cryptosec

CyberNews - 2024

2 octobre 2024

L’ancien patron de Ticketmaster condamné pour piratage. Dans les formations ou les cours, nous citons souvent la concurrence comme une des menaces ; elle ne se matérialise pas souvent, mais cela arrive. Dans ce cas, le “piratage” a consisté à utiliser des accès de son ancien employeur (qui était un concurrent) :
https://www.bitdefender.com/blog/hotforsecurity/ticketmaster-boss-who-repeatedly-hacked-rival-firm-sentenced/

Un groupe d’attaquants chinois est resté des mois dans le SI d’une entreprise du domaine de l’aérospatial. L’intrusion initiale a été réalisée en exploitant des vulnérabilités de systèmes obsolètes (legacy), laissés connectés au réseau (en l’occurrence des AIX) :
https://www.theregister.com/2024/09/18/chinese_spies_found_on_us_hq_firm_network/

Quelques règles basiques sur la sécurité des mots de passe rappelées formellement par le NIST :
https://www.schneier.com/blog/archives/2024/09/nist-recommends-some-common-sense-password-rules.html

EPSS versus CVSS pour prioriser le traitement des vulnérabilités :
EPSS vs. CVSS : What’s the Best Approach to Vulnerability Prioritization ? (thehackernews.com)

Les CAPTCHAs battus par le machine learning, c’était prévisible. Les auteurs disent que d’une certaine façon ces dispositifs marquent la frontière entre les plus efficaces des machines et les moins éveillés des humains :
https://arstechnica.com/ai/2024/09/ai-defeats-traffic-image-captcha-in-another-triumph-of-machine-over-man/

Telegram annonce qu’ils collaboreront avec les autorités en communiquant adresses IP et numéros de téléphone en cas de requête judiciaire :
https://thehackernews.com/2024/09/telegram-agrees-to-share-user-data-with.html

Retex du CERT-FR sur les exfiltrations de données du secteur social :
https://www.cert.ssi.gouv.fr/cti/CERTFR-2024-CTI-009/

Vulnérabilités sur CUPS, qui permettent d’exécuter des commandes sur un ordinateur lorsqu’un job d’impression est lancé :
https://www.evilsocket.net/2024/09/26/Attacking-UNIX-systems-via-CUPS-Part-I/

Détection et blocage des flux chiffrés par le Great Firewall of China, avec, en prime, un projet pour vous permettre d’implémenter votre propre GFC, OpenGFW :
https://gfw.report/publications/usenixsecurity23/en/
https://github.com/apernet/OpenGFW

L’ENISA publie son rapport sur la menace cyber 2024. Le ransomware et le déni de service sont toujours en tête, suivis de près par le vol de données. On note une tendance pour les attaquants à tenter de se fondre dans la masse en recourant massivement aux services de confiance et en mélangeant leurs activités frauduleuses au trafic légitime pour ne pas être détecté :
https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024

La conjugaison de deux vulnérabilités, une injection SQL et une autre qui permet de récupérer l’ID de l’équipement, permettent de prendre le contrôle d’onduleurs (uninterruptible power supply - UPS - un dispositif qui permet de fournir de l’alimentation électrique de secours, pour que les ordinateurs ne s’arrêtent pas bêtement en cas de coupure de courant), du fabriquant Riello. De quoi mettre un onduleur à la masse, en somme :
https://www.securityweek.com/unpatched-vulnerabilities-expose-riello-upss-to-hacking-security-firm/

Le courtier en vulnérabilités ZDI (Trend) offre un total d’un million de dollars aux chercheurs qui trouveront des vulnérabilités (dans plusieurs catégories) permettant de prendre le contrôle à distance de l’une des voitures proposées à tester ce concours (Pwn2own) qui se tiendra bientôt à Tokyo :
https://www.securityweek.com/second-pwn2own-automotive-contest-offers-over-1-million-in-prizes/

24 septembre 2024

Très astucieuse technique de compromission, qui, au prétexte de vérifier qu’un visiteur est un “humain”, lui fait faire une combinaison de touches qui lui fait télécharger un stealer (malware qui sert à dérober des mots de passe) :
https://krebsonsecurity.com/2024/09/this-windows-powershell-phish-has-scary-potential/

