Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Violation de données chez owasp : exposition accidentelle de cv de membres

La Fondation OWASP (Open Worldwide Application Security Project), une référence dans le domaine de la sécurité logicielle, a récemment révélé une fuite de données due à une configuration incorrecte de leur ancien serveur Web Wiki. Ce problème a mené à l’exposition publique des curriculum vitae de certains de ses membres.

Fondée en décembre 2001, l’OWASP est une organisation à but non lucratif qui se concentre sur l’amélioration de la sécurité des logiciels à travers le monde. Avec des dizaines de milliers de membres répartis en plus de 250 sections, l’OWASP organise des événements éducatifs et des formations sur la sécurité logicielle globalement.

Détails de l’incident

La découverte de cette mauvaise configuration de Media Wiki a été faite fin février 2024, après que plusieurs membres ont contacté l’assistance technique de l’organisation. Les investigations ont montré que seuls les membres ayant rejoint OWASP entre 2006 et 2014 et ayant soumis leur CV lors de leur adhésion étaient affectés. Ces documents comprenaient des informations sensibles telles que noms, adresses email, numéros de téléphone, et adresses physiques.

Réponse de l’owasp

Andrew van der Stock, directeur exécutif de l’OWASP, a précisé que l’organisation avait pris des mesures immédiates pour contenir la fuite. Cela inclut la désactivation de la navigation dans les répertoires du serveur, la révision de la configuration de Media Wiki, et la suppression des CV du site Wiki. L’OWASP a également vidé le cache de Cloudflare et contacté les archives Web pour s’assurer que les informations accidentellement exposées soient également retirées.

L’OWASP s’est engagée à informer toutes les victimes identifiées par des lettres explicatives, mentionnant que beaucoup des informations exposées pourraient être désuètes, étant donné que nombre de ces membres ne font plus partie de l’organisation. Van der Stock a souligné que, pour les données toujours actuelles, il est conseillé aux membres concernés de rester vigilants face aux communications non sollicitées.

Google lance device bound session credentials pour sécuriser chrome

Google introduit une innovation dans la sécurité des navigateurs avec Device Bound Session Credentials (DBSC), une fonctionnalité destinée à renforcer la sécurité des sessions en ligne en liant les cookies d’authentification à un appareil spécifique. Cette approche vise à neutraliser les tentatives de vol de cookies, souvent utilisées pour contourner l’authentification multifacteur.

La nouvelle fonctionnalité, Device Bound Session Credentials, crée un lien cryptographique entre les cookies d’authentification et l’appareil de l’utilisateur. Ce processus s’appuie sur la puce Trusted Platform Module (TPM) pour générer une paire de clés publique et privée unique à chaque session. Les cookies ainsi sécurisés ne peuvent être utilisés sur aucun autre appareil, ce qui invalide les tentatives de vol.

Fonctionnement technique

Lorsqu’une session est établie via DBSC, le serveur effectue des vérifications périodiques de la clé privée pour s’assurer qu’elle n’a pas été déplacée ou copiée vers un autre appareil. Ces clés sont stockées de manière sécurisée et sont inaccessibles en dehors de l’appareil original, ce qui garantit que même en cas de vol de cookies, les attaquants ne pourront pas accéder aux comptes utilisateurs.

Kristian Monsen, ingénieur de l’équipe anti-abus de Google Chrome, souligne que DBSC pourrait révolutionner la sécurité en ligne en rendant le vol de cookies pratiquement inutile. Cette fonctionnalité contraint les attaquants à opérer localement, facilitant ainsi la détection et l’élimination des logiciels malveillants par les solutions antivirus et les protections d’entreprise.

Actuellement en phase de prototype, DBSC peut être activé par les utilisateurs avancés pour des tests en modifiant les paramètres sous chrome://flags/. Cette phase expérimentale permet à Google de peaufiner la technologie avant son déploiement à grande échelle.

Sécurité et confidentialité des utilisateurs

DBSC garantit que chaque session est isolée grâce à des clés uniques. Les serveurs n’interagissent qu’avec la clé publique, et ne peuvent donc ni identifier, ni suivre les utilisateurs à travers plusieurs sessions. De plus, les utilisateurs peuvent révoquer les clés à tout moment, ajoutant une couche supplémentaire de contrôle sur leur vie privée.

La fonctionnalité DBSC est prévue pour être intégrée dans environ 50% des ordinateurs de bureau équipés de Chrome dans un premier temps. Son intégration complète promet de renforcer significativement la sécurité pour tous les utilisateurs de Chrome, aussi bien dans un cadre privé que professionnel. « Nous travaillons également déjà pour proposer cette technologie à nos clients Google Workspace et Google Cloud afin de leur offrir une couche supplémentaire de sécurité des comptes », ajoute Monsen.

