Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Communiqué de presse, VPN

Quels sont les risques d’un VPN gratuit ?

Les VPN gratuits sont souvent pointés du doigt pour leur manque de performance et leur choix de pays réduit à la portion congrue. Mais s’agit-il bien de leurs seuls défauts ? Installer un VPN gratuit est-il sans danger pour votre ordinateur ?

 

La confidentialité de vos données compromise

Le premier risque des VPN gratuits, c’est de voir la confidentialité de vos données personnelles compromises. Un comble quand on sait qu’un VPN sert justement à protéger votre vie privée ! Les VPN gratuits ne perçoivent pas de fonds de la part des utilisateurs, ils ont pourtant besoin de financements pour exister. Pour les obtenir, la revente de données est hélas monnaie courante chez les fournisseurs de VPN gratuit.

En les utilisant, vous prenez le risque de voir ces précieuses informations captées par ceux-là mêmes qui étaient censés les protéger. Autre point noir : les protocoles de sécurité utilisés sont, la plupart du temps, bien moins performants que ceux des services de VPN payants.

Virus et logiciels malveillants : les risques cachés des VPN gratuits

Si les failles dans la protection des données est déjà un problème en soi, il existe un autre risque à utiliser un VPN gratuit. Un risque caché auquel peu d’internautes pensent de prime abord : les virus et autres logiciels malveillants. En effet, de nombreuses offres de VPN gratuits ne sont que des façades qui ont pour but de vous faire télécharger un programme infecté, sans éveiller vos soupçons.

Une fois installés sur votre machine, ils peuvent vous nuire de bien des manières. En volant les données présentes dans votre disque dur, en enregistrant vos frappes au clavier pour voler mots de passe et autres données confidentielles ou encore en prenant le contrôle du système à votre insu. Vous vous exposez également à des tentatives de racket lors desquelles l’ensemble de vos données sont cryptées par un pirate qui vous demande de payer pour les récupérer.

Le piratage de votre connexion : un risque à ne pas négliger

Enfin, les VPN gratuits peuvent également servir à des pirates pour détourner votre navigateur ou votre connexion. Le but des pirates, dans ce cas précis, est de gagner de l’argent en détournant votre recherche pour vous rediriger sur un site partenaire sans que vous puissiez vous y opposer. Un petit tour de passe-passe qui pourrait bien vous coûter cher, au final.

Comment contourner les risques des VPN gratuits ?

Les risques des VPN gratuits sont inhérents à leur business model, car un service de VPN sérieux engendre des coûts de fonctionnement qui rendent sa gratuité impossible. Il n’y a donc aucun moyen de contourner les risques des VPN gratuit si vous souhaitez absolument en utiliser un.

La seule solution pour bénéficier d’un VPN sûr, sans débourser d’argent est de souscrire à l’offre d’essai d’un service payant. Ainsi, vous pourrez le tester durant une période donnée et voir s’il vous convient. En plus d’avoir des performances médiocres, les VPN gratuits font courir de nombreux risques à leurs utilisateurs. Politique de confidentialité douteuse, revente de données, virus ou encore détournement de navigateur, autant de dangers auxquels il vaut mieux ne pas vous exposer. Si vous souhaitez utiliser un VPN, optez pour la qualité et la sécurité d’une offre payante, comme par exemple ExpressVPN, que vous pouvez, la plupart du temps, tester gratuitement au préalable.

Confiance ?

Pendant ce temps, les pirates louchent sur les fournisseur de VPN. Dernièrement, NordVPN, fournisseur de réseau privé virtuel a confirmé avoir été piraté. Il s’est avéré que cette société avait laissé une clé privée interne expirée exposée, qui permettait à quiconque de faire tourner ses propres serveurs en imitant NordVPN.
Les fournisseurs ont connu une croissance rapide en raison du besoin croissant de protection de la vie privée. Les fournisseurs de cloud VPN ont besoin de certificats TLS qui agissent comme des identités de machine pour autoriser la connexion, le cryptage et établir la confiance entre les machines.
Les identités machine sont des cibles extrêmement précieuses pour les cybercriminels et les grandes entreprises ont souvent des dizaines de milliers d’identités machine qu’elles doivent protéger.
Ces violations deviendront plus fréquentes à l’avenir. Il est impératif que les organisations aient l’agilité nécessaire pour remplacer automatiquement toutes les clés et tous les certificats qui ont pu être exposés en cas de violation. Le remplacement rapide des identités machine est le moyen fiable d’assurer la confidentialité et la sécurité dans un monde où les entreprises fonctionnent et dépendent du cloud.
Communiqué de presse, Securite informatique

