Archives de catégorie : Patch

Une application contre Donald Trump

Le présidentiable extrémiste Donald Trump doit faire face à une application sous Chrome qui le banni du navigateur de Google.

Vous n’aimez pas Donald Trump ? Vous n’aimez pas les propos haineux, racistes de ce candidat à la présidentielle américaine ? Un informaticien vient de sortir une application, baptisée TrumpFilter qui bannit la moindre information liée à Donald Trump. Soyons honnête, ça ne fera pas baisser les sondages de ce bateleur populiste.

Le filtre « Trump », développé par Rob Spectre, bloque les sites Web couvrant les actualités dédiées à Trump. Il faut dire aussi que Trump, dans les média, c’est un peu le FN en France, ça fait vendre du papier et des pages vues sur la toile.

Selon Spectre, bloquer la couverture médiatique de Donald Trump, qui paient des millions de dollars pour s’afficher partout, c’est permettre « aux citoyens concernés de réellement se concentrer sur d’autres candidats. » Bref, en apprendre davantage sur les questions politiques, économiques, sociétales des Etats-Unis d’Amérique. Un filtre Hillary Clinton serait en cours de réflexion, la politique étant en seconde position des informations liées aux présidentielles américaines.

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

Paralyser une voiture pour 90 euros

Via la prise USB d’une Toyota Corolla, un chercheur en informatique, bloque la voiture à coup de DDoS.

Le monde du « sans connexion » envahi nos vies. La marche de l’IoT est lancée et rien ne l’arrêtera vue les enjeux économiques. L’important, que le client achète, on verra ensuite pour sa sécurité. Du moins si le client est encore vivant.

Inoue Hiroyuki, professeur en informatique à la Graduate School of Information Sciences de l’université d’Hiroshima a expliqué comment il avait « planté » une Toyota Corolla avec 90€. Une clé USB trafiquée et un DDoS via le port USB de la voiture « Le pilote était incapable de bouger la voiture en appuyant sur l’accélérateur » explique-t-il dans le Japan Times. L’agrégé en informatique a indiqué avoir aussi été capable d’ouvrir et fermer les fenêtres de la voiture, afficher une lecture de compteur de vitesse incorrecte et geler l’accélérateur. Toyota a annonçait qu’il allait continuer « à faire des efforts » pour améliorer la sécurité de ses véhicules.

Il serait peut-être temps d’arrêter de nous prendre pour des idiots ? En juillet 2015, une Jeep Cherokee, et un mois plus tard, une Corvette étaient elles aussi malmenées. Le piratage des voitures ne fait que débuter ! Pour le moment, il ne se déroule officiellement que dans des laboratoires.

BadWinmail : Mail piégé via Outlook pour infiltrer un ordinateur

Un mail envoyé vers Outlook permettait de prendre la main sur le système informatique du récepteur de la missive.

Un chercheur en sécurité informatique, connu sous le nom de Li Haifei a découvert comment prendre la main sur la machine d’un utilisateur de Outlook. A la réception d’un courriel piégé, l’attaque pouvait être orchestrée. Baptisée BadWinmail, la vulnérabilité était très facile à exploiter et ne nécessitait pas beaucoup d’interaction avec le récepteur du courrier malveillant. Il suffisait, seulement, d’afficher le mail qui contenait le fichier Flash ouvrant la malveillance. Une fois de plus, le problème vient de Flash et de l’Object Linking and Embedding (OLE) qui permet l’intégration de quasiment n’importe quoi à l’intérieur de documents. L’infiltration par cette méthode permet ensuite au pirate d’injecter un logiciel espion, par exemple. Microsoft a déployé le patch correcteur début décembre.

Intel Security révèle les dernières tendances et statistiques en matière de menaces informatiques

La dernière étude du McAfee Labs pointe du doigt les nouveaux malwares, macro et sans fichier, ainsi que les nouvelles menaces qui ciblent les services bancaires mobiles.

