Sélection de l’actualité de la semaine

 

Hacking & Sécurité

La stratégie de Windows « As a Service » semble fonctionner

Lorsque Microsoft a annoncé son changement de stratégie de mise à jour de son système d’exploitation Windows, passant d’une actualisation des fonctionnalités et des services tous les 2-3 semestres à des mises à niveau plus régulières, la nouvelle a été accueillie avec plus ou moins d’enthousiasme. Cependant, selon une étude récente menée par AdDuplex, plus de la moitié du parc Windows fonctionnerait sous la version 1903 et près d’un quart du parc sous la dernière version 1909. Sachant que les mises à jour sont effectuées par les utilisateurs sur la base du « volontariat » (hors utilisation et gestion par des professionnels de la sécurité des systèmes d’information), et malgré les inévitables problèmes rencontrés lors de certaines mises à jour, le constat est rassurant pour Microsoft. Il conforte en substance son choix de passer à un fonctionnement « Windows as a Service », avec notamment le recours à « Windows Insider« , communauté de bêta testeurs qui contribuent à pousser des mises à jour plus stables plus rapidement.

Surfing Attack : les assistants vocaux piratés par une attaque utilisant des ultrasons ciblées

Alors que nous évoquions la curiosité excessive des assistants vocaux et des enceintes connectées, une équipe de chercheurs chinois et américains a démontré qu’il était possible de pirater des assistants vocaux (ici Siri, Google, et Bixby) grâce à des ondes ultrasoniques. L’attaque reproduit les commandes vocales destinées à activer les fonctionnalités des assistants vocaux mais utilise des fréquences inaudibles pour l’humain (les ultrasons), ce qui la rend indétectable. Ils ont ainsi réussi à déverrouiller le téléphone, prendre des photos, passer des appels audio ou encore faire lire des messages textes contenant des numéros de vérification dans le cadre d’une authentification 2FA. Mieux, les chercheurs ont réussi leur attaque en envoyant les ultrasons au travers de matériaux solides sur lesquels reposaient les téléphones ciblés (des plateaux de tables en bois et en verre). Pour confirmer la validité scientifique de leur expérience, les chercheurs ont testé leur attaque sur 17 modèles de téléphone de marque différente (Apple, Google, Samsung, Motorola, Xiaomi, ou encore Huawei) et ont réussi à activer les assistants vocaux sur 15 d’entre eux. Pour que l’attaque fonctionne, il faut cependant que la victime ne prête pas attention à son téléphone portable pendant quelques temps, ce qui se révèlera sûrement être la partie la plus compliquée de l’attaque.

Let’s Encrypt révoque 2,6% des certificats TLS délivrés

Le champagne devra attendre. Alors que la société Let’s Encrypt avait annoncé il y a quelques jours avoir délivré un milliard de certificats TLS, les équipes techniques ont annoncé avoir découvert un bug dans leur logiciel de contrôle des certificats numériques. Pour rappel, Let’s Encrypt est une Autorité de Certification (AC ou CA pour Certificate Authority en anglais) qui a pour objectif de permettre la mise en place d’un serveur HTTPS et l’obtention automatique d’un certificat reconnu comme de confiance par les navigateurs, sans intervention humaine.  Concrètement, le détenteur d’un nom de domaine dépose une demande de certificat numérique auprès de Let’s Encrypt ; le logiciel interne, Boulder, procède aux vérifications réglementaires et légales pour s’assurer de la légitimité de la demande et, si celle-ci est légitime, Let’s Encrypt délivre un certificat d’une validité de 90 jours pour le nom de domaine demandé. Au bout de ces 90 jours, le logiciel peut procéder à de nouvelles vérifications avant de délivrer à nouveau le certificat. Le bug vient du logiciel de vérification des enregistrements Certification Authority Authorization (CAA), enregistrements qui permettent aux détenteurs de noms de domaine d’indiquer aux autorités de certificat (CA) s’ils sont autorisés ou non à délivrer des certificats numériques pour un nom de domaine spécifique. Avec le bug, lorsqu’une demande de certificat numérique contenait N noms de domaine nécessitant un deuxième contrôle CAA, le logiciel Boulder choisissait un des noms de domaines et le contrôlait N fois. En d’autres termes, si 7 noms de domaines devaient être recontrôlés, Boulder en sélectionnait un parmi les sept et le contrôlait 7 fois au lieu de contrôler les 7 noms de domaines individuellement. Cela signifie que Let’s Encrypt pourrait avoir délivré des certificats qu’il ne devrait pas avoir en premier lieu, ce qui a conduit la société à révoquer tous les certificats TLS qui ont été touchés par le bug.

