Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés !
Veille cybercriminalite
Insta-breach : le retour
Il semblerait que le "hack" du compte Instagram de Selena Gomez (qui s'est concrétisé par des fuites de nudes de Justin Bieber) ayant eu lieu en fin de mois d'aout soit l'arbre qui cache la forêt. Bien que les informations données par Instagram soient lacunaires, il est possible qu'une faille dans une API utilisée par les développeur pour accéder à l'application permette de récupérer les informations de contact (téléphone, mail) de certains utilisateurs. Selon Instagram, quelques comptes à haute visibilité pourraient avoir été ciblés par des opérations de phishing facilitées par ces données de contact.
Cependant, un groupe de pirates a annoncé avoir réussi à automatiser la récupération des données de contact et propose ainsi l'accès à une base de donnée prétenduement de 6 millions d'entrées pour la modique somme de 10$ par requête. L'information n'a pas été confirmée par Instagram.
Cependant, un groupe de pirates a annoncé avoir réussi à automatiser la récupération des données de contact et propose ainsi l'accès à une base de donnée prétenduement de 6 millions d'entrées pour la modique somme de 10$ par requête. L'information n'a pas été confirmée par Instagram.
Sources :
- http://thehackernews.com/2017/08/instagram-breach.html
- https://www.pcauthority.com.au/news/instagram-leak-six-million-account-details-exposed-online-472536
- https://www.darknet.org.uk/2017/08/instagram-leak-api-spills-high-profile-user-info/
- https://arstechnica.com/information-technology/2017/09/site-sells-instagram-users-phone-and-e-mail-details-10-a-search/?comments=1
Les Hackeurs Hackés
"Quand c'est gratuit, c'est toi le produit" - Proverbe chinois du Vème siècle.
Apparement peu connu de certaines personnes mal intentionnées errant sur le deepweb, qui furent enchantées de trouver un trojan builder kit gratuit permettant de customiser son propre malware de type RAT (Remote Access Trojan) : Cobian (tel que baptisé par l'équipe de Zscaler qui l'a découvert).
Il s'avère que tous les trojans conçus via Cobian comprennent une backdoor permettant de prendre la main sur le malware, le poste infecté, et de bypasser définitivement le controleur de niveau deux customisé par l'utilisateur na瑩. Un moyen habile et économe de se constituer un réseau de botnets.
Apparement peu connu de certaines personnes mal intentionnées errant sur le deepweb, qui furent enchantées de trouver un trojan builder kit gratuit permettant de customiser son propre malware de type RAT (Remote Access Trojan) : Cobian (tel que baptisé par l'équipe de Zscaler qui l'a découvert).
Il s'avère que tous les trojans conçus via Cobian comprennent une backdoor permettant de prendre la main sur le malware, le poste infecté, et de bypasser définitivement le controleur de niveau deux customisé par l'utilisateur na瑩. Un moyen habile et économe de se constituer un réseau de botnets.
Sources :
- https://www.theregister.co.uk/2017/08/31/free_trojan_for_hackers/
- https://nakedsecurity.sophos.com/2017/09/05/would-be-cyberattackers-caught-by-malware-with-a-sting-in-the-tail/
- https://themerkle.com/cobian-remote-access-trojan-has-a-nasty-backdoor/
Veille vulnerabilite
Vulnérabilité sur une librairie SSL de l'IoT
Une faille de sécurité touche la librairie opensource mbed TLS éditée par ARM. Cette librairie est particulièrement utilisée dans l'IoT et permet de gérer les transactions SSL.
La vulnérabilité réside dans la possibilité de bypasser l'authentification lors du peering si le mode d'authentification est configuré sur "OPTIONAL" (ce qui contrairement à ce que le nom indique, n'est pas censé rendre l'authentification optionnelle).
Il suffit d'upgrader pour éviter la vulnérabilité, qui a été corrigée dans les dernière versions.
La vulnérabilité réside dans la possibilité de bypasser l'authentification lors du peering si le mode d'authentification est configuré sur "OPTIONAL" (ce qui contrairement à ce que le nom indique, n'est pas censé rendre l'authentification optionnelle).
Il suffit d'upgrader pour éviter la vulnérabilité, qui a été corrigée dans les dernière versions.
