Patch Tuesday Juin 2016

Le Patch Tuesday juin 2016 arrive avec un cortège de 16 bulletins publiés par Microsoft pour résoudre plus de 40 vulnérabilités (CVE) différentes. Cela porte à 81 le nombre de bulletins pour les 6 premiers mois, ce qui laisse augurer plus de 160 bulletins d’ici fin 2016, un nouveau record pour la dernière décennie en termes de correctifs.

Votre attention doit se porter en priorité sur Adobe Flash. En effet, Adobe a reconnu qu’une vulnérabilité (CVE-2016-4171) au sein du lecteur Flash actuel est en cours d’exploitation en aveugle, si bien que l’éditeur a reporté le patch mensuel pour Adobe Flash. Dans son avis de sécurité APSA16-03. Adobe promet ce patch pour d’ici la fin de la semaine. Surveillez attentivement sa diffusion et déployez-le dès que possible. Si l’outil EMET est installé sur vos systèmes, vous êtes protégés. Pour information, c’est le troisième mois d’affilée qu’une faille 0-Day est découverte dans Flash, ce qui en fait le logiciel certainement le plus ciblé sur les points d’extrémité de votre entreprise.

Ce mois-ci, un ensemble de bulletins à la fois pour les serveurs et les systèmes clients va occuper cette semaine toute l’équipe IT qui devra sécuriser les systèmes de l’entreprise.

Vulnérabilité critique

La vulnérabilité la plus intéressante côté serveur est résolue dans le bulletin MS16-071. Ce dernier corrige une vulnérabilité critique unique sur le serveur DNS de Microsoft. En cas d’exploitation réussie, l’attaquant déclenche une exécution de code à distance (RCE) sur le serveur, ce qui est extrêmement fâcheux pour un service aussi critique que DNS. Les entreprises qui exécutent leur serveur DNS sur la même machine que leur serveur Active Directory doivent être doublement conscientes du danger que représente cette vulnérabilité.

Côté client, la vulnérabilité la plus importante est résolue dans le bulletin MS16-070 Elle corrige plusieurs problèmes dans Microsoft Office. Principale vulnérabilité associée au format Microsoft Word RTF, CVE-2016-0025 déclenche une exécution RCE au profit de l’attaquant. Le format RTF pouvant être utilisé pour attaquer via le volet d’aperçu d’Outlook, la faille peut être déclenchée à l’aide d’un simple email et sans interaction avec l’utilisateur.

Côté navigateur Web, les bulletins MS16-063 pour Internet Explorer, MS16-068 pour Edge et MS16-069 pour Javascript sur Windows Vista traitent plusieurs vulnérabilités RCE critiques qui sont exploitables lors d’une simple navigation sur le Web. Ces vulnérabilités constituent un vecteur d’attaque privilégié pour les cybercriminels et nous vous recommandons de les corriger dans les 7 prochains jours.

Les autres vulnérabilités concernées par ce Patch Tuesday juin sont toutes classées comme importantes. Elles sont généralement exploitées pour élever des privilèges une fois qu’un intrus est parvenu à exécuter du code sur la machine et sont donc associées avec une exécution de code à distance comme décrit ci-dessus. L’exception est MS16-076 qui résout une faille unique dans Windows Netlogon pouvant fournir une exécution RCE à l’attaquant. Sa gravité est moindre qu’une vulnérabilité RCE normale parce l’attaquant devra dans un premier temps prendre le contrôle du serveur Active Directory.

Deux autres vulnérabilités côté serveur dans le patch tuesday juin

Une élévation de privilèges sur le composant du serveur SMB résolue dans le bulletin MS16-075

Une faille dans Microsoft Exchange résolue dans le bulletin MS16-079 entraînant aussi une élévation de privilèges, certains étant liés au patch Oracle dans la bibliothèque Outside-in.

En résumé, il s’agit d’un Patch Tuesday relativement classique mais avec une menace 0-Day connue qui nécessite de surveiller impérativement la publication de la prochaine mise à jour de Flash. Corrigez les autres problèmes en fonction de vos priorités habituelles, mais faites particulièrement attention à la vulnérabilité qui affecte le serveur DNS et qui va forcément susciter des comportements indésirables. (Wolfgang Kandek, CTO de Qualys).

