Sélection de l’actualité de la semaine

 

Une meilleure gestion des patchs aurait permis d’éviter près de 25% des vulnérabilités 0-day découvertes en 2020

Les équipes de Google Project Zero se sont intéressées aux vulnérabilités 0-day découvertes en 2020 afin d’essayer de comprendre et de trouver les mécanismes d’apparition de ces vulnérabilités particulières, tant prisées par les attaquants. Les conclusions de leurs recherches sont pour le moins stupéfiantes : pour eux, pas moins d’un quart de toutes les vulnérabilités 0-day découvertes et exploitées dans la nature en 2020 auraient pu être évitées si les éditeurs de logiciels avaient correctement patché leurs produits. Parmi les 24 vulnérabilités 0-day exploités par des attaquants en 2020, 6 d’entre elles étaient des variantes de vulnérabilités révélées les années précédentes, où les attaquants avaient accès à des rapports de vulnérabilités plus anciens, qui leur ont permis d’étudier le problème précédent et de créer une nouvelle version de vulnérabilité. Comme le signale Maddie Stone, qui a rédigé le billet de blog, « certaines de ces vulnérabilités n’ont eu qu’à changer une ligne ou deux de code pour avoir une nouvelle vulnérabilité 0-day fonctionnelle« . Les éditeurs de logiciels concernés incluent Chrome, Firefox, Internet Explorer, Safari et Windows. Pour Stone, le problème réside dans le fait que pour certaines vulnérabilités découvertes, la correction complète exigeait des mises à jour complémentaires, trahissant ainsi une mauvaise gestion des patchs et mises à jour par les équipes de sécurité (trop pressée, peut-être ?). Stone rappelle que la correction de vulnérabilités nécessite de l’investissement, de la hiérarchisation et une planification : « bien que nous nous attendions à ce que rien de tout cela ne soit nouveau pour les équipes de sécurité d’une entreprise, cette analyse est un bon rappel qu’il reste encore du travail à faire« .

 

Le projet FonixCrypter arrêté par ses administrateurs

Dans un message bref évoquant des dissensions entre les membres internes du groupe, taxés d’ « escrocs » et de « malhonnêtes », la Team Fonix annonce mettre un terme à ses activités de Ransomware-as-a-Service (RaaS) et propose de déchiffrer les systèmes d’information infectés par leur programme malveillant. Comme quoi, même les criminels ont leur limite.

 

Google Project Zero revient sur le « Great iPwn »

En décembre dernier, les équipes de citizenlab ont annoncé que des journalistes et des membres d’ONG avaient été la cible d’espionnage via une une vulnérabilité, appelée KISMET (zero-click exploit), exploitée sur leur iPhone. Les équipes de l’équipe Google Project Zero se sont penchées sur la vulnérabilité en question et plus précisément sur les améliorations apportées à iMessage dans iOS 14, qui devaient permettre de patcher la faille. Avec un POC détaillant la rétro-ingénierie effectuée, les équipes de Google Project Zero arrivent à la conclusion que le travail des équipes d’Apple a effectivement amélioré la sécurité d’iMessage et limite très fortement la possibilité d’espionnage par KISMET.

 

Stormshield victime d’un incident de sécurité important

L’ANSSI a publié un communiqué indiquant que Stormshield, la société française spécialisée dans les pare-feux, a été victime d’une attaque qui a ciblé des données clients, auxquelles les attaquants ont eu accès sur un portail Internet de Stormshield destiné à la gestion technique du support client ; l’attaque a également permis une exfiltration du code source de la gamme de produits Stormshield Network Security, produits qui ont obtenu le Visa Sécurité de l’ANSSI. Bien que l’incident n’ait pas d’impact opérationnel immédiat pour ses clients, Stormshield a publié une mise à jour que nous vous recommandons d’appliquer par mesure de précaution. D’autre part, comme le signale l’ANSSI, « pour la durée des investigations et également par mesure de précaution, l’ANSSI a décidé de placer les qualifications et agréments des produits SNS et SNI sous observation ».