2 bidouilleurs viennent de prouver qu’avec un peu d’astuce et beaucoup de persévérance, on pouvait cracker les coffres-forts numériques les mieux gardés.

Leur cible ? Un wallet Bitcoin contenant la bagatelle de 3 millions de dollars, verrouillé par un mot de passe de 20 caractères généré par le gestionnaire de mots de passe Roboform en 2013. Le propriétaire, un certain Michael, avait perdu ce sésame et pensait son magot à jamais inaccessible. Mais c’était sans compter sur la détermination de Joe Grand et de son pote Bruno, bien décidés à relever le défi.

Michael, propriétaire de la cryptomonnaie depuis 2013, avait stocké ses 43,6 BTC (valant environ 5 300 dollars à l’époque et environ 3 millions aujourd’hui) dans un fichier chiffré par TrueCrypt contenant le mot de passe généré par Roboform, qu’il n’avait pas entré dans le gestionnaire de mots de passe par peur d’un hack. Malheureusement, le fichier chiffré s’est retrouvé corrompu, et Michael perdit l’accès à son portefeuille.

Joe Grand, ingénieur électrique et hacker de renom, avait refusé la première demande d’aide de Michael en 2021, jugeant la tâche irréalisable sans une faille dans Roboform. Cependant, en 2022, Michael a retenté sa chance. Après des mois à décortiquer le code de Roboform, Joe Grand et Bruno découvrirent que les anciennes versions d’avant 2015, utilisaient une méthode de génération de mots de passe basée sur l’horloge du système. En connaissant la date et l’heure exacte de création, ainsi que les paramètres du mot de passe, ils ont alors pu reconstituer le mot de passe d’origine.

Initialement, Michael ne se souvenait pas de la date précise de génération de son mot de passe. Selon les journaux de son portefeuille, il avait commencé à y transférer des Bitcoins le 14 avril 2013. En analysant la chronologie et les paramètres habituels, Joe et Bruno cherchèrent d’abord dans la plage du 1er mars au 20 avril 2013, puis jusqu’au 1er juin 2013, sans succès. Ce n’est qu’après de multiples ajustements, et en excluant les caractères spéciaux, qu’ils parvinrent à générer le mot de passe correct créé le 15 mai 2013 à 16:10:40 GMT.

La faille se trouvait dans l’algorithme de génération des mots de passe des anciennes versions de Roboform, qui n’était pas aussi aléatoire que prétendu. Elle permettait de reconstituer un mot de passe en manipulant l’horloge de l’ordinateur pour remonter dans le temps. Tout est expliqué dans la vidéo ci-dessous :

Il est à noter que depuis la version 7.9.14 de juin 2015, Roboform affirme avoir corrigé cette faille et avoir amélioré la génération aléatoire des mots de passe. Cepandand, Joe Grand reste sceptique face à cette déclaration de Roboform car ces derniers n’ont pas recommandé explicitement aux utilisateurs de générer de nouveaux mots de passe pour leurs comptes après cette mise à jour, ce qui laisse potentiellement des mots de passe vulnérables en circulation.

Bref, un mot de passe n’est pas infaillible même s’il est généré par un outil réputé et il vaut mieux utiliser des phrases de passe longues et complexes, les changer régulièrement et activer la double authentification partout où c’est possible. N’ayez pas non plus une confiance aveugle dans les générateurs de mots de passe, surtout s’ils ont quelques années au compteur.

Bref, soyez prudent et bien joué Michael, pour qui la vie va sûrement changer à partir de maintenant.

Source

Voici une info qui va vous faire voir les VPN sous un autre angle. Bah oui, parce que si vous pensiez que votre petit tunnel chiffré préféré vous mettait à l’abri des regards indiscrets quand vous surfez depuis un réseau public, désolé de casser vos rêves, mais c’est loin d’être le cas !

Une équipe de chercheurs de Leviathan Security a découvert une faille qu’ils ont baptisée TunnelVision qui permet de court-circuiter la protection des VPN à l’aiiise, grâce à une fonctionnalité bien pratique du protocole DHCP, ce bon vieux serviteur qui distribue des adresses IP à tout va.

