about me
 
 
cryptosec

Lectures de la semaine - 2023

2 mai 2023

En général, nous n’aimons pas les nombres un peu sensationnalistes comme celui-ci : 84% des entreprises utilisent des services SaaS récemment compromis. Mais au delà du pourcentage, que la proportion soit grande est relativement évident. Difficile de lister des critères fiables pour réduire ces risques, mais on peut évoquer : 1/ Les nouvelles sur de récentes compromissions, bien sûr ; 2/ Les certifications et compliances ; 3/ La présence sur des marketplaces bien établies. L’enjeu sous-jacent étant, comme souvent, l’inventaire : quelles applications cloud sont utilisées par les employés ? Ensuite on peut aussi se poser la question des droits positionnés sur ces applications et la sécurité des flux de données… :
https://thehackernews.com/2023/04/study-84-of-companies-use-breached-saas.html

Au cours d’une étude sur les risques d’attaques par supply chain, une société de cyber à trouvé des millions d’éléments problématiques comme des clés PGP, des clés d’API ou des mots de passe par défaut en particulier dans des dizaines de milliers de containers accessibles :
https://www.securityweek.com/millions-of-exposed-artifacts-found-in-misconfigured-cloud-software-registries/

Une zero day pour accéder de façon permanente (parce que discrète) à un compte Google, appelée GhostToken, en faisant d’une app tierce le cheval de Troie et en dissimulant l’accès malveillant de la page d’administration :
https://www.scmagazine.com/news/identity-and-access/ghosttoken-vulnerability-permanently-expose-data-google-users

Comment l’assurance cyber influence la sécurité des SI. La souscription à une assurance cyber pousse les entreprises à améliorer leur niveau de sécurité :
https://securityintelligence.com/articles/how-cyber-insurance-changed-cybersecurity/
Plusieurs chercheurs de l’Université du Quebec ont étudié la sécurité du code produit par ChatGPT. Ils ont analysé 21 programmes produits dans différents langages, fait corriger les programme par l’IA. Le résultat est surprenant. En synthèse : le code produit par ChatGPT n’est pas particulièrement sûr par défaut :
https://korben.info/chatgpt-securite-code.html (article de vulgarisation)
https://arxiv.org/pdf/2304.09655.pdf (lien direct vers la publication de l’étude)

PayPal victime de larges attaques par credential stuffing, mais on n’en saura pas beaucoup plus sur la façon de les détecter. Côté utilisateur, les mêmes conseils de base : n’utilisez jamais les mêmes mots de passe sur des sites différents, utilisez un gestionnaire de mots de passe (comme KeePass), utilisez l’authentification multifacteurs :
https://www.itpro.com/security/theres-only-one-way-to-avoid-credential-stuffing-attacks

Un article sur l’avenir du cyber, des SOC en particulier, au prisme de l’irruption de l’IA… pour dire en synthèse… qu’on en sait rien :
https://www.securityweek.com/cybersecurity-futurism-for-beginners/

Après quelques modifications demandées par la CNIL italienne dans le sens du respect des données personnelles, ChatGPT de retour sur les réseaux transalpins :
https://www.securityweek.com/openai-chatgpt-back-in-italy-after-meeting-watchdog-demands/

D’après ce rapport, une grande majorité de RSSI disent ne pas disposer des outils, du soutien et de la compréhension de la part de leur entreprise pour en assurer la sécurité. Bien que cela traduise, à n’en pas douter, une certaine réalité de la sécurité dans beaucoup d’entreprises, cela traduit aussi une vision bancale de la sécurité. Qui fait pleurnicher beaucoup de RSSI alors qu’ils devraient prendre leur parti : une entreprise qui n’investit pas, qui n’écoute pas son équipe sécurité est une entreprise qui prend des décisions concernant ses risques. Or la sécurité n’est que ça, gérer des risques. Donc pourvu qu’on avertisse bien tout le monde, un RSSI dans une entreprise qui montre une grande appétence aux risques peut bien être serein et détendu. En la matière, la seule situation problématique est celle où l’entreprise prend des risques mais sans vouloir les formaliser. Ou si l’on attend que l’équipe sécurité fasse des miracles en détection et réaction alors que la prévention est pourrie. Puisque l’on parle beaucoup d’IA ces derniers temps, une telle posture me semble pour encore longtemps - voire toujours - ne pouvoir être que le propre d’êtres humains. Une IA vous répéterait que les RSSI sont toujours tristes et malheureux parce qu’on ne les soutien pas et qu’on ne les écoute pas :
https://www.itpro.com/security/cyber-attacks/96-of-cisos-without-necessary-support-to-maintain-cyber-security

Le vulnérabilité CVE-2023-28252 qui impacte Windows est activement exploitée pour déployer le ransomware Nookoyawa. Installez les mises à jour dès que l’ordinateur vous y invite :
https://www.undernews.fr/malwares-virus-antivirus/une-vulnerabilite-zero-day-dans-microsoft-windows-exploitee-dans-les-attaques-du-ransomware-nokoyawa.html

Une vulnérabilité zero day sur Chrome, sur le moteur Javascript a priori. L’année dernière il y a eu 9 vulnérabilités critiques de ce type sur le navigateur de Google. Ce qui confirme, si besoin était, que sur le poste de travail tout doit être configuré en mise à jour automatique :
https://thehackernews.com/2023/04/google-releases-urgent-chrome-update-to.html

Une nouvelle entreprise israélienne, QuaDream, spécialisée dans la vente de logiciels d’espionnage - ciblant les iPhone en particulier, comme NSO avec Pegasus -, en particulier contre les journalistes et ONG, sous le feu des projecteurs allumés par Citizen Labs. Elle est sur le point de mettre la clé sous la porte :
https://thehackernews.com/2023/04/israeli-spyware-vendor-quadream-to-shut.html

