Après dune semaine d'utilisation, Jérôme vous livre ses impressions sur le nouveau bébé de Samsung.
Après une année en demi teinte du côté du constructeur, Note 7 qui fini en combustible pour BBQ et le galaxy S7 qui a redonné des couleurs à Samsung, la marque propose son nouveau flagship, le Galaxy S8.
Pour éviter une nouvelle boulette industrielle, Samsung a fait, avec ce S8, des choix forts tant en terme technique que de design et c'est tout ça que vous explique Jérôme dans son test.
Si vous êtes sous Mac, vous connaissez sans doute LittleSnitch, ce firewall (payant) qui permet de détecter et d'alerter l'utilisateur de toutes connexions entrantes ou sortantes sur la machine.
Mais sous Linux, si vous n'êtes pas un cador d'iptables, c'est peut-être un peu pénible pour vous de gérer ce genre de choses. Heureusement, il existe OpenSnitch, l'équivalent barbu et libre de LittleSnitch qui utilise évidemment iptables couplé à NFQUEUE et ftrace présent par défaut dans le noyau.
OpenSnitch va ainsi vous permettre de détecter et d'alerter l'utilisateur d'un poste client Linux que quelque chose ne tourne pas rond. Top pour détecter les trucs louches comme l'exploitation d'une faille ou une fuite de données.
Pour l'installer sous Ubuntu :
git clone https://github.com/evilsocket/opensnitch && cd opensnitch
Saviez-vous que cette année, nous allons célébrer les 15 ans de La Nuit du Hack ?
Évidemment, comme tous les ans, je serai au Centre de Conventions de l'Hôtel New York à Disneyland Paris pour profiter de cet événement exceptionnel qui cette année se déroulera du 24 au 25 juin.
En termes de talks, on va se régaler :
10h00 : (FR) Keynote par Freeman
10h30 : Ouverture du Bug Bounty
10h45 : (EN) Where Cypherpunk Meets Organized Crime: The Shifting
Landscape of Underground Economies and Crypto-driven Privacy par
Benjamin BROWN
11h30 : (FR) Build your own low-cost FPGA password
cracker on the blockchain for fun and profit! par Renaud LIFCHITZ
12h15 : (FR) Le combat numérique au cœur des opérations par Arnaud
COUSTILLIERE
14h00 : (FR) Assignation des permissions
Android, des packages aux processus par Julien THOMAS
14h45 : (EN) When encryption is not enough: Attacking Wearable - Mobile
communication over BLE par Eliza Chelleng & Sumanth Naropanth
15h30 : (FR) Make hardware great again ! par Damien CAUQUIL
17h15 : (EN) Le nouveau Sheriff en ville est une machine: Les
problèmes liés à l'utilisation d'IA, les analyses prédictives et les
Big Data pour combattre le crime et dénicher les "terroristes" par
Jennifer LYNCH
18h00 : (FR) NTFS, forensics, malwares et
vulnérabilités par Stéfan LE BERRE (HEURS)
18h45 : (EN) How to fool antivirus software? par Baptiste DAVID
19h30 : (FR) Windows 10 Pool Party par Corentin BAYET
21h15 : (EN) How my SV Machine nailed your Malware par Nikhil KULKARNI
22h00 : (FR) Hack ta voiture ou ton hélico par RatzillaS
Niveau workshops, si vous aimez mettre les mains dans le cambouis et tester des trucs, vous pourrez vous faire plaisir avec les ateliers suivants :
Privacy on steroids v2 par Bruno Kerouanton
Android Malware Reverse Engineering par Cryptax
Atelier crochetage par Alexandre Triffault & MrUbex
Hardware hacking for dummies par Yggdrasil
Getting the Most Out of Windows Event Logs par davidszili
Évidemment, le Bug Bounty c'est YesWeHack qui s'en occupera. On ouvrira plusieurs programmes exclusifs lors de la NDH avec des enveloppes allant jusqu'à 5000 euros par programme. Si vous souhaitez participer, je vous invite à lire les règles. Et si vous êtes une société, vous avez encore 2 jours pour vous inscrire ici.
Vous vous en doutez, la NDH2017 c'est complet, mais j'ai 5 places à vous faire gagner. Je n'ai pas vraiment le temps de mettre en place un widget de concours, donc on va faire simple. Retweetez simplement ce tweet, et je ferai un tirage au sort mercredi à 11h parmi les RT.
Je suis encore à l'aéroport de Nantes au moment où je rédige ces quelques lignes. En effet, j'étais à Nantes pour le Web2Day et c'était vraiment cool. J'ai pu rencontrer pas mal de gens qui font du web là bas et c'était très enrichissant. J'ai aussi participé à un panel pour causer sécurité et plus particulièrement de bug bounty (of course !).
