Sélection de l’actualité de la semaine

 

Anticiper les crises en organisant des exercices de simulation

L’ANSSI, par la voix de son Directeur Guillaume Poupard, a appelé les organisations à mieux se préparer aux cyberattaques pouvant mener à des situations de crises en multipliant les exercices de simulation. A cet égard, l’ANSSI publie un guide identifiant les bonnes pratiques et les écueils à éviter dans ce genre d’exercice ; il s’agit de « développer les bons réflexes » et « d’accompagner [les participants] dans un entrainement cadré reposant sur des objectifs définis ». On retrouve, sous une nouvelle appellation, des concepts et processus sensiblement similaires à un Plan de Continuité d’Activité ou d’un Plan de Reprise d’Activité, dont l’utilité est toujours bonne à rappeler et à souligner.

 

Google révèle la plus grande attaque DDoS de l’histoire

L’équipe Google Cloud a révélé avoir subi une attaque DDoS  qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d’elle la plus grande attaque DDoS enregistrée à ce jour (désolé, AWS). Dans un autre article publié simultanément, le Google Threat Threat Analysis Group (TAG), l’équipe de sécurité de Google affirment que l’attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l’aboutissement d’une campagne de six mois » qui s’est appuyée sur de multiples méthodes d’attaques pour marteler l’infrastructure des serveurs de Google. Il n’a cependant pas révélé quels services étaient visés. Selon Menscher, « l’attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes ».

 

Robin des Bois 2.0 : du ransomware à la philanthropie

Le groupe de hacker DarkSide a déclaré verser une petite partie de ses gains (0,88 BTC, ~9 000€) à deux associations américaines. Le geste place ces deux associations dans une position délicate : savaient-elles que l’argent donné a été obtenu par des ransomwares ? La démarche philanthropique du groupe DarkSide n’a pas manqué de se faire torpiller, évidemment, même si ces derniers ont rappelé que l’argent récupéré (extorqué*) provenait « uniquement d’entreprises qui peuvent payer le montant [de la rançon] demandé« , et de préciser qu’ils ne veulent pas « tuer votre entreprise ». « Avant toute attaque, nous analysons soigneusement votre comptabilité et déterminons combien vous pouvez payer en fonction de votre chiffre d’affaires« . Vraiment super sympa. Toutefois, cette situation peu banale pose à nouveau la question du contrôle des cryptomonnaies, notamment dans le cadre du blanchiment d’argent obtenu par des activités illégales.

 

Une vulnérabilité découverte dans la librairie Bluetooth de Linux

Un chercheur de l’équipe de sécurité Google a découvert une série de vulnérabilités affectant le support de la technologie Bluetooth dans le noyau Linux. Parmi elles, la CVE-2020-12351 a reçu un score de criticité CVSS de 8.3. Surnommée BleedingTooth, elle peut permettre à un attaquant de compromettre totalement (avec les privilèges noyau) un objet connecté tournant sous Linux, s’il se trouve à portée. Une exploitation « zéro-click » qui menace de nombreux objets connectés ; des gadgets anodins, mais aussi des serrures connectées, des appareils médicaux, etc. Un article détaillé devrait bientôt être publié sur le blog de Google Online Security pour avoir davantage d’informations.

 

Les problèmes de voisinage existent aussi en cybersécurité

Mac Afee Labs a fait état d’une vulnérabilité importante (CVSS score : 9.8) qu’ils ont baptisée : “Bad Neighbor” (CVE-2020-16898). Quel genre de voisin relou est-elle ? En substance, la partie software (les drivers ?) qui fait la gestion des paquets IP sous Windows a été vulnérable à un bug dans la partie de « gestion des voisins ». En IPv4, le protocole ARP est utilisé pour faire le lien entre adresses MAC et adresses IP (pour parler à une machine en connaissant son adresse IP, il faut connaitre son adresse MAC ; pour la connaître, les machines utilisent le protocole ARP). En IPv6, toutes les fonctionnalités d’ARP ont été intégrées à la norme ICMP sous le nom de Neighbour Discovery Protocol. Chaque machine est capable de demander à son entourage qui est présent, et avec quelle adresse MAC, pour pouvoir se situer et faire passer les messages correctement. En particulier, les routeurs peuvent s’annoncer sur le réseau local pour indiquer aux autres machines quelle est la passerelle à utiliser. La pile IP Windows se trompait sur la gestion de ces paquets (spécifiquement le paquet « router advertisement ») lorsqu’un serveur DNS est ajouté en option aux paquets envoyés (les routeurs peuvent s’annoncer, en fournissant plusieurs autres éléments de configuration réseau au passage, dont les serveurs DNS à utiliser). En créant un paquet malveillant du type « router advertisement » contenant une option de configuration imposant une redirection vers un DNS spécifique aux clients, il est possible de mentir sur la taille des paquets (mettre une taille paire alors que la norme stipule que cette taille DOIT être impaire). En conséquence, la pile IP Windows plante et fait un dépassement de tampon. En bref, Windows a assumé que tous les paquets reçus respecteraient la norme et n’a pas implémenté de code défensif ayant pour but de vérifier que les paquets sont bien formés.