DFIR ORC : un outil de collecte libre pour l’analyse forensique

Conçu en 2011 pour répondre aux missions opérationnelles de l’Agence Nationale de Sécurité des Systèmes d’Information (ANSSI) en matière d’investigation et de réponse à incident, le logiciel DFIR ORC (pour Outil de recherche de compromission) n’a cessé d’évoluer pour regrouper un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition de données forensiques dans un environnement Microsoft Windows… à l’échelle d’un parc entier ! L’outil, intégralement libre, est aujourd’hui publié par l’agence à l’usage des acteurs et des professionnels de la communauté.

Créé et utilisé de longue date par les équipes de l’ANSSI, le logiciel de collecte DFIR ORC regroupe un ensemble d’outils qui permettent la recherche, l’extraction et la mise à disposition des données forensiques. Il a été entièrement conçu afin de fonctionner dans l’écosystème Microsoft Windows de façon décentralisée et à grande échelle.

« Après 8 ans d’usage, DFIR ORC a été utilisé sur plus de 150 000 postes dans le cadre de nos activités opérationnelles en matière de réponse à incident. » indique François Deruty, sous-directeur Opérations de l’ANSSI.

En s’engageant dans une démarche d’ouverture avec la communauté de la sécurité numérique, l’ANSSI souhaite aujourd’hui partager cet outil mature qu’elle utilise au quotidien depuis plusieurs années*. [https://dfir-orc.github.io]

DFIR ORC – POUR QUI ? POUR QUOI ?

DFIR ORC s’adresse aux professionnels de la sécurité informatique soucieux d’acquérir les données nécessaires à la réponse aux incidents de sécurité de façon fiable, ainsi qu’à tous les développeurs qui souhaiteront s’en inspirer ou contribuer à son développement.

DFIR ORC peut être déployé sur l’intégralité d’un parc Microsoft Windows, tout en minimisant l’impact sur son fonctionnement normal. Il assure ainsi la collecte des informations souhaitées avec une exigence de fiabilité, de qualité et de traçabilité, sans modifier la configuration des machines analysées, tout en minimisant les risques d’altérations des données collectées.

Par son usage, DFIR ORC permet donc de disposer d’une vision de l’état du parc au moment de la collecte. Il ne vise cependant pas à pratiquer une analyse sur les données collectées : c’est le rôle de spécialistes disposant d’une méthodologie et d’outils adaptés.

CONTRIBUEZ AU DÉVELOPPEMENT DE DFIR ORC

DFIR ORC est un outil modulaire, configurable, qui peut embarquer d’autres outils, notamment ceux qui sont déjà proposés par l’agence. Avec la publication de DFIR ORC, l’ANSSI partage le code source, la procédure de compilation ainsi que des exemples de configuration de l’outil. Tous ces éléments permettent la génération d’un outil fonctionnel adapté à l’usage souhaité.

« À travers DFIR ORC, nous avons l’ambition de contribuer activement à la vie de la communauté de la réponse à incident, en lui permettant de s’approprier et de développer l’outil à sa manière », ajoute François Deruty. L’ANSSI souhaite encourager l’émergence d’une communauté publique de développeurs et d’utilisateurs de l’outil, pour favoriser sa montée en maturité et l’apparition de nouvelles fonctionnalités. L’agence continuera de même à développer DFIR ORC, et publiera régulièrement des mises à jour de l’outil. L’agence invite tous les acteurs de la communauté à enrichir dès à présent ce projet avec nos équipes.

