Archives de catégorie : Mise à jour

Cybersécurité, Mise à jour, Patch, Securite informatique

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

Cybersécurité, Mise à jour

40 000 informaticiens en moins, en Russie

Pour le premier semestre 2022, environ 40 000 informaticiens ont quitté la Russie.

Un second effet à la guerre lancée par Vladimir Poutine, en Ukraine, les emplois spécialisés disparaissent. Après les craintes visant les mises à jour de logiciels, le blocage des smartphones sous Android et iOS, voici venir la nouvelle crainte high-tech sur le territoire Russe.

La Russie a perdu (ou va perdre) 40 000 informaticiens. Des employés de centres de développement d’entreprises étrangères, dont les maisons « mères » ont décidé de fermer leurs bureaux en Russie. Une second trimestre qui va faire de gros dégâts, la Russie n’étant pas capable de remplacer ces personnels partis.

La seconde fuite de cerveau est celle des entreprises russes qui travaillaient sur les marchés étrangers. Les informaticiens Russes vivant à l’étranger sont censés rentrer dans leur pays avant la fin de l’année.

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)

Cybersécurité, Entreprise, Mise à jour

70% des cyber-incidents dus à l’hameçonnage et aux vulnérabilités logicielles

Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.

Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.

Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

cyberattaque, Cybersécurité, Mise à jour

Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners

Cybersécurité, Mise à jour, Patch, Wordpress

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

Justice, Mise à jour, Téléphonie

Starlink interdit en France ?

Des associations environnementales françaises font interdire dans l’hexagone le service Starlink d’Elon Musk.

L’affaire pourrait prêter à sourire, mais démontre que les lobbyings de tous poils sont aux aguets dés qu’il s’agit de faire interdire des avancés technologiques qui ne vont pas dans leur sens. Alors que de nombreux français, en zones blanches (sans possibilités de connexion) ne peuvent exploiter le numérique, des services tels que ceux proposés par l’entreprise d’Elon Musk permettent de ne plus être hors du XXIe siècle.

Le 5 avril, le Conseil d’Etat a retoqué une décision de l’ARCEP (le gendarme des fréquences radios en France) datant de janvier 2021 qui permettait à Starlink de proposer ses accès Internet par Satellite. Le Conseil d’État a reproché à l’Arcep de ne pas avoir mis en place « une consultation du public » afin de faire jouer la concurrence. Bilan, il est reproché, non pas des ondes qui pourraient détruire la nature. Il est expliqué que cet accord était « susceptible d’avoir une incidence importante sur le marché de la fourniture d’accès à internet à haut débit, et d’affecter les utilisateurs« .

Les associations Priartem et Agir pour l’environnement vont demander, sept mois plus tard, l’annulation de l’autorisation ARCEP/Starlink. Ils vont mettre en avant un défaut de mise en concurrence pour faire couper Starlink. Les associations s’y prendront à trois fois. Après un refus, en septembre 2021, remise sur le tapis en décembre 2021, puis en mars 2022. La troisième sera la bonne ! Ces associations sont spécialisées dans « la prévention des risques liés aux technologies électromagnétiques ». Elles vont gagner en mettant en avant « Une incidence importante sur le marché de la fourniture d’accès à internet à haut débit […] sans avoir préalablement procédé à une consultation du public. »

Couper, pas couper ?

Couper Starlink Internet Services Limited, en France. Cela va surtout le rendre un peu plus lent. Les informations vont être routées, prendre d’autres chemins, sans passer par les vertes prairies locales. Le hic va surtout être pour les utilisateurs d’aujourd’hui. Vont-ils encore avoir le droit d’utiliser leur matériel et, dorénavant, les fréquences interdites ? J’imagine déjà la tête de nos amis frontaliers en Suisse, Belgique, … passant par la bande fréquence « Made in France » (0,95-12,70 GHz de haut en bas et 14,00-14,5 GHz de bas en haut). Le document du Conseil D’Etat semble préciser que l’interdiction vise les liaisons entre un satellite et le sol, et pas un satellite vers les paraboles Starlink au sol. Bref, c’est capillotractée.

