REVUE DE PRESSE CYBER - Failles et Attaques " L'intégrité est une composante essentielle de la sécurité. Et pas seulement en informatique ! " D ...
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
REVUE DE PRESSE CYBER
Du16 au 22 DECEMBRE 2019
Failles et Attaques
« L’intégrité est une composante essentielle de la sécurité.
Et pas seulement en informatique ! » D. Hallépée
STEVALYS
contact@stevalys.com
TABLE DES MATIERES
TABLE DES MATIERES 1
FAILLES ET ATTAQUES 3
ETAT D'URGENCE POUR UNE CYBERATTAQUE : LA NOUVELLE-ORLEANS N'EN FAIT-ELLE PAS TROP ? 3
VISA: NORTH AMERICAN GAS STATIONS TARGETED IN POS ATTACKS 4
DE FAUX REPORTAGES TROMPENT L’ALGORITHME DE YOUTUBE ET SES UTILISATEURS 6
LA FONDATION VECHAIN SE FAIT HACKER 6,7 MILLIONS DE DOLLARS 8
THIS BUG COULD HAVE LET ANYONE CRASH WHATSAPP OF ALL GROUP MEMBERS 9
GO SPORT ET COURIR INTOXIQUES PAR CLOP 11
RESEARCHERS DISCOVER WEAKNESS IN IOT DIGITAL CERTIFICATES 13
TOP 7 DES PANNES CLOUD LES PLUS CATASTROPHIQUES DE 2019 16
LA FAILLE DE SECURITE D’EQUIFAX CLASSEE PRINCIPALE ATTAQUE RESEAU 20
PLUS DE 60% DES DONNEES EXPOSEES EN 2019 PROVIENNENT DE SOCIETES DU SECTEUR FINANCIER 23
+523% DE MENACES DETECTEES PAR KASPERSKY EN 2019 ! 25
LE RANÇONGICIEL ZEPPELIN CIBLE LE SECTEUR DE LA SANTE ET LES ENTREPRISES DE TECHNOLOGIE 27
LIFELABS PAID HACKERS TO RECOVER STOLEN MEDICAL DATA OF 15 MILLION CANADIANS 29
FACEBOOK TRAQUE EGALEMENT LES UTILISATEURS QUI N’ACTIVENT PAS LA GEOLOCALISATION 31
PRIVILEGE ESCALATION FLAWS FOUND IN PREINSTALLED ACER, ASUS SOFTWARE 32
DOXED CREDIT CARD DATA HAS TWO HOURS MAX BEFORE IT’S NABBED 33
ALLEGED BANK VAULT ROBBER POSED WITH CASH ON INSTAGRAM, FACEBOOK 36
LIFELABS A ADMIS AVOIR PAYE UNE RANÇON POUR RECUPERER LES DONNEES DE 15 MILLIONS DE CLIENTS 37
SECURITE, CIBLAGE PUBLICITAIRE... FACEBOOK ADMET TRAQUER LES DEPLACEMENTS DE SES UTILISATEURS 39
BITCOIN : LES RANSOMWARES A LA MODE EN 2019 40
CLASSEMENT 2019 DES PLUS MAUVAIS COMPORTEMENTS EN MATIERE DE MOTS DE PASSE 43
L’ASCENSION DES DROPPERS : LES ATTAQUES DE PHISHING ET MALWARE PROFITENT DE LA SORTIE DU NOUVEAU STAR
WARS 48
DRUPAL WARNS WEB ADMINS TO UPDATE CMS SITES TO PATCH A CRITICAL FLAW 49
LES CYBERATTAQUES VISANT LES RETAILERS EN AUGMENTATION DE 20% A NOËL SELON DES ESTIMATIONS 51
267 MILLIONS DE DONNEES FACEBOOK EXPOSEES EN LIGNE 53
USA: LA RECONNAISSANCE FACIALE COMMET TOUJOURS TROP D’ERREURS SUR LES PERSONNES « NON BLANCHES » 54
1
Stevalys 2019 ©
FACEBOOK: LES DONNEES DE MILLIONS D’UTILISATEURS EXPOSEES SUR DES FORUMS DE HACKERS 56
FORMER CONTRACTOR SENTENCED TO PRISON FOR HACKING BRITISH AIRLINE JET2 57
TWITTER TROLLS ATTACK EPILEPTICS WITH SEIZURE-INDUCING IMAGES 58
HELLO ‘123456,’ MY OLD FRIEND, I’VE COME TO TALK WITH YOU AGAIN 60
FUITES DE DONNEES 2019 : RETROSPECTIVE DES PIRES DATA LEAKS DE L’ANNEE 63
HACKER WHO TRIED TO BLACKMAIL APPLE FOR $100,000 SENTENCED IN LONDON 68
HACKERS BEHIND GOZNYM MALWARE SENTENCED FOR STEALING $100 MILLION 70
ENQUETE : 50 MILLIARDS DE DONNEES DE GEOLOCALISATION DECOUVERTES PAR LE TIMES 72
2
Stevalys 2019 ©
FAILLES et ATTAQUES
Etat d'urgence pour une cyberattaque : La
Nouvelle-Orléans n'en fait-elle pas trop ?
Le monde informatique, le 16 Décembre 2019
Après la Louisiane l'été dernier, c'est au tour de la ville de la Nouvelle-Orléans de se déclarer
en Etat d'urgence pour faire face à une cyberattaque. Un principe de précaution qui peut
apparaître surdimensionné alors qu'aucune infection réelle n'a été enregistrée.
Aux grands maux les grands remèdes. Voilà une expression que la ville de Nouvelle-Orléans
n'a pas hésité à faire sienne vendredi dernier. Après avoir identifié les signaux d'une
cyberattaque sur ses systèmes d'information, le DSI de la ville de l'Etat de Louisiane, Kim
Lagrue, a pensé dans un premier temps à une infection par ransomware. Prévenue, La maire
LaToya Cantrell a dans la foulée décrété l'Etat d'urgence en considérant la situation comme un
incident de cybersécurité. « Toutes les ressources disponibles de la ville de Nouvelle-Orléans,
ses conseils et agences ont pour ordre d'être réquisitionnées et utilisées par l'autorité d'urgence
dans le but de fournir ou de faciliter les services d'urgence dans la mesure où cela est nécessaire
pour faire face à l'urgence actuelle », peux-t-on lire dans un tweet officiel de la ville.
