Sélection de l’actualité de la semaine

 

Une faille de sécurité majeure dans plusieurs modèles de pare-feu/VPN ZyXEL

ZyXEL est une marque taïwanaise spécialisée dans la construction de pare-feu destinés aux petites et moyennes entreprises. Leur gamme de produits Unified Security Gateway (USG) est souvent utilisée comme pare-feu ou passerelle VPN. Une équipe de chercheurs en sécurité d’Eye Control a constaté que, lors de quelques recherches (rooting) sur un Zyxel USG40, un compte utilisateur ‘zyfwp’ avec un hachage de mot de passe dans la dernière version du firmware (4.60 patch 0) a été trouvé. Le mot de passe, en texte clair, était visible dans l’un des binaires du système. De plus, ce compte qui peut permettre à des attaquants de profiter d’un niveau de privilège administrateur semble fonctionner à la fois sur SSH et sur l’interface Web. Les chercheurs précisent que le compte disposait d’un accès root à l’appareil car il était utilisé pour installer des mises à jour de firmware sur d’autres appareils Zyxel interconnectés via FTP. Comme l’utilisateur zyfwp dispose de privilèges d’administrateur, il s’agit d’une vulnérabilité sérieuse : un attaquant pourrait en effet compromettre la confidentialité, l’intégrité et la disponibilité de l’appareil. Quelqu’un pourrait par exemple modifier les paramètres du pare-feu pour autoriser ou bloquer certains trafics. Ils peuvent également intercepter le trafic ou créer des comptes VPN pour accéder au réseau derrière l’appareil. Combiné à une vulnérabilité comme Zerologon, cela pourrait être dévastateur pour les petites et moyennes entreprises.

 

Microsoft minimise l’impact du piratage de Solar Winds

Après avoir détecté des traces de code malveillant dans ses systèmes informatiques suite à l’attaque Solarwinds, Microsoft a expliqué que des hackers ont seulement pu accéder en lecture à du code source. Dans un billet de blog émanant de son CERT, l’éditeur indique n’avoir « trouvé aucune preuve de l’emploi d’outils, techniques et procédures utilisés pour falsifier des tokens SAML contre plusieurs de ses domaines ». Microsoft a constaté qu’un compte avait été utilisé pour afficher le code source dans un certain nombre de référentiels de code source. Cependant, le compte n’était pas autorisé à modifier le code ou les systèmes d’ingénierie et l’enquête a confirmé qu’aucune modification n’avait été apportée, rapporte Microsoft. Cet accès en lecture n’inquiète pas Microsoft, qui précise « nous [les équipes de Microsoft] planifions notre sécurité avec une philosophie de violation de sécurité présupposée et une couche de protections et de contrôles de défense en profondeur pour arrêter les attaquants plus tôt lorsqu’ils y auront accès ». Microsoft n’a toutefois pas précisé à quel(s) logiciel(s) le code source concerné était rattaché.

 

Solar Winds : les agences fédérales américaines de cybersécurité accusent officiellement la Russie

Les principales agences américaines de cybersécurité, à savoir le FBI, la CISA, l’ODNI et la NSA, ont publié hier une déclaration commune accusant officiellement le gouvernement russe d’avoir orchestré l’attaque de la société SolarWinds. Les responsables américains affirment qu’un « acteur malveillant (Advanced Persistent Threat, APT) vraisemblablement d’origine russe » est responsable du piratage de SolarWinds. L’opération est décrite comme « un effort de collecte de renseignements ». Cette déclaration vient ainsi étoffer l’hypothèse formulée par le Washington Post, qui liait l’intrusion de SolarWinds à APT29, un groupe associé au service russe de renseignement extérieur (SVR). Cette déclaration vient une fois de plus corriger les déclarations du président sortant D. Trump qui avait minimisé l’implication de la Russie ainsi que l’ampleur du piratage, contredisant par là même le Secretary of State Mike Pompeo et…l’ensemble des agences fédérales américaines de cybersécurité/espionnage. Enfin, cette déclaration visait également à mettre fin à la énième rumeur et théorie du complot qui circulent, selon lesquelles le piratage de SolarWinds aurait eu pour but de trafiquer les machines de vote et de frauder les élections présidentielles américaines. Théorie répétée par le président sortant dans le même Tweet. Au moment de la rédaction, la Maison Blanche n’a toujours pas tweeté suite à cette déclaration commune.

