Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

Cybersécurité, Mise à jour

À partir du 10 janvier, Windows 7 ne recevra plus de correctifs pour les vulnérabilités critiques

Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.

Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.

Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.

Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.

Selon Statcounter GlobalStats , Windows 7 tourne actuellement sur 11% des PC dans le monde.

La part de Windows 8.1 est bien moindre – seulement 2,59%.

Les développeurs de navigateurs ont également annoncé la fin du support de Windows 7.

Par exemple, Microsoft Edge 109 sera la dernière version à être « amie » avec Windows 7 et Windows 8/8.1.

Et la version de Google Chrome 110 devrait sortir sans prise en charge de ces versions d’OS.

Chiffrement, cryptage, Cybersécurité

Promulgation de la loi Quantum Computing Cybersecurity Readiness Act

Le président américain Joe Biden met en place la loi Quantum Computing Cybersecurity Preparedness Act. Elle est censée protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique.

Alors que des scientifiques chinois ont annoncé le crack de mots de passe (RSA) grâce au calcul quantique, les Etats-Unis se préparent à s’armer d’une loi pour se protéger ! La loi, baptisée Quantum Computing Cybersecurity Preparedness Act (QCCRA), est conçue pour protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique. Cette loi porte sur la migration des systèmes informatiques des agences exécutives vers la cryptographie post-quantique.

La cryptographie post-quantique est un chiffrement suffisamment puissant pour résister aux attaques des ordinateurs quantiques développés à l’avenir. La loi ne s’applique pas aux systèmes de sécurité nationale.

Une fois que les National Institutes of Standards and Technology (NIST) ont publié des normes de cryptographie post-quantique, l’OMB publiera des directives exigeant que chaque agence exécutive élabore un plan de migration des technologies de l’information de l’agence vers la cryptographie post-quantique.

Les ordinateurs quantiques peuvent casser les algorithmes cryptographiques existants. Les experts estiment que l’informatique quantique atteindra ce stade dans les 5 à 10 prochaines années, rendant potentiellement toutes les informations numériques vulnérables aux acteurs de la cybermenace avec les protocoles de cryptage existants.

La loi (H.R. 7535) oblige chaque agence de créer et de maintenir une liste à jour des technologies de l’information utilisées pouvant être vulnérables au déchiffrement par des ordinateurs quantiques. Elles doivent également créer un processus d’évaluation des progrès de la transition des systèmes informatiques vers la cryptographie post-quantique. Ces exigences doivent être remplies dans les six mois suivant l’adoption de la loi.

Des experts chinois cassent le cryptage RSA à l’aide d’ordinateurs quantiques

Un groupe de chercheurs chinois a surpris la communauté de la cybersécurité en affirmant qu’ils avaient réussi à casser le type de cryptage le plus répandu sur le Web, le RSA. Pour cela, les experts ont utilisé des ordinateurs quantiques, bien qu’il soit généralement admis qu’ils ne constituent pas actuellement une menace pour l’ algorithme RSA.

Le Financial Times écrit sur la percée des spécialistes chinois. Fin décembre, les chercheurs ont publié un article (PDF) détaillant une méthode de craquage de l’algorithme RSA à l’aide d’un ordinateur quantique équipé de seulement 372 qubits (bits quantiques).

Rappelons que RSA est au cœur d’une grande partie du chiffrement en ligne. Les rapports d’un piratage réussi ont alerté les spécialistes de la sécurité de l’information, car IBM a promis cette année de mettre à la disposition des clients l’ordinateur quantique le plus puissant, le système Osprey à 433 qubits.

Il n’est pas difficile d’imaginer ce qui attend RSA dans ce cas : il ne survivra tout simplement pas. Roger Grimes, l’un des vénérables experts dans le domaine de la cybersécurité, a noté qu’il s’agit d’un moment très important dans l’histoire de la sphère de la cybersécurité (si les affirmations des experts chinois s’avèrent vraies). « En fait, cela signifie que les autorités d’un pays pourront révéler les secrets d’autres pays. », souligne Grimes.