Ce n'est pas la première fois qu'un tel arsenal ultime de mesures et prérogatives de sécurité est
déployé. Cela avait déjà été le cas l'été dernier avec la décision du gouverneur de la Louisiane
d'appliquer l'Etat d'urgence à l'échelle de tout le pays en réponse à une vague de ransomware
ayant touché trois districts scolaires. Pour autant, cette fois, la situation n’apparaît en rien
comparable. Dès samedi, Kim Lagrue a indiqué qu'aucune donnée n'a été soumise à rançon et
qu'une opération de récupération a été lancée. Un peu plus tard, le DSI de la Nouvelle-Orléans
a même décrit cette attaque comme étant « minimale » et que 4 000 ordinateurs et 400 serveurs
ont été nettoyés par précaution. Le malware a-t-il été stoppé avant de se répandre sur les réseaux
et infecter les terminaux ?
3
Stevalys 2019 ©Une analyse de risques pas vraiment adaptée ?
« Le problème des attaques de ransomwares est qu'elles ne sont pas toujours immédiatement
visibles », a expliqué Colin Bastable, CEO de la société de formation à la sensibilisation à la
sécurité Lucy Security AG. « Les attaquants peuvent avoir besoin de naviguer depuis leur point
d'entrée initial - généralement via un e-mail de phishing - jusqu'aux systèmes et données pour
chiffrer. L'attaque peut être non détectée pendant un temps relativement long avant d'être
déclenchée. Cette attaque a peut-être été lancée en parallèle avec la récente attaque de Louisiane
». Sans remettre en cause la légitimité de mettre en place un plan de réponse à un cyberattaque,
ce dernier ne nécessite-t-il pas a priori d'être adapté en évaluant clairement les risques ? Le cas
échéant employé l'Etat de l'urgence dans des circonstances ne le justifiant pas nécessairement
ressemble davantage à utiliser un canon contre une souris.
Visa: North American Gas Stations Targeted
in PoS Attacks
Security week, le 16 décembre 2019
Sophisticated cybercrime groups have targeted North American gas stations with point-of-sale
(PoS) malware, Visa warns.
Three different attacks were identified in the summer of 2019, but only two of them impacted
the PoS systems of fuel dispenser merchants. However, Visa believes these businesses will
become an increasingly attractive target for cybercrime groups.
The attacks were focused on harvesting Track 1 and Track 2 payment card data, mainly due to
the lack of secure acceptance technology and non-compliance with Payment Card Industry Data
Security Standard (PCI DSS), Visa notes in a report (PDF).
4
Stevalys 2019 ©As part of the first attack, the cybercriminals sent a phishing email to a North American gas
station’s employee. The email contained a malicious link that directed the victim to a remote
access Trojan (RAT) that provided the attackers with access to the compromised network.
After conducting reconnaissance, the threat actors obtained and used credentials to move
laterally on the PoS environment, an operation facilitated by the lack of segmentation between
the cardholder data environment (CDE) and corporate network.
The attackers then deployed a random access memory (RAM) scraper on the PoS system to
gather payment card data.
The second incident targeted another merchant in North America, but the attack vector and
lateral movement method are not known. The cybercriminals deployed a RAM scraper onto the
PoS system and harvested payment card data from it.
“The targeted merchant accepted both chip transactions at the in-store terminals and magnetic
stripe transactions at fuel pumps, and the malware injected into the POS environment appears
to have targeted the mag stripe/track data specifically. Therefore, the payment cards used at the
non-chip fuel pumps were at risk in the POS environment,” Visa explains.
Indicators of compromise gathered from the infected systems suggest that the attack was carried
out by the financially motivated FIN8 group, which has been targeting the retail, restaurant, and
hospitality sectors since at least 2016.
Supposedly the work of the FIN8 hackers as well, the third attack hit a North American
hospitality merchant. A piece of FIN8-attributed malware was used, along with new malware
not previously seen employed by the group in the wild, a shellcode backdoor based on the RM3
variant of Ursnif.
“While the malware used in this attack was not identified in the attacks against the fuel
dispenser merchants, it is possible FIN8 will use this malware in future operations targeting
fuel dispenser merchants,” Visa says.
5
Stevalys 2019 ©De faux reportages trompent l’algorithme de
YouTube et ses utilisateurs
Le siècle digital, le 16 décembre 2019
Il y a quelques semaines, YouTube disait avoir supprimé des centaines de publicités politiques
diffusées par Trump. Aujourd’hui, la société dirigée par Susan Wojcicki n’a visiblement pas
suffisamment fait attention aux contenus qui se propageaient sur sa plateforme : en effet, des
chaînes se faisant passer pour des médias américains ont vu leurs contenus, aussi altérés que la
véracité des chaînes, mis en avant grâce aux algorithmes de YouTube, comme le dénonce CNN.
Des chaînes YouTube se sont appropriées l’identité de plusieurs médias
La technique des chaînes YouTube aux mauvaises intentions était plutôt simple : elles se
présentaient comme des médias américains, cela en utilisant des images issues de la chaîne
CNN, mais aussi de Fox News. Elles ont ensuite créé des chaînes, comme les médias le font,
afin de regrouper automatiquement leurs vidéos autour de certains sujets, et cela leur a permis
de réussir à diffuser à grande échelle du contenu totalement faux, donc de désinformation.
Ces fausses chaînes ont réussi à atteindre des millions de vues, notamment grâce aux
recommandations de YouTube. L’algorithme du réseau social a, en effet, proposé ces vidéos
aux internautes américaines ayant visionné, par le passé, des vidéos à propos de la politique
américaine. Les enjeux sont d’autant plus important que YouTube ne semble pas prêt à lutter
contre la désinformation à l’approche des élections américaines et des caucus, en particulier de
celui de l’Iowa où les premiers américains voteront.
