about me
 
 
cryptosec

Lectures de la semaine - 2022

16 décembre 2022

Les principales menaces pesant sur les services en SaaS, du classique : erreurs de configuration, mauvaise gestion des accès... Le cloud n’est pas magique. Il faut des gens pour le gérer et souvent il faut davantage de rigueur que pour gérer de l’informatique à l’ancienne :
https://thehackernews.com/2022/12/top-4-saas-security-threats-for-2023.html

Télécharger et installer des applications Android sous la forme de fichiers APK et non via le store est une très mauvaise idée. Explications sur le fonctionnement d’une plateforme d’inclusion de malware dans une app légitime, Zombinder :
https://www.theregister.com/2022/12/09/zombinder_android_windows_malware/

Le nouveau groupe d’attaquants Royal cible particulièrement les entités du secteur médical, en exfiltrant des données puis en les chiffrant avant de demander une rançon pour ne pas les révéler et les déchiffrer. Détail intéressant, le lancement du malware, écrit en C++, se fait via une ligne de commande ce qui suppose que les attaquants ont acquis par ailleurs l’accès à la cible. Ce qui est en ligne avec la croissance du marché des Initial Access Brokers (des revendeurs d’accès compromis) :
https://www.theregister.com/2022/12/09/royal_ransomware_hhs_warning/

Nouvelle technique pour contourner la sécurité des pare-feu applicatifs en ajoutent une syntaxe JSON à des requêtes SQL. Des mises à jour ont été proposées par les principaux éditeurs de WAF (Web Application Firewalls) :
https://thehackernews.com/2022/12/researchers-detail-new-attack-method-to.html

Vulnérabilité urgente et critique sur le VPN Fortinet, exploitée dans la nature (c’est une expression pour dire que la vulnérabilité est déjà exploitée sur internet) :
https://www.securityweek.com/fortinet-ships-emergency-patch-already-exploited-vpn-flaw

Google sort OSV-Scanner, son scanner de projets open source qui examine en particuliers les dépendances :
https://www.securityweek.com/google-announces-vulnerability-scanner-open-source-developers

Très bon point de vue sur ChatGPT, la dernière IA qui a montré de belles choses. Bortzmeyer tempère, en soulignant en particulier que ce que produit cette IA souligne surtout à quel point nous produisons souvent du médiocre (qu’elle parvient également à générer) et que « l’intelligence, ce n’est pas de savoir exécuter une tâche, c’est de savoir quelle tâche exécuter » :
https://www.bortzmeyer.org/chatgpt.html

Des nouvelles de ce qui fut une bonne plateforme d’information et de partage, dans le cyber en particulier : le nouveau propriétaire de Twitter bannit des journalistes... après avoir rendu leurs accès à des nazis patentés. Fut et n’est plus :
https://gizmodo.com/elon-musk-bans-journalists-twitter-reinstating-nazis-1849901795

12 décembre 2022

L’hôpital de Versailles victime d’une cyberattaque. Bien que le malware semble avoir été arrêté assez tôt, la paralysie des systèmes a été massive et a entrainé des conséquences significatives pour les patients, comme des transfèrements. Les attaquants, russophones, ont demandé 10 millions d’euros de rançon, puis ont baissé à deux, avec menace de révéler des données des patients en l’absence de paiement :
https://www.lemondeinformatique.fr/actualites/lire-l-hopital-andre-mignot-dans-la-tourmente-d-une-cyberattaque-88804.html
https://www.securityweek.com/french-hospital-cancels-operations-after-cyberattack

Les revenus des marketplaces qui commercialisent des comptes compromis (c’est-à-dire dont le mot de passe est connu ou dont les ordinateurs sont contrôlés à distance) sur le darkweb se chiffrent en dizaines de millions :
https://arstechnica.com/tech-policy/2022/12/darknet-markets-generate-millions-in-revenue-selling-stolen-personal-data/

Parfois, en investiguant, on casse. Des chercheurs qui examinaient un nouveau réseau d’ordinateurs compromis (utilisés pour miner des cryptomonnaies, lancer des attaques en déni de service ou des fraudes), un botnet, ont lancé une commande qui a cassé tout le réseau. Un vilain bug laissé par les développeurs de l’infrastructure malveillante :
https://www.tripwire.com/state-of-security/whoops-researchers-accidentally-crash-botnet-used-launch-ddos-and-cryptomining

Techniques de détection de Cobalt Strike, outil offensif souvent utilisé lors des attaques, en analysant la mémoire :
https://www.theregister.com/2022/12/06/cobalt_strike_memory_unit_42/

Si vous aimez les maths ou la programmation, allez parler un peu avec l’IA ChatGTP, d’OpenIA. Les résultats sont assez impressionnants :
https://chat.openai.com/auth/login

Avis de la DSK (entité allemande de coordination des « CNIL » de Länder) sur Microsoft 365 assez explicite quant à une réalité technique dont nous faisons aussi l’hypothèse : en synthèse, utiliser Microsoft 365 est problématique du point de vue de la territorialité des données. Les allemands sont allés plus loin – et plus précis – que l’ACPR et la CNIL. Un projet de DLP peut aider à empêcher que ne se retrouvent dans M365 (c’est-à-dire entre l’Europe et les USA) des données issues des systèmes hébergeant des données client (traitées et hébergées en France) :
https://cyberplace.social/@GossiTheDog/109440669465395842
Traduction de l’avis ici :
https://www.docdroid.net/eu6ImgY/2022-24-11-festlegung-ms365-zusammenfassung-1-pdf#page=7

Le toujours très bon rapport Cyber Security Brief du CERT EU, synthétisant les évènements notables en matière d’attaques, de vulnérabilités, de leaks, de régulation, d’arrestations, etc. On notera en particulier les sanctions pour violation du RGPD contre Discord, EDF, Meta… :
https://cert.europa.eu/static/MEMO/2022/TLP-WHITE-CB-22-12.pdf

Un texte du grand cryptographe Bruce Schneier, toujours pertinent et inspirant. Tirant le fil d’une réalité simple – la complexité étant le pire ennemi de la sécurité – il en vient par exemple à la conclusion suivante : « The magnifying effects of technology enable short-term damage to cause long-term planet-wide systemic damage » :
https://www.schneier.com/blog/archives/2022/12/existential-risk-and-the-fermi-paradox.html

2 décembre 2022

Illustration du risque que représentent les clés USB : un groupe d’attaquants chinois, probablement liés à des opérations d’espionnage, ont utilisé des clés USB piégées pour compromettre des systèmes - notamment aux Philippines. La particularité du malware utilisé est qu’il se réplique automatiquement à toute autre clé USB introduite sur l’ordinateur compromis, permettant une propagation par... USB. Ce type d’attaques permet de s’introduire et de dérober des données au sein de systèmes sans connexion réseau avec l’extérieur :
https://www.securityweek.com/self-replicating-malware-used-chinese-cyberspies-spreads-usb-drives

EDF condamné à une amende de 600 000 euros par la CNIL pour avoir conservé des mots de passe hashés en MD5 - un algorithme obsolète - et non salés :
https://thehackernews.com/2022/11/french-electricity-provider-fined-for.html

Communication de Goto, connue pour son service Goto Meeting, sur un incident de sécurité qu’ils sont en train d’investiguer :
https://www.goto.com/blog/our-response-to-a-recent-security-incident

