La semaine dernière, un groupe de pirate nommé « Guardians of Peace » s’est attaqué à Sony Pictures Entertainment, la filiale Sony chargée des films et des séries. Cette attaque a provoqué la fuite de données en grande quantité ! Il y a notamment plusieurs films, qui doivent sortir prochainement, qui ont été dérobés.

Les ordinateurs des employés étaient inutilisables… Il y a eu un véritable chômage technique ! Sur les ordinateurs ont trouvait un message : « Nous vous avions prévenu, et ce n’est que le début. Nous continuerons jusqu’à ce que nos demandes soient satisfaites. Nous avons obtenu toutes vos données internes, y compris vos secrets et vos tops secrets. Si vous ne nous obéissez pas, nous publierons les données publiées ci-dessous au niveau mondial ».

De plus, on trouve plusieurs liens menant à plusieurs fichiers texte. Grâce à ces fichiers, on peut savoir quelles sont les données dérobées :

– Nombreux documents sur l’identité d’employés et d’acteurs (Cameron Diaz, Angelina Jolie, etc.). On trouve parmi ces documents des images de passeports et visas

– Des données sensibles : 700 documents contenant des listes conséquentes de mots de passe personnels, de connexion aux serveurs FTP, de comptes professionnels, etc.

– Des données financières : des bilans, des analyses, etc.

- Les clés privées permettant d’accéder aux serveurs

– Messagerie : 179 archives PST Outlook, dont une qui correspondrait à celle d’un responsable chez Sony Pictures Releasing Canada

Des épisodes de séries Human Planet et Adventure Time ont été récupérés sur l’ordinateur d’un employé, ce dernier les avait récupérés illégalement. Rien que ça.

Comme si cela ne suffisait pas, il y a aussi des films !

Quatre films pas encore sortis : Annie, Mr. Turner, Still Alice et To Write Love on Her Arms, sont en possession du groupe de pirates. Non pas en version définitive, mais dans une version destinée aux professionnels du cinéma pour qu’ils “critiquent” le film avant la sortie en salle. Il en est de même pour le film Fury, récemment sortie au cinéma, mais pas encore en DVD/VOD.

11 To de données dérobées !

Au total, ce n’est pas moins de 11 To de données que les pirates ont dérobés. Mais alors, la question que l’on peut se poser c’est comment autant de données peuvent transiter sur le réseau sans que personne ne s’en rendre compte ? Et si les pirates avaient bénéficié de l’aide de certains employés… Quoi qu’il en soit, ce n’est pas la première fois que Sony a des ennuis de piratage.

Source

I. Wireshark : outil de capture réseaux

Lorsque l’on parle d’outils de capture et d’étude de flux réseaux, Wireshark est probablement l’outil le plus connu et le plus utilisé, il contient en effet un nombre impressionnant de fonctionnalités et sait traiter la plupart des protocoles réseaux d’aujourd’hui ou d’hier (voir tous). Aujourd’hui, nous allons aborder une fonction bien spécifique de Wireshark qui est le tracer de graphique à partir des captures réseaux. Nous essaierons de faire le tour des possibilités de cette fonction et de voir à quoi elle peut nous servir.

Pour suivre cet article, il faut que vous ayez déjà une installation de Wireshark opérationnelle et que vous ayez une capture réseau à disposition (faite en direct ou via l’importation d’un fichier .pcap). Pour information, je travaille pour ce tutoriel sur Wireshark 1.12.2.

II. IO Graph Wireshark

Une fois la capture faite, l’utilisation de la fonction de IO Graph est très simple. Il suffit d’aller dans le menu “Statistics” puis “IO Graph” :

Une nouvelle fenêtre va alors apparaître et le graphique de votre capture réseau va alors se dessiner (cela peut être instantané ou peut prendre quelques minutes selon la taille de votre capture et la puissance de votre poste) :

III. IO Graph, Filtres et paramètres des axes X,Y

A partir de cette première courbe, on va pouvoir effectuer différentes actions dans le but de montrer uniquement ce qui nous intéresse. On va en effet pouvoir faire varier les données de temps et de mesure, les couleurs des données et surtout appliquer des filtres pour “trier” nos informations. Cela est particulièrement utile dans des contextes où l’on cherche par exemple à évaluer la quantité de flux réseaux entre deux machines ou sur un protocole précis.

En bas à droite de la fenêtre, on pourra voir le paramétrage des axe X (Horizontal) et Y (Vertical) :

Dans “X Axis“, on pourra gérer la précision d’affichage de nos données en modifiant l’intervalle entre les points formant la courbe affichée et le nombre de pixel entre chaque point par “tranche” (c’est à dire entre deux barres de marquage) :

 

On peut alors avoir un affichage extrêmement précis, comme c’est le cas ici, un intervalle entre deux points consécutif représente 0.001 seconde :

On pourra également retrouver un affichage en temps depuis le début de l’analyse ou alors afficher l’heure de la prise de capture en cochant/décochant “View as time of day“.

