Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.

Correctifs

Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Mozilla pour Thunderbird [1] et Firefox [2], ceux publiés par Adobe pour Adobe Acrobat et Adobe Reader [3], celui du noyau Linux [4] et ceux publiés par Cisco pour Cisco ASA [5a][5b][5c][5d] et Cisco Webex [6].

L’exploitation des vulnérabilités associées permettait à un attaquant de causer un déni de service, de contourner des mécanismes de sécurité, d’élever ses privilèges et de prendre le contrôle du système.

Codes d’exploitation

La semaine dernière, un seul code d’exploitation a été publié. Il concerne le noyau Linux [7]. Son exploitation permet à un attaquant de causer un déni de service, ou d’élever ses privilèges en manipulant une ressource après libération (use after free). Un correctif est disponible.

Informations

Attaques

Une campagne en cours utilisant le bot Phorpiex a été détectée. Celle-ci vise à déployer le ransomware GandCrab sur des machines d’entreprises, et d’infecter les postes intermédiaires afin d’en faire de nouveaux agents pour Phorpiex. Le botnet scanne Internet à la recherche de serveurs RDP et VNC accessibles facilement, et les infecte s’il parvient à s’y connecter [8].

Des chercheurs en sécurité de Qihoo 360 NetLab ont découvert qu’une campagne massive de piratage utilisant le malware GhostsDNS était en cours depuis le 21 septembre. Celui-ci se connecte aux routeurs et en modifie les paramètres DNS afin de router le trafic internet via des serveurs malveillants afin de dérober des données sensibles. D’après les chercheurs, plus de 100 000 machines seraient déjà infectées, dont près de 88 % au Brésil (visant plus de 50 noms de domaines), certaines appartenant à des banques [9].

PCI DSS

Verizon a publié la version 2018 de son rapport sur la sécurité des payements électroniques et l’adéquation avec le standard PCI DSS. Ce rapport met en évidence les pièges à éviter lors de l’implémentation des standards, l’importance de considérer la gestion du standard PCI DSS comme un processus à part entière des projets ainsi que des facteurs permettant d’améliorer les contrôles mis en place dans le cadre du respect du standard PCI DSS [10].

Piratage

Facebook a été victime d’une campagne massive de piratage, passant par la fonctionnalité « Aperçu du profil en tant que », et permettant aux pirates de récupérer des jetons d’accès de comptes utilisateurs. La découverte de cette campagne a mené à la réinitialisation des accès de 90 millions de comptes et la désactivation de la fonctionnalité en cause. Une enquête est en cours afin de déterminer précisément les comptes affectés, et dans quelle mesure ils l’ont été [11]. Au plus, 5 millions de comptes européens seraient affectés, d’après l’Irish Data Protection Comission [12a][12b][12c][12d].

Vie privée

Les applications tdesktop et Telegram for Windows de la messagerie chiffrée Telegram étaient victimes d’une vulnérabilité, et divulguaient l’adresse IP des utilisateurs lorsqu’ils initiaient un appel. Celle-ci est corrigée dans les versions bêta en cours de développement, et devrait bientôt être accessible à tous. Il suffit de changer le paramétrage du peer-to-peer (« Settings> Privacy and security> Calls> peer-to-peer> nobody » ou « peer-to-peer> my contacts »). Le chercheur a l’origine de cette découverte a été récompensée par une prime de 2000$ [13a][13b].

Un employé d’Apple a découvert une vulnérabilité permettant de contourner la fonctionnalité de verrouillage par code d’accès sur la version 12 d’iOS (qui est celle déployée sur les derniers iPhone, et qui est disponible au téléchargement pour les précédents modèles). Pour cela, il a abusé de la fonctionnalité « VoiceOver », ce qui lui a permis d’accéder à l’ensemble des photos du téléphone et à l’ensemble des contacts, sans avoir à saisir le code d’accès [14].

Juridique

Le 4 octobre, la justice américaine a condamné 7 officiers de la direction générale du renseignement militaire russe (GRU), pour piratage informatique, fraude, vol d’identité et blanchiment d’argent. Ces 7 officiers faisaient partie d’une campagne de représailles visant les organisations antidopage internationales, ainsi que l’Organisation pour l’interdiction des armes chimiques (OIAC, actuellement en cours d’enquête sur l’affaire Skripal). Le Royaume-Uni, le Canada, les Pays-Bas et l’Australie ont également dénoncé publiquement les agissements du GRU. Le ministère de la Défense russe a affirmé qu’aucune cyberattaque n’avait été menée par la Russie [15].

Un policier français, membre de la DGSI, a été mis en examen et écroué. Il est accusé d’avoir vendu des informations confidentielles sur le darknet. Celui-ci monnayait les informations contre des bitcoins. Il risque jusqu’à 7 ans d’emprisonnement et 100 000 euros d’amende [16a][16b].

International

Les officiers des douanes néozélandais ont désormais le droit de réquisitionner mots de passe, codes et clés de chiffrements des appareils électroniques qui entrent en Nouvelle-Zélande. Toutefois, ils n’ont pas le droit de copier les données non contenues sur l’appareil (dans le cloud par exemple), doivent rendre l’appareil non endommagé et doivent effacer les copies des données si aucune enquête n’est menée. Un refus expose le passager à une amende de 5000$ néozélandais [17].

Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco

Références portail XMCO

[1] CXA-2018-4044
[2] CXA-2018-3997
[3] CXA-2018-3981
[4] CXA-2018-3972
[5] CXA-2018-4040
[6] CXA-2018-4031
[7] CXA-2018-3964
[8] CXN-2018-3968
[9] CXN-2018-4003
[10] CXN-2018-4005
[11] CXN-2018-3963
[12] CXN-2018-3988
[13] CXN-2018-3979
[14] CXN-2018-3985
[15] CXN-2018-4051
[16] CXN-2018-3978
[17] CXN-2018-3992