En gros, quand vous vous connectez à un réseau, votre machine demande gentiment une adresse IP au serveur DHCP local. Jusque là, tout va bien. Sauf que ce protocole a plus d’un tour dans son sac. Il peut notamment pousser des règles de routage sur votre bécane, via une option peu connue appelée « Classless Static Route » ou option 121.

Concrètement, un attaquant qui contrôle le serveur DHCP peut installer des routes par défaut sur votre machine, ce qui lui permet de rediriger tout votre trafic vers sa propre passerelle, même si vous êtes connecté via un VPN ! Et là, c’est le drame, car il peut intercepter toutes vos données en clair. 😱

Bon, rassurez-vous, il y a quand même quelques conditions pour que cette attaque fonctionne :

• 1. L’attaquant doit avoir un accès physique au réseau local ou être en mesure de compromettre un équipement sur ce réseau.
• 2. Le client VPN ne doit pas bloquer les sorties de trafic vers les interfaces réseau locales.

Mais quand même, ça fait froid dans le dos, d’autant que cette faille touche potentiellement tous les réseaux, des petits réseaux domestiques aux gros réseaux d’entreprise. Les chercheurs ont d’ailleurs réussi à l’exploiter sur Windows, macOS, iOS, Android, et même sur des distributions Linux.

Heureusement, il existe des parades pour se prémunir contre TunnelVision :

• Activer les fonctions de DHCP snooping et d’ARP protection sur les commutateurs réseau pour empêcher l’installation de serveurs DHCP non autorisés.
• Configurer des règles de pare-feu strictes pour bloquer le trafic non autorisé.
• Utiliser des protocoles de chiffrement comme HTTPS pour sécuriser les ressources internes.
• Implémenter une isolation réseau robuste via des fonctionnalités comme les espaces de noms réseau (network namespaces) sous Linux.

Les fournisseurs de VPN ont évidemment aussi un rôle à jouer en documentant publiquement les mesures d’atténuation contre TunnelVision et en avertissant leurs utilisateurs des risques.

Bref, en attendant un éventuel correctif, la prudence reste de mise. Mais en appliquant les bonnes pratiques et en restant vigilants, on peut quand même limiter les dégâts ! Si le sujet vous intéresse et que vous voulez aller plus loin, je vous invite à consulter le papier de recherche complet qui détaille le fonctionnement technique de TunnelVision. C’est un peu ardu, mais ça vaut le coup d’œil pour les plus motivés d’entre vous.

Source

Mauvaise nouvelle, Microsoft vient de mettre en lumière une faille bien vicieuse qui se planque dans un paquet d’applications Android… enfin, quand je dis un paquet, je parle quand même de plus de 4 milliards d’installations concernées.

Cette saleté, baptisée « Dirty Stream« , permet à une app malveillante d’écrire tranquillou dans le répertoire d’une autre app et d’exécuter du code comme bon lui semble.

Mais comment c’est possible ce bazar ?

Eh bien figurez-vous que sous Android, les apps peuvent partager des données entre elles grâce à un système de « fournisseur de contenu ». Jusque là, tout va bien, sauf que certains petits malins ont trouvé le moyen de contourner les contrôles de sécurité en utilisant des « intents personnalisés » mal ficelées.

En clair, une app malveillante envoie un fichier avec un nom ou un chemin trafiqué à une app légitime qui, sans méfiance, l’exécute ou le stocke gentiment dans l’un de ses dossiers critiques. Et paf, l’attaquant peut alors faire mumuse avec les données de l’app cible, voler des infos sensibles comme les identifiants SMB et FTP stockés dans le fichier rmt_i.properties, ou carrément prendre le contrôle de l’app. Bref, c’est le boxon.

Et le pire, c’est que ce genre de boulettes est monnaie courante. Les chercheurs de Microsoft ont épinglé plusieurs apps populaires, comme le gestionnaire de fichiers de Xiaomi (1 milliard d’installations, tout de même) qui utilise un chemin spécifique /files/lib pour sauvegarder les fichiers, ce qui peut être détourné par un attaquant. Autant dire que ça fait un sacré paquet de téléphones exposés.

