Sélection de l’actualité de la semaine

 

Une base de données contenant les logs d’un fournisseur de VPN « Zero logs » découverte

UFO VPN est un fournisseur de VPN basé à Hong-Kong offrant un service qui ne conserve aucun log de connexion des utilisateurs. Le problème, c’est que des chercheurs de Comparitech ont découvert une base de données, indexée par le moteur de recherche Shodan.io, appartenant à UFO VPN contenant les logs d’utilisateurs et les enregistrements d’accès aux API, accessible sans mot de passe ni aucune autre authentification requise. Les informations accessibles comprennent des mots de passe en texte clair et des informations qui pourraient être utilisées pour identifier les utilisateurs VPN et suivre leur activité en ligne. Au total, ce sont 894 Go de données, stockées dans un cluster Elasticsearch non sécurisé, qui étaient accessibles ; parmi les données, les mots de passe des utilisateurs en clair, les tokens et mots de passe des VPN, les adresses IP des appareils des utilisateurs ainsi que des serveurs VPN auxquels ils se connectaient, l’horodatage des sessions utilisateurs, les données de géolocalisation, les caractéristiques techniques des appareils des utilisateurs. De plus, selon les chercheurs du groupe VPNMentor, la fuite de données ne concernait pas uniquement le service UFO VPN mais l’ensemble des services VPN proposés par la société hongkongaise Dreamfii HK Limited. VPNMentor indique de son côté avoir constaté la présence de plusieurs bases de données ElasticSearch exposées, contenant des données relatives à plusieurs services de VPN : UFO VPN, FAST VPN, Free VPN, Super VPN, Flash VPN, Secure VPN, Rabbit VPN. Si la base de données UFO VPN a été sécurisée par les équipes d’UFO VPN après qu’elles furent été averties par Comparitech, ces derniers ont noté qu’elle était de nouveau accessible et qu’elle a été la cible d’une attaque ayant supprimé les données contenues.

 

Follow-up : l’attaque « Meow » cible et efface les données de plus de 1 500 bases de données non protégées

L’exposition des logs de connexion des utilisateurs des services VPN proposés par la société Dreamfi HK Ltd a connu une fin pour le moins inattendue. En effet, comme nous le signalions, les équipes à l’origine de la découverte de la base de données s’étaient rendu compte que cette dernière, de nouveau accessible, avait été effacée par une attaque baptisée « Meow ». L’attaque s’appuie sur un programme automatisé qui recherche les bases de données exposées sur Internet (i.e. accessibles sans mécanismes d’authentification) et, contrairement aux attaques habituelles connues, ne contient aucune rançon ou menace, mais affiche juste un « Meow » avec un ensemble aléatoire de nombres et détruit toutes les données indexées. L’attaque se propage rapidement, d’après Bob Diachenko, qui a le premier remonté l’existence de cette attaque. La majorité des serveurs touchés étaient des ElasticSearch, mais des MongoDB ont également été touchés. Aucune information sur les raisons ni l’origine de l’attaque pour le moment ; le mode opératoire brutal pourra peut-être forcer les équipes de sécurité à vérifier que les mises à jour ont bien été effectuées sur leurs systèmes d’information.

 

