Sélection de l’actualité de la semaine

 

Plus de 45 millions d’images médicales exposées sur Internet

Les équipes d’analystes de CybelAngel, a découvert que plus de 45 millions de fichiers d’imagerie médicale – des radiographies ou des scanners/IRM – sont librement accessibles sur des serveurs non protégés, dans un nouveau rapport de recherche publié cette semaine intitulé Full Body Exposure. Le rapport est le résultat d’une enquête de six mois menée par les équipes de CybelAngel ; les chercheurs ont scanné les équipements de stockage en réseau (NAS) et les fichiers au format DICOM, la norme de facto utilisée par les professionnels de la santé pour envoyer et recevoir des données médicales. Les chercheurs ont découvert que des millions d’images sensibles, y compris des informations de santé personnelles, étaient accessibles en clair et sans protection par mot de passe. CybelAngel a analysé environ 4,3 milliards d’adresses IP et détecté plus de 45 millions d’images médicales uniques laissées exposées sur plus de 2 140 serveurs non protégés dans 67 pays, dont les États-Unis, le Royaume-Uni, la France et l’Allemagne. En plus des images médicales, les chercheurs ont pu avoir accès à 200 lignes de métadonnées par enregistrement comprenant des données à caractère personnel (nom, date de naissance, adresse, etc.) et données personnelles médicales sensibles (taille, poids, diagnostic, etc.), sans avoir à renseigner des authentifiants au préalable.

 

Une barrette de RAM utilisée comme émetteur wifi

Des chercheurs israéliens viennent de publier une nouvelle technique d’exfiltration de données des réseaux « air-gapés« . Ces réseaux portent ce nom car, destinés à abriter des informations extrêmement sensibles (classifiées, par exemple), ils ont été configurés pour empêcher la fuite de données et ne comportent donc aucun périphérique de communication qui les faciliterait (en particulier, pas de carte réseau). En exécutant un programme malveillant, les chercheurs manipulent le rayonnement électromagnétique généré par la mémoire vive pour émettre des ondes radio sur une bande fréquence wifi (2,4GHz). Ils peuvent ainsi exfiltrer des données en wifi depuis une machine qui n’en est pas équipée. Un peu plus sophistiqué que la technique utilisée par Bradley Manning en son temps, qui avait exfiltré plusieurs Gb de données classifiées… en gravant des CD de Lady Gaga. Le principe n’est pas nouveau : des outils d’émission radio utilisant cette technique existaient déjà, mais la vidéo est tout de même assez impressionnante.

 

De nouvelles informations à propos du hack de FireEye, Inc.

La semaine dernière, la compromission de l’entreprise américaine de cybersécurité avait fait les gros titres de la presse spécialisée ; elle avait subi un hack mené par des attaquants de haut niveau, qui avaient volé leur arsenal offensif. Les équipes de FireEye nous apprennent que cette attaque est consécutive à la compromission d’un de ses fournisseurs, l’éditeur de logiciel SolarWinds. Les attaquants ont profité de l’occasion pour distribuer une backdoor (intitulée SUNBURST) à ses clients par l’intermédiaire d’une mise à jour du logiciel Orion. Parmi les 33 000 clients de SolarWinds, 18 000 seraient concernés par cette compromission, dont plusieurs agences gouvernementales américaines (département du Trésor, agence nationale des télécommunications, etc.). L’attaque a été attribuée à APT29, le groupe réputé proche du pouvoir russe. Ce n’est pas la première fois qu’un éditeur logiciel est ciblé pour distribuer des virus à ses clients par le biais de ses mises à jour. Cela rappelle la méthode utilisée par NotPetya en 2017, également attribuée à la Russie.

