Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Veille cybercriminalite
Fuite de données massive sur FastBooking
Un attaquant non identifié a exploité le 14 juin une vulnérabilité web présente dans le système de réservations de FastBooking afin d'accéder aux données des clients. La vulnérabilité a été corrigée le 19 juin par FastBooking, non sans accès malveillant aux données. Plus de 1000 hôtels pourraient avoir été impactés et dans certains cas l'attaquant a pu avoir accès aux données de carte bancaire.
La chaîne d'hôtels Prince Hotels & Resorts, cliente de FastBook, a publié un communiqué le 26 juin 2018 expliquant que des accès non autorisés avaient été détectés sur son système de réservations. Parmis les données présentes : nom, adresse, adresse email et détails de la réservation.
La chaîne d'hôtels Prince Hotels & Resorts, cliente de FastBook, a publié un communiqué le 26 juin 2018 expliquant que des accès non autorisés avaient été détectés sur son système de réservations. Parmis les données présentes : nom, adresse, adresse email et détails de la réservation.
Sources :
- https://www.bleepingcomputer.com/news/security/hundreds-of-hotels-affected-by-data-breach-at-hotel-booking-software-provider/
- https://www.tripwire.com/state-of-security/security-data-protection/japanese-hotel-chain-notifies-125k-guests-of-software-provider-breach/
Vol de données chez Typeform
Des employés de la société Typeform ont découvert l'exploitation d'une vulnérabilité web permettant la récupération d'un fichier de sauvegarde et des données qu'il contenait.
Typeform est une plateforme permettant à ses clients la publication de formulaires et questionnaires afin de traiter les données reçues. Seules ces informations, jusqu'au 3 mai 2018, auraient été dérobés, n'impactant pas les coordonnées bancaires des clients.
Typeform est une plateforme permettant à ses clients la publication de formulaires et questionnaires afin de traiter les données reçues. Seules ces informations, jusqu'au 3 mai 2018, auraient été dérobés, n'impactant pas les coordonnées bancaires des clients.
Sources :
- https://www.typeform.com/data-breach-june-2018/
- https://www.bleepingcomputer.com/news/security/typeform-announces-breach-after-hacker-grabs-backup-file/
Scam Wannacrypt
Une campagne de scam est en ce moment en cours à l'encontre d'entreprises et de particuliers. La victime reçoit un email expliquant que ses appareils ont été infectés à l'aide d'une nouvelle version de WannaCry, nommée WannaCrypt.
Cette version permettrait à l'attaquant de déclencher le chiffrement irréversible des fichiers s'il ne reçoit pas de paiement de la part de la victime avant une date convenue.
Il n'y a bien évidemment aucun malware installé, et la campagne permettrait uniquement aux scammers de récupérer de l'argent.
Cette version permettrait à l'attaquant de déclencher le chiffrement irréversible des fichiers s'il ne reçoit pas de paiement de la part de la victime avant une date convenue.
Il n'y a bien évidemment aucun malware installé, et la campagne permettrait uniquement aux scammers de récupérer de l'argent.
Sources :
- https://nakedsecurity.sophos.com/2018/06/22/wannacrypt-ransomware-scam-demands-payment-in-advance/
- https://healthitsecurity.com/news/recent-wannacrypt-ransomware-attack-not-really-ransomware
L'Algérie coupe Internet durant les épreuves du bac
Suite à la fuite des sujets du bac en 2016, l'Algérie avait procédé l'an dernier à un blackout des réseaux sociaux. Cette année, une nouvelle étape est franchie, et Internet a été coupé durant 11 créneaux d'une heure à travers tout le pays.
Sources :
- https://nakedsecurity.sophos.com/2018/06/25/internet-shut-down-in-algeria-to-stop-exam-cheats/
- https://www.20minutes.fr/monde/2293551-20180620-algerie-empecher-fraude-bac-internet-coupe-tout-pays
Vol de points fidélité sur 500.000 comptes
Deux adolescents d'origine russe ont été appréhendé récemment suite au piratage d'un demi-million de comptes en ligne. Ils étaient déjà connus des forces de l'ordre suite à une affaire similaire en 2015.
Les coupables auraient été en mesure de prendre le contrôle des comptes suite à des attaques par dictionnaire. Ils ont ensuite utilisé les points de fidélité de ces comptes pour effectuer des achats avant de revendre les comptes sur le marché noir.
Les coupables auraient été en mesure de prendre le contrôle des comptes suite à des attaques par dictionnaire. Ils ont ensuite utilisé les points de fidélité de ces comptes pour effectuer des achats avant de revendre les comptes sur le marché noir.