Mais surtout, j'ai pu retrouver Gaël Musquet alias RatZillaS sur Twitter, que je croise souvent dans ce genre d'événement web, sécu ou libres. Et cette année, au Web2Day, Gaël est venu sensibiliser les gens sur l'importance du hacking en exposant pendant ces 3 jours, une Tesla Model X sur laquelle il a réussi à se connecter pour en extraire toutes sortes de données. L'objectif est de permettre à tout le monde de reprendre la main sur des ordinateurs roulants, qui bien que vous appartenant sur la carte grise, sont encore aux mains des constructeurs qui peuvent à tout moment effectuer des actions à distance sur votre véhicule.
Bref, je ne vais pas m'étendre sur le sujet, car Gaël parle de ça mieux que moi. Il est aussi à l'origine avec ses amis, de la création d'un lieu baptisé l'Hermitage où se mêlent le hacking, la permaculture, les initiatives de transition énergétique...etc. Bref, un véritable hacker space en pleine nature.
Encore merci à Gaël d'avoir pris le temps de partager tout cela avec nous.
Article rédigé dans le cadre de la Hacker's Challenge et sponsorisé par Radware
Avant de rentrer dans le vif du sujet, je vous propose de faire d'abord une petite plongée historique non douloureuse.
Dans la petite ville de Champaign et Urbana dans l'Illinois (aux États-Unis) se trouve le CERL, un laboratoire de recherche informatique. Et en face du CERL, il y a un lycée.
Et si vous vous étiez rendu dans ce lycée en 1974, vous auriez pu y rencontrer David Dennis, un garçon de 13 ans passionné d'informatique. David très curieux de nature avait entendu parler d'une commande pouvant s'exécuter sur les systèmes PLATO qui justement se trouvaient au CERL. PLATO était l'un des premiers systèmes multi-utilisateurs grand public destinés à l'éducation et la recherche.
Ce système a été à l'origine de nombreux concepts modernes liés à l'utilisation multi user comme l'email, les chats rooms, la messagerie instantanée, les jeux multijoueurs ou le partage d'écran.
La commande apprise par David était "external" ou "ext" qui permettait d'interagir directement avec un périphérique externe connecté au terminal. Le truc rigolo, c'est que si vous lanciez cette commande sur un terminal où rien n'était branché, cela faisait crasher totalement la machine. Un reboot complet était alors nécessaire pour faire refonctionner le terminal. C'était un peu la blague du moment et David était curieux de voir ce que ça pourrait donner si cette commande était lancée simultanément sur tous les terminaux d'une salle pleine d'utilisateurs.
La bonne blague quoi !
Il a donc mis au point un petit programme et s'est rendu au CERL pour le tester. Résultat, 31 utilisateurs éjectés de leur session et obligés de rebooter. C'était la première attaque DoS (Déni de Service) de l'histoire. Suite à ça, PLATO a été patché pour ne plus accepter "ext" comme une commande pouvant être exécuté à distance.
A la fin des années 90, le DoS était aussi régulièrement pratiqué sur l'IRC pour déconnecter tous les gens d'une room afin que l'attaquant puisse reprendre la main sur l'administration de celle-ci en étant le premier à s'y reconnecter.
Des années plus tard, en août 1999, un hacker a mis au point un outil baptisé "Trinoo" afin de paralyser les ordinateurs du réseau de l'Université du Minnesota. Trinoo était en réalité un réseau composé de quelques machines "maitres" auxquelles le hacker pouvait donner des instructions de DoS. Ces machines maitres faisaient ensuite suivre ces instructions à des centaines de machines "esclaves", floodant massivement l'adresse IP de la cible. Les propriétaires des machines esclaves n'avaient aucune idée que leur machine était compromise. Ce fut l'une des premières attaques DDoS à grande échelle.
Le DDoS (Déni de Service Distribé) est devenu au fil des années la technique la plus utilisée pour paralyser des machines et le grand public a commencé à entendre ce terme en 2000 lorsque le site du FBI, eBay, Yahoo, Amazon ou encore le site de CNN en ont fait les frais lors d'une attaque d'une ampleur encore jamais observée à l'époque.
Maintenant la technique du DDoS est utilisée aussi bien par des cybercriminels réclamant des rançons que par des hacktivistes désireux de faire entre leur point de vue.
Types d'attaques DDoS
Il existe 3 catégories d'attaques DDoS :
Les attaques DDoS basées sur le volume
Les attaques DDoS ciblant les applications
Les attaques DDoS à bas volume (LDoS pour Low rate)
Attaques DDoS basées sur le volume
Le concept est assez classique. Il s'agit de flooder la cible avec une grande quantité des paquets ou de connexions pour saturer tous les équipements nécessaires ou pour mobiliser toute la bande passante. Elles nécessitent des botnets, c'est à dire des réseaux de machines zombies capables de flooder des machines de manière synchronisée.
Ces réseaux botnet sont contrôlés par des cybercriminels qui l'utilisent pour leur profit ou qui le louent à l'heure à leurs clients pour une somme abordable. Ainsi, sans compétences techniques particulières, des mafias, des employés mécontents ou des concurrents peuvent franchir le pas et paralyser un serveur.