Les USA bannissent de l’importation et de la commercialisation des équipements télécoms des sociétés Huawei et Zte :
https://www.securityweek.com/us-bans-huawei-zte-telecoms-gear-over-security-risk

Le régulateur irlandais condamne Meta (Facebook) à une amende de 265 millions d’euros pour sa responsabilité dans une fuite de données de 500 millions d’utilisateurs :
https://www.securityweek.com/irish-regulator-fines-meta-265-million-euros-over-data-breach

Des initial access brokers (IABs) - courtiers du côté obscur - vendent des accès à des entreprises compromises grâce à la vulnérabilité Fortinet apparue en octobre dernier. Lorsque ces accès auront été achetés, il faut s’attendre à des exploitations, c’est-à-dire à des compromissions avec vol / destruction de données ou autres fraudes :
https://www.securityweek.com/cybercriminals-selling-access-networks-compromised-recent-fortinet-vulnerability

Mise à jour du firmware Acer suite à la découverte d’une vulnérabilité qui permettrait de contourner le Secure Boot. Cette fonction permet de garantir que seuls des logiciels autorisés vont pouvoir démarrer sur une machine. L’occasion de rappeler que ce qui se passe avant qu’une machine ne démarre est particulièrement sensible, et que la mise à jour des firmware est assez complexe à gérer :
https://thehackernews.com/2022/11/new-flaw-in-acer-laptops-could-let.html

Vous voulez découvrir les sous-domaines qui se cachent derrière un domaine, un nom DNS ? Essayez :
https://dnsdumpster.com/

LastPass, un fameux gestionnaire de mots de passe en ligne, compromis par des attaquants qui ont réussi à prendre pied sur la machine d’un développeur avant de s’introduire dans le réseau de l’entreprise. A priori, aucune donnée client n’aurait été accédée, mais du code source aurait fuité. L’entreprise est critiquée et moquée par des béotiens, mais il convient de rappeler qu’ils ont fait preuve de modestie et de transparence. Ce qui leur est arrivé peut arriver à toute entreprise :
https://nakedsecurity.sophos.com/2022/12/02/lastpass-admits-to-customer-data-breach-caused-by-previous-breach/

Des nouvelles des têtes couronnées. Cinq siècles après, une lettre chiffrée de Charles V enfin décryptée, révélant l’existence d’un complot français contre lui :
https://phys.org/news/2022-11-emperor-charles-secret-code-centuries.html
https://www.schneier.com/blog/archives/2022/11/charles-v-of-spain-secret-code-cracked.html

25 novembre 2022

300 000 dollars dérobés des comptes d’utilisateurs de la plateforme de jeux DraftKings, via une attaque de type credential stuffing (qui consiste à prendre des bases de mots de passe achetées ou dérobées et à les essayer en masse sur d’autres comptes ; tombent rapidement ceux qui ont la mauvaise pratique d’utiliser le même mot de passe sur des sites différents) :
https://www.theregister.com/2022/11/22/draftkings_credential_stuffing_attack/

Si vos navigateurs Chrome ne se mettent pas à jour automatiquement, faite-le rapidement : une vulnérabilité très critique est actuellement activement exploitée in the wild :
https://thehackernews.com/2022/11/update-chrome-browser-now-to-patch-new.html

Des amateurs de café gratuit ont piraté l’espace client de Nespresso et réussi à se faire livrer des capsules en Côte d’Ivoire. Ils ont ciblé des clients VIP qui paient à la livraison :
https://www.msn.com/fr-fr/actualite/france/deux-hommes-condamn-c3-a9s-pour-une-escroquerie-c3-a0-la-capsule-nespresso/ar-AA14wmK7

Le groupe chinois Mustang-Panda - l’association d’images que suscite ce nom crée une sorte de dissonance cognitive - cible des gouvernements et le secteur de la recherche. Ils utilisent des méthodes de spear-phishing (phishing ciblé) pour ferrer leurs cibles qu’ils accrochent ensuite avec des malwares contenus dans des archives (Zip, Rar...) mis à disposition sur des Google Drive :
https://thehackernews.com/2022/11/chinese-mustang-panda-hackers-actively.html

Nous en avions déjà parlé, nous le répétons : méfiez-vous des messages contenant des solutions ou pointant vers des solutions de sécurité... qui ne proviendraient pas de sources de confiance (comme nous) : ce sont des vecteurs d’intrusion prisés des bad guys. En l’occurrence, sur ce faux message McAfee, l’adresse d’expédition n’est vraiment pas discrète :
https://isc.sans.edu/diary/rss/29264

En sciences, la sérendipité caractérise une découverte inattendue, due au hasard (on peut citer comme exemples le four à micro-ondes, l’hélium superfluide ou le fond de rayonnement cosmologique...). Cela existe aussi en sécurité informatique : un chercheur a découvert une façon de contourner l’authentification sur des smartphones Google Pixel 6, en remarquant un bug suite à la saisie de son code PUK, après avoir oublié son code PIN. Il en a gagné un bug bounty (une récompense) de 70 000 dollars :
https://www.theregister.com/2022/11/20/in_brief_security/

La migration relativement massive de la communauté cyber vers Mastodon a entrainé... la découverte de vulnérabilités sur Mastodon. Ainsi progresse le secteur et le départ de Twitter semble malgré tout définitif pour beaucoup d’experts cyber :
https://www.securityweek.com/security-researchers-looking-mastodon-its-popularity-soars

Le groupe d’attaquants Daixin, qui a récemment compromis Air Asia déclare que vu le désastre qui règne dans le réseau de la compagnie après l’attaque - les données de 5 millions de clients leur ont été dérobées - déclare qu’ils ne les attaqueront pas à nouveau. A l’amertume causée par l’attaque s’ajoute l’humiliation :
https://grahamcluley.com/ouch-ransomware-gang-says-it-wont-attack-airasia-again-due-to-the-chaotic-organisation-and-sloppy-security-of-hacked-companys-network/

Un marronnier de notre domaine, les 200 mots de passe les plus courants, épisode 2022 :
https://www.itpro.co.uk/security/cyber-security/369527/revealed-the-top-200-most-common-passwords-of-2022
https://nordpass.com/most-common-passwords-list/

18 novembre 2022

Thalès, le fleuron français de la défense de l’aérospatial et de la sécurité victime d’une importante fuite de données. A priori perpétrée par le groupe LockBit, l’attaque s’est produite, d’après Thalès, via un partenaire :
https://www.securityweek.com/thales-denies-getting-hacked-ransomware-gang-releases-gigabytes-data

Suite au rachat de Twitter par Elon Musk et les dégâts causés par ses méthodes de management, ses provocations, ses appels à voter la veille des élections US... la communauté cyber a commencé une grande migration vers Mastodon, à l’image de beaucoup d’universitaires et scientifiques. Mastodon est un système de microblogging décentralisé, fédéré, non commercial, ouvert et open source. Si vous souhaitez vous joindre, l’instance s’appelle : infosec.exchange :
https://www.nytimes.com/2022/11/17/technology/twitter-elon-musk-ftc.html
https://infosec.exchange