Une caméra connectée partage le flux vidéo au mauvais destinataire
Le 28 juin dernier, un journaliste de la BBC, détenteur d'une caméra de sécurité manufacturée par Swann Security, a reçu sur son application mobile de surveillance, les flux vidéos d'une famille détentrice d'une autre caméra du même modèle.
Bien loin du scénario de piratage, les deux caméras avaient accidentellement reçu le même secret embarqué, qui était utilisé pour le dépôt et l'accès aux vidéos. Un avertissement lors de la mise en place avait été ignoré, et la seconde caméra a rendu accessible ses flux vidéos au détenteur de la première.
Bien loin du scénario de piratage, les deux caméras avaient accidentellement reçu le même secret embarqué, qui était utilisé pour le dépôt et l'accès aux vidéos. Un avertissement lors de la mise en place avait été ignoré, et la seconde caméra a rendu accessible ses flux vidéos au détenteur de la première.
Sources :
- https://nakedsecurity.sophos.com/2018/06/28/omg-i-just-received-someone-elses-security-camera-footage/
- https://www.bbc.com/news/av/technology-44628401/swann-s-kitchen-security-camera-sends-video-to-wrong-app
WPA3 est disponible
Le 25 juin, la Wi-Fi Alliance a introduit au sein d'un communiqué de presse la dernière version du standard WPA (Wi-Fi Protected Access).
A l'instar de la version précédente, WPA3 est décliné sous deux formes : WPA3-Personnel et WPA3-Entreprise. Une fonctionnalité nommée Wi-Fi EasyConnect a également été présentée, son objectif étant de faciliter l'enrôlement de terminaux au sein d'un réseau Wi-Fi, notamment à l'aide de QRCodes. Cette fonctionnalité peut s'avérer très pratique pour les objets connectés.
A l'instar de la version précédente, WPA3 est décliné sous deux formes : WPA3-Personnel et WPA3-Entreprise. Une fonctionnalité nommée Wi-Fi EasyConnect a également été présentée, son objectif étant de faciliter l'enrôlement de terminaux au sein d'un réseau Wi-Fi, notamment à l'aide de QRCodes. Cette fonctionnalité peut s'avérer très pratique pour les objets connectés.
Sources :
- https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security
- https://www.wi-fi.org/discover-wi-fi/wi-fi-easy-connect
2 des GAFA accusés d'utiliser des "Dark patterns"
Facebook et Google ont récemment été accusés d'avoir volontairement utilisé les dark patterns sur certaines de leurs applications.
"Dark patterns" est un terme qui a vu le jour en 2010, et qui désigne une interface utilisateur construite dans le but d'orienter son utilisateur à la sélection d'un choix plutôt qu'un autre. Il peut par exemple s'agir de modifications qui dissimuleraient des liens de désabonnement et désinscription en leur appliquant la charte graphique du texte standard.
"Dark patterns" est un terme qui a vu le jour en 2010, et qui désigne une interface utilisateur construite dans le but d'orienter son utilisateur à la sélection d'un choix plutôt qu'un autre. Il peut par exemple s'agir de modifications qui dissimuleraient des liens de désabonnement et désinscription en leur appliquant la charte graphique du texte standard.
Sources :
- https://nakedsecurity.sophos.com/2018/06/29/facebook-and-google-accused-of-manipulating-us-with-dark-patterns/
- https://darkpatterns.org/types-of-dark-pattern
- https://darkpatterns.org/hall-of-shame
Veille vulnerabilite
Une attaque par canaux auxilliaires vise l'hyperthreading
L'hyperthreading est la technologie qui permet aux processeurs d'exécuter deux routines en parallèle sur un même coeur physique, d'où apparation de coeurs dits "logiques".
L'attaque a été découverte par des chercheurs de Vrije Universiteit Amsterdam, et son Proof-of-Concept cible le chiffrement par l'algorithme Curve 25519 EdDSA. Les détails de l'attaque ne sont pas encore connus mais devraient être présentés à la BlackHat US en août.
Les chercheurs insistent cependant déjà sur le fait que ses impacts sont bien plus faibles et sa remédiation plus aisée que Spectre/Meltdown.
L'attaque a été découverte par des chercheurs de Vrije Universiteit Amsterdam, et son Proof-of-Concept cible le chiffrement par l'algorithme Curve 25519 EdDSA. Les détails de l'attaque ne sont pas encore connus mais devraient être présentés à la BlackHat US en août.
Les chercheurs insistent cependant déjà sur le fait que ses impacts sont bien plus faibles et sa remédiation plus aisée que Spectre/Meltdown.