[EDIT] Dans un post sur le forum de Let’s Encrypt, un Directeur Exécutif de la société a fait savoir que tous les certificats concernés par le bug ne pourront être révoqués à temps. Les équipes de Let’s Encrypt ont remplacé 1,7 million de certificats mais laisseront environ 1 million arriver à expiration, plutôt que de les remplacer. Ce choix a été opéré dans l’intérêt des clients concernés, pour ne pas nuire à leurs activités liées à leurs sites web.

Les clés de démarrage de millions de véhicules Toyota, Hyundai et Kia vulnérables

Une équipe de recherche des universités de KU Leuven en Belgique et de Birmingham au Royaume-Uni a publié un article dans lequel ils exposent des vulnérabilités présentes dans les systèmes de chiffrement des systèmes d’antidémarrage utilisant la technologie de chiffrement DST80, développée par Texas Instrument, le fabriquant de composant électronique américain. Le système d’antidémarrage est une protection contre le vol qui s’assure que la clé de contact utilisée est bien la clé légitime associée au véhicule. Pour cela, un système électronique situé dans le barillet envoie un signal radio à destination d’un récepteur situé dans la clé ; ce dernier fonctionne comme un transpondeur et renvoie un code d’authentification unique qui déverrouille le système d’antidémarrage. Les chercheurs ont utilisé un simple Proxmark RFID pour capter le signal envoyé et déchiffrer le clé de chiffrement, leur permettant ensuite de le rejouer à volonté, et donc de se faire passer pour la clé légitime : le système antidémarrage n’y voit que du feu. Le problème ne réside pas dans DST80 lui-même, mais dans la façon dont les constructeurs automobiles l’ont mis en œuvre : la clé cryptographique des cartes de démarrage Toyota était basée sur leur numéro de série qui était transmis en clair au Proxmark RFID. Et les clés/cartes de Kia et Hyundai avait seulement utilisé 24 bits d’entropie plutôt que les 80 bits que le DST80 offre, ce qui rend leurs valeurs secrètes extrêmement faciles à deviner. Résultat, les chercheurs n’avaient plus besoin que d’un tournevis pour démarrer la voiture, renvoyant ainsi la sécurité antivol dans les années 1980. Contactés par l’équipe de recherche, les constructeurs automobiles ont pour la plupart admis l’existence de cette vulnérabilité sans pour autant offrir de solution permettant de la corriger, à part Tesla, qui a pu déployer un correctif rapidement.

Une vulnérabilité non-corrigible dans les puces Intel menace les utilisateurs et les titulaires de droits de contenu

La puce CSME est une puce Intel présente sur un grand nombre de matériel professionnel. Cette petite puce est en fait un ordinateur complet miniature, avec sa propre RAM, son propre gestionnaire de démarrage/boot. Cette puce permet la gestion complète du hardware sur lequel elle est posée. Elle a un accès direct à la mémoire du serveur qu’elle gère. Cette mini-puce se protège elle-même pour éviter qu’un attaquant avec un accès physique puisse la compromettre ; puisque c’est un « mini-ordinateur », en soit les même problèmes se posent que dans l’informatique classique. Pour cela, des protections sont mises en place par la puce pour protéger sa RAM et son fil d’exécution afin qu’il ne soit pas modifié par des attaquants ayant un accès physique à la puce. Cependant, ces mécanismes de protection ne se mettent pas en place instantanément au démarrage de la puce. Par conséquent, il est possible de détourner le fil d’exécution de la puce pour lui faire exécuter du code malveillant en manipulant sa mémoire vive durant un très cour laps de temps au démarrage de la machine. Une fois cette puce compromise, il est alors plus simple de compromettre le hardware sur lequel elle est installée, pour notamment extraire la totalité de la mémoire vive qui contient les informations les plus intéressantes.

 

Données personnelles

DoppelPaymer frappe un sous-traitant de Tesla, SpaceX, Boeing et Lockheed Martin

Nous avions déjà évoqué le ransomware DoopelPaymer (ou DopplePaymer, l’orthographe varie) qui avait ciblé un FAI basé dans l’ouest de la France. Le groupe derrière le ransomware fait à nouveau parler de lui en ciblant Visser Precision, une société fabriquant des pièces et des composants pour de grands groupes américains des secteurs de l’aéronautique et de la défense. DoppelPaymer, en frappant le système d’information du sous-traitant, a ainsi eu accès à des informations confidentielles sensibles (des fichiers CAO, des adresses emails, des factures, des informations comptables, etc.) appartenant aux groupes Tesla, SpaceX, Boeing ou encore Lcokheed Martin. DoppelPaymer, qui exploite une faille dans les logiciels d’entreprises de Citrix (CVE-2019-19781), est dérivé du malware BitPaymer et emprunte un mode opératoire similaire à Maze, le ransomware qui avait frappé Bouygues Construction au début de l’année. Les attaquants exfiltrent les données de la victime, les chiffrent, et menacent de les publier publiquement si l’entreprise refuse de payer la rançon demandée. Visser Precision a informé ses clients de la fuite de données et a déclaré mettre en œuvre les mesures de gestion de crise adaptées. Pas sûr, cependant, que ces multinationales apprécient de voir leurs données dans la nature ; Lockheed Martin, notamment, a déjà perdu beaucoup d’argent par le passé à cause de plusieurs expériences similaires.

