Sélection de l’actualité de la semaine

 

Une vulnérabilité RCE wormable signalée dans Microsoft Teams

Une vulnérabilité du type d’exécution de code à distance (RCE) sans clic, découverte dans les applications de bureau Microsoft Teams, aurait pu permettre à un attaquant d’exécuter du code arbitraire en envoyant simplement un message de discussion spécialement conçu et ainsi de compromettre le système d’information de la cible. La faille de sécurité a été rapportée par un ingénieur sécurité d’Evolution Gaming en août 2020. Toutefois, le Microsoft Security Response Center a considéré que la faille ne relevait pas d’une CVE, mais l’a évalué comme « Important, Spoofing », soit l’une des notations les plus basses existant dans le programme de Bug Bounty de Microsoft. Alors, comment juger la criticité et l’impact de la faille ? L’exploitation se fait de la manière suivante : un message de discussion spécialement conçu peut être envoyé à n’importe quel membre ou canal de Microsoft Teams qui exécutera du code arbitraire sur les PC victimes sans interaction de l’utilisateur. L’exécution de code, réussie sur Windows, MacOS, et Linux, donne aux attaquants un accès complet aux appareils victimes et aux réseaux internes de l’entreprise via ces appareils. L’attaque n’est pas visible des victimes, et peut être automatisée sous la forme de malware. Pour autant, Microsoft n’a pas attribué de CVE à cette vulnérabilité, déclarant que « la politique actuelle de Microsoft est de ne pas émettre de CVE sur les produits qui se mettent à jour automatiquement sans intervention de l’utilisateur ». Dont acte. Pour les plus curieux, le POC est disponible.

 

COVID-19 : le nombre de vulnérabilités explose en raison du manque de ressources humaines

Voilà une conséquence inattendue de la pandémie COVID-19 et des mesures de confinement imposées dans les différents pays touchés : le nombre de bugs logiciels et de vulnérabilités a connu une augmentation record au cours des trois premiers trimestres 2020. C’est l’entreprise américaine Risk Based Security (RBS) qui révèle l’information dans son rapport 2020 Q3 Vulnerability QuickView Report, dans lequel elle examine la tendance des bugs/vulnérabilités au sein de l’écosystème U.S., et notamment pour le top 30 des enseignes commerciales du pays (parmi lesquelles Amazon, Costco, Kroger et Walmart). Pour RBS, le secteur principal de croissance des failles de sécurité logicielle a été celui des logiciels en ligne développés par des prestataires. En raison de leur plus grande surface d’attaque, les risques liés à une mauvaise configuration, un mauvais déploiement en production, ou à l’interconnexion avec d’autres systèmes sont bien plus élevés que les logiciels déployés sur des postes de travail. Les équipes de RBS ont ainsi constaté, à la fin du premier trimestre 2020, « ce qui semblait être une forte baisse des divulgations de vulnérabilité par rapport à 2019, en baisse de 19,2% ». Un tel écart statistique est énorme ; cela implique que les correctifs poussés par les équipes de sécurité arrivent par la suite par lots massifs et par « vagues successives », pour pouvoir rattraper le retard. Avant la pandémie de COVD-19, les équipes de RBS n’avaient constaté une situation similaire que lors de ce qu’ils ont depuis appelé les “effets Fujiwara des vulnérabilités ». Le concept d’ « effet Fujiwara » décrit la convergence de deux ouragans en un seul « super ouragan » ; les équipes de RBS assimilent cet effet à des jours comme le 14 janvier 2020, le 14 avril 2020 et le 14 juillet 2020, lorsque 13 grands fournisseurs, dont Microsoft et Oracle, ont tous publié des correctifs à le même temps. RBS a déclaré que ces trois événements de vulnérabilité de Fujiwara en 2020 ont mis un stress énorme sur les équipes de sécurité. La crainte est, pour RBS, de rentrer dans un mécanisme d’ « effet Fujiwara permanent » ; à titre d’exemple, avec le Patch Tuesday de décembre, le total des correctifs de Microsoft s’élève à 1250 pour l’année, contre 840 en 2019. De quoi donner du grain à moudre pour les équipes de sécurité.