Les assureurs cyber font du lobbying pour un governmental backstop. L’idée est qu’en cas d’attaque systémique, majeure, l’État se porte garant en dernier recours. Ce qui, d’après les assureurs, permettrait de développer le marché de l’assurance cyber :
https://www.securityweek.com/cyberinsurance-backstop-can-the-industry-survive-without-one/

NSO aurait implémenté et utilisé trois attaques de type zero-click - c’est-à-dire ne nécessitant aucune action de la cible pour la compromission dans son outil offensif Pegasus, d’après un nouveau rapport de Citizen Lab :
https://www.securityweek.com/nso-group-used-at-least-3-ios-zero-click-exploits-in-2022-citizen-lab/

Le CEO d’une entreprise finlandaise qui conservait des données médicales et a été piratée a été condamné à trois mois de prison pour négligence - il était au courant des vulnérabilités, dont certaines avaient déjà été exploitées et il n’a rien fait : “[…] modern breach disclosure and data protection regulations, such as the GDPR in Europe, make it clear that data breaches can’t simply be “swept under the carpet” any more, and must be promptly disclosed for the greater good of all” :
https://nakedsecurity.sophos.com/2023/04/18/ex-ceo-of-breached-pyschotherapy-clinic-gets-prison-sentence-for-bad-data-security/

S’il y a parmi vous des hispanophones, ou des qui voudraient le devenir, un petit article sur la cryptographie quantique et les algorithmes qui pourraient y résister dans la langue du manchot de Lépante :
https://www.securityartwork.es/2023/04/19/ciberseguridad-en-la-era-de-la-computacion-cuantica/

Et si vous avez apprécié l’Espagnol pour lire des nouvelles du monde cyber, un rapport sur l’influence du domaine cyber dans la guerre Russie - Ukraine :
https://www.securityartwork.es/2023/04/24/impacto-del-ciberespacio-en-el-actual-conflicto-entre-rusia-y-ucrania/

Des entreprises exposées à des attaques parce que leurs routeurs réformés n’ont pas été correctement effacés, d’après une étude d’ESET :
https://www.securityweek.com/enterprises-exposed-to-hacker-attacks-due-to-failure-to-wipe-discarded-routers/

Un podcast sur Fortran ! (transcrit à l’écrit). Certains d’entre-nous ont appris à coder avec ce langage… dont le premier programme a tourné le 19 avril 1957 et qui continue à être utilisé (pour ceux qui s’imaginent que l’informatique est toujours un truc de jeunes) :
https://nakedsecurity.sophos.com/2023/04/20/s3-ep131-can-you-really-have-fun-with-fortran/

Microsoft lance une initiative pour favoriser l’arrivée de plus de femmes dans le cyber. L’article rappelle que les femmes ont été pionnières dans le domaine du développement, puis que leur nombre dans l’informatique a décru à partir des années 80. Et qu’embaucher des femmes ne changera pas, en soi, la question des inégalités salariales entre hommes et femmes, qui s’observent aussi dans notre domaine :
https://www.theregister.com/2023/04/21/microsoft_women_cybersecurity/

Vous savez que le terme de hack n’est pas, au sens propre, synonyme de piratage, nous l’avons déjà expliqué ici. C’est une façon comprendre quelque chose, sans forcément en avoir toute la documentation, hors des méthodes académiques classiques et de le réparer, de le détourner de son usage initial, éventuellement d’en contourner les limites. Ou la sécurité. Cette activité peut donc s’appliquer à tout sujet, et, en particulier… à la religion. C’est ce qu’explique le cryptographe Bruce Schneier avec une anecdote qu’il a consignée pour son prochain livre, A Hacker’s Mind : au XVIIe et XVIIIe siècle, dans le nord de l’Europe - au Danemark, souvent - certains avaient résolu le problème de l’enfer éternel promis aux suicidés. S’ils voulaient en finir ils tuaient quelqu’un, acceptaient placidement leur arrestation et condamnation à la peine capitale puis se repentaient devant un prêtre juste avant l’exécution. Un hack de la religion chrétienne qui a pris fin avec l’abolition de la peine de mort :
https://www.schneier.com/blog/archives/2023/04/hacking-suicide.html

S’inspirer de l’industrie aéronautique en ne stigmatisant plus les erreurs cyber (comme on stigmatise moins les erreurs des pilotes) permet de mieux tirer des leçons de nos fails et de progresser :
https://www.theregister.com/2023/04/14/aviations_just_culture_improves_cybersecurity/

Un jeune militaire de 21 ans arrêté pour les fuites d’informations très confidentielles issues de l’armée US. Ce qui interpelle est qu’un tel profil, a priori sans habilitations très élevées, ait pu avoir accès à de telles données. Soit il n’était pas seul soit… soit ils vont devoir faire de l’ordre. Mais qui leur jetterait la pierre ?
https://www.securityweek.com/fbi-arrests-21-year-old-guardsman-in-leak-of-classified-military-documents/

Correction d’une vulnérabilité critique par Microsoft, activement exploitée dans des attaques réelles :
https://www.scmagazine.com/news/vulnerability-management/microsoft-patches-zero-day-under-active-attack

Utilisation, trucs et astuces d’utilisation de ChatGPT en cyber, détection de phishing, social engineering, réponse à incident, avec exemples dans le texte :
https://securityblueteam.medium.com/chatgpt-for-offensive-and-defensive-cyber-f954f51aa79f

Les transformations numériques, le travail à distance et le paysage des menaces en constante évolution nécessitent des outils de sécurité réseau et des compétences variés. Détourage des compétences et activités d’un bon ingénieur sécurité réseau :
https://securityintelligence.com/articles/what-does-a-network-security-engineer-do/

En synthèse : aimez-nous et laissez-nous dormir ;)
https://www.presse-citron.net/sous-estimes-epuises-et-isoles-lappel-a-laide-des-francais-de-la-cybersecurite/

