Le géant américain de la base de données, Oracle, vient de corriger 104 vulnérabilités dans ses logiciels. La dernière mise à jour de sécurité visant les produits Oracle n’aura pas fait dans la demi-mesure. Pas moins de 104 failles, dont certaines critiques, ont été colmatées pour Java SE, Virtual Box, Oracle Fusion, Oracle iLearning, Oracle Siebel CRM, MySQL… 37 patchs, dont 4 critiques, s’attaquent à des problèmes dans Java SE. MySQL se voit gratifié de la correction de deux vulnérabilités critiques. La version Windows permet à un pirate de compromettre l’ensemble du système attaqué. Il faut cependant que le malveillant soit authentifié. Autant dire que les mises à jour sont obligatoires. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.
Archives quotidiennes :
Une victime de Windigo témoigne
Retour sur l’affaire Windigo, qui a été découverte il y a quelques semaines par l’équipe de chercheurs en sécurité d’ESET, en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité. Pour rappel, cette importante opération, contrôlée par un gang de cybercriminels, a généré des attaques sur plus de 25 000 serveurs UNIX dans le monde entier. A l’apogée de Windigo, ont été envoyés 35 millions de pourriels par jour et 500.000 internautes ont été redirigés vers des sites malveillants. Pour plus d’informations sur Windigo : Communiqué de presse Opération Windigo
Pierre-Marc Bureau, Directeur du programme Security Intelligence d’ESET déclare : « ESET a investi des mois d’efforts pour analyser, comprendre et expliquer l’Opération Windigo. A l’acmé des analyses, 6 chercheurs ont enquêté. Nous sommes très fiers des résultats actuels et continuons de surveiller la situation. Tous les serveurs n’ont pas été nettoyés et le gang malveillant à l’origine de l’opération contrôle toujours des ressources importantes. Il y a encore beaucoup de travail à effectuer ! »
Résumé de l’entretien avec François Gagnon*, dirigeant d’une entreprise dont les serveurs en France et au Canada ont été les victimes de ces attaques pendant plusieurs semaines. Il explique comment une entreprise internationale peut devenir la proie de cybercriminels sans s’en apercevoir : « Comme toutes les entreprises de notre taille, nous savons que nous sommes la cible de cybercriminels, mais nous n’avions jamais fait l’objet d’une attaque sérieuse. Au début nous n’avions pas mesuré l’ampleur de cette attaque. C’était subtil. Personne n’avait jamais volé nos bases de données. Mais nous ne ressentions pas cela comme une attaque offensive, le malware a été exécuté silencieusement. Je pense que c’est pourquoi il avait infecté tant de serveurs avant que les gens commencent à réagir (…) La première chose que l’on sait dans n’importe quelle entreprise IT est que rien n’est impossible (…) Je suppose que nos serveurs ont été infectés quelques semaines avant. Lorsque nous nous en sommes aperçus, nous avons poussé l’enquête. C’est là que nous nous sommes rendu compte que les serveurs ont été infectés après l’ouverture de tickets avec cPanel. Leurs serveurs étaient infectés et ils ont donc infectés les nôtres via une connexion SSH. (…) Nous avons d’abord pensé à une attaque ciblée, puis nous nous sommes aperçus que beaucoup d’autres entreprises se posaient les mêmes questions avec des récits de comportements étranges sur de nombreux forums. (…) Nous avons rapidement été contactés par ESET qui nous a informé de l’ampleur de l’infection, nous avons très vite été en étroite collaboration. ESET nous a conseillé de nettoyer et réinstaller nos serveurs. Certains serveurs ont été utilisés pour aider les chercheurs à comprendre l’infection. (…) Nous avons été une cible, tout simplement parce que nous avons beaucoup de serveurs, et de nombreux clients en France et au Canada (…). Nous remercions ESET qui a été réactif pour nous venir en aide (…), nous n’avons pas souffert de graves pertes financières. La réputation de notre entreprise n’a pas été impactée. (…) Nous sommes pleinement opérationnels aujourd’hui. »
OPERATION WINDIGO
Plus de 500 000 ordinateurs infectés chaque jour par 25 000 serveurs UNIX piratés par un cheval de Troie. L’équipe de chercheurs en sécurité d’ESET®, en collaboration avec le CERT-Bund (Allemagne), l’agence nationale suédoise de recherche sur les infrastructures réseau (SNIC) et d’autres agences en sécurité, ont découvert une vaste campagne d’attaques cybercriminelles qui a pris le contrôle de plus de 25 000 serveurs UNIX dans le monde entier. Baptisée « Windigo » par les experts en sécurité informatique cette campagne d’une ampleur inédite a généré l’envoi de millions de pourriels par les serveurs infectés. Le piratage de ces serveurs n’est en réalité que la 1ère étape de cette opération complexe qui a pour finalité l’infection et le vol d’information des ordinateurs qui s’y connectent.