En un peu plus d’un an, le groupe de ransomware-as-a-service (RaaS) Hive a compromis plus de 1300 entreprises et amassé plus de 100 millions de dollars. Leurs attaques sont sophistiquées puisqu’ils a été observé qu’ils réussissaient à contourner des mécanismes d’authentification forte et mettaient un soin particulier à effacer les sauvegardes avant de lancer leurs attaques, et les logs pour effacer leurs traces :
https://www.securityweek.com/hive-ransomware-gang-hits-1300-businesses-makes-100-million

21 octobre 2022

Le secteur cyber reste un domaine masculin. Globalement, les femmes n’y représentent que 25% de la force de travail. Bien que ce nombre soit en augmentation, les principales raisons paraissent relativement simples : la cyber, comme bien d’autres secteurs, est un domaine où les femmes sont moins payées et moins promues qu’ailleurs :
https://www.theregister.com/2022/10/15/infosec_boys_club/

Fuite massive d’informations chez Microsoft, baptisée BlueBleed, affectant potentiellement 65000 entreprises et organisations à travers 111 pays. L’origine de l’attaque serait un serveur accessible sur internet sans authentification :
https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/
https://thehackernews.com/2022/10/microsoft-confirms-server.html

De la très relative efficacité des tests de phishing. Les autorités cyber britanniques mettent en garde contre le faux sentiment de sécurité que peuvent apporter des indicateurs de réussite aux tests de phishing. S’il faut en mener, je suis depuis longtemps convaincus qu’il faut surtout mettre en place des mesures techniques préventives :
https://www.itpro.co.uk/security/phishing/369279/ncsc-businesses-are-too-often-seduced-by-attractive-lure-of-phishing-tests

Lors de la compromission en 2018 de 46 millions de comptes clients du vendeur de vêtement Zoetop - ce qui leur a finalement couté 1,9 millions de dollars - figuraient des numéros de cartes de crédit. Les attaquants ont pu les dérober aisément parce qu’ils figuraient sur les logs de debug. En synthèse : faites attention à ce que vous laissez trainer dans vos logs :
https://www.theregister.com/2022/10/14/zoetop_data_breach_fine/

L’obfuscation est une technique utilisée par les attaquants pour masquer le fonctionnement et les buts de leurs malwares. Cela consiste à rendre la lecture du code complexe, ce qui complique la vie des défenseurs, des analystes. Un exemple assez parlant sur un code Python :
https://isc.sans.edu/diary/rss/29160

Le patron de l’agence cyber allemande (BSI) démis de ses fonctions pour cause de liens avec les services de renseignements russes :
https://www.securityweek.com/german-cybersecurity-chief-sacked-over-alleged-russia-ties

Même les mormons. L’église confirme une fuite massive de données personnelles suite une cyber attaque. Les mormons pratiquant le baptême des morts, nous nous sommes demandés quel était le statut juridique des données personnelles de personnes passées de vie à trépas :
https://www.itpro.co.uk/security/data-breaches/369317/mormon-church-reveals-it-suffered-a-data-breach-in-march-2022

14 octobre 2022

Une CVE (CVE-2022-40684) estimée à un CVSS de 9.6/10 sur des produits Fortinet : FortiOS, FortiProxy, and FortiSwitchManager. La vulnérabilité permet à un attaquant non authentifié de réaliser des actions sur l’interface d’administration. Mises à jour très rapides requises :
https://www.theregister.com/2022/10/11/fortinet_critical_flaw/

Vulnérabilité sévère sur GLPI. Il s’agit d’une vulnérabilité qui apparait si l’on a mal déployé une mise à jour publiée le 14 septembre. L’éditeur d’ITSM open source, en somme, renvoie au fameux RTFM (Read The F*** Manual) :
https://glpi-project.org/security-update-10-0-3-and-9-5-9/

J’évoquais la semaine dernière le diable dans les détails du nouveau "privacy shield" US, il semblerait qu’il en soit apparu un : la définition de "proportionné" (pour qualifier certaines actions des renseignements US) n’est pas donnée. D’après Max Schrems, l’autrichien qui avait fait invalider ce dispositif par la justice européenne, le nouveau dispositif US ne satisfera pas les lois européennes :
https://www.theregister.com/2022/10/08/in_brief_security/

Évolution du paysage des menaces : le nombre de cas de vol de données suivis de demandes de rançon pour qu’elles ne soient pas révélées croit, à tel point qu’il faudra peut-être cesser de parler de rançongiciel et plutôt de kidnapping de données. L’une des raisons de cette évolution est la plus grande simplicité et rapidité opérationnelle pour les attaquants. Time to market, en somme :
https://www.theregister.com/2022/10/09/extortion_ransomware_threats_category/

Le malware Emotet continue d’évoluer, avec par exemple dans les dernières versions des modules dédiés au vol d’informations des clients de messagerie Microsoft Outlook et Thunderbird et de nouvelles méthodes d’évasion. En guise de contre-mesures, l’article évoque la segmentation réseau, le modèle Zero trust et le renforcement des moyens d’authentification :
https://thehackernews.com/2022/10/new-report-uncovers-emotets-delivery.html

7 octobre 2022

L’ancien RSSI de Uber - qui a récemment connu une attaque d’ampleur - en passe d’être condamné pour avoir dissimulé une attaque suivie d’une large fuite d’information en 2016, en particulier en payant une rançon avec son budget sécurité. Ce que lui reprochent surtout les autorités est d’avoir fait obstruction aux enquêtes fédérales :
https://www.securityweek.com/industry-reactions-conviction-former-uber-cso-joe-sullivan-feedback-friday

Suite à l’attaque par rançongiciel contre l’hôpital de Corbeille-Essonnes en août dernier et le refus de payer la rançon, les attaquants particulièrement dénués de tout sens moral ont mis en ligne des données médicales de patients :
https://www.usine-digitale.fr/article/les-hackers-de-l-hopital-de-corbeil-essonnes-publient-les-donnees-de-sante-des-patients.N2048292

La Lloyd’s de Londres probablement victime d’une attaque significative : ils investiguent et ont coupé tout accès vers internet :
https://www.securityweek.com/insurance-giant-lloyds-london-investigating-cybersecurity-incident

Kaspersky révèle un navigateur Tor chinois trafiqué qui recueille des informations sur l’utilisateur qui le télécharge. Dans un pays où l’accès à internet est particulièrement contrôlé - il faut souvent utiliser un VPN, YouTube est par exemple bloqué - l’origine de cet espionnage semble assez évident :
https://www.theregister.com/2022/10/05/tor_browser_china_spy_kasperksy_research/

Une série de vidéos sur les coulisses des équipes sécurité Google :
https://www.youtube.com/watch?v=aOGFY1R4QQ4

Quelques exemples de techniques de compromission, en particulier via des Torrent, de navigateurs Tor compromis ou des logiciels anodins trafiqués comportant une backdoor (porte dérobée permettant à un attaquant de prendre la main sur la cible) :
https://securelist.com/uncommon-infection-and-malware-propagation-methods/107640/

Une RCE (exécution de commande à distance) sur Cobalt Strike (CVE-2022-39197), un outil très souvent utilisé... par les attaquants pour mener leurs attaques. Une occasion pour les bleus (défenseurs) de compromettre les rouges (attaquants) :
https://twitter.com/0x09al/status/1576509338738634752

