans la vie, si ?).

Mar: Microsoft patches SMB exploit
Apr: Shadow Brokers dump Eternal Blue
May: #WannaCry hits
Jun: People *still* haven't patched now #Petya

— Troy Hunt (@troyhunt) 27 juin 2017

Breeeef... Petwrap est donc un malware qui bousille les données présentes sur les disques durs, et même si vous payez la rançon, rien ne sera déchiffré. Il s'agit d'un outil développé pour nuire et non pas pour soutirer de l'argent. Il s'agirait d'après les spécialistes d'un malware développé avec un l'appui d'un état pour nuire à un autre pays. L'Ukraine ayant été celui qui a le plus douillé, on peut supposer que c'est l'Ukraine qui était visée. Mais bon, comme toujours, beaucoup d'hypothèses.

En attendant, je viens de tomber sur un outil développé par Elad Erez, Directeur de l'Innovation chez Imperva qui s'appelle Eternal Blues, qui est un scanner capable de débusquer sur votre réseau les machines vulnérables à la faille EternalBlue. Méfiance tout de même, cet outil cherche la présence active du protocole SMBv1. Donc même si vous avez patché vos machines, mais pas désactivé SMBv1, la machine sera vu comme à risque. Un faux positif donc. Pensez donc aussi à désactiver SMBv1 si vous n'en avez pas l'usage.

À utiliser à bon escient évidemment.

Bon, maintenant ça y est, vous êtes convaincus pour les mises à jour ? Ou je vous revoie au prochain malware utilisant Eternalbidule ?

Cet article merveilleux et sans aucun égal intitulé : Eternal Blues – Un scanner pour débusquer les machines vulnérables à la faille SMBv1 utilisée par Wannacry et notPetya / Petwrap ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Avec sa nouvelle plateforme HEDT, Intel était attendue au tournant par les overclockers et autres enthousiastes. Après plusieurs séries à pâte thermique de faible qualité et avec quelques choix mesquins qui ont baissé la qualité de puces pourtant vendues à prix d'or, on était en droit d'attendre un sans-faute pour la plateforme X299, surtout avec la pression mise par AMD avec ses Ryzen et les Threadripper à venir... [Tout lire]

Un lancement de plateforme Intel haut de gamme est en général peu surprenant. Les architectures connues et le peu de changements attendus donnent cette impression. Mais avec Skylake-X, rien n'est attendu !

Depuis hier, une vaste attaque de ransomware touche de nombreuses entreprises dans le monde. Inspiré du malware Petya, il se répand via divers mécanismes, dont la faille SMB déjà utilisée par WannaCrypt. On en sait désormais davantage sur son fonctionnement, mais les conseils pour se protéger n’ont pas changé.

• Lire la suite

Il y a une semaine, Cloud Imperium Games a souscrit un emprunt aux conditions plutôt salées. La nouvelle n'a pas manqué d'alarmer certains fidèles du studio, mais aussi ses détracteurs, laissant entendre que l'entreprise se portait mal. En pratique, les faits sont moins inquiétants qu'ils en ont l'air.

• Lire la suite

Vous avez 2598 jeux constituant votre catalogue Steam. Vous avez une connexion pourritos qui vous apprend la patience à chaque fois que vous voulez jouer à un jeu... [Tout lire]

Windows enregistre la quantité de données échangées sur Internet par vos logiciels via Ethernet et via le WiFi durant les 30 derniers jours. Voici comment accéder à ces informations et voir les applications qui consomment le plus.

Lors de la conférence Electronic Arts pendant l'E3 2017, nous avons pu découvrir des jeux comme A Way Out, un titre coopératif qui s'annonce plus que prometteur, mais aussi des jeux comme Anthem nous laissant beaucoup plus dubitatifs. Développé par Bioware, celui-ci se présente en effet comme un action-RPG.

Anthem nous donnera la possibilité de former une équipe de quatre joueurs pour plonger dans un monde peuplé de créatures sauvages et de maraudeurs, dans lequel nous pourrons découvrir des technologies inattendues ainsi que des trésors oubliés. Les joueurs prendront le contrôle d'Indépendants devant lutter contre des forces obscures tentant de conquérir l'humanité. Pour ce faire, nous aurons la possibilité d'utiliser des exoarmures Javelin que nous pourrons bien entendu personnaliser.