*A sa demande et pour des raisons de sécurité, le blog WeliveSecurity a utilisé un faux nom pour notre interlocuteur. Le gang derrière Windigo est toujours en fuite et les représailles sont une possibilité. Ce témoignage a été recueilli par Pierre-Marc Bureau.
Heartbleed : Risques et recommandations face à une potentielle exploitation
Une semaine après la révélation du bug Heartbleed, de nombreux rapports ont fait part de l’exploitation de la faille de sécurité et de cyber-attaques ciblant cette vulnérabilité. Bien que les fabricants de serveurs soient en train de fournir des correctifs à appliquer en urgence sur les équipements pour protéger les utilisateurs, les attaques commencent à se multiplier.
Au Canada, le site du fisc qui avait été fermé par mesure de précaution le 8 avril avant de le rouvrir 13 avril, vient d’annoncer avoir été victime du vol de 900 numéros d’assurance sociale. A noter que le pirate présumé, un internaute de 19 ans, a été arrêté. Au Royaume-Uni, la faille a été utilisée sur le site dédié aux parents Mumset pour accéder aux données de plus de 1,5 millions d’usagers du forum. Pour rappel, il était indiqué, au lancement des alertes, que le piratage ne pouvait se détecter.
Si en France aucune attaque n’a encore été relevée, le Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques (CERT-FR) a remis à jour hier le bulletin d’alerte émis le mardi 8 avril, pour prévenir des risques liés à Heartbleed et indiquer les mesures à prendre pour se protéger. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, indique que « Nous étions probablement nombreux à prédire qu’il finirait par y avoir une faille comme celle-ci, et si Heartbleed semble être exploité aux Etats-Unis et au Canada, nous ne tarderons peut-être pas à assister à la publication de rapports similaires en France. » A noter que la CNIL a diffusé d’une page dédiée à cette faille et aux règles à tenir par les administrateurs.
La situation est clairement préoccupante dans la mesure où les données sensibles sur la mémoire d’un serveur cloud peuvent comprendre de nombreuses informations comme des noms d’utilisateurs, des mots de passe ou encore des numéros de comptes et des clés privées. Et comme si cela ne suffisait pas, l’exploitation de cette faille est extrêmement facile et il n’y a pas besoin d’être un hacker professionnel pour y parvenir, même les non-expérimentés seront susceptibles d’y arriver.
Changement de mot de passe
Nous sommes dans une situation où réagir de manière hâtive et radicale pourrait bien être le contraire de ce qu’il faut faire. Si votre fournisseur est toujours vulnérable, c’est-à-dire que le problème n’a pas été corrigé et qu’il n’y a pas eu de patch installé, et que vous changez vos mots de passe comme certains vous recommandent de le faire, vous allez rendre le nouveau mot de passe vulnérable. La situation est telle qu’il vaut mieux prendre le temps de la réflexion et porter une attention particulière aux informations communiquées par les entreprises qui détiennent vos données et agir en conséquence.
Confiance dans les sites sécurisés
Cette situation illustre parfaitement le niveau de confiance qui peut être accordé à la sécurité des technologies telles que les protocoles SSL. Les utilisateurs partent du principe que s’il y a un cadenas visible sur le site, leurs données sont protégées et transmises de façon sécurisée. Cela est vrai dans la plupart des cas mais le risque zéro n’existe pas. Nous encourageons les internautes à être plus méfiant en sécurité en général et d’agir comme s’il y avait toujours la possibilité d’être la cible d’un hacker.
Impératif de surveillance en continue et temps réel
Alors que nous entrons dans la phase d’exploitation potentielle de la faille, chaque entreprise doit surveiller de manière continue et en temps réel la moindre activité sur ses réseaux. Si des clés secrètes sont volées, la personne à l’origine de l’attaque pourra prendre le contrôle du trafic destiné aux applications et accéder à des échanges des données privées et sensibles – comme lors de transactions financières. La seule manière d’y remédier est d’être capable de surveiller méticuleusement le réseau et d’identifier les comportements anormaux. Nous pourrions bien être témoins d’attaque à grande échelle et les organisations doivent être vigilantes à la fois pour se protéger et protéger leurs clients. »
Google montre les dents
Google serait sur le point d’intégrer le chiffrement à sa liste de critères de référencement, favorisant ainsi le développement massif des sites chiffrés. Cette méthode basée sur le cryptage et censée renforcer la protection des sites et des navigateurs est en pleine explosion. Elle pourrait pourtant remettre en question les stratégies de sécurité des entreprises ; en effet, les employés seront de plus en plus amenés à naviguer sur sites chiffrés (et donc opaques), leur entreprise ayant peu de moyens d’évaluer leur niveau de malveillance. Si aujourd’hui la volumétrie moyenne de flux chiffrés est souvent comprise entre 20 et 40% de la totalité trafic de surf, il est fort à parier qu’une telle initiative fera rapidement croître ce pourcentage de manière significatif.