Heureusement, après avoir prévenu Google et les éditeurs concernés, des correctifs ont été déployés en vitesse. Mais ça la fout mal surtout quand on sait que selon l’équipe de recherche sur la sécurité des applications Android de Google, 20% des apps Android seraient vulnérables à ce type d’attaque. Ouch !

Alors, que faire pour se protéger ?

Et bien commencez par mettre à jour vos apps via le Google Play Store, à vérifier les permissions des app installées et surtout évitez d’installer des appli louches surtout si ça vient d’un store alternatif ou un APK tombé du camion. Et si vous êtes dev Android, il va falloir blinder vos apps en suivant ces bonnes pratiques :

• Ignorer le nom retourné par le fournisseur de fichiers distant lors de la mise en cache du contenu reçu
• Utiliser des noms générés aléatoirement ou assainir le nom de fichier avant d’écrire un fichier en cache
• Vérifier que le fichier en cache se trouve dans un répertoire dédié avant d’effectuer une opération d’écriture
• Utiliser File.getCanonicalPath et valider le préfixe de la valeur retournée pour s’assurer que le fichier est au bon endroit

Voilà, vous savez tout pour ne pas vous faire dirty streamer dans les grandes largeurs !

Source

Imaginez… Vous vous pointez tranquillou au bar du coin pour siroter une petite mousse entre potes et là, surprise ! Pendant que vous trinquez gaiement, une borne de reconnaissance faciale vous scanne en douce pour vérifier si vous avez bien l’âge légal, que vous n’êtes pas accro aux machines à sous et encore moins Xavier Dupont de Ligonnès. Sympa l’ambiance, non ?

C’est exactement ce qui se passe depuis quelque temps dans certains bars et clubs en Australie, grâce (ou à cause, c’est selon) de la société Outabox et de ses bornes biométriques magiques. Le hic, c’est qu’un méchant pirate a visiblement réussi à mettre la main sur la base de données des joyeux fêtards, avec au menu les données de reconnaissance faciale, les scans de permis de conduire, les signatures, les infos d’adhésion au club, les adresses, les dates de naissance, les numéros de téléphone et même l’historique d’utilisation des machines à sous pour certains. Bref, de quoi ruiner une réputation en quelques clics !

Selon les informations rapportées par le site web « Have I Been Outaboxed », plus d’un million de personnes auraient été affectées par cette fuite de données. Le site affirme également que ces données sensibles se seraient baladées sur un bête tableau Excel sans protections. Cependant, ces déclaration sont à prendre avec précaution, car leur véracité n’a pas pu être confirmée de manière indépendante.

Les flics australiens sont sur le coup et ont déjà alpagué un individu qui risque de passer un sale quart d’heure mais le mal est fait et des tas de gens risquent de se faire spammer, arnaquer ou subir du chantage s’ils ont eu le malheur de mettre les pieds dans l’un des 19 clubs équipés de ces satanées bornes.

Les experts en sécurité et les défenseurs de la vie privée montent au créneau et dénoncent les dérives de ces technologies de surveillance, surtout quand c’est géré avec les pieds. Ça soulève pas mal de questions : à quel point peut-on faire confiance à des entreprises pour stocker ce genre de données ultra-sensibles ? Est-ce bien raisonnable de balancer sa trombine et ses infos persos à tout va pour pouvoir aller boire un coup ? Qui contrôle vraiment l’usage de ces systèmes ? Les régulateurs ont-ils les moyens de vérifier ce qui se passe derrière les écrans ?

Des initiatives commencent même à émerger pour mieux encadrer le déploiement de la reconnaissance faciale dans l’espace public. Certaines villes ou États l’ont carrément interdit mais dans l’ensemble, c’est encore un peu le Far West et les entreprises font un peu ce qu’elles veulent. Il y a sans doute un équilibre à trouver entre les usages légitimes (sécurité, prévention de la fraude…) et le respect de la vie privée des citoyens.

En attendant, méfiance ! Si vous passez en Australie pour les vacances et que vous voyez une borne louche vous faire de l’œil à l’entrée de votre bar préféré, n’hésitez pas à râler un bon coup pour éviter que ces pratiques se généralisent. Après tout, les données personnelles et la vie privée, c’est précieux et pas question de les brader sur l’autel de la techno-sécurité !

