NFC et vente de failles de sécurité : deux tendances à surveiller

Deux tendances fortes semblent actuellement à l'œuvre en matière de sécurité informatique. Pour Eric Freyssinet, la vente et l'utilisation de failles de sécurité permettent d'infecter facilement de nombreux postes. Quant au NFC, l'éditeur de sécurité G Data s'inquiète de son expansion.

En matière de sécurité, les menaces se suivent et se ressemblent. Plusieurs spécialistes en sécurité constatent cependant une concurrence accrue dans le domaine de la vente de programmes permettant de pirater des postes informatiques et d'éventuellement obtenir des informations personnelles.

01C2000008066984-photo-eric-freyssinet-clubic.jpg

Eric Freyssinet, conseiller en matière de cyber-menaces auprès du ministère de l'Intérieur


« Le mode d'infection le plus classique reste le drive-by-download à cause de javascripts malveillants. Les infections peuvent alors se réaliser sur des sites piratés ou depuis des bannières publicitaires », explique Eric Freyssinet, conseiller pour le préfet en charge de la lutte contre les cyber-menaces auprès du ministère de l'Intérieur et président du comité d'organisation de la Botconf.

La bannière en cause va en fait rediriger la victime vers une page web tout en testant les faiblesses du système d'exploitation de l'utilisateur ou de son navigateur. Pour y parvenir, les pirates vont utiliser un « exploit kit » utilisant de nouvelles vulnérabilités de sécurité.

Eric Freyssinet précise : « une quinzaine de pirates sont très connus dans le monde pour mettre à jour et améliorer leurs programmes. Ils sont peu nombreux car cette activité nécessite de posséder un certain budget pour acheter de nouvelles vulnérabilités pour les exploiter par la suite. Ces pirates ont besoin que leurs programmes soient achetés, il faut donc qu'ils soient séduisants et font même du marketing pour mettre en avant leurs services ».

Le NFC, des manques de sécurité toujours présents

De son côté, l'éditeur de sécurité G Data estime que le NFC représente à ce jour des risques pour les utilisateurs de la technologie. Démonstration est ainsi faite de l'utilisation d'un lecteur NFC et d'un simple logiciel libre permettant de lire certaines informations contenues dans une carte équipée d'un tel composant.

Une antenne pouvant porter jusqu'à 2 mètres peut ainsi récupérer ces données. L'idée est ensuite de créer une nouvelle carte, magnétique cette fois-ci, afin de réaliser des paiements sur le compte d'une victime. Les pistes track1 et track2 sont alors utilisées pour pouvoir bénéficier d'une telle fausse carte.


Une fois le contenu d'une carte NFC aspiré, certaines informations sont lisibles


Paul Rascagnères, chercheur et analyste sur la question des malwares pour G Data nous précise : « ma crainte est que la limite actuellement imposée par les établissements et éditeurs (autour de 20 euros) ne finisse par sauter. Si les gens utilisent massivement la technologie, ce mouvement est, à mon sens, inévitable ».

Si l'essor du NFC ne risque cependant pas de provoquer l'essor des pratiques de carding en France (les cartes magnétiques de paiement n'étant pas utilisées), le chercheur regrette le manque de sécurisation de la technologie. « L'attaquant va toujours là où la victime est la plus faible. Il est donc évident que certains terrains comme les Etats-Unis ou l'Asie sont des zones dans lesquelles ces pratiques rapportent plus ».

A lire également
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités récentes

The Division : Ubisoft annonce un opus free-to-play et un épisode mobile
Lastpass : que vaut cette solution de gestion de mots de passe automatique ?
Compteurs Linky : la CNIL met fin à la mise en demeure qui visait l'entreprise Engie
Metro Exodus : la mise à niveau PS5 / Xbox Series X|S arrive le 18 juin
Google Docs et Slides s’ouvrent à votre bibliothèque Adobe Creative Cloud
Les meilleures applications pour faire de votre iPad un ordinateur
Comment protéger un dossier par mot de passe sous Windows et macOS ?
Galaxy Tab A7 : Où acheter la tablette tactile de Samsung au meilleur prix ?
Avis RED by SFR : est-ce le meilleur forfait mobile sans engagement ?
Comment Shadow s'est retrouvé supprimé de l'App Store, pris entre Apple et l'xCloud de Microsoft
Haut de page