3 avril 2023

Le 30 mars 2023, l’éditeur 3CX a publié un communiqué concernant la compromission de leur application de bureau 3CX Desktop App. Cette application de conférence vocale et vidéo, dans certaines versions, est infectée par un cheval de Troie qui rend possible le déploiement d’une charge utile à des fins malveillantes. Les attaquants auraient accès depuis des mois :
https://www.3cx.com/blog/news/desktopapp-security-aler
https://www.securityweek.com/mandiant-investigating-3cx-hack-as-evidence-shows-attackers-had-access-for-months/

MacStealer, un malware sur MacOS qui dérobe des documents, cookies et éléments d’authentification et qui les exfiltre via un C2 Telegram. Le temps où certains disaient que Mac était à l’abri des virus est vraiment révolu… :
https://thehackernews.com/2023/03/new-macstealer-macos-malware-steals.html

En parallèle de la conférence CanSecWest à Vancouver se tient le concours Pwn2Own (to pwn signifie compromettre, posséder, dans le jargon cyber) et cette année il a été particulièrement fertile. Citons en particulier une équipe de la société française Synacktiv qui a réussi à prendre le contrôle d’une Tesla Model 3 (et à empocher le prix de 100 000 dollars) :
https://www.schneier.com/blog/archives/2023/03/hacks-at-pwn2own-vancouver-2023.html

Nous avions évoqué il y a peu le retour des DDoS (dénis de service distribués…) voilà que nous avons porté le mauvais œil à l’Assemblée Nationale : son site est tombé, off une partie de la journée de lundi dernier, attaqué par un groupe pro-Russe. D’ailleurs, les bonnes vieilles attaques DDoS sur les DNS devraient bientôt faire leur retour :
https://www.lemondeinformatique.fr/actualites/lire-une-attaque-ddos-fait-tomber-le-site-web-de-l-assemblee-nationale-89966.html
https://www.theregister.com/2023/03/29/ddos_dns_attacks_are_oldschool/

Un groupe d’attaquants d’Asie du sud-est cible - à des fins d’espionnage - des entités et industries du secteur nucléaire Chinois :
https://www.securityweek.com/chinas-nuclear-energy-sector-targeted-in-cyberespionage-campaign/

Bitwarden, le gestionnaire de mots de passe en ligne sort un correctif de sécurité pour une vulnérabilité vieille de quatre ans :
https://www.itpro.co.uk/security/cyber-security/370288/bitwarden-to-release-fix-for-four-year-old-vulnerability

La Chine, par l’intermédiaire de l’une de ses agences, demande à Apple de renforcer la sécurité et la privacy de ses produits :
https://www.theregister.com/2023/03/29/china_asks_apple_improve_security/

En Russie et Europe de l’Est des utilisateurs pensent installer un navigateur Tor… ils installent une version contenant un cheval de Troie qui leur dérobera leurs cryptomonnaies. Confirmation qu’il faut rigoureusement appliquer quelques règles d’or comme “mettez à jour”, “ne cliquez pas n’importe où” et… “ne téléchargez pas les logiciels que vous voulez installer depuis n’importe où”. Que depuis les sites officiels. Toujours. si vous doutez, demandez à des gens qui savent :
https://thehackernews.com/2023/03/trojanized-tor-browser-installers.html

La CNIL italienne ordonne le blocage immédiat - mais temporaire - de ChatGPT au motif d’une utilisation non conforme au RGPD des données d’apprentissage. Outre les garanties quant à ce qu’ils font des données que les gens y entrent, il est vrai aussi que les résultats de ChatGPT ne sont jamais sourcés :
https://www.bbc.com/news/technology-65139406

Microsoft a présente Security Copilot, un outil d’analyse sécurité destiné aux défenseurs et reposant sur ChatGPT-4. Il est probable que ces outils (et les équivalents qui ne manqueront pas d’apparaitre dans l’avenir) bouleverseront nos métiers cyber. L’outil semble capable de faire des recherches “comme un analyste sécurité” sur un SIEM ou de rédiger des PowerPoint de synthèse (ce dernier point, soit dit en passant, dénote de certaines compétences mais certainement pas d’intelligence, PowerPoint étant réputé rendre bête… ;) ) :
https://thehackernews.com/2023/03/microsoft-introduces-gpt-4-ai-powered.html

Impossible de dire combien, mais l’IA remplacera sans doute de nombreux emplois. En particulier parce qu’elle donnera des compétences rédactionnelles à des gens qui n’en ont pas : "Journalists will therefore face more competition, which would drive down wages, unless we see a very significant increase in the demand for such work." Ce qui est fascinant est que peu de monde semble se préoccuper de la qualité littéraire de la production. Or les IA - pour le moment ? - ne font que de la mélasse mêlant lieux communs et langue de bois :
https://www.bbc.co.uk/news/technology-65102150

Les autorités britanniques tentées par la surveillance de masse avec l’Online Safety Bill, dont l’accès aux communications chiffrées. Antidémocratique et techniquement illusoire. D’ailleurs, WhatsApp ou Signal ont d’ores et déjà dit qu’ils ne collaboreraient pas : “The most effective circumvention will come when liberal governments understand you cannot beat cybercriminality by becoming a legal cybercriminal.”
https://www.securityweek.com/uk-introduces-mass-surveillance-with-online-safety-bill/
https://www.theguardian.com/technology/2023/mar/09/whatsapp-end-to-end-encryption-online-safety-bill

27 mars 2023

Le constructeur de voitures rouges Ferrari a écrit à ses clients pour leur annoncer que suite à une intrusion certaines de leurs données personnelles sont tombées entre de mauvaises mains. Un confirmation des nouvelles techniques d’attaquants qui préfèrent désormais souvent voler des données plutôt que les chiffrer. Le cheval rouge va devoir se faire curer les sabots numériques :
https://www.theregister.com/2023/03/21/ferrari_cyber_incident_data_theft/