Article original de Damien Bancal

Réagissez à cet article

Acer se fait voler des numéros de CB de ses clients, avec le cryptogramme$

C’est un incident qui en dit long sur le degré de sécurité qui était en vigueur sur l’une de ses boutiques en ligne. Dans un courrier adressé à sa clientèle nord-américaine, le constructeur taïwanais a admis l’existence d’une faille de sécurité qui a permis à un ou plusieurs pirates de dérober des informations hautement sensibles entre le 12 mai 2015 et le 28 avril 2016.

Parmi les éléments qui ont été récupérées par les assaillants figurent notamment l’identité et l’adresse postale de 34 500 clients se trouvant aux États-Unis, au Canada et à Porto Rico. Beaucoup plus préoccupant, il apparaît que des informations de paiement (numéro de carte bancaire, sa date d’expiration et son cryptogramme visuel) ont également été récupérées dans le feu de l’action.

Étaient-elles chiffrées ? Acer se garde bien de le dire. Même si l’ampleur de l’incident est modeste (nous sommes très loin des fuites massives affectant des millions d’utilisateurs), la question du niveau de protection des informations stockées par Acer se pose au regard de la nature des éléments qui ont été obtenus par les pirates. Selon le fabricant asiatique, la brèche a depuis été colmatée.

Article original de Julien Lausson

Réagissez à cet article

Si j’attrape le con qui a fait sauter le pont !

Plus possible de se connecter à Internet ? Non, ce n’est pas une blague. Un seul homme, un peu distrait, a réussi à mettre en carafe une partie de l’Internet Européen. Une panne au niveau du réseau Tier 1 du fournisseur suédois Telia. Cette société et son Tier 1 ne sont rien d’autre qu’une partie de l’Internet backbone. Bref, les gros tuyaux qui permettent de faire voyager d’énormes volumes de trafic de données. Selon le journal Britannique The Register, la panne est signée par un ingénieur informatique qui s’est planté dans la configuration d’un des routeurs de Telia. Bilan, les données prévues pour l’Europe sont parties se promener en Asie, et plus précisément à Hong Kong. Telia s’est depuis excusée. Bref, le Cloud n’a pas fini d’être notre meilleur ennemi.

Article original de Damien Bancal

Réagissez à cet article

Les utilitaires de déchiffrement fonctionnent contre toutes les versions de TeslaCrypt

Ainsi, Kaspersky Lab a actualisé son utilitaire Rakhni en y ajoutant un utilitaire de déchiffrement pour Bitman (TeslaCrypt) version 3 et 4. La semaine dernière, Cisco a réalisé une mise à jour similaire. Son outil est désormais capable de récupérer les fichiers chiffrés par l’ensemble des 4 versions existantes de ce ransomware.

D’après Earl Carter, analyste en chef chez Cisco Talos, la clé principale publiée le 19 mai était utilisée pour récupérer les fichiers chiffrés par TeslaCrypt version 3 et 4. Il ajoute : « Nous ne savons pas si cette clé principale fonctionne pour les versions antérieures. La version 2 était défectueuse et elle a pu être facilement déchiffrée et nous dispositons de l’utilitaire de déchiffrement pour la version originale. L’utilisateur devait d’abord identifier la version du ransomware qui l’avait infecté avant de pouvoir choisir l’utilitaire de déchiffrement adéquat. Nous avons actualisé l’utilitaire d’origine afin qu’il puisse s’occuper de toutes les versions existantes. »

Pour l’instant, les raisons qui ont poussé les opérateurs de TeslaCrypt à mettre un terme à leur projet sont inconnues. Les attaques de ransomwares contre des entreprises ou des particuliers ne faiblissent pas. D’après les estimations du FBI, au cours du premier trimestre seulement, les auteurs de ces attaques ont empoché plus de 200 millions de dollars américains sous la forme de rançons payées. D’ici la fin de l’année, ce chiffre pourrait atteindre 1 milliard. Ceci étant, TeslaCrypt, en tant qu’acteur sur ce marché juteux, n’était pas parfait. Il affichait des défauts qui avaient permis aux chercheurs, presque dès le début, de trouver dans le code les clés de déchiffrement et de créer des outils pour venir en aide aux victimes.

