Sélection de l’actualité de la semaine

 

Le Weekly Briefing est de retour ! Toute l’équipe d’ACCEIS est heureuse de pouvoir à nouveau vous proposer sa sélection des événements qui marquent l’actualité de la cybersécurité chaque semaine.

 

Ça aurait dû se passer à Rennes : le SSTIC 2020 reste confiné

Le printemps est traditionnellement marqué par l’organisation du Symposium sur la Sécurité des Technologies de l’Information et des Communications à Rennes. Cette année, force majeure oblige, les organisateurs ont décidé de proposer une édition entièrement virtuelle  ; les présentations prévues sont mises en ligne sur un site dédié, diffusées entièrement gratuitement, et un chat permet de poser des questions ou d’échanger pendant la conférence. Les présentations sont ensuite mises à disposition pour rattraper celles qu’on aurait pu louper.

 

L’ANSSI publie son guide de sécurisation de l’Active Directory

Comme le précise le guide dans son introduction, l’Active Directory est un annuaire permettant la gestion centralisée de comptes, de ressources et de permissions des systèmes d’information Microsoft. Dans ces conditions, réussir une attaque permettant d’obtenir des privilèges élevés sur cet élément critique permet de prendre le contrôle des ressources qu’il administre. Rien d’étonnant donc, à constater que les attaques ciblant l’AD sont en recrudescence. Si l’AD tombe entre les mains des attaquants, c’est le centre névralgique du système d’information qui est compromis, et par-là même possiblement l’ensemble du système d’information. L’ANSSI propose donc un guide élaborant une liste de 57 points de contrôle à effectuer pour renforcer le niveau de sécurisation de l’Active Directory répartis en 5 niveaux de criticité (1 le plus critique, 5 correspondant à un niveau de sécurité à l’état de l’art).

 

Zoom n’offrira le chiffrement e2e qu’à ses abonnés

Zoom, plateforme américaine offrant des services de visioconférence, a connu un succès soudain et démesuré en raison du Covid-19. Seulement, la plateforme s’est très vite retrouvée sous le feu des critiques en raison de multiples problèmes et notamment une absence de sécurisation des échanges et des données des utilisateurs. L’entreprise a donc annoncé en urgence mettre en place un Plan de sécurité de 90 jours afin de renforcer rapidement. Le chiffrement de bout en bout des communications (e2e) était annoncé par Zoom comme étant intégré dans ses offres, mais s’est vite révélé n’être que…du TLS. Depuis, la Direction de Zoom a annoncé avoir fait l’acquisition de la société Keybase, spécialisée dans l’échange de données chiffrées, afin de mettre en place un réel chiffrement e2e. Bonne nouvelle ? Oui, mais seulement si vous possédez un compte payant, si vous n’êtes pas un utilisateur d’entreprise, si vous n’utilisez pas les ponts téléphoniques, l’enregistrement dans le cloud ou si vous utilisez des salles de conférences tierces. Sinon, vous pouvez utiliser Jitsi.

 

Une vulnérabilité de type corruption de mémoire dans GNU Glibc affecte les systèmes de navigation des véhicules connectés

Les équipes de CX APT de Cisco ont découvert une vulnérabilité dans l’implémentation d’une bibliothèque de programmation (la libc de GNU) utilisée pour programmer les systèmes d’exploitation Linux ARMv7. L’implémentation de la fonction memcpy() dans la libc a fait entrer le programme dans un « état indéfini ». En temps normal, cette erreur due à « l’état indéfini » aurait dû déclencher un crash du programme, mais les équipes de CX APT ont découvert que ce comportement anormal a permis d’être en capacité d’exécuter des programmes malveillants dans les applications ciblées. Problème, le système d’exploitation Linux ARMv7 serait présent dans une très grande majorité des systèmes de navigation des véhicules connectés ; c’est lors d’un audit de sécurité sur un véhicule connecté qui a mis en lumière l’exposition d’un serveur web embarqué au réseau Wi-Fi du véhicule connecté que les équipes de CX APT ont identifié la vulnérabilité liée à la fonction memcpy(). Si la découverte de cette faille de sécurité a été possible par le biais du secteur de l’automobile, des chercheurs alertent sur le fait que la faille affecte également un ensemble de systèmes embarqués et d’objets connectés pour lesquels les mises à jour de sécurité restent une problématique majeure.

 

Une vulnérabilité permet la prise totale de contrôle de l’infrastructure VMWare Cloud Director

Les équipes de Citadelo ont identifié une vulnérabilité qui a permis de contourner les fondamentaux de sécurité de VMware Cloud Director. VMware Cloud Director (anciennement connu sous le nom de vCloud Director) est une plateforme de prestation de services cloud utilisée par les fournisseurs de services cloud pour exploiter et gérer leurs infrastructures cloud. L’entreprise slovaque Citadelo, spécialisée dans la réalisation d’audits de cybersécurité, a découvert une vulnérabilité de type « injection de code » (CVE-2020-3956, CVSSV3 score of 8.8) qui pourrait permettre à un attaquant d’accéder à des données sensibles (hash des mots de passe de tous les utilisateurs de l’infrastructure cloud concernée) et de prendre le contrôle des clouds privés dans une infrastructure entière. La vulnérabilité permettrait à un utilisateur de prendre le contrôle de tous les clients dans le cloud. Il donne également accès à un attaquant pour modifier la section de connexion de l’ensemble de l’infrastructure pour récupérer le nom d’utilisateur et le mot de passe d’un autre client. Les équipes de Citadelo détaillent l’exploitation de la vulnérabilité dans un PoC disponible sur leur blog, alors que VMWare a publié les mises à jour de sécurité idoines.