Le ransomware CatB se sert de la technique du DLL Search Order Hijacking (qui consiste par exemple à mettre une DLL malveillante dans un répertoire qui sera parcouru avant celui où se trouve une DLL légitime) pour échapper aux détections. Il a aussi des méthodes pour détecter s’il s’exécute dans une VM ou pas (potentiellement une VM d’analyse ou de sandboxing) :
https://thehackernews.com/2023/03/researchers-shed-light-on-catb.html
https://attack.mitre.org/techniques/T1574/001/

Après la Commission européenne, le gouvernement UK ou la BBC c’est au tour de toute l’administration française de bannir TikTok des téléphones des 2,5 millions de fonctionnaires. Les français ajoutent la mention de toute “application récréative”, comme Netflix ou Candy Crush (qui joue encore à ça ?). Il est probable que TikTok ne fasse pas bien pire que les applications de WhatsApp, Facebook, Twitter & Co. Il est donc aussi probable que ces mesures visent à se prémunir d’un risque jugé inacceptable venant de Chine, mais acceptable venant des USA :
https://www.francebleu.fr/infos/societe/tiktok-la-france-interdit-les-applications-recreatives-sur-telephones-des-fonctionnaires-d-etat-8513804
https://www.theregister.com/2023/03/20/british_broadcasting_corporation_softbans_tiktok/
https://edition.cnn.com/2023/03/21/tech/tiktok-national-security-concerns/index.html

Si vous utilisez les robots conversationnels à la mode - ChatGPT - attention si vous téléchargez des plug-in. Ici une extension Chrome qui s’avère malveillante, vol d’accès Facebook :
https://thehackernews.com/2023/03/fake-chatgpt-chrome-browser-extension.html

Nous savons tous les risques qui existent à brancher une clé USB sur son ordinateur, le cas le plus emblématique d’infection par un malware étant l’attaque en 2010 contre la centrale iranienne d’enrichissement d’uranium de Natanz par le malware Stuxnet. Mais il y a maintenant des attentats à la clé USB… qui explosent physiquement, c’est ce qui est arrivé à des journalistes équatoriens :
https://www.bitdefender.com/blog/hotforsecurity/danger-usb-journalists-sent-exploding-flash-drives/
https://fr.wikipedia.org/wiki/Stuxnet

L’Assemblée nationale adopte le principe de la surveillance vidéo biométrique à l’occasion des JO, “une des technologies les plus dangereuses jamais déployées“, d’après la Quadrature du Net. Outre les risques concernant les libertés individuelles que pose une telle démarche - en particulier en imaginant l’advenue d’un régime autoritaire, hypothèse qui devient de jour en jour plus plausible - , les autorités commettent la même erreur que celle qui a finalement couté très cher aux États-Unis le 11 septembre 2001 : croire que des moyens technologiques de surveillance peuvent remplacer des moyens humains :
https://www.theregister.com/2023/03/24/al_surveillance_french/
https://www.laquadrature.net/2023/03/23/la-france-premier-pays-deurope-a-legaliser-la-surveillance-biometrique/

Prévention du burn-out parmi les professionnels de la cyber, et pas que chez les CISO. Parmi les symptômes ils citent : cynisme et détachement, épuisement émotionnel, perte de confiance en soi et du sentiment de bien faire son travail. Parmi les causes, ils citent l’incertitude inhérente à notre domaine (quand arrivera la prochaine attaque ?) ou la conscience de l’impact en cas de défaillance. S’il faut bien sûr évoquer la surcharge de travail, nous ajouterons aussi la multiplicité des injonctions contradictoires (par exemple : sécurisez mais laissez-nous libre de faire ce que nous devons faire), caractéristique de notre domaine :
https://www.securityweek.com/burnout-in-cybersecurity-can-it-be-prevented/

20 mars 2023

Une vulnérabilité à classer patch now, CVE-2023-23397. Sévérité CVSS élevée (9.8), elle est aussi d’une exploitation aisée : par simple envoi d’un courriel, la cible émet une requête NetNTLMv2 qui peut conduire à la compromission de son mot de passe. Certes, bien des réseaux proscrivent les requêtes sortantes en SMB et implémentent du MFA en sus du mot de passe… mais tout de même, elle est sévère :
https://nakedsecurity.sophos.com/2023/03/15/microsoft-fixes-two-0-days-on-patch-tuesday-update-now/

Les progrès de ce qui est souvent improprement appelé “IA” rendent chaque fois plus floues les frontières entre le réel et le fake. Cet article (dont la version intégrale est restreinte) l’évoque. Si cela ouvrira de nouvelles possibilité d’attaques cyber, nous avions aussi déjà évoqué cette évolution dans cette newsletter, en disant notre conviction qu’elle induira un autre effet paradoxal : alors que les moyens numériques ne cessent de prendre de l’importance dans nos vies, probablement que le principe de témoin humain, de personne physique qui va rapporter des faits, une personne en qui on a confiance, va prendre plus d’importance. Dans la vie courante, ce métier est celui de journaliste :
https://www.lemonde.fr/pixels/article/2023/03/17/l-intelligence-artificielle-pour-modifier-sa-voix-pour-un-etre-humain-la-difference-va-devenir-impossible-a-detecter_6165967_4408996.html

Meta propose une nouvelle méthodologie kill chain, qui est une façon de modéliser les différentes phases d’une attaque. Là où la kill chain propose 7 phases, celle de Meta en propose 10 : Acquiring assets / Disguising assets / Gathering information / Coordinating and planning / Testing platform defenses / Evading detection / Indiscriminate engagement / Targeted engagement / Compromising assets / Enabling longevity. L’un des objectifs est d’embrasser davantage que les “simples” attaques cyber, comme les fraudes, les opérations d’influence, le trafic d’êtres humains ou les recrutements terroristes par exemple :
https://www.securityweek.com/meta-develops-new-kill-chain-thesis/