Le jeu du chat et de la souris pouvait commencer : les individus malintentionnés ont renforcé le chiffrement tandis que les chercheurs ont réalisé des analyses plus en profondeur pour trouver l’antidote. « Certains ransomwares utilisent le chiffrement symétrique et dans ce cas, il est possible de trouver la clé sur l’ordinateur et de déchiffrer les fichiers » explique Earl Carter. « D’autres privilégient l’infrastructure PKI et dans ce cas, il est plus difficile de récupérer les fichiers, principalement parce que la clé n’est pas enregistrée sur l’ordinateur infecté. »

Dès qu’un utilitaire de déchiffrement a été réalisé pour une des versions, d’autres chercheurs commencent également à fournir des efforts dans ce sens. Il est tout à fait possible que cela soit la raison pour laquelle les opérateurs de TeslaCrypt ont tué le projet.

« Les ransomwares sont très rentables et tout le monde veut sa part » signale Earl Carter. « Dans la mesure où toutes les versions [de TeslaCrypt] avaient été déchiffrées, on pourrait croire qu’elles n’étaient pas aussi rentables que le souhaitaient les opérateurs. Ceci n’est qu’une hypothèse car nous ne disposons pas des preuves concrètes. Mais à première vue, on dirait bien que c’est cela qui s’est passé. Le malware était toujours déchiffré, les revenus récoltés ne correspondaient pas aux attentes et à la fin, ils ont décidé de faire une croix sur le projet.

La clé principale de TeslaCrypt a été publiée sur le forum d’assistance technique du ransomware après qu’un chercheur de l’ESET avait repéré des indices qui laissaient entendre que le projet allait être abandonné et il a demandé la clé aux auteurs. TeslaCrypt pourrait être remplacé par CryptXXX qui, d’après BleepingComputer, est déjà diffusé via des kits d’exploitation répandus. Certaines sociétés spécialisées dans la sécurité de l’information, comme Kaspersky Lab, surveillent attentivement le développement de CryptXXX et ont même créé des outils de déchiffrement pour ses premières versions.

Le système de chiffrement adopté par TeslaCrypt était actualisé fréquemment afin que les chercheurs ne puissent pas le déchiffrer. Au début de cette année, ce malware se propageait via des redirections WordPress et Joomla ainsi que via le kit d’exploitation Nuclear. Au mois d’avril, des chercheurs de chez Endgame ont découvert deux nouveaux échantillons du ransomware dotés d’outils d’obfuscation et de dissimulation supplémentaires ainsi que d’une liste d’extensions plus longue. A ce moment, TeslaCrypt se propageait déjà via des campagnes de spam.

« Les kits d’exploitation ont commencé à charger des ransomwares au lieu d’enregistreurs de frappe ou de malware de fraude au clic ». L’association du kit d’exploitation et de la publicité malveillant a considérablement simplifié la tâche des attaquants » résume Earl Carter.

Article original de Securelsti

Réagissez à cet article

Vol de données Twitter, LinkedIn… qui est à l’origine ?

Les fuites de mot de passe se sont multipliées ces dernières semaines : Tumblr, LinkedIn, Myspace ou encore le réseau social russe Vkontakte, autant de services web qui ont vu les identifiants de leurs utilisateurs vendus à bas prix sur le web. Ces différentes fuites de données présentaient néanmoins plusieurs points communs : les données vendues étaient toutes plus ou moins datées, les entreprises concernaient ne confirmaient pas systématiquement avoir détecté un piratage de leur côté et les données étaient vendues sur une place de marché noir par un internaute répondant au pseudo Peace of Mind.

Naturellement, ce rôle de revendeur a rapidement fait peser les soupçons sur Peace Of Mind, celui-ci ne précisant pas la provenance exacte des identifiants volés qu’il proposait à la vente.

Selon Motherboard et ZDNet.com néanmoins, l’affaire est un peu plus complexe que cela et Peace Of Mind ne pourrait être qu’un vulgaire revendeur. C’est tout du moins ce que clame l’internaute dissimulé derrière le pseudo Tessa88. Ce dernier, contacté par nos confrères, clame être à l’origine des piratages massifs d’identifiants ayant surgi ces dernières semaines. Peu de détails sont connus sur la personne qui se cache derrière ce pseudonyme, mais on sait que celui-ci est apparu sur des forums russophones spécialisés dans la cybercriminalité aux alentours du mois d’avril 2016. À cette époque, elle propose à la vente des bases de données contenant des identifiants VKontakte ou Myspace parmi d’autres services.