26 septembre 2022

Vulnérabilité sur Microsoft Teams, qui permet à un attaquant ayant accès au système de fichiers où est installé Teams de dérober des tokens d’authentification. Pour les entreprises les plus exposées (défense, domaines stratégiques...) la recommandation est de n’utiliser que le Teams en ligne :
https://www.scmagazine.com/analysis/cloud-security/vulnerability-allows-access-to-credentials-in-microsoft-teams

Le groupe nord-coréen UNC4034 utilise une nouvelle méthode d’attaque qui commence par du social engineering puis induit le téléchargement d’un .iso qui contient une version corrompue de PuTTY :
https://thehackernews.com/2022/09/north-korean-hackers-spreading.html

Analyse de malwares arrivant sous la forme de .iso, particulièrement fréquents ces derniers temps :
https://isc.sans.edu/diary/rss/29062

L’attaque contre Uber se confirme, et ce qui semble en cause est l’absence de cloisonnement interne et d’application du principe du besoin d’en connaitre qui limite l’accès en interne de tous à tout :
https://www.schneier.com/blog/archives/2022/09/massive-data-breach-at-uber.html
https://www.theregister.com/2022/09/19/uber_admits_breach/

Conséquence immédiate : les offres d’emploi cyber chez Uber ont fleuri comme des escargots après la pluie à la suite de l’attaque. Un peu tard... :
https://www.itpro.co.uk/security/cyber-attacks/369096/uber-launches-infosec-hiring-spree-after-attributing-breach-to-lapsus

Nouvelle proposition de loi en Inde : permettre aux autorités de pouvoir contourner le chiffrement proposé par certaines plateformes d’échanges de messages et d’appels telles que WhatsApp, Telegram, Google Meet et Signal. Ce contournement serait envisagé « en cas d’urgence publique ou dans l’intérêt de la sécurité publique ». Sale temps pour les principes démocratiques fondamentaux :
https://www.firstpost.com/tech/news-analysis/government-proposes-new-law-to-intercept-encrypted-messages-and-calls-on-platforms-like-whatsapp-11316421.html

Analyse de la pertinence de se séparer de son équipe sécurité interne au profit d’une externalisation. Une citation de l’article : "No matter how knowledgeable a contractor is, a contractor will never have the same buy-in that you get from your internal employee managing your systems at your company. After all, contractors look at a system because they’re contracted to and will never fully integrate into the company culture."
https://thehackernews.com/2022/09/firing-your-entire-cybersecurity-team.html

Focus sur une technique déjà évoquée dans cette newsletter : la "MFA Fatigue" qui permet de contourner la sécurité apportée par une double authentification. Lorsque l’authentification multifacteurs est configurée pour pousser une notification à l’employé via une invite sur son appareil mobile, l’attaquant exécute un script qui génère cette notification encore et encore, ce qui peut amener la victime a finalement accepter la demande par inadvertance, par "ras le bol" ou incluencé par une nouvelle sollicitation directe de social engineering :
https://www.bleepingcomputer.com/news/security/mfa-fatigue-hackers-new-favorite-tactic-in-high-profile-breaches/

Enfin, un jeu. Exercez-vous à négocier avec un gang de rançonneurs :
https://grahamcluley.com/how-to-have-fun-negotiating-with-a-ransomware-gang/

16 septembre 2022

Des appliances Mitel VoIP utilisées par les attaquants opérant le rançongiciel Lorenz pour prendre pied dans le réseau des entreprises :
https://thehackernews.com/2022/09/lorenz-ransomware-exploit-mitel-voip.html

Nouvelles vulnérabilités iOS et MacOS. N’installez pas n’importe quelle app (lire des livres est meilleur pour la santé mentale et ophtalmique que de passer son temps sur l’écran d’un téléphone), mettez à jour vos appareils :
https://www.theregister.com/2022/09/12/apple_patched_exploited_flaws/

Le FBI étasunien alerte sur les risques induits par l’obsolescence des logiciels installés sur les appareils médicaux :
https://www.scmagazine.com/analysis/device-security/fbi-legacy-medical-devices-pose-risk-of-exploit-patient-safety-impacts

Mise en lumière d’une campagne iranienne de longue haleine contre des opposants et dissidents, utilisant en particulier des malwares Android (Vinethorn et Pineflower), apparemment distribués par SMS et capables d’enregistrer des appels, de dérober messages et contenus multimédia et d’accéder à la géolocalisation des appareils :
https://thehackernews.com/2022/09/iranian-apt42-launched-over-30.html

Les autorités chinoises accusent la NSA, et plus précisément la TAO (unité de l’agence dont se souviendront ceux qui ont lu les révélations Snowden de 2013, qui s’était entre autres illustrée par ses compétences à ouvrir des colis de livraison de routeurs et à insérer des mouchards dans les appareils) d’avoir espionné des entités de recherche liées à l’armement. Avec, particularité notable, deux 0days sur le vénérable SunOS :
https://thehackernews.com/2022/09/china-accuses-nsas-tao-unit-of-hacking.html
https://www.washingtonpost.com/world/national-security/us-spy-agencies-mounted-231-offensive-cyber-operations-in-2011-documents-show/2013/08/30/d090a6ae-119e-11e3-b4cb-fd7ce041d814_story.html

Google renforce sa cyber en rachetant Mandiant 5.4 millliards :
https://www.securityweek.com/google-completes-54-billion-acquisition-mandiant

Le Qualis Cloud Agent vulnérable à une élévation de privilège, ce qui est un comble pour un scanner.... (révélé par des responsible disclosure, c’est à dire des signalements, contre récompense en général) :
https://blog.qualys.com/product-tech/2022/08/15/qualys-security-updates-cloud-agent-for-linux

Ça a gazouillé (to tweet) toute la journée sur le sujet, possible que ce soit vrai : Uber investigue une attaque d’ampleur sur ses systèmes :
https://thehackernews.com/2022/09/uber-says-its-investigating-potential.html

9 septembre 2022

Pendant longtemps, MacOS, moins ciblé par les malwares, était réputé n’avoir pas besoin d’antivirus. Puis les utilisateurs Mac ont été invités à utiliser un antivirus tiers. C’en est fini : Apple annonce l’introduction de son propre antivirus sur ses OS, XProtect Remediator, comme Microsoft :
https://www.01net.com/actualites/ni-vu-ni-connu-apple-deploie-un-veritable-antivirus-dans-ses-mac.html

Changement de doctrine de l’Etat en matière de paiement des rançons. Le gouvernement devrait éclaircir la zone grise qui couvre le paiement des rançons par les victimes de rançongiciels et leur remboursement par les assureurs. Moyennant une plainte, dont l’intérêt sera de faire remonter des informations aux agences de lutte contre les cyberdélinquants, le paiement deviendra tout à fait possible. Il est cependant probable que la doctrine de non-paiement subsiste pour les administrations et établissements publics :
https://www.lefigaro.fr/flash-actu/le-gouvernement-va-valider-l-indemnisation-des-rancons-de-cyberattaques-20220907

Une liste de risques associés à de mauvaises pratiques sur l’utilisation et la sécurisation des APIs :
https://thehackernews.com/2022/09/6-top-api-security-risks-favored.html

