Sélection de l’actualité de la semaine

Failles de sécurité

Android : une faille de sécurité critique sur le Bluetooth (ERNW Insinuator)
La société de cybersécurité ERNW a identifié une faille de sécurité critique dans le composant Bluetooth d’Android. Le bug, CVE-2020-0022, a été découvert et signalé à Google. Sur Android 8.0 à 9.0, un attaquant à proximité peut exécuter silencieusement du code arbitraire avec les privilèges du démon Bluetooth tant que le Bluetooth est activé sur le téléphone. Aucune interaction de l’utilisateur n’est requise et seule l’adresse MAC Bluetooth des appareils cibles doit être connue. Or, les dernières versions d’Android activent le Bluetooth par défaut et de plus en plus d’équipements reposent sur cette technologie. Cette vulnérabilité peut entraîner le vol de données personnelles et pourrait potentiellement être utilisée pour propager des logiciels malveillants (ver à courte distance).

Une vulnérabilité dans le logiciel « sudo » sous linux
Ce logiciel, installé sur tous les systèmes linux, permet de lancer des programmes en tant qu’administrateur. Cette fonctionnalité étant indispensable, le logiciel est systématiquement installé sur les systèmes. La vulnérabilité CVE-2019-18634 permet de bypasser l’authentification et de lancer des programmes en tant qu’administrateur sans mot de passe. La vulnérabilité peut être exploitée si l’option « pwfeedback » est activée (option activée par défaut sur certains OS linux). À noter que cette vulnérabilité affecte également les systèmes d’exploitation macOS (High Sierra, Mojave et Catalina). Des mises à jour de sécurité ont été poussées pour les deux systèmes d’exploitation.

Une faille 0day (backdoor) découverte dans les puces HiSilicon
La porte dérobée porte sur des millions de devices spécialisés dans la surveillance (CCTV) utilisant une puce HiSilicon (une filiale de Huawei). La porte dérobée se déclenche à travers le réseau local pour faire exécuter des commandes arbitraires aux devices (i.e. en prendre la main). La porte dérobée est très simple à déclencher via l’envoi d’une commande non documentée sur l’interface réseau légitime du device en question. La commande ordonne au système d’ouvrir un service d’administration à distance (telnet) et permet la prise de main à distance via un mot de passe hardcodé et connu (123456 entre autres possibilités). Huawei a confirmé que la vulnérabilité a existé et que ce n’est pas de leur ressort mais bien de celui de HiSilicon. Cependant, Huawei n’est pas le seul industriel à utiliser des puces HiSilicon. Des services comme shodan.io permettent de lister les services en écoute sur tout Internet, et seulement 13 machines semblent vulnérables à travers Internet.

 

Fuites de données personnelles

Une vulnérabilité dans Twitter permet de récupérer les numéros de téléphone des utilisateurs
Twitter à découvert un bug qui a été exploité par des attaquants, permettant de récupérer le numéro de téléphone des utilisateurs ayant activé l’option « Permettre de me trouver grâce à mon numéro de téléphone » , et sans avoir à s’authentifier à Twitter. Des millions de numéros de téléphone ont été siphonnés.

Google a accidentellement partagé des vidéos d’utilisateurs avec d’autres utilisateurs
La fonctionnalité « Accéder à mes données » de Google a subi un bug. Des utilisateurs se sont rendu compte que parmi « leurs » données figuraient des vidéos personnelles d’autres utilisateurs. Google a reconnu l’incident et en a informé les utilisateurs impactés.

 

Géopolitique

Google et Facebook prennent leur distance avec le projet de câble sous-marin Pacific Light Cable Network (PLCN)
En raison des tensions diplomatiques récurrentes entre les Etats-Unis et la Chine, nourries de soupçons d’espionnage par le biais d’équipements de télécommunications, le projet PLCN n’arrivera probablement pas à son terme. Annoncé en 2017, le câble long de 13 000 km devait permettre à Google et Facebook de disposer d’un accès direct et sécurisé au marché asiatique. La dégradation de la situation politique a eu raison du projet ; les deux géants ont en effet demandé une modification du projet original et le déploiement de câbles n’aboutira qu’à Taiwan et aux Philippines, abandonnant la connexion directe avec la Chine. Paradoxalement, cela signifie que les données américaines transitant depuis et vers la Chine vont continuer à passer par le câble NCP, contrôlé par China Mobile – la seule entreprise que les commissions américaines travaillant à la sécurité des télécommunications ont retoqué pour des raisons de sécurité nationale…

Face à Huawei, le ministre de la Justice américain suggère de prendre le contrôle de Nokia et Ericsson
Face aux inquiétudes d’espionnage résultant de la position dominante des équipementiers chinois pour le déploiement de la 5G, les Etats-Unis envisagent de prendre le contrôle de Nokia et/ou Ericsson pour développer des solutions plus sûres. Rien de moins acquis alors que Londres a accordé une autorisation partielle d’utiliser la technologie chinoise pour certaines parties du futur réseau 5G du Royaume-Uni.

