Chaque semaine, les consultants du service de veille analysent et synthétisent les faits marquants de la semaine passée pour vous proposer un résumé des correctifs, des codes d’exploitation et des actualités.

Correctifs

Cette semaine, le CERT-XMCO recommande l’application des correctifs publiés pour le CMS WordPress [1], les produits Apache [2][3] et les produits Cisco [4]. Plusieurs des vulnérabilités corrigées permettaient la prise de contrôle d’un système à distance par un attaquant non authentifié.

Codes d’exploitation

La semaine dernière, aucun code d’exploitation n’a été publié.

Informations

Vie privée

Lors du scandale de Cambridge Analytica, en mars 2018, Facebook avait déclaré avoir coupé l’accès par des tiers aux données de ses utilisateurs en mai 2015.
Cependant Facebook reconnait s’être associée à 52 géants du secteur technologique comme Microsoft, Spotify, Sony, Acer, Apple, Samsung, BlackBerry, Huawei ou encore Alibaba, afin de leur permettre de développer leurs propres fonctionnalités liées au réseau social. Ses accords permettaient à Facebook de se déployer sur de nombreuses plateformes sans avoir à implémenter une prise en charge pour chacun d’entre eux. Les entreprises partenaires pouvaient accéder à l’API de Facebook, et donc aux données des utilisateurs. Le Congrès se questionne sur la confiance que l’on peut accorder à Facebook afin de protéger les données personnelles de plus de 2 milliards d’utilisateurs. [5]

Vulnérabilité

Des chercheurs en sécurité chez Microsoft ont publié des détails techniques concernant deux vulnérabilités zero-day récemment découvertes après qu’une personne ait envoyé un PDF malveillant sur le site VirusTotal. La première vulnérabilité permet une exécution de code à distance au sein d’Adobe Acrobat et Adobe Reader. La seconde permet une élévation de privilège dans Microsoft Windows. Microsoft a dévoilé que le PDF malveillant était en stage de développement avancé et que le groupe à l’origine de la combinaison de ces vulnérabilités avait une force de frappe très importante. [6]

Trois nouveaux vecteurs d’attaques contre le protocole 4G ont été découverts au sein de la couche de liaison de données (couche 2) par des chercheurs de l’université New York Abu Dhabi et de l’université de la Ruhr à Bochum. Les trois potentielles attaques ciblent la confidentialité et l’intégrité de ces trafics. Ces attaques permettent ainsi d’observer les sites qu’un utilisateur consulte et même de le rediriger vers un site malveillant. Les chercheurs indiquent que les méthodes d’espionnage ne sont peut-être pas limitées à la 4G. Les réseaux 5G à venir peuvent également être vulnérables, car ils reposent sur des technologies similaires. [7a][7b][7c][7d]

Attaques

La direction du renseignement militaire israélien accuse le mouvement islamiste palestinien (Hamas) de créer des applications malveillantes. Ces applications mobiles sont téléchargées par les soldats des forces de défense israéliennes (IDF) et contiendraient des données sensibles. En effet, les téléphones de centaines de soldats israéliens ont été piratés par des applications de rencontre ou de coupe du monde. Celle-ci a permis de recueillir des informations sensibles provenant des soldats israéliens. Des logiciels espions placés dans ses applications donnent accès aux photos, numéros de téléphone et adresses électroniques des soldats postés près de la frontière, et permettent au Hamas de contrôler à distance les caméras et les microphones des téléphones. [8]

Typeform, une société espagnole fonctionnant en mode SaaS (« Software as a Service », ou « Logiciel en tant que Service ») spécialisée dans les enquêtes en ligne a subi une attaque informatique. Une demi-heure après la découverte de cette attaque, soit le 27 juin, une équipe d’expert a découvert le vol d’un fichier de sauvegarde daté du 3 mai. Ce fichier compromis stockait les noms, adresses électroniques et autres informations soumises par les utilisateurs par le biais des formulaires Typeform. Cependant, aucun vol de données bancaires n’a été relevé. Typeform aurait assuré à ses clients avoir identifié et traité la source de la brèche. Un examen complet du système de sécurité a été mis en place pour éviter qu’un incident comme celui-ci ne se reproduise à l’avenir. [9]

Cybercriminalité

Un ancien employé de la société NSO Group, une société israélienne de sécurité informatique, a été accusé par le ministère israélien de la Justice d’avoir volé le code source des logiciels espions et tenté de les vendre pour 50 millions de dollars. L’employé a cherché de potentiels acheteurs sur le darknet et a tenté de vendre le logiciel pour 50 millions de dollars en cryptomonnaie. Toutefois, l’acheteur a alerté NSO qui a alors procédé à son licenciement et à son arrestation. Les enquêteurs ont retrouvé les fichiers volés dans un disque dur externe caché sous le matelas du suspect. [10]

Lundi 25 juin, Ciaran Martin, directeur du Centre National de la Cybersécurité au GCHQ, et David Lidington, ministre du cabinet, ont mi en garde les députés anglais au sujet de l’augmentation constante du risque d’attaques informatiques menées par la Russie dans des secteurs critiques. Selon l’espion britannique, les Russes sont en train de déployer des cybertechnologies « contre l’occident » afin d’affaiblir les institutions démocratiques, médiatiques et la liberté d’expression. D’après lui, les secteurs les plus critiques tels que la santé, les télécommunications et l’énergie seraient en danger. Au sujet du Brexit, Lidington a assuré que les négociations en cours ne présentaient pas de risques potentiels pour la coopération entre les états en matière de sécurité nationale. [11]

Sécurité

À partir du 23 juillet, Google commencera à noter comme étant «non sécurisé » n’importe quel site internet chargé en HTTP dans son navigateur Chrome. Le pourcentage de site chargé en HTTPS a continué d’augmenter jusqu’à 69,7 % (contre 52,5 % l’année précédente). Malheureusement, quelques sites très populaires ne supportent toujours pas le HTTPS, et seront donc très bientôt marqués par Google Chrome. Cloudflare a contacté la plupart des sites ne disposant pas de HTTPS afin de comprendre les raisons de ce manquement : la plupart ont répondu qu’il n’en avait pas besoin, ou que l’implémentation était difficile ou trop longue. [12]

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-2813
[2] CXA-2018-2761
[3] CXA-2018-2798
[4] CXA-2018-2749
[5] CXN-2018-2762
[6] CXN-2018-2763
[7] CXN-2018-2759
[8] CXN-2018-2817
[9] CXN-2018-2745
[10] CXN-2018-2810
[11] CXN-2018-2736
[12] CXN-2018-2739