Et si un barman vous demande un selfie, COUP DE BOULE ! lol

Source

Mateusz Jurczyk, un nom qui ne vous dit peut-être rien, mais retenez-le bien, car le bonhomme est fort. Ce chercheur en sécurité bien intentionné bosse pour Google Project Zero, une équipe de choc qui traque les failles dans tous les recoins depuis des années déjà. Et pendant quasi 2 ans, de mai 2022 à décembre 2023, il s’est lancé le défi d’ausculter un des organes les plus vitaux de Windows : sa base de registre.

Pour ceux qui débarquent, le registre, c’est un peu le cerveau de Windows. Une méga base de données qui stocke tous les réglages, options et préférences du système et des applis, organisés de manière hiérarchique avec des clés, des sous-clés et des valeurs. Bref, un truc super sensible et stratégique. Si un pirate arrive à mettre ses mains là dedans, bonjour les dégâts !

Mais notre Mateusz, c’est pas le genre à se dégonfler. Armé de ses outils et de ses connaissances en reverse engineering, il a plongé dans les millions de lignes de code de ce monolithe vieux de 30 ans et croyez-moi, il a frappé fort : pas moins de 50 failles critiques déterrées, dont 39 qui permettent une élévation de privilèges ! En gros, la totale pour passer de simple clampin à admin suprême sur une machine.

La force de son taf, c’est d’avoir exploré des endroits de la base de registres que personne n’avait vu avant. Des trucs bien planqués comme la récupération des transactions avortées, le chargement de ruches extraites ou les bails de virtualisation du registre (une fonctionnalité qui permet aux vieilles applis de tourner sans broncher sur les Windows récents). Bref, un vrai boulot de fourmi avec une grosse dose de persévérance.

Et le plus flippant, c’est que la moitié de ces failles seraient plutôt faciles à exploiter notamment via des techniques de corruption de mémoire ou de cassage des garanties de sécurité comme les ACL (les listes qui contrôlent qui a le droit de faire quoi dans le registre). Pour vous donner une idée, Mateusz a même créé des exploits de démo pour deux vulnérabilités, montrant comment détourner le registre à son avantage.

Heureusement, c’est un White Hat avec un grand cœur et toutes ses trouvailles ont été balancées en temps et en heure à Microsoft via le programme de divulgation responsable de Project Zero. Les ingés de Redmond ont évidemment remédié au boxon en patchant, avec des délais moyens de correction de 80 jours. Vous pouvez donc souffler !

Mais l’histoire est loin d’être finie. Il a tellement kiffé son voyage dans les méandres du registre, qu’il prévoit d’en faire une série de posts de blog pour partager son savoir. Au menu, des analyses bien poussées des bugs, des techniques d’exploit et plein de tips pour mieux protéger nos bécanes, comme :

• Toujours avoir une sauvegarde du registre avant d’installer un nouveau soft : regedit.exe /e sauvegarde.reg
• Scanner régulièrement le registre avec des outils comme CCleaner Registry Cleaner, Wise Registry Cleaner ou Glarysoft Registry Repair.
• Se méfier des applis louches qui veulent mettre leur nez dans le registre et les virer en cas de doute.
• Garder son Windows et ses drivers à jour pour bénéficier des derniers patchs de sécurité.
• Utiliser les outils de monitoring comme l’Observateur d’événements ou les Performances Windows pour garder un œil sur l’activité du registre.

J’ai hâte de dévorer tout ça !

Source + Source

C’est vachement pratique de pouvoir récupérer sa chambre d’hôtel après une grosse journée, simplement en passant par le terminal qui se trouve dans l’entrée de l’hôtel. On tape son nom, on paye et paf, on récupère son numéro de chambre et le code pour y accéder. Sauf que ce que vous ignorez peut-être, c’est que ce même terminal vient potentiellement d’exposer votre code d’accès à des personnes mal intentionnées…

C’est exactement ce qui s’est passé dans un hôtel IBIS Budget à Hambourg, en Allemagne. Lors d’un congrès de hackers, la société Pentagrid a remarqué une faille de sécurité pour le moins inquiétante dans le terminal de check-in. Ainsi, en entrant une série de tirets à la place du numéro, le terminal liste toutes les réservations avec leur numéro, la date d’arrivée prévue et le prix total du séjour. Puis en sélectionnant une réservation, on accède directement au numéro de chambre et au code d’accès de la porte.

