L'actualité infosec de la semaine - 29ème numéro (17 octobre au 23 octobre)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Ubuntu 17.04 - Nom de code enfin dévoilé
Comme à chaque nouvelle version d'Ubuntu, un nouveau nom de code composé d'animaux en tout genre va de pair avec la mise à jour. Cette fois, c'est le nom Zesty Zapus, qui a été trouvé. Zesty pour zeste de citron, et Zapus, qui est un rongeur nord-américain capable de faire des bonds et qui est le seul mammifère équipé de 18 dents.
Si vous le souhaitez, vous pouvez déjà faire vos spéculations sur le futur nom de code de la prochaine version, ça se passe sur le Wiki.
Source: http://korben.info/zesty-zapus-cest-reparti-tour.html
L'état français légalise la publication de failles de sécurité
Pour ceux qui ne le sauraient pas, en France, il était interdit de divulguer une faille de sécurité découverte sur un SI.
Ainsi, même si les intentions sont les plus louables du monde et qu'aucune exploitation n'était faite, cet acte restait illégal.
Le gouvernement français a changé de position depuis peu. Il est donc maintenant possible de publier une faille de sécurité découverte dans un système à l'ANSSI.
Pour ce faire, il suffit d'envoyer les informations techniques nécessaires via un email ou par courrier postal.
L'organisation promet de préserver la confidentialité des personnes présentant les failles envoyées.
Source : https://www.ssi.gouv.fr/en-cas-dinci...vulnerabilite/
Faire communiquer des Apps Android pour contourner les sécurités
C'est en effet ce que des chercheurs en sécurité informatique ont proposé lors d'une conférence internationale nommée Virus Bulletin.
Le mécanisme pour contourner les sécurités utilise les librairies d'échanges inter-applications afin qu'une application malicieuse mais sans privilèges puisse avoir des droits sur votre téléphone.
Ainsi l'application pourrait chercher une "voisine" ayant des droits d'accès à vos contacts ou à vos données et ensuite utiliser une application ayant des accès internet afin de les uploader vers un serveur de Command & Control.
Pour permettre la communication, les applications peuvent utiliser les préférences ou encore le stockage de données sur le carte SD ou la mémoire interne du téléphone.
La détection de ce genre de menace est d'autant plus compliquée que l'action malicieuse n'est alors pas effectuée par une seule application mais bien par un groupe, ce qui diminue donc la probabilité d'être découvert par un scan antivirus.
Les chercheurs ont alerté Google de cette possibilité et ont prié la société américaine d'améliorer ses dispositifs de défense contre ce genre d'attaques.
Source : https://threatpost.com/mobile-app-co...curity/121124/
Terrorisme - Orange censure ses utilisateurs
Si Orange est votre fournisseur d'accès Internet, vous avez peut-être lundi, observé des choses bizarres. En effet, plusieurs personnes, lorsqu’elles ont essayé de se connecter sur des sites légitimes comme google.fr, se sont retrouvées avec ce message :
« VOUS AVEZ ÉTÉ REDIRIGÉ VERS CETTE PAGE DU SITE DU MINISTÈRE DE L’INTÉRIEUR CAR VOUS AVEZ TENTÉ DE VOUS CONNECTER À UN SITE DONT LE CONTENU INCITE À DES ACTES DE TERRORISME OU FAIT PUBLIQUEMENT L’APOLOGIE D’ACTES DE TERRORISME »
Ce qui s’est réellement passé, c'est que les DNS de chez Orange, ont fait correspondre google.fr avec des adresses de sites web terroristes, bloqués par le gouvernement. Petite frayeur donc, étant donné que ce bug n'a duré qu'une petite demi-heure.
Source: https://www.undernews.fr/libertes-ne...errorisme.html
Malware Mirai - Le botnet qui fait trembler internet
Il y a peu, le code source du botnet Mirai a été publié sur le Net. Cet immense botnet d'objets connectés (150 000 caméras de surveillance) est responsable de nombreuses attaques notamment contre OVH, un hébergeur, ou encore contre le blog du journaliste d’investigation en cybercrime KrebsOnSecurity. Aujourd'hui, ICS-CERT révèle qu'une nouvelle version du botnet a été créée, visant cette fois les passerelles cellulaires AirLink du constructeur Sierra Wireless. Le but est d’ajouter ce type d’appareil à la gigantesque armée d’objets connectés déjà intégrés au botnet Mirai.
L'ampleur du botnet ne cesse donc de grandir, et on recense à l'heure actuelle plus d' 1,2 million d’appareils.
Cette semaine, de grands noms du web tels que Twitter, Netflix ou encore PayPal en ont fait les frais via une attaque sur Dyn DNS.
Dyn DNS est un service extrêmement utilisé permettant à des sites disposant d’adresses IP dynamiques ou changeantes de disposer d’une seuls URL, l’entreprise se charge ensuite de fournir le service permettant de rediriger l’internaute vers la bonne adresse IP. Le botnet Mirai, et son immense force de frappe d'objets connectés, a attaqué le prestataire vendredi soir. De nombreux site ont été affecté, comme Spotify, GitHub, EBay ou encore Twitter. Cette attaque a eu d’énormes répercussion au États-Unis, et un peu moins en Europe, mais il s'agit du même mode opératoire que pour l'attaque DDoS visant l'hébergeur français OVH. Le botnet semble de plus en plus puissant, son réseau d'objets connectés ne cesse de croître.
