Le cyberblog du coyote

Une équipe de chercheurs de l'Université Concordia a mis au point une nouvelle technique permettant d'identifier efficacement les auteurs de courriels anonymes. Des essais ont montré que cette méthode atteint un degré de précision élevé et, à la différence de nombreuses autres, peut fournir des preuves recevables en cour. Cette découverte fait l'objet d'une étude parue dans la revue Digital Investigation.
"Depuis quelques années, nous observons une augmentation alarmante des crimes cybernétiques commis à l'aide de courriels anonymes", affirme Benjamin Fung, coauteur de l'étude, professeur en ingénierie des systèmes d'information à l'Université Concordia et expert en exploration de données, soit l'extraction d'informations utiles jusque-là inconnues à partir d'une grande quantité de données brutes. "Ces courriels peuvent contenir des menaces ou de la pornographie infantile, faciliter les communications entre criminels ou encore transmettre des virus."
Si la police utilise souvent l'adresse IP pour repérer la maison ou l'appartement d'où provient un courriel, elle peut trouver plusieurs personnes à cette adresse. Il lui faut donc un moyen fiable et efficace de déterminer lequel des suspects a rédigé les courriels examinés.
Afin de répondre à ce besoin, M. Fung et ses collègues ont conçu une nouvelle méthode inspirée de techniques utilisées pour la reconnaissance de la parole et l'exploration de données. Leur approche repose sur l'identification des caractéristiques fréquentes, c'est à-dire des combinaisons uniques de particularités récurrentes dans les courriels d'un suspect.
Pour déterminer si un suspect est l'auteur d'un courriel, on distingue d'abord les caractéristiques trouvées dans des courriels rédigés par ce dernier. On élimine ensuite toutes les caractéristiques figurant également dans les courriels d'autres suspects.
Les récurrences restantes deviennent des caractéristiques propres à l'auteur des courriels analysés. Elles constituent en quelque sorte l'"empreinte écrite" du suspect, soit un identificateur aussi précis qu'une empreinte digitale. "Supposons, par exemple, qu'un courriel anonyme contienne des coquilles ou des erreurs grammaticales, ou qu'il soit entièrement rédigé en lettres minuscules, explique le professeur Fung. Nous utilisons ces caractéristiques pour créer une empreinte écrite. Grâce à cette méthode, nous pouvons déterminer avec une grande exactitude l'auteur d'un courriel et déduire son sexe, sa nationalité et son niveau d'instruction."
Afin de tester la précision de leur technique, le professeur Fung et ses collègues ont examiné le Enron Email Dataset, un ensemble de données de plus de 200 000 courriels réellement rédigés par 158 employés d'Enron Corporation. En analysant un échantillon de 10 courriels par sujet – avec 10 sujets au total, soit 100 courriels en tout –, ils ont ainsi pu identifier leurs auteurs avec une précision allant de 80 % à 90 %.
"Notre technique est conçue pour fournir une preuve crédible qui peut être présentée en cour, précise M. Fung. Pour qu'une preuve soit recevable, les enquêteurs doivent pouvoir expliquer comment ils sont arrivés à leurs conclusions. C'est ce que notre méthode permet de faire."
Cette nouvelle technique d'identification a été développée en collaboration avec Mourad Debbabi et Farkhund Iqbal de Concordia. "Nos formations diversifiées nous ont permis d'appliquer des techniques d'exploration de données à de réels problèmes de cybercriminalité, déclare le professeur Fung. Voilà qui illustre parfaitement à quel point la recherche interdisciplinaire porte fruit."

Source : Techno-Science

Repéré il y a quelques semaines, Duqu, un cheval de Troie qui se glisse dans un fichier Word, est comparé à Stuxnet et pourrait préfigurer une attaque très ciblée contre des sites industriels. Microsoft estime le risque faible et vient seulement de publier un patch.
Le 9 octobre dernier, l’éditeur Symantec publiait sa découverte d’un virus nommé Duqu (car il génère deux fichiers dont le nom commence par DQ), « qui semble le précurseur d’une attaque de type Stuxnet ». Il partage en effet une partie de son code avec ce virus qui, en 2010, avait ciblé des équipements industriels, du type de ceux utilisés en Iran dans des installations industrielles.
Duqu exploite une faille de Windows jusque-là inconnue et se glisse dans les routines du système d’exploitation chargées de l’affichage des polices de caractères TrueType. Cet intrus peut alors « exécuter du code en mode kernel », vient d’expliquer Microsoft dans un communiqué. Autrement dit, obtenir les droits les plus élevés et pouvoir tout faire dans l’ordinateur et par exemple installer de nouveaux programmes ou ouvrir les comptes utilisateurs. Ce serait là le travail de Duqu : explorer le poste de travail, collecter des données, les envoyer sur des serveurs distants et télécharger des logiciels. Deux de ces serveurs ont été repérés et débranchés, en Inde puis en Belgique. De son côté, Microsoft, qui juge le risque faible, dit travailler à un correctif et, en attendant qu'il soit publié, propose une méthode pour éviter l'intrusion : désactiver la reconnaissance des polices TrueType.

Un robot espion spécialisé dans le renseignement
Ce cheval de Troie, cependant, ne se réplique pas. Il a été volontairement envoyé par courrier électronique dans des documents Word « à six organisations » et ce dans huit pays selon le dernier communiqué de Symantec : France, Hollande, Inde, Iran, Soudan, Suisse, Ukraine et Vietnam. D’autres distributeurs l’ont signalé également en Autriche, en Hongrie, en Indonésie, au Royaume-Uni ainsi que dans d’autres entités en Iran. Il ne s’agit donc pas d’un virus se propageant aveuglément au hasard des ordinateurs rencontrés. Duqu serait bien un agent en mission très spéciale chargé de s’infiltrer dans certaines « organisations » et semble-t-il de préparer une attaque plus massive.

Source : Futura-Sciences

L'efficacité des CAPTCHAs est remise en question par des chercheurs de Stanford, en effet, ceux-ci ont conçu un logiciel permettant de décoder beaucoup de CAPTCHAs, ces codes censés protéger les sites web contre l'utilisation de robots. Les CAPTCHAs sont en général considérés comme une barrière protectrice sûre, ce logiciel remet en cause cette barrière. Trois chercheurs de Stanford sont parvenus à décoder différents types de CAPTCHAs utilisés fréquemment sur Internet en développant des algorithmes inspirés de ceux utilisés par les robots pour s'orienter dans différents environnements.
Ce qui ressort est plutôt bluffant, le programme baptisé « Decaptcha » s'est montré plutôt efficace une fois lancé sur le Net en décodant 66% des CAPTCHAs proposés par le site Authorize.net, 70% de ceux utilisés par Blizzard Entertainment ou encore 73% de ceux de captcha.com. Mais ne s'arrêtant pas à ces sites, l'expérience a été moins concluante avec eBay (43%) ou encore Reddit (24%).

Pour aller plus loin: Elie Bursztein, Matthieu Martin, John C. Mitchell, Text-based CAPTCHA Strengths and Weaknesses, ACM Computer and Communication security 2011 (CSS’2011)

Sources : Sur-la-Toile, Clubic.com