Le titre de Bioware impressionne bien évidemment grâce à son moteur graphique, à nouveau le Frosbite de Dice. Que dire plus ? La direction artistique semble une fois de plus très banale et l'expérience sociale et coopérative voulue par le développeur pourrait bel et bien limiter quelque peu l'intérêt du jeu. Quoi qu'il en soit, nous avons le temps avant de le voir débarquer sur nos écrans puisque Anthem ne sortira pas avant l'automne 2018 sur PC, Xbox One et PlayStation 4.
 

Lorsque vous cliquez avec le bouton droit de la souris sur le bouton Démarrer ou que vous utilisez le raccourci clavier Windows + X, un menu s'affiche. Ce dernier vous permet d'accéder aux principaux réglages de Windows 10 : Gestionnaire de périphériques, Connexions réseau, Invite de commandes, PowerShell, Paramètres, Gestionnaire des tâches, etc. Depuis la mise à jour Creators Update, le raccourci vers le Panneau de configuration a disparu de ce menu et a été remplacé par le raccourci vers les Paramètres. Voici comment retrouver ce raccourci vers le Panneau de configuration, tout en conservant celui vers les Paramètres.

Une première mouture de Destiny 2 est jouable actuellement dans le cadre de l'E3 2017. Bungie et Activision profitent par ailleurs du salon américain pour préciser le planning de lancement du jeu : le 6 septembre sur consoles, puis le 24 octobre sur PC.

DICE s'est fait un peu taper sur les doigts face au contenu famélique de leur jeu Star Wars. Aussi ils se sont motivés à faire tout en plus gros : plus de personnages, plus de véhicules, plus de classes, plus d'armes, etc. Mais aussi une campagne solo et coop. Un gros progrès par rapport au vide qu'était l'opus précédent. Petite cerise sur le gâteau, tout le contenu post-release sera gratuit. Regarder la vidéo sur Youtube Avec ça, on a eu aussi un trailer se passant sur Naboo, avec des tirs de blasters et des explosions partout et bien évidemment, tous vos personnages favoris. Battlefront II offrira des batailles en 20 contre 20 que l'on a pu voir en direct. Ainsi qu'un magnifique crash de vaisseau, piloté par un joueur ivre certainement.

Lire la suite sur Nofrag...

Article rédigé dans le cadre de la Hacker's Challenge et sponsorisé par Radware

Avant de rentrer dans le vif du sujet, je vous propose de faire d'abord une petite plongée historique non douloureuse.
Dans la petite ville de Champaign et Urbana dans l'Illinois (aux États-Unis) se trouve le CERL, un laboratoire de recherche informatique. Et en face du CERL, il y a un lycée.

Et si vous vous étiez rendu dans ce lycée en 1974, vous auriez pu y rencontrer David Dennis, un garçon de 13 ans passionné d'informatique. David très curieux de nature avait entendu parler d'une commande pouvant s'exécuter sur les systèmes PLATO qui justement se trouvaient au CERL. PLATO était l'un des premiers systèmes multi-utilisateurs grand public destinés à l'éducation et la recherche.

Ce système a été à l'origine de nombreux concepts modernes liés à l'utilisation multi user comme l'email, les chats rooms, la messagerie instantanée, les jeux multijoueurs ou le partage d'écran.

La commande apprise par David était "external" ou "ext" qui permettait d'interagir directement avec un périphérique externe connecté au terminal. Le truc rigolo, c'est que si vous lanciez cette commande sur un terminal où rien n'était branché, cela faisait crasher totalement la machine. Un reboot complet était alors nécessaire pour faire refonctionner le terminal. C'était un peu la blague du moment et David était curieux de voir ce que ça pourrait donner si cette commande était lancée simultanément sur tous les terminaux d'une salle pleine d'utilisateurs.

La bonne blague quoi !

Il a donc mis au point un petit programme et s'est rendu au CERL pour le tester. Résultat, 31 utilisateurs éjectés de leur session et obligés de rebooter. C'était la première attaque DoS (Déni de Service) de l'histoire. Suite à ça, PLATO a été patché pour ne plus accepter "ext" comme une commande pouvant être exécuté à distance.

