27 mars 2018

BSSI, sponsor et conférencier pour le Security Day 2018 organisé par l’ESGI

BSSI_partenaire_SecurityDay_ESGI

Cette année encore, BSSI était partenaire du Security Day de l’ESGI, journée dédiée à la Cybersécurité et à la Transformation Numérique.

Lors de cet événement, de nombreux workshops et conférences étaient organisés. Une voiture Tesla était mis à disposition des personnes qui voulaient tenter de la pirater. Les plus courageux se sont, quant à eux, rendu au CTF (Capture The Flag) organisé par le Hacklab de l’école ,et ce, de 21h à 6h du matin.

Voici un aperçu du programme de la journée :

BSSI_Security_Day_2018

Internet Threat Hunting – Catch Me If You Can

Ngoc Huy Nguyen, Directeur des opérations sécurité BSSI et ancien élève de l’ESGI, a présenté une conférence sur le Internet Threat Hunting. Cette pratique consiste à rechercher activement la source d’une attaque sophistiquée contournant les protections actuelles sur Internet.

Dans le cas présent, Ngoc a cherché à comprendre d’où viennent les pop-up qui surgissent sur nos smartphones et nous invitent à installer une application.

Ci-dessous un exemple de ce type de pop-up :

BSSI_Security_Day_2018_Popup

Après investigation, le lien renverrait vers une application douteuse disponible sur le Play store. Ces pop-up sont hébergés sur des domaines ayant des données whois offusquées, rendant la traque de l’attaquant compliquée. Ce dernier serait à l’origine des noms de domaines terminant par le TLD .xyz, et ce pour une bonne raison : le coût très faible que l’on peut trouver sur des sites comme namecheap.com (environ 1€ à l’année).

Voici à quoi ressemblent les données de whois avec et sans offuscation :

BSSI_Security_Day_2018_Whois

 

L’attaquant utilise le Cloud pour héberger ses sites. De cette manière, il est possible de multiplier les sources dans le cas où l’une d’entre elles venait à être blacklistée.

Cependant, une erreur a été commise sur un des domaines lors de son enregistrement. En effet, la personne aurait rentré une adresse email, provenant du réseau chinois Tencent @qq.com.

Une recherche sur threatcrowd.org, un moteur de recherche pour « menaces », nous a permis d’obtenir des adresses IP dans laquelle cette personne est enregistrée :

BSSI_Security_Day_2018_Cartographie

 

En utilisant l’email en pivot de recherche, on parvient à obtenir le nom de la personne :

BSSI_Security_Day_2018_email_pivot

 

À l’aide de cette adresse email, l’attaquant aurait ensuite créé une société qui existe réellement, en indiquant ses informations personnelles. Ngoc a donc été en mesure de retrouver ces informations à la suite de nombreuses recherches, notamment grâce au cache de Google. Il a également indiqué que l’on pouvait trouver cela sur le site archive.org :

BSSI_Security_Day_2018_archive

 

Les quelques statistiques sur l’utilisation des smartphones, ci-dessous, nous expliquent les raisons de ces attaques et de leurs succès. Le graphique suivant nous montre que le trafic sur Internet généré par les smartphones dépasse celle des ordinateurs de bureau depuis 2016 :

BSSI_Security_Day_2018_Statistiques

 

Il est intéressant de noter que le temps d’usage des navigateurs sur les smartphones est équivalent à une trentaine de minutes par jour aux États-Unis, comme nous pouvons le voir dans ce graphique :

BSSI_Security_Day_2018_Statistiques2

 

Il est possible d’en déduire que les internautes utilisent de plus en plus leurs smartphones pour naviguer sur internet, expliquant l’intérêt des attaquants pour ces pop-up.

Plusieurs méthodes existent pour filtrer ces pop-up :

  • Utiliser des navigateurs intégrants un bloqueur de pub tel que Brave
  • Désactiver l’exécution du code JavaScript dans le navigateur
  • Utiliser un système de proxy filtrant le contenu indésirable tel que Pi-hole

En conclusion sur cette conférence, il apparaît évident que les smartphones sont devenus une cible privilégiée pour les attaquants. Une sensibilisation est nécessaire afin de ne pas installer d’applications nous vérifiées ou ne pas naviguer sur des sites malveillants.

Thomas Zellner

Thomas Zellner :
Consultant BSSI

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *