L'actualité infosec de la semaine - 37ème numéro (18 Décembre 2016 au 03 Janvier 2017)
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Piratage de comptes Twitter par OurMine
Le groupe de pirates OurMine a piraté les comptes Twitter de Netflix, Sony (Ils ont annoncé le faux décès de Britney Spears), Marvel et du National Geographic Photography.
Ce n'est pas la première fois qu'il détournent des comptes Twitter, leur but est juste de pouvoir le faire. Leur signature est de laisser un tweet à l'intention des followers et du propriétaire du compte indiquant comment les contacter. Plusieurs voix se lèvent contre eux, il y a même une pétition sur le site change.org pour les arrêter.
Sources:
- http://www.welivesecurity.com/2016/1...itter-account/
- https://www.change.org/p/twitter-get...kers-shut-down
Cyberguerre, la nouvelle guerre aux relents de guerre froide ?
On s'en doutait déjà que les relations russo-américaines étaient au point mort, mais après la décision du président américain d'exclure 35 russes du territoire suite à une étude du Département de la sécurité américain (Étude reposant sur des adresses IP, un peu léger quand même !) sur une intervention russe dans le processus des élections présidentielles américaines de 2016, les soupçons se confirment. Cela intervient dans un contexte tendu pour la Russie accusée d'une part d'ingérence dans le processus américain des élections présidentielles, d'autre part d'attaques d'envergure envers l'Ukraine, plus de 6,500 dans les deux derniers mois. La Russie qui est aussi soupçonné d'attaque contre des centrales d'électricité en Ukraine ou encore dernièrement sur l'OSCE, organisation chargée d'observer le cessez-le-feu en Ukraine. Toutes ces attaques sont attribuées de près ou de loin à un groupe nommé APT28 ou Fancy Bear aux USA. La passivité de l'état américain se finirait-elle avec le mandat du président Obama ?
Sources:
- http://www.reuters.com/article/us-uk...-idUSKBN14I1QC
- http://www.lemonde.fr/international/...4744_3210.html
- https://foreignpolicy.com/2016/12/28...inst-the-osce/
- https://www.hackread.com/ukraine-pow...gy-plant-hack/
Une vulnérabilité dans PHPMailer (Wordpress, Joomla, Drupal, etc.) peut être exploitée pour exécuter du code arbitraire sur un serveur Web
Estimé à 9 millions d'utilisateurs dans le monde. Utilisé par de nombreux projets open-source: WordPress, Drupal, 1CRM, SugarCRM, Joomla !, etc. PHPMailer est probablement l'outil le plus populaire au monde pour envoyer des courriels depuis PHP
Http://phpmailer.worxware.com/
Un chercheur indépendant a révélé la semaine dernière une vulnérabilité critique dans PHPMailer. La vulnérabilité permettait à des attaquants distants et non authentifiés d'exécuter du code arbitraire dans le contexte de l'utilisateur du serveur web, et ainsi compromettre l'application Web visée et potentiellement une partie du serveur l'hébergeant.
La faille de sécurité réside dans le traitement de la plupart des types de formulaires engendrant l'envoi de mail, par exemple : formulaire de contact, d'ajout d’'avis clients, formulaires d'inscription, de récupération de compte etc.
À noter qu'il existe d'autres vecteurs d’'attaques, mais ceux-là seront divulgués ultérieurement pour ainsi permettre aux éditeurs de développer sereinement leurs patchs.
Sources :
- https://legalhackers.com/advisories/...0033-Vuln.html
- https://www.exploit-db.com/exploits/40968/
- https://github.com/opsxcq/exploit-CVE-2016-10033/
L'audit complet dOpenVPN est imminent
À l'instar du logiciel de chiffrement, Veracrypt il y a quelques mois, OpenVPN, permettant de créer des réseaux privés virtuels sera très prochainement audité.
La levée de fond organisée par l'OSTIF a atteint son objectif (71 000$) avec 2 semaines d'avance ! Les fonds collectés serviront à couvrir l'audit complet du logiciel par la société française Qualys.
Cependant, la campagne de don reste ouverte, l'argent collecté servira à financer le programme de Bug Bounty à destination d'OpenVPN, OpenSSL et Veracrypt, complétant ainsi les audits du prestataire.
Source : https://ostif.org/the-openvpn-fundra...-audit-begins/
La sécurité des photocopieurs, vous y avez pensé ?
Comme le constate Bruce Schneier, un photocopieur est, de nos jours, un ordinateur embarqué. Il possède sa mémoire, son système d'exploitation, sa carte mère et son disque dur. Un photocopieur effectue une photographie de(s) page(s) demandée(s) et enregistre le résultat sur son disque dur interne. Combien de fois la comptabilité de l'entreprise, les documents relatifs aux fournisseurs, les salaires ou tout autre documents confidentiels sont passés dans cet ordinateur ? Le problème réside dans le fait que si quelqu'un voulant nuire à la société arrive à récupérer le disque du photocopieur, il sera alors en possession de nombreux documents confidentiels. La menace est donc bien présente pour l'entreprise et il convient donc de la traiter comme les autres. Quelques conseils avisés: Effacer les disques des photocopieurs qui sortent de l'entreprise, vous pouvez utiliser DBAN pour cela. Si vous ne le faites pas, alors assurez-vous que votre prestataire d'impression le fasse (clause contractuelle).
Sources:
- http://www.dban.org/download
- https://www.schneier.com/blog/archiv...opier_sec.html
Et si on revenait à la machine à écrire ?
C'est la question que se posent plusieurs gouvernements suites aux nombreuses attaques et divulgations de bases de données en 2016. Question bien présente depuis les révélations de Snowden sur l'espionnage mondial et les techniques de piratage des services secrets américains. C'est le futur président des États-Unis, Donald Trump, qui a relancé le débat en annonçant "Je vais vous dire quelque chose: aucun ordinateur est sécurisé" et ensuite d'enchaîner avec "Je me fous de ce qu'ils disent. C'était mieux, de faire les choses «à l'ancienne» si on voulait une vraie sécurité." et de conclure son interview avec "Vous savez, si vous avez quelque chose de vraiment important, écrivez-le et faites-le livrer par messager". Cela a fait beaucoup réagir, et il est vrai qu'aucun système n'est totalement sécurisé. Cependant, il faut aussi relativiser et ne pas être trop rétrograde, demandez-donc aux 100 juges canadiens dont on a retrouvé des informations très personnelles (numéros de téléphones, adresses et nom d'épouses) sur une liste papier, dans un parking.
Sources:
- http://www.theverge.com/2017/1/2/141...-than-computer
- http://www.cbc.ca/news/canada/montre...-lot-1.3904938
Facebook veut en savoir toujours plus !
Non content de connaître au moins 98 informations personnelles sur vous, Facebook achèterait aussi des données venant de grosses régies publicitaires afin de parfaire sa connaissance de ses utilisateurs. C'est du moins ce que révèle l'étude de ProPublica, qui annonce que le "média social" se fournirait en données hors-ligne (données récupérées quand vous êtes déconnecté de Facebook). Le problème de ces fournisseurs de données est que si l'on ne veut pas être pisté, il faut alors le signifier via l'acceptation d'un cookie sur son navigateur par fournisseur, c'est la politique de l'Opt-Out. Cela est regrettable car l'Union Européenne recommande l'utilisation de l'Opt-In. Plus de données pour mieux cibler la publicité et faisons fi de la vie privée alors !
Sources:
- https://www.washingtonpost.com/news/...you/?tid=sm_tw
- https://www.propublica.org/article/f...ows-about-them
LEAKS de la semaine :
By L'OMBRE & _47
Comme chaque semaine voilà l'actu infosec by Hackademics, un condensé rapide et pragmatique hebdomadaire des news infosecs de la semaine écoulée.
Bonne lecture et n'hésitez pas à aller creuser les sujets (via les sources proposées).
Piratage de comptes Twitter par OurMine
Le groupe de pirates OurMine a piraté les comptes Twitter de Netflix, Sony (Ils ont annoncé le faux décès de Britney Spears), Marvel et du National Geographic Photography.
Ce n'est pas la première fois qu'il détournent des comptes Twitter, leur but est juste de pouvoir le faire. Leur signature est de laisser un tweet à l'intention des followers et du propriétaire du compte indiquant comment les contacter. Plusieurs voix se lèvent contre eux, il y a même une pétition sur le site change.org pour les arrêter.
Sources:
- http://www.welivesecurity.com/2016/1...itter-account/
- https://www.change.org/p/twitter-get...kers-shut-down
Cyberguerre, la nouvelle guerre aux relents de guerre froide ?