Cybersécurité, double authentification

MFA : authentification multi-facteurs

Pour protéger l’accès réseau de vos utilisateurs, et si vous pensiez à l’authentification multi-facteurs (MFA). La MFA est l’une des meilleures mesures à mettre en place. Une sécurisation des connexions insuffisante et l’entreprise est exposée à des risques de violations et de non-conformité. Explication par IS Decisions.

L’authentification multi-facteurs (MFA), considérée comme coûteuse et complexe, ne semble pas encore adoptée comme il le faudrait.

Les petites et moyennes entreprises (PME/PMI) pensent à tort qu’une entreprise doit dépasser une certaine taille afin de pouvoir bénéficier de la MFA. C’est faux.

Adopter une solution MFA doit être vu comme une couche de sécurité essentielle pour toute entreprise, qu’importe sa taille, et doit représenter une façon simple de protéger les comptes utilisateur. Peu importe la taille de votre entreprise, voici six recommandations indispensables à considérer pendant la préparation afin d’assurer un déploiement MFA réussi. Par exemple : Sécuriser les connexions améliore de manière considérable votre position de sécurité ; Choisissez une solution MFA qui ne contrarie pas les équipes informatiques ; La MFA doit allier sécurité et productivité des utilisateurs ; Éduquez vos utilisateurs et donnez-leur les moyens de soutenir la MFA ; Utilisez la MFA pour tous les comptes. ; Obtenez l’adhésion et l’engagement de la direction. Explication par IS Decision.

Communiqué de presse, Cybersécurité

Les cybercriminels misent toujours davantage sur les techniques de contournement des antimalwares

De nombreux outils modernes de malware intègrent des fonctionnalités pour contourner les antivirus et autres mesures de détection : les cybercriminels ont affûté leurs armes pour gagner en furtivité, déjouer les analyses antimalware et éviter de se faire détecter.

À titre d’exemple, une campagne de spam illustre comment les assaillants utilisent et affinent ces techniques contre leurs cibles. Lors de cette attaque, un email de phishing est utilisé pour transmettre un fichier Excel avec une macro malveillante, dont l’objectif est de désactiver les outils de sécurité, d’exécuter des commandes de manière arbitraire, de causer des problèmes au niveau de la mémoire et de ne cibler que les systèmes japonais. Une de ses propriétés recherche plus particulièrement une variable xIDate, mais ce mode opératoire semble encore non documenté à ce jour.

Autre exemple, celui du cheval de troie bancaire Dridex qui modifie le nom et les hash des fichiers à chaque connexion de la victime, ce qui rend plus difficile l’identification du malware sur les systèmes hôtes infectés.

L’utilisation croissance de techniques d’évasion et de contournement des analyses antimalware incite à déployer différentes couches de sécurité et à s’orienter vers une détection comportementale des menaces.

Les attaques furtives visent le long terme

Le malware Zegost de détournement de données, au cœur d’une campagne de spear phishing, présente des techniques pour le moins intrigantes. À l’instar d’autres outils similaires, l’objectif principal de Zegost est de recueillir des informations sur le dispositif de la victime et de les exfiltrer. Cependant, Zegost se distingue par sa furtivité, grâce notamment à une fonction de « nettoyage » des logs applicatifs, qui permet de masquer sa présence. D’autre part, Zegost présente également une commande de mise en attente jusqu’au 14 février 2019, date à laquelle il a initié son processus d’infection.

Les auteurs de Zegost ont su utiliser tout un arsenal d’exploits pour établir et maintenir une connexion avec leurs victimes, ce qui en fait une menace sur le long terme par rapport aux autres malware similaires.

Le ransomware continue à se transmettre via des attaques toujours plus ciblées

Les attaques ciblant de multiples villes, collectivités locales et acteurs de l’enseignement rappellent que le ransomware reste d’actualité et qu’il continue à viser de nombreuses organisations. Les attaques par ransomware se font de moins en moins en masse et de manière opportuniste. Le ciblage est devenu une réalité et la priorité est donnée aux entreprises perçues comme susceptibles de régler une rançon. Dans certains cas, les cybercriminels procèdent à une phase amont approfondie de reconnaissance avant de déployer leur ransomware sur des systèmes identifiés avec précision, ce qui maximise les opportunités d’infection.

