Les experts sécu de la société Senrio étaient en train d'auditer des caméras IP de la marque Axis quand ils sont tombés sur une faille dans la couche de communication de gSOAP. Pour ceux qui ne connaitraient pas, gSOAP est un outil open source utilisé pour développer des webservices.

Cette faille toute fraiche baptisée Devil's Ivy (CVE-2017-9765) permet à un attaquant d'exécuter du code à distance sur les serveurs. Toutefois, les clients peuvent aussi être touchés s'ils reçoivent des messages SOAP de serveurs vérolés. Si on reste sur l'exemple des caméras Axis, on peut grâce à cette faille accéder à un flux vidéo privé, voire même empêcher le propriétaire de la caméra d'accéder au flux.

gSOAP a été téléchargé plus d'un million de fois par des développeurs du monde entier et est très utilisé dans de nombreux projets, y compris dans de grosses boites comme Microsoft, IBM ou encore Adobe. Cela signifie que de nombreux autres logiciels ou objets connectés utilisant gSOAP peuvent eux aussi être affectés par Devil's Ivy.

Voici une démonstration vidéo de l'exploitation de cette faille sur une caméra Axis M3004 :

Senrio fait les recommandations suivantes pour se protéger :

• Ne pas rendre dispo ses objets connectés, ses alarmes, caméras de sécurité et compagnie sur le net. Au premier juillet, Shodan indiquait plus de 14 700 caméras dôme Axis faillibles accessibles depuis n'importe où sur la planète.
• Installer des systèmes de protection genre firewall devant vos objets connectés ou utiliser au moins du NAT pour réduire l'exposition et améliorer la détection d'éventuelles attaques
• Patcher vos appareils dès que les constructeurs sortiront des mises à jour.

Ce dernier conseil m'amuse beaucoup dans on voit ce qui s'est passé avec EternalBlue... Donc j'imagine qu'on entendra à nouveau parler de Devil's Ivy, ou peu importe ses prochains noms, dans un futur relativement proche (quelques mois ?)

Source

Alors ça, c'est le bug qui fait tâche, et qui pourrait même être dangereux. Un internaute a remarqué que le OnePlus 5 n'était pas capable d'appeler les numéros d'urgence (Le 911) sans que l'application dialer (celle qui sert à composer les numéros) se plante lamentablement et le téléphone redémarre.

Démonstration :

OnePlus est informé et a publié le commentaire suivant :

"We understand many users on Reddit are waiting for the feedback from OnePlus. Here's the latest update that we can share with you: We have contacted the customer and are currently looking into the issue. We ask anyone experiencing a similar situation to contact us at support @ oneplus.net. Let me know if you have any questions. Thanks, David"

Bref, c'est en cours d'investigation. Je n'ai pas de OnePlus 5 donc je ne peux pas tester (et je n’ai pas non plus envie d'emmerder les pompiers ou la police) donc aucune idée si ça fait la même chose avec nos numéros d'urgence à nous. Mais d'après que ce que je comprends, il s'agit d'une incompatibilité entre le framework utilisé par le dialer et les dialers autres que l'officiel d'Android (dialer stock). Donc peu importe le numéro d'urgence, ça va planter pareil.

Edit 19/07/2017 : Certains Korbenautes m'indiquent que ça n'a pas planté sur leur téléphone. Peut-être que le souci touche que le 911... On verra si on en apprends plus dans les heures qui viennent.

En effet, le bug ne se produit pas avec le dialer stock d'Android et une mise à jour des Googles Apps pour installer le framework nécessaire à ces dialers suffirait à régler le problème. Je pense donc que OnePlus va régler ça assez rapidement.

Edit : 20/07/2017 : Problème corrigé par OnePlus

Source

Philippe Tring, développeur dans la startup Plezi a réalisé une conf super sympa lors du dernier RJDay où il explique ce qu'est la vie dans une startup et comment choisir celle qui vous correspond le plus.