Un flash de la DGSI dédié aux risques associés aux visioconférences, agrémenté d’exemples. Dans l’un de ces exemples, le fait qu’un interlocuteur n’allume pas sa caméra et enregistre les sessions auxquels il participe a été un des éléments permettant de découvrir une opération d’espionnage industriel :
https://www.dgsi.interieur.gouv.fr/sites/dgsi/files/2023-03/Flash ingérence février 2023 - Risques visioconférences.pdf

L’engouement pour ChatGPT et modèles d’IA similaires ne doit pas faire oublier les règles basiques de partage d’informations. Ne pas poser d’information internes sur une plateforme non sûre. Selon une étude, les salariés ont tendance à soumettre des requêtes intégrant des données sensibles, parce que plus vous donnez de contexte, plus les résultats seront précis. Les conversations sont aujourd’hui restreintes mais les roadmaps prévoient un stockage et une réutilisation des informations rendant ainsi les informations divulguées accessibles à d’autres utilisateurs. D’après une étude Cyberhaven, 2.3% des employés ont déjà mis sur le robot conversationnel des données confidentielles et de plus en plus d’entreprise en bloquent l’accès :
https://www.lemondeinformatique.fr/actualites/lire-les-salaries-partagent-trop-de-donnees-sensibles-avec-chatgpt-89759.html
https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt/

Ce rapport d X-Force, l’équipe sécurité la plus en pointe d’IBM, donne quelques chiffres intéressants : 26% des vecteurs initiaux des attaques sont des exploitations de vulnérabilités d’applications exposées tandis que 25% sont des courriels de phishing. En 2022, finance et assurance sont en deuxième position des cibles avec 19% des attaques, juste derrière Manufacturing.
https://www.ibm.com/downloads/cas/DB4GL8YM

D’après ce rapport de plusieurs acteurs du monde cyber, 76% des vulnérabilités exploitées par les gangs déployant des ransomware sont antérieures à… 2020. Autrement dit, si vous déployez les correctifs de sécurité vous diminuez drastiquement vos risques de voir toutes vos données chiffrées et/ou exfiltrées :
https://cybersecurityworks.com/howdymanage/uploads/file/Ransomware Report 2023_compressed.pdf

La Belgique se dote d’une législation permettant aux hackeurs éthiques de chercher des vulnérabilités sur les entreprises sans risquer de poursuites, sans avoir été mandatés :
https://lejournalduhack.com/la-belgique-adopte-une-loi-qui-autorise-les-hackeurs-ethiques-a-pirater-les-entreprises-belges-pour-detecter-des-vulnerabilites/

Description d’une petite enquête en ligne intéressante pour trouver l’identité réelle de quelqu’un soupçonné d’avoir commercialisé depuis des années la malware NetWire :
https://krebsonsecurity.com/2023/03/whos-behind-the-netwire-remote-access-trojan/

Cela parait évident, cette étude de Trend le confirme : payer les rançons augmente significativement les moyens des attaquants, et déclenche donc de nouvelles attaques. En interne, dans la plupart des cas, payer une rançon ne fait souvent qu’augmenter le coût de l’incident :
https://www.itpro.co.uk/security/ransomware/370132/paying-ransomware-gangs-fund-10-additional-attacks

La protection des données de leurs propres moyens d’accès commence à être une préoccupation sérieuse des fournisseurs cloud. Ici, Google lance son chiffrement de messages côté client (client-side encryption, CSE). Ils s’en occupent, mais l’option est payante : elle ne sera disponible que pour les clients business :
https://www.itpro.co.uk/security/370143/what-you-need-to-know-about-googles-new-client-side-encryption-gmail

Des gouvernements et grandes entreprises ciblées par l’exploitation de la zero-day CVE-2022-41328 (CVSS score : 6.5) sur Fortinet, path traversal qui permet ensuite d’exécuter des commandes :
https://thehackernews.com/2023/03/fortinet-fortios-flaw-exploited-in.html

24 février 2023

Un peu de la sécurité de Twitter devient payante, en l’espèce l’authentification par SMS. Une grande partie de la communauté de l’infosec est passée sur Mastodon :
https://thehackernews.com/2023/02/twitter-limits-sms-based-2-factor.html

Google a payé 12 millions de dollars en bug bounty à plus de 700 chercheurs en sécurité de part le monde, la plus grosse prime pour la découverte de vulnérabilités ayant été de 605000 dollars :
https://www.securityweek.com/google-paid-out-12-million-via-bug-bounty-programs-in-2022/

En février, Fortinet a émis 40 alertes de sécurité, dont une, la CVE-2022-39952, affecte FortiNAC. Pour cette dernière un exploit public existe et des exploitations ont été observées. Mises à jour impérative :
https://www.securityweek.com/fortinet-fortinac-vulnerability-exploited-in-wild-days-after-release-of-patch/
https://www.securityweek.com/fortinet-shares-clarifications-on-exploitation-of-fortinac-vulnerability/

La commission européenne bannit Tik Tok des téléphones de ses employés pour raisons de sécurité :
https://www.securityweek.com/tiktok-banned-from-eu-commission-phones-over-cybersecurity/

