Sélection de l’actualité de la semaine

 

Twitter victime du piratage le plus important de son histoire

La plateforme de microblogging s’est fait pirater cette semaine. Il semble que l’ensemble de la plateforme et des comptes utilisateurs soient compromis. Les attaquants ont profité de la forte visibilité de certains comptes pour proposer des arnaques « juteuses », en doublant des sommes qui leur seraient versées. Brian Krebs a mené l’enquête concernant la série de hack de comptes Twitter de mercredi dernier. Selon ses conclusions, les auteurs seraient des habitués du SIM Swapping, une technique largement basée sur l’ingénierie sociale visant à voler le numéro de téléphone d’une victime. Un #hacker du forum OGUsers avait récemment proposé de changer n’importe quel e-mail attaché à un compte Twitter pour quelques centaines de dollars. Par la suite, les attaquants ont notamment posté des captures d’écran du panneau d’administration de Twitter.

 

La Cour de justice de l’Union européenne (CJUE) a invalidé le Privacy Shield

La CJUE a invalidé le mécanisme existant depuis 2016 qui encadre les échanges transatlantiques de données à caractère personnel à des fins commerciales. Le Privacy Shield est un système dérogatoire qui permettait à des entreprises américaines certifiées par Département américain du Commerce, dont les GAFAM, de traiter des données à caractère personnel transférées de l’Union vers les États-Unis. L’arrêt de la Cour de justice s’inscrit dans une série de décision connues sous le nom de « Schrems » faisant référence au requérant. Selon la Cour, « les limitations de la protection des données à caractère personnel qui découlent de la réglementation interne des États-Unis portant sur l’accès et l’utilisation, par les autorités publiques américaines, de telles données transférées […] ne sont pas encadrées d’une manière à répondre à des exigences substantiellement équivalentes à celles requises, en droit de l’Union, par le principe de proportionnalité, en ce que les programmes de surveillance fondés sur cette réglementation ne sont pas limités au strict nécessaire. » En octobre 2015, déjà, la Cour de justice de l’Union européenne invalidait le « Safe Harbor », l’ancêtre du Privacy Shield.

 

L’ANSSI communique sa position vis-à-vis des équipementiers chinois pour la 5G

La position officielle de l’ANSSI quant à la possibilité de recourir à des équipements chinois dans le cadre du déploiement de la 5G en France était attendue depuis longtemps par les opérateurs français. Guillaume Poupard, Directeur de l’ANSSI, a en partie dévoilé la position de l’Agence dans une interview accordée au journal LesEchos. En substance, pas d’interdiction totale des équipementiers chinois, pour ne pas fausser la concurrence entre les opérateurs français, mais des autorisations limitées dans le temps (entre 3 et 8 ans) pour ceux qui auraient fait le choix de recourir aux technologies chinoises. La volonté de l’ANSSI semble donc être de permettre à tous les opérateurs de se positionner sur l’appel d’offres du marché 5G tout en contraignant SFR et Bouygues à trouver une alternative dans un délai de 3 à 8 ans. Le Groupe Bouygues avait déjà annoncé son intention de porter l’affaire en justice si la décision de l’ANSSI ne satisfaisait pas leurs intérêts ; de quoi repousser davantage l’attribution du marché et le déploiement de la 5G en France.

 

Un ancien employé de Yahoo! un peu trop curieux évite la prison

Reyes Daniel Ruiz a été condamné pour avoir accédé illégalement à plus de 6 000 comptes Yahoo! en 2018. Cet ancien employé de la firme de Sunnyvale a notamment utilisé ses droits d’accès internes pour ses larcins. De son propre aveu, sa motivation n’était pas financière ; il était à la recherche de contenus à caractères sexuels. Il avait ainsi accumulé près de 2 To de photos et vidéos glanées au cours de ses intrusions. Il évite la prison, mais écope de 5 ans de liberté surveillée, assortis de 120 000 $ de dommages et intérêts et 5 000 $ d’amende. Une piqûre de rappel sur les « sources de menace internes », parfois trop vite défaussées lors d’une analyse des risques.

 

Découverte d’une vulnérabilité critique affectant les systèmes Windows

Des chercheurs viennent d’exhumer une vulnérabilité (CVE-2020-1350) présente depuis 17 ans dans les systèmes Windows Server (de 2003 à 2019), permettant à un attaquant de compromettre l’ensemble du système d’information d’une entreprise et affichant un score CVSS de 10 (criticité maximale). Surnommée SigRed, cette vulnérabilité affecte la prise en charge du protocole DNS (résolution des noms de domaine) ; une mauvaise gestion de la mémoire permet une attaque par débordement de tampon (heap overflow). Un attaquant peut ainsi envoyer au contrôleur de domaine une réponse DNS spécialement forgée et obtenir les droits d’administration complet sur le système d’information et l’ensemble de ses ressources (documents, mails, etc.). Cette vulnérabilité a été corrigée hier par Microsoft, à l’occasion du Patch Tuesday : pensez à mettre à jour vos systèmes.

 

Des vidéos des opérations d’APT35 récupérées par les équipes d’IBM

Les équipes de sécurité d’IBM X-Force ont mis la main sur des vidéos du groupe APT35, également connu sous le pseudonyme Charming Kitten, originaire d’Iran. Les 40Go de vidéos récupérés correspondent à des streamings de leurs opérations de piratage ; les équipes de la X-Force ont ainsi pu découvrir le mode opératoire de l’APT35 et les cibles visées. D’après le contenu, les vidéos correspondraient à des « tutoriels » destinés aux jeunes recrues. Les vidéos ont été récupérées sur un serveur privé utilisé par APT35 à cause (ou grâce) à une mauvaise configuration de sécurité. Un cas sans précédent public connu qui forcera les équipes d’APT35 à revoir leurs tactiques et leur mode opératoire.