Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
[Brève] Bouygues Telecom, Free, La Poste, Orange et Numericable-SFR signent la Charte pour la sécurité des services de courriers électroniques
Cette charte signée entre les principaux fournisseurs d’offres de messagerie prévoit un chiffrement des communications :
- Entre un utilisateur et un « Service de courrier électronique » signataire de la charte, qu’il se présente sous la forme d’un flux issu/reçu par un client de messagerie (Outlook, Thunderbird etc.), tirant parti des protocoles SMTP/POP/IMAP ou sous la forme d’un client léger « Webmail » via HTTPS
- Entre deux « Services de courrier électronique » signataires de la charte, c’est-à-dire entre deux relais SMTP
- Entre autres, les signataires s’engagent de manière volontaire à :
- Appliquer des mesures de chiffrement des flux. L’annexe décrivant les spécifications techniques évoque notamment l’utilisation des protocoles et algorithmes de chiffrement suivants :
- A minima TLS en version 1.0, idéalement 1.2
- Diffie-Hellman Éphémère (DHE) ou sa variante basée sur les courbes elliptiques (ECDHE) pour l’échange de clé à l’initialisation de la session TLS, assurant la confidentialité persistante des échanges (Perfect Forward Secrecy)
- AES pour le chiffrement symétrique, au lieu des algorithmes obsolescents 3DES et RC4. Aucune taille minimale n’est explicitement requise ; néanmoins en se basant sur l’annexe B1 du RGS, la recommandation actuelle est d’au moins 128 bits
- A minima SHA-256 comme algorithme de hachage, au lieu des algorithmes obsolescents MD5 et SHA-1
- Protéger leurs Webmails des failles référencées par l’OWASP
- Coopérer avec l’ANSSI et les autres signataires vis-à-vis de problèmes de configuration et d’incidents techniques
En termes de planning, toutes ces mesures devront être effectives au plus tard 3 mois après la signature de la Charte ; cette durée correspondant à la durée maximale de prise en compte, par un signataire, des noms de domaine des autres signataires au sein de ses infrastructures.
Sources :
http://www.ssi.gouv.fr/actualite/signature-de-la-charte-pour-la-securite-des-services-de-courriers-electroniques/ http://www.ssi.gouv.fr/uploads/2015/10/charte_securisation_mails_signatures_bouygues1.pdf
[Brève] FireEye détaille le mode opératoire du malware Android “Kemoge”
Ce malware est contenu dans des versions pirates d’applications hébergées sur des markets alternatifs au dépôt officiel Google Play Store et tente de compromettre le terminal en déployant 8 codes d’exploitation visant à obtenir les droits root.
Sources :
https://www.fireeye.com/blog/threat-research/2015/10/kemoge_another_mobi.html http://www.scmagazineuk.com/fireeye-identifies-new-adware-family/article/443973/
[Brève] Netgear publie un correctif contre la vulnérabilité permettant d’accéder à l’interface d’administration sans authentification
Les produits suivants sont à mettre à jour : JNR1010v2, WNR2000v5, JWNR2010v5, WNR614, WNR618, WNR1000v4, WNR2020, and WNR2020v2.
Sources :
https://threatpost.com/netgear-publishes-patched-firmware-for-routers-under-attack/115006/ https://threatpost.com/disclosed-netgear-router-vulnerability-under-attack/114960/ http://seclists.org/fulldisclosure/2015/Oct/29
[Brève] McAfee publie une synthèse des types de données revendues sur le marché noir
Les types des données évoquées sont :
- Des données financières, principalement des cartes bancaires, où il est indiqué que les données complètes liées à une carte européenne (PAN + CVV2 + nom + adresse etc.) se vendent en moyenne $45, et plus de $190 si le solde du compte est élevé
- Des authentifiants ou des vulnérabilités qui permettraient d’accéder à un service précis
- Des accès à des services en ligne, ne visant pas spécifiquement à voler un compte utilisateur mais plutôt à bénéficier de son abonnement (streaming HBO, crédit Skype etc.)
- Des « identités », regroupant toutes les données liées à une personne physique (état civil, authentifiants sur les principaux services en ligne etc.)
Source :
http://www.mcafee.com/us/resources/reports/rp-hidden-data-economy.pdf
[Brève] Google Project Zero détaille des vulnérabilités affectant la dernière version de du projet abandonné TrueCrypt
Il est à noter que Veracrypt, un fork du projet, a reçu un patch contre ces vulnérabilités.