Recel et rivalités

Pour Motherboard, plusieurs personnes pourraient se cacher derrière le pseudonyme Tessa88. Si l’internaute utilise un prénom féminin pour parler de lui sur différents forums dédiés à la cybercriminalité, le site américain soupçonne que ce pseudonyme pourrait être un avatar manipulé par un groupe de cybercriminels. Le pseudonyme avait déjà été mentionné par le site LeakedSource, qui avait fait partie des premiers sites à confirmer l’authenticité des informations contenues dans les bases de données volées mises en vente. Ceux-ci expliquaient avoir obtenu les échantillons des bases de données grâce à l’entremise de Tessa88.

Peu de temps après, Peace Of Mind propose lui aussi des bases de données similaires sur le marché noir The Real Deal : on retrouve les mêmes sites et des bases de données de tailles comparables. Mais Tessa88 n’est pas tendre avec Peace Of Mind : celle-ci clame en effet être l’auteur des piratages ayant permis de récupérer les identifiants et dénonce le fait que Peace of mind n’est qu’un revendeur, pour qui Tessa88 ne semble pas avoir beaucoup d’estime.

Peace Of Mind n’est pourtant pas un total inconnu : c’était déjà ce pseudonyme qui revendiquait la cyberattaque ayant visé le site de la distribution Linux Mint en début d’année 2016. Peace Of Mind n’a fait aucun commentaire sur les déclarations de Tessa88 et se contente de laisser entendre que la vente d’identifiants va continuer. Tessa88 laisse également entendre qu’elle n’a pas écoulé entièrement son stock et que de nouvelles ventes sont à prévoir. Tous deux clament ainsi être en possession de bases de données contenant des identifiants de connexions Instagram, là aussi dans des volumes particulièrement importants.

De nombreuses zones d’ombres persistent malgré les déclarations concurrentes des deux cybercriminels. Ainsi, ceux-ci restent muets sur l’origine exacte des données : certaines entreprises touchées n’ont reconnu aucun piratage au sein de leurs systèmes.

Impossible de savoir également pourquoi exactement ces données ressortent aujourd’hui : Tessa88 explique à Motherboard avoir exploité ces identifiants pour ses activités pendant plusieurs années, mais avoir aujourd’hui choisi de les vendre afin de faire face à des soucis de santé. La seule chose sur laquelle les deux cybercriminels s’accordent, c’est sur le fait qu’ils entendent bien continuer à revendre ces identifiants.

Article original de Louis Adam

Réagissez à cet article

Denis JACOPINI était présent aux cotés des plus grands experts en cybersécurité à Abidjan pour le 8ème IT Forum 2016

Je tiens enfin à remercier tous les partenaires et sponsors sans qui ce Forum n’aurait pas été possible, et enfin, je tiens à remercier chaleureusement le public présent et attentif jusqu’aux ultimes minutes des dernières interventions des panélistes dont j’ai eu l’honneur  et le privilège de faire partie.

Durant ces deux jours j’ai à la fois côtoyé des professionnels d’excellente facture et de réputation internationale proposant des produits relatifs à la cybersécurité et d’aide à la transformation numérique., et je me suis retrouvé face à un public d’une attention universitaire, des chefs de grandes entreprises et de grands DSI (Directeurs des Systèmes d’Information) venu écouter les avis et les conseils d’experts et surtout réfléchir avec nous aux moyens à mettre en œuvre pour aider  la Côte d’iVoire à négocier le virage vers un numérique plus sécurisé pour les entreprises et plus rassurant pour les utilisateurs.