17 février 2023

Revenons rapidement sur le panorama de la cybermenace 2022 de l’ANSSI, que nous avions annoncé mais pas encore lu sérieusement. Ils relèvent 831 intrusions avérées en 2022 et disent : « Les acteurs malveillants poursuivent l’amélioration constante de leurs capacités à des fins de gain financier » et complètent en précisant que ces attaques à but crapuleux sont les plus courantes en 2022. Parmi les vecteurs d’attaque observés par l’agence figurent les usages numériques non maîtrisés, les nouveaux usages (comme la virtualisation), le cloud… Concernant les attaques étatiques, l’ANSSI remarque que les attaquants utilisent de plus en plus des « codes et de méthodes traditionnellement employés dans le milieu cybercriminel ». Les équipements ciblés, eux, sont souvent périphériques au SI, pour plus de discrétion et de persistance. Concernant la baisse observée des attaques par ransomware par rapport à 2021, l’ANSSI évoque la guerre en Ukraine qui a polarisé les groupes d’attaquants et le choix de nouvelles cibles, l’Amérique Latine en particulier. Concernant les bonnes pratiques, sans surprise l’agence évoque « l’application rigoureuse d’une politique de mises à jour et du Guide d’hygiène informatique de l’ANSSI, une sensibilisation régulière des utilisateurs et le développement de capacités de détection et de traitement d’incident permettent de se prémunir des menaces les plus courantes ».
https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/

D’après les USA et la Corée du Sud, des groupes d’attaquants de Corée du Nord mèneraient des attaques avec demandes de rançon contre des hôpitaux – entre autres – pour financer d’autres attaques, plus stratégiques (espionnage) :
https://www.securityweek.com/us-south-korea-ransomware-attacks-fund-north-koreas-cyber-operations/

Increvable COBOL : une version de GCC pour Cobol, le tout aussi vénérable compilateur créé par Richard Stallman en 1987, vient de sortir :
https://lwn.net/Articles/922951/

Les données personnelles de la totalité des 9 millions de citoyens Autrichiens dérobées en ligne à cause d’une erreur de configuration d’un service Cloud :
https://www.itpro.co.uk/security/data-breaches/369941/dutch-hacker-steals-data-from-virtually-entire-population-of-austria

Cloudflare déclare avoir subi un DDoS HTTP montant en pic à 71 millions de requêtes par seconde, et émanant d’un réseau de bots de plus de 30 000 IP :
https://thehackernews.com/2023/02/massive-http-ddos-attack-hits-record.html

10 février 2023

Une vulnérabilité critique sur VMWare exploitée pour cibler des serveurs ESXi, du lourd (CVE-2021-21974, une vieille vulnérabilité corrigée par VMWare en février… 2021). Risques critiques de ransomware (appelé ESXiArgs dans ce cas) via des exécutions de commandes à distance sur le service OpenSLP (service sur le port 427 qui ne devrait pas être accessible si non utilisé). La France est à l’honneur sur cette vulnérabilité puisque c’est sur notre territoire que se trouvent la majorité des systèmes ciblés. L’autorité cyber italienne annonce qu’ils n’ont pas de signes ou de preuves que les attaques exploitant cette vulnérabilité émanent d’un État étranger. Mises à jour d’urgence si non encore fait :
https://thehackernews.com/2023/02/new-wave-of-ransomware-attacks.html
https://www.securityweek.com/many-vmware-esxi-servers-targeted-in-ransomware-attack-via-old-vulnerability/
https://www.reuters.com/technology/italys-govt-global-cyber-attack-did-not-come-state-entity-2023-02-06/

Quelques considérations intéressantes sur les attaques de type supply chain, l’un des types d’attaques les plus difficiles à déjouer parce que les codes malveillants sont injectés dans des sources de confiance (sources de mises à jour, repositories de code, etc.). L’exemple récent le plus critique a été SolarWinds, qui a touché des milliers d’organisations :
https://www.theregister.com/2023/02/05/supply_chain_security_efforts/

Le groupe d’attaquants liés à l’État iranien OilRig / APT34 - spécialisé dans les opérations d’intrusion à des fins d’espionnage - utilise un malware en .Net avec une particularité intéressante pour l’exfiltration des données accédées : ils utilisent des envois par courriel. Encore un cas de figure où des techniques et processus de DLP peuvent contribuer à stopper des attaques externes :
https://thehackernews.com/2023/02/iranian-oilrig-hackers-using-new.html

Une initiative intéressante qui consiste à lister des milliers d’adresses IP connues comme étant des proxy utilisés par l’infrastructure de DDoS KillNet. Peut-être utile de bloquer tout ça au niveau des pare-feu :
https://www.theregister.com/2023/02/06/killnet_proxy_ip_list/
https://github.com/securityscorecard/SSC-Threat-Intel-IoCs/blob/master/KillNet-DDoS-Blocklist/proxylist.txt

Reddit, un site web américain d’agrégation de nouvelles sociales, de classement de contenu et de discussion, a subi une cyberattaque dimanche soir, permettant aux attaquants d’accéder aux systèmes internes de l’entreprise et de voler des documents internes et du code source. Selon la société, les pirates ont utilisé une attaque de phishing ciblant les employés de Reddit avec une page d’accueil imitant son site intranet. So old school :
https://www.bleepingcomputer.com/news/security/hackers-breach-reddit-to-steal-source-code-and-internal-data/

Dès que ChatGPT est sorti, beaucoup ont bien sûr essayé de lui faire générer du code malveillant. Le système a des restrictions, mais nous avons nous-mêmes constaté qu’il était relativement aisé de les contourner. Maintenant, ce sont de véritables services payants qui proposent de les contourner… :
https://arstechnica.com/information-technology/2023/02/now-open-fee-based-telegram-service-that-uses-chatgpt-to-generate-malware/