Vulnérabilité critique pour 1 million de site sous WordPress

Une vulnérabilité critique d’injection SQL dans le populaire plugin LayerSlider pour WordPress pourrait être utilisée pour extraire des informations sensibles des bases de données, telles que les hachages de mots de passe.

LayerSlider est un outil permettant de créer des sliders, des galeries d’images et des animations sur les sites WordPress. Le plugin est utilisé sur environ un million de sites Web. Le problème, identifié comme CVE-2024-2879 et avec un score CVSS de 9,8 [Trés grave], décrit un problème d’injection SQL qui affecte toutes les versions du plugin de 7.9.11 à 7.10.0. La vulnérabilité a été découverte par le chercheur en sécurité AmrAwad et corrigée dans la version 7.10.1 , publiée le 27 mars 2024. Pour divulgation responsable et découverte de la vulnérabilité, le spécialiste a reçu une récompense de 5 500 $.

Selon les experts de Wordfence, le problème a permis aux attaquants d’extraire des données confidentielles de la base de données de sites vulnérables. La vulnérabilité était liée au traitement du paramètre id dans la fonction du plugin ls_get_popup_markup. Étant donné que le paramètre id n’était pas correctement traité, les attaquants pouvaient injecter du code SQL malveillant dans des requêtes spécialement conçues, entraînant ainsi l’exécution de commandes, et l’exfiltration de données.

La structure des requêtes possibles réduisait l’attaque à une injection SQL aveugle dans le temps, c’est-à-dire que les attaquants devaient observer le temps de réponse pour obtenir les données de la base de données. Mais malgré ces limitations, CVE-2024-2879 permettait toujours de récupérer des informations de la base de données sans nécessiter d’authentification.

Alerte de sécurité : cisco identifie une vulnérabilité xss critique dans ses routeurs pour petites entreprises

Dans un récent communiqué, la société Cisco a émis une alerte concernant une vulnérabilité de type cross-site scripting (xss) affectant plusieurs modèles de ses routeurs destinés aux petites entreprises.

Cette faille, référencée sous le code CVE-2024-20362, présente un risque particulièrement élevé puisqu’elle peut être exploitée à distance et sans nécessiter d’authentification préalable. Les modèles concernés par cette vulnérabilité sont les RV016, RV042, RV042G, RV082, RV320 et RV325. Une caractéristique commune à tous ces appareils est leur statut de fin de vie : cisco a déjà cessé leur support, ce qui signifie qu’aucun correctif pour cette vulnérabilité ne sera disponible.

La vulnérabilité provient d’une validation insuffisante au sein de l’interface web des produits, permettant à un attaquant de lancer des attaques xss en incitant simplement un utilisateur à visiter une page web malveillante. cette exploitation pourrait permettre l’exécution de scripts malveillants ou même entraîner une fuite de données sensibles.

Absence de solution de contournement et recommandations

Cisco a confirmé ne pas avoir connaissance d’exploitations actives de cette vulnérabilité. Toutefois, l’absence de solution de contournement rend critique la transition vers des appareils plus récents et toujours soutenus par des mises à jour de sécurité.
Outre cette faille xss, cisco a récemment corrigé plusieurs autres vulnérabilités importantes. parmi elles, un défaut sérieux dans le Nexus Dashboard Fabric Controller (NDFC), identifié sous le numéro CVE-2024-20348, permettait à des attaquants de lire des fichiers arbitraires sur un serveur d’approvisionnement web. Ce bug touchait uniquement la version NDFC 12.1.3b et a été corrigé dans les versions ultérieures.

D’autres produits cisco, tels que le TelePresence Management Suite, Nexus Dashboard et Orchestrator, Identity Services Engine (ISE), ainsi que divers outils de communication et de gestion des urgences ont également reçu des correctifs pour des vulnérabilités diverses.

La menace croissante des bots malveillants : rapport Imperva Bad Bot 2024

Le paysage numérique mondial est de plus en plus façonné par une force invisible mais omniprésente : les bots. Thales, en partenariat avec Imperva, dévoile les résultats alarmants de son dernier rapport, le Bad Bot 2024. Cette analyse offre un aperçu du trafic automatisé des bots sur internet.

