Pour le 15èmeanniversaire de l'évènement, les sujets de prédilection tourneront notamment sur la mobilité et la sécurité du web. Avec la montée en puissance des smartphones au cours des dernières années, les technologies mobiles sont devenues un axe majeur de recherche sur la sécurité. La plupart des smartphones sont de véritables mini-ordinateurs qui stockent une grande quantité de données sensibles. Ils constituent un véritable attrait pour les pirates.
Parmi les présentations attendues, Charlie Miller, pirate réputé d'Apple et qui travaille aujourd'hui comme consultant pour le cabinet Accuvant a enquêté sur l'intégration du NFC (sans contact) dans les smartphones. Il a trouvé une méthode pour forcer certains téléphones mobile à analyser des fichiers et à laisser des pages web ouvertes, sans approbation de l'utilisateur. Dans certains cas, les hackers peuvent prendre le contrôle intégral du téléphone par le biais du NFC, ce qui leur permet de voler des photos et des contacts, envoyer des messages et appeler.
Puce radio et malware Android
Dans une autre présentation sur la sécurité mobile, Ralf-Philipp Weinmann, chercheur à l'université du Luxembourg parlera des attaques contre les puces radios des terminaux mobiles. L'année dernière, le scientifique a démontré comment les failles dans le firmware de ces puces peuvent prendre le contrôle des mobiles et leur donner l'ordre de communiquer avec une station de base GSM pirate. Cette dernière avait été fabriquée avec du matériel standard et des logiciels Open Source. Cette année, Ralf-Philipp Weinmann, va montrer qu'il n'est pas nécessaire de passer par ces fausses stations de base. Pour lui, certaines failles des puces peuvent être exploitées sur les connexions IP. Si certains éléments du réseau de l'opérateur sont configurés d'une certaine manière, un grand nombre de smartphones peuvent être attaquées simultanément.
Toujours dans la mobilité, les malware sont considérés comme une menace croissante, en particulier sur la plateforme Android. Pour remédier à ce problème, Google a créé un service d'analyse automatique de malware nommé Bouncer. A la Black Hat, Nicolas Percoco et Sean Schulte, des chercheurs en sécurité chez Trustwave, vont présenter une technique qui leur a permis d'échapper à la détection de Bouncer et de garder une application malveillant sur Google Play pendant plusieurs semaines. Nicolas Percoco explique, le programme initial était normal, mais les mises à jour ont ajouté des fonctionnalités malveillantes. Le résultat final est une application capable de voler des photos, des contacts, d'obliger le téléphone à visiter des sites et même à lancer des attaques en déni de service. Les scientifiques ne discuteront pas des détails techniques avant la Black Hat, mais ils soulignent que cette méthode ne nécessite aucune interaction avec l'utilisateur. Ils précisent aussi que l'appli a été retirée de Google Play et qu'aucun utilisateur n'a été affecté au cours de ce test.
Des WAF au HTML5
Les attaques web et les failles relatives aux technologies utilisées sur le net feront l'objet de plusieurs présentations. Les cybercriminels comptent de plus en plus sur des attaques de type drive by download pour infecter les ordinateurs avec des malwares. Ils utilisent pour cela des failles connues dans Flash Player ou Acrobat Reader d'Adobe, mais dans les plug-in Java dans les navigateurs. Jason Jones, chercheur en sécurité chez HP DVLabs, va présenter une analyse des outils les plus couramment utilisés pour le web, comme Blackhole ou Phoenix. Parmi les tendances fortes ces kits, le recours accru aux vulnérabilités dans Java et une intégration beaucoup plus rapides des failles les plus récentes. Dans le passé ces boîtes à outil ciblaient des failles pour lesquelles des correctifs étaient disponibles depuis 6 mois voire un an. Aujourd'hui, les pirates sont en train d'intégrer des attaques sur des failles corrigées très récemment, voire pas du tout patchées.
En ce qui concerne la défense des sites, les webmasters utilisent des pare-feu d'applications web (WAF) pour détecter et bloquer des attaques connues comme les injections SQL, traversée de répertoire, etc. Ivan Ristic, directeur de l'ingénierie chez Qualys, va discuter des techniques d'évasion au niveau du protocole permettant ainsi à un attaquant de contourner le WAF. Le spécialiste publiera un outil contenant environ 150 tests pour savoir si son pare-feu d'applications web est vulnérable à ces techniques.
Autre technologie pointée du doigt, HTML5, regroupant plusieurs standards pour la création d'applications web. Shreeraj Shah, fondateur de Blueinfy, éditeur d'applications de sécurité, interviendra sur la façon dont les technologies HTML5 peuvent autoriser des attaques furtives et silencieuses. De plus, Sergey Shekyan et Vaagn Toukharian, ingénieurs logiciels, discuteront des scénarios possibles d'attaques avec des WebSockets, une technologie HTML5, qui améliore la communication entre les navigateurs et les serveurs web. Pour les chercheurs, un des plus grands problèmes avec WebSocket, c'est que la plupart des pare-feu et que les systèmes de sécurité sur la couche réseau ne sont pas capables actuellement d'inspecter un tel trafic. Cela signifie qu'un malware ayant volé des informations peut utiliser WebSockets pour communiquer avec le serveur de commande et contrôle sans être détecté.
Mobilité et web au menu de la conférence Black Hat
0
Réaction
Les spécialistes de la sécurité se retrouvent cette semaine à Las Vegas pour présenter plusieurs failles dans certains domaines, comme la technologie NFC, le firmware des puces radio, HTML5 et les pare-feu d'applications web.
Newsletter LMI
Recevez notre newsletter comme plus de 50000 abonnés
Suivre toute l'actualité
Newsletter
Recevez notre newsletter comme plus de 50 000 professionnels de l'IT!
Je m'abonne
Commentaire