On comprend mieux le choix des Américains de se pencher, rapidement, sur la Quantum Computing Cybersecurity Preparedness Act.

Android, ios, Smartphone, Téléphonie

Espionnage : nouvelle méthode pour écouter sur Android

Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.

L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.

Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.

Identification à l’oreille !

L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.

La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.

cryptomonnaie, Entreprise

Cryptojacking : du minage sans votre consentement

Le cryptojacking via des vulnérabilités existantes : un problème croissant. Les cybercriminels exploitent-ils souvent des vulnérabilités pour faire du minage ?

Les vulnérabilités non corrigées posent un sérieux problème aux utilisateurs, tout en attirant les cybercriminels qui les exploitent pour propager des activités malveillantes. Si l’on évoque souvent les ransomwares exploitant les vulnérabilités, le minage gagne également en popularité auprès des cybercriminels. En effet, on observe en 2022 une augmentation de la part de logiciels de minage diffusés par le biais de vulnérabilités bien connues, notamment Log4j.

Cette année, près d’une attaque sur sept exploitant de telles vulnérabilités était accompagnée d’une infection par minage. Au troisième trimestre, le minage s’est encore plus répandu que les portes dérobées (backdoor), qui sont restées le choix privilégié des cybercriminels tout au long du premier semestre 2022.

Pourquoi les cybercriminels ont-ils recours au cryptojacking ?

L’extraction de crypto-monnaies est un processus laborieux et coûteux, mais aussi très gratifiant, d’où l’intérêt que lui portent les cybercriminels. Gagner de l’argent en pratiquant le minage de crypto-monnaies est rentable pour les cybercriminels – ils ne paient pas d’équipement, ni d’électricité. Ils installent un logiciel de minage sur l’ordinateur de la victime pour utiliser sa puissance de traitement sans le consentement de l’utilisateur.

Cela ne nécessite pas beaucoup d’expertise technique spécialisée. En fait, tout ce que l’attaquant doit savoir, c’est comment placer un script de minage à l’aide d’un code source ouvert, ou savoir où en acheter un. Si le logiciel malveillant de cryptomining est installé avec succès sur l’ordinateur de la victime, il procure à son opérateur des revenus réguliers.

Pourquoi une société n’aurait-elle pas installé de correctif contre le L4S – est-ce si difficile dans certains cas dans le secteur public ?

La correction d’une vulnérabilité nécessite du temps et de l’argent. Certaines organisations sous-estiment les dommages potentiels causés par les attaques d’exploitation des vulnérabilités, espérant que les menaces ne les cibleront pas. En outre, il s’agit d’un travail répétitif et routinier (de nombreux correctifs doivent être installés manuellement) qui peut donner lieu à des erreurs. Tous ces facteurs peuvent affecter la sécurité des systèmes de l’organisation.

Log4j constitue-t-il toujours une menace pour les utilisateurs et les entreprises ?

Comme le montre notre télémétrie, les cybercriminels continuent d’exploiter la vulnérabilité Log4j à des fins malveillantes. Elle est exploitée à la fois par des acteurs de la menace avancée qui ciblent des organisations spécifiques, et par des hacktivistes simplement à la recherche de tout système vulnérable à attaquer. Nous demandons à tous ceux qui ne l’ont pas encore fait de se mettre à jour et d’utiliser une solution de sécurité forte pour se protéger.

Pour se prémunir contre cette nouvelle vulnérabilité, Dmitry Kondratyev, de chez Kaspersky recommande :
· D’installer la version la plus récente de la bibliothèque. Vous pouvez la télécharger sur la page du projet. Si vous utilisez la bibliothèque d’un produit tiers, vous devrez surveiller et installer les mises à jour d’un fournisseur de logiciels.
· En suivant les directives du projet Apache Log4j : https://logging.apache.org/log4j/2.x/security.html

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

cyberattaque, Cybersécurité

Défendre la liberté numérique en temps de cyberguerre

Au vu du contexte en Ukraine et de l’invasion Russe, nous sommes témoins en temps réel d’une cyberguerre totale qui se déroule sous nos yeux. Aujourd’hui en Europe, la cybersécurité et la liberté numérique sont, au sens propre, des questions de vie ou de mort… le champion des echecs Garry Kasparov donne son avis !