Quelques jours plus tard, dans une volonté de limiter les possibilités pour les attaquants de continuer à garder la main sur les domaines compromis, Microsoft, FireEye et GoDaddy ont joint leurs forces et ont identifié un domaine qui, une fois reconfiguré, pouvait être utilisé comme « killswitch » pour le malware. FireEye précise ainsi : « Dans certaines conditions, en fonction de l’adresse IP renvoyée lorsque le malware résout avsvmcloud [.] Com, le malware s’arrêterait et empêcherait toute exécution ultérieure. […] Ce killswitch affectera les anciennes et les nouvelles compromissions SUNBURST en désactivant les déploiements SUNBURST qui sont toujours en train de balayer avsvmcloud [.] Com. Cependant, dans les intrusions que FireEye a vues, il a été constaté que les attaquants ont rapidement mis en place des mécanismes persistants supplémentaires leur permettant d’accéder aux réseaux de victimes au-delà de la backdoor SUNBURST. Ce killwitch ne supprimera pas l’attaquant des réseaux des victimes où il a installé d’autres backdoor. Cependant, il sera plus difficile pour l’attaquant de tirer parti des versions précédemment distribuées de SUNBURST. »

 

Google, le coup de la panne

Google a subi cette semaine une panne mondiale. D’abord en début de semaine, puis quelques jours plus tard, la panne a affecté durablement Gmail et de nombreux services de sa G Suite. Les équipes ont annoncé avoir réglé le problème sans en préciser les causes.

 

USA vs. Google : un nouveau procès Antitrust initié contre un des GAFAM

Après la procédure lancée la semaine dernière pour imposer le « démantèlement » de Facebook, c’est Google qui fait face à une procédure Antitrust en raison de ses pratiques « monopolistiques sur le marché de la publicité en ligne ». Une plainte a été déposée par le procureur général du Texas, au nom d’une coalition de 10 États fédéraux. Elle porte sur le rôle de Google dans l’achat et la vente d’annonces en ligne. En l’espèce, Google est accusé d’agir de manière anticoncurrentielle sur les marchés de la publicité numérique. Parmi les accusations, on trouve celle de « collusion entre Google et Facebook pour réduire la compétitivité des technologies », notamment avec le « header bidding » qui a un impact direct sur l’efficacité de l’ad exchange de Google. Concrètement, ces technologies permettent d’être plus visibles pour les publicités et de générer plus de revenus ; or, selon la plainte, Facebook et Google auraient conclu un accord pour limiter la concurrence entre les deux entreprises, en échange d’informations techniques améliorant les performances et donc les revenus de chacun. D’autre part, Google est accusé d’avoir forcé les éditeurs à utiliser la technologie AMP pour contrôler le flux des offres de ses concurrents et ainsi bénéficier d’un avantage concurrentiel. Selon les mots du procureur général du Texas, « le modus operandi de Google est d’acquérir le monopole et de déformer les faits. […] Google a utilisé à de trop nombreuses reprises son pouvoir monopolistique pour contrôler les prix, s’engager dans des collusions de marché pour truquer les appels d’offres, dans une énorme violation de la justice. […] La Cour suprême a averti qu’il existe des choses telles que des stratégies anticoncurrentielles malveillantes. Ce procès établira que Google est coupable de telles stratégies anticoncurrentielles malveillantes, et il vise à s’assurer que Google ne sera plus mauvais par la suite ». Le ton est donné. C’est la deuxième action en justice intentée contre Google, après celle déposée par le département de la Justice (DoJ) en octobre pour abus de position dominante sur les marchés de la recherche et de la publicité en ligne. Enfin, cette action est à mettre en lien avec les démarches initiées par la Commission européenne. Si les textes proposés sont adoptés, l’UE aura le pouvoir de contraindre les GAFAM à supprimer des contenus préjudiciables et à étendre leur concurrence, sous peine de se voir infliger de lourdes amendes.

 

Y’a plus, je laisse ?

Le code secret du tueur du Zodiac servant à composer ses messages qu’il envoyait aux forces de l’ordre a été décrypté après 51 ans. Il s’agissait d’un chiffrement par transposition. L’histoire de la découverte est racontée ici.