À titre d’exemple, le ransomware RobbinHood s’en prend à l’infrastructure réseau des entreprises. Il est capable de désactiver les services Windows qui préviennent le chiffrement des données, mais aussi de déconnecter les disques partagés.

Un autre nouveau ransomware appelé Sodinokibi pourrait bien devenir la prochaine menace majeure pour les entreprises. D’un point de vue fonctionnel, il n’est pas vraiment différent de la majorité des outils de ransomware. Il se distingue néanmoins par son vecteur d’attaque puisqu’il exploite une nouvelle vulnérabilité qui permet l’exécution de code arbitraire et n’a pas besoin d’interaction de la part de l’utilisateur, comme c’est le cas pour d’autres logiciels de ransomware livrés par email phishing.

Quel que soit le vecteur utilisé, le ransomware reste, et restera, une menace sérieuse pour les entreprises : plus que jamais, le patching doit être prioritaire, au même titre que la sensibilisation des collaborateurs aux risques de cybersécurité.

De plus, les vulnérabilités du protocole RDP (Remote Desktop Protocol), comme BlueKeep, sont un avertissement que les services d’accès à distance peuvent être des opportunités pour les cybercriminels et qu’ils peuvent également être utilisés comme vecteur d’attaque pour diffuser des logiciels de rançon.

De nouvelles opportunités sur la surface d’attaque

Entre l’imprimante personnelle et les infrastructures critiques, émergent désormais de nombreux systèmes de contrôle à usage résidentiel et pour les petites entreprises. Ces systèmes intelligents attirent moins l’attention des assaillants que leurs homologues industriels, mais les choses peuvent évoluer compte tenu de l’augmentation observée de l’activité ciblant ces dispositifs de contrôle tels que les capteurs environnementaux, les caméras de sécurité, ou encore les systèmes de sécurité. Une signature liée aux solutions de gestion techniques du bâtiment émise par 1% des entreprises. Ce chiffre peut paraître peu élevé, mais il reste néanmoins supérieur à ce qu’on observe parmi les systèmes de contrôle industriel (ICS) et SCADA.

Les cybercriminels sont à la recherche de nouvelles possibilités de détourner les dispositifs de contrôle, tant au sein des espaces résidentiels que des entreprises. Parfois, ces types d’appareils ne sont pas aussi prioritaires que d’autres ou ne sont pas intégrés dans les processus traditionnels de gestion IT. La sécurité des systèmes intelligents résidentiels et pour les petites entreprises mérite une attention particulière, d’autant que la possibilité d’y accéder pourrait lourdement peser sur la sécurité. Ceci est particulièrement vrai pour les environnements de travail distants où la sécurité des accès reste critique. (Fortinet)

Phishing, Social engineering

Selon le FBI, les attaques BEC auraient coûté 26 milliards de dollars aux entreprises

Les attaques BEC auraient coûté 26 milliards de dollars aux entreprises entre juin 2016 et juillet 2019.

Plus de 99% des cyberattaques requièrent une action humaine pour se propager. Les attaques BEC reposent sur l’engagement des individus et les cybercriminels s’appuient sur la psychologie humaine en demandant des réponses urgentes à des sollicitations pour des virements ou l’envoi de données confidentielles, simulant souvent un besoin commercial immédiat mais fictif. Pour réduire les chances de succès de telles attaques, les entreprises doivent prendre des mesures rapidement, en sensibilisant leurs employés et en déployant des solutions qui placent l’individu au cœur de leur stratégie de sécurité.

Les BEC et les EAC (des attaques BEC lancées à partir de comptes internes compromis appartenant à des cadres – et donc plus difficiles à détecter) représentent des armes de choix car elles sont peu coûteuses et nécessitent plus de recherche que les infrastructures d’envoi.

