cryptosec

Lectures de la semaine - 2023

3 février 2023

Du rififi au FIC : le Ministère des Armées lâche le FIC, le grand évènement cyber français. Initialement monté par la Gendarmerie, le FIC est maintenant co-organisé avec Avisa Partners. Si le Ministère évoque la hausse des prix de l’évènementiel, il est plus que probable qu’il y ait eu de sévères mésententes entre le Ministère, la DGSE et Avisa. Il faut dire qu’Avisa commence à être très défavorablement connue des services, du fait de ses activités de désinformation et de production de fake news. Ça sent le sapin pour le FIC. Avec un organisateur tel qu’Avisa à sa tête, c’est peut-être un mal pour repartir sur de meilleures bases :
https://www.challenges.fr/entreprise/defense/le-ministere-des-armees-lache-le-fic-le-grand-raout-du-cyber_843983
https://www.nextinpact.com/lebrief/69499/fakir-et-mediapart-revelent-entreprise-francaise-desinformation-massive
https://www.mediapart.fr/journal/france/270622/operation-intox-une-societe-francaise-au-service-des-dictateurs-et-du-cac-40

Après la mise à bas de l’infrastructure de ransomware Hive, le FBI étasunien rappelle que des récompenses totalisant 10 millions de dollars attendent ceux qui donneraient des informations sur d’autres groupes, Conti, nord-coréens ou Russes :
https://www.securityweek.com/us-reiterates-10-million-reward-offer-after-disruption-of-hive-ransomware/

Trucs et techniques pour identifier des messages de phishing malveillants :
https://tidbits.com/2023/01/16/an-annotated-field-guide-to-identifying-phish/

Si l’on ne sécurise pas correctement ses applications cloud, les attaquants trouvent le moyen de s’introduire. En l’occurrence via des authentifications vers des applications tierces via votre compte Microsoft. Et ensuite, open bar pour vols de données ou fraudes diverses et variées (BEC). Le cloud n’est pas magique, épisode 25624 :
https://www.theregister.com/2023/02/01/microsoft_oauth_attack_proofpoint/

Message de service, fait pour valoir ce que de droit : si vous avez des serveurs Exchange on-prem, mettez-les à jour :
https://thehackernews.com/2023/01/microsoft-urges-customers-to-secure-on.html

Où sont nos secrets ? Dans la plupart des cas, dans les grands SI, nous ne savons pas vraiment. Fichiers de configuration, scripts, code source, bases de données, documents, filers, messages… les secrets les plus critiques peuvent être un peu partout. Ce qui, bien sûr, ne facilite par leur protection. Déterminer où ils sont est un enjeu majeur. Encore une histoire d’inventaire… :
https://thehackernews.com/2023/01/you-dont-know-where-your-secrets-are.html

Où il est question des clauses d’exclusion des assurances cyber pour “actes de guerre”, en particulier chez Lloyd’s qui les a parfois utilisées dans le cas d’attaques émanant de services étatiques, ce qui a donné lieu à des suites judiciaires, les assurés n’étant pas enchantés des refus de leurs assureurs. Avec, en fin d’article, une conclusion intéressante que nous mentionnons in extenso : But “Rule no.1,” warns Mark Warren, product specialist at Osirium. “Insurance always wins !” Insurance will get more expensive, more difficult to get, and less likely to pay out. “As a result, more organizations may decide not to take out insurance at all, instead focusing on ploughing resources into protection. If this happens, we can expect to see insurance companies partnering with big consulting firms to offer joined up services.”
https://www.securityweek.com/cyber-insights-2023-cyberinsurance/

27 janvier 2023

Tik Tok prend une amende de 5 millions d’euros par la CNIL pour sa gestion défaillante des cookies (de petits fichiers qui permettent par exemple de maintenir une connexion active ou de tracer les pérégrinations numériques des visiteurs) : les utilisateurs ne pouvaient pas facilement les refuser :
https://thehackernews.com/2023/01/tiktok-fined-54-million-by-french.html