On s'en doutait déjà que les relations russo-américaines étaient au point mort, mais après la décision du président américain d'exclure 35 russes du territoire suite à une étude du Département de la sécurité américain (Étude reposant sur des adresses IP, un peu léger quand même !) sur une intervention russe dans le processus des élections présidentielles américaines de 2016, les soupçons se confirment. Cela intervient dans un contexte tendu pour la Russie accusée d'une part d'ingérence dans le processus américain des élections présidentielles, d'autre part d'attaques d'envergure envers l'Ukraine, plus de 6,500 dans les deux derniers mois. La Russie qui est aussi soupçonné d'attaque contre des centrales d'électricité en Ukraine ou encore dernièrement sur l'OSCE, organisation chargée d'observer le cessez-le-feu en Ukraine. Toutes ces attaques sont attribuées de près ou de loin à un groupe nommé APT28 ou Fancy Bear aux USA. La passivité de l'état américain se finirait-elle avec le mandat du président Obama ?
Sources:
- http://www.reuters.com/article/us-uk...-idUSKBN14I1QC
- http://www.lemonde.fr/international/...4744_3210.html
- https://foreignpolicy.com/2016/12/28...inst-the-osce/
- https://www.hackread.com/ukraine-pow...gy-plant-hack/
Une vulnérabilité dans PHPMailer (Wordpress, Joomla, Drupal, etc.) peut être exploitée pour exécuter du code arbitraire sur un serveur Web
Estimé à 9 millions d'utilisateurs dans le monde. Utilisé par de nombreux projets open-source: WordPress, Drupal, 1CRM, SugarCRM, Joomla !, etc. PHPMailer est probablement l'outil le plus populaire au monde pour envoyer des courriels depuis PHP
Http://phpmailer.worxware.com/
Un chercheur indépendant a révélé la semaine dernière une vulnérabilité critique dans PHPMailer. La vulnérabilité permettait à des attaquants distants et non authentifiés d'exécuter du code arbitraire dans le contexte de l'utilisateur du serveur web, et ainsi compromettre l'application Web visée et potentiellement une partie du serveur l'hébergeant.
La faille de sécurité réside dans le traitement de la plupart des types de formulaires engendrant l'envoi de mail, par exemple : formulaire de contact, d'ajout d’'avis clients, formulaires d'inscription, de récupération de compte etc.
À noter qu'il existe d'autres vecteurs d’'attaques, mais ceux-là seront divulgués ultérieurement pour ainsi permettre aux éditeurs de développer sereinement leurs patchs.
Sources :
- https://legalhackers.com/advisories/...0033-Vuln.html
- https://www.exploit-db.com/exploits/40968/
- https://github.com/opsxcq/exploit-CVE-2016-10033/
L'audit complet dOpenVPN est imminent
À l'instar du logiciel de chiffrement, Veracrypt il y a quelques mois, OpenVPN, permettant de créer des réseaux privés virtuels sera très prochainement audité.
La levée de fond organisée par l'OSTIF a atteint son objectif (71 000$) avec 2 semaines d'avance ! Les fonds collectés serviront à couvrir l'audit complet du logiciel par la société française Qualys.
Cependant, la campagne de don reste ouverte, l'argent collecté servira à financer le programme de Bug Bounty à destination d'OpenVPN, OpenSSL et Veracrypt, complétant ainsi les audits du prestataire.
Source : https://ostif.org/the-openvpn-fundra...-audit-begins/
La sécurité des photocopieurs, vous y avez pensé ?
Comme le constate Bruce Schneier, un photocopieur est, de nos jours, un ordinateur embarqué. Il possède sa mémoire, son système d'exploitation, sa carte mère et son disque dur. Un photocopieur effectue une photographie de(s) page(s) demandée(s) et enregistre le résultat sur son disque dur interne. Combien de fois la comptabilité de l'entreprise, les documents relatifs aux fournisseurs, les salaires ou tout autre documents confidentiels sont passés dans cet ordinateur ? Le problème réside dans le fait que si quelqu'un voulant nuire à la société arrive à récupérer le disque du photocopieur, il sera alors en possession de nombreux documents confidentiels. La menace est donc bien présente pour l'entreprise et il convient donc de la traiter comme les autres. Quelques conseils avisés: Effacer les disques des photocopieurs qui sortent de l'entreprise, vous pouvez utiliser DBAN pour cela. Si vous ne le faites pas, alors assurez-vous que votre prestataire d'impression le fasse (clause contractuelle).
Sources:
- http://www.dban.org/download
- https://www.schneier.com/blog/archiv...opier_sec.html
Et si on revenait à la machine à écrire ?
