Pour gérer vos consentements :

Cupidon injecte la faille Heartbleed dans les routeurs WiFi et Android

En sismographie, on appelle cela les répliques. Il y a 7 semaines le monde découvrait une faille répondant au nom de Heartbleed. La vulnérabilité référencée CVE-2014-0160 permet à des pirates d’accéder aux informations personnelles (jusqu’à 64 Ko de données) et chiffrées des utilisateurs lors de transactions en ligne. Le trou de sécurité touche le logiciel OpenSSL chargé de protéger login de connexion, mot de passe, numéro de carte bancaire et autres données depuis le serveur qui héberge la transaction en cryptant la communication réalisée depuis le terminal (PC, tablette, smartphone…) sous protocole SSL/TLS.

Or depuis la découverte de la faille, éditeurs et constructeurs ont rapidement travaillé pour apporter des correctifs à cette vulnérabilité. Une grande majorité des produits sont maintenant à l’abri, même si une étude récente montrait qu’environ 320 000 serveurs étaient encore vulnérables. De manière assez régulière, des constructeurs avertissent leurs clients sur la mise en place de correctifs liés à Heartbleed. C’est le cas notamment de Schneider Electric qui a listé les produits vulnérables.

Une méthode baptisée Cupidon

Aujourd’hui, c’est un chercheur en sécurité portugais, Luis Grangeia, qui publie une méthode d’attaque s’appuyant sur Heartbleed via les réseaux WiFi et les terminaux Android. De manière assez poétique, le chercheur a baptisé son attaque, Cupidon. Il a utilisé la faille dans OpenSSL mais dans un environnement WiFi fermé (notamment en entreprise). Concrètement, il explique que les réseaux sans fil d’entreprise utilisent des tunnels TLS pour sécuriser une partie des processus d’authentification (EAP). Il a donc créé un patch pour le logiciel de sécurisation du WiFI, WPA supplicant et le logiciel de création de point d’accès WiFi, Hostpad. Cupidon permet de capturer les informations transitant entre le routeur et le terminal.

Sur le terminal, le chercheur indique que « les appareils sous Android 4.1 (Jelly Bean) sont particulièrement vulnérables » et appelle donc les utilisateurs à mettre à jour leurs mobiles ou tablettes.  Mais dans sa présentation, Luis Grangeia évoque des risques sur d’autres appareils qui pourraient utiliser OpenSSL pour les tunnels TLS EAP et de citer avec un point d’interrogation iOS et MacOS X. Les solutions WiFi sont bien évidement pointées du doigt avec Cisco/Merkai, Aruba, Trapeze, etc, mais pas seulement les téléphones sur IP ou les imprimantes peuvent être impactées par cette attaque.

La Core Initiative Infrastructure investit sur la sécurité des projets Open Source

Cette nouvelle méthode d’attaque montre les besoins en sécurité des projets Open Source. Les grands acteurs de l’IT (Microsoft, Facebook, Google et plus récemment Salesforce ou Adobe)  se sont mobilisés pour apporter leur aide technique et financière dans la sécurisation et les tests des projets Open Source critiques. La Core Initiative Infrastructure, présidée par la Fondation Linux, vient de dresser la liste des projets prioritaires. Sans surprise, OpenSSL arrive en tête après l’affaire Heartbleed. On constate également que l’accent va porter sur OpenSSH et le Network Time Protocol (NTP). Ce dernier inquiète particulièrement les spécialistes en sécurité par son usage dans les récentes attaques DDoS par amplification.

A lire aussi :

Une faille dans l’intégration d’OAuth 2.0 et OpenID touche les acteurs du web

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

14 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

15 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

18 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

21 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

24 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

2 jours ago