Google, et donc YouTube également, s’est déjà, par le passé, engagé à lutter contre la
désinformation. Et cette fois-ci, YouTube n’a pas su être à la hauteur, face aux mauvaises
intentions de ces personnes. Une casserole de plus pour la plateforme qui avait été pointée du
doigt pour favoriser le développement des croyances sur le fait que la Terre est plate.
YouTube et le caractère trompeur des vidéos épinglés par la start-up
Plasticity
6
Stevalys 2019 ©Plasticity est une start-up américaine qui s’est occupée d’analyser les données de YouTube pour
fournir à CNN de nombreux cas où les chaînes YouTube avaient modifié le contenu qu’elles
mettaient en avant dans leurs vidéos, pour les rendre totalement biaisés et à leur avantage. Cela
rendait également les histoires mises en avant totalement flamboyantes.
Les miniatures de vidéos ont également joué un rôle dans la diffusion virale de ces contenus :
elles étaient modifiées, donc fausses et mettaient en avant de fausses citations ou encore de
fausses histoires, cependant si l’utilisateur lançait la vidéo, passé la miniature, c’est un vrai
passage de CNN, non modifié, qui s’affichait en vidéo.
Des reportages de CNN et Fox News falsifiés et diffusés sur YouTube
Interrogé par CNN Business la semaine passée, YouTube a déclaré que son équipes d’analyse
des menaces avait enquêté sur le sujet et qu’elle avait déterminé que ces chaînes, fermées
depuis, étaient géré depuis l’Asie du Sud-Est et qu’il était question d’une campagne de spam.
Selon la plateforme, aucun lien n’a été établit avec l’intervention d’un gouvernement
quelconque, la Russie notamment. Enfin, alors que CNN et Plasticity ont repéré principalement
des vidéos falsifiées, à propos d’actualité et de politique YouTube a déclaré avoir supprimé de
nombreuses autres vidéos de divertissement.
Cette usurpation d’identité n’a pas plu aux médias concernés
Face aux déclarations de YouTube et ses conclusions, Fox News s’est contenté de garder le
silence tandis qu’un porte parole de CNN a déclaré : “La manipulation de notre marque et de
notre propriété intellectuelle dans le but précis de mal informer le public est un problème
extrêmement grave que les plateformes doivent résoudre au plus vite. Les plateformes comme
YouTube ont la responsabilité de gérer l’intégralité du contenu qu’ils fournissent au public.
C’est quelque chose que les journalistes savent et font efficacement depuis longtemps. C’est là
une importante différence entre les plates-formes et les éditeurs”.
Pour CNN, il est impératif que YouTube gère mieux le contenu de sa plateforme. Le service se
retrouve face à une trop importante quantité de contenus, et même son algorithme n’est pas
encore assez puissant. D’autant plus que la plateforme s’est finalement servie des analyses de
Plasticity pour supprimer plus de chaînes que la start-up avait épinglé.
7
Stevalys 2019 ©La Fondation VeChain se fait hacker 6,7
millions de dollars
Le journal du coin, le 16 décembre 2019
L’erreur est humaine – La fondation VeChain est une association à but non lucratif soutenant
le développement de la blockchain VeChain. Cette dernière a été victime d’un hack entraînant
la perte de 6,7 millions de dollars.
L’attaque s’est déroulée vendredi aux alentours de 18h heure française. L’intégralité des 1,1
milliards de tokens VET ont été dérobées depuis l’adresse de rachat de la fondation. Rappelons
que la fondation avait annoncé en début d’année un programme de rachats de sa cryptomonnaie
sur les marchés, pour “pousser à l’adoption”.
Ainsi, l’équivalent de 6,7 millions de dollars ont été transférés vers une adresse supposément
contrôlée par le (ou les) hackeur(s).
Selon la fondation, cette attaque n’est pas due à une faille mais serait le résultat d’une
négligence humaine de la part de ses équipes.
« C’est manifestement une erreur humaine lors de la création de cette adresse de rachat qui a
permis aux voleurs de siphonner les fonds. Nos vérifications postérieures à cette création ont
également été défaillantes. »
En réponse à cette attaque, la fondation a réuni une liste d’adresses associées au hack. Elle n’a
pas tardé à demander aux principales différentes plateformes d’échange de blacklister lesdites
adresses. Affaire à suivre…
8
Stevalys 2019 ©This Bug Could Have Let Anyone Crash
WhatsApp Of All Group Members
The hacker news, le 17 décembre 2019
WhatsApp Crash Bug
WhatsApp, the world's most popular end-to-end encrypted messaging application, patched an
incredibly frustrating software bug that could have allowed a malicious group member to crash
the messaging app for all members of the same group, The Hacker News learned.
Just by sending a maliciously crafted message to a targeted group, an attacker can trigger a
fully-destructive WhatsApp crash-loop, forcing all group members to completely uninstall the
app, reinstall it, and remove the group to regain normal function.
Since the group members can't selectively delete the malicious message without opening the
group window and re-triggering the crash-loop, they have to lose the entire group chat history,
indefinitely, to get rid of it.
Discovered by researchers at Israeli cybersecurity firm Check Point, the latest bug resided in
the WhatsApp's implementation of XMPP communication protocol that crashes the app when
a member with invalid phone number drops a message in the group.
"When we attempt to send a message where the parameter 'participant' receives a value of
'null,' a 'Null Pointer Exception' is thrown," the researchers explain in a report shared with The
Hacker News prior to its release.
"The parser for the participant's phone number mishandles the input when an illegal phone
number is received. When it receives a phone number with a length, not in the ranger 5-20 or a
non-digit character, it would read it as a 'null' string."
To be noted, the issue resided in both, WhatsApp for Android and iOS, but in an interview with
The Hacker News, Check Point researcher Roman Zaikin confirmed that the exploit works
smoothly against all vulnerable Android users, but sometimes doesn't reproduce on iOS.