On me demande souvent, depuis l’invasion lancée par Poutine en Ukraine, comment j’avais compris qu’il allait lancer une guerre. La réponse est simple : je ne suis pas devin, je ne tire pas les cartes mais j’écoute attentivement ce que dit Poutine. Les dictateurs peuvent affabuler et mentir à leur guise sur le passé, mais ils sont plutôt honnêtes quand il est question de leurs plans d’avenir. Il y a quelques années durant un dîner chez l’auteur de l’article « Pourquoi j’aurais dû écouter Garry Kasparov quand il parlait de Poutine », j’avais expliqué que Poutine n’abandonnerait pas ses projets pour l’Ukraine, à moins qu’il ne soit arrêté avant. D’ailleurs, lorsque Poutine a nié l’existence de l’Ukraine en tant que pays, j’ai aussitôt tiré la sonnette d’alarme. Il s’agissait là clairement d’un appel à la guerre.

Pourquoi la Russie perd la cyberguerre

Nous savons que le Kremlin a lancé des dizaines de cyberattaques contre des cibles ukrainiennes depuis le début de cette nouvelle invasion, le 24 février. Mais malgré tous les plans et toutes les stratégies de Poutine, la Russie perd la cyberguerre en Ukraine. Pourquoi ?

L’une des raisons de cet échec est la force du peuple ukrainien : tout comme l’armée ukrainienne a gagné la bataille de Kiev et continue à lutter contre l’armée de conscrits de Poutine en rendant coup pour coup, les spécialistes ukrainiens en cybersécurité défendent le pays des attaques du Kremlin.

Cet échec russe s’explique également par le fait que les systèmes russes et ukrainiens étaient si imbriqués que chaque attaque contre l’Ukraine pouvait se retourner contre la Russie. Un détail que ZATAZ avait indiqué, en premier, dés le mois de février 2022, démontrant la faiblesse des russes sur les réseaux sociaux.

Enfin, cette guerre nous a montré la grande vulnérabilité des systèmes russes. Des individus ou des groupes tels que les Anonymous n’ont eu aucune difficulté à pirater des sites du gouvernement russe.

Nous pouvons en tirer une leçon importante : la guerre en Ukraine nous a montré que les forces de la démocratie sont plus fortes, plus perfectionnées et plus avancées que les forces de l’autoritarisme. Nous devons, à juste titre, nous inquiéter de ce mal, mais nous ne devons pas en avoir peur.

La guerre et la cyberguerre peuvent nous sembler abstraites, mais elles nous aident à nous rappeler l’importance de la cybersécurité dans notre vie quotidienne. En effet, nous avons tous fait l’expérience de cybermenaces. Vous avez déjà reçu un spam, vu de fausses informations débitées dans des commentaires Facebook ou Twitter par des bots ou aidé une personne âgée à éviter les pièges d’une tentative de phishing ? Alors, vous savez que la cybercriminalité ne cesse d’augmenter. Nos vies se passent de plus en plus en ligne. Les outils de l’autoritarisme et de l’exploitation sont de plus en plus perfectionnés. Nous avons donc besoin de technologies qui évoluent sans cesse pour protéger la démocratie et notre confidentialité en ligne. La meilleure défense contre les cyberattaques, c’est un bon moyen de dissuasion.