2 septembre 2022

Conditionnez vos accès ! Description d’une attaque, observée par Microsoft, qui permet aux malandrins de dérober des authentifiants de connexion en mettant un proxy (man-in-the-middle) entre l’utilisateur et le serveur légitime. Et l’attaque marche même si la victime utilise une authentification multi-facteurs, qui reste une mesure très efficace. Pour contrer ce type d’attaques qui, à n’en pas douter, vont proliférer, la mise en œuvre d’accès conditionnels – par exemple en n’autorisant les connexions que depuis des postes de travail maitrisés, est la mesure la plus efficace :
https://arstechnica.com/information-technology/2022/07/microsoft-details-phishing-campaign-that-can-hijack-mfa-protected-accounts/

L’hôpital de Corbeil-Essonnes paralysé par un rançongiciel, retour au papier et au crayon. Pas certain que les attaquants aient choisi une bonne cible, les services publics et administrations française ayant pour instruction ferme de ne pas payer de rançon :
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-lhopital-de-corbeil-essonnes-pirate-par-des-hackers_5320897.html#xtor=CS2-765-%5Bshare%5D-

De nouvelles vulnérabilités critiques affectent les dispositifs Apple, dont l’exploitation par un attaquant peut permettre de prendre le contrôle de votre Mac ou iPhone via un simple lien sur lequel vous cliqueriez. Deux CVE qui sont d’après le CISA et Apple exploitées dans la nature affectent le WebKit (Engine de navigation Web). Passez à iOS 15.6.1 et MacOS Monterey 12.5.1 :
https://support.apple.com/fr-fr/HT213412

Pegasus, suite. Conséquence des révélations d’espionnage, souvent illégal, utilisant les technologies de la firme NSO, son PDG débarqué :
https://www.reuters.com/technology/israeli-spyware-company-nso-group-announces-new-ceo-2022-08-21/

Un très bon article sur le mirage des cryptomonnaies et des NFT, qui souligne en particulier comment l’idéal de monnaies alternatives à celles émises par les banques centrales s’est converti en réalité volatile et spéculative :
https://www.kaspersky.com/blog/crypto-actually-blockchains-and-cryptocurrencies/45181/

Cinq apps de home banking mettent en péril les empreintes biométriques de 300 000 personnes. Des chercheurs en sécurité ont en effet découvert que ces apps utilisaient des authentifiants AWS codés en dur dans le code. Cela souligne aussi le danger d’utiliser un facteur biométrique, leur particularité étant qu’elles ne sont pas révocables. Vous ne pouvez pas en changer. Une seule fuite d’information majeure et vos empreintes sont connues et révélées... :
https://www.theregister.com/2022/09/01/mobile_apps_leaked_biometrics/

La récente attaque contre les systèmes informatiques du gouvernement du Montenegro revendiquée par le groupe Cuba, qui semble être un groupe d’attaquants russophone. Ils utilisent comme vecteur initial la messagerie, puis des classiques Mimikatz, Cobalt Strike... :
https://www.itpro.co.uk/security/ransomware/368918/cuba-ransomware-group-claims-attack-on-montenegro-government

Afin de traiter le problème des bugs – et donc des potentielles vulnérabilités - dans les logiciels Open Source, Google lance un bug bounty (des récompenses aux gens qui trouvent des bugs exploitables), dans le cadre de son programme Open Source Software Vulnerability Rewards Program (OSS VRP). De 100 (pour les petits bugs) à 31337 dollars :
https://www.securityweek.com/google-launches-bug-bounty-program-open-source-projects

Dites à vos enfants de mettre à jour TikTok : une équipe sécurité de Microsoft révèle une vulnérabilité qui permet, via un simple lien malveillant, de prendre le contrôle du profil de l’utilisateur. Bon, vos enfants... peut-être pratiquez-vous ces curieuses courtes vidéos... peu importe, même recommandation : mettez à jour.
https://thehackernews.com/2022/09/microsoft-discover-severe-one-click.html

19 août 2022

APT29, un groupe para étatique russe, continue de cibler efficacement O365. Si l’authentification multi-facteurs est une sécurité nécessaire, elle n’est pas toujours suffisante. Mandiant détaille comment ce groupe d’attaquants - et d’autres - réussissent à outrepasser cette sécurité, en particulier en ciblant les phases d’enregistrement... Raison pour laquelle Microsoft a mis en œuvre sa fonction d’accès conditionnel, qui n’autorise les connexions à O365 que depuis des postes et appareils maitrisés par l’entreprise :
https://www.mandiant.com/resources/blog/apt29-continues-targeting-microsoft

Le 16 août 2022, Microsoft a publié une nouvelle version de System Monitor (Sysmon) avec une nouvelle option "FileBlockExecutable" qui permet de bloquer la création et l’écriture sur disque d’exécutables malveillants, tels que les fichiers EXE, DLL et SYS, pour une meilleure protection contre les logiciels malveillants :
https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

Cisco Talos, la branche sécurité du géant des réseaux, a confirmé avoir été victime d’un rançongiciel en mai 2022, sans donner davantage de détails. Il semble néanmoins que la synchronisation par certains employés de leurs accès avec leurs gmail personnels ait été exploitée et qu’ici encore l’authentification multi-facteur a été contournée (grâce en particulier à des techniques d’ingénierie sociale) et que des données ont été dérobées :
https://www.itpro.co.uk/security/data-breaches/368794/cisco-talos-confirms-data-breach-ransomware-gang

Mac et Windows ciblés par un nouveau vecteur produit par Lazarus, le groupe d’attaquants nord-coréen. Dans ce cas, c’est un PDF contenant un exécutable, détaille ESET dans son compte-rendu d’analyse :
https://twitter.com/ESETresearch/status/1559553324998955010

Au cours de la grande conférence cyber mondiale BlackHat, un chercheur montre comment il a piraté un terminal Starlink, en y ayant accès physiquement :
https://www.theregister.com/2022/08/12/starlink_terminal_hack_black_hat/

Juste après BlackHat, à Las Vegas, se tient la DEFCON, célébrissime conférence cyber, dont c’était la trentième édition. Les organisateurs ont banni le media pro-Trump OAN pour violation des conditions de privacy : prises de vues et photos y sont effet interdites, ce que les envoyés de ce "media" n’ont pas respecté :
https://www.vice.com/en/article/88qxdz/hacker-conference-def-con-bans-pro-trump-outlet-oan

La chanson de Janet Jackson Rhythm Nation classifiée malware / exploit par Microsoft. L’auteur de l’article s’en étonne, relevant que la chanson n’est pas si mauvaise... Mais il se trouve que la chanson contient des passages qui entrent en résonance avec certains modèles de disque dur à 5400 RPM, et font crasher l’ordinateur :
https://www.theregister.com/2022/08/18/janet_jackson_video_crashes_laptops/

