Apple Pay/VISA : une faille permet d’effectuer des paiements même si le téléphone est verrouillé
Des chercheurs universitaires britanniques ont révélé une technique permettant à de potentiels attaquants de contourner l’écran de verrouillage d’un iPhone pour accéder aux services de paiement et effectuer des transactions sans contact.
En effet, habituellement, pour qu’un paiement soit effectué, les utilisateurs d’iPhone doivent l’autoriser en déverrouillant le téléphone (via Face ID, Touch ID ou mot de passe). Toutefois, une carte VISA peut être configurée en mode Transport Express, mode qui existe pour les usagers de transports en commun dans les lieux où il est possible de payer directement avec Apple Pay pour accéder aux transports, et ainsi éviter aux usagers d’avoir à s’authentifier au moment de passer les portiques.
Ce mode repose sur l’envoi d’une séquence non standard d’octets appelée "Magic bytes" par les portiques de transport en commun pour déverrouiller Apple Pay. En menant un attaque par relais à l’aide d’un équipement radio, les chercheurs sont parvenus à faire croire à un Iphone que celui-ci communique avec un portique, puis à rediriger le signal vers un terminal de paiement. Ainsi, l’Iphone ne demande pas à être déverrouillé et le paiement est validé à l’insu de l’utilisateur.
Non corrigée à ce jour, la vulnérabilité reste difficilement exploitable à grande échelle. Les autres cartes telles que Mastercard ou American Express, ou encore l’application Samsung Pay ne sont pas affectées par ce type de faille.
Sécurisation de VPN : Les recommandations de la NSA et CISA
Mardi, les agences américaines NSA et CISA ont publié des directives pour une utilisation sécurisée des solutions de réseau privé virtuel (VPN).
Ce document fait suite au constat de l’augmentation des attaques contre des structures privées ou entités gouvernementales exploitant les faiblesses des systèmes VPN. Ces vulnérabilités comptent parmi les plus exploitées en 2020 selon un rapport de CISA.
Les serveurs VPN sont en effet des points d’entrée dans des réseaux protégés ce qui en fait des cibles de choix, encore plus récemment avec l’adoption massive du télétravail où de nombreuses structures ont dû opter pour ce type d’outil. Par conséquent, afin de limiter le risque de compromission, les agences ont publié plusieurs recommandations de sélection de solution VPN ainsi que des instructions de durcissement des systèmes. Parmi les bonnes pratiques, on retrouve l’usage de méthodes d’authentification forte comme l’authentification multi-facteurs, la prise en compte rapide de correctifs de sécurité et mises à jour, une limitation aux fonctionnalités strictement nécessaires, etc.
En matière de cryptographie, le fait que la NSA recommande seulement l’usage de VPN IKE/IPsec soulève quelques interrogations ; notamment car le protocole est connu pour être un capharnaüm de par le nombre de standards le définissant, et du fait que la liste des algorithmes approuvés n’a pas été mise à jour depuis 2016, et n’inclut donc pas certains mécanismes plus récents jugés robustes par la communauté.
Cela n’empêche en rien de saluer l’initiative.
Mariana Trench : Analyse d’applications Android et Java
Mercredi, Facebook a open-sourcé son outil d’analyse statique Mariana Trench utilisé pour repérer et prévenir les bogues de sécurité et de confidentialité dans les applications Android et Java.
Ce partage se fait dans la continuité de la publication d‘autres outils d’analyse statique de code par la société depuis 2019. Facebook indique identifier plus de la moitié des bogues de sécurité affectant ses applications à l’aide de tels outils automatisés.
Let’s Encrypt : Expiration du certificat racine
Hier, à 16h01, le certificat IdentTrust DST Root CA X3 utilisé par Let’s Encrypt, a expiré. Il s’agit en particulier d’un des certificats, qui par le passé, signait le certificat intermédiaire IRSG Root X1 – utilisé pour la création des certificats Let’s Encrypt.
Par conséquent, pour des vieux systèmes, ce certificat ne pourra plus être considéré comme légitime, et des services en ligne pourraient se retrouver indisponibles. Les systèmes régulièrement mis à jour ne seront pas impactés.
Ya plus, je laisse ?
Amazon a dévoilé cette semaine son premier robot domestique Astro. Toutefois, il ne serait pas aussi abouti qu’annoncé.