Dès l’ouverture de l’IT Forum, nous avons été réconfortés par le discours de Monsieur Bruno Nabagné Koné, Ministre de l’Economie numérique et de la Poste, Côte d’Ivoire rassurant l’assemblée de sa volonté de permettre à son pays une évolution vers un numérique de confiance en ces mots: « Pas de développement économique sans cyber sécurité »

Quelques mots échangés avec Monsieur Bruno Nabagné Koné, Ministre de l’Economie numérique et de la Poste m’ont rassuré. Il compte bien tout mettre en œuvre pour respecter ces propos : « Pour que nos pays puissent continuer à tirer le meilleur profit de ces technologies, il faut un environnement où les utilisateurs sont en confiance. ».

Ce n’est plus seulement au plus haut niveau de l’état, ni au niveau des autorités du pays que cette révolution à lieu. J’ai pu assister à une des étapes essentielles vers une transformation des mentalités numériques et reste persuadé que désormais la Côte d’iVoire pourra aussi compter sur ses DSI pour mettre en application sans relâche les règles de base d’un vrai hygiène informatique.

De part notre expérience et notre expertise, nous accompagnerons la Côte d’iVoire dans sa démarche de sensibilisation, de qualification et surtout nous l’aiderons à redorer son blason terni par l’image d’un pays ayant sur son sol brouteurs et autres arnaqueurs.

Ce forum a aussi été l’occasion à l’assemblée d’avoir enfin, après un déballage de solutions de sécurité protégeant d’un nombre très restreint de problèmes,  une liste d’un grand nombre d’attaques que la Côte d’iVoire a à craindre et va devoir combattre sans relâche ces prochaines années.
Au cours de nos interventions, nous avons apporté la preuve à l’auditoire que la solution pour lutter contre la cybercriminalité ne peut pas être techniques. En effet, sur un ensemble de 11 techniques d’attaques courantes, Denis JACOPINI a démontré que seulement 3 pouvaient être maîtrisées par la mise en place de solutions techniques parfois coûteuses.

La prochaine étape, indispensable à mon sens, sera la lourde tâche consistant à faire évoluer les mentalités et les comportements des utilisateurs, dernier maillon de la chaîne sur lequel aucun garde fou technique n’est en mesure de totalement compenser son manque de connaissance des bonnes pratiques. Il restera donc une faille essentielle à combler, celle de l’humain qu’il sera nécessaire d’accompagner avec tact et pédagogie.

Photo : Mathieu Photo & Camera

Réagissez à cet article

QRCodes : pièges à internaute ? – ZATAZ

On retrouve ces QRcodes, baptisés aussi Flashcode, dans les journaux, la publicité… Il est possible de naviguer vers un site internet ; mettre l’adresse d’un site en marque-page ; faire un paiement direct via son cellulaire (Europe et Asie principalement) ; ajouter une carte de visite virtuelle (vCard, MeCard) dans les contacts, ou un événement (iCalendar) dans l’agenda électronique ; déclencher un appel vers un numéro de téléphone ; envoyer un SMS ; montrer un point géographique sur Google Maps ou Bing Maps ; coder un texte libre. SnapChat, par exemple, propose un QR Code maison pour suivre un utilisateur. Bref, toutes les possibilités sont ouvertes avec un QRcode. Il suffit de présenter l’image à votre smartphone, et à l’application dédiée, pour lancer la commande proposée par le QR Code. A première vue, un pirate a eu l’idée de fusionner QR Code et hameçonnage.

Fusionner QR Code et hameçonnage

Le hameçonnage, baptisé aussi Phishing/Filoutage, est une technique qui ne devrait plus être étrangère aux internautes. Pour rappel, cette attaque informatique utilise le Social Engineering dont l’objectif est la collecte des identifiants de connexion (mail, login, mot de passe, adresse IP…). Dans l’attaque annoncée il y a quelques jours par la société Vade retro, le cybercriminel a présenté son mail comme une image usurpée à un opérateur national et proposant au destinataire un remboursement consécutif à une facture payée. Le QR Code conduisait à un site présentant une page falsifiée qui incitait la victime à renseigner son identifiant et mot de passe légitime chez l’opérateur usurpé, puis présentait un message d’erreur.