Sources :
http://googleprojectzero.blogspot.fr/2015/10/windows-drivers-are-truely-tricky.html http://www.cert.ssi.gouv.fr/site/CERTFR-2015-ACT-041/CERTFR-2015-ACT-041.html https://veracrypt.codeplex.com/wikipage?title=Release%20Notes
[Brève] Un groupe de chercheur prévoit l’obtention d’une collision SHA-1 d’ici quelques mois, démontrant ainsi de manière concrète l’insécurité de cet algorithme de hachage
Sources :
https://threatpost.com/practical-sha-1-collision-months-not-years-away/114979/ https://eprint.iacr.org/2015/967.pdf
[Brève] Une étude révèle que 87% des terminaux Android sont vulnérables à au moins une faille critique
Sources :
https://nakedsecurity.sophos.com/2015/10/15/87-of-android-devices-are-exposed-to-at-least-one-critical-vulnerability/ https://www.cl.cam.ac.uk/~drt24/papers/spsm-scoring.pdf http://androidvulnerabilities.org/index.html
[Brève] Suite à l’attaque SYNful Knock affectant les routeurs Cisco, un chercheur documente la réalisation de rootkit pour le système IOS
Source :
http://grid32.com/bb095447484a76e5c74d10f604b716f8/cisco_ios_rootkits.pdf
[Brève] Un groupe de chercheur détaille plusieurs vulnérabilités au sein du réseau LTE des opérateurs nord-américains Verizon and AT&T
Source :
http://www.networkworld.com/article/2994477/security/lte-flaws-risk-security-and-privacy-of-all-androids-on-verizon-and-atandt.html http://www.kb.cert.org/vuls/id/943167
[Brève] Une vulnérabilité affectant Adobe Flash rendue publique avec l’affaire HackingTeam utilisée au sein d’une campagne d’attaque ciblée
Source :
http://research.zscaler.com/2015/10/chinese-backdoor-zegost-delivered-via.html
[Brève] IBM a autorisé le gouvernement chinois à consulter le code source de certains de ses produits
Source :
http://www.theverge.com/2015/10/16/9550315/ibm-source-code-review-chinese-government
[Brève] Les Autorités de Certification délivrant des certificats à validation de domaine (DV) critiquées pour ne pas être assez rigoureuses lors de la vérification du demandeur
Source :
http://news.netcraft.com/archives/2015/10/12/certificate-authorities-issue-hundreds-of-deceptive-ssl-certificates-to-fraudsters.html
[Brève] L’opérateur présumé du botnet Dridex a été arrêté, le malware Vawtrack réapparait et tente de le remplacer
Sources :
https://nakedsecurity.sophos.com/2015/10/15/dridex-botnet-taken-down-multi-million-bank-fraud-suspect-arrested/ http://www.theregister.co.uk/2015/10/14/dridex_botnet_takedown/ http://www.scmagazineuk.com/the-vawtrak-trojan-reemerges-tougher-and-sneakier/article/444730/
[Brève] Google Chrome va supprimer l’avertissement concernant la présence de contenu HTTP dans une page HTTPS afin d’encourager la migration des sites vers HTTPS
Source :
http://arstechnica.com/information-technology/2015/10/chrome-finally-kills-off-the-http-https-mixed-content-warning/
[Brève] Apple supprime de l’AppStore plusieurs applications installant des certificats racines dans le magasin utilisateur
Source :
http://arstechnica.com/security/2015/10/apple-removes-several-apps-that-could-spy-on-encrypted-traffic/
[Brève] Une faille 0-day actuellement utilisée contre l’outil tiers MAGMI du CMS Magento
Source :
https://www.trustwave.com/Resources/SpiderLabs-Blog/Zero-day-in-Magmi-database-client-for-popular-e-commerce-platform-Magento-targeted-in-the-wild/
[Brève] Une vulnérabilité XSS a été corrigée dans le plugin anti-spam Akismet pour WordPress
Sources :
https://threatpost.com/wordpress-fixes-critical-stored-xss-error-in-akismet/115054/ https://blog.sucuri.net/2015/10/security-advisory-stored-xss-in-akismet-wordpress-plugin.html
[Brève] Google Blogpost supporte désormais HTTPS
Source :
https://googleonlinesecurity.blogspot.fr/2015/09/https-support-coming-to-blogspot.htm