Sélection de l’actualité de la semaine

 

Google rejoint Apple et limite les certificats web à un an

Le navigateur développé par Google, Chromium, intègre depuis peu une limitation de la durée des certificats SSL/TLS à 398 jours, soit un an plus un mois et deux jours. Google rejoint ainsi Apple dans sa démarche. La multinationale de Cupertino avait en effet elle aussi annoncé en février de cette année limiter la durée des certificats SSL/TLS à 398 jours sur son navigateur Safari. Pourquoi autant limiter dans le temps des certificats qui pouvaient jusqu’à présent avoir une durée de 8 à 10 ans ? Apple, comme Google, a unilatéralement choisi de réduire la durée de vie des certificats afin de prévenir autant que faire se peut la falsification de certificats par des acteurs malveillants. Lets’ Encrypt a également commencé à fournir des certificats ayant une durée de vie très limitée (3 mois), associée à un processus de renouvellement automatisé. Ce dernier point risque en effet de devenir la problématique principale découlant de cette prise de position de la part de Google et Apple ; aujourd’hui, de nombreuses entreprises semblent gérer manuellement le renouvellement des certificats. Si, jusqu’à présent, renouveler un grand nombre de certificats manuellement pouvait être envisageable en raison de leur durée de vie relativement longue – ce qui permettait de lisser le processus et de planifier les actions à l’avance -, le renouvellement de certificats valables quelques mois devrait a fortiori s’appuyer sur des outils d’automatisation.

 

Des vulnérabilités critiques découvertes dans Apache Guacamole

Les équipes de Check Point Research ont rapporté qu’Apache Guacamole, une infrastructure couramment utilisée dans le cadre du travail à distance, est vulnérable à un ensemble de failles de sécurité liées au protocole RDP (Remote Desktop Protocol). Le protocole RDP prend en charge les protocoles standards comme VNC, RDP et SSH et permet aux administrateurs système d’accéder et de gérer à distance les machines Windows et Linux. Les vulnérabilités identifiées pourraient être exploitées par des acteurs malveillants pour prendre le contrôle total sur le serveur Guacamole, intercepter et contrôler toutes les autres sessions connectées. Parmi les vulnérabilités, la CVE-2020-9497, Out-of-bounds reads in FreeRDP et la CVE-2020-9498 ; en exploitant les vulnérabilités CVE-2020-9497 et CVE-2020-9498, un serveur compromis ou malveillant (le « serveur RDP » des attaquants) peut prendre le contrôle du processus guacd des clients lorsqu’un utilisateur distant demande à se connecter à son ordinateur (qui est donc compromis). Une vulnérabilité dans le processus guacd permet l’accès à l’adressage complet de mémoire – utile pour contourner la sécurité informatique ASLR (Address Space Layout Randomization) et accéder au contenu de mémoire complet. L’exploitation de ces vulnérabilités permet donc potentiellement l’accès à l’ensemble du parc informatique connecté au serveur Apache Guacamole compromis.

 

Ça peut toujours servir : Microsot livre un récupérateur de fichiers pour Windows 10

Microsoft met à disposition File Recovery, un outil permettant de récupérer des fichiers perdus, effacés, ou corrompus. La solution (gratuite) fonctionne pour les OS Windows 10 version 1904 minimum et propose trois modes : le mode par défaut, qui utilise MFT (table de fichiers principale) pour localiser les fichiers perdus. Il fonctionne correctement quand la MFT et les segments de fichier, également appelé FRS (File Record Segments,) sont gérés. Le mode segment, qui ne nécessite pas de MFT, mais des segments. Ces derniers sont des résumés d’information de fichier comme le nom, la date, la taille, le type et l’index des clusters. Ils sont stockés par NTFS dans une MFT. Enfin, le mode signature, destiné à la recherche de fichiers spécifiques sur des périphériques externes (clés USB ou disque dur externe).

 

Deux vulnérabilités majeures corrigées dans Windows 10 et Windows Server 2019

Microsoft vient de publier deux correctifs de sécurité dans sa librairie de codecs, sans attendre son cycle de mise à jour mensuel via le « Patch Tuesday ». Deux vulnérabilités (CVE-2020-1425 & CVE-2020-1457) permettaient en effet à un attaquant de compromettre une machine Windows à distance via le chargement d’une image malveillante. L’application qui ouvrait l’image faisait appel à la librairie interne de Windows, qui provoquait l’exécution de code et la compromission du poste. La bonne nouvelle ? Selon Microsoft, aucune exploitation de ces vulnérabilités n’a été identifiée dans la nature.

 

Une technique de skimming pour exfiltrer des données bancaires depuis des sites internet via des images

Les « skimmers« , initialement des pièces en plastique ou métal ajoutées sur les distributeurs de billets pour intercepter les données bancaires, sont utilisées sur des sites de e-commerce compromis. Le principe de base est connu (vol d’identifiants bancaires somme toute classique), mais la méthode d’exfiltration et les procédés pour essayer de rester invisible sont relativement atypiques. Les attaquants injectent une portion réduite de code JavaScript dans la page puis utilisent les méta-données d’un favicon (la petite image apparaissant à côté du nom du site dans les onglets du navigateur) pour charger un second code malveillant. De même, une fois les données des victimes interceptées, elles sont extraites en base64 en faisant une requête POST sur le favicon. L’idée pour l’attaquant étant de 1) réduire la portion de code JavaScript initiale dans la page 2) se cacher derrière des requêtes d’apparence anodines (favicon). Dans l’absolu, cela peut être détecté si des vérifications des URLs contactées sont effectuées et que celles-ci sont identifiées comme « malveillantes » par des solutions appropriées.

 

Encrochat : les forces de l’ordre démantèlement des réseaux criminels grâce à la cryptanalyse

Une coopération entre différentes forces de police européenne et notamment menée par la Gendarmerie Nationale a permis de déchiffrer les communications de trafiquants et de démanteler un vaste réseau opérant à l’échelle mondiale. Depuis 2017, les dealers utilisaient des téléphones Encrochat, qui promettaient un anonymat et une confidentialité totale, pour organiser leur trafic de stupéfiants. Dans la nuit du 12 au 13 juin, la justice française a ordonné une saisie sur les serveurs basés en France et a réussi à décrypter les communications, probablement grâce à une faiblesse d’implémentation, menant les trafiquants à leur perte. Une histoire comme on voudrait en lire plus souvent et qui nous enseigne, une fois de plus, la prudence sur les promesses de « sécurité » des appareils et applications que nous utilisons.

 

Le gouvernement australien investit massivement dans la cybersécurité

Le Premier Ministre de l’Australie, Scott Morrison, a annoncé des investissements à hauteur de 1,35 milliard de dollars australiens (826,2 millions d’euros) dans la cybersécurité au cours des dix prochaines années. Le plan prévoit de consacrer 470 millions de dollars australiens (287,6 millions d’euros) à l’embauche de 500 experts en sécurité au sein de l’Australian Signals Directorate, l’agence australienne du renseignement cyber. Ce financement fait partie d’un plan d’investissement de 15 milliards de dollars australiens (9,18 milliards d’euros) qui vise à accroître les moyens de lutte du pays en matière de « cyberguerre », devenu l’une des priorités du gouvernement après une vaste cyberattaque contre le parlement australien et les trois plus grands partis politiques du pays en 2019. De quoi expressément signifier que l’Australie ne compte pas subir les attaques répétées d’acteurs – étatiques ou non – malveillants.