L’illustration flagrante des cyber-risques pour tous

Comme le rappel Maitre Antoine Chéron, avocat spécialisé en propriété intellectuelle et NTIC aujourd’hui, presque tout le monde a une adresse électronique personnelle ou du moins professionnelle. C’est en effet devenu un mode de communication indispensable non seulement pour travailler mais également pour consommer toutes sortes de biens et services. Destinées aux particuliers, les messageries électroniques ne sont pas toujours sécurisées. Avec l’usage en masse de l’internet, et la dématérialisation des richesses, ce sont de précieux biens tels que nos données personnelles, « l’or noir du 21ème siècle », qui sont aujourd’hui convoités par les personnes mal intentionnées.

QRCodes : carrés aux angles dangereux

Les QRcodes envahissent le web et nos vies. Déjà, dès 2012, je vous informais d’une attaque découverte dans le métro parisien. Preuve que les pirates se penchaient sur la manipulation des QRcode depuis longtemps. J’ai pu rencontrer un chercheur « underground » qui s’est penché sur le sujet. Nous l’appellerons DBTJ. Il se spécialise dans la recherche de procédés détournés pour QRcode. « Avec mes collègues, explique-t-il à ZATAZ.COM, nous avons testés plusieurs cas, qui, hélas, se sont avérés efficaces. » Dans les cas de Qrcodes malveillants que j’ai pu constater : naviguer vers un site internet et se retrouver face à un code raquetteur (Ransomware) : mettre l’adresse d’un site en marque-page (Shell) ; ajouter une carte de visite virtuelle (vCard, MeCard) dans les contacts, ou un événement (iCalendar) dans l’agenda électronique, lancer un DDoS… bilan, derrière cette possibilité se cachait un vol de données et une mise en place d’usurpation d’identité.

J’ai pu constater aussi des QR Code capable de déclencher un appel vers un numéro de téléphone ou envoyer un SMS. « Nous avons réfléchis aux méthodes d’infections les plus débiles aux plus élaborés, s’amuse mon interlocuteur. Envoyer le QRcode depuis votre téléphone ; la fonctionne SMS dans SET pourrait être intéressante et ne laissera pas de traces ; utiliser le QRcode sur de faux sites, ou encore des sites vulnérables XSS (via un iframe) ; fausses publicités ; remplacer les QRcode aperçus sur des affiches. »

Ce dernier cas a été remarqué par ZATAZ.COM. Il suffit de coller un autre Flashcode, malveillant cette fois, en lieu et place de l’original sur une affiche, dans un arrête de bus par exemple. Effet malheureusement garanti. « Dans le cadre de la démonstration, nous avons infecté exactement 1.341 personnes d’une banlieue de Saint-Denis, et cela en seulement 14 heures, souligne le témoin de ZATAZ.COM. Avec une technique de SE (Social Engineering) d’une simplicité redoutable, nous avons fait des publicités contenant notre QRcode pour un jeu mobile gratuit que nous avons ensuite imprimé en plusieurs exemplaires et diffuser dans les lieux publics (gare/train – centre-ville). » ZATAZ.COM peut confirmer qu’après le test, les « pentesteurs » du QRcode ont effacé l’intégralité des informations collectées.

Bref, voilà de quoi regarder ces petits carrés noirs et blancs d’un œil nouveau … et plus suspicieux. Pour se protéger, des logiciels comme GData QRCode permettent de palier ce type d’intrusion. A utiliser sans modération.

Article original de Damien BANCAL

Réagissez à cet article

Une application mobile fait sauter la banque

Sathya Prakash aurait pu devenir l’Arsène Lupin indien en braquant 25 milliards de dollars juste en piratant l’application mobile d’une banque indienne. Mais à défaut d’être un gentlemen cambrioleur, il est chercheur en sécurité et a découvert plusieurs failles dans cette application. Dans un blog, il explique disposer d’un compte dans un établissement bancaire du secteur public. Ce dernier a décidé depuis une dizaine d’années de prendre un virage vers les nouvelles technologies.

En 2015, cette banque a décidé de publier une application mobile pour iOS et Android. Par une journée pluvieuse, le chercheur connu sous le pseudo Boris s’est donc penchée sur la sécurité de cette application. Il l’a passée au peigne fin avec des solutions de débogage pour en connaître les dessous. Lors de ce premier tour d’analyse, il a constaté des faiblesses dans certains paramètres de sécurité standards, comme la gestion du HPKP (HTTP Public Key Pinning), un mécanisme de sécurité qui protège les sites internet de l’usurpation d’identité contre les certificats frauduleux émis par des autorités de certification compromises.

