Sélection de l’actualité de la semaine

Données personnelles

Danemark : les identifiants de 1,26 millions de citoyens exposés
Un audit de sécurité a récemment révélé que le portail officiel de l’administration fiscale danoise, a exposé les numéros d’identification personnelle de 1,26 million de citoyens danois, soit un cinquième de la population totale du pays, et ce pendant au moins 5 ans. Ce numéro, obligatoire pour l’ouverture d’un compte bancaire, l’obtention d’un numéro de téléphone, le paiement des impôts, permet également d’obtenir de nombreuses informations sur les personnes (âge, sexe, etc.). La fuite provenait d’une mauvaise configuration du logiciel, qui ajoutait le numéro d’identification des utilisateurs à l’URL lorsqu’ils mettaient à jour leurs informations. Or, l’URL était collectée par les services d’analyse du site (ici Adobe et Google). Les autorités ont voulu être rassurantes et la société qui a développé le logiciel a annoncé avoir corrigé le « bug ».

Les registres Docker exposent des centaines d’organisations aux logiciels malveillants et au vol de données
Une mauvaise configuration de registres Docker a conduit à l’exposition des codes sources de près de 3 000 applications. Pour rappel, le registre Docker est un serveur de stockage et d’organisation d’images Docker ; les images Docker intègrent le code d’application, les bibliothèques dépendantes et les fichiers du système d’exploitation dans un seul ensemble pouvant s’exécuter indépendamment dans un environnement indépendant du système d’exploitation. La vulnérabilité, découverte par l’Unit 42 de Palo Alto Networks, fait suite à un défaut de configuration des registres Docker permettant d’effectuer des opérations d’administrations sur des images Docker privées. L’équipe de sécurité s’est appuyée sur l’API de recherche de Shodan et Censys pour trouver tous les serveurs qui ont un en-tête « Docker-Distribution-API-Version » dans la réponse ; elle a ensuite testé les différentes versions des réponses renvoyées pour trouver les registres ne requérant pas d’authentification et ceux permettant des opérations d’ajout, de retrait ou de suppression d’images Docker. L’accès à ces opérations peut ainsi permettre de compromettre les systèmes des propriétaires des registres ciblés, de remplacer les images d’application originales par des images avec des logiciels malveillants (des backdoor, par exemple), ou encore de chiffrer ou supprimer les images et demander une rançon.

La Cnil épingle EDF et Engie pour collecte illégale de données via les compteurs Linky
Dans un communiqué, la CNIL met en demeure les sociétés EDF et Engie suite à des vérifications effectuées qui ont révélé que le niveau de conformité était insuffisant. Deux points sont concernés par cette mise en demeure : des modalités de recueil du consentement insatisfaisantes s’agissant de la collecte des données de consommation issues des compteurs communicants LINKY, et une durée de conservation excessive des données de consommation. La CNIL a décidé de mettre en demeure les deux sociétés de se conformer au RGPD sous un délai de trois mois.

L’Université de Maastricht choisit de payer 220.000$ pour récupérer ses données
Elle avait été touchée par un ransomware à la veille de Noël, qui avait bloqué l’ensemble du domaine Windows et immobilisé le système de messagerie. L’Université néerlandaise a depuis rétabli son système d’information et procédé à des sauvegardes offline pour assurer sa résilience future. La semaine dernière, elle a admis avoir payé une rançon de 30 BTC (~ 220.000$), estimant qu’il s’agissait du choix « le plus raisonnable » pour les intérêts de ses 18.000 étudiants et 4.400 salariés. Est-ce une décision pragmatique ou irresponsable ? Chacun se fera son avis.