 

Everybody wants Kung-Fu fighting : Zerologon, Ryuk, et des éclairs

Universal Health Services (UHS), fournisseur de services de santé et propriétaires d’hôpitaux aux États-Unis, a été victime d’une cyberattaque massive en septembre dernier le contraignant à éteindre ses systèmes d’information dans plusieurs établissements de santé à travers le pays. Le coupable ? Ryuk, un ransomware au nom de personnage d’anime/manga bien connu des spécialistes de la cybersécurité. Non seulement le programme malveillant est lucratif, mais il vient de se doter d’une nouvelle fonctionnalité qui le rend particulièrement efficace. En effet, dans le cas de l’attaque des établissements d’UHS, les attaquants ont exploité la vulnérabilité fraîchement révélée Zerologon. La vulnérabilité Zerologon permet à un attaquant non authentifié disposant d’un accès réseau à un contrôleur de domaine de compromettre complètement tous les services identifiés sur l’Active Directory. La vulnérabilité a fait l’objet d’un patch en août, mais de nombreuses organisations restent vulnérables. Ainsi, partant d’un simple email de phishing, les attaquants ont réussi à acquérir des privilèges élevés depuis un compte utilisateur et à répandre Ryuk dans tout le réseau en quelques heures seulement. Plus rapide que l’éclair. En tous cas plus que le temps nécessaire pour mettre en place un PCA/PRA ou remonter un SI de zéro(logon).

 

La CNIL met en demeure Microsoft concernant l’hébergement de données de santé

La CNIL prend enfin position sur le sort du Health Data Hub après l’invalidation du Privacy Shield par le juge européen. Elle demande à l’État de repenser l’hébergement de cette base de données de santé et impose à Microsoft de se mettre en conformité eut égard à plusieurs griefs identifiés. La conclusion de la CNIL est claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union Européenne. Proposant une solution de transition permettant de trouver un acteur européen pouvant remplacer Microsoft, la CNIL travaille en étroite relation avec le gouvernement français. Le secrétaire d’État au Numérique Cédric O a annoncé que le Health Data Hub devait être hébergé par un acteur français ou européen. « Nous travaillons avec le ministre de la Santé Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plateformes françaises ou européennes« , a déclaré le haut fonctionnaire. « Nous aurons sur ce sujet des discussions avec nos partenaires allemands« , a-t-il ajouté. Mieux vaut tard que jamais.

 

Mais, en fait, c’est quoi, vraiment, ton métier ?

Excellente question, surtout quand on travaille dans la cybersécurité. Consultez le guide de l’ANSSI, et je vous laisse vous faire une idée ?

 

Y’a plus, je laisse ?

Le télétravail est de plus en plus répandu dans ces circonstances exceptionnelles ; dans ce contexte, certaines chaînes d’information en continu proposent des mesures pour contrôler la pratique, parmi lesquelles l’installation d’un keylogger. On leur rappelle que cette pratique est illicite.

 

Personne n’est à l’abri : Sopra Steria l’a appris à ses dépends. Il paraîtrait que le ransomware qui a frappé leur système d’information est Ryuk. Sopra Steria aurait souffert de l’attaque plus rapide que l’éclair évoquée plus haut. Ouch.

 

Il n’y a pas de raisons de croire que ce chercheur mente : il aurait réussi à trouver – sans utiliser d’outils de brute force – le mot de passe du compte Twitter du Président des États-Unis. Tout ça alors qu’il n’a même pas 197 de QI. Surprise, le mot de passe était incroyablement faible. On espère au moins que ça servira de leçon pour nos politiciens nationaux. Make Password Complexity Great Again !