Archives quotidiennes :

backdoor, cyberattaque, Cybersécurité

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

Cybersécurité, Piratage, santé

Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Le ministère américain de la santé et des services sociaux (HHS) a récemment publié une alerte à destination des opérateurs de services d’assistance informatique dans le secteur de la santé, signalant une augmentation notable des attaques d’ingénierie sociale. Ces attaques, particulièrement sophistiquées, visent à détourner des fonds vers des comptes bancaires contrôlés par les attaquants.

Selon le bureau de la sécurité de l’information du HHS et le centre de coordination de la cybersécurité du secteur de la santé, les acteurs de la menace procèdent souvent par appel téléphonique, se faisant passer pour des employés des services financiers de l’entreprise ciblée. Ils parviennent à usurper les numéros de téléphone pour qu’ils affichent un indicatif régional qui semble local.

L’alerte précise que ces individus sont capables de fournir des informations personnelles sensibles validant leur fausse identité, telles que les derniers chiffres du numéro de sécurité sociale et d’autres données démographiques, obtenues via des sites de réseautage professionnel ou des violations de données précédentes.

Exploitation des failles de sécurité

L’attaquant prétend souvent que son téléphone est endommagé et qu’il ne peut ni passer d’appels ni recevoir des jetons de vérification multifactorielle (MFA). Cette même ruse est utilisée, depuis quelques semaines, sur WhatsApp. Des parents reçoivent de leur présumé enfant un message sur WhatsApp leur indiquant un changement de numéro. N’y répondez pas, il s’agit d’un piège.

Pour le secteur de la santé, cette ruse l’amène à convaincre le service d’assistance d’enregistrer un nouveau dispositif pour l’accès MFA, permettant ainsi l’accès non autorisé aux ressources de l’entreprise. Une fois cet accès obtenu, les attaquants redirigent les paiements bancaires vers des comptes sous leur contrôle, avant de transférer les fonds à l’international.

Implications pour la sécurité des informations financières

Les attaquants ciblent ensuite les informations de connexion aux sites des payeurs et modifient les instructions ACH pour que les paiements soient redirigés vers des comptes américains qu’ils contrôlent. Ces actions sont souvent suivies par l’accès aux comptes de messagerie des employés, d’où ils envoient des instructions modifiées aux processeurs de paiement.

Le HHS note que des tactiques similaires ont été utilisées par le groupe de menace connu sous le nom de Scattered Spider lors d’une attaque de ransomware contre une organisation du secteur de l’hôtellerie et du divertissement en septembre 2023. De plus, l’usage potentiel d’outils d’usurpation d’identité vocale basés sur l’IA a été signalé comme une complication supplémentaire dans ces attaques.

Mesures recommandées pour renforcer la sécurité

Pour contrer ces menaces, le HHS recommande plusieurs stratégies de mitigation. Parmi celles-ci, l’utilisation de Microsoft Authenticator et/ou Google Authenticator avec correspondance de numéros pour l’authentification, ne plus utiliser les SMS comme option MFA, la sécurisation de l’enregistrement MFA et SSPR en exigeant une authentification depuis un réseau approuvé, et le blocage de l’accès externe aux fonctionnalités d’administration de Microsoft Azure et Microsoft 365 via une stratégie d’accès conditionnel.