C'est la question que se posent plusieurs gouvernements suites aux nombreuses attaques et divulgations de bases de données en 2016. Question bien présente depuis les révélations de Snowden sur l'espionnage mondial et les techniques de piratage des services secrets américains. C'est le futur président des États-Unis, Donald Trump, qui a relancé le débat en annonçant "Je vais vous dire quelque chose: aucun ordinateur est sécurisé" et ensuite d'enchaîner avec "Je me fous de ce qu'ils disent. C'était mieux, de faire les choses «à l'ancienne» si on voulait une vraie sécurité." et de conclure son interview avec "Vous savez, si vous avez quelque chose de vraiment important, écrivez-le et faites-le livrer par messager". Cela a fait beaucoup réagir, et il est vrai qu'aucun système n'est totalement sécurisé. Cependant, il faut aussi relativiser et ne pas être trop rétrograde, demandez-donc aux 100 juges canadiens dont on a retrouvé des informations très personnelles (numéros de téléphones, adresses et nom d'épouses) sur une liste papier, dans un parking.
Sources:
- http://www.theverge.com/2017/1/2/141...-than-computer
- http://www.cbc.ca/news/canada/montre...-lot-1.3904938
Facebook veut en savoir toujours plus !
Non content de connaître au moins 98 informations personnelles sur vous, Facebook achèterait aussi des données venant de grosses régies publicitaires afin de parfaire sa connaissance de ses utilisateurs. C'est du moins ce que révèle l'étude de ProPublica, qui annonce que le "média social" se fournirait en données hors-ligne (données récupérées quand vous êtes déconnecté de Facebook). Le problème de ces fournisseurs de données est que si l'on ne veut pas être pisté, il faut alors le signifier via l'acceptation d'un cookie sur son navigateur par fournisseur, c'est la politique de l'Opt-Out. Cela est regrettable car l'Union Européenne recommande l'utilisation de l'Opt-In. Plus de données pour mieux cibler la publicité et faisons fi de la vie privée alors !
Sources:
- https://www.washingtonpost.com/news/...you/?tid=sm_tw
- https://www.propublica.org/article/f...ows-about-them
LEAKS de la semaine :
- Le comté de Los Angeles a communiqué sur une brèche de données concernant 756 000 personnes (Numéros de Sécurité Sociale et informations relatives à la santé) Plus d'information ici.
- La Banque Nationale Australienne (NAB) est victime d'une brèche de données suite à une erreur d'envoi de mail, c'est ainsi plus de 60 000 détails de comptes qui sont dans la nature ! Plus d'information ici.
- Les 381 534 personnes du Plan de santé communautaire de Washington sont concernées par une brèche de données (Noms, prénoms, dates de naissances, numéros de Sécurité Sociale et des informations relatives à la santé de ces personnes). Plus d'information ici.
- L'entreprise PayAsUGym a informé ses 400 000 adhérents que leurs données personnelles ont été volé, la base contient: noms, prénoms, adresses, mot de passe, courriels ! Plus d'info ici !
- La base de données des forums Ethereum.org a été compromise. 16 500 utilisateurs sont concernées, on peut trouver dans la base de données volée les messages, les informations de comptes et les mots de passes chiffrés avec Bcrypt. Plus d'info ici !
-Le piratage du site Pakwheels, expose 674 775 identités en ligne, ce piratage a été rendu possible grâce à une faille dans la version non mise à jour de Vbulletin du forum. les informations exposées sont des noms, prénoms, mails, mots de passe chiffrés, numéros de téléphones et sessions Facebook. Plus d'information ici.
- La Banque Nationale Australienne (NAB) est victime d'une brèche de données suite à une erreur d'envoi de mail, c'est ainsi plus de 60 000 détails de comptes qui sont dans la nature ! Plus d'information ici.
- Les 381 534 personnes du Plan de santé communautaire de Washington sont concernées par une brèche de données (Noms, prénoms, dates de naissances, numéros de Sécurité Sociale et des informations relatives à la santé de ces personnes). Plus d'information ici.
- L'entreprise PayAsUGym a informé ses 400 000 adhérents que leurs données personnelles ont été volé, la base contient: noms, prénoms, adresses, mot de passe, courriels ! Plus d'info ici !
- La base de données des forums Ethereum.org a été compromise. 16 500 utilisateurs sont concernées, on peut trouver dans la base de données volée les messages, les informations de comptes et les mots de passes chiffrés avec Bcrypt. Plus d'info ici !
-Le piratage du site Pakwheels, expose 674 775 identités en ligne, ce piratage a été rendu possible grâce à une faille dans la version non mise à jour de Vbulletin du forum. les informations exposées sont des noms, prénoms, mails, mots de passe chiffrés, numéros de téléphones et sessions Facebook. Plus d'information ici.
Total d'identités dérobées au cours des deux semaines passées: 2 371 809
By L'OMBRE & _47
Commentaire