 

L’agence européenne des médicaments victime d’une cyberattaque

L’Agence européenne des médicaments (EMA), l’organe réglementaire de l’UE chargé d’approuver les vaccins contre la Covid-19, a déclaré mercredi avoir été victime d’une cyberattaque. Peu d’informations sont disponibles sur les détails de l’attaque, néanmoins, dans une déclaration de suivi publiée sur son propre site web, BioNTech affirme que « certains documents relatifs à la soumission réglementaire pour le candidat vaccin contre la Covid-19 de BioNTech et Pfizer, BNT162b2, stockés sur un serveur de l’EMA, ont été illégalement consultés » pendant l’attaque, confirmant que les recherches contre la Covid-19 étaient très probablement ciblées. Cette attaque vient s’ajouter à celles ayant déjà ciblé les laboratoires développant les vaccins, les entreprises fournissant la chaine du froid ou encore les autorités douanières européennes de contrôle des médicaments.

 

FireEye, Inc. s’est fait hacker !

Le géant américain de la cybersécurité vient d’annoncer qu’il a subi une intrusion. Le niveau de sophistication de l’attaque laisse penser qu’il s’agirait probablement d’une agence gouvernementale. Cette opération de renseignement étrangère aurait permis de voler à FireEye leur arsenal interne, c’est-à-dire l’ensemble de leurs outils utilisés pour mener des pentests chez leurs clients. Dans un post de blog, FireEye a donné plus de détails sur les outils volés par les attaquants : « les outils volés vont de simples scripts utilisés pour automatiser la reconnaissance à des frameworks entiers, similaires aux technologies disponibles publiquement telles que CobaltStrike et Metasploit. De nombreux outils de la Red Team ont déjà été mis à la disposition de la communauté et sont déjà distribués dans notre machine virtuelle open source, CommandoVM. Certains de ces outils sont des outils accessibles au public modifiés pour contourner des mécanismes de détection de sécurité de base. D’autres outils et framework ont été développés en interne pour notre Red Team ». La société a donc intelligemment partagé des indicateurs de compromission (IOC) et des contre-mesures sur son compte GitHub. Pour le moment, rien n’indique un vol des données de ces clients, qui sont notamment des agences gouvernementales américaines. Aucune trace non plus d’utilisation de leur arsenal « qui ne contient pas de zero-days », selon l’entreprise. Ce n’est pas la première fois que ce genre de situation arrive, on se souvient notamment du cas de HackingTeam il y a quelques années : l’entreprise italienne avait subi une fuite majeure de ses données, qui avait révélé des piètres mesures de sécurité interne.

 

Foxconn, un des fournisseurs d’Apple, touché par un ransomware de DoppelPaymer

Foxconn Technology Group a confirmé mardi qu’une cyberattaque survenue fin novembre avait mis hors ligne certaines de ses opérations américaines. L’incident serait une attaque de type ransomware menée par un groupe qui a tenté d’extorquer 34 millions de dollars à l’entreprise. Le groupe DoppelPaymer, qui avait entre autres piraté Bretagne Télécom,  est soupçonné d’être à l’origine de l’attaque ; il aurait chiffré 1200 serveurs, téléchargé 100 Go de données et supprimé entre des sauvegardes de 20 à 30 To. L’attaque aurait commencé au sein du site de Chihuahua, au Mexique, alors que des sources divergentes indiqueraient l’installation Foxconn CTBG MX située à Ciudad Juárez, toujours au Mexique. La note de rançon comprend un lien vers la page victime de Foxconn sur le site de paiement Tor de DoppelPaymer, où les attaquants demandent une rançon de 1804,0955 BTC, soit environ 34686000 $ au prix actuel du bitcoin. Foxconn a, depuis, confirmé l’attaque et a indiqué dans un communiqué travailler à remettre le système d’information et les chaines de production en marche, tout en évaluant les réponses judiciaires à apporter.

 

La CNIL sanctionne Google et Amazon pour des pratiques illégales relatives à l’utilisation de cookies

La CNIL a décidé de sanctionner Google et Amazon pour l’utilisation illégale de cookies publicitaires sur les ordinateurs d’utilisateurs sans consentement préalable ni information satisfaisante. Google écope d’une amende de 100 millions d’euros, et Amazon d’une amende de 35 millions d’euros. Les deux sanctions sont motivées dans des communiqués de la CNIL ici pour Google, et là pour Amazon.