Dans l’hôtel en question, pas moins de 87 réservations étaient ainsi exposées, soit près de la moitié des 180 chambres de l’établissement !

Vous imaginez le désastre si ces codes tombaient entre de mauvaises mains ? Adieu vos effets personnels, surtout dans un hôtel bas de gamme comme celui-ci qui n’est pas équipé de coffres-forts dans les chambres. Et je vous parle pas des agressions en pleine nuit ! C’est la porte ouverte à toutes les fenêtres comme dirait l’autre.

Fort heureusement, Pentagrid a immédiatement signalé cette faille à la chaîne hôtelière Accor, propriétaire des hôtels IBIS. Le problème a depuis été corrigé, mais il aura fallu quand même plusieurs échanges et relances de la part des hackers pour que des actions soient entreprises de la part d’Accor.

Mais comment une telle faille a-t-elle pu se produire ? Et bien d’après les informations fournies par Pentagrid sur leur blog, il semblerait que le terminal de check-in ait une fonction de recherche des réservations qui nécessite uniquement le numéro de réservation pour afficher le numéro de chambre et le code d’accès. Donc c’est pas un bug, c’est une feature qui a mal tournée…

Le pire dans tout ça, c’est que de base, les numéros de réservation ne sont pas une donnée très sécurisée puisqu’on les retrouve sur toute la paperasse comme les factures…etc qui peuvent ensuite être récupérées dans une poubelle par exemple. Donc n’importe qui pourrait mettre la main dessus et accéder à votre chambre.

C’est pourquoi les auteurs de cette découverte recommandent aux hôtels de mettre en place une vérification supplémentaire pour accéder aux informations de réservation, comme un code PIN qui serait communiqué séparément au client. Les terminaux devraient aussi supprimer automatiquement les réservations dès que les informations ont été imprimées ou consultées.

En attendant, si vous séjournez dans un hôtel IBIS Budget prochainement, n’allez pas vous amuser à vérifier que la faille a été corrigée sur le terminal de check-in parce que vous ne voulez pas finir en prison pour piratage (lol).

En tout cas, sachez-le, la prochaine fois que je dors à l’IBIS, je vous attendrais de pied ferme en embuscade dans mon peignoir façon biopic DSK par Liam Neeson.

Source

Ça n’arrête plus ! Une faille de sécurité critique dans le protocole Bluetooth permettrait à un utilisateur tiers malveillant d’enregistrer l’audio capté par le microphone d’une enceinte Bluetooth se trouvant à proximité, même si celle-ci est déjà appairée et connectée à un autre appareil. Cette vulnérabilité peut malheureusement conduire à de l’espionnage de conversations privées que ce soit via une enceinte ou un casque. Tant que c’est bluetooth et qu’il y a un micro, ça fonctionne !

Et s’il n’y a pas de micro, cette faille permettrait également jouer ses propres fichiers audio sur vos enceintes sans votre consentement !

Ce problème de sécurité a été découvert et présenté la semaine dernière par Tarlogic lors de la conférence RootedCon 2024 avec en cadeau bonux un PoC (proof of concept) baptisé BlueSpy permettant d’exploiter la faille.

Ce script n’utilise pas de vulnérabilité non corrigée, non, non. Il exploite tout simplement la méthode d’appairage Bluetooth non sécurisée baptisée « Just Work« . C’est d’autant plus effrayant quand on considère le nombre d’enceintes ou de casques vulnérables qui traînent dans les zones résidentielles, les espaces de travail, les salles de réunion, les lieux publics, etc.

Pour sa démonstration, Tarlogic a utilisé un Raspberry Pi 4 sous Kali Linux, contrôlé par un smartphone. Notez que pour étendre la zone de couverture, il est également possible d’utiliser un adaptateur Bluetooth externe avec une antenne externe.