Les incidents de cybersécurité dans les établissements de santé en hausse

L’Agence Nationale de Santé (ANS, ex-ASIP) a publié son rapport sur les signalements des incidents de sécurité des systèmes d’information pour le secteur de la santé en 2019. En 2019, 392 incidents ont été signalés par 300 établissements, contre 327 incidents signalés par 247 établissements en 2018, soit une augmentation d’environ 20%. Parmi les incidents de sécurité des systèmes d’information signalés à l’ANS en 2019, 19% ont causé une « mise en danger potentielle des patients » ; plus graves encore, quelques cas ont entraîné une mise en danger de patient avérée, par des manipulations de prescriptions médicamenteuses. L’ANS précise que « Ces conséquences sur la prise en charge des patients sont dues à des bugs sur des logiciels de prescription et d’aide à la dispensation impactant l’intégrité des prescriptions et des dispensations, des bugs sur des logiciels de dossier patient informatisé, ou des dysfonctionnements de l’infrastructure locale ». Les trois types d’incidents les plus fréquents sont la perte du lien télécom (64 signalements), un dysfonctionnement de l’infrastructure locale ou du prestataire (62 signalements) et les logiciels malveillants ou virus (61 cas). Les attaques malveillantes ont, de leur côté, connu une légère hausse (+2% par rapport à 2018). Enfin, l’ANS rappelle que ces données sont forcément incomplètes puisque basées sur le « volontariat », i.e. sur les incidents volontairement signalés et pour lesquels sa cellule d’accompagnement cybersécurité des structures de santé (ACSS) a été sollicitée. Or, beaucoup d’établissements de santé, et notamment les établissements privés, ne sont pas enclins à communiquer sur les incidents de cybersécurité ni sur leur gestion.

 

BadPower : une attaque électrique ciblant le chargement rapide des appareils

Les équipes de Tencent Security Xuanwu Lab ont publié les résultats de leur recherche mettant en avant une cyberattaque ciblant les firmware gérant la technologie de charge rapide. L’opération de charge rapide est réalisée par la borne d’alimentation, le câble de charge et la borne de réception d’alimentation. Lorsque la borne d’alimentation et la borne de réception d’alimentation sont connectées via le câble de charge, la communication de négociation de puissance est effectuée en premier. Une puissance prise en charge par les deux parties doit être négociée, et l’extrémité d’alimentation fournira de l’énergie à l’extrémité de réception avec cette alimentation. La borne d’alimentation et la borne de réception de puissance exécutent un ensemble de procédures pour terminer la négociation d’alimentation et contrôler le processus de charge. Cet ensemble de programmes est généralement stocké dans le micrologiciel de la puce de gestion de charge rapide au niveau du terminal d’alimentation et du terminal du récepteur d’alimentation. L’attaque BadPower exploite les vulnérabilités (ici, une mauvaise configuration de sécurité) des micrologiciels de gestion de charge pour modifier le processus de vérification de charge et ainsi forcer l’appareil de charge à délivrer une tension supérieure à celle que l’appareil (à charger) peut recevoir. Soumis à ces conditions, plus de la moitié des appareils testés par Tencent ont subi des dommages physiques irréversibles. Plus inquiétant, les équipes de Tencent affirment que l’attaque BadPower peut être massivement diffusée soit par un équipement spécial (un appareil « déguisé » en téléphone portable contenant le programme de l’attaque BadPower) que l’attaquant « chargera » à un maximum d’appareil de charge pour y implanter l’attaque, soit en infectant un appareil par un autre biais (cyberattaque classique) qui, par rebond lors de la mise en charge, infectera à son tour le chargeur pour déclencher l’attaque BadPower. La solution pour se prémunir de l’attaque réside dans la mise à jour des processus de vérification de charge et de vérification des modifications. Or, Tencent a identifié 234 appareils de charge rapide sur le marché, et 34 fabricants différents de puces permettant le chargement rapide. Ajoutez à cela le partage et le prêt de chargeurs entre personnes, au quotidien, et vous avez un cocktail potentiellement…explosif.

 

