12,63 € TTC
p. 06 SCCM : Some Credentials Could be Mine
p. 18 Maîtriser l’instrumentation de code des applications Android
p. 28 Introduction à la sécurité des hyperviseurs
p. 42 Malwares à la chaîne
p. 52 Chaîne d’infection de Rhadamanthys
p. 66 OpenBSD : réduire la surface d’attaque avec pledge(2)
p. 74 Authentification des courriels : retour d'expérience d’une implémentation « réussie » de DMARC en entreprise
Suis-je surveillé ? Mon téléphone et mes données sont-ils compromis ? Ai-je la possibilité de le vérifier par moi-même ? Sans être omniprésentes, ces questions me passent régulièrement par la tête au gré de l’actualité, et des dernières vulnérabilités affectant les appareils que j’utilise au quotidien.
Le sujet de la surveillance numérique n’est bien entendu pas nouveau, mais il a évolué techniquement pour s’adapter à notre utilisation massive du chiffrement des communications de bout en bout. Ainsi, intercepter du trafic, sur Internet ou via des IMSI catchers, devient de moins en moins intéressant, seules quelques métadonnées étant encore visibles. Pour surveiller efficacement, il faut donc être au plus proche des utilisateurs, et cela implique de compromettre leurs appareils, ou d’accéder directement à leurs comptes.
La plupart de nos contenus et leurs accès sont désormais centralisés dans le cloud chez une poignée d’acteurs, appartenant à quelques grands groupes américains. Cela simplifie également les contrôles que l’on peut effectuer soi-même. En effet, certains d’entre eux mettent à disposition des outils simples de contrôle, par exemple sur une interface web dédiée recensant les alertes liées aux accès récents, et de pouvoir réagir en cas de doute. Cette centralisation implique néanmoins de faire confiance à ces acteurs, et d’espérer que les données ne peuvent pas être consultées en dehors d’un cadre légal.
Auditer ses appareils personnels est à l’inverse beaucoup plus complexe, et loin d’être à la portée de tout le monde. Une poignée d’outils comme Mobile Verification Toolkit et iVerify permettent de contrôler plus ou moins simplement des téléphones sur Android et iOS, et rechercher des indicateurs de compromission, mais ce ne sont ni des fonctionnalités natives, ni exhaustives. Pourtant, les révélations sur les logiciels espions, comme Candiru, Pegasus et Predator, ont démontré qu’il est désormais nécessaire de pouvoir aisément contrôler des téléphones.
Contrairement à ce qu’affirment leurs concepteurs, ces logiciels espions ne sont pas seulement utilisés pour lutter contre les criminels et les terroristes, mais bien pour surveiller des journalistes, des activistes, et des opposants politiques. Ils représentent des menaces pour l’ensemble de la société civile, et les gouvernements les ayant acquis n’hésitent pas à les utiliser en dehors de leurs frontières. Qui plus est, la campagne Operation Triangulation renforce encore la paranoïa, car des chercheurs de Kaspersky en ont été la cible, et l’on peut aisément imaginer que d’autres ont pu être ciblés à leur insu.
Le sujet est préoccupant, et plusieurs actions en justice, notamment à l’initiative d’Apple et de WhatsApp sont en cours, et visent à interdire l’usage des ces logiciels contre leurs utilisateurs. Au-delà d’actions issues du secteur privé, plusieurs pays se sont rencontrés début 2024 dans le cadre du processus de Pall Mall afin de lutter contre la prolifération et l’usage irresponsable de ces logiciels espions. L’actualité évolue très vite et, fin juillet 2024, Microsoft et Google ont indiqué soutenir les victimes internationales de ces logiciels espions pour intenter une action en justice aux États-Unis.
À notre niveau, il me semble désormais crucial d’obtenir les moyens de mieux contrôler l’usage de nos appareils, et l’accès à nos données. Il est également essentiel de soutenir les initiatives visant à réguler l’usage des logiciels espions et d’inciter les concepteurs de nos téléphones à plus de transparence pour les utilisateurs.
Guillaume VALADON
@guedou – guillaume@miscmag.com
Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.
Cet article étudie les hyperviseurs du point de vue d’un attaquant qui cherche à s’échapper d’une machine virtuelle compromise pour prendre le contrôle du système hôte. Après quelques rappels sur certains concepts de virtualisation, il fournit une vue complète de la surface d’attaque exposée à une machine virtuelle compromise. Pour conclure, il présente des exemples concrets de vulnérabilités découvertes et exploitées dans VMware Workstation et QEMU.
Qui a dit qu’une fois compilée, une application ne pouvait pas être modifiée ? Cela est rendu possible grâce à l’instrumentation de code qui permet de modifier/ajouter/supprimer du code assez facilement. Par exemple, un analyste peut décider d’ajouter des instructions de journalisation directement dans le code d’une application pour extraire des informations de couverture de code durant l’exécution. Ces informations peuvent être les noms des classes instanciées, les méthodes exécutées, etc. Dans cet article, nous verrons pourquoi l’instrumentation de code des applications est facile et comment elle peut être utilisée par des analystes légitimes et des attaquants pour propager du code malveillant.
Au cours de l’analyse d’un document malveillant, nous avons identifié un comportement atypique. L’infection se fait par de nombreuses étapes, bien plus qu’habituellement, et chaque étape utilise des techniques d’obfuscation différentes. Le but est de rendre l’analyse plus compliquée. Ce comportement a retenu notre attention et nous avons décidé de faire une analyse plus approfondie de la chaîne d’infection.