Mais alors, comment se protéger ? La clé de votre tranquilité et de votre sécurité réside dans la visibilité de votre appareil Bluetooth. Si votre enceinte ou casque est visible par d’autres appareils alors qu’il est déjà connecté à votre smartphone, il est vulnérable. Par contre, s’il n’est plus visible une fois appairé, vous êtes à l’abri.

Pour vérifier facilement si vos appareils audio Bluetooth sont vulnérables, vous pouvez utiliser l’application gratuite nRF Connect for Mobile sur un smartphone Android non rooté. Lancez un scan et si l’application détecte et permet de se connecter à votre appareil audio Bluetooth LE, c’est qu’il est probablement vulnérable. À l’inverse, si votre appareil n’apparaît pas dans les résultats du scan alors qu’il est allumé et connecté, vous pouvez souffler.

Malheureusement, si votre appareil autorise une telle connexion, il n’y a pas grand-chose à faire. Certains appareils émettent cependant une notification visuelle ou sonore lorsqu’un autre appareil se connecte, comme un bip, une vibration ou un changement de couleur des LED donc ouvrez l’œil et l’oreille ! Et surtout, éteignez vos appareils Bluetooth quand vous ne les utilisez pas.

Source

Saviez vous que n’importe qui pouvait potentiellement ouvrir votre porte de chambre d’hotel en quelques secondes à peine, grâce à une simple faille de sécurité ? C’est ce qu’ont trouvé des chercheurs sur les serrures d’hôtel de la marque Saflok qui sont hyper répandues.

Ça ressemble à ça d’ailleurs, je suis certain que vous en avez déjà vu. Ce sont celles qui s’ouvrent avec une carte et malheureusement, il y en a des millions installées partout dans le monde.

Les chercheurs Ian Carroll, Lennert Wouters et leur équipe ont donc mis au point une technique baptisée « Unsaflok« , qui combine plusieurs vulnérabilités pour déverrouiller en un clin d’œil ces serrures présentes dans pas moins de 13 000 établissements à travers le monde. En analysant le chiffrement utilisé par le fabricant Dormakaba et le système RFID MIFARE Classic sur lequel reposent les cartes d’accès, ils ont ainsi trouvé le moyen de cloner n’importe quelle carte et d’ouvrir n’importe quelle porte.

Le procédé est d’une déconcertante simplicité : il suffit de récupérer une carte d’accès de l’hôtel ciblé (peu importe la chambre), d’en extraire un code spécifique grâce à un petit appareil à 300$, puis de générer deux nouvelles cartes ou de stocker les codes sur un Flipper Zero. Un premier badge réécrit une partie des données de la serrure, et le second l’ouvre dans la foulée. « Deux petits clics, et la porte s’ouvre« , résume Wouters. « Et ça marche sur absolument toutes les portes de l’hôtel.« 

Les détails techniques de cette faille ont été partagés avec Dormakaba en novembre dernier. Depuis, le fabricant s’efforce d’informer ses clients et de déployer des correctifs, qui ne nécessitent heureusement pas de remplacer physiquement toutes les serrures. Une mise à jour logicielle de la réception et une reprogrammation de chaque serrure suffisent dans la plupart des cas. Mais les chercheurs estiment que seuls 36% des verrous Saflok avaient été corrigés en juin, laissant encore des centaines d’établissements vulnérables.

Pour les clients, pas de panique. Carroll et Wouters conseillent de vérifier si votre hôtel est équipé de serrures Saflok (reconnaissables à leur lecteur RFID rond barré d’une ligne ondulée), et le cas échéant, de s’assurer que votre carte est bien au nouveau format MIFARE Plus ou Ultralight EV1 grâce à l’app NFC TagInfo dispo sur Android et iOS. Si ce n’est pas le cas, mieux vaut éviter de laisser des objets de valeur dans la chambre et bien tirer le verrou et la petite chaine lorsque vous y êtes.

Cette affaire rappelle d’ailleurs celle des serrures connectées Onity, dont une faille similaire révélée en 2012 est restée longtemps non corrigée, puisque le fabricant refusait d’assumer le coût du remplacement du matos. Cette brèche de sécurité a d’ailleurs été exploitée par un hacker pour dévaliser des chambres d’hôtel à travers tous les États-Unis…

Allez, si vous me lisez depuis votre chambre d’hôtel, bonne nuit quand même !

