TouchEn nxKey : une solution qui enregistre les frappes pour empêcher le keylogging

 (github.com/alanleedev)
20 points par xguru 2023-01-17 | 8 commentaires | Partager sur WhatsApp
  • Contexte
  • Comment TouchEn nxKey fonctionne-t-il réellement ?
  • Comment un site web communique-t-il avec TouchEn nxKey ?
  • Attaquer des sites bancaires en abusant de l’extension TouchEn
    • Note annexe : extensions de navigateur similaires à TouchEn
  • Utiliser la fonctionnalité de keylogging depuis un site web
  • Attaquer l’application elle-même
  • Abuser de l’application auxiliaire (helper)
  • Accéder directement à la fonctionnalité de keylogging du pilote
    • Note annexe : le pilote plante (crash)
  • Le problème sera-t-il vraiment corrigé ?
    • Note annexe : fuite d’informations (information leak)
  • Les concepts appliqués à nxKey fonctionnent-ils vraiment correctement ?

À lire aussi

8 commentaires

 
adieuxmonth 2023-01-17

Est-ce qu’un monstre pareil n’est pas né à cause d’une immunité de responsabilité sécuritaire anormale ?
 
alanthedev 2023-01-17

À titre de référence, voici le fil GeekNews concernant l’article original, et non un texte traduit : https://fr.news.hada.io/topic?id=8211
 
stypr 2023-01-17

Du point de vue de quelqu’un qui travaille réellement dans la sécurité, ce qui est très préoccupant, c’est qu’en Corée du Sud il existe le délit de diffamation sur Internet, et que même la « divulgation de faits véridiques » peut poser problème.
De plus, si une vulnérabilité rendue publique est exploitée et provoque des dommages, il peut aussi y avoir un risque d’être considéré comme complice.

Bien sûr, étant donné que l’auteur publie régulièrement ce type de contenu dans un objectif d’intérêt public et avec une approche sérieuse de la sécurité, il ne semble pas être dans une situation où il pourrait être considéré comme complice. Cela dit, j’en ai également parlé à la personne qui a rendu cela public, mais elle ne semble pas particulièrement s’en soucier, donc il faudra sans doute encore observer la suite.

..

En réalité, du point de vue de ceux qui font de la recherche et découvrent des vulnérabilités, même lorsqu’on en trouve dans des logiciels coréens, on hésite parfois à les divulguer, et il arrive aussi souvent que les correctifs ne soient pas publiés correctement.

Autrefois, les chercheurs en sécurité trouvaient souvent ce genre de problèmes dans un but d’intérêt public, les signalaient directement aux entreprises, et les problèmes étaient simplement corrigés discrètement. Mais comme le risque juridique d’être en retour menacé ou poursuivi était trop élevé, un canal officiel de signalement via des organismes comme la KISA a fini par être mis en place en Corée.

Mais dans la réalité, signaler un problème via des organismes comme la KISA ne signifie pas pour autant recevoir une récompense importante ; il arrive aussi souvent qu’il soit difficile de contacter l’éditeur ou qu’un calendrier de patch sérieux ne soit pas défini. En outre, la KISA doit elle aussi évaluer le niveau et la gravité de la vulnérabilité afin de pouvoir verser une récompense. Or, d’après ce que je sais, les équipes en charge à la KISA manquent fortement de personnel et sont débordées, ce qui entraîne souvent des retards.

Autrement dit, appliquer en Corée une politique comme celle de l’équipe de recherche de vulnérabilités de Google, Project Zero (https://googleprojectzero.blogspot.com/p/…), qui consiste à divulguer publiquement les détails d’une vulnérabilité si le fournisseur ne la corrige pas après un certain délai (90 jours à six mois) après le premier signalement, se heurte en pratique à de nombreux problèmes structurels.

Et ce n’est pas propre aux entreprises coréennes : même lorsqu’on fait un signalement à de grandes entreprises étrangères connues, en fixant une Disclosure Policy, il arrive souvent que la correction prenne beaucoup de temps, que des éléments du signalement se perdent et que tout soit retardé.
Comme j’ai moi-même souvent été menacé en retour lorsque j’annonçais que je rendrais ensuite publique la vulnérabilité, j’ai cessé moi aussi de signaler des vulnérabilités dans un but d’intérêt public.

