fbpx

Archive de l’étiquette Actualités Informatique

ParDamien

Des chercheurs arrivent à voler des frappes clavier via la faille des CPU Intel

Le Data-Direct I/O (ou DDIO) d’Intel doit améliorer les performances de ses processeurs. Malheureusement, des chercheurs ont annoncé que le système est également sujet aux vols de frappes clavier.

L’attaque mise au point par les scientifiques, baptisée NetCAT, peut être exploitée pour obtenir des informations sensibles.

Le DDIO incriminé

Le système responsable de la faille a été mis au point, puis introduit par Intel en 2011. C’est le Data-Direct I/O, une amélioration qui autorise les cartes réseaux et d’autres périphériques à se connecter directement au cache du processeur. Jusque-là, ces périphériques devaient se connecter à la mémoire principale, signifiant un chemin plus long pour les données. Le DDIO a ainsi promis une optimisation de la bande passante, une réduction de la latence et de la consommation en énergie.

Les chercheurs de l’université d’Amsterdam et de l’ETH de Zurich ont cependant averti que, dans certaines situations, les hackers pouvaient utiliser ce DDIO pour la récupération de frappes clavier. Si l’on pense en priorité aux ordinateurs personnels, la menace la plus grave concerne les data centers et les environnements liés au Cloud, susceptibles de disposer à la fois du DDIO et d’un accès mémoire à distance (RDMA) pour permettre l’échange de données.

Lire aussi :
De nombreux processeurs Intel affectés par une faille au doux nom de ZombieLoaD

Attaque NetCAT

Dans leur publication parue mardi 10 septembre, les chercheurs soulignent la gravité de la faille : « Alors que NetCAT est puissante même dans les cas les plus simples, nous pensons que nous avons à peine caressé la surface de ses possibilités pour les attaques réseau du cache, et nous nous attendons à des attaques similaires à NetCAT à l’avenir ».

L’attaque NetCAT, pour Network Cache Attack, est en partie basée sur les utilisations de la langue les plus fréquents. Par exemple, il est plus fréquent qu’un « E » suive un « S » lorsque l’on écrit, plutôt qu’un « G ». Ces pratiques donnent des indices permettant de déduire quelles lettres ont été tapées au clavier. Les chercheurs ont indiqué avoir utilisé les fonctionnalités de contrôle à distance du RDMA « par commodité ». Ce n’est pas une obligation, et les attaques futures pourront ne pas en avoir besoin pour être effectuées.

D’autres aspects, comme le temps de transfert des paquets, fournissent également des pistes permettant de décrypter les frappes clavier : le rapport des chercheurs détaille le fonctionnement de l’attaque dans son ensemble.

Lire aussi :
GPS : des centaines de milliers de trackers sont vulnérables à un piratage à distance

Kaveh Razavi, l’un des chercheurs de l’université d’Amsterdam, appelle donc à la désactivation du DDIO : « Dans les paramètres d’échanges avec des clients peu fiables, où la sécurité compte davantage que les performances, nous recommandons de désactiver DDIO ».

Source : Ars Technica

ParDamien

Le paiement sur Internet s’arme d’un nouveau système antifraude fonctionnel dès demain

Pour lutter contre la fraude lors des achats sur Internet, généralement moins sécurisés que les paiements en boutique, les méthodes évoluent. Le code de confirmation par SMS va bientôt disparaître, au profit d’une authentification plus robuste, via les applications bancaires.

Le 3-D Secure est un protocole sécurisé dédié aux paiements sur Internet. Il consiste à demander à l’acheteur des informations supplémentaires, en plus de celles de sa carte bancaire, comme le très courant code de confirmation envoyé par SMS.

Payer grâce à ses empreintes digitales ou son visage

Si ce procédé peut sembler fastidieux à certains utilisateurs, il présente surtout l’inconvénient de ne pas être si sécurisé que cela. En effet, comme le prouve la récente affaire de l’arnaque à la carte SIM, dont a été victime le P.-D.G. de Twitter, il n’est pas très compliqué, pour un pirate, de détourner un numéro de téléphone vers un autre appareil.

C’est pourquoi la Commission européenne, à travers la nouvelle directive sur les services de paiement (DSP 2), a décidé de mettre fin à cette méthode, au profit d’un système d’« authentification forte ». Concrètement, après un achat sur Internet, les sites sécurisés devraient vous proposer un nouveau moyen de confirmer le paiement, généralement par une alerte sur votre smartphone, directement via l’application mobile de votre banque. L’avantage de ce procédé ? Il sera alors possible d’avoir recours à la reconnaissance digitale ou faciale pour vous identifier de façon sécurisée.

Évolution progressive

Le changement devrait intervenir dès le 14 septembre 2019, mais il ne sera certainement pas immédiat. En effet, la directive laisse aux banques et aux commerçants en ligne jusqu’à la fin de l’année 2022 pour adopter le nouveau système.

Il faut toutefois espérer que la transition ne prenne pas trop de temps. Selon Matthieu Robin, chargé de mission sur le secteur financier à l’UFC-Que choisir, les paiements en ligne « sont sept fois plus à l’origine de fraudes que les retraits en distributeurs et dix-sept fois plus risqués que les paiements en magasin ».

Par ailleurs, si vous êtes vous-même victime d’une fraude, sachez que selon la loi, votre banque est tenue de vous rembourser intégralement (sauf en cas de négligence grave de votre part). Pourtant, dans les faits, ce ne serait aujourd’hui pas systématique. L’association de défense des consommateurs affirme ainsi que « 20 % des fraudes ne donnent pas lieu à un remboursement ».

Source : Le Parisien