Vous êtes ici

sécurité informatique

Portrait de ivan

Comment j'ai convaincu un arnaqueur de s'infecter avec Locky

tech support scam webpage

Il y a quelques jours, j'ai reçu un appel paniqué de mes parents qui avaient atterri sur cette page web (aujourd'hui inaccessible, mais voici un screenshot). Celle-ci les avertissait du fait qu'ils étaient infectés par Zeus. Ce tas d'HTML atroce avait tout pour lui : un message audio en lecture automatique, des alertes JavaScript infinies, et même un arrière plan bleu-BSoD parsemé de noms de fichiers cryptiques pour nous rappeler les bons vieux jours de Windows. Malgré celà, la page affichait une adresse IP aléatoire au lieu de mettre celle du visiteur.
Après que tout le monde ait bien rigolé sur Twitter, j'ai décidé de passer un petit coup de téléphone à ce soi-disant "support technique" pour en apprendre plus sur leur opération.

English version English version

Portrait de ivan

Broken Synapse : écriture d'un décompilateur pour fichiers DSO

Je suis un grand fan de Frozen Synapse depuis sa sortie en 2011. Il s'agit d'un jeu de stratégie en ligne comparable à une partie d'échecs dans laquelle chaque joueur déciderait de son coup en même temps et découvrirait le résultat de ses actions à l'issue du tour.
A l'instar d'un logiciel de poker en ligne mal codé, j'avais la certitude que le client du jeu recevait des informations sur la position de l'adversaire qu'il suffisait de regarder pour obtenir un avantage tactique en duel.
Cet article a fait l'objet d'une présentation à l'édition 2016 du SSTIC ! Vous pouvez télécharger les slides ici et visionner la conférence ici.

English version English version

Portrait de ivan

Broken Synapse : écriture d'un décompilateur pour fichiers DSO

Je suis un grand fan de Frozen Synapse depuis sa sortie en 2011. Il s'agit d'un jeu de stratégie en ligne comparable à une partie d'échecs dans laquelle chaque joueur déciderait de son coup en même temps et découvrirait le résultat de ses actions à l'issue du tour.

Portrait de ivan

Bypass du script antibot "testcookie"

J'ai constaté il y a quelques jours que l'application Android sur laquelle je travaille à mes heures perdues, ApkTrack, ne parvenait plus à lire l'un des sites sur lesquelles elle récupère habituellement des informations.
Pour résumer, ApkTrack fait principalement du web scraping pour collecter des informations de version, et il arrive régulièrement que les sites consultés mettent en place des mesures pour empêcher les robots, même non-malveillants, d'accéder à leur contenu. Ce post décrit l'une de ces contremesures à laquelle j'ai été confronté ce week-end, et comment elle a pu être contournée.

English version English version

Portrait de ivan

The Unparsable

Je fouinais dans ma réserve d'échantillons de virus liés au groupe APT1 quand j'en ai découvert un qui sortait du lot. Il s'agit de e480c8839e819eaa9b19d53acfa95052, et sa particularité est qu'il a mis en échec l'intégralité des analyseurs que je lui ai jetés au visage. Pourtant, il s'agit bien d'un exécutable Windows valide, et l'OS de Microsoft ne semble pas avoir de difficultés à le lancer.
Remontons les manches et jetons un coup d’œil sous le capot.
Portrait de ivan

SSL/TLS : Sauvons les meubles

Les derniers mois auront été rudes pour TLS. Après le désormais célèbre bug Goto Fail de l'implémentation Apple et son petit cousin linuxien, une nouvelle catastrophe vient d'être annoncée, cette fois-ci pour OpenSSL (CVE-2014-0160 répondant au doux nom de HeartBleed). La bibliothèque cryptographique semble vulnérable depuis 2012 à un problème de débordement de tampon qui permet de lui faire cracher jusqu'à 64k de sa mémoire.

État des lieux, et on en profite pour faire du ménage dans la foulée.

Portrait de ivan

Analyse et correctif du 0day Zimbra

Quand quelqu’un balance sauvagement un 0day sur ExploitDB, sans aucune concertation avec l’éditeur, ça me fait généralement marrer. Mais ce matin, quand j’ai ouvert les yeux et découvert qu’une faille Zimbra était tombée, j’avoue avoir traversé un instant de panique.
Puis j’ai rigolé.
Puis j’ai re-paniqué.

UPDATE (08 décembre) : Contrairement à ce qu'a annoncé l'auteur, il apparaît que le 0day n'en est pas un : le bug avait été corrigé dans les versions 7.2.2 et 8.0.2.

Subscribe to RSS - sécurité informatique