Source : Wired.

Oh la vache les amis, j’ai une nouvelle de dingue à vous raconter ! Vous savez, on kiffe tous nos IA assistants, genre ChatGPT et compagnie. On leur confie nos pensées les plus intimes, nos secrets les mieux gardés. Que ce soit pour des questions de santé, de couple, de taf… On se dit « pas de soucis, c’est crypté, personne ne pourra lire nos conversations privées » (oui, moi je dis « chiffré », mais vous vous dites « crypté »). Eh ben figurez-vous qu’une bande de joyeux lurons (des chercheurs en cybersécu quoi…) a trouvé une faille de ouf qui permet de déchiffrer les réponses des IA avec une précision hallucinante ! 😱

En gros, ils exploitent un truc qui s’appelle un « canal auxiliaire » (ou « side channel » pour les bilingues). C’est présent dans quasiment toutes les IA, sauf Google Gemini apparemment. Grâce à ça et à des modèles de langage spécialement entraînés, un hacker qui espionne le trafic entre vous et l’IA peut deviner le sujet de 55% des réponses interceptées, souvent au mot près. Et dans 29% des cas, c’est même du 100% correct, mot pour mot. Flippant non ?

Concrètement, imaginez que vous discutiez d’un éventuel divorce avec ChatGPT. Vous recevez une réponse du style : « Oui, il y a plusieurs aspects juridiques importants dont les couples devraient être conscients quand ils envisagent un divorce…bla bla bla » Eh ben le hacker pourra intercepter un truc comme : « Oui, il existe plusieurs considérations légales dont une personne devrait avoir connaissance lorsqu’elle envisage un divorce…« 

C’est pas exactement pareil mais le sens est là ! Pareil sur d’autres sujets sensibles. Microsoft, OpenAI et les autres se font vraiment avoir sur ce coup-là… 🙈

En fait cette faille elle vient des « tokens » utilisés par les IA pour générer leurs réponses. Pour vous la faire simple, c’est un peu comme des mots codés que seules les IA comprennent. Le souci c’est que les IA vous envoient souvent ces tokens au fur et à mesure qu’elles créent leur réponse, pour que ce soit plus fluide. Sauf que du coup, même si c’est crypté, ça crée un canal auxiliaire qui fuite des infos sur la longueur et la séquence des tokens… C’est ce que les chercheurs appellent la « séquence de longueurs de tokens ». Celle-là, on l’avait pas vu venir ! 😅

Bon vous allez me dire : c’est quoi un canal auxiliaire exactement ?

Alors c’est un moyen détourné d’obtenir des infos secrètes à partir de trucs anodins qui « fuient » du système. Ça peut être la conso électrique, le temps de traitement, le son, la lumière, les ondes… Bref, tout un tas de signaux physiques auxquels on prête pas attention. Sauf qu’en les analysant bien, des hackers malins arrivent à reconstituer des données sensibles, comme vos mots de passe, le contenu de mémoire chiffrée, des clés de chiffrement… C’est ouf ce qu’on peut faire avec ces techniques !

Après attention hein, faut quand même avoir accès au trafic réseau des victimes. Mais ça peut se faire facilement sur un Wi-Fi public, au taf ou n’importe où en fait. Et hop, on peut espionner vos conversations privées avec les IA sans que vous vous doutiez de rien…

Donc voilà, le message que j’ai envie de faire passer avec cet article c’est : Ne faites pas une confiance aveugle au chiffrement de vos conversations avec les IA ! Ça a l’air sûr comme ça, mais y a toujours des ptits malins qui trouvent des failles auxquelles personne n’avait pensé… La preuve avec ce coup de la « séquence de longueurs de tokens » ! Donc faites gaffe à ce que vous confiez aux ChatGPT et autres Claude, on sait jamais qui pourrait mettre son nez dans vos petits secrets… 😉

Allez, je vous laisse méditer là-dessus ! Si vous voulez creuser le sujet, je vous mets le lien vers l’article d’Ars Technica qui détaille bien le truc.

Prenez soin de vous et de vos données surtout ! ✌️ Peace !