440 millions d’entrées trouvées en ligne dans une base de données non protégée appartenant à Estée Lauder
Un expert a découvert une base de données non protégée, appartenant à la multinationale américaine Estée Lauder, permettant d’avoir accès à plusieurs centaines de millions d’entrées. Parmi les éléments accessibles se trouvaient des journaux et enregistrements sensibles, les courriels « utilisateur » en texte brut (y compris les adresses électroniques internes du domaine @ estee.com), les journaux de production, d’audit, d’erreur, de CMS et de middleware, des références aux rapports et autres documents internes, ou encore des adresses IP, ports, chemins d’accès et informations de stockage du réseau interne de l’entreprise. La majorité des données se rapportaient au middleware utilisé par l’entreprise ; pour rappel, le middleware est un logiciel permettant la mise en relation de deux applications informatiques. Son but premier est de faciliter les échanges d’informations entre ces applications, qui peuvent alors interagir et coopérer. L’accès à des données techniques du middleware (versions utilisées, cartographie du réseau) peut fournir à des attaquants potentiels des informations utiles et sensibles pour exploiter les vulnérabilités du système d’information. Cependant, les équipes techniques d’Estée Lauder, contactées dès la découverte de la base de données, ont pris les mesures nécessaires pour corriger le défaut de sécurité.

 

Hacking & Sécurité

Le ransonware RobbinHood exploite la faille du pilote GIGABYTE pour supprimer les logiciels de sécurité
Sophos a découvert deux attaques ransomwares dans lesquelles est déployé un pilote matériel légitime, signé numériquement, afin de supprimer les antivirus des ordinateurs ciblés juste avant de chiffrer les données. Le pilote signé, qui fait partie d’un progiciel désormais obsolète publié par le fabricant de cartes mères Taïwanais Gigabyte, présente une vulnérabilité connue (CVE-2018-19320). Verisign, dont le mécanisme de signature de code a été utilisé pour signer numériquement le pilote, n’a pas révoqué le certificat de signature, maintenant donc la validité de la signature Authenticode. Ainsi, les attaquants ont utilisé le pilote Gigabyte comme un support pour pouvoir charger un deuxième pilote non signé dans Windows. Ce deuxième pilote supprime les processus et les fichiers appartenant aux produits de sécurité des ordinateurs ciblés, contournant la protection anti-tampering, pour permettre au ransomware d’attaquer sans difficulté.

Emotet pirate désormais les réseaux Wi-Fi à proximité pour se propager comme un ver
Emotet continue sa mue ; Emotet est un trojan sophistiqué qui sert généralement également de transporteur pour d’autres logiciels malveillants. Une fonctionnalité clé d’Emotet est sa capacité à fournir des modules ou plugins personnalisés adaptés à des tâches spécifiques (le vol de contacts ou la diffusion sur un réseau local). Récemment, les équipes de Binary Defense ont identifié un nouveau type de charge utile dans le malware qui tire parti de l’interface wlanAPI pour identifier tous les réseaux Wi-Fi accessibles depuis la machine infectée, puis tente de se propager à ces réseaux, infectant tous les appareils auxquels il peut accéder dans le processus. Le programme s’appuie sur deux binaires exécutables qui cherchent à brute-forcer les mots de passe des connexions Wi-Fi disponibles (worm.exe) ; en cas de succès, un lien est établi avec le serveur C2 (Command & Control) d’Emotet, et le second binaire exécutable (service.exe) cherchera à brute-forcer les accès aux comptes des utilisateurs des machines connectées au Wi-Fi nouvellement infecté. Là encore, en cas de succès, le binaire établit un lien avec le serveur C2, puis renouvelle l’opération pour se propager davantage.

Firefox planifie la fin du support de TLS1.0 et 1.1 pour le https à partir de mars 2020
En raison de ses capacités limitées à supporter les dernières versions de primitives cryptographiques et suites de chiffrement, les versions TLS 1.0 et TLS 1.1 ne seront plus supportées par le navigateur Firefox. Ces derniers ont annoncé leurs plans concernant la dépréciation de TLS 1.0 et TLS 1.1 il y a plus d’un an, en octobre 2018, et le moment est venu pour eux de procéder à ce changement. Dans les cas où seules les versions inférieures de TLS sont prises en charge, c’est-à-dire lorsque les versions plus sécurisées de TLS 1.2 et TLS 1.3 ne peuvent pas être négociées, Firefox autorisera un retour à TLS 1.0 ou TLS 1.1 via un bouton de remplacement. Dans un premier temps, les utilisateurs de Firefox verront apparaître un écran d’avertissement indiquant : ‘Échec de la connexion sécurisée’. Pour autant, cette option ne restera pas disponible très longtemps, comme l’indiquent les équipes de Mozilla, rappelant que « nous pensons (Mozilla) que la sécurité
des utilisateurs ne doit pas être considérée comme facultative ».