L’envoi d’emails frauduleux est peu coûteux. Les messages n’exigent pas de logiciels malveillants coûteux ; pourtant, les attaques elles-mêmes sont très efficaces, entraînant des milliards de dollars de pertes.

E-mails frauduleux

L’exploitation du canal email par le biais de messages hautement personnalisés et conçus par ingénierie sociale permet aux cybercriminels d’usurper facilement l’identité d’un employé ou d’un partenaire de confiance. La prévalence et l’efficacité des stratégies de phishing et de vols d’identifiants alimentent également les attaques EAC, ouvrant aux attaquants un canal interne pour mettre en œuvre leurs cyberattaques.

« Ces systèmes d’ingénierie sociale vont devenir de plus en plus répandus et difficiles à identifier, à détecter et à combattre. Il est essentiel que les entreprises privilégient une approche de cybersécurité centrée sur les personnes qui protège toutes les parties (employés, clients et partenaires commerciaux) contre le phishing, la fraude par email, le vol d’identifiants et les attaques par force brute. » indique  Loïc Guézo de Proofpoint.

Des défenses à plusieurs niveaux au niveau de la périphérie du réseau, de la passerelle de messagerie, du cloud et des points d’accès, ainsi qu’une solide formation des utilisateurs afin d’offrir la meilleure défense contre ces types d’attaques.

D’autant plus malicieuses : le phishing n’est pas un virus. Le type de logiciel malveillant que détectent les antivirus par exemple.

Direction Hong Kong… mais pas que !

Sur la base des données financières, les banques situées en Chine et à Hong Kong restent les principales destinations des fonds frauduleux. Toutefois, le Federal Bureau of Investigation constate une augmentation du nombre de transferts frauduleux vers le Royaume-Uni, le Mexique et la Turquie.

Les statistiques BEC / EAC suivantes ont été rapportées à l’IC3 et proviennent de sources multiples. Notamment des données d’IC3 et de plaintes internationales en application de la loi, ainsi que des informations transmises par des institutions financières entre octobre 2013 et juillet 2019:

Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:

Incidents nationaux et internationaux: 166,349
Perte de dollars exposée aux niveaux national et international: $26,201,775,589
Les statistiques BEC / EAC suivantes ont été rapportées dans les plaintes des victimes déposées auprès de l’IC3 entre octobre 2013 et juillet 2019:
Total des victimes américaines: 69,384
Perte totale en dollars exposés aux États-Unis: $10,135,319,091
Total non-U.S. victims: 3,624
Perte totale en dollars exposés en dollars américains: $1,053,331,166
Les statistiques suivantes ont été rapportées dans les plaintes déposées par les victimes auprès de la CI3 entre juin 2016 et juillet 2019:
Total des bénéficiaires financiers américains: 32,367
Destinataire financier américain total exposé perte en dollars: $3,543,308,220
Total des bénéficiaires financiers non américains: 14,719
Total des pertes financières en dollars des bénéficiaires financiers autres que les États-Unis: $4,843,767,489

(FBI)

Communiqué de presse, Cybersécurité

Stealth Falcon : Des attaques cibles des politiques au Moyen-Orient

Des chercheurs découvrent une backdoor dotée de fonctionnalités intéressantes et apparentée au logiciel malveillant utilisé par le tristement célèbre groupe Stealth Falcon

Stealth Falcon est un groupe de cybercriminalité actif depuis 2012 qui cible les journalistes et les activistes politiques au Moyen-Orient. Certains analystes l’associent au Project Raven, une initiative qui impliquerait d’anciens agents de la National Security Agency (NSA). Pour en savoir plus, cliquez ici.

Des informations techniques limitées sur Stealth Falcon ont déjà été rendues publiques, notamment une analyse du composant principal du malware – une backdoor en PowerShell qui se propage via un document infecté joint à un e-mail malveillant.

Les chercheurs d’ESET ont découvert une backdoor exécutable inédite qu’ils ont nommée Win32/StealthFalcon. Ils ont constaté un petit nombre d’attaques par ce malware aux Émirats arabes unis, en Arabie saoudite, en Thaïlande et aux Pays-Bas ; dans ce dernier cas, la cible était une mission diplomatique d’un pays du Moyen-Orient.