The attack requires a malicious group member to manipulate other parameters associated with
messages in a conversation that is otherwise protected using end-to-end encryption.
9
Stevalys 2019 ©In order to carry out this attack, an attacker can leverage WhatsApp Web and a web browser
debugging tool in combination with an open source WhatsApp manipulation tool that Check
Point released last year.
The WhatsApp manipulation tool is an extension for Burp Suite penetration testing software
that allows users to intercept, decrypt, and re-encrypt their WhatsApp communication using
their own encryption keys.
As shown in the video demonstration, the researchers used this setup to trigger the crash bug
against all members of a group by simply replacing the participant's parameter from the sender's
phone number to 'a@s.whatsapp.net,' an invalid non-digit phone number.
"The bug will crash the app, and it will continue to crash even after we reopen WhatsApp,
resulting in a crash loop," the researchers say.
"Moreover, the user will not be able to return to the group and all the data that was written
and shared in the group is now gone for good. The group cannot be restored after the crash has
happened and will have to be deleted in order to stop the crash."
10
Stevalys 2019 ©It should be noted that the attack would not affect the sender since the malicious message was
injected in transit after it left the sender's device.
Check Point responsibly reported this crash bug to the WhatsApp security team back in late
August this year, and the company patched the issue with the release of WhatsApp version
2.19.58 in mid-September.
The WhatsApp developers also "added new controls to prevent people from being added to
unwanted groups to avoid communication with untrusted parties altogether."
"Because WhatsApp is one of the world's leading communication channels for consumers,
businesses and government agencies, the ability to stop people using WhatsApp and delete
valuable information from group chats is a powerful weapon for bad actors," Oded Vanunu,
Check Point's Head of Product Vulnerability Research said.
"WhatsApp greatly values the work of the technology community to help us maintain strong
security for our users globally. Thanks to the responsible submission from Check Point to our
bug bounty program, we quickly resolved this issue for all WhatsApp apps in mid September,"
WhatsApp Software Engineer Ehren Kret told The Hacker News.
WhatsApp users are highly recommended to always keep their apps up-to-date in order to
protect themselves against known attacks.
Go Sport et Courir intoxiqués par Clop
Cio-online, le 17 décembre 2019
Les groupes de distribution et détaillants en vêtements Go Sport et Courir ont essuyé un
ransomware, Clop, fin octobre 2019. Des magasins ont dû être fermés et des encaissements
n'ont pas pu être réalisés.
11
Stevalys 2019 ©Le balai des ransomwares continue. Après le CHU de Rouen très récemment touché et Fleury
Michon un peu plus tôt dans l'année, c'est au tour du secteur de la distribution d'être attaqué de
plein fouet. Les deux enseignes de magasins spécialisés dans la vente d'articles de sports Go
Sport (Groupe Rallye) et Courir (ancienne filiale de Go Sport cédée à Equistione Partners
Europe début 2019) ont essuyé une cyberattaque fin octobre, dans la nuit du 23 au 24 rapporte
Challenges.
Les conséquences de ces attaques informatiques ont loin d'avoir été anodines : Go Sport a dû
fermer deux magasins (Paris Dausmenil et Chambéry) une journée tandis que le système
d'encaissement de Courir a été sérieusement impacté, empêchant des paiements bancaires
pendant quelques jours. « On faisait des factures manuelles. On ne pouvait plus lire les ventes
ni les stocks ajoute le président de l'enseigne. La perte est estimée entre 10 et 20% du chiffre
d'affaires durant les deux semaines qui ont suivi », a indiqué Pierre Chambaudrie, président de
Courir, à notre confrère.
12
Stevalys 2019 ©Le groupe de cybercriminels TA505 impliqué ?
L'origine de l'attaque et le type de ransomware utilisé n'ont pas été clairement établies. Certaines
pistes amènent à penser que cette cyberattaque est en lien avec le groupe de cybercriminels
russes TA505 « actif depuis 2004, ciblant principalement le secteur de la finance mais aussi de
la distribution, des institutions gouvernementales et également depuis 2019 des entités des
secteurs de la recherche, de l'énergie, de l'aviation et de la santé », indique l'ANSSI dans un
rapport. Ce groupe recourt en particulier au ransomware Clop qui pourrait bien avoir été utilisé
dans le cas des attaques portées contre Go Sport et Courir.
Contactée par la rédaction pour des précisions, aucun porte-parole de Go Sport et Courir n'a
pour l'heure pu être joint pour répondre à nos questions.
Researchers discover weakness in IoT digital
certificates
Naked security Sophos, le 17 décembre 2019
IoT devices are using weak digital certificates that could expose them to attack, according to a
study released over the weekend.
Researchers at online digital certificate management services company Keyfactor studied
millions of digital certificates found online which were produced using the RSA algorithm.
They found that 1 in every 172 certificates was crackable because of insecure random number
generation.
RSA’s encryption algorithm is the basis for modern asymmetric encryption, which uses a pair
of keys (a public and private key) to encrypt information and prove the sender’s identity. Part
of the public key production involves multiplying two prime numbers (known as factors). It is
computationally prohibitive to calculate the two prime numbers in reverse from the result. You
13
Stevalys 2019 ©can only decrypt the information by combining the private key (known only to the owner) and
the public key.
If two public keys share a common factor, it becomes a lot easier to discover their other factors
by calculating the Greatest Common Divisor (GCD) for their results.
The best way to avoid this vulnerability is to ensure that the numbers used to create the public
key are as random as possible to avoid duplication. Highly random keys with few duplicates
are known as high-entropy keys, but producing them requires two things: lots of random input
data, and the computing power to turn that input data into a key.
Your desktop computer or laptop has computing power in spades. Unfortunately, the devices
that make up the vast Internet of Things (IoT), which far outnumber desktop computers and run
everything from petrol pumps to street lights, often don’t. The sensors and other devices
connected to the IoT often rely on very low power to operate, which makes it more difficult to
generate high entropy. The result is a lot of devices with common factors.
The researchers built a database of over 60 million RSA keys available on the internet, and then
used logs produced by Google’s Certificate Transparency project to find another 100 million.