 

Covid-19 : Des hackers anglais mettent en garde contre la facilité d’usurpation d’identité pour les appels/sms officiels

Plusieurs pays en phase de déconfinement mettent en place des mesures destinées à prévenir une seconde vague de la pandémie Covid-19, avec notamment l’utilisation d’applications de type « contact tracing » et des « brigades sanitaires » chargées d’informer les personnes en contact avec des malades. C’est le cas en France et en Grande-Bretagne. Or, dans le cas anglais, des hackers alertent les autorités sur la facilité avec laquelle des personnes malintentionnées peuvent se faire passer pour…les autorités. Par de -très- simples manipulations, les attaquants peuvent se faire passer pour un des numéros officiels utilisés par le gouvernement britannique et ainsi tenter de récupérer des informations personnelles ou de l’argent aux victimes. L’Office of communications (Ofcom), l’autorité régulatrice des télécommunications au Royaume-Uni, a publié un communiqué mettant en garde contre ce mode d’attaque. Pour l’instant, aucun cas similaire ne semble avoir été recensé en France, mais cela permet de rappeler les règles de prudence de base dans ce genre de situation : ne répondez pas aux textes de numéros inconnus ou inhabituels ; ne cliquez pas sur les liens dans les sms ; et ne partagez pas d’informations bancaires, des noms d’utilisateur, des mots de passe ou d’autres informations personnelles après avoir reçu un sms à moins que vous ne puissiez vérifier avec qui vous parlez.

 

Déploiement de la 5G en France : SFR et Bouygues font du lobbying pour une extension du New Deal Mobile

Les enjeux sous-jacents au déploiement de la 5G en France sont de taille. Les principaux opérateurs mobiles le savent et n’hésitent pas à faire valoir leurs intérêts. Alors que la question de l’autorisation des équipementiers chinois n’est toujours pas réglée et que Bouygues Telecom mène une campagne de lobbying pour reporter la date d’appel d’offre de la 5G, l’opérateur a trouvé chez SFR un soutien de circonstances. Les deux opérateurs souhaitent désormais une extension du New Deal mobile ; le New Deal mobile était un plan lancé en 2018 par le gouvernement français destiné à favoriser les efforts d’investissements des opérateurs mobiles par des obligations de couverture réseau du territoire national plutôt que de privilégier la montée des enchères pour l’attribution des fréquences. Ainsi, pour SFR et Bouygues, l’hypothèse d’une extension du New Deal mobile leur permettrait de temporiser davantage et de ne pas se retrouver lésés lors de l’attribution des fréquences 5G.

 

L’intelligence émotionnelle : une grille de lecture indispensable à l’intelligence économique

En cybersécurité, c’est bien connu, « la plupart des problèmes se trouvent entre le clavier et la chaise ». Pourtant, l’utilisation de l’intelligence émotionnelle comme levier important de sécurisation du SI, et plus généralement d’une organisation, reste encore trop timide aujourd’hui. L’intelligence émotionnelle « renvoie à la capacité de reconnaître, comprendre et maîtriser ses propres émotions et à composer avec les émotions des autres personnes« . Le concept a été popularisé par Daniel Goleman en 1995 avec son ouvrage Emotional Intelligence: Why it Can Matter More Than IQ. Le concept permet notamment de mieux appréhender l’engagement personnel des salariés et devient dès lors un enjeu majeur dans la gestion du risque. La faculté à s’intéresser aux autres, de manière naturelle et désintéressée, permet par conséquent de mieux connaitre ses collègues, ses salariés et ainsi de trouver les motivations qui augmenteront de manière significative leurs implications vis-à-vis de la structure. Le parallèle avec la sécurité est alors assez simple car si le salarié décide de ne pas mettre en exergue les consignes de sécurité inhérente à l’organisation les conséquences peuvent s’avérer dramatiques. Ainsi, selon l’institut Gallup, 71% de salariés non engagés en France représentent une source potentielle de fuites de données ou de vulnérabilités. Cyrille Coelho nous rappelle aussi très justement que les attaquants utilisent allègrement l’intelligence émotionnelle dans les offensives hostiles en utilisant l’ingénierie sociale dans le but d’obtenir des informations stratégiques. La réappropriation du concept d’intelligence émotionnelle permettrait d’améliorer la sécurisation du patrimoine informationnel d’une organisation et de capter les opportunités économiques et sociétales qui s’offrent à elle.