 

Privacy Shield : un nouvel accord entre l’UE et les États-Unis pourrait prendre des mois

Wojciech Wiewiórowski, le Contrôleur européen de la protection des données (CEPD), a déclaré à Reuters que les négociations entre Washington et Bruxelles concernant un nouvel accord bilatéral sur la protection des données personnelles ne devraient pas aboutir avant « plusieurs semaines voire mois« . L’invalidation du Privacy Shield en juillet dernier par la Cour de Justice Européenne a entrainé un bouleversement majeur et a imposé de facto une refonte de l’accord bilatéral entre les États-Unis et l’UE. Seulement, l’élection de Joe Biden à la Maison Blanche et avec lui la mise en place d’une nouvelle administration, va considérablement retarder le processus ; le contrôleur européen W.Wiewiórowski espère que l’Administration Biden classera ce sujet au rang des priorités pour offrir une solution aux entreprises européennes qui transfèrent des données outre-Atlantique.

 

Une procédure AntiTrust lancée par 48 États des États-Unis pour demander le démantèlement de Facebook

Facebook est poursuivi par la Commission fédérale du commerce des États-Unis (FTC) et une coalition bipartite de 48 procureurs généraux pour avoir étouffé la concurrence en rachetant ou en éliminant des concurrents. Deux procédures, intentées respectivement par la FTC et la coalition des procureurs généraux, accusent Facebook d’avoir racheté des entreprises – à savoir Instagram pour 1 milliard de dollars en 2012 et WhatsApp pour 19 milliards de dollars en 2014 – afin d’éliminer toute concurrence susceptible d’éroder la position dominante de l’entreprise. Les poursuites allèguent également que les entreprises qui ont refusé les offres d’acquisition de Facebook – ou celles qui représentaient une menace pour la concurrence – se sont vues par la suite coupées de l’accès à divers éléments clés du réseau du géant des réseaux sociaux. À la lumière d’allégations rapportées par des plaignants, la FTC et la coalition des procureurs généraux ont demandé que Facebook se sépare d’Instagram et de WhatsApp pour « rétablir la concurrence qui existerait » en l’absence des pratiques monopolistiques du géant des réseaux sociaux. Ils ont également demandé que de nouvelles restrictions soient appliquées à tous les futurs accords conclus par Facebook. Dans le cas de la coalition, les procureurs généraux ont demandé au tribunal d’empêcher Facebook de faire des acquisitions futures d’une valeur de 10 millions de dollars ou plus sans préavis des autorités des 48 États qu’ils représentent. Par ailleurs, la FTC a demandé à Facebook de toujours demander une autorisation préalable pour toute fusion ou acquisition future. Les actions sont largement suivies par les procureurs généraux des États fédéraux américains parce qu’ils qualifient les efforts de Facebook pour dominer le marché d’être « aussi illégaux que nuisibles », soulignant de plus un « effet paralysant sur l’innovation ». Les plaignants ont ainsi rappelé à tous les acteurs américains du numérique que « tous les efforts visant à étouffer la concurrence, à réduire l’innovation ou à diminuer les protections de la vie privée seront contrés ».

 

Le gouvernement français lance le Fonds Innovation Défense

Le gouvernement déploie un nouveau véhicule d’investissement, le Fonds Innovation Défense, destiné à participer aux levées de fonds réalisées par des start-up ou de jeunes PME travaillant sur des technologies de ruptures ayant des applications civiles et militaires. Ce fonds, déjà doté de 200 millions d’euros provenant du ministère des Armées, pourra être complété à hauteur de 200 millions d’euros supplémentaires par Bpifrance et des acteurs industriels. Bpifrance précise dans un communiqué que le fonds d’investissement « adressera les thématiques technologiques transversales et communes aux systèmes de défense, comme par exemple l’énergie, le quantique, les technologies de l’information dont l’intelligence artificielle, l’électronique et les composants, les matériaux, la santé et l’humain ». Ce fonds se veut complémentaire du fonds d’investissement Definvest, du prêt DEF’FI et des diagnostics Cyber Défense et Défense Europe. Mais aussi du fonds « French Tech Souveraineté » lancé en juin dernier par le gouvernement. Doté de 150 millions d’euros ce dernier vise à aider les jeunes pousses développant des technologies d’avenir à caractère souverain à traverser la crise sanitaire sans risque de se faire avaler par des entreprises étrangères.