After analysing the keys for shared factors, they found that at least 435,000 of them shared
factors, representing one in every 172 certificates.
The researchers didn’t just identify the certificates with shared factors; they used the GCD
algorithm to calculate the second unique factor for each of these keys, effectively cracking the
certificate wide open. Keyfactor researcher JD Kilgallin, who wrote the report, explained that
in many cases he was also able to trace the certificates to specific devices on the internet.
Still, it must have taken lots of computing power to do all that, right? Wrong. Or, more
accurately, right, but that power is a lot cheaper these days. The industry already knew about
this weakness, and Kilgallin points to several other studies in his report, ranging from 2012 to
2016. But this is the first time that someone has analysed so many keys, he said.
The biggest contribution that we can have made over the previous publications on the topic
is the ease with which this can be pulled off with modern resources.
The company broke the keys using Microsoft’s Azure cloud service in a day for around $3,000.
14
Stevalys 2019 ©So, does this mean that the RSA algorithm is insecure? Not at all. Ron Rivest, one of the
algorithm’s three inventors, told Naked Security:
It looks like an implementation issue.
RSA, the company that Rivest helped create to commercialise the RSA algorithm, no longer
owns it. The patent expired in September 2000, and BSAFE, one of the most popular
implementations of the original algorithm, is in the public domain. Still, RSA CTO Dr. Zulfikar
Ramzan has some views on this research. He told us:
… there are a variety of techniques from increasing the number of entropy sources in a device
to waiting until enough entropy is gathered, to embedding high entropy key material during
manufacturing that can help tremendously. While there are potentially design constraints to
consider, this problem of starting with good cryptographic keys is well understood and feasible
to solve with today’s technology.
Kilgallin is sceptical about pre-loading devices with keys during manufacturing, because it
opens up devices to supply chain attacks in which an untrustworthy manufacturer or logistics
company tampers with the keys en route.
Certificates also expire, he points out, meaning that they’d have to be re-generated periodically
on the device anyway. An alternative, he suggests, is to get better random input during an
onboard key generation process. Because IoT devices are network connected, they can easily
get true random data from various sources, he says. That would let them generate higher-
entropy keys even with limited computing power and memory.
Nadia Heninger, an associate professor at the University of California in San Diego, conducted
two of the research studies cited in the Keyfactor report. She suggests that the problem with
low-entropy IoT devices is about more than just low computing power:
There was a specific problem with the Linux RNG [random number generator] failing to seed
itself promptly after boot on headless devices that was patched in the Linux kernel in 2012.
This was the flaw that seemed to lead to most of the vulnerable keys. It seems that a lot of
device manufacturers seem to use old kernel versions so I expect the problems won’t really go
away anytime soon.
The upshot of these conclusions is that these problems have been known for eight years, and
that IoT device vendors could easily solve this problem if they just got a clue.
15
Stevalys 2019 ©Heninger continued:
These are not “high-value” keys – most of them are self-signed, so if an attacker wanted to
man-in-the-middle the HTTPS connection they could anyway.
What should IoT users do to keep their devices safe? If your device comes with a default
password or key, change it to something hard to guess.
Top 7 des pannes Cloud les plus
catastrophiques de 2019
Le big data, le 17 décembre 2019
L’année 2019 a été secouée par de nombreuses pannes Cloud, rappelant au monde que le nuage
est encore loin d’être infaillible et semant le doute quant aux risques liés à une dépendance à
cette technologie nouvelle… découvrez les pannes Cloud les plus catastrophiques de l’année
qui s’achève.
Au fil des dernières années, l’adoption du Cloud par les entreprises et les particuliers a
littéralement explosé. Cela n’a rien de surprenant, car le nuage apporte de nombreux avantages
en termes de flexibilité, de simplicité et même de coût.
En se tournant vers le stockage Cloud, il est possible d’accéder à ses fichiers et documents
depuis n’importe quel appareil et depuis n’importe où. De même, en se tournant vers les
services Cloud type SaaS ou PaaS, les entreprises n’ont plus besoin de développer leurs propres
infrastructures. Elles profitent donc d’un gain de simplicité tout en réduisant leurs charges.
Cependant, les utilisateurs de Cloud font aussi le choix de confier la sécurité et la sûreté de leurs
données à leurs fournisseurs. En migrant leurs données et applications sur les serveurs d’un
fournisseur, plutôt que sur leurs propres Data Centers, les entreprises acceptent de lui vouer une
confiance aveugle.
16
Stevalys 2019 ©Or, plusieurs pannes survenues tout au long de l’année sèment le doute quant à la fiabilité de
ces services… découvrez dans ce dossier les 7 pannes Cloud les plus désastreuses survenues en
2019.
Salesforce
En mai 2019, le déploiement d’un script de base de données sur le service Pardot Marketing
Cloud de Salesforce a provoqué un grave incident. Les utilisateurs ordinaires se sont vus
accorder des permissions d’un niveau supérieur.
Pour éviter que les employés dérobent des données sensibles à leurs entreprises, Salesforce a
dû bloquer de nombreux utilisateurs puis bloquer l’accès à d’autres services tels que Sales
Cloud et Service Cloud.
Durant plus de 20 heures, les clients étaient dans l’incapacité d’accéder à Pardot Marketing
Cloud. Au total, il a fallu 12 jours pour que les autres services tels que Sales Cloud et Service
Cloud soient déployés. L’intégralité de l’infrastructure Cloud de Salesforce a donc été impactée
par un simple script…
Amazon Web Services
Même le leader mondial du Cloud n’est pas infaillible. En août 2019, un Data Center US-EAST-
1 appartenant à AWS et situé en Virginie du Nord a été frappé par une panne d’électricité. Les
générateurs de backup du centre de données sont donc tombés en panne.
En conséquence, 7,5% des instances EC2 et des volumes EBS sont restés temporairement
indisponibles. Pire encore : après que le courant ait été restauré, Amazon a annoncé que
certaines des données stockées sur le hardware endommagé ne pourraient pas être récupérées.
