Le digest sécurité mai 2017

le

Bearstech | Dernière mise à jour : 2017-05-11

Voici notre digest de l'actualité sécurité, chez les ours, tous les mois c'est Olivier Laurelli aka @bluetouff qui s'y colle . Ces petits condensés sont le moyen de partager avec vous nos lectures, nos discussions, nos réflexions, autour du vaste thème de la sécurité informatique.

Des hackers russes qui s'invitent à la Présidentielle française ?

Les équipes d'Emmanuel Macron auraient été les cibles de hackers, peut-être russes, peut-être pas. Une fuite de 9 gigaoctets d'e-mails de l'équipe de campagne diffusés à la veille du second tour, abondamment relayés sur les réseaux sociaux. L'équipe de campagne a expliqué que ces mails mêlaient de vrais e-mails piratés mais aussi nombre de faux documents. Faux documents imputables aux pirates, mais pas uniquement. Une position qui semble se confirmer lorsque l'on analyse les métadonnées de certains de ces documents. Le renseignement américain aurait alerté l'équipe de campagne d'Emmanuel Macron du piratage avant la diffusion des documents et se préparaient depuis décembre 2016 à de telles attaques.

L'usage intensif de messageries comme Gmail, couplé à l'absence totale de chiffrement des e-mails, bref de mauvaises pratiques qui ne sont certainement pas étrangères à cette fuite. Plus tôt durant la campagne, les équipes d'Emmanuel Macron avaient été mises en garde sur la sécurité hasardeuse de leur site web (comme le furent celles de Marine Le Pen et celles de François Fillon).

Plus intéressant encore concernant le phishing ayant conduit à la fuite d'e-mails et de documents sur les contre-mesures utilisées par les équipes d'Emmanuel Macron : la création de faux comptes mails destinés à tromper et à ralentir les pirates, comme le relate le New-York Times.

Shodan propose un outil pour débusquer les C&C de botnets

Les botnets, ces réseaux de machines "zombies" infectées par des pirates, prolifèrent depuis plusieurs années sur Internet. L'explosion des objets connectés à la sécurité douteuse quand ce n'est pas inexistante n'arrange rien au problème comme nous l'avons vu en novembre dernier avec Mirai, le premier botnet qui a zombifié plusieurs centaines de milliers d'objets connectés (dont beaucoup de cameras IP) dans le but de lancer des attaques par dénis de service sur de gros sites web.

Pour lutter contre ces botnets, Shodan.io et Recorded Future ont lancé un moteur de recherche dédié : Malware Hunter, afin de débusquer les serveurs C&C (Command & Control) qui pilotent les machines infectées. Le procédé est malin puisque l'astuce consiste en un ensemble de requêtes afin de se faire passer pour une machine zombie et ainsi obtenir des réponses du C&C. Une fois débusqué, le C&C est donc indexé dans les résultats de recherche de Malware Hunter.

Le trafic IP d'institutions financières détourné par un opérateur russe

Voici une bien étrange histoire que celle-ci. On sait que BGP (Border Gateway Protocol) est plus ou moins régulièrement victime d'annonces fantaisistes, qu'elles soient volontaires (rediriger un flux pour être en mesure de l'intercepter) ou non. Le gros soucis avec ce genre d'annonces, c'est que c'est particulièrement voyant à moins que le trafic retour ne soit correctement géré et arrive à la bonne destination pour que la route "forcée" n'éveille pas de soupçon.

Ce sont, en tout, 37 organisations financières ou high tech qui ont été ciblées dont Atos Wordline, Crédit Mutuel et Docapost, une filiale de la Poste pour les entreprises françaises, par des annonces d'un opérateur russe, Rostelecom. L'incident aura durée presque 6 heures.

La nature des cibles semble trop spécifique pour ne pas penser à un détournement intentionnel, toutefois, BGPMon qui a suivi l'incident de près, reste prudent : trop de cibles concentrées sur un secteur, et surtout, trop visible. S'il est difficile de ne pas s'imaginer qu'il ne s'agit pas d'une simple erreur, quelque chose d'aussi visible ne peut que soulever beaucoup de questions sur les véritables intentions des annonces de Rosetelecom.

