Black Hat : petites querelles de hackers et faille dans l'Iphone

Détournement de 75 000 données personnelles, possibilité de contrôler un Iphone à distance, l'évènement de l'été en matière de sécurité est à la hauteur des attentes. Microsoft est également présent.

La conférence Black Hat, qui se tient du 25 au 30 juillet à Las Vegas aux Etats-Unis, est un des grands évènements de la sécurité informatique.

L'évènement est toujours l'occasion pour les hackers de se mesurer les uns aux autres, souvent au détriment d'un des deux camps. Cette année, un groupe, nommé Zero for owned, annonce avoir fait main basse sur 75 000 mots de passe, dont ceux d'as de la sécurité, dont Kevin Mitnick et Dan Kaminsky. Et pour prouver leurs dires, les membres de Zero for owned ont diffusé l'arborescence de l'ordinateur de Kevin Mitnick. Mais au-delà des batailles d'ego, communes dans ce milieu, plusieurs nouveautés méritent le détour.

Sur le plan des mises à jour de sécurité tout d'abord. Une telle effervescence de hacker ne pouvait en effet laisser de marbre Microsoft, qui s'est empressé la veille de l'ouverture de la conférence de corriger en urgence des failles dans Visual Studio et Internet Explorer. Il faut dire que les deux personnes qui avaient découvert la faille en question dans Internet Explorer intervenait lors de la conférence.

Prendre le contrôle à distance d'un Iphone à l'aide d'une série de SMS

Mais le géant de Redmond était aussi présent, et à aussi profité de l'évènement pour présenter ses programmes, Microsoft Active Protections Program (MAPP), Microsoft Vulnerability Research (MSVR) et Microsoft Exploitability Index. Il s'agit de trois initiatives de communication entre Microsoft et ses clients et partenaires sur les questions de gestion de la sécurité informatique et des failles en particulier.

Dans le domaine de l'Open Source enfin, Microsoft a évoqué le projet Quant, porté par la communauté Open Source, qui développe un modèle de coût pour la gestion des mises à jour de sécurité.

Apple était lui aussi présent d'une certaine manière à la conférence. Charlie Miller et Collin Mulliner, deux chercheurs en sécurité, ont en effet démontré un moyen de prendre le contrôle à distance d'un Iphone à l'aide d'une série de SMS. Les deux chercheurs précisent que la faille exploitée pour parvenir à leur fin avait été communiquée à Apple, qui n'a pour l'heure pas réagi. De fait, cette possibilité de prise de contrôle via uniquement un numéro de téléphone pose des problèmes de sécurité majeurs. "N'importe qui peut rapidement prendre le contrôle de tous les Iphone dans le monde avec cette méthode", indiquent les chercheurs.

Du côté des bases de données Oracle, enfin, de nouveaux logiciels d'intrusion ont été révélés au public. Chris Gates et Mario Ceballos, deux experts en base de données, ont présenté des outils qui devraient permettre aux administrateurs de ces serveurs de réaliser des audits de sécurité. Il s'agit en fait d'une automatisation des tests d'intrusion dans Metasploit, une plate-forme de tests d'intrusion Open Source.