Une Analyse Approfondie du Trafic des Bots en 2023

En 2023, près de la moitié (49,6 %) de tout le trafic internet était généré par des bots, selon les conclusions du rapport. Cette augmentation de 2 % par rapport à l’année précédente marque le niveau le plus élevé signalé par Imperva depuis le début de sa surveillance du trafic en 2013. Cette croissance alarmante souligne l’urgence pour les entreprises de comprendre et de contrer la menace des bots.

Impact Financier et Opérationnel : Les Coûts des Attaques de Bots

Le coût des attaques de bots pour les entreprises est astronomique, se chiffrant en milliards de dollars chaque année. Des attaques contre les sites Web, les API et les applications compromettent la sécurité des données et la fiabilité des services en ligne, nécessitant des investissements importants dans l’infrastructure et le support client. En examinant de près les différents vecteurs d’attaque utilisés par les bots, les entreprises peuvent mieux évaluer les risques et mettre en place des mesures de protection efficaces.

Une Menace Multiforme : Les Différents Visages des Bots Malveillants

Les bots prennent différentes formes, de la simple extraction automatisée de données en ligne à la prise de contrôle de compte utilisateur, en passant par le spam et le déni de service. Le rapport identifie plusieurs tendances clés qui façonnent le paysage actuel de la cybermenace, soulignant la diversité des attaques et la nécessité d’une approche holistique en matière de sécurité.

IA Générative et Augmentation des Bots Simples :

L’adoption rapide de l’IA générative a conduit à une augmentation du volume de bots simples, passant de 33,4 % en 2022 à 39,6 % en 2023. Cette technologie permet aux utilisateurs sans connaissance technique d’écrire des scripts automatisés pour leur propre usage, alimentant ainsi la prolifération des bots. En explorant les implications de cette tendance émergente, les entreprises peuvent mieux anticiper les défis à venir en matière de cybersécurité.

Risques Persistants pour les Comptes Utilisateurs :

Les attaques de prise de contrôle de compte (ATO) ont augmenté de 10 % en 2023 par rapport à l’année précédente. Les attaques ciblant les points de terminaison des API représentent une préoccupation majeure, avec 44 % de l’ensemble des attaques ATO visant spécifiquement ces points de vulnérabilité. En renforçant les mesures d’authentification et en surveillant de près l’activité des comptes utilisateurs, les entreprises peuvent réduire les risques d’exploitation par les bots.

Les API comme Vecteur d’Attaque Privilégié :

Les attaques automatisées représentent désormais 30 % des attaques d’API, avec 17 % de ces attaques exploitant les vulnérabilités de logique métier. Les cybercriminels ciblent les API en raison de leur accès direct aux données sensibles, ce qui en fait une cible lucrative pour les attaques automatisées. En renforçant la sécurité des API et en mettant en place des stratégies de surveillance proactive, les entreprises peuvent réduire leur exposition aux risques d’exploitation par les bots.

Impact Sectoriel Varié :

Chaque secteur est touché par les bots, avec des industries telles que le gaming, le commerce de détail et les services financiers étant particulièrement vulnérables. Les bots malveillants évolués, capables d’imiter le comportement humain, représentent une menace particulière pour les sites d’affaires juridiques, gouvernementaux et de divertissement. En comprenant les modèles d’attaque spécifiques à leur secteur, les entreprises peuvent adapter leurs stratégies de sécurité pour mieux se protéger contre les menaces émergentes. [rapport]

Crise évitée de justesse : comment une cyberattaque sur Linux a failli bouleverser Internet

Les développeurs et les experts en sécurité informatique ont récemment été secoués par une tentative d’attaque contre la chaîne d’approvisionnement logicielle, ciblant l’utilitaire de compression XZ Utils, largement utilisé dans les systèmes d’exploitation Linux. Cette tentative d’infiltration a mis en lumière les vulnérabilités humaines qui sous-tendent les infrastructures de l’Internet.

La récente découverte d’une porte dérobée dans le logiciel XZ Utils, largement utilisé dans les systèmes d’exploitation Linux, a secoué la communauté open source. Ce logiciel, essentiel pour la compression de données, s’est retrouvé au cœur d’une attaque de chaîne d’approvisionnement qui aurait pu compromettre des millions de serveurs à travers le monde.

Cette opération de longue haleine semble être l’œuvre d’une agence de renseignement, bien que l’identité exacte des instigateurs reste inconnue. Le cas de Jia Tan est particulièrement préoccupant puisqu’il a profité de la vulnérabilité d’un développeur [CVE-2024-3094] surmené pour prendre le contrôle de XZ Utils.

