Sélection de l’actualité de la semaine

 

Plusieurs codes sources de Windows ont fuité sur Internet

4chan a encore frappé. Dans un torrent qui paraît provenir du fameux forum, le code source qui semble être celui de Windows XP Service Pack , ainsi que d’autres éléments issus d’autres OS Microsoft (parmi lesquels Windows 2000 et Windows Server 2003) ont été mis à disposition des internautes la semaine dernière. Certains de ces éléments étaient déjà connus du public, mais les nouveaux éléments mis en ligne peuvent constituer un risque dans la mesure où, si Windows XP n’est plus utilisé dans les parcs informatiques, il est encore largement déployé sur des systèmes d’automates industriels (entre autres). Bien que la version qui a fuité est la Windows XP SP1, i.e. la version antérieure au changement d’orientation stratégique de Microsoft (faisant suite au fameux mémo de Bill Gates « TrustWorthy Computing« ), de nombreux bouts de librairies et de codes sources peuvent encore subsister dans les versions actuellement déployées de Windows 10. De quoi occuper les équipes de chercheurs en cybersécurité.

 

Le transporteur maritime français CMA CGM S.A. victime d’un ransomware

Après Maersk Line, premier transporteur maritime mondial et victime en 2017 de NotPetya, c’est la société française CMA-CGM qui est aujourd’hui victime d’un ransomware. C’est la dernière entreprise de transport maritime à être victime d’une attaque de ce genre. En juillet 2018, l’entreprise COSCO a également été paralysée par un ransomware durant près d’un mois. Enfin, en avril 2020, c’était au tour de la Mediterranean Shipping Company d’être frappée par un malware sans nom, qui a fait s’écrouler son centre de données pendant plusieurs jours. Les équipes informatiques de CMA-CGM auraient identifié la source de l’attaque ; la branche chinoise de l’entreprise aurait été la cible du ransomware Ragnar Locker. Celui-ci n’aurait impacté que des serveurs « périphériques » de l’entreprise, mais les applications des services de CMA CGM étaient indisponibles au moment de la communication. Ce n’était probablement pas la publicité escomptée par l’entreprise qui, alors qu’elle est propriétaire du plus grand porte-conteneurs mondial, se lance dans la R&D pour mettre à l’eau des transporteurs à hydrogène d’ici 2025.

 

5G : la sécurité affaiblie par un protocole suranné ?

Alors que les enchères des fréquences de la 5G ont (enfin) eu lieu, et que les opérateurs français ont déboursé 2,8 milliards d’euros pour acquérir les différents lots de fréquence, un chercheur de Positive Technology a fait une présentation sur la sécurité des protocoles SS7, utilisés dans les télécommunications. Les protocoles SS7 ont été développés dans les années 1980 et ont déjà fait l’objet de critiques vis-à-vis de leur sécurité en 2014, lors du Chaos Communication Congress. Cette fois-ci, la présentation de Sergey Puzankov lors de la Black Hat Asia 2020 s’est concentrée sur l’exploitation de vulnérabilités dans un protocole pour les poursuivre dans d’autres, censés être plus sécurisés. Les attaques combinent des actions spécifiques sur des réseaux de génération mixte (2G, 3G, 4G et 5G). En exploitant des failles dans l’architecture, des erreurs de configuration et des vulnérabilités logicielles, le chercheur et son équipe ont réussi plusieurs types d’attaques. La première, une Man-in-the-Middle « interception d’appels vocaux », a été réussie en supprimant l’option VoLTE et en bypassant le pare-feu SS7 ; la deuxième, encore une MitM « interception d’appels vocaux », mais cette fois-ci en utilisant de la redirection de trafic. Enfin, la troisième attaque destinée à réaliser une arnaque à l’abonnement, i.e. détournant la sécurité du 2FA, ici par des attaques sur les protocoles SS7 et GTP-C. Tous les vecteurs d’attaque ont été testés dans des scénarios réels et signalés aux organismes industriels concernés par les équipes de Positive Technology, qui ne sont pour autant pas alarmistes quant à la sécurité des réseaux 5G, rappelant aux opérateurs qu’il leur « suffit de vérifier si leurs outils de sécurité sont efficaces lorsque de nouvelles vulnérabilités sont signalées ». Si ce n’est que ça, alors, nous voilà rassurés. Reste à savoir quelle proportion des investissements massifs sera allouée à la sécurité des réseaux 5G.