Win32/StealthFalcon

Les travaux d’ESET ont mis en évidence des similarités entre la backdoor exécutable récemment découverte et le script PowerShell doté de capacités de backdoor précédemment attribué au groupe Stealth Falcon. Les chercheurs d’ESET considèrent ces similarités comme une preuve solide que les deux backdoors sont l’œuvre du même groupe.

Win32/StealthFalcon utilise une technique relativement inhabituelle pour communiquer avec son serveur de commande et contrôle (C&C) : le service de transfert intelligent en arrière-plan (BITS), un composant standard de Windows.

Par rapport aux méthodes de communication traditionnelles via des fonctions d’API, le mécanisme BITS passe par une interface COM, ce qui le rend plus difficile à détecter. Fiable et furtive, cette approche a également davantage de chances d’être autorisée par le pare-feu de l’hôte.

Outre son mode de communication C&C inhabituel, Win32/StealthFalcon fait appel à des techniques avancées pour empêcher sa détection et son analyse, assurer sa persistance et compliquer l’analyse criminalistique.

Pour plus d’informations : « ESET discovered an undocumented backdoor used by the infamous Stealth Falcon group ».

Argent, Cybersécurité, Social engineering

Tentative de piratage CoinHouse

Des pirates informatiques ont tenté de piéger les clients du site spécialisé dans les cryptomonnaie CoinHouse. Mais comment les pirates ont-ils eu les mails utilisés dans leur tentative de fraude ?

Jeudi 12 septembre, 20 heures. La société CoinHouse alerte ses clients d’une tentative de fraude. Une cyber attaque aux couleurs de ce spécialise des cryptomonnaie prenant la forme d’un phishing. « Vous avez pu recevoir un mail ayant pour objet  »Action requise: vérifiez vos données », avec un message en anglais vous invitant à cliquer sur un bouton  »Verify ». » explique CoinHouse dans son courriel d’alerte. « Ce message a été envoyé par des pirates informatiques pour vous rediriger vers un faux site : app.colnhouse.com et ainsi récupérer vos identifiants. »

L’attaque a débuté quelques heures auparavant. Un courriel signe coinhouse.com comme le montre la capture écran de Data Security Breach. « In order to continue using our services, please verify our submitted data and documents. It will not take more than 3 mintues to complete the verifying steps, once you finish, please proceed by pressing save button. » annonçait l’arnaque.

La page pirate recupérait les identifiants de connexion.

Infiltration, exfiltration

Fait intéressant : si les hameçonnages sont très fréquents, l’histoire ne dit pas comment les pirates ont eu accès aux adresses électroniques. Plusieurs lecteurs de Data Security Breach, dont votre serviteur, exploitent une adresse dédiée à ce service ! A noter que ce courriel usurpateur a été envoyé via l’outil bmail exploité en interne par CoinHouse.

Les pirates avaient parfaitement organisés leur action. En plus du courriel et de sa méthode de diffusion, ils avaient enregistré le domaine https://app.colnhouse.com. Un typosquatting. Le i de CoinHouse remplacé par un L minuscule : app.colnhouse.com

Securite informatique, Social engineering

Fraude aux adresses IPv4

À mesure que les adresses IPv4 deviennent des produits de valeur, des systèmes de fraude élaborés apparaissent. Les propriétaires d’entreprise ont besoin de partenaires industriels experts pour optimiser et protéger leurs actifs d’adresses IP

 

Début du mois de septembre, les médias sud-africains ont révélé un système de fraude complexe dans lequel les adresses IPv4 d’une valeur d’au moins 30 millions de dollars sur le marché de l’occasion avaient été volées ou détournées par de grandes sociétés multinationales basées en Afrique du Sud.

La plupart des propriétaires enregistrés n’étaient pas au courant de cette violation de leurs propriétés.  Les « pirates » exploitant des structures de propriété complexes. De plus, les propriétaires légitimes peu familiarisés avec la valeur des actifs considérables de leurs stocks d’adresses IPv4.