A la fin des années 90, le DoS était aussi régulièrement pratiqué sur l'IRC pour déconnecter tous les gens d'une room afin que l'attaquant puisse reprendre la main sur l'administration de celle-ci en étant le premier à s'y reconnecter.

Des années plus tard, en août 1999, un hacker a mis au point un outil baptisé "Trinoo" afin de paralyser les ordinateurs du réseau de l'Université du Minnesota. Trinoo était en réalité un réseau composé de quelques machines "maitres" auxquelles le hacker pouvait donner des instructions de DoS. Ces machines maitres faisaient ensuite suivre ces instructions à des centaines de machines "esclaves", floodant massivement l'adresse IP de la cible. Les propriétaires des machines esclaves n'avaient aucune idée que leur machine était compromise. Ce fut l'une des premières attaques DDoS à grande échelle.

Le DDoS (Déni de Service Distribé) est devenu au fil des années la technique la plus utilisée pour paralyser des machines et le grand public a commencé à entendre ce terme en 2000 lorsque le site du FBI, eBay, Yahoo, Amazon ou encore le site de CNN en ont fait les frais lors d'une attaque d'une ampleur encore jamais observée à l'époque.

Maintenant la technique du DDoS est utilisée aussi bien par des cybercriminels réclamant des rançons que par des hacktivistes désireux de faire entre leur point de vue.

Types d'attaques DDoS

Il existe 3 catégories d'attaques DDoS :

• Les attaques DDoS basées sur le volume
• Les attaques DDoS ciblant les applications
• Les attaques DDoS à bas volume (LDoS pour Low rate)

Attaques DDoS basées sur le volume

Le concept est assez classique. Il s'agit de flooder la cible avec une grande quantité des paquets ou de connexions pour saturer tous les équipements nécessaires ou pour mobiliser toute la bande passante. Elles nécessitent des botnets, c'est à dire des réseaux de machines zombies capables de flooder des machines de manière synchronisée.

Ces réseaux botnet sont contrôlés par des cybercriminels qui l'utilisent pour leur profit ou qui le louent à l'heure à leurs clients pour une somme abordable. Ainsi, sans compétences techniques particulières, des mafias, des employés mécontents ou des concurrents peuvent franchir le pas et paralyser un serveur.

Attaques DDoS ciblant les applications

Une attaque DDoS peut cibler différentes applications mais la plus commune consiste à flooder à l'aide de requêtes GET et POST, le serveur web de la cible. Surchargé par ce flood HTTP, le serveur web ne parvient plus à répondre et le site ou le service devient inaccessible. D'autres applications peuvent être ciblées comme les DNS.

Attaques à bas volume

Ces attaques tirent le plus souvent parti de défaut de conception dans les applications. Avec une très petite quantité de données et de bande passante, un attaquant peut paralyser un serveur. L'un des exemples les plus connus est celui de Slowloris, un outil développé par RSnake (Robert Hansen) qui maintient ouvertes des connexions sur le serveur cible en envoyant une requête partielle. Ces connexions non refermées qui s'accumulent saturent alors totalement le serveur.

Je vais maintenant vous détailler des méthodologies de DDoS très connues pour que vous ayez une idée du fonctionnement de celles-ci.

Le Flood ICMP fait partie des attaques les plus anciennes. L'attaquant sature la cible à l'aide de requêtes ICMP echo (un genre de ping) ou d'autres types, ce qui permet de mettre par terre l'infrastructure réseau de la victime.

Le Flood SYN est un autre grand classique. Il consiste à initier des connexions TCP vers le serveur à l'aide d'un message SYN. Le serveur prend en compte ce message et répond au client à l'aide du message SYN-ACK. Le client doit alors répondre par un nouveau message de type ACK pour signifier au serveur que la connexion est correctement établie. Seulement voilà, dans le cadre d'une attaque de type SYN, le client ne répond pas et le serveur garde alors la connexion ouverte. En multipliant ce genre de messages SYN il est possible de paralyser le serveur.

