Archives de catégorie : Sécurité & criminalité

Failles alléguées dans l’outil Cellebrite UFED: on pourrait devoir douter de preuves tirées de cellulaires verrouillés

Publié le par

Comme on s’en doute, les policiers se butent parfois à des appareils cellulaires dont le contenu n’est pas accessible pour eux, parce que verrouillé. Principe de base en sécurité, autant pour les citoyens honnêtes que les malfrats : verrouillez votre appareil lorsqu’il n’est pas utilisé. Pour les policiers, cela crée parfois des problèmes puisque la preuve requise se trouvera parfois à l’intérieur d’un appareil ainsi bloqué. Quand cela se produit, les forces de l’ordre disposent de certains outils qui peuvent s’avérer utiles, notamment le produit UFED d’une société israélienne nommée Cellebrite.

En utilisant UFED, les forces de l’ordre pourront parfois avoir accès aux données que renferme l’appareil mobile d’un suspect, y compris s’il s’agit d’un cellulaire de marque iPhone. On s’en doute, l’accès aux données d’un cellulaire peut s’avérer une mine d’or pour trouver de la preuve, incluant les messages, les fichiers, etc.

Or (et c’est là que l’histoire devient intéressante), récemment on est parvenu à mettre la main sur UFED et à en examiner la sécurité ou, plus précisément, la quasi-absence de sécurité, selon certains. En fait, selon le rapport à ce sujet que faisait Moxie Marlinspike (créateur de l’appli Signal), le produit de Cellebrite s’avère tellement truffé de vulnérabilités logicielles qu’on peut aisément le corrompre simplement en l’utilisant sur un cellulaire piégé. Selon lui, quand cela se produit, certains rapports issus d’UFED pourraient être modifiés à l’insu de l’opérateur.

Ce que cela a à faire avec le droit, c’est que les médias rapportent qu’un procureur de la défense (créatif, disons-le) s’est déjà emparé de cette information afin de contester la condamnation de l’un de ses clients, laquelle avait entre autres été obtenue grâce à de la preuve générée par UFED. Après tout, si on ne peut se fier sur les résultats d’un outil utilisé pour créer de la preuve, ne devrait-on pas à tout le moins pouvoir contester le résultat d’un procès dans lequel une telle preuve a été présentée? En telles circonstances, il est concevable que certaines condamnations (liées à de la preuve obtenue grâce à UFED) puissent être remises en question, incluant en demandant la tenue de nouveaux procès.

UFED serait utilisé à grande échelle par les forces de l’ordre, particulièrement quand une enquête se bute à un iPhone verrouillé. On ignore encore combien de cas cela pourrait toucher si ce problème d’UFED est un jour confirmé.

Voilà donc là un nouvel exemple de l’interaction perpétuellement problématique entre la cybersécurité et le droit.

Un tribunal américain permet au FBI de colmater les brèches de centaines de serveurs Exchange

Publié le par

On rapportait hier qu’un tribunal du Texas aurait rendu une ordonnance permettant aux forces de l’ordre d’accéder à des serveurs de courriels d’entreprises compromis par des pirates informatiques liés à l’état chinois. Le but: fermer des portes laissées déverrouillées par les attaques récentes d’envergure contre des serveurs Exchange.

Comme on s’en souviendra, des criminels ciblent depuis mars des serveurs affectés de quatre vulnérabilités permettant à des attaquants de les pénétrer et d’en piller les courriels et l’information, etc. Les intrusions résultantes ont notamment permis à des pirates de découvrir les secrets d’entreprises emmagasinés dans leurs serveurs Exchange et de déployer des rançongiciels.

Depuis, bien que Microsoft a déployé des correctifs logiciels, beaucoup d’entreprises tardent à appliquer ces correctifs, sans parler du fait que même une fois ces brèches colmatées, il est trop tard pour des centaines de réseaux d’entreprises déjà pénétrés et dans lesquels les pirates ont eu le temps d’installer des portes dérobées (ou «backdoors»). Si un malfrat vole vos clés de maison et a le temps d’en faire des doubles, êtes-vous toujours en sécurité chez vous une fois vos propres clés récupérées? Évidemment pas.

Devant ce fléau, le département américain de la Justice aurait obtenu qu’on autorise le FBI à accéder aux serveurs touchés par les vulnérabilités en question, par Internet, en donnant une commande de nettoyage aux serveurs qu’on sait infectés. Les forces de l’ordre expriment récemment leur désir d’étendre ainsi la gamme des outils à leur disposition afin de composer avec de pareils problèmes de cybersécurité.  

Cachez ce code HTML dans votre nom d’entreprise, que je ne saurais voir

Publié le par

On rapporte qu’un entrepreneur anglais se faisait récemment demander par le registraire des entreprises de ce pays de changer le nom de sa société, qu’il avait nommé par du code HTML, en l’occurrence «““>». La raison? Le code pose un risque dans certaines circonstances, quand un usager tente d’interagir avec un nom dans la base de données du registraire anglais.

Le code en question avait le potentiel de permettre de générer une attaque informatique connue sous le nom de «cross-site scripting» («XSS») à partir du site du Companies House (l’équivalent anglais du Registraire des entreprises du Québec) et de son API. Le XSS est un type de faille qui permet à un tiers d’injecter son propre code dans celui qui dirige un site légitime vers le fureteur des visiteurs, résultant potentiellement dans l’exécution d’un programme qui n’a rien à voir avec le site que l’usager voulait consulter — étant entendu que ce code peut alors être n’importe quoi, incluant du code malicieux.

Ici, l’API en question est une interface que rend disponible le registraire anglais afin de permettre qu’on interroge sa base de données sans devoir passer par son site comme tel. En combinaison avec une requête comprenant les caractères composant le nom de la société en question, cela aurait permis d’exécuter du code tiers, ce qui aurait possiblement compris du code dangereux.

Bien que l’entrepreneur en question n’avait aucune mauvaise intention ici, le registraire lui a tout de même demandé de bien vouloir modifier le nom de sa société, ce qu’il a accepté de faire, en la renommant «THAT COMPANY WHOSE NAME USED TO CONTAIN HTML SCRIPT TAGS LTD».

Bref, cela ouvrait une brèche qu’on a maintenant colmatée, mais qui démontre bien que les registraires d’entreprises ont avantage à mieux valider les noms commerciaux qui entrent dans leurs bases de données. Ce n’est pas quelque chose que le gouvernement avait prévu en élaborant ses règles quant aux noms commerciaux qui s’avèrent acceptables pour inscription sur le registre des entreprises. Bienvenue en 2020!