La liberté numérique diffère d’une nation à l’autre

La révolution numérique a vécu une accélération sans précèdent. La pandémie de COVID-19 nous a tous forcé, ainsi que les gouvernements et les pays, à nous adapter à une vie virtuelle et hybride. Dans la plupart des pays démocratiques, cette transition numérique a exposé les utilisateurs à plus d’escroqueries en ligne et à un risque plus grand de piratage. Mais dans des endroits où est encore en place le rideau de fer de l’autoritarisme, comme la Russie de Poutine ou le Myanmar de la junte militaire, la pandémie a offert l’occasion au totalitarisme de réprimer davantage les citoyens et de limiter encore leur liberté numérique.

Ces citoyens du monde entier, privés d’un accès libre à Internet, doivent trouver des moyens créatifs, peu fiables et risqués pour contourner les pares-feux et la censure de leurs gouvernements. Cependant, ce dont nous sommes témoins aujourd’hui en Russie est du jamais vu. La coupure d’Internet en Russie par Poutine est un exemple historique d’une nation entière qui disparait du réseau Internet mondial. Les utilisateurs en Russie seront donc plus vulnérables aux malwares que jamais auparavant. Cependant, il nous reste encore à découvrir toutes les conséquences que ce changement cataclysmique aura sur Internet.

Cybersécurité, Entreprise

Nouvelles formes d’attaques visant les entreprises et les instances publiques

L’entreprise japonaise TrendMicro estime que les acteurs de la menace vont intensifier les attaques à destination des installations soutenant le travail hybride, des chaînes d’approvisionnement logicielles et du cloud.

Le constat établi par les équipes de recherches dans leur rapport de prospective 2023, intitulé ‘Future/Tense’ ne laisse peu de place à un avenir sans piratage. « Le travail hybride est désormais répandu au sein des entreprises. Pour les acteurs de la menace cela représente une ouverture vers les systèmes informatiques et les données des organisations » commente Nicolas Arpagian, Director Cybersecurity Strategy de l’entreprise japonaise Trend Micro.

En 2023, ils cibleront les VPN non patchés, les appareils SOHO connectés, les infrastructures cloud privées, exploiteront des versions évolutives de rançongiciels et continueront la revente de données. Pour faire face à ces risques, les organisations privées et publiques devront renforcer leur capacité de détection et de supervision de leurs environnements numérisés ».

D’après les prédictions, les VPN représentent une cible particulièrement attrayante, car ils offrent un accès sur plusieurs réseaux d’entreprise. Les routeurs domestiques seront également pointés du doigt car ils sont souvent laissés sans correctif et non gérés par l’informatique centrale.

Tendances en 2023

Une menace croissante sur les chaînes d’approvisionnement venant des fournisseurs de services gérés (MSP), qui seront sélectionnés/ciblés parce qu’ils offrent un accès à un grand volume de clients en aval, maximisant ainsi le retour sur investissement des rançongiciels, des vols de données et autres attaques.

Les techniques « Living off the cloud » pourraient s’imposer comme la signature de groupes attaquant l’infrastructure cloud afin de les isoler/les protéger des outils de sécurité conventionnels. Ils pourraient, par exemple, utiliser les solutions de sauvegarde d’une victime pour télécharger les données volées vers une destination de stockage frauduleuse.

Les menaces liées aux voitures connectées, avec notamment le risque de ciblage des API cloud qui se trouvent entre les cartes SIM embarquées (eSIM) et les serveurs d’applications dorsales. Les API pourraient notamment servir d’accès aux véhicules. L’industrie des voitures connectées pourrait également être touchée par des logiciels malveillants dissimulés dans des référentiels de logiciels libres.

Les groupes de rançongiciel-as-a-service (RaaS) dont l’activité pour être révisée en fonction de l’impact de la double extorsion. Certains pourraient se concentrer sur le cloud, tandis que d’autres pourraient renoncer complètement aux rançongiciels et tenter de monétiser d’autres formes d’extorsion, comme le vol de données.

L’ingénierie sociale sera dynamisée par les offres de services de compromission de la messagerie professionnelle (BEC) et la montée en puissance des attaques BEC fondées sur les technologies deepfakes.