Attaques DDoS ciblant les applications
Une attaque DDoS peut cibler différentes applications mais la plus commune consiste à flooder à l'aide de requêtes GET et POST, le serveur web de la cible. Surchargé par ce flood HTTP, le serveur web ne parvient plus à répondre et le site ou le service devient inaccessible. D'autres applications peuvent être ciblées comme les DNS.
Attaques à bas volume
Ces attaques tirent le plus souvent parti de défaut de conception dans les applications. Avec une très petite quantité de données et de bande passante, un attaquant peut paralyser un serveur. L'un des exemples les plus connus est celui de Slowloris, un outil développé par RSnake (Robert Hansen) qui maintient ouvertes des connexions sur le serveur cible en envoyant une requête partielle. Ces connexions non refermées qui s'accumulent saturent alors totalement le serveur.
Je vais maintenant vous détailler des méthodologies de DDoS très connues pour que vous ayez une idée du fonctionnement de celles-ci.
Le Flood ICMP fait partie des attaques les plus anciennes. L'attaquant sature la cible à l'aide de requêtes ICMP echo (un genre de ping) ou d'autres types, ce qui permet de mettre par terre l'infrastructure réseau de la victime.
Le Flood SYN est un autre grand classique. Il consiste à initier des connexions TCP vers le serveur à l'aide d'un message SYN. Le serveur prend en compte ce message et répond au client à l'aide du message SYN-ACK. Le client doit alors répondre par un nouveau message de type ACK pour signifier au serveur que la connexion est correctement établie. Seulement voilà, dans le cadre d'une attaque de type SYN, le client ne répond pas et le serveur garde alors la connexion ouverte. En multipliant ce genre de messages SYN il est possible de paralyser le serveur.
Le Flood UDP consiste à envoyer un grand nombre de paquets UDP vers des ports aléatoire de la machine cible. Cette dernière indique alors avec un message ICMP qu'aucune application ne répond sur ce port. Si la quantité de paquets UDP envoyés par l'attaquant est conséquente, le nombre de messages ICMP renvoyé par la victime le sera aussi, saturant les ressources de la machine.
Le Flood SIP INVITE touche les systèmes VoIP. Les messages de type SIP INVITE utilisé pour établir une session entre un appelant et un appelé sont envoyés massivement à la victime, provocant le déni de service.
Les attaques Smurf sont un autre type d'attaques basées sur ICMP qui consiste à spoofer l'adresse IP de la victime pour émettre un grand nombre de paquets ICMP. Les machines présentes sur le réseau répondent alors à ces requêtes ICMP, ce qui sature la machine cible.
Les attaques par amplification DNS consistent à envoyer, en spoofant l'adresse IP de la victime, de petites requêtes vers un serveur DNS et d'exiger de lui une réponse d'une taille beaucoup plus importante. Un botnet peut alors largement amplifier la taille d'une attaque en s'appuyant sur des infrastructures existantes légitimes comme les serveurs DNS.
Les attaques chiffrées (basées sur SSL) sont de plus en plus courantes, car elles consomment beaucoup de CPU en enchainant les processus de chiffrement / déchiffrement sur le serveur cible mais aussi parce qu'elles sont plus difficilement détectables par les systèmes d'atténuation d'attaques qui ne sont pas toujours capables de déchiffrer du trafic SSL.
Les attaques 0day sont les plus difficiles à détecter et à stopper, car elles exploitent une faille non connue d'une application pour submerger la machine cible qui devient alors indisponible.
Mis à part Slowloris, des outils comme Low Orbit Ion Cannon (LOIC), High Orbit Ion Canon (HOIC), R.U. Dead Yet? (RUDY), #RefRef ou encore hping permettent aussi, sans grandes connaissances, d'effectuer des attaques DDoS sans avoir recours à d'immenses botnets. Par exemple, #RefRef exploite une vulnérabilité présente dans les bases SQL, et grâce à une injection SQL de quelques lignes, est capable d'enclencher un déni de service efficace.
Évidemment, personne n'est à l'abri d'une attaque DDoS. Heureusement, il existe des solutions techniques comme celles de Radware qui permettent de détecter et réduire l'impact de toutes ces attaques DDoS, qu'elles soient basées sur le volume, qu'elles exploitent un 0day ou qu'elles tentent de se dissimuler sous une couche de SSL.
Pour mieux vous rendre compte de la fréquence de ces attaques, le site digitalattackmap.com propose une carte animée. Vous pourrez voir la nature, l'origine et la destination de ces attaques DDoS qui se déroulent au moment où vous lisez ces lignes.
J'espère que cet article vous aura plu. La semaine prochaine, je vous parlerai des différents moyens que vous avez à votre disposition pour optimiser le chargement de vos pages web.
Cet article merveilleux et sans aucun égal intitulé : Les attaques DDoS ; a été publié sur Korben, le seul site qui t'aime plus fort que tes parents.
