Lors de la conférence BlackHat qui a lieu en ce moment à Las Vegas, Barnaby Jack de la société de sécurité IOActive a fait une démo assez sympa en piratant 2 ATM (distributeurs automatique de billets ou DAB) de marque Tranax Technologies et Triton. Il a découvert l’année dernière plusieurs failles en analysant le code source des logiciels embarqués dans les ATM.

Pour analyser le code logiciel du Tranax, il a simplement relancé les appareils en mode débug, accédant ainsi à un Windows CE. Les ATM sont équipés de modem ou de connexion internet selon leur config… Il a donc tout simplement lancé un Internet Explorer, qui lui a permis de sortir les fichiers pour les analyser ensuite. Il a alors pu trouver une vulnérabilité qui lui a permis d’accèder à distance à l’ATM sans devoir saisir de mot de passe.

Il a alors écrit 2 petits exploits baptisés Dillinger (un célèbre braqueur de banque américain) et Scrooge (l’oncle Picsou). Le premier établi la connexion à distance sur l’ATM via un ordi ou un téléphone portable. Les ATM accessibles par modem possède un n° de téléphone qui leur est propre et seraient selon Barnaby facilement « découvrable » avec un peu de wardialing. En effet, Tranax utilise son propre protocole de communication… A partir de là, il devient relativement simple de savoir si le modem qui répond au coup de fil est un ATM ou un modem classique.

Le second logiciel, quand à lui, injecte dans le système un rootkit qui reste invisible dans la liste des processus et qui affiche un petit menu permettant de contrôler l’appareil, uniquement si on tape une certaine combinaison de touches ou qu’on insère une carte spéciale dans l’appareil. Scrooge permet ainsi de récupérer toutes les infos (n° de carte, code secret…etc) qui transitent par la machine mais aussi de sortir l’argent. Une machine de ce type peut contenir jusqu’à 600 000 dollars.

L’autre ATM, de marque Triton n’avait quant à elle pas de faille exploitable à distance. Barnaby a donc rusé et a trouvé pour 10$ sur le net, la clé qui permet d’ouvrir l’ATM. Il a alors branché une clé USB contenant un malware de sa confection sur la carte mère de l’ATM, lui faisant croire qu’il s’agissait d’une mise à jour. Les clés Triton sont identiques pour tous les ATM vendus… Il suffit donc de trouver un technicien Triton complice. Et taaaadaaa ! Il devient ensuite très simple grâce au malware de récupérer les n° et les codes secrets de toutes les cartes insérées dans la machine, et bien sûr de sortir l’argent !

Evidemment, j’en vois certains qui se préparent mentalement à aller braquer leur banque et je dois dire que ce genre de choses peut faire rêver mais

• C’est bien sûr illégal
• Ça demande beaucoup de boulot car Barnaby ne rendra pas ses logiciels publics
• Les ATM en France sont probablement d’une autre marque
• Les fabricants Triton et Tranax ont patché ces failles
• Et porter une cagoule en cette saison, pour éviter les caméras de suveillance, n’est pas chose facile.

Ça reste quand même assez impressionnant et je dois dire que la vidéo de démonstration est sympathique

En plus, je suis sûr que y’a moyen de faire pareil avec les pompes à essence 24h/24h (photo prise par moi-même il y a quelques semaines)

[Source et photo]

Si vous avez envie de jouer avec une version de développement de Chrome, ce n’est pas forcement pratique car celle-ci remplacera par défaut la version (stable) installée sur votre ordinateur. Vous devrez donc jongler avec les install / desinstall ou trouver une bidouille pour lancer différentes versions de Chrome en parallèle (avec des versions portables ?). Pas forcement pratique… Mais heureusement, Google a pensé à nous et propose depuis quelques jours une version de Chrome un peu spéciale de Chrome baptisée : Canary build.

Cette release s’installe ainsi à côté de votre version stable de tous les jours, et vous pourrez ainsi jouer avec les nouveautés de la release de developpement.

Version stable actuelle 5.0.375.125 :

Version dev Canary build 6.0.478.0 :

Seul « défaut », la seule release de Canary disponible pour le moment tourne sous Windows uniquement. J’en ai profité pour tester la version 6 de Chrome avec un menu un peu revu qui est plutôt pas mal pensé et la synchro des bookmarks, des préférences et des themes entre 2 ordinateurs utilisant le même compte gmail.

Ah et sinon, sachez aussi que Firefox 4 Beta 2 est sortie et je dois dire que mis à part certains extensions qui ne fonctionnent pas, le reste c’est que du bon.

Merci à Stéphane pour l’info !

[Source et photo]

MultiFox est une petite extension pour Firefox bien sympa qui permet de se logger sur le même site web (gmail, twitter, facebook ou celui que vous voulez) avec des identifiants différents. Un simple clic droit sur un bookmark ou un onglet, vous sélectionnez « Open in a New Identity Profile » et une nouvelle fenêtre Firefox s’ouvrira et vous pourrez vous logger avec un compte différent. Je n’ai pas trouvé d’explications techniques sur le fonctionnement de la chose, mais je pense que Multifox crée/duplique des profils temporaires supplémentaire dans firefox, qui sont chacun indépendant niveau cookies and co.