Parmi les ensembles d’adresses, il y avait un certain nombre de «blocs hérités» particulièrement précieux. Des ensembles d’adresses IP mises en place avant la création de registres Internet régionaux (RIR). Donc totalement libres d’utilisation.

« Nous remarquons souvent que les entreprises qui ont obtenu d’importants groupes d’IPv4 alors qu’ils étaient encore disponibles n’ont pas conscience de leur valeur. Auparavant, des milliers d’adresses étaient gratuites. Aujourd’hui, une adresse unique peut valoir jusqu’à 30 dollars », commente Vincentas Grinius, PDG de Heficed, une société proposant des solutions d’infrastructure réseau centrées sur la fourniture et la gestion des adresses IP.

Fraude IPv4

Comme pour les VPN, les adresses numériques sont devenues des contenus très courus.

La fraude IPv4 est devenue un problème de plus en plus urgent au cours de la dernière décennie. En effet, les adresses IP omniprésentes sont en réalité une ressource limitée. Leurs sources initiales, les RIR desservant chacune une région continentale, sont presque épuisées, et AFRINIC est la seule à les attribuer avec une relative facilité.

Les adresses IP étant toutefois localisées, les adresses africaines ne servent qu’à un usage limité – pour exploiter un serveur en Europe ou en Amérique, un utilisateur a besoin d’une adresse IP européenne ou américaine. Ceci est particulièrement pertinent pour les clients dépendant de la latence, comme ceux qui opèrent dans des domaines où la concurrence est rude.

Business de l’IPv4

Quiconque a besoin d’adresses IPv4 doit donc les obtenir sur le marché de l’occasion. Comme dans tout marché de produits de base, la fraude constitue également un problème.

Même dans les pays hautement réglementés comme les États-Unis, les fraudeurs s’attaquent toujours aux ressources de grande valeur.

Les adresses se récupérent. Mais cela prend souvent un temps considérable et beaucoup d’investissements.

Il est souvent impossible pour les grandes entreprises de suivre correctement les droits de propriété sur IPv4.

« Comme pour tous les biens immatériels complexes, tels que les stocks ou les actifs virtuels, les fournisseurs d’infrastructure de réseau intermédiaire remplissent plus que la fonction de commerçant. Ils commercialisent, gèrent et gèrent les ressources de leurs clients », explique Grinius.

Traiter des détails techniques tels que les adresses IP est souvent laissé de côté par les entreprises. Encore faut-il qu’elles sont au courant du problème.

Pour le moment, le seul moyen d’éviter des violations de la sécurité potentiellement dommageables est de travailler avec des partenaires de confiance dans la recherche et la gestion d’adresses IPv4. Avec une forte demande encourageant la fraude, les autorités existantes sont tout simplement surmenées.

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Communiqué de presse, Securite informatique

Des failles de sécurité dans des traceurs GPS

Des failles de sécurité dans des traceurs GPS, plus d’un demi-million d’enfants et de personnes âgées concernés.

a découvert de sérieuses failles de sécurité dans le T8 Mini GPS tracker et dans près de 30 autres modèles du même fabricant, Shenzhen i365 Tech. Commercialisés pour garantir la sécurité des enfants, des personnes âgées, des animaux domestiques et même des biens personnels, ces appareils dévoilent toutes les données envoyées dans le cloud, y compris les coordonnées GPS exactes en temps réel. De plus, des défauts de conception peuvent permettre à des tiers indésirables d’usurper la localisation ou d’accéder au microphone à des fins d’écoute illicite. Les chercheurs du Threat Labs d’Avast estiment à 600 000 le nombre de traceurs non protégés utilisés dans le monde, mais ils soulignent que ces problèmes de sécurité de l’IoT dépassent largement le cadre d’un seul fournisseur.

Martin Hron, Senior Researcher, chez Avast, qui est à l’origine de cette étude, conseille aux acheteurs de ces produits de choisir une solution alternative auprès d’une marque plus fiable intégrant une la sécurité dès la conception du produit : connexion sécurisée, un chiffrement des informations.

