du 09 novembre 2018
Date

Choisir une autre édition

GPU NVIDIA : des attaques permettent de suivre l'activité web et tenter de récupérer des mots de passe

Après le douloureux épisode Meltdown/Spectre (et leurs variantes) sur les processeurs, les chercheurs de l'université de Riverside en Californie se sont penchés sur les cartes graphiques NVIDIA.

Ils affirment pouvoir utiliser les GPU « pour espionner les activités Web, voler les mots de passe et entrer dans des applications cloud ». Dans tous les cas, il faut d'abord que l'utilisateur télécharge sur sa machine un logiciel malveillant, qui se chargera ensuite d'espionner le GPU de la machine.

Les chercheurs expliquent que « les GPU sont généralement programmés à l'aide d'API telles que OpenGL. OpenGL est accessible à n’importe quelle application sur un poste de travail avec des privilèges utilisateur ».

La première attaque permet de suivre l'activité sur Internet car « chaque site possède une trace unique en termes d'utilisation de la mémoire sur le GPU ». En surveillant les allocations mémoires ou les « performance counters », l'application espionne peut ainsi identifier les sites visités par fingerprinting.

La seconde attaque permet d'essayer de récupérer des mots de passe. « Chaque fois qu'un utilisateur tape un caractère, la zone de texte du mot de passe est chargée sur le GPU en tant que texture ».

En surveillant les intervalles de temps, il est possible de connaître le nombre de caractères du mot de passe et le délai précis entre chaque pression de touche. Partant de là, il est possible de le retrouver avec des techniques déjà connues.

Enfin, la dernière attaque concerne les applications utilisant des réseaux de neurones. En lançant en parallèle un travail sur le GPU, l'application espionne pourrait récupérer le nombre de neurones d'une couche spécifique d’un réseau profond.

Bien évidemment, les chercheurs ont contacté NVIDIA. Le fabricant leur a répondu qu'une option sera proposée via un patch pour que les applications avec des privilèges utilisateur n'accèdent plus aux « performance counters ». Elle permettra de contourner le problème, mais sans s'attaquer à sa source.

Un brouillon a également été envoyé à AMD et Intel avant la mise en ligne de la version finale afin qu'ils puissent vérifier si leurs GPU sont également touchés. Rien n'est indiqué concernant une éventuelle réponse de leur part.

Par la suite, l'équipe de l'université de Riverside prévoit de s'attaquer au GPU des terminaux Android.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Il y a quelques mois, Facebook ajoutait de nouvelles informations sur ses publicités. Les utilisateurs pouvaient notamment voir de manière plus précise pourquoi ils avaient été ciblés, et par qui.

Le réseau social passe à la phase suivante. Les informations données sont encore plus détaillées. En particulier, l’internaute pourra savoir quels intérêts particuliers sur le réseau ou Pages visitées lui ont valu telle publicité.

Des outils font également leur apparition, pour contrôler comment les informations personnelles sont utilisées pour le ciblage. On ne peut évidemment pas bloquer les publicités. L’utilisateur peut en outre ajuster ses centres d’intérêt s’il préfère au contraire, quitte à être ciblé, des publicités plus spécifiques.

Dans les options liées aux préférences publicitaires, on trouve enfin deux onglets. Le premier affiche la liste des entreprises ayant utilisé les informations pour du ciblage direct, le second celles qui opèrent pour le compte d’autres acteurs. Les régies ayant utilisé ces données durant les 90 derniers jours sont également listées.

L'offensive pour redorer le blason de l'entreprise continue donc, après des années de scandales liés à la vie privée, tout particulièrement le catastrophique Cambridge/Analytica.

Copié dans le presse-papier !

Le navigateur, entièrement rebâti sur Chromium, est en test depuis des mois, mais essentiellement pour le grand public. 

Les variantes pour Windows 10, macOS et Windows 7 et 8.1 sont toutes disponibles sur deux canaux : Canary et ses versions quotidiennes, et Dev avec une préversion par semaine, un peu plus stable.

Microsoft vient de donner le feu vert aux entreprises, essentiellement pour attirer leur attention. Le navigateur est jugé prêt à être testé dans un cadre professionnel, puisque les fonctions attendues et la documentation sont presque toutes présentes (le site dédié ne semble pas fonctionner à l'heure actuelle).

