SCOP d'ingénieurs experts du logiciel libre depuis 2004
+33 1 70 61 60 16

Digest sécurité septembre 2017

Nous vous parlons d'Equifax, RAKE, SCADA, Evil Toast et BlueBorne

Notre prochain webinar

Les données personnelles 143 millions d'américains compromises

Equifax , une société américaine spécialisée dans l'analyse et la protection de données personnelles, a annoncé qu'un piratage de grande échelle a conduit à une importante fuite de données personnelles. 143 millions d'américains seraient concernés. Certaines de ces données (permis de conduire, numéro de carte bleu, nom, adresse, numéro de sécurité sociale...) ont été publiées. Selon le communiqué de la société, le piratage se serait produit entre mi-mai et juillet. Le piratage d'un site tiers en serait à l'origine. Equifax relève également que les pirates auraient mis la main sur les numéros de cartes de crédit de 209 000 clients. Certains clients au Canada et au Royaume-Uni seraient aussi concernés. D'un point de vue technique, Equifax a confirmé que la vulnérabilité utilisée qui a menée à la compromission est une vulnérabilité affectant Apache Struts , plus précisément son plugin REST (CVE-2017-9805) qui est vulnérable à une exécution de code arbitraire (voir l'analyse d' Imperva ). De nombreux produits Cisco qui utilisent Apache Struts 2 sont affectés.

Shadow Brokers dévoile RAKE

Shadow Brokers est cette mystérieuse entité dont on ne sait trop si elle est d'origine civile ou gouvernementale et qui a mis la main sur l'arsenal cyber de l'Equation Group, bras numérique armé de la NSA. Depuis, le groupe publie, moyennant un abonnement, des outils qui ne sont ni plus ni moins que des armes numériques. Dans son dernier communiqué le groupe déclare qu'il fournira désormais deux dumps par mois. L'un des derniers outils dévoilés par Shadow Brokers se nomme UnitedRAKE . Il s'agit d'un outil avancé d'espionnage qui avait été évoqué par Edward Snowden à l'occasion de ses nombreuses révélations. UnitedRake est donc une sorte de trojan (compatible de Windows XP à Windows 8) fonctionnant en mode client serveur, qui permet de déployer dynamiquement des fonctionnalités sur la machine cible. Son manuel est disponible non chiffré contrairement aux fichier de l'outil lui même.

SCADA : le retour de Dragonfly

Les producteurs d'énergie en ont des sueurs froides... et pour cause, le groupe Dragonfly, qui s'était illustré en 2014 en piratant des infrastructures de production énergétique, signant ainsi la seconde attaque dans le monde réel sur des SCADA réussie, est de retour. La première attaque connue était une attaque gouvernementale ciblant la centrale nucléaire de Natanz en Iran et visant à ralentir le programme nucléaire iranien, l'Opération Olympic Games, plus connue sous le nom du malware alors utilisé, Stuxnet.

Cette fois ci, Dagonfly ciblerait le nucléaire civil américain en usant de campagnes de hameçonnage et de diffusion de chevaux de troie sur des sites susceptibles d'être consultés depuis les sites industriels. Selon Symantec qui a donné l'alerte, les intentions du groupes demeurent incertaines, et le groupe ne pourrait en être qu'à se phase exploratoire. Si l'un accès aux ICS/SCADA reste techniquement un acte de piratage spectaculaire, ceci ne veut pas dire pour autant que les pirates puissent être en mesure de mener des actes de sabotage sur l'infrastructure physique.

La sécurité de ces systèmes doit rester une préoccupation quotidienne, leur compromission serait théoriquement synonyme de possibilité de dégâts matériels et de pertes en vies humaines.

Evil Toast

Elle se nomme Evil ‘Toast’ Attack ou Android Toast Overlay Attack et a été mise à la lumière dans un billet de blog émanant des chercheurs en sécurité de Palo Alto Networks. La vulnérabilité jugée très critique affecte toutes les version d'Android à la version 8 (Oreo). L'attaque consiste en une élévation de privilèges en exploitant les options d'accessibilité d'Android, l'application malicieuse peut ainsi s'octroyer toutes les permissions sans interaction de l'utilisateur. Une fois les permissions données, tout devient possible comme l'installation d'applications dans le dos de l'utilisateur ou le déploiement d'un ransomware notent les chercheurs. Suite au Secutity Bulletin de Septembre 2017 de Google , un patch est disponible.

BlueBorne

En 2018, il ne sera plus un mois sans qu'une nouvelle menace plane sur l'IoT. Dernière en date BlueBorne , un ensemble de vulnérabilités (pas moins de 8 0-day), affectants les systèmes majeurs (Android, iOS, Windows, ou GNU/Linux...). Cette nouvelle menace affectant le protocole Bluetooth, en fonction des plateformes, permet des exécutions de code arbitraire, du man in the middle, de l'information disclosure (...), jusqu'à la prise de contrôle totale de la cible.

Comme l'expliquent les chercheurs d'Armis à l'origine de l'alerte, l'impact est inquiétant et favorisé par le fait que les processus du protocole Bluetooth tournent souvent avec un haut niveau de privilèges, favorisant ainsi le risque de voir un attaquant prendre le contrôle totale de la machine cible. En outre tous les objets connectés qui nous entourent et sont connectés à notre réseau sont autant de portes d'entrée pour compromettre d'autres machines. Lire le white paper d'Armis .


Olivier Laurelli

Inscrivez-vous à notre newsletter

Mieux comprendre le monde du DevOps et de l'administration système.

Abonnez-vous à notre newsletter

Hébergement & Infogérance

  • ✓ Service Astreinte 24h/7j/365
  • ✓ Supervision, monitoring & Alertes
  • ✓ Mises à jour en continu
  • ✓ Certificat SSL letsencrypt
  • ✓ Hébergement dédié sécurisé en France
  • ✓ Backup vers datacenter distant
Découvrir notre offre

Expertise Technologique

Notre équipe possède une vaste expertise technologique.