Depuis plusieurs années, j'ai des tas d'idées de films, de documentaires et autres qui me trottent dans la tête et que j'aimerai vous montrer ici sur ce blog en attendant qu'un jour Netflix me contacte ;-))). Et l'année dernière j'ai eu la chance de rencontrer et de travailler avec Florian Belmonte que vous commencez aussi un peu à connaitre. Tout de suite, j'ai beaucoup accroché avec son travail qui était dans la ligne directe de ce que j'avais en tête. Je cherchais un réalisateur qui envoie pour faire le film et je lui ai donc proposé de bosser avec moi sur ce 1er projet de film.

J'ai alors imaginé une série de portraits de gens qui font le net, qui y contribuent et qui en sont les acteurs. Évidemment, tout ceci coûte de l'argent et j’ai autofinancé ce premier épisode d'abord parce que c'était un rêve de gosse de sortir un vrai film, mais aussi parce que j'espère qu'un maximum de monde le verra et que cela ouvrira des portes pour m'aider à en produire d'autres derrière. En tout cas, je l'espère.

Et pour le premier, il me fallait quelqu'un qui nous fasse confiance à Florian et moi et qui soit suffisamment à l'aise pour parler face caméra. J'ai shortlisté plusieurs personnes... connues et inconnues et je me suis arrêté sur Patrick Beja.

Pour ceux qui ne connaitraient pas encore Patrick, pour le présenter en 2 mots, c'est un podcasteur qui avait un bon poste chez Blizzard et qui a tout laché pour sa passion. Grâce à sa communauté, il peut maintenant en vivre et réalise plusieurs émissions comme Le Rendez-Vous Tech, Appload (à laquelle je participe), Le Rendez-Vous Jeux, Positron mais aussi des émissions en anglais comme The Phileas Club ou Pixels.

Nous avons tourné ce film en décembre 2016 à Paris, chez Patrick et Sonja, sa femme. Ils ont été très sympas, très patients et se sont vraiment prêtés au jeu du tournage. Ce fut un moment de partage dont vous retrouverez l'essence en regardant le film. S'en est suivi ensuite le montage où Florian a mis toutes ses tripes et surtout tout son talent et sa vision, accompagné d'Antoine Grelet qui nous a fait aussi un boulot formidable pour le mixage. Sans ces 2-là, le film n'aurait pas eu la même saveur. Merci à eux.

Redan a aussi fait un travail de composition des musiques formidable. Tout ce que vous entendrez est 100% original. Et mon ami Jérôme Keinborg a bien voulu me faire un petit habillage "Break The Rules" parfaitement classe que vous verrez aussi en début de film.

Notez aussi que les sous-titres FR et EN doivent arriver cette semaine ou la semaine prochaine.

Voilà, j'espère que ce bébé vous plaira. Si c'est le cas, n'hésitez pas à le partager sur vos réseaux sociaux, vos blogs ou à organiser des projections privées (ahah !).

Encore merci du fond du coeur à Florian qui a fait un boulot exceptionnel et qui a su donner vie à cette idée de film, mais aussi à Antoine, à Redan, à Jérôme, à Cédric, à Sonja et bien sûr à Patrick.

Bon visionnage à tous.

Mercredi dernier a eu lieu le GameCamp 2017. Il s'agit d'une réunion réservée aux professionnel.le.s des métiers du Jeu vidéo. Florian Belmonte qui m'accompagne parfois sur ce genre d'événements, a pu rencontrer et partager un moment avec certaines de ces personnes.

Voici son récit. Merci à lui.

(suite…)

Si vous évoluez dans un environnement Windows, prenez le temps de lire cet article. 2 failles ont été découvertes dans le protocole de sécurité NTLM de Windows qui permettraient à un attaquant de créer des comptes administrateurs sur un domaine et donc d'en prendre le contrôle.

Pour rappel, NTLM (NT Lan Manager) est un ancien protocole utilisé pour ajouter sur un réseau des machines Windows. Depuis Windows 2000, Kerberos a remplacé NTLM mais ce dernier est évidemment toujours supporté par Microsoft et encore utilisé partout.

Voici une démo d'exploitation de ces failles portant sur le relai LDAP et RDP :

Heureusement, Microsoft a patché ces failles donc pensez bien à faire vos mises à jour avant que ce soit encore le bazar au prochain malware ;-)

Pour en savoir plus sur la faille et comment vous protéger, je vous invite à lire l'article de Preempt.