Le groupe Lazarus refait parler de lui avec une attaque multi-plateforme

L’APT Lazarus, a.k.a. Hidden Cobra ou APT 38, soupçonné de liens avec la Corée du Nord et impliqué dans les attaques mondialement connues WannaCry, contre le système d’identification bancaire SWIFT, ou encore dans l’affaire du piratage de Sony en 2014, semble toujours actif. C’est en effet ce qu’affirment les équipes de Kaspersky après avoir analysé un malware intitulé MATA – les attaquants appelant leur infrastructure MataNet – qu’ils attribuent au groupe nord-coréen. MATA est en effet une infrastructure permettant de cibler des plateformes différentes (Windows, Linux, MacOS) dont le but semble être d’exfiltrer des bases de données et de propager des ransomwares. Le fait que le programme soit exploitable sur trois plateformes différentes constitue une particularité dénotant d’un investissement conséquent de la part des attaquants, soit pour espérer un retour sur investissement massif, soit pour préparer des attaques plus sophistiquées destinées à perdurer (les Advanced Persistent Threats). L’attaque n’est pas géographiquement limitée et ne semble pas non plus cibler un secteur d’activité spécifique. Les informations partagées par les équipes de Kaspersky sont pour l’instant de l’ordre de l’informatif, mais, lorsqu’on connaît le passif des actions du groupe Lazarus, tout avertissement est bon à prendre.

 

Les distributeurs de billets Diebold Nixdorf touchés par une attaque Jackpotting utilisant ses logiciels propriétaires

Diebold Nixdorf est une société américaine spécialisée dans la fabrication de distributeur de billets de banque et autres automates similaires. La semaine dernière, la société a publié une alerte de sécurité indiquant que des attaques du type jackpotting ciblaient certains de leurs automates. Une attaque « jackpotting » consiste à s’introduire physiquement dans un distributeur de billets et pirater les logiciels intégrés qui gèrent l’accès aux fonds pour le forcer la distribution de billets de banque. Dans d’autres cas, l’attaque permet de se positionner entre l’automate et le réseau de la banque pour récupérer les données bancaires des utilisateurs dès que ces derniers sollicitent l’automate. L’attaque est connue, mais dans le cas de celle visant les automates Diebold Nixorf, il semble que les attaquants utiliseraient directement les codes sources des logiciels propriétaires de l’entreprise américaine. Reste à déterminer d’où la fuite est venue ; dans son communiqué, Diebold Nixorf évoque la possibilité d’un « accès depuis un disque dur non-chiffré ».

Le projet Apple Security Research Device ne fait pas l’unanimité

Apple a annoncé le lancement d’un nouveau programme de sécurité centré sur son produit phare, l’iPhone : l’Apple Security Research Device. Ce programme permettra à quelques élus, choisis par Apple, de recevoir des iPhones en prévente « débridés », i.e. qui permettent un accès plus en profondeur dans le système d’exploitation iOS et les spécifications techniques du matériel. Cela dans le but d’y déceler à l’avance des failles de sécurité ou des bugs qui pourraient être exploités par des attaquants. L’idée pouvait sembler intéressante, nonobstant une clause insérée dans les contrats de collaboration avec les chercheurs identifiés : la clause donne à Apple le soin de définir la date de divulgation de toute vulnérabilité ou bug trouvé par les équipes de recherche. Ce point a immédiatement fait réagir les équipes de sécurité qui, pour la plupart, adopte une politique de divulgation de 90 jours. Or, en s’arrogeant la maîtrise totale de la divulgation des failles, les chercheurs craignent qu’Apple ne passe sous silence des vulnérabilités identifiées et ne cherchent finalement à museler les experts sollicités. Ainsi, les équipes de Project Zero, ZecOps, et certains experts renommés ont décliné l’invitation d’Apple. Pire, certains dénoncent maintenant ouvertement le manque de sérieux de la société à la Pomme vis-à-vis des questions de cybersécurité.

Des codes open source stockés dans l’Arctique par GitHub

En 2019, GitHub a initié un projet original : stocker, sur des films d’archives numériques spécialement conçus pour assurer la conservation des données, les données open source des projets qui ont constitué des avancées majeures dans le secteur du numérique. Les films, développés par la société Piql, sont spécialement conçus pour stocker et préserver des données pendant une durée de 1 000 ans. Les projets sélectionnés par GitHub pour la « fournée 2020 » et déposés le 8 juillet dernier dans le bunker situé au Svalbard incluent l’ensemble des dépôts publics actifs ainsi que les projets « dormants » les plus importants ; GitHub va ainsi archiver 21To de données et un « guide d’utilisation » rédigé en 5 langues expliquant l’utilisation et la finalité des projets.