L’affaire commence lorsque Andres Freund, un ingénieur chez Microsoft, débusque une anomalie dans un protocole réseau, menant à la découverte d’une des attaques de chaîne d’approvisionnement les plus élaborées à ce jour. Un développeur peu connu, Jia Tan, avait commencé dès février à intégrer discrètement un code malveillant dans XZ Utils. Profitant de la vulnérabilité humaine, notamment la fatigue du seul développeur mainteneur du projet, Tan réussit à s’implanter comme responsable du logiciel, augmentant ainsi ses capacités d’insertion de code malveillant.

Cette situation exposait une faille critique dans la gestion de projets open source : la dépendance excessive à des individus isolés pour la maintenance de logiciels cruciaux.

L’alerte a été donnée par l’Agence de cybersécurité et de sécurité des infrastructures, avec un avertissement spécifique de Red Hat. L’incident, originaire d’octobre 2021, a été découvert presque par hasard, soulignant l’importance de la vigilance et de la collaboration au sein de la communauté open source.

Ce cas rappelle que la sécurité des logiciels open source n’est pas seulement une question de technologie mais aussi de confiance et de collaboration humaine. Les contributions de Jia Tan à d’autres projets tels que libarchive, qui se sont retrouvées dans de nombreux dispositifs, soulèvent des questions sur l’ampleur de la menace.

Heureusement, l’incident a été découvert à temps, évitant une catastrophe majeure. Mais il sert de rappel alarmant que même les outils les plus fondamentaux et largement utilisés, comme XZ Utils, peuvent être des cibles de choix pour des opérations d’espionnage menées par des acteurs étatiques.

Hausse des attaques d’ingénierie sociale dans le secteur des services d’assistance informatique en santé

Le ministère américain de la santé et des services sociaux (HHS) a récemment publié une alerte à destination des opérateurs de services d’assistance informatique dans le secteur de la santé, signalant une augmentation notable des attaques d’ingénierie sociale. Ces attaques, particulièrement sophistiquées, visent à détourner des fonds vers des comptes bancaires contrôlés par les attaquants.

Selon le bureau de la sécurité de l’information du HHS et le centre de coordination de la cybersécurité du secteur de la santé, les acteurs de la menace procèdent souvent par appel téléphonique, se faisant passer pour des employés des services financiers de l’entreprise ciblée. Ils parviennent à usurper les numéros de téléphone pour qu’ils affichent un indicatif régional qui semble local.

L’alerte précise que ces individus sont capables de fournir des informations personnelles sensibles validant leur fausse identité, telles que les derniers chiffres du numéro de sécurité sociale et d’autres données démographiques, obtenues via des sites de réseautage professionnel ou des violations de données précédentes.

Exploitation des failles de sécurité

L’attaquant prétend souvent que son téléphone est endommagé et qu’il ne peut ni passer d’appels ni recevoir des jetons de vérification multifactorielle (MFA). Cette même ruse est utilisée, depuis quelques semaines, sur WhatsApp. Des parents reçoivent de leur présumé enfant un message sur WhatsApp leur indiquant un changement de numéro. N’y répondez pas, il s’agit d’un piège.

Pour le secteur de la santé, cette ruse l’amène à convaincre le service d’assistance d’enregistrer un nouveau dispositif pour l’accès MFA, permettant ainsi l’accès non autorisé aux ressources de l’entreprise. Une fois cet accès obtenu, les attaquants redirigent les paiements bancaires vers des comptes sous leur contrôle, avant de transférer les fonds à l’international.

Implications pour la sécurité des informations financières

Les attaquants ciblent ensuite les informations de connexion aux sites des payeurs et modifient les instructions ACH pour que les paiements soient redirigés vers des comptes américains qu’ils contrôlent. Ces actions sont souvent suivies par l’accès aux comptes de messagerie des employés, d’où ils envoient des instructions modifiées aux processeurs de paiement.

Le HHS note que des tactiques similaires ont été utilisées par le groupe de menace connu sous le nom de Scattered Spider lors d’une attaque de ransomware contre une organisation du secteur de l’hôtellerie et du divertissement en septembre 2023. De plus, l’usage potentiel d’outils d’usurpation d’identité vocale basés sur l’IA a été signalé comme une complication supplémentaire dans ces attaques.

Mesures recommandées pour renforcer la sécurité

Pour contrer ces menaces, le HHS recommande plusieurs stratégies de mitigation. Parmi celles-ci, l’utilisation de Microsoft Authenticator et/ou Google Authenticator avec correspondance de numéros pour l’authentification, ne plus utiliser les SMS comme option MFA, la sécurisation de l’enregistrement MFA et SSPR en exigeant une authentification depuis un réseau approuvé, et le blocage de l’accès externe aux fonctionnalités d’administration de Microsoft Azure et Microsoft 365 via une stratégie d’accès conditionnel.