Google a supprimé plus de 500 extensions malveillantes du Web Store
Habituellement codées pour récupérer silencieusement des informations sur leurs victimes, ces applications intégrées au navigateur se fondent ici dans la masse en imitant le comportement de nombreux sites redirigeant aléatoirement leurs utilisateurs vers des publicités. Repérées grâce à un schéma de développement reconnaissable, l’ensemble des extensions a été retiré du Web Store. Il est ainsi important de rappeler que ce dernier, bien que régi par un ensemble de règles de sécurités lors de la publication d’une extension, n’est pas une garantie en soi.

Plusieurs campagnes de phishing exploitent la crise liée au Coronavirus (Covid-19)
Profitant de la crise internationale résultant de l’épidémie de coronavirus (Covid-19), plusieurs campagnes de phishing usurpant l’identité du Centre de contrôle et de prévention des maladies et de l’Organisation mondiale de la santé sont apparues ces dernières semaines. Certaines sont destinées à récupérer des authentifiants, d’autres à diffuser le malware Emotet, par exemple.

 

Géopolitique

L’Iran déploie sa ‘Forteresse Numérique’ (Dejfa) pour contrecarrer un DDoS
L’accès Internet de l’Iran a subi une dégradation importante (près de 25% du trafic perdu) samedi 8 février suite à la mise en oeuvre de la « Forteresse Numérique » (Dejfa en perse) par le gouvernement. Ce mécanisme, mis en place depuis mai 2019, aurait permis à l’Iran de contrecarrer plusieurs dizaines de millions d’attaques ciblant les infrastructures du pays. Ce n’est pas la première fois que le gouvernement iranien restreint l’accès à Internet pour « préserver les intérêts de la nation ».

Saudi Aramco fait face à une recrudescence de cyberattaques
Saudi Aramco, la compagnie pétrolière nationale Saoudienne lourdement affectée par le malware Shamoon en 2012, annonce faire face à une recrudescence de cyberattaques depuis le dernier trimestre 2019. Acteur clé dans les relations conflictuelles irano-saoudiennes, est la cible régulière d’attaques physiques et numériques.

Comment la Corée du Nord a révolutionné l’utilisation d’Internet pour les régimes totalitaires
Le groupe de recherche Insikt Group propose une analyse de l’évolution de l’utilisation d’Internet par la Corée du Nord comme outil de contournement des sanctions internationales. Création de revenus, accès à des connaissances censurées, opérations d’influence ; le tout rendu possible grâce à l’utilisation de VPN, du protocole https et de DNS tunneling.

Contrat JEDI : AWS parvient à bloquer temporairement Microsoft
Jeudi, un juge fédéral a accédé à la demande d’Amazon Web Services d’interrompre temporairement l’avancement des projets sur le contrat JEDI (Joint Enterprise Defense Initiative). Cette décision arrive à un moment où Microsoft, qui a remporté le contrat de 10 milliards de dollars sur 10 ans, a déjà commencé à recruter du personnel. La demande d’Amazon doit permettre de déterminer si le président Donald Trump a exercé du trafic d’influence dans la décision de l’attribuer à Microsoft. Pour rappel, Donald Trump n’a jamais caché son inimitié vis-à-vis de Jeff Bezos et d’Amazon.

 

Y’a plus, je laisse ?

Comment la CIA a utilisé Crypto AG pour espionner des pays pendant des décennies
Le Washington Post propose une plongée dans ce qui est qualifié par le CIA du « coup du siècle » en matière de renseignement. Les Etats-Unis et la RFA ont en effet infiltré les solutions de chiffrement de l’entreprise suisse Crypto pour avoir accès aux communications de plusieurs dizaines de pays, parmi lesquels se trouvaient des adversaires de l’Ouest. Cette opération, baptisée « Thesaurus » puis « Rubicon », a duré tout au long de la Guerre Froide.