12 août 2022
Sus à l’objet ! Pour commencer, cette fois, parlons langages de programmation, avec ce très intéressant point de vue sur les travers des langages orientés objet, comme C++ ou Java. L’auteur commence par citer l’exemple de voitures Toyota qui ont causé des accidents mortels parce qu’elles... accéléraient au lieu de freiner. En examinant le code qui pilotait le freinage et l’accélération, les experts ont montré qu’il y avait près de 10 millions de différentes possibilités pour que la voiture accélère alors qu’elle était sensée freiner. L’auteur attribue cela à l’utilisation de code objet qui fait ressembler le code à un plat de spaghettis indémêlable. La plupart des langages objet, qui partagent tout par référence, semblent "propres", mais ils ne font qu’encapsuler la complexité, qui n’est plus visible. Le code en devient inmaintenable, peu sûr. Et surtout, non prédictif. Or cela devrait être l’essence et l’objectif de tout programme : être prédictif, déterministe. Une fonction qui freine doit toujours freiner. Exemples à l’appui, il explique comment la modification de valeurs à l’extérieur des fonctions peut causer des modifications du retour de ces fonctions avec les mêmes paramètres d’entrée. Ce qui est aberrant. En conclusion : le code orienté objet est une énorme erreur de l’industrie informatique, qui a déjà causé des centaines de morts et coûte très cher (en particulier en sécurité, puisque là où il y a bug, il y a vulnérabilité ; mais aussi en ressources – électricité, air conditionné, puissance de calcul nécessaire… – , parce que c’est souvent du code que l’on optimise beaucoup moins). Probablement aussi que l’abstraction des langages que permet l’objet donne l’impression que l’on peut coder sans effort, embaucher de mauvais développeurs... Et de conclure par une prédiction : ceux qui à l’avenir continueront à développer en objet seront vu comme des dinosaures (votre serviteur ayant commencé à développer - un peu - en TurboPascal, Fortran 90 et C, sans jamais passer à l’objet, ne peut qu’approuver ce point de vue ;)
https://suzdalnitski.medium.com/oop-will-make-you-suffer-846d072b4dce

Évolutions et différents métiers dans les équipes de blue team (équipes de détection et réaction) et quelques pistes de mesures de leur efficacité. Une idée nous semble particulièrement fertile afin de maintenir motivation et progression au sein d’une équipe cyber : permettre aux membres de l’équipe de changer de rôle régulièrement :
https://thehackernews.com/2022/08/the-benefits-of-building-mature-and.html

Smap, un scanner de ports construit autour des API de http://shodan.io, un moteur de moteur de recherche d’appareils connectés à l’Internet, qui scanne (balaye) massivement l’Internet à la recherche de tous les appareils qu’il peut y avoir derrière chaque adresse IP visible :
https://github.com/s0md3v/smap/

Complexité de la géopolitique cyber : des entités liées à la défense en Ukraine et en Russie simultanément ciblées par un groupe paraétatique chinois à l’aide de vieilles vulnérabilités Office :
https://www.itpro.co.uk/security/malware/368764/defence-enterprises-and-government-agencies-in-russia-and-ukraine-targeted-by-state-hackers

5 août 2022

35000 repositories GitHub clonés et auxquels des attaquants ont ajouté des malwares, que les développeurs se trompant de repos auraient chargés sur leurs environnements :
https://www.bleepingcomputer.com/news/security/35-000-code-repos-not-hacked-but-clones-flood-github-to-serve-malware/

Des chercheurs en sécurité découvrent un rootkit UEFI utilisé depuis fin 2016 et passé inaperçu depuis. Ces rootkits sont des malwares particulièrement pénibles parce qu’ils sont embarqués sur les firmware des cartes mères, et donc aussi particulièrement difficiles à coder puisque leur exécution se déroule avant que Windows ne soit chargé :
https://www.itpro.co.uk/security/malware/368655/researchers-uncover-mysterious-windows-rootkit-actively-exploited-2016

Sale temps pour la planète. La police Espagnole arrête pour cyberattaque, après une longue enquête, deux employés d’un sous-traitant en charge de la maintenance du réseau de capteurs de radiations nucléaires. Certains des capteurs concernés étaient dans les centrales...
https://thehackernews.com/2022/07/spanish-police-arrest-2-nuclear-power.html

Sortie de la version 2.0 du TLP (Traffic Light Protocol), la nomenclature que nous utilisons en cyber pour déterminer la possibilité de partage d’une information sensible avec, en particulier, le remplacement du TLP:WHITE par le TLP:CLEAR et l’introduction d’un TLP:AMBER+STRICT :
https://www.first.org/tlp/

Des nouvelles de la cryptographie post-quantique : l’un des algorithmes candidats pour l’ère post-quantique est tombé. Les détails sont pour les plus matheux d’entre nous :
https://nakedsecurity.sophos.com/2022/08/03/post-quantum-cryptography-new-algorithm-gone-in-60-minutes/
https://www.schneier.com/blog/archives/2022/08/sike-broken.html

29 juillet 2022

Après une pause - un retour-arrière - dans le blocage des macros Office, Microsoft réimplémente le blocage. Ils sortent aussi une nouvelle fonction de blocage des comptes sur RDP (en Windows 11), afin de se prémunir des attaques par force-brute sur ce protocole, très courantes lorsque l’authentification multi-facteur n’est pas mise en œuvre :
https://www.theregister.com/2022/07/22/microsoft-windows-vba-macros/

Mais avec le blocage des macros les attaquants cherchent de nouveaux vecteurs d’attaque : la distribution de payloads (charges utiles) via des macros a chuté de 66% depuis Q3 2021 et les attaquants se tournent désormais vers de nouveaux formats de fichiers tels qu’ISO, RAR, ZIP ou LNK.
https://www.bleepingcomputer.com/news/security/as-microsoft-blocks-office-macros-hackers-find-new-attack-vectors/

Vous n’aimez pas cliquer sur de la pub ? Bonne pratique de sécurité, aussi. Des attaquants ont payé des Ads Google pour faire monter en premiers résultats des faux site web imitant des sites biens connus comme YouTube, Amazon, Facebook, mais qui étaient faits des plateforme d’arnaques :
https://www.itpro.co.uk/security/368621/hackers-hiding-malicious-links-in-top-google-search-results

Le marché des cyber-mercenaires se structure, ce qui n’est pas une bonne nouvelle, exemple dans cet article avec le groupe AIG (Atlantis Cyber-Army). Ce groupe propose un service "VIP", faisant bénéficier - disent-ils - de contacts avec des forces de l’ordre en Europe pour se renseigner sur des individus ciblés. Pour rebondir sur la première nouvelle, plus haut, RDP-the-risky : "most of the databases for sale are government-related and that access to Remote Desktop Protocol (RDP) clients and webshells tend to come from organizations in the finance, education, and manufacturing industries" :
https://www.theregister.com/2022/07/25/aig-unique-cybercrime-business/

D’ailleurs, un groupe Autrichien serait en train de vendre un kit d’attaque - Subzero - qui contiendrait des 0-day Windows et Adobe Reader qui permet de déployer des keylogger, d’enregistrer des captures d’écran, de sortir des fichiers, de lancer des commandes à distance... :
https://thehackernews.com/2022/07/microsoft-uncover-austrian-company.html

Wanted ! Si vous avez des informations qui pourraient conduire à arrêter les activités des groupes para-étatiques Nord-Coréens, 10 millions de dollars vous attendent, annonce le Département d’État US :
https://thehackernews.com/2022/07/us-offers-10-million-reward-for.html