Des cybercriminels viennent d’ouvrir un site pour publier les données personnelles de leurs victimes. Le groupe de cybercriminels opérant le ransomware Nemty viennent de mettre en ligne un site web destiné à la publication des informations volées à leurs victimes. L’objectif est simple : mettre toujours plus de pression sur les victimes en publiant les informations de ceux qui n’ont pas payé. Ce modèle économique s’installant, les attaques par ransomware vont devoir être considérées comme des fuites de données à part entière par les entreprises victimes, et appelleront une réponse adaptée. Cela passe notamment par une notification à la CNIL dans les 72h et une information des personnes concernées dans les meilleurs délais, en vertu des articles 33 et 34 du RGPD.

Le groupe Lise Charmel placé en redressement judiciaire à cause d’un ransomware

Le 8 novembre 2019, le groupe Lise Charmel, basé dans la région de Lyon, a découvert qu’un ransomware avait chiffré l’ensemble des données de leur système d’information. Suivant les recommandations de l’ANSSI de ne pas payer la rançon demandée, le groupe a choisi de reconstruire son SI dans son intégralité. La reconstruction ayant un impact direct sur les délais de production et de livraison et également sur les emplois des quelques 1 150 salariés employés au niveau mondial, la Direction a choisi de solliciter le tribunal de commerce et de demander une mise en redressement judiciaire pour se préserver au maximum des conséquences de leur démarche. Évoquant un manque à gagner de plusieurs millions, la Direction souligne néanmoins la compréhension et la bienveillance de ses partenaires, producteurs et clients.

 

Marché / Industrie

Google continue le déploiement de ses infrastructures Google Cloud Platform

Google va implanter quatre nouveaux data center Google Cloud Plateform à Delhi (Inde), Doha (Qatar), Melbourne (Australie) et Toronto (Canada). Cela porte à 26 le nombre de régions et 67 zones couvertes par les services Google Cloud Plateform. Comme l’explique Google, « les régions correspondent à des espaces géographiques indépendants qui sont constitués de zones. Les emplacements au sein des régions présentent généralement des latences réseau aller-retour inférieures à 1 ms au 95e centile. Les zones servent au déploiement des ressources Cloud Platform dans une région ». L’entreprise continue ainsi son déploiement au niveau mondial, pour essayer de se hisser sur le podium des acteurs mondiaux de services cloud, alors que Gartner indiquait en 2019 que le marché mondial des infrastructures en tant que service (IaaS) a augmenté de 31,3% en 2018 pour atteindre 32,4 milliards de dollars, contre 24,7 milliards de dollars en 2017.

Rakuten, Vodafone et Samsung lancent le premier réseau mobile diffusé dans le monde entier

Un consortium mené par Rakuten, Vodafone et Samsung a levé le capital de l’entreprise AST & Science à 128 millions de dollars pour développer le premier réseau cellulaire à large bande diffusé depuis l’espace. Le réseau, baptisé SpaceMobile, est un réseau satellitaire à faible latence et orbite basse (LEO) pourra se connecter à des mobiles standard. AST & Science entend révolutionner le marché mondial de la connectivité mobile en offrant un réseau dépourvu de latence d’une zone géographique à l’autre et capable d’apporter une couverture dans les zones qui en sont aujourd’hui dépourvues. Le groupe britannique Vodafone fournira une expertise technique, opérationnelle et réglementaire pour le déploiement mondial de SpaceMobile et entend s’appuyer sur le succès de ce réseau pour asseoir leur leadership en Europe et en Afrique. De la même manière, Rakuten espère tirer profit de ce projet pour devenir le premier opérateur mobile au Japon et un des top players au niveau mondial.