Certains clients ont donc définitivement perdu des informations précieuses. Cet incident
démontre que le Cloud n’est pas toujours synonyme de sécurité, et qu’un backup local pour les
données les plus précieuses est indispensable.
Apple iCloud
17
Stevalys 2019 ©En juillet 2019, de nombreux utilisateurs de l’iCloud d’Apple sont restés dans l’incapacité
d’accéder au service pendant plusieurs heures. Le message » Service Unavailable – DNS
Failure » s’affichait à l’écran.
Plusieurs services Apple tels que l’App Store, Apple Music, Apple TV, Apple Books et Apple
ID ont été impactés. De même, des fonctionnalités telles que » Trouver mon iPhone « étaient
indisponibles durant l’incident.
Selon Apple, cette panne est liée à un problème de » BGP route flap « qui a provoqué
d’importantes pertes de paquets pour les utilisateurs d’Amérique du Nord.
Microsoft Azure
En mai 2019, une délégation de nom de serveur incorrecte a affecté la résolution DNS et la
connectivité réseau de Microsoft Azure. Pendant plus d’une heure, les services Microsoft Office
365, Microsoft Teams ou encore Xbox Live sont restés inaccessibles.
Une heure qui peut s’apparenter à une éternité pour les plus gros clients commerciaux du géant
de Redmond. Fort heureusement, les enregistrements DNS des clients n’ont pas été impactés
après la restauration des services.
Google Cloud
Google Cloud a été victime de deux pannes majeures en 2019. En juillet, un problème avec le
Cloud Networking et le Load Balancing a contraint Google à séparer les serveurs de la région
US-east1 du reste du monde.
Cet incident a causé des dommages physiques à de multiples bundles de fibre concurrents
servant les ponts réseau de la région. De nombreux utilisateurs ont expérimenté d’importants
temps de latence.
Plus récemment, en novembre 2019, plusieurs services de la Google Cloud Platform ont été
impactés par d’importants problèmes. C’est le cas du Cloud Dataflow, du stockage Cloud, et
du Compute Engine. De nombreux produits ont donc été affectés à l’échelle mondiale.
Les APIs Google Cloud ont été touchées sur us-east1, us-east4 et southamerican-east1, et
certaines APIs ont été touchées mondialement. Quelques jours auparavant, des utilisateurs ont
18
Stevalys 2019 ©été confrontés à une perte de paquet de 100% sur environ 20% des instances GCP dans la région
us-west1-b durant 2 heures et demie.
Cloudflare
En juillet 2019, les visiteurs de Cloudflare ont reçu des erreurs 502. Ces erreurs étaient causées
par un pic d’utilisation de CPU sur le réseau.
Ce pic était causé par un déploiement de logiciel raté. Durant 30 minutes, le service est resté en
panne jusqu’à ce que le déploiement soit annulé.
L’entreprise a dû rassurer les clients en expliquant qu’il ne s’agissait pas d’une cyberattaque.
Bien évidemment, une enquête complète a été menée pour comprendre les origines de l’incident
et les mesures à prendre pour éviter qu’il survienne de nouveau dans le futur.
Facebook et Instagram
Bien qu’il ne s’agisse pas de services Cloud à proprement parler, Facebook et Instagram
reposent fortement sur le nuage. Plus tôt en 2019, un changement de configuration de serveur
a provoqué une panne de ces réseaux sociaux.
Pendant près de 14 heures, les utilisateurs ont rencontré d’importantes difficultés pour se
connecter entre autres problèmes. Plus récemment, des utilisateurs se sont à nouveau plaints
que Facebook ne fonctionnait pas ou que certaines fonctionnalités telles que la publication ou
la messagerie Messenger étaient inaccessibles.
Ces pannes survenues tout au long de l’année sur différents services Cloud réputés dans le
monde entier démontrent qu’il reste à ce jour imprudent de confier ses données et ses
applications à un fournisseur de Cloud. Le risque zéro n’existe pas, et les données peuvent être
effacées en dépit des promesses des fournisseurs. Pour cette raison, de nombreuses entreprises
optent pour le Cloud hybride et continuent à stocker leurs documents les plus sensibles sur leurs
propres serveurs…
19
Stevalys 2019 ©La faille de sécurité d’Equifax classée
principale attaque réseau
Undernews, le 17 décembre 2019
Rapport WatchGuard Q3 2019 : la vulnérabilité à l’origine de la faille Equifax, toujours
largement utilisée ; 50% des attaques détectées sont des “zéro-day”. Le dernier rapport en
matière de sécurité Internet de WatchGuard révèle également une augmentation significative
des malwares et autres attaques réseau, les malwares dits « Zero Day » représentant 50 % de
l’ensemble des attaques détectées.
Tribune – WatchGuard® Technologies, spécialiste en matière de sécurité et d’intelligence
réseau, de Wi-Fi sécurisé et d’authentification multifacteur, annonce la publication de son
rapport en matière de sécurité Internet pour le 3ème trimestre 2019. Parmi les augmentations
significatives en termes de malwares et autres attaques réseau, plusieurs vulnérabilités Apache
Struts – notamment une employée dans le cadre de la fuite de données de grande ampleur
Equifax – font leur apparition pour la première fois dans la liste des attaques réseau les plus
répandues, établie par WatchGuard en Q3 2019. Le rapport met également en évidence une
augmentation considérable des détections de malwares dits « Zero Day », une hausse des
exploits Microsoft Office et l’utilisation d’outils de test d’intrusion légitimes.
« Nos derniers recherches sur les menaces illustrent la diversité et la sophistication de
l’arsenal des attaques mises à profit par les cybercriminels. S’ils s’appuient sur des attaques
désormais bien connues, ils en lancent également bon nombre d’autres reposant sur des
malwares ou le piratage de produits, d’outils et de domaines que nous utilisons tous les jours »,
explique Corey Nachreiner, CTO de WatchGuard Technologies.« Alors que les auteurs des
menaces continuent de modifier leurs tactiques, les entreprises de toutes tailles doivent plus que
jamais protéger leurs clients, leurs partenaires et elles-mêmes, à l’aide de plusieurs niveaux de
services de sécurité couvrant tous les aspects, du réseau aux terminaux et jusqu’aux utilisateurs.
