Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour les produits Apple (iOS, Safari, macOS, iTunes) [1][2][3][4] et pour le système Android [5]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

Codes d’exploitation

La semaine dernière, trois codes d’exploitation ont été publiés.

Le premier affecte le gestionnaire de version Git. En incitant un utilisateur à cloner un projet malveillant et ses sous-modules, un pirate était en mesure de compromettre son système. Un correctif est disponible. [11]

Le deuxième affecte les produits Apple iOS. En incitant sa victime à visiter un site web spécialement conçu, un attaquant pouvait exécuter du code sur le smartphone de celle-ci. Un correctif est disponible. [12]

Le troisième affecte le système d’exploitation Android. Un pirate situé à portée du Bluetooth de sa victime était en mesure, dans certaines conditions, de prendre le contrôle de l’appareil à distance. Un correctif est disponible. [13]

Informations

Cybercriminalité

La société RiskIQ a analysé plus de 120 magasins d’applications pour smartphone à la recherche d’applications malveillantes. Il en est sorti qu’il est plus rentable pour les groupes de pirates d’utiliser des applications permettant de miner des cryptomonnaies de façon silencieuse plutôt que des applications malveillantes classiques. Cela est dû à la popularité croissante et à la volatilité des cryptomonnaies. Dans le rapport du premier trimestre, RiskIQ émet une alerte sur la multiplication des applications de minage se camouflant derrière des applications légitimes en relation avec les cryptomonnaies. [14]

Des chercheurs de Guardicore Labs ont découvert des traces d’une campagne d’attaques. Baptisée « Operation Prowli », cette campagne vise à compromettre différents types de systèmes dans le but de les exploiter pour miner du Monero ou rediriger les visiteurs vers des pages malveillantes. L’attaquant cible des organisations de tout type, basées dans le monde entier. [20]

Vie privée

La cour fédérale de Leipzig a autorisé le service fédéral de renseignement allemand (BND) à surveiller le plus important point d’échange internet au monde : DE-CIX. DE-CIX est basé à Francfort et représente une position privilégiée pour la surveillance de masse. En effet, avec une capacité de débit maximal qui dépasse 6 téraoctets par seconde, le hub reçoit du trafic provenant de toute l’Europe, de Chine, de Russie, du Moyen-Orient et d’Afrique. En échange des données des citoyens allemands, la NSA fournit au BND un accès à la plateforme de surveillance massive XKeyscore. [17]

À la suite de la mise en application du RGPD le 25 mai dernier, la Quadrature du Net a officiellement déposé cinq plaintes devant la CNIL le 28 mai. Ses plaintes visent les services de Google (Google Search, Gmail, Youtube), Apple (iOS), Amazon, Microsoft (LinkedIn), et Facebook. La Quadrature du Net a mis en place un document public sur lequel tout individu souhaitant participer au recours collectif à la possibilité de proposer des ajouts ou des modifications. Plus de 12 000 personnes participent à cette action. Il s’agit de la première plainte collective de cette ampleur depuis la mise en application du RGPD. [19]

Une erreur dans la configuration de la suite applicative de Google « G-Suite » exposait les adresses email de multiples organisations. Cette erreur était due à un conflit entre les permissions spécifiques à l’organisation et les permissions spécifiques aux « Google Groups » appliquées au sein de celle-ci. Afin d’éviter la divulgation de données internes à l’entreprise, le paramètre de la visibilité des groupes doit être configuré sur « Privé » pour les Google Groups concernés. [22]

Juridique

Le Sénat californien vote en faveur du rétablissement de la neutralité du net. Le projet de loi 822 est parrainé par le sénateur démocrate Scott Wiener et cosigné par plusieurs autres démocrates et membres de l’Assemblé. Il vise à empêcher les FAI de s’engager dans des pratiques incompatibles avec un internet libre et équitable. Il est soutenu par une coalition de groupes d’intérêt public, de syndicats, de fournisseurs de service internet, d’entreprises et de fonctionnaires de l’État de Californie. [15]

Vulnérabilités

Plusieurs géants de la technologie et de grandes entreprises ont exposé publiquement des clés privées de serveurs AWS en raison d’une vulnérabilité dans le système de suivi de bugs  » Atlassian Jira ». Cette faille était due à un composant vulnérable utilisé par les anciennes versions du système. Le bug, que l’on trouve dans les logiciels Atlassian comme « Jira » et « Confluence », permet à quiconque ayant accès au serveur d’obtenir facilement les clés secrètes de l’instance Amazon Web Services (AWS) sur laquelle le logiciel est hébergé. Des sites du gouvernement américain étaient également concernés par cette vulnérabilité, ils ont cependant mis à jour le système après avoir été avertis par le journal ZDNet. [16]

Deux mois après la mise à jour du CMS Drupal corrigeant la vulnérabilité Drupalgeddon2 (CVE-2018-7600), une équipe de chercheurs a partagé la liste des sites Web toujours vulnérables avec l’US-CERT et d’autres équipes CERT dans le monde entier afin d’appliquer dès que possible les correctifs nécessaires. 115 000 sites web seraient ainsi toujours touchés par cette faille de sécurité. [21]

Recherche

L’ISACA, une association regroupant plusieurs acteurs du secteur de la sécurité informatique, a publié les résultats d’un sondage concernant la sécurité des villes intelligentes. Les répondants estiment que les infrastructures liées aux secteurs de l’énergie, de la communication et de la finance sont les plus susceptibles d’être ciblées par une attaque. Ils voient les dénis de service et les malwares comme les principales menaces pesant sur ces infrastructures. Les répondants pensent que ces systèmes risquent d’être ciblés par des activistes, des criminels ou des attaquants affiliés à un état. [18a][18b]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-2306
[2] CXA-2018-2307
[3] CXA-2018-2308
[4] CXA-2018-2325
[5] CXA-2018-2361
[11] CXA-2018-2303
[12] CXA-2018-2322
[13] CXA-2018-2362
[14] CXN-2018-2334
[15] CXN-2018-2320
[16] CXN-2018-2319
[17] CXN-2018-2315
[18] CXN-2018-2302
[19] CXN-2018-2409
[20] CXN-2018-2403
[21] CXN-2018-2352
[22] CXN-2018-2340