Dans “Y Axis“, on pourra gérer l’unité de l’axe vertical qui pourra être :

• Packets/ticks : en nombre de paquets
• Bytes/ticks : en octets
• Bits/ticks : en bits
• Advanced : permet d’effectuer des filtrages plus avancés

On pourra également gérer l’échelle. Cela permet en général sur un même graphique d’avoir une vue générale du graphique et également, si on le souhaite, une vue très précise sur des petites valeurs. Enfin, nous pourrons également gérer le lissage de façon plus ou moins forte :

On voit ici le lissage d’un même graph sur en M.avg 4 (gauche) et m.avg 32 (droite)

Il est aussi possible de représenter les données selon plusieurs formes, on va par exemple pouvoir dessiner une courbes, n’afficher que les points, afficher un histogramme… Voici les différents exemples de représentation des données :

• Line
• FBar
• Impulse
• Dot

On peut également selon les filtres (que nous allons voir juste après) mettre plusieurs représentations de graphique en même temps :

Gestion des filtres

Justement ! Passons à l’élément le plus intéressant : Les filtres

Les filtres sont une notion bien connue de ceux qui ont ne serait-ce que de toutes petites bases de Wireshark. Bien que leur syntaxe puissent être assez complexe (parfois), leur utilité est criante : réduire la montagne de paquets capturés par des filtres qui permettent de n’afficher que ce qui nous intéresse. Les filtres peuvent être utilisés dans les graphs de la même façon que dans l’utilisation “normale” de Wireshark. Voici par exemple le filtre que je vais utiliser si je souhaite avoir une courbe ne représentant que mon trafic HTTP :

Si je souhaite maintenant également voir la consommation sur du protocole DNS sur mon flux capturé, je rajoute simplement “DNS” qui est un filtre existant pré-configuré dans Wireshark, dans “Graph 3″ :

Je vois alors qu’il n’y a pas assez de trafic DNS pour que celui-ci soit visible, je passe alors la ligne “Graph 3″ en “Dot” qui rend les captures plus visibles et je réduis l’échelle de l’Axe Y (c’est l’occasion de revoir ce qui a été vu plus haut dans le tutoriel ). Vous avez alors la vue avec l’échelle “Auto” à gauche et la vue avec l’échelle plus petite à droite, on voit alors directement l’intérêt de pouvoir régler l’échelle à certains moment.

Revenons  à nos filtres ! Admettons que je veuille maintenant savoir quel autre protocole UDP  que DNS a été capturé, je peux certes faire une règle du type “!dns”, mais on pourrait également très bien mettre la règle “!tcp” dans le “Graph 4″, on verra alors ce qui est UDP DNS et ce qui est UDP autre chose et faire une comparaison. Le Graph 4 sera affiché en bleu sous la forme d’un “Line” :

 

Je vois alors instantanément que la quasi totalité de mes paquets UDP étaient du protocole DNS car chaque pique bleu est formé par un point vert, je peux également déterminer à tel instant (admettons à la seconde  20) combien le DNS a consommé de bande passante car j’ai réglé mon axe Y (verticale) sur “Byte/trick” (octets), en l’occurrence à la seconde 20, 2,5 ko (2500 octets).

Nous avons fait a peu près le tour de cette fonctionnalité très pratique de Wireshark ! Au travers différents exemples nous avons vu tout ce qui pouvait être réglé et paramétré pour faire nos graphiques bien que la seul véritable limite soit les nombreux contextes d’utilisation que l’on peut trouver à Wireshark, l’utilisation des filtres rend l’IO Graph utilisable pour tout ce qui peut être capturé dans Wireshark !

 

 

I. Présentation

Vous n’êtes pas sans savoir que la NSA est curieuse, très curieuse même, et que l’entité n’hésite pas à observer ce que l’on fait sur internet et à lire nos communications. De ce fait, on peut chercher à communiquer de manière sécurisée sur internet, tout en se passant de Skype (qui reste un très bon produit !).

Si vraiment vous avez la nécessité d’effectuer des communications chiffrées et sécurisées, vous devriez vous pencher sur uTox, une alternative à Skype qui ne nécessite même pas d’installation. En plus, avec uTox vous pouvez communiquer par message, échanger des pièces jointes, mais aussi par visio, donc avec l’image et le son !

Utilisable depuis une clé USB en mode portable, cet utilitaire est compatible avec Windows, Linux, mais également Android (version en cours de développement). Aujourd’hui, on va s’intéresser à l’utilisation d’uTox sur Windows en simulant une conversation entre deux hôtes.