Sources :
- https://arstechnica.com/gadgets/2018/06/tlbleed-a-new-way-to-leak-crypto-keys-on-hyperthreaded-processors/
- https://en.wikipedia.org/wiki/TLBleed
Joomla <= 3.8.8 - Local File Inclusion
Une vulnérabilité permettant la récupération arbitraire de fichiers a été découverte. Aucun exploit ne semble être public pour l'instant.
RAMpage - Yet another Rowhammer vuln
RAMpage est la dernière variante d'une longue série de vulnérabilités rassemblées sous le nom Rowhammer. Il s'agit d'une vulnérabilité qui exploite les effets de bords possibles d'opération en mémoire répétées à haute fréquence, qui peuvent aboutir au changement d'un bit en mémoire, quels que soient les privilèges de l'utilisateur.
Cette variante cible Android et notamment le système ION responsable des allocations mémoire. Elle permet la prise de contrôle du terminal mobile. Un patch, nommé Guardion, a été mis au point, mais n'est pas encore disponible pour tous les terminaux.
Cette variante cible Android et notamment le système ION responsable des allocations mémoire. Elle permet la prise de contrôle du terminal mobile. Un patch, nommé Guardion, a été mis au point, mais n'est pas encore disponible pour tous les terminaux.
Sources :
- https://threatpost.com/rowhammer-variant-rampage-targets-android-devices-all-over-again/133217/
- https://arstechnica.com/information-technology/2018/07/new-rampage-exploit-revives-rowhammer-attack-to-root-android-devices/?comments=1
- https://thehackernews.com/2018/06/android-rowhammer-rampage-hack.html
Indicateurs de la semaine
L'exploit de la semaine - Wordpress - wp_delete_attachment()
Une vulnérabilité a été découverte dans la fonction wp_delete_attachement() de Wordpress, et permet à un attaquant authentifié de supprimer des fichiers arbitraires sur le système de fichiers, pourvu que le compte exécutant le serveur web en ait les droits.
Il devient alors possible de procéder à la suppression de fichiers clés du CMS, et de provoquer sa réinstallation.
La vulnérabilité a été remontée en novembre 2017 auprès de Wordpress et demeure non patchée. Toutes les versions existantes sont affectées.
Il devient alors possible de procéder à la suppression de fichiers clés du CMS, et de provoquer sa réinstallation.
La vulnérabilité a été remontée en novembre 2017 auprès de Wordpress et demeure non patchée. Toutes les versions existantes sont affectées.
Sources :
- https://tools.cisco.com/security/center/viewAlert.x?alertId=58304
- https://www.exploit-db.com/exploits/44949/
Le leak de la semaine - Exactis - 2To de données et 340.000.000 d'entrées exposés sur Internet
L'entreprise américaine Exactis aurait pu subir le même sort que bon nombre d'autres entreprises présentes dans l'actualité récente. En effet, un chercheur en sécurité, Vinny Troia, a découvert à l'aide de Shodan une base de données ElasticSearch leur appartenant et exposée sur Internet.
La base de données contient jusqu'à 150 indicateurs déifférents sur pas moins de 218 millions de résidents étatsuniens, dont les adresses email et résidentielle, les numéros de téléphone, etc.
La base de données contient jusqu'à 150 indicateurs déifférents sur pas moins de 218 millions de résidents étatsuniens, dont les adresses email et résidentielle, les numéros de téléphone, etc.
Sources :
- https://www.bankinfosecurity.com/marketing-firm-exposes-340-million-records-on-us-consumers-a-11143
- https://www.wired.com/story/exactis-database-leak-340-million-records/
- https://medium.com/metacert/exactis-database-leak-exposes-340-million-consumer-records-505b886ee66e
L'attaque de la semaine - Le compte Github de Gentoo piraté
Bien que les moyens utilisés ne soient pas encore clairs, le compte Github de la distribution Linux Gentoo a été piraté le 28 juin. Des personnes d'identités inconnues ont pris le contrôle du compte Github, et procédé a des modifications sur le code hébergé. En revanche, les commits effectués d'ordinaire sont signés, et aucune donnée ne permet d'indiquer que la clé de signature ait été compromise.
Bien qu'il ne s'agisse que d'un dépôt de code secondaire, le dépôt principal étant disponible sur le site de la distribution, un grand nombre d'utilisateur aurait pu être impacté.
Bien qu'il ne s'agisse que d'un dépôt de code secondaire, le dépôt principal étant disponible sur le site de la distribution, un grand nombre d'utilisateur aurait pu être impacté.
Sources :
- https://nakedsecurity.sophos.com/2018/06/29/linux-distro-hacked-on-github-all-code-considered-compromised/
- https://thehackernews.com/2018/06/gentoo-linux-github.html
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox | |
CCleaner |
Jean MARSAULT