La police fédérale Allemande a mené une opération, entre 2019 et 2021, aboutissant à la levée de l’anonymat d’utilisateurs de Tor. Confirmée par des experts du CCC (Chaos Computer Club), la technique est une “timing attack”. La fondation Tor précise que c’était dans le cas particulier d’un certain logiciel, et que l’anonymat continue d’être garanti, a priori, sur Tor :
https://www.securityweek.com/tor-responds-to-reports-of-german-police-deanonymizing-users/

Temu, le nouveau géant du e-commerce, a été piraté. Les données personnelles de 87 millions de personnes ont fuité. Le pirate indique avoir utilisé une API mal sécurisée pour extraire les données. Il y a toujours un petit quelque chose d’humiliant quand l’attaquant explique comment il a fait :
https://www.undernews.fr/hacking-hacktivisme/temu-pirate-fuite-de-87-millions-de-donnees-personnelles.html

Google propose de diminuer la durée de vie des certificats de 392 à 90 jours. Si cette mesure est acceptée, les entreprises auront une charge supplémentaire de travail à absorber… ou devront se poser la question que beaucoup d’informaticiens oublient : ne devrions-nous pas tout automatiser ?
https://www.lemondeinformatique.fr/actualites/lire-quand-le-renouvellement-des-certificats-empoisonne-les-entreprises-94714.html

Netwrix commente la cyberattaque de Cultura et ses 1,5 million de clients affectés :
https://www.undernews.fr/reseau-securite/netwrix-commente-la-cyberattaque-de-cultura-et-ses-15-million-de-clients-affectes.html

Apple Vision pro souffre d’une première vulnérabilité, le clavier virtuel peut être exploité par un attaquant :
https://thehackernews.com/2024/09/apple-vision-pro-vulnerability-exposed.html

Cegedim santionné à auteur de 800 000 € pour avoir traité des données de santé sans autorisation :
https://www.cnil.fr/fr/donnees-de-sante-sanction-de-800-000-euros-societe-cegedim-sante

1,3 millions de smart-tv dotées de l’OS Android infectées par une porte dérobée, ou backdoor, c’est-à-dire la possibilité pour un tiers non autorisé à se connecter sur le dispositif à l’insu de son propriétaire :
https://arstechnica.com/security/2024/09/researchers-still-dont-know-how-1-3-million-android-streaming-boxes-were-backdoored/

Sortie d’iOS 18, avec la correction de 33 vulnérabilités, dont certaines critiques. Notons en particulier une affectant Siri, qui permet d’accéder à des données, des photos ou des équipements à proximité sans authentification. Ce n’est pas faute d’avoir répété qu’il ne faut pas utiliser ces trucs qui vous écoutent ; il faut parler aux humains autour de soi, pas aux machines. Les machines, on leur écrit, comme à son banquier, avec de belles formules de politesse “veillez recevoir, madame, monsieur, etc.” (dans l’informatique on appelle ce formalisme des protocoles et des formats) :
https://www.securityweek.com/apple-patches-major-security-flaws-with-ios-18-refresh/

Quels que soient les détails du piégeage des pagers et des walkie-talkie du Hezbollah, probablement par les services israéliens, c’est un exemple typique de supply chain attack, d’attaque de la chaine d’approvisionnement :
https://www.securityweek.com/dozens-wounded-after-pagers-detonate-in-lebanon-media-and-security-officials-say/
https://arstechnica.com/security/2024/09/8-dead-2700-injured-after-simultaneous-pager-explosions-in-lebanon/
https://www.theregister.com/2024/09/18/lebanon_walkie_talkie_explosion_isreal_war/

Nouvelle technique de compromission par ingénierie sociale, les faux entretiens d’embauche de développeurs, avec tests techniques de leurs capacités, prétexte pour leur faire télécharger et installer des malwares - auteur, le groupe nord-coréen Lazarus :
https://www.schneier.com/blog/archives/2024/09/python-developers-targeted-with-malware-during-fake-job-interviews.html

Des nouvelles de la jeunesse : quelqu’un a transformé une vieille calculatrice TI-84 (qui date de plus de 20 ans) en “Ultimate Cheating Device” : il a ajouté un contrôleur wifi et codé la possibilité de consulter ChatGPT. C’est le genre de calculatrice sans accès au web typiquement autorisée pendant certains examens :
https://arstechnica.com/information-technology/2024/09/secret-calculator-hack-brings-chatgpt-to-the-ti-84-enabling-easy-cheating/