McAfee Labs, l’entité spécialisée dans la recherche de menaces informatiques d’Intel Security, révèle les principales menaces informatiques du troisième trimestre 2015, parmi lesquelles d’anciens types de menaces reconditionnés avec l’ingénierie sociale, de nouveaux malwares sans fichier (fileless malware) remplaçant les rootkits, des failles d’application mobile, mais surtout l’exploitation du maillon le plus faible de tout écosystème : l’utilisateur. Le bilan des menaces informatiques établi par McAfee Labs sur le mois de novembre (McAfee Labs Threat Report : November 2015) vient compléter l’évaluation trimestrielle de l’éditeur portant sur les cyber-menaces :

Les chercheurs de McAfee Labs d’Intel Security ont illustré que la médiocrité des pratiques de développement d’applications mobiles, et notamment le non-suivi des conseils de sécurité donnés par le prestataire des services back-end, peuvent conduire à l’exposition des données de l’utilisateur dans le Cloud.

Cette analyse démontre également comment les clients de services bancaires mobiles ont été victimes d’un tel scénario. En deux mois, l’équipe de chercheurs a analysé près de 300.000 applications mobiles et découvert deux chevaux de Troie visant à subtiliser les données de plusieurs milliers de comptes bancaires mobiles à travers l’Europe de l’Est. Les chercheurs d’Intel Security ont démontré que les cybercriminels ont pu exploiter des failles de code dans le back-end en contournant des privilèges root afin d’installer, de façon inaperçue, un code malveillant qui leur a permis de voler des numéros de carte bancaire et réaliser des transactions frauduleuses.

Le rapport a également étudié les macro-malwares utilisant l’ingénierie sociale pour gagner du terrain au sein des entreprises. Cette typologie de logiciels malveillants a augmenté d’un peu moins de 10.000 nouvelles attaques au cours du troisième trimestre 2014 à près de 45 000 ce trimestre. Un tel niveau n’avait pas été atteint depuis 2009.

Cette croissance est liée aux attaques de spearphishing plus nombreuses dont le but est d’inciter l’utilisateur à ouvrir des malwares joints à un email. Le nouveau type de macro-malware est capable de rester caché même après le téléchargement des ‘payloads’ malveillants.

Enfin, les chercheurs du McAfee Labs ont mis en avant la manière dont les hackers ont su tirer profit des fonctionnalités offertes par certains OS pour créer un nouveau type de logiciels malveillants sans fichier (fileless malwares) qui a su contourner les systèmes de détection traditionnels des menaces. Ce genre d’attaques semble désormais prendre la place des rootkits. Le Labs de McAfee a répertorié plus de 74 470 échantillons d’attaques ‘sans fichier’ au cours des trois premiers trimestres 2015. Le plus souvent, ce type de logiciel malveillant infect directement l’espace de mémoire vive d’un appareil, se cache derrière une API au niveau d’un noyau de système d’exploitation ou se dissimule dans le registre de système d’exploitation.

Effacer barres et publicités malveillantes

G DATA CLEAN UP s‘attaque aux barres d’outils, PUP et adwares L’outil de nettoyage anti PUP est disponible gratuitement.

Les adwares et autres logiciels indésirables (PUP) prolifèrent sur Internet. Généralement installés à l’insu de l’utilisateur, ces logiciels sont également difficiles à désinstaller. Avec CLEAN UP, G DATA offre un outil gratuit sans aucune installation, qui détecte et supprime les logiciels indésirables les plus courants. G DATA CLEAN UP est disponible gratuitement sur le site Internet de G DATA.

G DATA CLEAN UP peut être utilisé directement après le téléchargement et ne nécessite aucune installation. L’outil détecte actuellement 14 familles de programmes gênants ou potentiellement indésirables, et évoluera en fonction des risques. Après la localisation du programme malveillant, l’utilisateur décide si G DATA CLEAN UP le supprime ou non.

Que sont les adwares ?
Les adwares sont des logiciels qui s’installent en arrière-plan sans l’accord de l’utilisateur et qui sont difficiles à désinstaller. Ce programme n’est pas nuisible, mais il espionne le comportement de l’utilisateur pour placer des publicités ciblées et collecter des données.

Que sont des programmes potentiellement indésirables ?
En plus des adwares, il existe d’autres programmes indésirables, qui s’installent également en même temps que des programmes légitimes. Cela peut être des barres de navigation ou de prétendus outils pour optimiser le système. Des publicités agressives ou des promesses douteuses poussent l’utilisateur à l’achat. La plupart du temps, le logiciel agit pour soutirer de l’argent à l’utilisateur et a pour conséquence le ralentissement de l’ordinateur.