Le Département de la Défense étasunien lance sont troisième programme de bug bounty, appellé “Hack the Pentagon” : des récompenses sont proposées aux personnes qui trouveraient des vulnérabilités sur leurs systèmes :
https://www.securityweek.com/hack-pentagon-30-bug-bounty-program-focus-facility-control-systems

De l’intérêt des audits des code source (analyse du code d’un logiciel afin de trouver d’éventuelles vulnérabilités) : un tel exercice a permis de découvrir des vulnérabilités sur Git, un logiciel de dépôt et de gestion de code très utilisé. Particulièrement sensible parce que leur exploitation peut être particulièrement critique, puisqu’il s’agit de code source :
https://www.securityweek.com/critical-git-vulnerabilities-discovered-source-code-security-audit

D’après cette étude, les paiements de rançon suite à une attaque par rançongiciel ont significativement diminué en 2022. Non pas que le nombre d’attaques se soit réduit, mais de plus en plus de victimes refusent simplement de payer. Probablement parce que les capacités de résilience progressent, mais aussi parce que le fait de payer augmente la probabilité de nouvelles attaques… :
https://www.theregister.com/2023/01/19/ransomware_payments_down/

Pour ceux que ChatGPT continue d’intéresser - et force est de constater que certains de ses résultats sont assez étonnants - un article sur les risques et menaces que porte ce genre de service, dans un contexte cyber et social. Les futures capacités à détecter du texte généré par des machines semble un enjeu majeur :
https://arxiv.org/pdf/2210.07321.pdf

D’ailleurs, des chercheurs de CyberArks Labs ont fait coder par ChatGPT un malware évolutif apparemment doté de très bonnes capacités d’évasion, c’est-à-dire de furtivité vis-à-vis des logiciels antivirus :
https://www.itpro.co.uk/security/malware/369881/highly-evasive-polymorphic-malware-generated-chatgpt

Quelques challenges que pourront affronter les SOC en 2023. Entre autres : les rançongiciels détruiront probablement davantage qu’ils ne chiffreront, les applications en frontal d’internet continueront d’être des vecteurs d’accès frauduleux initiaux… et toujours autant de difficultés à recruter des experts :
https://securelist.com/soc-socc-predictions-2023/108512/

Les serveurs du groupe de fournisseurs de services pour rançonneurs Hive saisis par les polices de 10 pays. Ce groupe est responsable de l’attaque de 1300 entreprises et a amassé un butin de plus de 100 millions de dollars. Il semble que les autorités ont réussi à saisir des clés de déchiffrement, qui seront bien utiles aux victimes :
https://www.securityweek.com/hive-ransomware-operation-apparently-shut-down-by-law-enforcement/
https://www.securityweek.com/us-infiltrates-big-ransomware-gang-we-hacked-the-hackers/

Depuis le blocage par défaut des macros Office - un des plus importants vecteurs d’intrusion initiaux - les attaquants utilisent abondamment les fichiers LNK, des liens Windows. Ce type de schéma d’attaque ne nous rajeunit pas, puisqu’il remonte à Stuxnet (malware utilisé par les Israéliens et les USA contre le programme nucléaire Iranien en 2010). La force de ces attaques est que cela exploite une fonction intrinsèque de Windows, le fait de lancer des exécutables en fonction de metadata contenues dans les LNK :
https://www.theregister.com/2023/01/23/threat_groups_malicious_lnk/

Analyse technique d’un fichier malveillant OneNote, extension .one :
https://isc.sans.edu/diary/rss/29470

En mars, Microsoft commencera à bloquer par défaut les fichiers Excel XLL, vecteur de nombreux malwares. Ce sont des sortes de DLL qui s’ouvrent via Excel, en principe pour y adjoindre des fonctionnalités mais souvent pour perpétrer des dégâts :
https://www.theregister.com/2023/01/25/microsoft_excel_xll_closed/

Un vieux bug Python de 15 ans - un bon vieux path traversal) met en risque 350 000 projets open source et probablement des logiciels développés par Google, Intel ou AWS :
https://www.itpro.co.uk/development/open-source/369920/350000-open-source-projects-vulnerable-15-year-old-python-bug