16 septembre 2024

La fonctions “View Once” de WhatsApp, qui permet de n’autoriser qu’une seule visualisation d’un message est toute cassée, il est possible de revoir des messages à volonté, et c’est assez simple. Mise à jour dans les tuyaux. Mais cela rappelle un principe de base : il faut toujours considérer que tout ce que vous envoyez, quel que soit le moyen, sera accessible à des destinataires que vous n’avez pas imaginé, et pour toujours. Il n’y a pas de murmure au creux de l’oreille, sur internet :
https://www.theregister.com/2024/09/09/whatsapp_view_once_flaw/

Quelqu’un prétend avoir dérobé plus de 20 Go de données chez Capgemini, dont des login / mot de passe, du code source et autre éléments techniques très sensibles. Information non encore confirmée ni infirmée :
https://dailydarkweb.net/threat-actor-allegedly-breached-capgemini/
https://www.theregister.com/2024/09/12/capgemini_breach_data_dump/

Plus de 440 Go de données dérobées chez Fortinet :
https://www.bleepingcomputer.com/news/security/fortinet-confirms-data-breach-after-hacker-claims-to-steal-440gb-of-files/
https://www.lemondeinformatique.fr/actualites/lire-fortinet-admet-qu-un-pirate-lui-a-vole-400-go-de-donnees-94704.html

SecNumCloud, la certification française des services cloud, pourrait être mise à mal par une certification européenne, EUCS. La nouvelle norme nivellerait les contraintes sécurité par le bas :
https://www.lemondeinformatique.fr/actualites/lire-secnumcloud-en-danger-a-cause-de-la-certification-eucs-94699.html

En marge de publications purement cyber, le SGDSN publie une synthèse de la menace informationnelle visant les JOP de Paris. Sur la période de veille considérée (avril 2023 – 8 septembre 2024), Viginum a identifié 43 manœuvres informationnelles s’appuyant sur différents modes opératoires documentés. Si celles-ci se révèlent majoritairement opportunistes, le service a également caractérisé deux campagnes numériques planifiées et coordonnées de manipulation de l’information dont une à l’été 2023, désignée sous le nom « Olimpiya », et impliquant des acteurs pro-azerbaïdjanais :
https://www.sgdsn.gouv.fr/publications/synthese-de-la-menace-informationnelle-ayant-vise-les-jeux-olympiques-et-paralympiques

Un très éclairant épisode de NoLimitSecu consacré à Telegram et à l’arrestation de son patron :
https://www.nolimitsecu.fr/telegram/

Cultura, Boulanger, Truffaut et l’Assurance retraite (CNAV) victimes de vols de données. Dans le cas de la CNAV, ce sont les données d’environ 370 000 bénéficiaires qui ont été dérobées, des données similaires à celles qui avaient été volées chez les tiers-payants, Almerys et Viamedis et par un moyen qui semble similaire :
https://www.usine-digitale.fr/article/cybersecurite-apres-boulanger-cultura-revele-une-fuite-de-donnees-clients.N2218245
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/l-assurance-retraite-annonce-s-etre-fait-voler-des-donnees-de-370-000-personnes_6779392.html

PowerHuntShares, un outil intéressant qui permet de faire l’inventaire et une l’analyse des partages de fichiers et de leur permission au sein d’un domaine :
https://www.it-connect.fr/powerhuntshares-analysez-facilement-les-partages-reseau-de-votre-domaine-active-directory/
https://github.com/NetSPI/PowerHuntShares

Vous vous souvenez du piratage du service de transfert de fichiers MOVEit en mai 2023 qui avait affecté 2800 organisations et environ 96 millions de personnes ? Les données personnelles de plus de 900 000 personnes ont été volées… Cela pourrait arriver avec un outil comme Wetranfer par exemple. N’utilisez que les outils et service validés par l’IT et la Cyber :
https://www.securityweek.com/wisconsin-insurer-discloses-data-breach-impacting-950000-individuals/

Liste de librairies Python souvent utilisées dans des scripts malveillants, sur le site du SANS :
https://isc.sans.edu/diary/rss/31248

Les difficultés du passwordless, l’utilité de Specops… :
https://thehackernews.com/2024/09/why-is-it-so-challenging-to-go.html