The Pentester Framework

Les applications dédiées aux tests d'intrusions proviennent souvent de nombreuses sources différentes et peu d'entre elles sont packagées dans les distributions que nous aimons utiliser au quotidien (au hasard Debian GNU/Linux). Pour palier ce problème il existait plusieurs solutions :

  • passer des heures à installer son propre arsenal
  • utiliser une distribution dédiées comme Kali, en machine virtuelle, en container Docker par exemple, ou en installation standard... mais ce ne sont généralement pas des distributions que l'on aime utiliser au quotidien.

La première solution pose souvent des soucis de maintenabilité et on peut passer un temps bien plus important à maintenir son système et son arsenal à jour, en faisant souvent cohabiter plusieurs versions de Python, Ruby etc...

La seconde solution est généralement la plus appréciée, avec Docker, il est même possible de générer des conteneurs spécifiques en fonction des cibles que l'on doit tester. C'est peu chronophage et assez efficace, même si on arrive pas encore à un niveau de confort optimum.

The Pentester Framework est une solution, réalisée par Trustedsec visant à vous réconcilier avec la première solution. Il consiste en un framework complet embarquant de nombreuses applications que l'on retrouve sur des distributions de sécurité offensive. Son objectif : faciliter leur installation et automatiser toutes les procédures de mise à jour pour maintenir votre arsenal à jour et il fait en sorte que la cohabitation à priori contre nature avec votre système tout propre se fasse sans douleur.

Le gouvernement taïwanais veut bloquer les DNS de Google, pour des raisons de sécurité... bien évidemment.

The Register nous rapporte une idée saugrenue qui nous vient de Taiwan où le gouvernement souhaite bloquer les DNS publics de Google, afin de promouvoir ceux du FAI chinois HINET. Une orientation qui ne peut que soulever quelques questions quand aux véritables intentions de cette démarche puisqu'elle pourrait bien puiser ses réelles motivations dans une volonté de surveillance des requêtes de la population. Même si pour le moment on ne sait pas encore si ceci s'appliquerait aux administrations ou à l'ensemble de la population. Les raisons de sécurité invoquées par le gouvernement taiwanais auront du mal à convaincre les internautes.

Hajime / Persirai : des objets connectés encore ciblés par des botnets

Persirai, c'est le petit nom donné à ce botnet semble t-il d'origine iranienne, là où a été localisé le C&C. Comme Mirai à qui il fait référence, il s'attaque à des objets connectés, tout particulièrement des caméras, dont 120 000 auraient été infectées.

Plus inquiétant, le botnet Hajime a lui à son compter 300 000 infections, mais ce qui est réellement inquietant, c'est qu'on ne sait pas encore dans quel but il a infecté ces objets connectés. Aucune campagne de DDoS n'a été lancée et les chercheurs qui l'étudient, s'ils sont conscient de ses capacités, sont dans l'expectative de le voir passer à l'action.

Correctif du firmware des routeurs sans fil ASUS RT

Toute la gamme de routeurs wifi RT de chez Asus (soit environ une quarantaine de modèles) serait affectée par de multiples vulnérabilités critiques pouvant conduire à des exfiltrations de données et à la fuite de vos mot de passe wifi.

Asus a publié un firmware correctif qu'il convient donc de déployer au plus vite. Ce correctif patch également les vulnérabilités suivantes :

  • CVE-2017-6547, a cross-site scripting bug in the routers' HTTP daemon.
  • CVE-2017-6549, a session hijack vulnerability in the HTTP daemon.
  • CVE-2017-6548, a remote code execution buffer overflow in the routers' networkmap command.

Service Audit Sécurité

Bearstech vous propose ses services Audit Sécurité wordpress

Découvrir ce service

Partager cet article

Flux RSS


Partager cet article :