3 février 2023

Du rififi au FIC : le Ministère des Armées lâche le FIC, le grand évènement cyber français. Initialement monté par la Gendarmerie, le FIC est maintenant co-organisé avec Avisa Partners. Si le Ministère évoque la hausse des prix de l’évènementiel, il est plus que probable qu’il y ait eu de sévères mésententes entre le Ministère, la DGSE et Avisa. Il faut dire qu’Avisa commence à être très défavorablement connue des services, du fait de ses activités de désinformation et de production de fake news. Ça sent le sapin pour le FIC. Avec un organisateur tel qu’Avisa à sa tête, c’est peut-être un mal pour repartir sur de meilleures bases :
https://www.challenges.fr/entreprise/defense/le-ministere-des-armees-lache-le-fic-le-grand-raout-du-cyber_843983
https://www.nextinpact.com/lebrief/69499/fakir-et-mediapart-revelent-entreprise-francaise-desinformation-massive
https://www.mediapart.fr/journal/france/270622/operation-intox-une-societe-francaise-au-service-des-dictateurs-et-du-cac-40

Après la mise à bas de l’infrastructure de ransomware Hive, le FBI étasunien rappelle que des récompenses totalisant 10 millions de dollars attendent ceux qui donneraient des informations sur d’autres groupes, Conti, nord-coréens ou Russes :
https://www.securityweek.com/us-reiterates-10-million-reward-offer-after-disruption-of-hive-ransomware/

Trucs et techniques pour identifier des messages de phishing malveillants :
https://tidbits.com/2023/01/16/an-annotated-field-guide-to-identifying-phish/

Si l’on ne sécurise pas correctement ses applications cloud, les attaquants trouvent le moyen de s’introduire. En l’occurrence via des authentifications vers des applications tierces via votre compte Microsoft. Et ensuite, open bar pour vols de données ou fraudes diverses et variées (BEC). Le cloud n’est pas magique, épisode 25624 :
https://www.theregister.com/2023/02/01/microsoft_oauth_attack_proofpoint/

Message de service, fait pour valoir ce que de droit : si vous avez des serveurs Exchange on-prem, mettez-les à jour :
https://thehackernews.com/2023/01/microsoft-urges-customers-to-secure-on.html

Où sont nos secrets ? Dans la plupart des cas, dans les grands SI, nous ne savons pas vraiment. Fichiers de configuration, scripts, code source, bases de données, documents, filers, messages… les secrets les plus critiques peuvent être un peu partout. Ce qui, bien sûr, ne facilite par leur protection. Déterminer où ils sont est un enjeu majeur. Encore une histoire d’inventaire… :
https://thehackernews.com/2023/01/you-dont-know-where-your-secrets-are.html

Où il est question des clauses d’exclusion des assurances cyber pour “actes de guerre”, en particulier chez Lloyd’s qui les a parfois utilisées dans le cas d’attaques émanant de services étatiques, ce qui a donné lieu à des suites judiciaires, les assurés n’étant pas enchantés des refus de leurs assureurs. Avec, en fin d’article, une conclusion intéressante que nous mentionnons in extenso : But “Rule no.1,” warns Mark Warren, product specialist at Osirium. “Insurance always wins !” Insurance will get more expensive, more difficult to get, and less likely to pay out. “As a result, more organizations may decide not to take out insurance at all, instead focusing on ploughing resources into protection. If this happens, we can expect to see insurance companies partnering with big consulting firms to offer joined up services.”
https://www.securityweek.com/cyber-insights-2023-cyberinsurance/

27 janvier 2023

Tik Tok prend une amende de 5 millions d’euros par la CNIL pour sa gestion défaillante des cookies (de petits fichiers qui permettent par exemple de maintenir une connexion active ou de tracer les pérégrinations numériques des visiteurs) : les utilisateurs ne pouvaient pas facilement les refuser :
https://thehackernews.com/2023/01/tiktok-fined-54-million-by-french.html

Le Département de la Défense étasunien lance sont troisième programme de bug bounty, appellé “Hack the Pentagon” : des récompenses sont proposées aux personnes qui trouveraient des vulnérabilités sur leurs systèmes :
https://www.securityweek.com/hack-pentagon-30-bug-bounty-program-focus-facility-control-systems

De l’intérêt des audits des code source (analyse du code d’un logiciel afin de trouver d’éventuelles vulnérabilités) : un tel exercice a permis de découvrir des vulnérabilités sur Git, un logiciel de dépôt et de gestion de code très utilisé. Particulièrement sensible parce que leur exploitation peut être particulièrement critique, puisqu’il s’agit de code source :
https://www.securityweek.com/critical-git-vulnerabilities-discovered-source-code-security-audit

D’après cette étude, les paiements de rançon suite à une attaque par rançongiciel ont significativement diminué en 2022. Non pas que le nombre d’attaques se soit réduit, mais de plus en plus de victimes refusent simplement de payer. Probablement parce que les capacités de résilience progressent, mais aussi parce que le fait de payer augmente la probabilité de nouvelles attaques… :
https://www.theregister.com/2023/01/19/ransomware_payments_down/

Pour ceux que ChatGPT continue d’intéresser - et force est de constater que certains de ses résultats sont assez étonnants - un article sur les risques et menaces que porte ce genre de service, dans un contexte cyber et social. Les futures capacités à détecter du texte généré par des machines semble un enjeu majeur :
https://arxiv.org/pdf/2210.07321.pdf

D’ailleurs, des chercheurs de CyberArks Labs ont fait coder par ChatGPT un malware évolutif apparemment doté de très bonnes capacités d’évasion, c’est-à-dire de furtivité vis-à-vis des logiciels antivirus :
https://www.itpro.co.uk/security/malware/369881/highly-evasive-polymorphic-malware-generated-chatgpt

Quelques challenges que pourront affronter les SOC en 2023. Entre autres : les rançongiciels détruiront probablement davantage qu’ils ne chiffreront, les applications en frontal d’internet continueront d’être des vecteurs d’accès frauduleux initiaux… et toujours autant de difficultés à recruter des experts :
https://securelist.com/soc-socc-predictions-2023/108512/