Vulnérabilité zero-day sur le service Windows Update de Microsoft (CVE-2024-43491), activement exploitée dans la nature, qui permet de… désactiver certaines mises à jour et donc d’exploiter des vulnérabilités dont on se croyait à l’abri. Cette vuln vient avec un groupe de 79 autres ce mois-ci… :
https://www.securityweek.com/microsoft-says-windows-update-zero-day-being-exploited-to-undo-security-fixes/

Pour finir, des nouvelles de la jeunesse : vous vous souvenez du piratage des transport londoniens, tout début septembre ? Un jeune homme de 17 ans vient d’être arrêté. Mise en cause ne signifie pas culpabilité. Mais c’est tout de même l’occasion de rappeler qu’en général, les histoires de piratage finissent mal… :
https://www.securityweek.com/uk-teen-arrested-over-transport-for-london-hack/

10 septembre 2024

Au Royaume-Uni, Microsoft reconnait que la “souveraineté” des données ne peut être garantie sur Azure. Du point de vue de la territorialité, les données peuvent être 1/ stockées, au repos (enregistrée sur des supports) 2/ en cours de traitement (sauvegardes, réplications, toutes les opérations que nécessite et permet le “cloud” 3/ l’objet d’interventions de support (accès ou possibilités d’accès). Microsoft n’est pas en mesure de garantir que les opérations 2/ et 3/ soient systématiquement effectuées sur le territoire exigé par le client. En cause, l’extraterritorialité de “certaines lois américaines, Cloud Act en tête, les États-Unis peuvent exiger de n’importe laquelle de leurs entreprises qu’elle leur fournisse des données hébergées sur le cloud”. Voilà qui évapore une fiction à laquelle beaucoup d’entreprises ont voulu croire :

https://next.ink/141944/au-royaume-uni-microsoft-reconnait-labsence-de-souverainete-pour-les-donnees-policieres/

Vulnérabilité sur les clés FIDO Yubikey. Mais l’attaque, une side-channel sur une librairie crypto tierce permet de découvrir une clé privée ECDSA (format de signature en courbes elliptiques), requiert d’avoir accès à la clé physiquement pendant au moins une heure (de l’ouvrir, d’y poser un oscilloscope…), et ne permet de récupérer qu’un nom d’utilisateur et mot de passe ciblé par l’attaquant, pas tous les comptes configurés sur la clé. Un correctif a été publié :

https://www.securityweek.com/crypto-vulnerability-allows-cloning-of-yubikey-security-keys/

Ne scannez pas n’importe quel QR code, suite. Une ville de Californie, par exemple, a été parsemée de faux QR codes sur les paramètres, qui, au lieu de renvoyer vers “PayByPhone” renvoyaient vers un faux site… avec recueille des informations de paiement à la clé :

https://gizmodo.com/stop-scanning-random-qr-codes-2000492837

Ça bouge encore dans les SIEM, Palo Alto achète pour 500 millions du service QRadar d’IBM, pour l’intégrer à son Cortex. Pour mémoire, QRadar était réputé être le SIEM le plus out-of-the-box, c’est-à-dire “prêt à l’emploi”, avec des recherches et alertes préconfigurées :

https://www.theregister.com/2024/09/04/palo_alto_networks_ibm_qradar/

Une unité du GRU Russe, connue pour ses actions d’espionnage, sabotage et assassinats est désormais aussi identifiée comme étant à l’origine d’attaques cyber :

https://www.securityweek.com/russian-gru-unit-tied-to-assassinations-linked-to-global-cyber-sabotage-and-espionage/

Attaques de type supply chain via des “Actions” Github malveillantes. Si un développeur se trompe en appelant un module dans sa chaine CI/CD, du code malveillant peut être exécuté à son insu :

https://thehackernews.com/2024/09/github-actions-vulnerable-to.html

Avis, le loueur de véhicules, a subi une fuite de données. Des données concernant près de 300 000 clients sont concernées. Ces derniers auraient été notifiés par le groupe :

https://www.bleepingcomputer.com/news/security/car-rental-giant-avis-data-breach-impacts-over-299-000-customers/

Une campagne de distribution d’infostealers (un type de malware permettant de dérober de la donnée sur la machine de la victime) qui cible… des hackers. L’appât est de promettre à des personnes mal intentionnées de dérober des comptes OnlyFans. Sur le principe de l’arroseur arrosé, le logiciel déploie en réalité Lumma, un malware qui dérobe les mots de passe… :

https://www.bleepingcomputer.com/news/security/hacker-trap-fake-onlyfans-tool-backstabs-cybercriminals-steals-passwords/

https://veriti.ai/blog/exposed-onlyfans-hack-gone-wrong-how-cyber-criminals-turn-into-victims-overnight/