Le nouveau responsable de la cyber japonaise, tout récemment nommé, confesse n’avoir jamais utilisé d’ordinateur. Certes, cela parait curieux. Mais en prenant un peu de recul… on peut tout à fait saisir et traiter les aspects essentiels des ordinateurs et de la cyber sans jamais en avoir été un expert ou un utilisateur :
https://www.bbc.com/news/technology-46222026.amp

Les victimes se rebiffent : le paiement de rançons par les entreprises suite à des attaques réussies est en diminution :
https://arstechnica.com/information-technology/2023/01/ransomware-victims-are-refusing-to-pay-tanking-attackers-profits/

Jeux vidéo : les attaquants qui ont réussi l’intrusion chez Riot Games demandent 10 millions de dollars pour cesser la publication du code source du jeu League of Legends, en particulier les parties contenant les fonctions de prévention de la triche (cheats code) :
https://www.vice.com/en/article/qjky8d/hackers-demand-dollar10m-from-riot-games-to-stop-leak-of-league-of-legends-source-code

15 janvier 2023

La véritable force cyber d’une organisation, en dernier recours, est sa résilience. Aussi efficaces que soient nos mesures de sécurité, il faut partir du principe que des attaquants motivés parviendront à les contourner. Dès lors la force est dans la résilience. La capacité à repartir, à continuer. Parfois, une option est le PCA : Papier Crayon Agenda. Plus sérieusement, pour bien se préparer, l’AFNOR a publié un document qui semble intéressant :
https://www.afnor.org/actualites/cyberattaques-afnor-organise-la-parade/

Nous aimons le code, les juristes aussi : le cyber fait son entrée dans le code des assurances par un arrêté du 13 décembre 2022 qui crée deux nouvelles catégories d’opérations dédiées au risque dit « cyber » :
https://www.argusdelassurance.com/juriscope/le-cyber-fait-son-entree-dans-le-code-des-assurances.209256

L’assureur britannique Beazley lance des cyber catastroph bonds, pour couvrir des préjudices de plus de 300 millions de dollars :
https://www.itpro.co.uk/security/cyber-security/369825/uk-insurer-announces-world-first-cyber-catastrophe-bond

Morgan Stanley condamnée à une amende de 35 millions de dollars pour avoir manqué à ses obligations de destruction de données (données personnelles et confidentielles concernant ses clients) lorsque ses vieux disques durs étaient décommisionnés ou revendus. Pour éviter qu’elles ne tombent en de mauvaises mains, les entreprises comme les particuliers doivent toujours s’assurer que les données présentes sur leurs disques sont bien détruites ou définitivement chiffrées avant de se séparer de leurs dispositifs de stockage :
https://fortune-com.cdn.ampproject.org/c/s/fortune.com/2022/09/21/morgan-stanley-fined-35-million-after-customer-data-auctioned-off-online/amp/

6 janvier 2023

Le CERT-FR alerte sur de nombreuses vulnérabilités affectant les produits Fortinet :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0002/
https://www.it-connect.fr/de-nombreux-produits-fortinet-affectes-par-des-vulnerabilites-alerte-le-cert-fr/

Des nouvelles de la cryptographie quantique : des chercheurs chinois disent avoir trouvé une façon de factoriser des clés RSA de 2048 bits avec des ordinateurs quantiques de "seulement" 372 q-bits, qui existent déjà. Si ce white paper se confirme, ça va secouer sur les serveurs, qu’il faudra vite faire évoluer vers des algos "post-quantiques", à la sécurité encore... jeune. Schneier pose une question intéressante : si c’est vrai, comment se fait-ils que l’État chinois n’ait pas classifié la découverte ?
https://www.schneier.com/blog/archives/2023/01/breaking-rsa-with-a-quantum-computer.html
https://arxiv.org/pdf/2212.12372.pdf


 
cryptosec
6 janvier 2023

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0