C’est notamment le cas du mode IE, qui permet pour rappel d’afficher un site comme s’il était rendu par Internet Explorer. Les règles de groupe et Application Guard sont également présents, de même que les outils pour PDF. 

Certaines fonctions manquent cependant toujours à l’appel, notamment le déploiement hors ligne et le support de la gestion de flotte mobile.

Notez que Microsoft tiendra la semaine prochaine sa conférence Inspire 2019, dédiée aux partenaires. Peut-être l’occasion d’en apprendre davantage, notamment sur l’arrivée du canal bêta qui devrait marquer l’ouverture des tests à plus large échelle. 

Copié dans le presse-papier !

Pale Moon, initialement dérivé de Firefox, mais devenu un fork à part entière, a été victime d’un piratage de son serveur dédié à ses archives.

La brèche n’a été découverte qu’il y a trois jours. Les développeurs ont été avertis et, en fouillant, se sont rendu compte que le problème de sécurité était ancien : le 27 décembre 2017 vers 15h30.

Des exécutables Windows ont été modifiés et infectés (versions 27.6.2 et antérieures) avec un malware désigné par ESET comme Win32/ClipBanker.DY. Le serveur d’archive a immédiatement été déconnecté après la découverte, tandis que celui dédié aux dernières versions de Pale Moon n’a jamais été touché.

Difficile d’en savoir davantage, car les archives ont été rendues en grande partie illisibles à cause d’un incident survenu le 26 mai dernier. Pour l’équipe, il ne peut s’agir que d’une autre attaque, soit par les auteurs de la première, soit par d’autres ayant eu le même type d’accès. Dans la foulée, un nouveau serveur a été monté, passant de Windows à CentOS.

SI vous n’avez jamais puisé dans le serveur d’archive, les développeurs estiment que vous n’avez a priori rien à craindre. Ils rappellent cependant que Pale Moon est fourni avec un fichier .sig permettant de vérifier la signature PGP du navigateur. 

Sous Windows, il faut notamment effectuer un clic droit sur l’exécutable principal, aller dans les Propriétés puis dans l’onglet Signature. S’il est absent, c’est que le fichier a été altéré. Un hash SHA256 est également fourni dans un fichier texte.

En outre, le malware Win32/ClipBanker.DY est connu de tous les antivirus depuis un moment et devrait être détecté comme tel, notamment par le propre Defender de Windows 10.

Copié dans le presse-papier !

Twitter déploiera la semaine prochaine une nouvelle fonction permettant de masquer une réponse à un tweet. Elle ne sera dans un premier temps disponible qu’au Canada, à des fins de tests.

Un utilisateur va donc pouvoir masquer une réponse à l’un de ses tweets (et uniquement les siens), la faisant disparaître de son écran et, par défaut, de tous ceux qui viendront lire le tweet.

Si un tweet a des réponses effacées, une petite icône grise apparaitra en bas à droite du texte. En appuyant dessus, on pourra consulter la liste. La fonction a, selon Twitter, été conçue pour ne plus afficher les réponses offensantes ou sortant clairement du cadre de la conversation.

Il ne s’agit que d’un début, Twitter précisant être continuellement en recherche d’améliorations pour la fonction. En l’état actuel, elle peut être malheureusement utilisée pour masquer des réponses intéressantes mais ne « faisant pas plaisir » à l’auteur. Par exemple du fact-checking sur une affirmation.

Copié dans le presse-papier !

Valve vient de lancer ses Steam Labs, qui permettent de tester en avance certaines fonctionnalités dans le client Steam.

Trois sont pour l’instant proposés : 

  • Micro Trailers : permet aux éditeurs de créer un court clip vidéo de six secondes pour présenter un jeu, qui apparaîtra au survol de la souris sur la vignette du titre
  • Recommander : utilise le machine learning pour examiner les titres joués (et combien de temps) et proposer des recommandations adaptées, avec des filtres de préférences
  • The Automated Show : générera à terme automatiquement une vidéo récapitulative des titres populaires du moment (elle est pour l’instant validée et commentée par un employé)

L’arrivée de ces expérimentations peut surprendre, car on attendait plutôt de Valve qu’il officialise la bêta du nouveau client, dont l’interface modernisée est attendue. Elle ne devrait plus tarder, puisque l'éditeur avait signalé mi-juin son arrivée au cours des « prochaines semaines ».