Les systèmes d’IA introduisent dans les processus dans lesquels ils sont insérés un biais cognitif pour les humains qui en analysent les réponses, le biais d’automatisation. Pour faire simple, l’esprit humain a une tendance naturelle à considérer que la machine ne se trompe pas. Une expérience a montré que si l’on présente des résultats faussés, manipulés, d’une IA à des radiologues, les capacités de détection des médecins baissent de 80% à 22% pour les moins expérimentés, de 80% à 45% pour les plus expérimentés. Ce biais est très difficile à juguler, la conclusion est donc : “AI tools should be continually monitored for real world accuracy and utility. No system should be used in sensitive applications without audit and oversight,”

https://www.theregister.com/2024/09/05/quantum_computing_is_coming_are/

4 septembre 2024

Un nouveau ransomware, Cicada3301, qui cible Windows et Linux. Il embarque un PsExec, outil d’admin légitime, qui permet souvent de passer sous les radars. Autre particularité, comme de plus en plus de logiciels de sécurité… il est écrit en Rust :

https://thehackernews.com/2024/09/new-rust-based-ransomware-cicada3301.html

Les transports londoniens obligés de sortir les phrases un peu langue de bois que nous redoutons tous de devoir dire un jour : “We are currently dealing with an ongoing cyber security incident. The security of our systems and customer data is very important to us, and we have taken immediate action to prevent any further access to our systems”. Pas d’informations précises à ce jour :

https://www.theregister.com/2024/09/03/tfl_cyberattack/

Quelques exemples d’attaques analysées par Kaspersky. Il y est toujours question de faux DocuSign, mais aussi de téléchargement de charge utile via certutil.exe :

https://securelist.com/incident-response-interesting-cases-2023/113611/

Mise à jour de Chrome 128 pour corriger 6 vulnérabilités critiques :

https://www.securityweek.com/chrome-128-updates-patch-high-severity-vulnerabilities/

Faites attention avec Slack :

https://thehackernews.com/2024/09/secrets-exposed-why-your-ciso-should.html

L’Infrastructure RansomHub a fait 210 victimes depuis février, prenant ainsi la suite de LockBit récemment démantelé :

https://www.theregister.com/2024/08/30/ransomhub/

Naissance d’un géant de la cyber après le rachat par Vinci Energies de l’allemand Fernao :

https://media24.fr/2024/08/30/naissance-dun-geant-de-la-cybersecurite-en-france-suite-au-rachat-dun-leader-allemand-du-secteur/

Les bérets verts, troupe d’élite US, ont maintenant des capacités de hack opérationnelles. Cela leur a en particulier permis, lors d’un récent exercice, de couper des caméras, d’ouvrir des portes et de désactiver des systèmes de sécurité via un réseau wifi compromis :

https://www.theregister.com/2024/08/30/green_berets_wifi_hacking/

Enfin, rappelons que tout n’est pas sur le web, loin s’en faut, et que chaque mercredi parait un excellent journal… le Canard enchainé, aka Le Palmipède, journal fondé en 1915. Cette semaine, un article révèle quelque dessous de l’arrestation de Pavel Dourov, le patron russe de Telegram. Première surprise, les liens qu’il a entretenu avec Emmanuel Macron, qui l’a fait naturaliser français et lui a même permis de changer son patronyme en Paul du Rove - la contrepartie semblait que Dourov aurait dû rapatrier le siège de Telegram en France, ce qu’il n’a pas fait. Son arrestation a donc été préparée dans le plus grand secret par les juges, pour éviter toute interférence de l’exécutif… Le Canard rappelle enfin quelques faits qui pourraient laisser à penser que les autorités russes pourraient avoir accès à certaines des données qui sont échangées sur cette messagerie (beaucoup de conditionnels dans cette phrase, tout n’est qu’hypothèses). Son utilisation au plus sommet de l’Etat français, encore aujourd’hui, semble d’autant plus irresponsable.

Le Canard enchainé, mercredi 4 septembre 2024


 
cryptosec
10 septembre 2024

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0