Sources :
- https://www.theregister.co.uk/2017/08/31/arms_embedded_tls_library_patched_to_fix_mitm_bug/
- https://tls.mbed.org/tech-updates/security-advisories/mbedtls-security-advisory-2017-02
Vulnérabilité sur les pacemakers
Il était temps de se préoccuper de la sécurité des objets connectés, d'autant plus lorsque ceux-ci ont un lien direct avec la vie ou la mort de l'utilisateur. La Food and Drugs Administration a dévoilé l'existence de multiples vulnérabilités sur les pacemakers fabriqués par la firme Abbot, portant entre autres sur :
- l'absence de chiffrement des données sensibles
- la possibilité de drainer la batterie
- la possibilité de bypasser l'authentification...
presque un demi millions de patients ont été appelés à faire mettre à jour leur pacemaker, ce qu'il est heureusement possible de faire sans retirer l'objet.
Cela repose (encore et toujours) la question de l'implémentation "by design" de la sécurité au coeur des objets connectés.
- l'absence de chiffrement des données sensibles
- la possibilité de drainer la batterie
- la possibilité de bypasser l'authentification...
presque un demi millions de patients ont été appelés à faire mettre à jour leur pacemaker, ce qu'il est heureusement possible de faire sans retirer l'objet.
Cela repose (encore et toujours) la question de l'implémentation "by design" de la sécurité au coeur des objets connectés.
Sources :
- https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01
- https://arstechnica.com/information-technology/2017/08/465k-patients-need-a-firmware-update-to-prevent-serious-pacemaker-hacks/
- http://securityaffairs.co/wordpress/62581/security/fda-recalls-pacemakers.html
Indicateurs de la semaine
Le leak de la semaine - 711 millions d'adresses mails disponibles sur le net
Un fichier contenant un nombre record d'adresses mail est en accès libre sur l'un des serveurs utilisé par le spambot Onliner. Le serveur contient par ailleurs des données de mot de passe, ainsi que des détails sur des serveurs SMTP qui semblent être fonctionnels.
Sources :
- http://securityaffairs.co/wordpress/62494/data-breach/onliner-spambot.html
- https://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/
L'exploit de la semaine - Compromission d'un iPhone iOS<=10.3.1
Un chercheur de chez Zimperium a mis à disposition un exploit sur les kernels iOS affectant les versions inférieures à la V10.3.2 (disponible depuis mai 2017). Il utilise pour cela de multiples vulnérabilités affectant un même module.
Sources :
- http://securityaffairs.co/wordpress/62401/hacking/ios-kernel-exploit.html
- http://gsec.hitb.org/sg2017/sessions/rootten-apples-vulnerability-heaven-in-the-ios-sandbox/
L'attaque de la semaine - Attaque via écran de remplacement
On craint rarement les intrusions de malware lorsqu'on envoie un téléphone à réparer au SAV. C'est pourtant ce qui pourrait arriver, comme l'a démontré un groupe de chercheurs. Ils ont en effet installé un malware dans le contrôleur d'un écran tactile, contrôleur qui est par design trusté par le téléphone. Indétectable avant la mise en place de l'écran compromis pour quiconque n'est pas expert en hard reverse, un malware peut ainsi aisément être installé pour ensuite envoyer des informations, prendre des screenshots, ou encore servir de keylogger.
Si on pousse plus loin la théorie, on peut se demander jusqu'où pourrait aller un pirate prenant le contrôle du PC de configuration des contrôleurs d'écran dans les usines officielles des grands constructeurs de téléphone...
Si on pousse plus loin la théorie, on peut se demander jusqu'où pourrait aller un pirate prenant le contrôle du PC de configuration des contrôleurs d'écran dans les usines officielles des grands constructeurs de téléphone...
Sources :
- https://iss.oy.ne.ro/Shattered.pdf
- https://www.schneier.com/blog/archives/2017/08/hacking_a_phone.html
Suivi des versions
Produits | Version actuelle |
Adobe Flash Player | |
Adobe Acrobat Reader DC | |
Java | |
Mozilla Firefox | |
Google Chrome | |
VirtualBox |
Camille MARSIGNY