Un certificat Mimecast pour Microsoft 365 compromis par l’attaque Solar Winds ?
Mimecast, éditeur de solutions sécurisant les messageries électroniques a annoncé qu’ "un acteur sophistiqué de la menace" avait compromis un de ses certificats utilisé pour l’authentification de services de Microsoft 365 Exchange. Mimecast affirme dans un communiqué qu’environ 10% des clients se servaient de cette connexion (soit ~3 600 clients). L’entreprise a toutefois demandé aux clients impactés de supprimer immédiatement la connexion existante au sein de leur tenant Microsoft 365 et de s’appuyer sur un autre certificat créé par la société. Des experts internes ont évoqué un lien avec les attaques Solar Winds, dont on commence à mieux cerner la chronologie de la chaine d’attaque.
L’invasion du Capitole à Washington et les risques pour la cybersécurité
Le 6 janvier 2021, l’invasion du Capitole a permis aux émeutiers d’accéder au bureau de Nancy Pelosi, Présidente de la Chambre des Représentants des États-Unis, avec un PC allumé et non-verrouillé. Pour autant, les autorités ont affirmé qu’aucune donnée sensible ou confidentielle n’a été affectée, dans la mesure où les réseaux et systèmes d’information de la Chambre des Représentants ne traitent a fortiori pas d’informations classifiées, en tous cas pas sans procédure de connexion sécurisée spécifique. Néanmoins, les images de l’invasion rappellent toute l’utilité d’une politique de sécurité des postes de travail adaptée aux besoins de sécurité et aux risques potentiels.
Les clés Titan de Google vulnérables à une attaque
Dans un rapport PDF de 60 pages, Victor Lomne et Thomas Roche, chercheurs au NinjaLab de Montpellier, expliquent les subtilités de l’attaque, identifiée sous le nom de CVE-2021-3011. La faille permet d’aboutir à la création d’un clone de cette clé qui, rappelons-le, permet de protéger les utilisateurs des tentatives de phishing et d’usurpation de comptes. L’attaque ne fonctionne cependant pas à distance contre un appareil, sur Internet ou sur un réseau local. Pour exploiter une clé de sécurité de Google Titan ou de Yubico, un attaquant doit d’abord mettre la main sur la clé de sécurité. De plus, cette attaque exploite un problème de canal latéral d’ondes électromagnétiques dans les microcontrôleurs de sécurité NXP SMartMX / P5x ainsi que les microcontrôleurs d’authentification sécurisés A7x avec CryptoLib. "Il permet aux attaquants d’extraire la clé privée ECDSA après un accès physique étendu et par conséquent de produire un clone. Cela a été démontré sur la clé de sécurité Google Titan, basée sur une puce NXP A7005a. D’autres clés de sécurité FIDO U2F sont également impactées". Or, pour réaliser l’attaque, il faut disposer de matériel de pointe dont le coût peut limiter encore plus le risque découlant de cette vulnérabilité. Et comme le rappellent les chercheurs à l’origine de la découverte : "il est toujours plus sûr d’utiliser votre clé de sécurité Google Titan ou d’autres produits concernés en tant que jeton d’authentification à deux facteurs FIDO U2F pour se connecter aux applications plutôt que de ne pas en utiliser".
Modifications de la politique de confidentialité de WhatsApp : qu’en retenir ?
Vous n’avez pas pu passer à côté de l’information : WhatsApp va imposer à ses utilisateurs une nouvelle politique de confidentialité, qui permettra à Facebook, la maison mère, d’accéder aux informations transmises par le biais de la messagerie sécurisée. Face aux craintes des utilisateurs, qui se sont rués vers des messageries alternatives telles Signal ou Telegram, WhatsApp a voulu préciser les choses : "la mise à jour de notre politique n’a aucune incidence sur la confidentialité de vos messages. […] Cette mise à jour comprend des changements relatifs à l’envoi de messages à une entreprise sur WhatsApp, ce qui est optionnel, et fournit également plus de transparence sur la manière dont nous recueillons et utilisons les données ", explique la FAQ. Cela signifie qu’il faut bien s’inquiéter de la confidentialité de vos données, mais dès lors que vous échangez avec une entreprise qui choisit de bénéficier des services de communication WhatsApp ou d’hébergement sécurisé de Facebook : "Que vous communiquiez avec une entreprise par téléphone, e-mail ou WhatsApp, elle peut voir ce que vous dites et utiliser cette information pour ses propres fins marketing, qui peuvent comprendre des publicités sur Facebook. Pour nous assurer que vous en êtes bien informé(e), nous affichons clairement sur les conversations avec des entreprises si ces dernières choisissent d’utiliser les services d’hébergement de Facebook." Sinon, dans le doute, utilisez Signal.
Y’a plus, je laisse ?
La touche "Retour" ne permettra bientôt plus de revenir à la page précédente sur le navigateur Firefox. Le navigateur souhaite ainsi limiter les risques de perte de données.