Code bâclée et MiTM à la clé

Or cette fonction n’était pas utilisée par l’application. Un risque pouvant conduire à une attaque de type MiTM (Man in the Middle ou Homme du milieu) et intercepter le trafic vers et depuis la banque même s’il était chiffré et transmis en HTTPS. Il a réussi à rétrograder le chiffrement SSL de version 3 à la version 2 plus vulnérable.

Ce n’est pas tout, l’application comporte aussi des négligences dans son architecture ou tout du moins une « révision de code bâclée ». C’est notamment le cas pour les sessions utilisateurs qui ne comprennent pas de limite dans la durée. Traditionnellement, quand un utilisateur est inactif, il est automatiquement déconnecté et il doit initier une nouvelle session. Pas dans ce cas où le chercheur parle de sessions« immortelles ». En combinant ce défaut avec une attaque de type MiTM, une personne peut être en mesure de réaliser des opérations pour le compte d’un utilisateur sans avoir besoin de s’authentifier à chaque fois.

Un siphonage en règle

Enfin cerise sur le gâteau. Sathya Prakash a découvert comment l’application administre les transactions bancaires. En se penchant sur les paramètres des requêtes web, il a fait de l’ingénierie inversée et trouvé un moyen pour envoyer de l’argent d’un compte à un autre. Tout cela sans authentification. Cela signifie qu’il aurait pu siphonner la totalité des dépôts de la banque, s’élevant en 2015 à 25 milliards de dollars.

Ayant des principes et de la morale, Sathya Prakash a envoyé un mail à la banque pour lui indiquer les faiblesses et les moyens de résoudre les problèmes. La banque a pris du temps pour répondre, mais est finalement intervenue au bout de 12 jours. Dans son blog, on sent le chercheur un peu aigri de ne pas avoir reçu de primes pour ses découvertes. « Bug Bounty = 0 dollars, Welcome to India ! », conclut-il.
Article original de Jacques Cheminat

Réagissez à cet article

La double authentification de Google contournée par des hackers

La double authentification plombée par des pirates ?

Puisque la double identification implique qu’un utilisateur saisisse un mot de passe puis qu’il confirme son identité en saisissant un code préalablement reçu par SMS afin de pouvoir accéder à ses comptes, elle semblait être une solution fiable pour bien protéger les données des internautes.

Mais ça, c’était avant puisque des pirates ont réussi à contourner la double authentification de Google pour accéder aux comptes d’utilisateurs tiers.

Pour ce faire, les hackers ont mis en place une méthode plutôt astucieuse. En effet, s’ils disposent de l’adresse mail et du mot de passe, ils se font passer pour la firme de Mountain View, expliquent qu’une activité suspecte a été repérée et invitent l’utilisateur à renvoyer le code de sécurité qui leur a été envoyé.

Sans le savoir, les utilisateurs fournissent alors la clé de l’ultime protection aux pirates qui ont désormais le temps de commettre tous les actes malveillants qui désirent.

Une porte d’entrée vers les terminaux mobiles des utilisateurs ?

En s’offrant un accès aux comptes de messagerie des internautes, les pirates s’offrent une vraie porte d’entrée vers les terminaux mobiles de leurs propriétaires.

En effet, s’ils contrôlent le compte mail de leurs victimes, ils pourront facilement envoyer des mails sur Gmail incluant des pièces jointes frauduleuses qui peuvent être des applications malveillantes. Si le mail est ouvert depuis le mobile, le terminal sera alors automatiquement infecté.

Autrement dit, le hacker pourra avoir un accès complet à l’ensemble des données qu’il contient. Incontestablement, la double authentification a donc ses limites…

Article original de Jérôme DAJOUX

Réagissez à cet article

Les dirigeants sont les premiers responsables en cas de cyberattaques subies par leur entreprise

Tel est le constat dressé par VMware qui vient de publier les résultats d’une enquête menée par le cabinet d’études de marché Vanson Bourne. Celle-ci pertmet aussi d’établir que plus d’un tiers des entreprises s’attendent à subir une cyberattaque importante dans les trois prochains mois, qu’un quart des responsables informatiques français n’informent pas ses dirigeants en cas de cyberattaque et que seulement 11 % des dirigeants français considèrent la cybersécurité comme une priorité au détriment d’initiatives visant à revoir la sécurité de leur système d’information.