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

Le FBI publie une alerte pour inciter les fabricants à éliminer les SQLi

La CISA et le FBI publient une alerte Secure by Design pour inciter les fabricants à éliminer les vulnérabilités d’injection SQL.

La CISA et le Federal Bureau of Investigation (FBI) ont publié une alerte conjointe Secure by Design, demandant l’élimination des vulnérabilités d’injection SQL dans les logiciels.

Cette alerte a été conçue en réponse à une exploitation récente et très médiatisée de défauts d’injection SQL (SQLi) dans une application de transfert de fichiers gérée qui a touché des milliers d’organisations, la faille MOVEit exploitée par les pirates, maîtres chanteurs CL0P.

Malgré une connaissance et une documentation généralisées des vulnérabilités SQLi au cours des deux dernières décennies, ainsi que la disponibilité de mesures d’atténuation efficaces, les fabricants de logiciels continuent de développer des produits présentant ce défaut, ce qui met de nombreux clients en danger.

La CISA et le FBI exhortent responsables des entreprises de fabrication de technologies à organiser un examen formel de leur code afin de déterminer sa vulnérabilité aux compromissions SQLi. S’ils sont jugés vulnérables, les dirigeants doivent s’assurer que les développeurs de logiciels de leur organisation commencent immédiatement à mettre en œuvre des mesures d’atténuation pour éliminer toute cette classe de défauts de tous les produits logiciels actuels et futurs.

Protection en temps réel

Google s’apprête à mettre à jour sa fonctionnalité de navigation sécurisée afin de renforcer une protection en temps réel contre les logiciels malveillants et le phishing à tous les utilisateurs de Chrome.

Depuis son lancement en 2005, la navigation sécurisée de Google a constamment évolué pour mieux protéger ses utilisateurs contre les menaces en ligne comme le phishing, les logiciels malveillants et les programmes indésirables. Grâce à l’utilisation de l’intelligence artificielle, Google a introduit un mode de protection améliorée pour ceux qui recherchent une sécurité proactive, permettant une analyse en profondeur des fichiers téléchargés.

La version standard actuelle de Safe Browsing vérifie les sites, les téléchargements et les extensions contre une liste locale d’URL malveillantes mise à jour toutes les 30 à 60 minutes. Avec cette mise à jour, Google prévoit de passer à une vérification des sites en temps réel, une mesure qui vise à contrer les sites malveillants éphémères, apparus et disparus en moins de dix minutes.

L’impact global de la navigation sécurisée

La navigation sécurisée protège déjà plus de 5 milliards d’appareils à travers le monde, offrant des avertissements sur plus de 3 millions de menaces potentielles chaque jour. Avec la vérification en temps réel des sites, Google espère augmenter l’efficacité de sa protection contre les attaques de phishing de 25 %.

La nouvelle fonctionnalité, qui sera lancée d’abord pour Android, intègre des méthodes de cryptage et de préservation de la confidentialité pour que vos visites sur le web restent anonymes, même vis-à-vis de Google. Cette confidentialité est assurée par une nouvelle API utilisant Fastly Oblivious HTTP (OHTTP), qui masque les URL visitées et mélange les données des utilisateurs pour une sécurité renforcée.

Le fonctionnement technique de la protection de la confidentialité

Les URL, partiellement hachées, sont envoyées à la navigation sécurisée via un serveur OHTTP qui cache les adresses IP et mélange les hachages avec ceux d’autres utilisateurs. Ce processus est renforcé par le cryptage des préfixes de hachage avant leur transmission, garantissant que seuls les serveurs de vérification d’URL de Google peuvent les décrypter.

Le serveur de confidentialité, crucial pour la préservation de l’anonymat des utilisateurs, est géré indépendamment par Fastly. Cette gestion assure que Google n’a accès à aucune donnée d’identification personnelle, comme les adresses IP ou les agents utilisateurs, lors des vérifications de sécurité.

Cette mise à jour de la navigation sécurisée par Google marque un tournant significatif dans la lutte contre les menaces en ligne, offrant une protection en temps réel tout en préservant la confidentialité des utilisateurs. C’est une évolution prometteuse pour la sécurité sur internet, renforçant la position de Chrome comme navigateur de choix pour des millions d’utilisateurs à travers le monde.