Pour ma part, je m’appuie sur une machine Windows 8.1 et une autre machine sous Windows 10 (Technical Preview).

II. Démarrage et utilisation d’uTox

Commencez par télécharger l’outil : uTox Windows

Lorsque vous l’avez, exécutez-le. Lors du premier démarrage, votre pare-feu demandera l’autorisation d’ajouter une règle pour cette application, acceptez.

Le design de l’application est simple, mais agréable. Vous pouvez accéder aux paramètres en cliquant sur l’engrenage en bas à gauche.

Au niveau des paramètres, on trouve :

– Nom/Name : Votre pseudo, nom, que votre interlocuteur verra.

- Message d’humeur/Status Message : Humeur du moment, description.. Ce que vous voulez.

– Tox ID : Votre identifiant unique, c’est cet identifiant que vous devez donner à votre contact pour commencer à discuter. Transmettez-lui cet identifiant de façon sécurisée.

– Aperçu/Preview : Avoir un aperçu de la vidéo et du son.

– Sélection des périphériques/Device Selection : Choisissez votre webcam et votre micro (le paramétrage par défaut était correct de mon côté).

– Autres paramètres/Other Settings : Langage, police, gestion de l’historique, IPv6, notification sonore, etc.

Pour commencer une conversation avec quelqu’un, il faut “Ajouter un ami” en cliquant sur le “+” dans le bas à gauche. Indiquez le Tox ID de votre correspondant (exemple : 31E726441323CD41B38D45F40A92E008D8F127069D60A290AFE8C5C62CEDA66F1….) et un message pour l’invitation. Cela vous rappelle surement la procédure d’ajout d’un ami sur Skype.

Après avoir accepté la demande, uTox vous indique que vous avez désormais un nouvel ami connu sous son nom (paramètre Nom) :

Au sein de la colonne de gauche, vous avez la liste de vos amis. Il est à noter que le point vert indique que la personne est en ligne, chaque utilisateur peut être en ligne, hors ligne ou occupé, on peut modifier ce paramètre en cliquant sur le point vert directement en haut à gauche.

Il est désormais possible de communiquer avec son contact, par écrit ou par visio, le tout de façon chiffrée. Par contre, il n’y a pas d’émoticônes, mais bon ce n’est pas un drame.

Si l’on souhaite réaliser un appel audio, ou un appel visio (video + audio), on utilisera les icônes affichés en haut à droite de l’application. Du côté de la personne qui reçoit l’appel, cet icône deviendra jaune et un message “Réception d’un appel” s’affichera. Il suffira de cliquer sur l’icône jaune pour prendre l’appel.

Ce tutoriel sur la messagerie sécurisée uTox est désormais terminé, que pensez-vous de cette application ? Avez-vous une autre alternative ?

Si vous disposez d’un compte Google, sachez qu’un nouvel outil de sécurité est accessible au sein de votre compte ! En effet, Google propose désormais d’afficher un tableau de bord qui résume l’activité liée à votre compte Google.

Ainsi, vous pourrez savoir sur les 28 derniers jours quels appareils a utilisés votre compte Google, avec la date, la localisation et le nom de l’appareil. Grâce à ce tableau de bord, vous pourrez détecter facilement les connexions suspectes et les révoquer si besoin.

Pour accéder à cette fonctionnalité :

– Accéder à la page d’accueil Google
– Cliquer sur votre avatar et “Compte”
– Dans votre compte, cliquer sur l’onglet “Sécurité”
– Cliquer sur “Afficher l’activité”

Voici un aperçu :

Fumez n’est pas bon pour la santé, ce n’est pas nouveau, mais si vous utilisez une cigarette électronique sachez que c’est également l’état de santé de votre ordinateur qui est en danger !

En effet, les e-cigarettes fabriqués en Chine contiendraient un malware qui s’active lorsque l’on connecte sa e-cigarette à son ordinateur, dans le but de la recharger.

Après investigation, il s’avère que les chargeurs infectés auraient été achetés sur eBay pour 5 dollars. Ce malware codé en dur dans le chargeur infecte les machines malgré la présence d’un antivirus à jour et d’un programme anti-malware.

Pierluigi Paganini, un expert en sécurité de chez Bit4Id n’est pas étonné par cette pratique, pour lui “les hackers sont capables d’exploiter tous les périphériques électroniques pour distribuer un malware sur un réseau mal protégé“.

Cette idée de malware se rapproche du fameux “BadUSB” dont on avait entendu parler il y a quelques semaines. Par ailleurs, Rik Ferguson, un consultant en sécurité de chez  Trend Micro explique que les entreprises pourraient envisager de désactiver les ports USB, ou au moins d’utiliser un système de gestion des périphériques qui permettra d’accepter uniquement les périphériques autorisés.

Source