Source :
- https://www.undernews.fr/malwares-vi...it-encore.html
- https://www.undernews.fr/hacking-hac...ns-du-web.html
- La carte du Botnet Mirai : https://intel.malwaretech.com/botnet/mirai/?h=24
Yevgeniy N - Le cybercriminel russe arrêté à Prague
Un homme d'une trentaine d'années vient d’être arrêté à Prague, par la police tchèque en collaboration avec le FBI. Le suspect aurait participé à des cyber-attaques contre les Etats-Unis, et serait également responsable des attaques massives contre le réseau social LinkedIn en 2012 qui auraient mené au vol de 6,5 millions de mots de passe d’utilisateurs, alors qu’il est aujourd’hui question de 167 millions de comptes touchés et de 117 millions de mots de passe dérobés. L’affaire aurait coûté entre 500 000 et 1 million de dollars au réseau social professionnel.
LinkedIn a confirmé que l'homme était directement lié au piratage.
Source: https://www.undernews.fr/hacking-hac...-a-prague.html
Linux : une faille vieille de 9 ans vient d'être découverte
Ce n'est pas habituel, mais c'est assez inquiétant : une faille vieille de 9 ans vient d'être découverte dans le noyau Linux.
En soi, cette faille n'est pas très importante. Elle permet une escalade de privilèges dans le noyau linux (un utilisateur passe en root sans en avoir les droits).
Cependant, plusieurs facteurs rendent sa correction incontournable :
- Il est très facile de produire un code l'exploitant de façon presque certaine
- Elle est déjà utilisée pour attaquer des systèmes
- Elle est située dans une zone du noyau linux présente dans toutes les distributions depuis environ 10 ans.
Ce serait ainsi des millions d'ordinateurs qui seraient vulnérables à cette faille.
Cependant, pas trop de panique, dans la mesure où le système doit déjà avoir été exploité et compromis (sur un compte utilisateur) pour que cette faille puisse être exploitée et pour qu'il y ait escalade de privilèges.
Il est donc conseillé de mettre son système à jour au plus vite.
Les plus grandes distributions ont d’ores et déjà sorti un patch de sécurité.
Source : http://thehackernews.com/2016/10/lin...l-exploit.html
Une fuite de données chez Four Square et Weebly
Si 2015 fut l'année du Ransomware, 2016 est l'année des fuites de données.
Après LinkedIn, Dropbox, Tumblr et Yahoo (pour ne citer qu'eux), c'est au tour de Four Square et Weebly de subir une fuite de données.
C'est ainsi près de 43 millions de comptes qui ont été dérobés. Mais pour une fois (comme dit l'expression, une fois n'est pas coutume), les mots de passe étaient stockés hachés et salés avec bcrypt, ce qui les rend très difficiles à craquer pour les pirates.
Pour respecter les traditions toutefois, la fuite de données se retrouve déjà chez LeakedSource.
Ainsi, même si les mots de passes ne peuvent pas facilement être attaqués, il est conseillé de modifier son mot de passe au plus vite.
Source : http://thehackernews.com/2016/10/wee...ta-breach.html
3.2 millions de cartes de crédit dérobées en Inde
Comme disait l'un de mes proches : "Les banques, ce sont les environnements les plus sécurisés au monde. Ils utilisent tellement de clefs cryptographiques qu'on ne peut pas les attaquer".
Au fond de moi, je me suis toujours dit qu'il n'y a pas plus belle proie que celle qui se croit la plus sécurisée. Et une fois de plus, les actualités me confortent dans mon idée. En effet, cette semaine c'est 3.2 millions de cartes de crédits en Inde qui ont été dérobées.
Parce que oui, utiliser la cryptographie c'est bien, mais encore faut-il l’implémenter correctement. Sinon, elle peut être affaiblie et les données peuvent être volées.
Dans le cas présent, les données sont celles envoyées par la bande magnétique de la carte.
Vous vous souvenez, cette bande magnétique qui servait à glisser pour payer ? Chez nous on ne l'utilise plus mais on comprend maintenant pourquoi. Un malware a permis d'affaiblir le chiffrement de cette transaction et donc de voler les numéros de comptes ainsi que les codes PIN des cartes.
Cette attaque a été remarquée quand des utilisateurs ont vu leurs comptes débités lors de paiements effectués en chine.
Même si les autorités bancaires se renvoient la balle, les faits sont là et une enquête forensique est nécessaire.
Rassurez-vous tout de même, les cartes Europay, MasterCard, et Visa n'utilisent pas le même système et restent donc sûres.
Pensez quand même à changer de code pin si vous avez une carte indienne (on ne sait jamais après tout).
Source : http://thehackernews.com/2016/10/ind...card-hack.html
By gohy, Anonyme77, L'OMBRE, Bioshock & _47