Comme pour tout appareil prêt à l’emploi, modifier les mots de passe par défaut de l’administrateur. En choisir un complexe.

Cependant, dans ce cas précis, cela n’empêchera pas une personne motivée d’intercepter le trafic non chiffré. « Nous avons fait preuve de toute la diligence voulue en communiquant ces vulnérabilités au fabricant, mais comme nous n’avons pas eu de réponse dans le délai habituel, nous publions ce message d’intérêt public à l’attention des consommateurs et vous recommandons fortement de cesser d’utiliser ces appareils », explique Martin Hron.

Signaux d’alerte dès la sortie de l’emballage

Le Threat Labs d’Avast a d’abord analysé la procédure de démarrage du T8 Mini, en suivant les instructions pour télécharger l’application mobile à partir du site http://en.i365gps.com — en l’occurrence, un site Web desservi par le protocole HTTP plutôt que par celui du HTTPS, plus sécurisé. Les utilisateurs peuvent alors se connecter à leur compte avec le numéro d’identification attribué. Le mot de passe par défaut très générique « 123456 ».

Ces informations sont transmises via un protocole HTTP non « secure ».

Le numéro d’identification dérivé de l’International Mobile Equipment Identity (IMEI) de l’appareil ; les chercheurs ont donc pu facilement prédire et répertorier les numéros d’identification possibles d’autres traceurs de ce fabricant.

En combinaison avec le mot de passe fixe, pratiquement n’importe quel appareil suivant cette séquence de numéros IMEI étaient piratables sans le moindre effort.

Rien n’est chiffré

À l’aide d’un simple outil de recherche de commandes, les chercheurs découvrent les informations en texte brut. Sans chiffrement.

Il est encore plus inquiétant de constater que l’appareil peut envoyer des commandes qui vont au-delà de l’usage prévu de suivi GPS, telles que :

  • appeler un numéro de téléphone, permettant ainsi à un tiers d’écouter les conversations à travers le microphone du traceur ;
  • envoyer un SMS qui pourrait permettre au hackers d’identifier le numéro de téléphone de l’appareil et donc d’utiliser le SMS entrant comme vecteur d’attaque ;
  • utiliser les SMS pour rediriger la communication de l’appareil vers un autre serveur afin d’obtenir le total contrôle de cet appareil ou de fausses informations envoyées vers le cloud ;
  • partager une URL vers le traceur, permettant à un attaquant à distance de placer un nouveau firmware sur l’appareil sans même y toucher, qui pourrait remplacer complètement la fonctionnalité ou implanter un backdoor.

Sans surprise, les chercheurs ont également découvert que l’application mobile AIBEILE (disponible sur Google Play et iOS App Store) communiquait avec le cloud via un port HTTP non standard, TCP:8018, envoyant du texte brut non chiffré au terminal. Après avoir examiné minutieusement l’appareil lui-même pour analyser la façon dont il communique avec le cloud, le Threat Labs d’Avast a confirmé que les données transitent à nouveau sans être chiffrées, du réseau GSM au serveur, sans aucune autorisation.

Ce que les consommateurs devraient retirer de cette étude

Outre l’appareil qui fait l’objet de cette étude, 29 autres modèles de traceurs GPS présentant ces vulnérabilités. La plupart des fournisseurs mentionnés ci-dessus.  50 applications mobiles différentes utilisent la même plateforme non « secure ».

Les chercheurs estiment qu’il existe plus de 600 000 appareils dans la nature dont les mots de passe par défaut sont « 123456 ».

Des applications mobiles  téléchargées près de 500 000 fois. Le fabricant n’a donné aucune réponse aux avertissements.

En tant que parents, nous sommes enclins à adopter les technologies qui nous promettent de protéger nos enfants. Se renseigner sur les produits que nous achetons est indispensable.

Méfiez-vous des fabricants qui ne respectent pas les normes minimales de sécurité. Qui n’ont pas de certification ou homologation par des tiers.

Choisissez uniquement des marques en qui vous avez confiance pour protéger vos informations.