Près d’un tiers (29 %) des responsables informatiques et près d’un cinquième (21 %) des employés en France considèrent donc que leur dirigeant devrait être tenu responsable en cas d’importante fuite de données. Pourtant, un quart (25%) des responsables informatiques admet ne pas informer son dirigeant en cas d’incident de ce type. Ce manque de transparence prive donc les dirigeants, considérés comme principaux responsables, d’une visibilité réelle sur les risques que représentent les fuites de données pour leur entreprise.

L’ampleur de ce constat est encore plus frappante dans une autre enquête menée par l’Economist Intelligence Unit pour le compte de VMware en début d’année. Celle-ci révélait en effet que seuls 8 % des dirigeants d’entreprises dans la région EMEA (11% en France) considéraient la cybersécurité comme une priorité. Alors que les cyberattaques s’intensifient et deviennent de plus en plus préjudiciables pour les entreprises – avec à la clé le risque de perte de propriété intellectuelle, de positionnement concurrentiel, et de données clients – l’impact sur la performance et l’image de marque peut être considérable.

Une nouvelle approche de la sécurité s’impose

Les entreprises sont de plus en plus menacées par de graves cyberattaques : plus d’un tiers (37 %) des répondants dans la région EMEA (seulement 28 % en France) s’attendent à en être victimes dans les 3 prochains mois. Malheureusement, les approches de sécurité actuelles ne sont pas adaptées à un monde toujours plus tourné vers les technologies numériques. Ainsi, plus d’un responsable informatique français sur trois (35 %) estime que l’un des principaux risques pour son organisation réside dans le fait que les menaces évoluent plus vite que les systèmes de défense mis en place.

« Le fossé entre dirigeants et responsables informatiques est symptomatique. Il symbolise le défi que doivent relever les entreprises cherchant à repousser leurs limites, à se transformer, à se différencier et à se protéger de menaces en constante évolution », déclare Sylvain Cazard, directeur général de VMware France. « Aujourd’hui, les organisations les plus performantes sont celles qui sont capables de réagir rapidement et de préserver aussi bien leur image de marque que la confiance de leurs clients. Les applications et données des utilisateurs étant présentes sur un nombre d’appareils sans précédent, ces entreprises ont abandonné les approches traditionnelles de sécurité informatique incapables de protéger les entreprises numériques d’aujourd’hui. »

Les employés et les processus aussi problématiques que les technologies

L’un des principaux risques pour la sécurité d’une entreprise provient de l’intérieur. Ainsi, pour 45 % des responsables informatiques de la région EMEA (et 37 % en France), la négligence ou le manque de formation des employés en matière de cybersécurité représente le principal défi pour leur entreprise. L’enquête montre également jusqu’où les salariés sont prêts à aller pour accroître leur productivité : 15 % d’entre eux (contre 21% au niveau EMEA) utilisent leurs appareils personnels pour accéder à des données professionnelles, tandis que 14 % (17% en EMEA) sont prêts à enfreindre la politique de sécurité de leur entreprise afin de travailler plus efficacement.

« La sécurité n’est pas qu’une question de technologie. Comme le montrent les résultats de notre enquête, les décisions et les comportements des employés ont également un impact sur l’intégrité d’une entreprise » remarque Sylvain Cazard. « Malgré tout, la solution n’est pas non plus de tout verrouiller et d’instaurer une culture de la peur. Les organisations qui adoptent des approches intelligentes proposent plus de moyens et non de restrictions à leurs employés, leur permettant de s’épanouir, d’adapter les process et de transformer leur activité pour réussir.»

« Les entreprises tournées vers l’avenir sont conscientes du fait que les stratégies de sécurité réactives d’aujourd’hui ne sont plus efficaces pour protéger leurs applications et données. Adopter une approche software-defined garantissant l’omniprésence de la sécurité leur offre la flexibilité nécessaire pour réussir en tant qu’entreprises numériques », conclut Sylvain Cazard.

Source: infoDSI.com

Réagissez à cet article