22 juillet 2022

D’après un rapport - interviews de 500 décideurs IT dans le secteur financier - 8 attaques réussies sur 10 ont été possibles du fait de faiblesses d’authentification. Les organisations sont devenues trop tolérantes concernant leurs mode d’authentifications, point le rapport :
https://www.scmagazine.com/analysis/identity-and-access/authentication-weakness-responsible-for-80-of-financial-breaches

Voilà pourquoi il faut faire attention aux apps que vous installez, et cloisonner vos accès professionnels des autres apps : après plus de 3 millions de téléchargements et 6 mois de présence sur le store de Google, 8 apps sont supprimées parce que malveillantes :
https://thehackernews.com/2022/07/several-new-play-store-apps-spotted.html

APT29, groupe d’attaquants para-étatique russe, utilise activement DropBox et Google Drive pour distribuer ses malwares. Raison supplémentaire pour se méfier de ces services "gratuits" :
https://thehackernews.com/2022/07/russian-hackers-using-dropbox-and.html

Des vulnérabilité sur un tracker GPS utilisé dans de nombreuses voitures (plus de 1.5 millions) peuvent permettre d’avoir accès à la localisation de la voiture, son trajet, d’interférer avec la gestion du carburant, ou de désactiver diverses alarmes. A force de mettre des gadgets, on finit par s’exposer à de bêtes mots de passe en dur et à des XSS...
https://thehackernews.com/2022/07/unpatched-gps-tracker-bugs-could-let.html

Pour ceux qui se souviennent de Spectre, la vulnérabilité affectant les processeurs via leurs méthodes de calcul "prédictif" - speculative execution - ... la correction de 2018 est elle-même vulnérable. Les éditeurs commencent à sortir de nouveaux correctifs pour Retbleed. Mais ces vulnérabilités sont très compliquées à corriger, parce qu’elles touchent à la conception fondamentale des processeurs Intel et AMD :
https://www.securityweek.com/software-vendors-start-patching-retbleed-cpu-vulnerabilities
https://thehackernews.com/2022/07/new-study-finds-most-enterprise-vendors.html

Le titre est aguicheur, mais le risque est réel : utilisation d’un proxy IIS malveillant - SessionManager - et d’une vraie authentification Microsoft légitime pour écrire et exécuter des fichiers sur la cible et progresser vers l’intérieur du SI via le serveur compromis :
https://www.lemondeinformatique.fr/actualites/lire-des-serveurs-microsoft-iis-compromis-par-le-backdoor-sessionmanager-87279.html
https://securelist.com/the-sessionmanager-iis-backdoor/106868/

La Commission européenne sous la menace d’une procédure pour... non-respect du RGPD. En l’occurrence, le site web d’une Conference of the Future of Europe, hébergé sur AWS, transfère aux USA des données personnelles comme des adresses IP, ce qui est contraire à l’arrêté Schrems II de la Cour de justice européenne :
https://www.euractiv.com/section/data-protection/news/european-commission-sued-for-violating-eus-data-protection-rules/

15 juillet 2022

Méfiez-vous des offres d’emploi trop belles pour être vraies. La première étape de l’attaque contre Axie Infinity en mars 2022, dont le préjudice a finalement été de 540 millions de dollars, fut une fausse offre d’emploi. Un ingénieur a répondu à une offre sur LinkedIn. Fausse. Il a reçu une proposition en PDF, l’a ouverte, et boum. L’offre était très attractive. Un grand classique.
https://thehackernews.com/2022/07/hackers-used-fake-job-offer-to-hack-and.html

Des attaquants sortent 20 gigaoctets de données de chez Mariott, dont des numéros de cartes de crédit et autres informations confidentielles. Le groupe d’attaquants fait a priori partie de ceux qui demandent des rançons sans perturber le fonctionnement des cibles. Fait notable, l’intrusion semble avoir été réalisée par une technique d’ingénierie sociale pure, puisque les victimes ont été convaincues de donner accès à un ordinateur :
https://www.itpro.co.uk/security/data-breaches/368456/marriott-hit-by-data-breach-through-social-engineering

Rust, un langage relativement récent - 2015 - et très prisé des développeurs... aussi adopté par les attaquants. Les rançongiciels Hive et BlackCat ont ainsi récemment été réécrits en Rust, par exemple. Les malwares en Rust bénéficient d’une meilleure gestion de la mémoire et des processus de ce langage : ils en deviennent plus fiables et sécurisés qu’écrits en C++ ou Python. Les méthodes de compilation complexes de Rust rendent aussi le code-machine résultant plus complexe à analyser par les experts sécurité :
https://www.itpro.co.uk/security/ransomware/368476/why-are-ransomware-gangs-pivoting-to-rust

HavanaCrypt, une nouvelle famille de rançongiciels qui se travestissent en mises à jour Google. Le malware contient également des fonctions visant à vérifier qu’il ne s’exécute pas sur une VM d’analyse sécurité, par exemple recherche de services typiques comme VMware Tools et vmmouse, ou de fichiers typiquement présents dans les VM :
https://www.theregister.com/2022/07/11/havanacrypt-ransomware-google-update/

Bien qu’indispensable, les authentifications multi-facteurs (MFA, 2FA) ne protègent pas, en soi, des attaques par phishing :
https://www.theregister.com/2022/07/13/aitm-phishing-microsoft/

Digital Operational Resilience Act (DORA), une nouvelle réglementation de l’UE - secteur financier, banque, assurance... Il y aura en particulier des obligations de traiter certains risques reasonably identifiables, de traiter les risques liés aux tiers, d’obligations de notification. L’objectif est de renforcer la résilience du secteur. Bien que les modalités pratiques d’application ne soient pas encore toutes claires, il y a fort à parier que cette nouvelle réglementation aura d’importantes conséquences sur la gestion de la sécurité des SI :
https://www.itpro.co.uk/business/policy-legislation/368414/eu-digital-operational-resilience-act-dora

Des attaquants volent les données de près d’un milliard de chinois dans une base de données de la police de Shanghai. 23 To en vente pour 10 Bitcoins (environ 190 K$). Il semblerait que le vol des données ait eu lieu via un dashboard, communiquant avec une base de données, laissé sur internet sans mot de passe pendant près d’un an. Des responsable de chez Alibaba - le fournisseur cloud - convoqués par les autorités. Il y a fort à parier qu’ils passent un mauvais - long - quart d’heure. La sécurité étant un domaine qui progresse souvent par traumatisme, il est aussi probable qu’ils fassent drastiquement évoluer leurs pratiques :
https://www.itpro.co.uk/security/data-breaches/368416/hackers-steal-personal-data-of-over-a-billion-people-in-china
https://www.wsj.com/articles/alibaba-executives-called-in-by-china-authorities-as-it-investigates-historic-data-heist-11657812800

Comment la guerre influence le marché des assurances cyber, avec, en particulier, ce curieux paradoxe apparent : alors que la guerre Russie-Ukraine entraine une augmentation de la souscription d’assurances cyber, la plupart des polices ne couvriront pas les attaques de groupes soutenus par des États, voire de rançongiciels :
https://threatpost.com/war-impact-cyber-insurance/180185/

8 juillet 2022

Après l’Autriche et la France, l’Italie déclare l’utilisation de Google Analytics non conforme aux lois européennes. Les autorités transalpines soulignent en particulier la possibilité pour les autorités et services de renseignement US d’accéder à des données personnelles collectées via Analytics et dont le transfert n’est pas correctement cadré :
https://thehackernews.com/2022/06/italy-data-protection-authority-warns.html
https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/questions-reponses-sur-les-mises-en-demeure-de-la-cnil-concernant-lutilisation-de-google-analytics