Je suis impatient de voir venir des propositions alternatives françaises pour sortir du noir les zones blanches, avec l’aide de ces associations ! En attendant, Arianespace a signé un contrat avec Amazon pour envoyer vers l’infini et haut delà les satellites Kuiper. Mission, diffuser de l’Internet à haut débit d’ici à 2030.

cyberattaque, Mise à jour

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.  

Mise à jour

Outils de production et chaînes industrielles

Focus sur deux axes principaux de vulnérabilités : Outils de production et chaînes industrielles, et évolutions des processus de gestion des actifs avec le télétravail

Si l’on se réfère à la source CVE Details, 2021 aura été l’année de la découverte du plus grand nombre de vulnérabilités logicielles, qu’il s’agisse de problèmes mineurs concernant des solutions logicielles de niche ou d’incidents critiques affectant des millions d’actifs informatiques. En parallèle, les entreprises auront dû gérer la sécurité sur les équipements distants, les services Cloud et les plateformes informatiques traditionnelles en raison du tumulte provoqué par la pandémie COVID-19.

En 2022, les entreprises seront contraintes de moderniser leurs processus pour gérer la sécurité. Cela implique notamment que l’équipe chargée de la sécurité IT endosse davantage de responsabilités dans d’autres domaines technologiques. Parmi les solutions, et elles sont nombreuses, se pencher sur les avantages d’un logiciel sur mesure.

Le télétravail a initié la nécessaire évolution des processus de gestion des actifs.

Avec le télétravail les équipes informatiques se sont adaptées aux nombreuses entreprises qui ont dû faire évoluer leurs pratiques opérationnelles en matière de sécurité alors que leurs employés achetaient de nouveaux équipements ou logiciels afin de pouvoir travailler à distance. Dans la panique, les programmes d’inventaire des actifs en place ont été ignorés et les équipes chargées des opérations et de la sécurité informatiques ont donc perdu la visibilité sur ce qui existait en raison des actifs qui n’étaient plus sur le réseau de l’entreprise. C’est donc la sécurité en général qui a souffert de cette situation.

Aujourd’hui, les employés se sont installés dans la routine du télétravail. Cependant, les entreprises restent dans le même mode urgence lorsqu’il s’agit de sécurité, plutôt que d’envisager cette dernière comme faisant partie intégrante des opérations quotidiennes de l’entreprise. Croiser des employés, dans des chambres d’hôtes, d’hôtel et ne pas faire attention à leur cyber est un risque qu’il n’est plus possible d’ignorer. Les « logeurs » doivent prendre en compte leur sécurité informatique. Un vecteur qui rassurera les futurs clients. Il existe du logiciel pour chambre d’hôtes qui font parfaitement l’affaire.

La sécurité est mise à mal lorsque l’entreprise ne dispose pas d’un inventaire des actifs actualisé qui indique les points d’extrémité existants, à savoir ceux qui restent sur le réseau de l’entreprise et ceux à distance. En 2022 ces entreprises seront mises en difficulté car certaines comptent sur un retour à la normale qui ne se produira sans doute pas. Les équipes doivent donc repenser leurs stratégie et processus pour prendre en charge en priorité leurs collaborateurs distants et appliquer la même approche aux différents sites de l’entreprise.

Les inventaires des actifs sont précis … et alors ?

Cette nouvelle priorité accordée à une gestion universelle, homogène et permanente des actifs est l’objectif que toutes les équipes de sécurité devraient se fixer. Cependant, la réalité de la conception et des responsabilités organisationnelles peut poser un frein, pourtant l’évolution vers le télétravail oblige à réviser les processus de gestion des mises à jour et de déploiement des correctifs.

Cela ne concerne pas tant la technologie que le mode de collaboration des équipes pour gérer les correctifs et les mises à jour des activités opérationnelles. Pour les plus grandes entreprises, cette tâche peut s’avérer difficile lorsqu’elle implique plusieurs équipes, et si il y a plusieurs entités à gérer avec différentes parties prenantes sur les décisions.