Le Flood UDP consiste à envoyer un grand nombre de paquets UDP vers des ports aléatoire de la machine cible. Cette dernière indique alors avec un message ICMP qu'aucune application ne répond sur ce port. Si la quantité de paquets UDP envoyés par l'attaquant est conséquente, le nombre de messages ICMP renvoyé par la victime le sera aussi, saturant les ressources de la machine.

Le Flood SIP INVITE touche les systèmes VoIP. Les messages de type SIP INVITE utilisé pour établir une session entre un appelant et un appelé sont envoyés massivement à la victime, provocant le déni de service.

Les attaques Smurf sont un autre type d'attaques basées sur ICMP qui consiste à spoofer l'adresse IP de la victime pour émettre un grand nombre de paquets ICMP. Les machines présentes sur le réseau répondent alors à ces requêtes ICMP, ce qui sature la machine cible.

Les attaques par amplification DNS consistent à envoyer, en spoofant l'adresse IP de la victime, de petites requêtes vers un serveur DNS et d'exiger de lui une réponse d'une taille beaucoup plus importante. Un botnet peut alors largement amplifier la taille d'une attaque en s'appuyant sur des infrastructures existantes légitimes comme les serveurs DNS.

Les attaques chiffrées (basées sur SSL) sont de plus en plus courantes, car elles consomment beaucoup de CPU en enchainant les processus de chiffrement / déchiffrement sur le serveur cible mais aussi parce qu'elles sont plus difficilement détectables par les systèmes d'atténuation d'attaques qui ne sont pas toujours capables de déchiffrer du trafic SSL.

Les attaques 0day sont les plus difficiles à détecter et à stopper, car elles exploitent une faille non connue d'une application pour submerger la machine cible qui devient alors indisponible.

Mis à part Slowloris, des outils comme Low Orbit Ion Cannon (LOIC), High Orbit Ion Canon (HOIC), R.U. Dead Yet? (RUDY), #RefRef ou encore hping permettent aussi, sans grandes connaissances, d'effectuer des attaques DDoS sans avoir recours à d'immenses botnets. Par exemple, #RefRef exploite une vulnérabilité présente dans les bases SQL, et grâce à une injection SQL de quelques lignes, est capable d'enclencher un déni de service efficace.

Évidemment, personne n'est à l'abri d'une attaque DDoS. Heureusement, il existe des solutions techniques comme celles de Radware qui permettent de détecter et réduire l'impact de toutes ces attaques DDoS, qu'elles soient basées sur le volume, qu'elles exploitent un 0day ou qu'elles tentent de se dissimuler sous une couche de SSL.

Pour mieux vous rendre compte de la fréquence de ces attaques, le site digitalattackmap.com propose une carte animée. Vous pourrez voir la nature, l'origine et la destination de ces attaques DDoS qui se déroulent au moment où vous lisez ces lignes.

J'espère que cet article vous aura plu. La semaine prochaine, je vous parlerai des différents moyens que vous avez à votre disposition pour optimiser le chargement de vos pages web.

Cet article merveilleux et sans aucun égal intitulé : Les attaques DDoS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.

Si vous voulez jeter un coup d'œil à Star Wars Battlefront 2 c'est le moment, une vidéo est disponible sur Youtube, mais celle-ci ne devrait pas tarder à disparaitre. On peut y voir du gameplay avec Darth Maul, Rey, Bobba Fett, etc. Battlefront 2 marque le retour à la vue troisième personne et proposera différents modes de jeu, pouvoirs, personnages et classes différentes. Si la vidéo est retirée de Vimeo, vous pourrez toujours jeter un coup d'oeil chez les copains de Factornews. La qualité de la vidéo est ignoble, le flou n'arrangeant pas pour lire l'action assez bordélique en mêlée il faut bien le reconnaitre. Mais le jeu a l'air d'être très joli et nerveux quand on ne se plante pas dans un mur après un saut Jedi lunaire. J'ai cependant quelques réserves pour l'animation de course plutôt ridicule de Rey mais celle-ci est susceptible de changer, le jeu n'étant qu'au stade de pré-alpha. EA a aussi annoncé différents bonus de pré-commande, à savoir des costumes exclusifs pour R

Lire la suite sur Nofrag...