 

GoDaddy sous le feu des critiques après avoir mené une campagne de sensibilisation de cybersécurité…trop efficace

En décembre dernier, l’entreprise américaine GoDaddy, spécialisée dans la gestion de noms de domaine sur Internet et la mise à disposition de services d’hébergement web, a mené un exercice de cybersécurité interne sous la forme d’une campagne de phishing interne destinée à ses salariés peu avant les fêtes de fin d’année. Malheureusement pour les équipes IT de GoDaddy, leur exercice a trop bien fonctionné : elles ont utilisé un « appât » toujours efficace, à savoir le gain financier. En promettant un bonus de Noël substantiel aux employés qui rempliraient le formulaire joint au mail, la campagne de phishing a connu un taux de réussite très élevé. Résultat, plus de 500 employés se sont fait avoir et ont reçu un second mail de leur Direction expliquant qu’ils avaient « échoué le test » et qu’ils devraient suivre une formation de Security Awareness Social Engineering. Ce genre d’exercice est courant pour maintenir, voire renforcer la sensibilisation des salariés d’une organisation aux risques de cybersécurité ; l’exercice intervient d’ailleurs peu de temps après que GoDaddy a subi une fuite massive de données. Le phishing reste encore aujourd’hui l’un des principaux vecteurs d’attaques, qu’il s’agisse de ransomware, d’une attaque de type APT ou autre. Pour autant, l’exercice mené par GoDaddy a déclenché un tollé outre-Atlantique : une vague d’indignation, liée au choix de « l’appât » – à savoir la promesse d’un bonus après une année marquée par les pertes financières et des licenciements pour cause de COVID-19. La Direction de l’entreprise a même dû publier un communiqué d’excuses. Toute la question est de savoir si, dans le cas d’une campagne de phishing réelle, les attaquants enverraient, eux aussi, un email pour s’excuser de l’efficacité de leurs actions.

 

Le contournement d’une fonction de la messagerie Telegram permet de localiser les utilisateurs avec précision

La fonctionnalité ‘Personnes à proximité’ de l’application de messagerie sécurisée Telegram peut être utilisée de manière abusive pour trouver l’emplacement précis d’un utilisateur, selon le chercheur en cybersécurité Ahmed Hassan. La fonctionnalité qui permet aux utilisateurs de Telegram de voir qui se trouve à proximité peut être utilisée à mauvais escient pour déterminer la distance exacte d’un utilisateur par rapport aux autres utilisateurs – en usurpant sa latitude et sa longitude. Selon Ahmed Hassan, la fonction «Personnes à proximité» pourrait permettre ainsi à un attaquant de trianguler l’emplacement d’utilisateurs de Telegram. Même si la fonctionnalité est désactivée par défaut, le chercheur souligne que « les utilisateurs qui activent cette fonctionnalité ne savent pas qu’ils publient leur emplacement précis ». La fonctionnalité affiche la distance entre les personnes, à la manière du rayon d’un cercle, mais, par une technique simple de triangulation, il est possible de calculer sa position exacte. Pour y arriver, rien de très compliqué : il suffit simplement marcher dans la zone, collecter la latitude et la longitude GPS de votre position, et la distance à laquelle se trouve la personne ciblée. L’opération peut encore être facilitée en utilisant des applications de GPS-spoofing disponibles sur les stores Google Play et App Store. Ahmed Hassan a vérifié la fiabilité de sa découverte en ajoutant des personnes « à proximité » puis en déduisant leur adresse par son procédé. Du côté de Telegram, on se refuse de parler de faille ou de bug et n’a pas souhaité commenter la découverte de M. Hassan.

 

Messageries instantanées et vie privée : à quel point êtes-vous pistés ?

Les messageries Signal, iMessage (Apple), WhatsApp (Facebook) et Facebook Messenger ont été passées au peigne fin pour identifier les données des utilisateurs qu’elles collectent dans le cadre de leur utilisation. Le graphique de comparaison est suffisamment parlant en lui-même.

 

Y’a plus, je laisse ?

Adobe Flash Player a cessé d’exister au 1er janvier 2021. « Salut l’artiste ».