Plus le surf chiffré est important, moins les solutions mises en place dans les entreprises contre les menaces provenant du web seront efficaces ? Les solutions de sécurité et les investissements liés seront de moins en moins pertinents. C’est d’autant plus vrai que selon le dernier rapport du NSS Lab, déchiffrer les flux fait chuter les performances des équipements de sécurité de près de 74%. Les entreprises doivent-elles se préparer à être aveugle sur plus de la moitié des trafics de surf de leurs collaborateurs ?
Des solutions existent et permettent aux entreprises de bénéficier de technologies dédiées au déchiffrement et de gérer la volumétrie croissante et les besoins en termes de bande passante. Préserver la performance sans générer de latence. D’alimenter plusieurs solutions de sécurité en simultanée (Un déchiffrement unique pour plusieurs technologies). De mettre en place une politique de déchiffrement adaptée aux réglementations locales. C’est donc un enjeu crucial auquel sont confrontées les entreprises et qui doit désormais être pris en considération afin de garantir un niveau élevé de protection contre les menaces tout en respectant les obligations de traçabilité imposées par les différentes réglementations.
2,6 millions de CB piratés chez Michaels
En mars dernier, plusieurs grandes enseignes américains annonçaient le pirate de plusieurs millions de données bancaires. Des pirates informatiques étaient passés par là. Alors que les chiffres tombés, la société Michaels étaient averti du probable passage dans ses serveurs d’un visiteur malveillant. L’entreprise, après deux mois d’enquête, vient de confirmer le vol d’environ 2.6 millions de données de cartes de paiement. Les données compromises : numéros de CB, la date d’expiration pour les cartes de paiement. Michaels indique dans son communiqué de presse « Qu’il n’existe aucun preuve de la consultation (par le pirate, Ndr) des noms, codes PIN et autres adresses des adresses ». Le piratage aurait eu lieu entre le 8 mai 2013 et le 27 Janvier 2014. L’entreprise déclare que ce piratage n’a touché que 7% des cartes utilisées dans les magasins Michaels au cours de cette période. A noter que, toujours selon le service presse de l’enseigne, une filiale de l’enseigne Aaron Brothers a également été touchée entre le 28 juin 2013 et le 27 février 2014. Une violation informatique qui a ciblé 54 de ses boutiques pour environ 400.000 cartes. La société parle d’un malware « identifié et bloqué. Ce malware ne présente plus aucune menace lors de vos achats chez Michaels ou Aaron Brothers« .
Selon une étude publiée par le Pew Research Center (1), 18% des américains ont été victimes en 2014 d’un vol de données en ligne. Il s’agit notamment d’informations sensibles telles que des numéros de sécurité sociale, des numéros de cartes de crédit et d’autres infos bancaires. Le chiffre est en augmentation de 11% par rapport à 2013. Cette hausse des vols a touché tous les groupes d’âge, bien que les utilisateurs les plus impliqués aient entre 18 et 29 ans. La recherche PEW a également montré que 5 % des Américains sont préoccupés par la quantité de renseignements personnels en ligne. Le pourcentage était de 33% en 2009. La hausse n’est toutefois pas surprenante, étant donnée l’utilisation croissante des réseaux sociaux et autres services en ligne.
Sécurité: le vol de données en ligne se développe aux États-Unis
Au-delà de ces mauvaises nouvelles, cette information a le mérite de sensibiliser les utilisateurs sur la nécessité et le devoir de naviguer en toute sécurité. Outre l’affaire Heartbleed et après les 2,9 millions de comptes impliqués dans l’attaque sur Adobe en octobre dernier et les 4,6 millions de comptes Snapchat piratés en février, les utilisateurs se doivent être de plus en plus conscients des enjeux.
A noter qu’en France, peu ou pas de communication des sociétés victimes de fuites, piratages, … Ne pensez pas que ce genre d’attaque n’existe pas, bien au contraire, malheureusement. Nous vous en parlons souvent. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.