Si vous fermez une des fenêtres, Multifox sera capable de restaurer la session avec les sites précédemment ouverts. Bref, ça peut toujours servir surtout si vous jongler entre plusieurs de vos identités virtuelles .

Multifox est téléchargeable ici.

[Source]

WallSaver est une petite application pour Mac qui permet de mettre un économiseur d’écran à la place du fond d’écran habituel.

Ça ne sert strictement à rien mis à part que ça fait joli (et ça ne bouffe pas trop de ressources)

Pour Ubuntu, voici un petit tuto (et un autre ici) qui vous permettra de faire la même chose mais sinon, sachez que ça peut aussi se configurer dans les options de Compiz.

Puis pour ceux qui sont sous Windows, je n’en connais pas, désolé, mais il doit exister un tas de freewares en tout genre qui permettent de faire ça. Je vous ai quand même trouvé un petit tuto que je n’ai pas encore testé mais qui apparement fonctionne sous Seven. Puis pour me rattraper de cette ignominie, promis demain j’vous balance quelques bons utilitaires Windows

[Source]

Au début, j’ai rien compris du tout à cette histoire… 7 clés distribuées à des gens en Grande Bretagne, Etats Unis, Burkina Faso, Trinidad et Tobago, Canada, Chine, et en République Tchèque par l’ICANN pour je cite « rebooter Internet » ! Hmmm… ça fait vachement science fiction ça rebooter l’internet… Enfin, sauf pour ma mère qui te dira que Internet reboot à chaque fois qu’elle passe l’aspirateur derrière la freebox, donc que c’est parfaitement crédible. Arf !

J’ai donc cherché à en savoir un peu plus sur ces cartes qui ont été distribuées à travers le monde.

L’idée de départ, c’est qu’en cas d’invasion alien ou de cyber-guerre mondiale (ou simple hack malveillant), le DNSSEC (système qui gère la sécurité des DNS en les signant pour être certain de leur véracité) pourrait être compromis ou endommagé et ainsi permettre à des crackers malveillants de faire pointer nos URL de tous les jours vers d’autres serveurs potentiellement dangereux. Imaginez aller sur Voila.fr dès que vous tapez Google.com et vous apercevez l’ampleur du cauchemar. Ou pire, qu’à chaque fois que vous entrez votre n° de carte bleue sur un site sécurisé pour de vrai, toutes vos infos bancaires sont transmises à un « tiers de confiance » au fin fond de la Russie… Brrrr.

On avait vu le cas théorique il y a quelques mois maintenant avec cette découverte par Dan Kaminsky d’une faille qui aurait permis de faire du DNS poisoning sur n’importe quel serveur DNS. La faille avait d’ailleurs été corrigée dans le plus grand secret au bout de 8 mois de boulot.

Pour éviter que les serveurs racines ROOT ne sombrent trop longtemps dans ce côté obscur en cas de pépin, les cartes distribuées contiennent les morceaux chiffrés d’une clé qui permettra de se logger sur la zone DNS racine et réinitialiser le bouzin (la zone source) pour que tout refonctionne comme avant (et corriger les bugs). C’est un peu comme avoir la clé du bureau personnel du grand architecte de Matrix. Quoiqu’il en soit, si ce cas de figure se présente, au minimum 5 de ces 7 personnes devront prendre l’avion et se rendre au coeur de l’ICANN pour tapoter sur cette machine et faire un gros reset des DNS Root !

On connait déjà l’identité de 2 personnes sur 7 : Dan Kaminsky dont je vous parlais à l’instant et Paul Kane de l’Université de Bath. On connait la tronche de la machine et le type de carte à puce. Quelques hackers freelance faisant équipe à quelques anciens de la CIA (pour débusquer et dezinguer les mecs) et hop, on tient un super scénario de liquidation totale pour hollywood. Au final, je pense que cette opération est surtout là pour promouvoir leur outil de signature de DNS de l’ICANN et on peut souhaiter que personne n’ai jamais à se servir de ces cartes.

Ps : Papa, c’est toi ?

[Source et plus d'infos dans cette vidéo et photo]

Il y a quelques années maintenant, en 2006 pour être précis, je partageais avec vous ce site, Musicovery,  qui permettait d’écouter de la musique en stream en fonction de son « énergie » du moment.

Et hier soir, l’ami Zealot, fidèle lecteur de korben.info m’a fait découvrir Stereomood qui va encore plus loin et qui propose des playlists en fonction de notre humeur :

ou de nos activités :

Plus moyen de se tromper dans le choix de la musique lors de votre soirée romantique avec Raymonde, lorsque vous avez besoin de concentration au taf, ou lorsque vous êtes au bord du suicide J’ai testé pas mal de playlists et je dois dire qu’elles collent bien avec leurs thèmes. Vous pouvez bien sûr créer votre compte et ainsi composer vos propres playlists, les tagger, les acheter sur iTunes ou Amazon, ou les partager sur les réseaux sociaux avec vos amis. Stereomood a encore pas mal de petits défauts d’intégration mais rien de bien méchant et le seul truc qui est dommage je trouve, c’est que la chanson se coupe dès qu’on change de page.

Mis à part cela, le concept reste vraiment super, la musique excellente et le site a trouvé sa place dans mes bookmarks.

J’espère qu’il vous plaira aussi.