SCOP d'ingénieurs experts du logiciel libre depuis 2004
+33 1 70 61 60 16

Digest sécurité novembre 2017

Au menu ce mois ci : le hack de Uber, le botnet Reaper, KRACK Attack, Microsoft, et Mining de Bitcoins

Notre prochain webinar

Uber piraté : la société achète le silence des pirates

Uber a récement confirmé avoir été la victime d'une intrusion fin 2016. Les pirates ont ainsi mis la main sur les données de 57 millions d'utilisateurs, parmis lesquels 7 millions de chauffeurs. Concernant les utilisateurs, ce sont principalement des adresses mails et des numéros de téléphone qui ont été subtilisés. Pour les chauffeurs, on parle de 600 000 numéros de permis.

Le côté tardif de la communication au public de ce piratage n'est pourtant pas l'aspect le plus inquiétant, Uber a confirmé avoir versé 100 000 $ aux pirates afin d'étouffer l'affaire et que ces derniers suppriment les données qu'ils avaient commencé à publier. Uber signale enfin avoir identifié les pirates et fait le nécessaire pour sécuriser ses données.

Reaper : un nouveau botnet géant d'objets connectés

Depuis Mirai, on se doutait qu'un autre botnet d'objets connectés ferait tôt ou tard son apparition . Mais là où Mirai se contentait de brutforcer des objets connectés, Reaper (aussi nommé IoTroop par CheckPoint) semble lui un peu plus fin et automatise des attaques sur des objets connectés non mis à jour et vulnérables, notamment sur les matériels de D-Link, Netgear, Linksys, GoAhead, TP-Link, MikroTik, JAWS, AVTECH et Vacron. Il représentait au début du mois un réseau de deux millions de machines infectées, soit 4 fois plus que Mirai qui avait provoquer des indisponibilités de sites majeurs comme Netflix, Twitter ou Spotify.

Le Botnet est pour le moment "dormant" mais continue de grossir et les intentions de son ou ses auteurs ne sont pas encore connues : distribution de malwares, de ransmowares, dénis de services... impossible pour le moment de savoir ce que compte en faire le puppet master.

Et KRACK le WPA2

Voici une vulnérabilité que l'on risque de se trainer des années. Dénommée "KRACK" (Key Reinstallation Attack) , elle porte sur une faiblesse du protocole de chiffrement sans fil le plus populaire : WPA2. En pratique, KRACK permet l'injection par un tiers non authentifié d'une nouvelle clé de chiffrement. Sont vulnérables : les systèmes GNU/Linux et Android (dont nombre ne sont plus et ne seront plus à jour), par extension, de nombreux objets connectés et routeurs wifi (à ce jour plus d'un mois après sa divulgation, de nombreux fabricants de routeurs n'ont pas fournis de patch), des box de fournisseurs d'accès Internet et enfin dans une moindre mesure les systèmes Microsoft Windows et ainsi que ceux d'Apple sont concernés.

En attendant d'obtenir des correctifs pour vos matériels, l'utilisation d'un VPN demeure la parade la plus efficace.

Le proof of concept est disponible ici

En 2013, Microsoft s'est fait dérober une base de données de vulnérabilités critiques non patchées

Nous sommes donc en 2017, soit 4 après les faits, et Microsoft confesse aujourd'hui que des pirates ont mis la min en 2013 sur une base de données interne très sensible de Microsoft puisque cette dernière est un nid à 0 day. Evidemment, certaines de ces vulnérabilités ont été par la suite utilisées, certaines le sont probablement toujours. D'autres victimes auraient été la cible du groupe de pirates, dont Apple, Facebook, et Twitter. Facebook avait d'ailleurs été la première à communiquer .

Des sites web exploitent les ressources de votre machine pour miner du Bitcoin

Voici une nouvelle pratique assez désagréable, attendu qu'elle se passe dans le dos des utilisateurs. Des sites utilisent des scripts destinés à se servir sur les ressources machines des visiteurs pour miner du bitcoin. Si le risque ne se limite qu'à une sensible altération des performances des machines qui mettent à disposition du temps CPU sans que l'utilisateur n'en soit conscient, il n'en s'agit pas moins d'un détournement franchement limite. The Pirate Bay a confessé l'avoir testé puis retiré suite aux contestations des utilisateurs. Pour vous prémunir de ces scripts utilisés par certains webmasters indélicats, vous trouverez des extensions permettant de les bloquer, comme MinerBlock sur Chrome ou AntiMiner sur Firefox.

Google collecte vos données de géolocalisation, même avec le GPS éteint

Lorsque l'on demande à son téléphone de ne pas collecter nos positions géographiques, GPS éteint, on ne s'attend naturellement pas à ce que notre terminal sous Android les transmettent à Google dans notre dos. Google a pourtant récemment avoué que c'était le cas depuis début 2017. Concrètement, Google collecte les adresses des stations de téléphonie cellulaire situées à proximité, ainsi il obtient une triangulation relativement précise des utilisateurs sans que ces derniers n'aient besoin d'activer le GPS.

Mais pourquoi collecter ces données cellulaires ? Google étant avant tout une régie publicitaire, comme l'explique Lemondeinformatique , ceci permet par exemple l'administration de publicités contextualisées.

Selon Quartz , le média qui a mis en lumière, il sera mis fin à cette pratique dès fin novembre.


Olivier Laurelli

Inscrivez-vous à notre newsletter

Mieux comprendre le monde du DevOps et de l'administration système.

Abonnez-vous à notre newsletter

Hébergement & Infogérance

  • ✓ Service Astreinte 24h/7j/365
  • ✓ Supervision, monitoring & Alertes
  • ✓ Mises à jour en continu
  • ✓ Certificat SSL letsencrypt
  • ✓ Hébergement dédié sécurisé en France
  • ✓ Backup vers datacenter distant
Découvrir notre offre

Expertise Technologique

Notre équipe possède une vaste expertise technologique.