»
Le rapport en matière de sécurité Internet de WatchGuard fournit aux entreprises les données,
les tendances, les études et autres conseils dont elles ont besoin pour mieux cerner le paysage
20
Stevalys 2019 ©actuel de la sécurité, demeurer vigilantes et se protéger contre les menaces émergentes. Voici
quelques-unes des principales conclusions du rapport du 3ème trimestre 2019 :
Une nouvelle attaque réseau cible les principales vulnérabilités utilisées dans le cadre de la
fuite de données Equifax. Classée pour la 1ère fois dans la liste des 10 attaques réseau les plus
répandues établie par WatchGuard, l’exécution du code à distance Apache Struts 2 permet aux
cybercriminels d’installer Python ou de formuler une requête HTTP personnalisée pour
exploiter la vulnérabilité au moyen de quelques lignes de code seulement et obtenir un accès
shell sur un système exposé. Cette menace s’est vue accompagnée de 2 vulnérabilités Apache
Struts supplémentaires dans la liste des 10 principales attaques réseau détectées en Q3 2019, le
volume global des attaques réseau ayant quant à lui augmenté de 8 %. Les retombées massives
afférentes à la faille Equifax ont mis en évidence la gravité de cette vulnérabilité, et devraient
rappeler aux administrateurs Web à quel point il est important d’appliquer sans délai les
correctifs des failles connues.
Les cybercriminels continuent de mettre à profit les exploits Microsoft Office.
2 variantes de malwares affectant les produits Microsoft Office se classent dans le Top 10
des logiciels malveillants en volume, ainsi que dans la liste des 10 malwares les plus répandus
en Q3 2019. Cela tend à démontrer que les auteurs de menaces ont doublé à la fois la fréquence
avec laquelle ils tirent parti des attaques basées sur Office, et le nombre de victimes qu’ils
ciblent. Ces 2 attaques ont principalement été propagées par email, ce qui met en évidence la
nécessité pour les entreprises de mettre l’accent sur la formation et la sensibilisation des
utilisateurs, afin de les aider à identifier les tentatives de phishing et autres attaques ayant
recours à des pièces jointes malveillantes.
La détection des malwares dans son ensemble augmente tandis que la part des malwares dits
« Zero Day » atteint un pic avec 50 % des attaques détectées. Après s’être stabilisés aux
alentours de 38 % de toutes les détections de malware au cours des trimestres précédents, les
malwares de type « Zero Day » représentent la moitié de toutes les attaques détectées au 3ème
trimestre. Le volume global de malwares détectés a augmenté de 4 % par rapport au 2nd
trimestre 2019, avec une hausse massive de 60 % au 3ème trimestre 2018. Le fait que la moitié
des attaques par malware en Q3 2019 soient parvenues à contourner les solutions traditionnelles
reposant sur des bases de signatures illustre le besoin de mettre en œuvre une stratégie de
sécurité multicouche, offrant une protection efficace contre les menaces les plus sophistiquées,
en constante évolution.
21
Stevalys 2019 ©Les cybercriminels pourraient utiliser des outils de test d’intrusion légitimes dans le cadre de
leurs attaques. 2 nouvelles variantes de malware utilisant les outils de test d’intrusion Linux
Kali font leur apparition dans la liste des 10 principaux malwares en volume établie par
WatchGuard au 3ème trimestre 2019. Le premier, prénommé Boxter, est un cheval de Troie
PowerShell utilisé pour télécharger et installer des programmes potentiellement indésirables sur
l’appareil de la victime, le tout à son insu. Le second, Hacktool.JQ, est le seul autre outil
d’attaque en matière d’authentification en dehors de Mimikatz (dont la prévalence a baissé de
48 % par rapport au 2nd trimestre 2019 et de 16 % par rapport au 3ème trimestre 2018). A
l’heure actuelle, il est difficile de savoir si l’augmentation de ce types d’attaques provient
d’activités de pentest légitimes, ou d’attaques malveillantes mettant à profit des outils open
source largement répandus. Les entreprises doivent continuer à utiliser des services de lutte
contre les logiciels malveillants pour se prémunir contre le vol de données.
Les attaques de malware ciblant l’Amérique augmentent considérablement. Au 3ème
trimestre 2019, plus de 42 % de l’ensemble des attaques de malware ont visé l’Amérique du
Nord, l’Amérique centrale et l’Amérique du Sud, contre seulement 27 % au 2nd trimestre. Cela
représente un changement d’orientation géographique significatif pour les cybercriminels par
rapport au trimestre précédent, puisque les zones EMEA et APAC (qui étaient ex-aequo en tête
au 2nd trimestre) ont respectivement représenté 30 et 28 % de l’ensemble des attaques par
malware en Q3 2019.
Les conclusions du rapport WatchGuard en matière de sécurité Internet ont été établies à l’aide
de données anonymisées de Firebox Feed provenant d’appliances WatchGuard UTM que leurs
propriétaires ont accepté de partager afin de soutenir les recherches du Threat Lab. À l’heure
actuelle, près de 37 000 appliances dans le monde fournissent des données de renseignement
sur les menaces permettant d’établir ledit rapport. Au 3ème trimestre 2019, elles ont bloqué
plus de 23 millions de variantes de malware au total (623 échantillons chacune) et près de 2,4
millions d’attaques réseau (65 par appareil).
Le rapport complet présente les tendances clés de l’industrie en matière d’attaques de malware
et réseau, les données de DNSWatch propose celles des principaux domaines malveillants liés
à des malwares, les sites Web compromis et les liens de phishing, une analyse de la campagne
de décryptage HTTPS du Kazakhstan et les meilleures pratiques de défense que peuvent
appliquer les entreprises de toutes tailles, pour se protéger face au paysage des menaces actuel.