Toutefois, l’année 2023 devrait mettre en avant le fait que les entreprises seront mieux armées grâce à la mise en œuvre d’une stratégie permettant d’atténuer ces risques émergents de manière proactive. Pour cela, le choix d’une approche ‘Zero Trust’ construite selon le principe fondateur ‘ne jamais faire confiance, toujours vérifier’, pour minimiser les dommages sans sacrifier la productivité des utilisateurs. La formation des collaborateurs pour transformer un maillon faible de la chaîne de sécurité en une ligne de défense efficace.

La consolidation sur une plateforme de sécurité unique pour gérer la surveillance de la surface d’attaque ainsi que la détection et la réponse aux menaces. Cela permettra aux entreprises de mieux détecter les activités suspectes sur l’ensemble de leurs réseaux, de réduire la charge de travail des équipes de sécurité et de maintenir les défenseurs en alerte.

Des « stress tests » sur les infrastructures informatiques afin de s’assurer de la préparation aux attaques dans différents scénarios, en particulier ceux où une première intrusion n’a pu être empêchée. Une nomenclature logicielle (SBOM) pour chaque application, afin d’accélérer et d’améliorer la gestion des vulnérabilités en offrant une visibilité sur le code développé en interne, acheté auprès de sources commerciales sûres et construit à partir de sources tierces.

Cybersécurité

Patch Tuesday décembre 2022

Microsoft publie un total de 54 correctifs, concernant une très large gamme de produits, dont le système d’exploitation Windows. 19 correctifs sont disponibles pour corriger des vulnérabilités d’élévation de privilèges.

Microsoft a publié 54 nouveaux correctifs, dont 2 pour des failles 0Day. Les vulnérabilités et exploitations en cours concernent Microsoft Windows et des composants Windows, Azure et le système d’exploitation en temps réel Azure ainsi que pour Microsoft Dynamics, Exchange Server, Office et des composants Office, SysInternals, Visual Studio, SharePoint Server, Network Policy Server (NPS), Windows BitLocker, Microsoft Edge (basé sur Chromium), le noyau Linux et des logiciels Open Source. 

De son côté Adobe a publié trois correctifs pour corriger 37 CVE, toutes classées comme Importantes. Les produits Adobe suivants ont fait l’objet de mises à jour : Experience Manager (32 bugs), Adobe Illustrator et Adobe Campaign Classic. Les failles les plus sévères sont les scripts intersite (XSS) Adobe Experience Manager (AEM) et les fuites de mémoire Adobe Illustrator.

Le correctif pour Adobe Campaign Classic résout une faille facilitant l’élévation de privilèges. Actuellement aucune faille n’est connue publiquement ou ne fait l’objet d’attaques. À noter que Adobe attribue une priorité de niveau 3 au déploiement de ces mises à jour.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités permettant : déni de service (DoS), élévation de privilèges (EoP), divulgation d’informations, exécution de code à distance (RCE), contournement des fonctions de sécurité, et usurpation.

Les vulnérabilités corrigées par Microsoft en décembre 2022

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges 

19

Important

19

Vulnérabilité d’exécution de code à distance

24 

Important :
Critique :

7
7

Vulnérabilité de divulgation d’informations 

Important :

3

Vulnérabilité de contournement de fonctions 

Modérée :
Important :

1
1

Vulnérabilité de déni de service 

Modérée :
Important :

1
2

Vulnérabilité d’usurpation

2

Modérée :

2

Défense en profondeur  

Aucune 

Au total, Microsoft a résolu 54 vulnérabilités : 2 CVE le 5 décembre, 51 nouvelles CVE le 13 décembre et une mise à jour de défense en profondeur Microsoft (ADV220005). Une vulnérabilité 0Day est indiquée comme étant activement exploitée, tandis qu’une seconde a été divulguée publiquement au moment de la publication de ce papier. 

Principales vulnérabilités Microsoft corrigées CVE-2022-44698 | Vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen. Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 5,4/10. 

