Tous les articles par Kad

Le bloggeur Bluetouff condamné à 3000€ pour une recherche Google

D’après le NouvelObs,

Le bloggeur Bluetouff a été condamnée à payer 3000€ pour une recherche Google où il est arrivé à récupérer des documents non privés, référérencés directement par Google venant directement de l’Anses (Agence National de Sécurité Sanitaire de l’alimentation, sanitaire, et de l’environnement)…
Le représentant du ministère public a même affirmé qu’il n’avait pas compris la moitié des termes utilisés lors de la procédure.

Bref, où va le monde !

SPIPScan

Voici un article pour vous annoncer la sortie de SPIPScan.

Dans la même lignée que WPScan, DPScan, cet outil vous permettra donc de l’utiliser si vous êtes amenés à auditer une plateforme SPIP.
L’outil permet pour le moment de :

  • Détecter la version,
  • Identifier le répertoire contenant les extensions
  • Essayer de bruteforcer les noms des répertoires pour récupérer les plus connues. (le top 30)
  • Identifier si de possibles vulnérabilités sont présentes sur la pateforme (en fonction de la version)

Le projet vient de sortir il y a quelques heures. N’hésitez pas si vous avez des remarques.

Le projet est développé en Python et releasé sous license MIT sur GitHub.

 

Bitcash.cz hacké, les 4000 porte feuilles envolés !

D’après CoinDesk, le site BitCash.cz s’est fait hacké.
Les pirates sont donc partis, emportant plus de 4000 portes-feuilles de clients..

Le hack semble avoir eu lieu le 11 novembre, et le site est atuellement down.

Après leur publication affirmant leur nombre de clients, le site n’aura survécu qu’1 mois attisant les pirates..

De plus, une attaque par phishing est lancé à l’encontre des utilisateurs, leur demandant d’envoyer 2 Bitcoin à un certain porte feuille afin que leurs Bitcoins leurs soient retournés.. La blague !

Freedom Host pwné, l’un des admins arrêté

Via DailyDot :

Le site Freedom Host, l’un des hébergeurs les plus médiatisés du « Dark Net », semble avoir été compromis par la coopération du FBI et Verizon. Son administrateur, Eric Eoin Marques agé de 28 ans, a été arrêté ; il est considéré par le FBI comme le plus gros « facilitateur » de pédo-pornographie au monde.

Freedom Host permettait en effet d’héberger de nombreux sites pédophiles (Lolita City etc.) de manière « anonyme », les utilisateurs étant ainsi protégés. Cependant, grâce au FBI et à Verizon, ils sont arrivés à injecter du javascript qui chargeait une iframe pointant sur un des serveurs de Verizon.

L’exploit ciblait la version 17 de Firefox, version de Firefox utilisée dans le bundle Tor.

De plus, l’article est très intéressant car il revient sur les attaques réalisées par les Anonymous voulant mettre à mal les sites pédophiles comme Lolita City. Ce type d’attaque avait été orchestré par l’illustre Sabu (ex-leader de Lulzsec) plusieurs mois après le début de sa coopération avec le FBI, à se demander qui était réellement derrière ces attaques…

En bref, les utilisateurs de ces sites plus que douteux ont du soucis à se faire..

EDIT: Il semble que TorMail était hébergé sur cette même plateforme…

EDIT2: D’après le forum CryptoCloud, il semblerait qu’en cherchant un peu plus loin, l’IP fasse parti de la NSA et non pas du FBI, PRISM quand tu nous tiens..

Un chercheur interdit de réveler ses recherches sur les voitures de Luxe

Via TheGuardian,

Un chercheur anglais a été interdit de publier un papier de recherche dans lequel il révélait de nombreuses vulnérabilités sur les voitures de Luxe. Les cibles étant Porsches, Audis, Bentleys etc.
Ce dernier est donc arrivé à cracker le système de sécurité en découvrant l’unique algorithme qui autorise la voiture à vérifier l’identité de la clé du porteur.

La justice a invoqué que si révélé, des gangs criminels pourraient utiliser ces informations afin de voler une quantité impressionnante de voitures de luxe..

Vivement quelques mois/années que les fabricants patchent ces vulnérabilités pour voir le travail de ce chercheur.

Java dans les entreprises..

Via The Register,

Une étude a été réalisé, mettant en évidence dans une entreprise « moyenne » que ~50 versions de Java étaient installées. Un véritable cauchemar pour les administrateurs systèmes / réseaux. A savoir que 5% de ces entreprises ont plus de 100 versions différentes. (un nombre de vecteur d’attaque des plus intéressants).

Avec la quantité de 0-days qui sortent depuis maintenant plusieurs mois, c’est donc un jeu d’enfants pour des personnes souhaitant récupérer des accès dans une entreprise..

Oops. Tumblr !

Via TheRegister,

L’application iPhone/iPad Tumblr, durant la phase de login, envoyait les informations en clair sur le réseau.

Dodi Glenn, faisant parti de la firme ThreatTrack Security a bien confirmé le fait que la version iOS n’utilisait aucune encryption pour la partie Login..
Le fait d’utiliser cette application sur un réseau « douteux » aurait pu permettre à un attaquant de récupérer les détails d’authentification d’un utilisateur via une attaque par Man In the Middle (MITM) par exemple.

L’équipe de Tumblr a réagi très rapidement en fournissant « a very important security update » (un important patch de sécurité) pour les applications iOS.

Edit: quelques nuances sur le fait que l’équipe de Tumblr ait réagi « rapidement », cette vulnérabilité avait été reporté plus de 2 semaines avant..

Burito : Un outil de brute force de formulaires web

Burito est un logiciel en Python dont le fonctionnement est proche d’Hydra de THC mais qui se destine aux formulaires web.

Du fait qu’il soit plutôt générique, il permet de s’adapter à tous les types de formulaires, et permet avant tout de gérer les paramètres dynamiques insérés dans les formulaires. (ex: Token CSRF, ce qu’Hydra ne gère pas)

Pour le moment, seulement deux types d’attaques sont possibles : via une liste de mots de passe (dictionnaire) ou par force brute (on peut spécifier un charset, longueur min et max).

La vérification d’un login réussi peut se faire via la recherche d’un pattern dans la réponse HTML ou la réception d’un code HTTP particulier. Voir les options dispos pour plus d’infos.