22
Stevalys 2019 ©Analyse de la campagne nationale de décryptage HTTPS au Kazakhstan
Le rapport comprend une analyse approfondie de la décision du Kazakhstan de commencer à
intercepter et à décrypter tout le trafic HTTPS sur son territoire au cours du 3ème trimestre
2019. Le Threat Lab de WatchGuard détaille les tenants et aboutissants du cryptage et du
décryptage HTTPS, les programmes similaires lancés par d’autres pays, le rôle du cryptage
HTTPS dans la sécurité des réseaux d’entreprise et les meilleures pratiques à mettre en place
en entreprise au vu de cet exemple.
Plus de 60% des données exposées en 2019
proviennent de sociétés du secteur financier
Undernews, le 17 décembre 2019
Plus de 60% des données exposées au cours de l’année écoulée proviennent de sociétés du
secteur financier. Piratage informatique et malware sont responsables de 75% des fuites de
données dans le secteur financier.
L’entreprise qui propose le CASB de nouvelle génération, dévoile aujourd’hui les résultats de
son étude 2019 Financial Breach Report: The Financial Matrix. Tous les ans, Bitglass analyse
les dernières tendances, les plus importantes failles et les principales menaces auxquelles sont
confrontées les entreprises du secteur de la finance.
L’étude révèle ainsi que seulement 6% des failles recensées en 2019 ont touché des sociétés
financières. Pourtant, la quantité de données exposée par ces failles est largement supérieure à
celle des autres secteurs. Ainsi, en 2019, plus de 60% des fuites de données proviennent
d’entreprises du secteur de la finance. Ce phénomène est en partie lié à l’important vol de
données dont a été victime Capital One, avec plus de 100 millions de données dérobées.
Toutefois, au-delà ce cas, on observe que les failles qui touchent les sociétés financières sont
23
Stevalys 2019 ©en moyenne plus importantes et plus préjudiciables que dans d’autres secteurs. Heureusement,
elles sont moins fréquentes.
« C’est bien parce que les sociétés de services financiers se voient confier des informations
personnelles identifiables (PII) de grande valeur qu’elles représentent des cibles intéressantes
pour les cybercriminels », déclare Anurag Kahol, CTO de Bitglass. « Le piratage et les
malwares sont en tête des attaques contre les services financiers et les coûts engendrés
augmentent. Pour faire face, les entreprises de ce secteur doivent adopter une stratégie de
sécurité proactive surtout si elles veulent protéger leurs données efficacement face à l’évolution
des types de menaces. »
Principaux résultats
Le piratage et les malware sont les principaux responsables des fuites de données du secteur
financier à 74,5% (contre 73,5% en 2018). Les menaces internes sont passées de 2,9% en 2018
à 5,5% en 2019. Dans le même temps, les divulgations accidentelles passent de 14,7% à 18,2%.
Le coût moyen d’un enregistrement compromis dans le secteur financier continue de croître
et atteint désormais 210$, soit le coût le plus élevé de tous les secteurs, à l’exception de la santé
(429$).
Dans le cas des failles majeures – celles qui ont concerné environ 100 millions d’individus,
voire plus – le coût moyen d’un enregistrement atteint désormais 388$, contre 350$ en 2018.
De nombreuses entreprises de services financiers ne prennent toujours pas les mesures
nécessaires pour sécuriser les données dans le Cloud et le BYOD. Par conséquent, elles sont
régulièrement victimes de brèches. Ainsi, Capital One et Discover ont connu chacune leur
quatrième atteinte importante à la protection des données en 2019.
Dans le secteur financier, les trois principales failles de l’année 2019 sont celles subies par
Capital One Financial Corporation, (106 millions de clients concernés), Centerstone Insurance
and Financial Services (111 589) et Nassau Educators Federal Credit Union (86 773).
24
Stevalys 2019 ©+523% de menaces détectées par Kaspersky
en 2019 !
Undernews, le 17 décembre 2019
Malware : la variété des attaques a explosé en 2019, selon Kaspersky.
En 2019, le nombre de menaces détectées par la solution antivirus Web de Kaspersky a
augmenté de 523 %, par rapport à l’an passé. Dans le détail, le nombre d’objets malveillants
distincts (scripts, exploitations de vulnérabilités et fichiers exécutables) détectés a augmenté,
lui, de 14 % par rapport à l’an passé, pour atteindre 24 610 126.
Cette augmentation reflète une recrudescence et une diversification des pages HTML et des
scripts qui chargent des données cachées, généralement utilisés par des annonceurs sans
scrupules. Pourtant, il est surtout important de noter qu’elle est aussi due en partie aux skimmers
web (parfois également appelés sniffers ou renifleurs), consistant à intégrer à des sites
marchands des scripts destinés à pirater les données de carte de crédit des utilisateurs. Ces
derniers ont enregistré un bond de 187 %.
Les autres menaces, telles que les backdoors et les chevaux de Troie bancaires détectés en
laboratoire, sont également en hausse, tandis que la présence de mineurs de cryptomonnaie a
reculé de plus de moitié. Ces tendances montrent une évolution du type de menaces utilisées
par les auteurs d’attaques sur le Web, qui recherchent des moyens plus efficaces pour cibler les
utilisateurs, selon le rapport Kaspersky Security Bulletin: Statistics of the Year.
Néanmoins, le nombre d’URL malveillantes distinctes détectées par l’antivirus web Kaspersky
s’est réduit de moitié comparé à 2018 (-50,5 %), passant de 554 159 621 à 273 782 113. Cette
tendance s’explique dans une large mesure par un net recul des mineurs de cryptomonnaie
dissimulés sur le Web, même si plusieurs détections liées à ceux-ci (notamment
Trojan.Script.Miner.gen, Trojan.BAT.Miner.gen et Trojan.JS.Miner.m) figurent toujours dans
le Top 20 des malware.
« Si le volume des attaques en ligne augmente depuis des années, nous avons assisté en 2019
à l’abandon clair de certains types d’attaques devenues inefficaces, cédant la place à celles
25
Stevalys 2019 ©Vous pouvez aussi lire