Nokia et Ericsson défendent leur collaboration avec des entités chinoises lors d’une audition au sénat Américain

Alors que la loi américaine H.R.4498 visant à remplacer les équipements réseaux chinois déployés sur le territoire américain doit être signée par le président D.J.Trump, les représentants de Nokia et d’Ericsson, pressentis pour fournir les équipements de remplacement, étaient entendus par une commission sénatoriale. Le projet de loi permettrait de débloquer plus d’un milliard de dollars pour investir dans des alternatives « occidentales » aux fournisseurs d’équipement chinois Huawei et ZTE. Si, il y a quelques semaines de cela, des élus américains appelaient à entrer au capital des équipementiers finlandais et suédois pour mieux les épauler et faciliter le déploiement de leurs produits sur le sol américain, le Senate Commerce Committee a tenu à discuter des liens existants entre les deux équipementiers et des institutions chinoises ; en effet, les sénateurs américains ont relevé l’existence de plusieurs joint-venture avec des entreprises chinoises, des investissements importants dans la recherche et la formation en Chine, ainsi que l’existence d’un institut de recherche conjoint avec l’Institut de technologie de Beijing. Les représentants de Nokia et d’Ericsson devront ainsi apporter les garanties nécessaires demandées par le Sénat américain concernant la possible intégration « d’éléments chinois » dans les logiciels des équipementiers nordiques.

Bruno Lemaire insensible aux « offensives de charmes chinoises »

Le gouvernement français attend toujours les conclusions de l’ANSSI pour définir sa position officielle quant à l’utilisation de technologies chinoises pour installer le futur réseau 5G sur le territoire national. Les déclarations, la semaine dernière, de l’équipementier chinois Huawei concernant son intention d’implanter sa première usine de fabrication d’équipements radio hors-Chine en France n’ont pas manqué de susciter étonnements et interrogations. Cependant, le ministre de l’Économie Bruno Le Maire a déclaré que cette décision de Huawei « ne modifie pas d’un iota la position du gouvernement français sur la 5G », ajoutant que « personne, et certainement pas moi, ne cède à quelque chantage que ce soit. » Le ministre a rappelé que la France avait pris une position très claire vis-à-vis du déploiement de la 5G, et que les mesures adoptées ne visaient qu’à préserver les intérêts stratégiques de la France, sans chercher à discriminer quelque entreprise que ce soit.

 

Géopolitique

Les groupes de cyberespionnage liés à la Chine ont de plus en plus ciblé les organisations de l’industrie des télécommunications en 2019

Parmi les conclusions du CrowdStrike 2020 Global Threat Report, les secteurs des télécommunications et les acteurs gouvernementaux ont été les plus ciblés par les groupes d’espionnage liés à la Chine. La majorité des attaques menées contre des organisations dans le secteur des télécommunications ont été attribuées à des groupes de hackers liés à la Chine, tels que Wicked Panda (alias APT41), Emissary Panda (alias APT27, Bronze Union, Lucky Mouse et TG-3390), et Lotus Panda (alias Thrip). Les pirates chinois ont également ciblé plusieurs organisations dans le secteur de la santé, des acteurs gouvernementaux et les secteurs de la défense des pays d’Asie. Les infrastructures de télécommunications sont une cible privilégiée des groupes de hackers liés à la Chine car elles constituent un point d’entrée stratégique pour les campagnes d’espionnage ou pour les attaques plus larges. L’utilisation du malware MESSAGETAP, qui permet d’intercepter et de lire des SMS, est mise en avant dans le rapport.

 

Y’a plus, je laisse ?

Le mot de passe protégeant l’accès à l’outil top secret de la CIA, Vault 7 ? « 123ABCdef »

Joshua Schulte est accusé d’avoir volé des outils utilisés par la CIA pour pirater différents appareils et espionner les utilisateurs, appelés « Vault 7 » et de les avoir diffusés publiquement. Le leak contenait des détails sur les outils d’espionnage utilisés par l’agence américaine. Il avait été publié par le site WikiLeaks, révélant notamment comment des téléviseurs connectés pouvaient servir à surveiller des cibles. Alors que les débats du procès, qui se tient en ce moment, s’attardent sur la personnalité antipathique de Schulte, la défense a voulu mettre l’accent sur les mesures de sécurité mises en œuvre au sein de la CIA pour protéger les outils volés et publiés sur WikiLeaks. Qu’en était-il ? Et bien, le mot de passe pour la machine virtuelle Confluence qui stockait tous les outils de piratage qui ont été volés et divulgués ? Ce sera 123ABCdef. Et l’identifiant root pour le serveur principal DevLAN ? mysweetsummer. Mieux, ces mots de passe ont été partagés par toute l’équipe sur l’intranet du groupe. Les conversations de l’IRC, publiées pendant le procès, ont même révélé que des membres de l’équipe parlaient de la gravité de leurs pratiques, et ont plaisanté sur le fait que les équipes de sécurité interne de la CIA deviendraient folles si elles l’apprenaient. Leur justification ? L’intranet était réservé aux membres de l’Operational Support Branch, l’unité de programmation qui développe les outils de piratage de la CIA. Suffisant pour faire dire à la défense que Schulte est victime de son caractère et qu’il constitue le coupable idéal pour beaucoup de personnes au sein de la CIA.