Les serveurs du groupe de fournisseurs de services pour rançonneurs Hive saisis par les polices de 10 pays. Ce groupe est responsable de l’attaque de 1300 entreprises et a amassé un butin de plus de 100 millions de dollars. Il semble que les autorités ont réussi à saisir des clés de déchiffrement, qui seront bien utiles aux victimes :
https://www.securityweek.com/hive-ransomware-operation-apparently-shut-down-by-law-enforcement/
https://www.securityweek.com/us-infiltrates-big-ransomware-gang-we-hacked-the-hackers/

Depuis le blocage par défaut des macros Office - un des plus importants vecteurs d’intrusion initiaux - les attaquants utilisent abondamment les fichiers LNK, des liens Windows. Ce type de schéma d’attaque ne nous rajeunit pas, puisqu’il remonte à Stuxnet (malware utilisé par les Israéliens et les USA contre le programme nucléaire Iranien en 2010). La force de ces attaques est que cela exploite une fonction intrinsèque de Windows, le fait de lancer des exécutables en fonction de metadata contenues dans les LNK :
https://www.theregister.com/2023/01/23/threat_groups_malicious_lnk/

Analyse technique d’un fichier malveillant OneNote, extension .one :
https://isc.sans.edu/diary/rss/29470

En mars, Microsoft commencera à bloquer par défaut les fichiers Excel XLL, vecteur de nombreux malwares. Ce sont des sortes de DLL qui s’ouvrent via Excel, en principe pour y adjoindre des fonctionnalités mais souvent pour perpétrer des dégâts :
https://www.theregister.com/2023/01/25/microsoft_excel_xll_closed/

Un vieux bug Python de 15 ans - un bon vieux path traversal) met en risque 350 000 projets open source et probablement des logiciels développés par Google, Intel ou AWS :
https://www.itpro.co.uk/development/open-source/369920/350000-open-source-projects-vulnerable-15-year-old-python-bug

Le nouveau responsable de la cyber japonaise, tout récemment nommé, confesse n’avoir jamais utilisé d’ordinateur. Certes, cela parait curieux. Mais en prenant un peu de recul… on peut tout à fait saisir et traiter les aspects essentiels des ordinateurs et de la cyber sans jamais en avoir été un expert ou un utilisateur :
https://www.bbc.com/news/technology-46222026.amp

Les victimes se rebiffent : le paiement de rançons par les entreprises suite à des attaques réussies est en diminution :
https://arstechnica.com/information-technology/2023/01/ransomware-victims-are-refusing-to-pay-tanking-attackers-profits/

Jeux vidéo : les attaquants qui ont réussi l’intrusion chez Riot Games demandent 10 millions de dollars pour cesser la publication du code source du jeu League of Legends, en particulier les parties contenant les fonctions de prévention de la triche (cheats code) :
https://www.vice.com/en/article/qjky8d/hackers-demand-dollar10m-from-riot-games-to-stop-leak-of-league-of-legends-source-code

15 janvier 2023

La véritable force cyber d’une organisation, en dernier recours, est sa résilience. Aussi efficaces que soient nos mesures de sécurité, il faut partir du principe que des attaquants motivés parviendront à les contourner. Dès lors la force est dans la résilience. La capacité à repartir, à continuer. Parfois, une option est le PCA : Papier Crayon Agenda. Plus sérieusement, pour bien se préparer, l’AFNOR a publié un document qui semble intéressant :
https://www.afnor.org/actualites/cyberattaques-afnor-organise-la-parade/

Nous aimons le code, les juristes aussi : le cyber fait son entrée dans le code des assurances par un arrêté du 13 décembre 2022 qui crée deux nouvelles catégories d’opérations dédiées au risque dit « cyber » :
https://www.argusdelassurance.com/juriscope/le-cyber-fait-son-entree-dans-le-code-des-assurances.209256

L’assureur britannique Beazley lance des cyber catastroph bonds, pour couvrir des préjudices de plus de 300 millions de dollars :
https://www.itpro.co.uk/security/cyber-security/369825/uk-insurer-announces-world-first-cyber-catastrophe-bond

Morgan Stanley condamnée à une amende de 35 millions de dollars pour avoir manqué à ses obligations de destruction de données (données personnelles et confidentielles concernant ses clients) lorsque ses vieux disques durs étaient décommisionnés ou revendus. Pour éviter qu’elles ne tombent en de mauvaises mains, les entreprises comme les particuliers doivent toujours s’assurer que les données présentes sur leurs disques sont bien détruites ou définitivement chiffrées avant de se séparer de leurs dispositifs de stockage :
https://fortune-com.cdn.ampproject.org/c/s/fortune.com/2022/09/21/morgan-stanley-fined-35-million-after-customer-data-auctioned-off-online/amp/

6 janvier 2023

Le CERT-FR alerte sur de nombreuses vulnérabilités affectant les produits Fortinet :
https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0002/
https://www.it-connect.fr/de-nombreux-produits-fortinet-affectes-par-des-vulnerabilites-alerte-le-cert-fr/

Des nouvelles de la cryptographie quantique : des chercheurs chinois disent avoir trouvé une façon de factoriser des clés RSA de 2048 bits avec des ordinateurs quantiques de "seulement" 372 q-bits, qui existent déjà. Si ce white paper se confirme, ça va secouer sur les serveurs, qu’il faudra vite faire évoluer vers des algos "post-quantiques", à la sécurité encore... jeune. Schneier pose une question intéressante : si c’est vrai, comment se fait-ils que l’État chinois n’ait pas classifié la découverte ?
https://www.schneier.com/blog/archives/2023/01/breaking-rsa-with-a-quantum-computer.html
https://arxiv.org/pdf/2212.12372.pdf


 
cryptosec
6 janvier 2023

 
 
 
 
 
Partager sur Twitter  |  Partager sur LinkedIn
 
Creative Commons - BY - NC - ND

Tous les textes, images et sons de cryptosec sont publiés selon les termes de la licence Creative Commons - Attribution - Pas d’Utilisation Commerciale - Pas de Modification - 3.0