Elle est classée comme modérée et semble être liée à la vulnérabilité de contournement des fonctions de sécurité de la fonctionnalité Windows Mark of the Web (CVE-2022-41091) du mois dernier. En résumé, il est possible de créer un fichier malveillant pour contourner le mécanisme de défense Mark of the Web (MOTW). Cette opération supprime la fonction MOTW du fichier afin que cette dernière ne soit pas reconnue, et autorise les utilisateurs à ouvrir des fichiers sans déclencher l’avertissement. In fine ceci entraîne une perte d’intégrité et de disponibilité des fonctionnalités de sécurité, telle que la Vue protégée (Protected View) dans Microsoft Office, fonction qui repose sur le marquage MOTW. Vu le nombre croissant d’attaques par Phishing, la correction de cette vulnérabilité est fortement recommandée. Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-44713 | Vulnérabilité d’usurpation dans Microsoft Outlook pour Mac

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. 

Classée importante, cette vulnérabilité d’usurpation retient notre attention car elle est en lien avec les clients de messagerie. Elle permet à un attaquant d’apparaître comme un utilisateur de confiance. L’utilisateur cible recevra donc un message électronique signé, comme s’il provenait d’un utilisateur légitime. Si cette faille est associée à la vulnérabilité de contournement de sécurité dans Windows SmartScreen (CVE-2022-44698) susmentionnée, le résultat peut être très destructeur.

Évaluation d’exploitabilité : Exploitation moins probable  

Zoom sur les vulnérabilités Microsoft critiques 

CVE-2022-41127 | Vulnérabilité d’exécution de code à distance dans Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site) 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site). Susceptible d’entraîner un changement de portée, cette faille de sécurité permet à un attaquant authentifié d’exécuter du code sur le serveur hôte (système d’exploitation sous-jacent) dans le cadre du compte de service Dynamics configuré pour être utilisé. Si Dynamics NAV a ouvert un port, cela permet de se connecter au protocole TCP de Windows Communication Foundation (WCF). En tant qu’utilisateur authentifié, l’attaquant peut alors tenter d’activer du code malveillant au niveau du compte du serveur via un appel réseau. À noter que toute fuite vers l’hôte doit être prise très au sérieux.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau. 

Évaluation d’exploitabilité : Exploitation moins probable  

CVE-2022-44690 et CVE-2022-44693 | Vulnérabilités d’exécution de code à distance dans Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Critique, elle affecte Microsoft SharePoint Server avec un attaquant authentifié qui a des permissions sur les listes et peut donc exécuter du code distant sur le serveur SharePoint.

Ces deux vulnérabilités affectent les versions suivantes de Microsoft SharePoint : 

Microsoft SharePoint Enterprise Server 2013 Service Pack 1 et 2016, et Microsoft SharePoint Foundation 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition

Remarque : les clients qui exécutent SharePoint Server 2013 Service Pack 1 peuvent installer la mise à jour cumulative ou de sécurité qui est la même mise à jour que pour Foundation Server 2013. 

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable 

CVE-2022-41076 | Vulnérabilité d’exécution de code à distance dans PowerShell 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte PowerShell avec un utilisateur authentifié qui, quel que soit son niveau de privilège, peut intervenir sur la configuration de session distante PowerShell et exécuter des commandes non approuvées sur le système cible. Il est important de préciser que, généralement, suite à la violation initiale, les attaquants utilisent les outils disponibles sur le système pour garder de la réserve ou de l’avance sur un réseau. PowerShell étant l’un des outils les plus adaptés qu’ils puissent trouver, nous recommandons vivement de tester et de corriger cette faille.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation plus probable. 

CVE-2022-44670 et CVE-2022-44676 | Vulnérabilités d’exécution de code à distance dans le protocole Secure Socket Tunneling Protocol (SSTP) de Windows

Ces deux vulnérabilités affichent un score de sévérité CVSSv3.1 de 8,1/10. 