Les entreprises peuvent faire bouger les lignes en se penchant notamment sur l’intérêt de l’informatique pour l’activité de l’entreprise. Par exemple, faire de la sécurité une priorité métier est un sujet évoqué depuis des décennies. L’augmentation des attaques par ransomware et les coûts élevés associés, obligera les entreprises à prendre ce sujet à-bras-le-corps tandis que les décideurs définiront davantage d’objectifs pour garantir la sécurité de leurs systèmes. Aussi, responsabiliser les dirigeants notamment au déploiement des mises à jour permet de promouvoir cette approche de la gestion des risques métier.

 

Les machines et réseaux industriels devront s’aligner sur la sécurité informatique

Cette année, Gartner prévoit que les cyberattaquants se serviront des environnements à technologie d’exploitation (OT) comme armes pour cibler les humains d’ici 2025. Il est à craindre que cela arrive plus tôt, dès 2022. Le décès d’un nouveau-né en 2021 a par exemple été attribué à une attaque par ransomware contre un hôpital américain, dont l’ensemble de l’informatique était hors service. Davantage d’attaques ciblant des systèmes OT auront lieu et toucheront des infrastructures critiques si ces systèmes ne sont pas protégés de manière appropriée.

Or, les environnements OT reposent généralement sur des technologies obsolètes. Coûteux et devant durer des années, nombre de ces actifs présentent des failles de sécurité connues mais jamais corrigées, notamment parce que mettre à l’arrêt la chaîne de production pour appliquer un correctif peut coûter plusieurs millions d’euros en perte de productivité. De plus, il n’existe pas toujours de correctifs pour des failles qui affectent des équipements en fin de vie.

La protection de ces systèmes s’est traditionnellement appuyée sur l’air gapping, une mesure de sécurité qui permet notamment d’isoler complètement un réseau de l’Internet public. Aujourd’hui, les entreprises ne peuvent plus se passer de cette option car elles souhaitent exploiter en temps réel les données fournies par leurs systèmes pour mieux se positionner face à la concurrence, et ce malgré les risques liés à l’interconnexion de toujours plus de réseaux OT. En outre, de récentes recherches indiquent l’existence de nouveaux modes opératoires destinés à établir une passerelle avec les mesures d’air gapping si bien que s’en remettre aux seuls modèles de sécurité traditionnels ne suffit plus.

Des années durant, la technologie d’exploitation a été totalement tenue à l’écart de l’IT, au point que les équipes informatiques avaient du mal à comprendre ce qui était utilisé et à identifier les menaces. Dans la pratique, la sécurité OT a une décennie de retard par rapport à la sécurité informatique en matière de conception de bonnes pratiques et de processus. En 2022, la soif de données et les risques d’attaque contraindront à investir davantage pour renforcer cet aspect.

Les équipes en charge de la sécurité informatique seront sollicitées pour s’investir dans ce domaine car ce sont elles qui comprennent le mieux le paysage évolutif des menaces. L’entière collaboration de toutes les équipes sera requise, conditionnée par une vision globale de l’ensemble des actifs connectés, qu’il s’agisse du Cloud et des conteneurs qui peuvent être mis à jour en quelques secondes ou d’actifs OT déployés depuis des années et qui n’évolueront pas dans l’immédiat.

Définir les processus et les pratiques de sécurité qui prendront en compte tous ces actifs exigera de mettre en place une stratégie de gestion des risques adaptée. La même approche ne pourra pas être appliquée partout et définir des priorités sera indispensable au succès de cette stratégie. Il s’agira d’un travail nécessaire pour prévenir d’autres incidents comme les cyberattaques lancées contre l’opérateur américain d’oléoducs Colonial Pipeline et des établissements de santé.

En 2022, les attaques par ransomware affecteront plus souvent les actifs OT. Les cyberassureurs sont en train de revoir leur couverture concernant les attaques par ransomware afin que les entreprises ne puissent plus se reposer sur leur police d’assurance pour la prise en charge des frais. En lieu et place, les entreprises devront reconnaître l’existence de risques métier et les résoudre au lieu de se contenter de les consigner dans un registre et de faire le gros dos pour qu’une violation ne se produise pas. (Paul Baird, CTSO UK, Qualys)