Du code malveillant passé par le copier-coller :
https://isc.sans.edu/diary/rss/28784

Recommandations et bonnes pratiques de la Microsoft Detection and Response Team (DART) pour contrer les rançongiciels : prévention, détection, utilisation des services Microsoft... :
https://docs.microsoft.com/en-us/security/compass/incident-response-playbook-dart-ransomware-approach

Microsoft revient sur la politique qu’ils avaient adoptée il y a quelques mois, le blocage par défaut des macros Office provenant d’internet. Ils disent que cela a posé des problèmes à de nombreux clients, sans préciser lesquels. Cela réjouira certainement aussi les attaquants :
https://www.bleepingcomputer.com/news/microsoft/microsoft-rolls-back-decision-to-block-office-macros-by-default/

Le NIST annonce la sélection d’un premier groupe d’algorithmes cryptographiques "post-quantiques", c’est à dire résistants aux cryptanalyses des ordinateurs quantiques à venir :
https://www.nist.gov/news-events/news/2022/07/nist-announces-first-four-quantum-resistant-cryptographic-algorithms

24 juin 2022

Le grand cryptographe Bruce Schneier - "Applied cryptography", sa somme sur la cryptographie, fit entrer nombre d’entre-nous dans notre métier - a écrit au Congrès US pour leur expliquer que les cryptomonnaies étaient un "désastre" et les blockchains souvent inutiles. Le cœur du problème est que c’est une solution à des problèmes qui n’existent pas vraiment. Schneier explique que l’immense majorité des use case pourraient être traités autrement, sans blockchain, de façon plus élégante et efficace. L’absence de régulation pose des problèmes très sérieux ; on ne remplace pas la confiance par une technologie ; cette technologie ne peut pas résoudre les problèmes économiques et politiques liés aux monnaies. Il demande enfin : donnez un seul exemple où les blockchains sont la seule et la meilleure solution. Les avis de Bruce Schneier sont de ceux qu’il faut écouter :
https://www.schneier.com/blog/archives/2022/06/on-the-dangers-of-cryptocurrencies-and-the-uselessness-of-blockchain.html

Très belle liste de services (810) aidant à faire de l’OSINT, Open Source Intelligence, c’est à dire, en français, renseignement de sources ouvertes :
https://cipher387.github.io/osint_stuff_tool_collection/

Décodage d’un base64 obfusqué :
https://isc.sans.edu/diary/rss/28758

Defender, la solution anti-malware de Microsoft, désormais disponible sur toutes les plateformes (macOS, iOS, Android...), y compris celles contenant leur propre anti-virus. Defender les intégrera a priori dans son dashboard. La stratégie sécurité de Microsoft continue d’étonner par sa pertinence.
https://www.theregister.com/2022/06/17/microsoft_defender/

La question délicate des termes et conditions de assurances cyber, avec, en particulier les clauses d’exclusions pour faits de guerre :
https://thehackernews.com/2022/06/do-you-have-ransomware-insurance-look.html

Les deeps fakes seront de plus en plus présents dans les attaques cyber, d’après Cisco. C’est probable. De façon inattendue, il est possible que cela entraine un retour du besoin de l’humain. Du contact humain, réel. Et aussi, dans le domaine de l’information, un retour de l’importance des témoins, c’est-à-dire des journalistes (probablement les journalistes, français en particulier, devront-ils cultiver davantage la culture de l’investigation et de l’impartialité) :
https://www.itpro.co.uk/security/phishing/368299/deepfake-attacks-expected-to-be-next-big-threat-to-businesses

Pegasus, la suite. NSO, l’éditeur du logiciel d’espionnage confirme qu’au moins 5 pays de l’EU ont acheté et utilisé Pegasus :
https://thehackernews.com/2022/06/nso-confirms-pegasus-spyware-used-by-at.html

Des nouvelles des délires technoides : Amazon a montré que son truc parlant, Alexa, pouvait lire une histoire du soir à un enfant en imitant la voix de sa grand-mère morte. Ils n’ont pas annoncé mettre cette option à disposition. Mais il est probable que ce soit le cas dans un futur proche. Outre les risques d’utilisation d’une telle fonction pour créer des deep fakes vocaux, on peut vraiment se demander si tous ces ingénieurs et ces ressources n’ont rien de plus utile à faire :
https://grahamcluley.com/amazon-alexa-dead-grandma/

17 juin 2022

Les attaquants ne restent pas le même temps au sein des SI compromis avant de lancer leurs offensives, d’après ce rapport de Sophos. Plus de 50 jours pour les entreprises de moins de 100 personnes, une vingtaine pour les entreprises de 5000 personnes. L’explication paraît relativement simple : les petites entreprises ont probablement moins de moyens "sécurité", y rester longtemps est donc moins risqué. Sur le front des vecteurs de compromission : achat d’accès compromis (souvent sans authentification multi-facteur, on suppose) et exploitation de vulnérabilité non corrigées. Business as usual, en somme :
https://www.itpro.co.uk/security/cyber-attacks/368116/cyber-criminals-are-spending-longer-inside-business-networks

Une vulnérabilité sur les processeur M1 d’Apple, qui permet théoriquement d’exécuter du code arbitraire découverte par des chercheurs du MIT, nommée Pacman. Complexe, elle reste assez théorique pour le moment (c’est-à-dire difficile à exploiter en conditions réelles). Mais elle a une particularité : elle ne peut pas être corrigée. Ce qu’on appelle une vulnérabilité... ou une feature, by design :
https://thehackernews.com/2022/06/mit-researchers-discover-new-flaw-in.html

Offensive Security, les créateurs de la distribution Kali Linux - et ceux qui proposent les certifications de pentest les plus exigeantes au monde - vont proposer des sessions de training en livestream :
https://www.itpro.co.uk/security/penetration-testing/368217/kali-linux-team-free-cyber-security-training-twitch

Convergence des équipes de sécurité physique et logique par le biais des activités d’OSINT (recherches en sources ouvertes) :
https://www.securityweek.com/facilitating-convergence-physical-security-and-cyber-security-open-source-intelligence

Quelques critères pour détecter des fraudes, comme examiner les comportements, les requêtes entrantes, se concentrer sur la qualité et non la quantité... :
https://www.securityweek.com/lessons-better-fraud-decision-making

Un opérateur malveillant (APT) chinois utilise une 0day sur un pare-feu pour compromettre sa cible. L’exploitation de failles sur des pare-feu est suffisamment rare pour être remarquée :
https://thehackernews.com/2022/06/chinese-hackers-exploited-sophos.html

Des nouvelles du crime. Un meurtrier présumé admet avoir utilisé un Apple AirTag dissimulé dans la voiture de sa victime pour surveiller ses allées et venues. Ce machin permet de localiser l’objet auquel il est attaché... Sans doute devrions nous nous poser la question de l’utilité de développer de tels gadgets :
https://nakedsecurity.sophos.com/2022/06/14/murder-suspect-admits-she-tracked-cheating-partner-with-hidden-airtag/


 
cryptosec
17 juin 2022

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0