Le gouvernement Russe bloque ProtonMail et Proton VPN
Roskomnadzor, le Service fédéral de supervision des communications, des technologies de l’information et des médias de masse, a expliqué que les services étaient utilisés par des cybercriminels et que Proton Technologies refusait de les enregistrer auprès des autorités de l’État – ce qui va à l’encontre de la législation russe. Cette décision s’appuie sur les modifications apportées par la loi « Russia’s Sovereign Internet », applicable depuis le 1er novembre 2019 et qui élargit considérablement les pouvoirs des autorités publiques russes en matière de contrôle des flux Internet entrant, sortant, et transitant par les infrastructures du pays.

 

Hacking

Hacker un réseau WiFi en exploitant une faille de sécurité d’une ampoule connectée Philips ‘Hue Smart Light Bulbs’
Les experts CheckPoint ont découvert une faille de sécurité (CVE-2020-6007) permettant de prendre le contrôle du réseau WiFi de l’environnement (l’ampoule étant commandé par une application via la WiFi ou ZigBee). En exploitant la faille de sécurité, l’attaquant peut installer un programme malveillant sur l’ampoule connectée ; ensuite, en trompant l’utilisateur et en forçant une ré-association de l’ampoule depuis l’application de contrôle, l’attaquant utilise la vulnérabilité sur le protocole ZigBee pour forcer la victime à venir se connecter à son ordinateur. De là, l’attaquant peut utiliser le pont créé avec le réseau de la victime pour en prendre le contrôle.

EKANS, le ransomware ciblant les systèmes de contrôle industriels (ICS)
L’entreprise de cybersécurité Dragos a identifié un nouveau ransomware, baptisé EKANS, qui cible les systèmes de contrôle industriel utilisés notamment dans les centrales électriques et les stations de traitement des eaux. Contrairement aux ransomwares traditionnels qui chiffrent les données d’organisations et demandent une rançon pour les déchiffrer, EKANS inclut une ‘kill list’ spécifique indiquant que le programme avait une finalité ciblée. Les experts de Dragos établissent un lien entre EKANS et le ransomware MEGACORTEX qui ciblait aussi les ICS.

Le secteur de la Finance américain ciblé par une backdoor
Le secteur des services financiers aux États-Unis s’est retrouvé sous le déluge de cyberattaques le mois dernier, tous déterminés à installer une backdoor appelée Minebridge. L’attaque a utilisé une méthode connue appelée «VBS Stomping» pour éviter la détection. Selon des chercheurs de FireEye, les attaques ont été lancées via des e-mails de phishing avec des documents joints contenant des macros malveillantes.

Ashley Madison, le retour : des centaines d’utilisateurs ciblés par de l’extorsion
Près de 5 ans après le dump de données récupérées sur le site de rencontres extraconjuguales Ashley Madison, les utilisateurs, déjà victimes de voir leurs données personnelles dans la nature, font maintenant face à de l’extorsion. Plusieurs centaines d’utilisateurs ont reçu des emails menaçant de révéler leurs habitudes extraconjuguales, contenues dans l’historique de leurs comptes Ashley Madison, si une rançon d’un (1) Bitcoin ne leur est pas versée.

Le groupe derrière le ransonware Sodinokibi sponsorise un concours de hacking
Le groupe Sodinokibi a décidé de financer le concours de hacking du forum XSS à hauteur de 25 000$, afin d’attirer de nouveaux talents et de collecter des données utiles pour leurs activités (illicites).

Le retour de la menace des prestataires de services d’entretien ?
La police britannique a lancé une alerte indiquant que des « agents dormants » de groupes criminels organisés avaient infiltré les entreprises de services de ménages afin de pouvoir physiquement accéder aux systèmes d’information ciblés. La réalité rattrape la fiction.

 

Y’a plus, je laisse ?

Le fameux puzzle cryptographique non résolu de la CIA obtient un «indice final»
Presque 30 ans après la création de l’oeuvre par Jim Sanborn, le code contenu dans la sculpture au nouveau siège de la CIA vient de dévoiler un nouvel indice qui permettrait de décoder la 4e et dernière phrase secrète toujours inconnue à ce jour.