Même si les chercheurs coréens ont beaucoup de compétences et de bonnes intentions, attaquer ce type de programme de sécurité bancaire ne leur rapporte en pratique aucune somme significative ; et lorsqu’un individu a suffisamment de compétences, il cible généralement des produits étrangers plutôt que des produits coréens. C’est donc sans doute pour cela que, comme dans ce cas, c’est un ingénieur étranger qui l’a découvert par hasard, et que l’affaire a pris une telle ampleur. C’est une réalité vraiment regrettable.

,,

Et je pense que les articles qui parlent d’un manque de compréhension de l’environnement coréen ne sont rien d’autre qu’une manière de détourner le regard. Ils n’avaient probablement rien de vraiment pertinent à répondre, alors ils ont simplement saisi des détails secondaires du contenu publié pour rédiger une réfutation.

Personnellement, en regardant la situation actuelle, j’ai l’impression qu’on peut l’analyser selon deux grands points de vue.

  1. À titre personnel, je pense que « l’environnement coréen » est un problème plus difficile à résoudre qu’il n’y paraît, en raison d’un ensemble de facteurs comme les problèmes structurels évoqués plus haut, le manque de personnel et les problèmes de processus.
    Tout le monde le sait, mais la situation n’a pas pu être améliorée pendant longtemps, et je pense qu’elle continuera à rester un dossier pénible à gérer.
    Bien sûr, comme les sociétés privées de bug bounty se multiplient, on peut penser que ce type de problème se résorbera progressivement selon la manière dont les acteurs coréens du bug bounty évolueront à l’avenir.

  2. Le « programme de sécurité pour clavier intelligent » relève certes d’une question de responsabilité dans le secteur financier, mais aussi d’un problème de gagne-pain pour le marché des entreprises de sécurité.
    En réalité, même lorsqu’on dispose en Corée de talents de premier plan en sécurité et qu’on développe des produits techniquement excellents, il n’existe pas autant d’entreprises qu’on pourrait le croire capables d’en vivre.
    Les entreprises qui parviennent malgré tout à en vivre sont justement celles qui ont créé ce genre de produits et les ont installés durablement dans le secteur financier.
    Faut-il les encourager, ou continuer à les critiquer ? Même de mon point de vue de professionnel de la sécurité, cela suscite beaucoup de réflexions.

Et au-delà de ça, quand on lit les messages sur les forums Blind consacrés à la sécurité informatique, on voit souvent des employés responsables ou des salariés de ces entreprises répondre sans cesse aux critiques avec des « haha », ce qui donne vraiment matière à réflexion.
 
2023-01-18
[Ce commentaire a été masqué.]
 
kan02134 2023-01-17

L'industrie coréenne de la sécurité, prise pour cible sur les « vulnérabilités », affirme qu'il y a un « manque de compréhension de l'environnement national »
http://www.enewstoday.co.kr/news/articleView.html?idxno=1630290

À entendre ce genre de propos, il semble qu'une amélioration immédiate sera difficile. En tant qu'utilisateur, cela m'inquiète un peu.
 
zkally 2023-01-17

Selon RaonSecure, les programmes de sécurité installés lorsqu’on effectue des opérations bancaires sur PC sont interconnectés, de sorte que même si l’un d’eux est exposé à un risque de piratage, il peut être défendu avec l’aide des autres programmes. Il est expliqué que les différents programmes de sécurité installés pour les opérations bancaires sur PC se répartissent chacun un domaine de responsabilité afin de se défendre contre les menaces de piratage, et que cela constitue la stratégie de sécurité des banques.

Source : eNewsToday (http://www.enewstoday.co.kr)

^ C’est vraiment terrible.
 
bbulbum 2023-01-17

J’espère que les personnes concernées examineront la situation et que des améliorations seront apportées aux politiques et aux technologies… J’aimerais vraiment que ça change enfin.