 

Un botnet basé sur Mirai exploite deux 0-days pour attaquer les routeurs Tenda

Les chercheurs en sécurité de Netlab, la division de sécurité réseau Qihoo 360, ont publié un rapport qui détaille un botnet IoT surnommé Ttint. Basé sur le botnet IoT Mirai, Ttint a exploité deux failles 0-days pour injecter des Remote Access Trojan (RAT) dans les routeurs fabriqués par Tenda, une entreprise chinoise. Contrairement à d’autres botnets IoT DDoS, Ttint implémente 12 fonctions d’accès à distance telles que le proxy Socks 5 pour les périphériques de routeur, la modification des paramètres du pare-feu du routeur et des paramètres DNS, ou encore l’exécution de commandes système personnalisées à distance. Le botnet utilise le protocole WSS (WebSocket over TLS) pour la communication vers le serveur de contrôle pour contourner la détection de trafic typique de Mirai et fournir une communication chiffrée sécurisée pour la commande et le contrôle. Le botnet n’affecterait que les routeurs intégrant des firmwares de versions AC9 à AC18. La sophistication du botnet interpelle les chercheurs, qui ont communiqué à Tenda la nature de la seconde faille 0-days (non publique à ce jour). L’entreprise chinoise n’a pas réagi, ce qui amène les équipes de NetLab à recommander la vérification de la version des firmwares des routeurs et de faire les mises à jour nécessaires.

 

Une campagne de publicités frauduleuses Facebook découverte

Des chercheurs ont publié une analyse intéressante d’une campagne de publicités frauduleuses sur Facebook, surnommée SilentFade, utilisant un virus pour instrumenter le compte Facebook d’une victime.  Une fois la machine infectée, le virus extrait les mots de passe et les jetons de session dans les cookies, en inspectant les principaux navigateurs présents sur le disque, puis envoie ces informations, enrichies du contexte d’utilisation de Facebook, à un serveur central. Le serveur central utilise ces jetons de session pour usurper le compte Facebook des victimes, en prenant soin d’utiliser une adresse IP provenant de la même aire géographique, pour éviter d’être détecté, puis crée des publicités qui viendront rémunérer les attaquants. Une attaque intéressante, qui parvient à déjouer les différentes protections empêchant normalement ce genre de manipulation (authentification multi-facteurs 2FA, protection des cookies, vérification de l’adresse IP, etc.).

 

Des patrons de bar menottés à cause du wifi de leur établissement.

A Grenoble, plusieurs gérants de bars (au moins cinq) ont eu la désagréable surprise de voir débarquer la police dans leur estaminet et de se faire embarquer, menottes aux poignets, en raison du wifi qu’ils offraient à leurs clients. En cause le texte de loi 2006-64, qui oblige tout fournisseur d’accès à un réseau, même à titre gratuit, à assurer la traçabilité de l’utilisation qui est faite dudit réseau. Des obligations qui s’imposent donc aux FAI (Orange, Free, etc.), mais également aux établissements plus modestes, proposant du wifi à leurs clients (bars, cafés, restaurants, hôtels, etc.). Une disposition méconnue du secteur de la restauration, pour laquelle il existe cependant des solutions simples : portails captifs, abonnements Internet professionnels, etc. Nul n’est censé ignorer la loi, mais ces arrestations paraissent néanmoins sévères dans un contexte déjà difficile pour ce secteur d’activité.

 

Y’a plus, je laisse ?

Un site de service de « voyance en ligne » a laissé une base de données, contenant les prénoms, les dates de naissance, les adresses email et les numéros de téléphone de 8 millions de clients, exposée sur Internet. Et pas un seul voyant n’a été capable de le voir venir.