Ces vulnérabilités critiques affectent le protocole Secure Socket Tunneling Protocol (SSTP) de Windows avec, selon Microsoft, un attaquant qui doit gagner une situation de course afin de pouvoir exploiter ces failles. Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Si vous ne disposez pas de ce service, nous recommandons de désactiver l’option. Sinon, testez et déployez ces correctifs immédiatement.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel et une mise à jour.

Évaluation d’exploitabilité : Exploitation improbable

CVE-2022-41089 | Vulnérabilité d’exécution de code à distance dans l’infrastructure de développement .NET 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Cette mise à jour corrige une faille de sécurité lorsque le mode restreint est déclenché pour l’analyse de fichiers XPS. Les documents XPS utilisent des éléments structurels ou sémantiques tels que des structures de table, des storyboards ou des liens hypertexte. Cette vulnérabilité peut entraîner un mauvais affichage sur les lecteurs WPF, qui pourraient autoriser l’exécution de code à distance sur un système affecté. 

Il existe aussi une solution de contournement pour ce problème.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.  

Évaluation d’exploitabilité: Exploitation moins probable

Trois vulnérabilités de déni de service (DoS) sont corrigées ce mois-ci. La vulnérabilité DoS qui concerne Windows Hyper-V (CVE-2022-44682) affecte la fonctionnalité de l’hôte Hyper-V. Microsoft n’a pas fourni beaucoup de détails, mais il n’est jamais bon qu’un système d’exploitation invité puisse influencer de manière négative l’OS hôte.

19 correctifs ont été publiés pour corriger des vulnérabilités d’élévation de privilèges (EoP), dont des correctifs pour des failles du spooler d’impression, dans le prolongement de la vulnérabilité PrintNightmare. La vulnérabilité d’élévation de privilèges dans le noyau DirectX Graphics Kernel (CVE-2022-44710) est mentionnée comme étant divulguée publiquement.

La vulnérabilité de contournement des fonctions de sécurité dans l’agent Azure Network Watcher Agent (CVE-2022-44699) est une autre faille importante du mois. En effet, elle permet à un attaquant de mettre un terme à la capture de paquets depuis l’agent Network Watcher, ce qui peut entraîner l’absence de logs. Toute entreprise utilisant une extension VM pour la collecte de logs doit considérer cette faille comme étant critique.

La faille d’émulation de Microsoft Edge (basé sur Chromium) est corrigée pour empêcher un attaquant de modifier le contenu de la zone de remplissage automatique des données de formulaire.

Ce mois-ci voit aussi la publication d’un nouvel avis de sécurité (ADV220005) qui fournit des recommandations supplémentaires sur des pilotes tiers certifiés par le programme de développement matériel Microsoft Windows.

Synthèse de la publication Microsoft

Les notes de publication du mois concernent de nombreuses gammes de produits Microsoft et de nombreux produits/versions Microsoft, y compris mais sans s’y limiter, l’infrastructurev.NET, Azure, Client Server Run-time Subsystem (CSRSS), le pilote Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), le composant graphique Microsoft (Microsoft Graphics Component), Microsoft Office, Microsoft Office OneNote, Microsoft Office SharePoint, Microsoft Office Visio, la bibliothèque de codecs Microsoft Windows, Windows Hyper-V, SysInternals, les certificats Windows, les contacts Windows, Windows DirectX, Windows Error Reporting, Windows Fax Compose Form, Windows HTTP Print Provider, Windows Kernel, Windows PowerShell, Windows Print Spooler Components, Windows Projected File System, Windows Secure Socket Tunneling Protocol (SSTP), Windows SmartScreen, Windows Subsystem pour Linux et Windows Terminal. 

Les téléchargements concernent Cumulative Update (mise à jour cumulative), Monthly Rollup (déploiement mensuel), Security Only (sécurité uniquement) et Security Update (mise à jour de sécurité). (Saeed Abassi, Manager, Vulnerability Signatures, Qualys Lab).

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.