Configurations systèmes requises pour G DATA CLEAN UP ; PC avec Windows Vista (SP1 minimum), Windows 7/8.x/10.

G DATA CLEAN UP est indépendant de la solution de sécurité installée et compatible avec la plupart des antivirus du marché. Les fonctionnalités de l’outil évolueront en fonction des dangers par mises à jour régulières. G DATA CLEAN UP est disponible gratuitement en français.

BackStab, le code malveillant qui s’attaque aux terminaux iOS

Dans un livre blanc, l’Unité 42 explique le mode opératoire des attaques BackStab qui visent des terminaux iOS à l’aide de malwares.

Palo Alto Networks, spécialiste des solutions de sécurité nouvelle génération, a révèle les détails d’une nouvelle attaque sournoise (« BackStab ») qui vise à dérober les informations privées de terminaux mobiles – informations contenues dans les fichiers de sauvegarde stockés sur l’ordinateur des victimes. Dans un livre blanc de l’Unité 42, l’équipe d’analyse des menaces de Palo Alto Networks explique le mode opératoire des cyber-malfaiteurs qui utilisent des malwares pour s’infiltrer à distance sur des ordinateurs afin de lancer leurs attaques BackStab d’une façon totalement inédite.

La méthode BackStab est utilisée par les forces de police comme par les cybermalfaiteurs pour recueillir messages texte, photos, données de géolocalisation et quasiment tout type d’information stockée sur un terminal mobile en leur possession. Mais au-delà du nouveau virage pris par les attaques BackStab pour opérer à distance à l’aide de malwares, le livre blanc de l’Unité 42 revient aussi sur les raisons qui font des terminaux Apple® iOS la principale cible de ces attaques : iTunes est configuré par défaut pour stocker les fichiers de sauvegarde à des emplacements fixes et dans un format non chiffré, et pour synchroniser automatiquement les terminaux dès qu’ils sont connectés à l’ordinateur de l’utilisateur. « Les équipes de cybersécurité doivent prendre conscience qu’une technique d’attaque reste dangereuse, même si elle est très connue. Lorsque nous nous sommes penchés sur les attaques BackStab, nous avons collecté dans une trentaine de pays plus de 600 exemples de malwares utilisés pour lancer des attaques BackStab à distance » , commente Ryan Olson, Directeur de la recherche sur les menaces au sein de l’Unité 42 de Palo Alto Networks

Recommandations
Les utilisateurs d’iOS sont invités à chiffrer leurs sauvegardes locales ou à utiliser le système de sauvegarde iCloud ; ils doivent également choisir un mot de passe sécurisé.
Il est recommandé de mettre à niveau les appareils iOS avec la dernière version du système d’exploitation car celui-ci crée des sauvegardes chiffrées par défaut.
Lorsqu’un utilisateur connecte un terminal iOS à un ordinateur ou à un chargeur non approuvé à l’aide d’un câble USB, il est déconseillé de cliquer sur le bouton « Trust » (Faire confiance) qui s’affiche dans la boîte de dialogue.

Patch Tuesday – Décembre 2015

Un total de 12 bulletins de mises à jour, dont 8 critiques, en ce mois de décembre. Il est donc urgent d’appliquer les correctifs pour ses outils Adobe et Microsoft.

Le dernier Patch Tuesday de l’année 2015 est dans la moyenne avec cependant des bulletins un peu plus sévères que d’habitude. En effet, sur un total de 12 bullentins, 8 sont définis comme critiques, dont un qui résout une vulnérabilité 0-Day actuellement utilisée par des attaquants pour escalader des privilèges dans Windows. Auparavant très rares, les menaces 0-Day sont devenues légion en 2015. L’année avait d’ailleurs commencé par une vague de menaces 0-Day pour Adobe Flash puis un correctif a été publié chaque mois ou presque pour des vulnérabilités déjà victimes d’exploits. Il s’agit d’un signal fort, car les ressources techniques des attaquants vont crescendo et c’est aussi un rappel aux DSI qui ne devraient pas seulement corriger leurs systèmes sans délai, mais également renforcer leur sécurité.

Parmi les résolutions de 2016, il faudrait s’intéresser aux installations minimales de logiciels avec le moins possible de fonctionnalités activées, ainsi qu’à des logiciels supplémentaires tels qu’EMET pour améliorer la robustesse.

Au total, 135 bulletins ont été publiés par Microsoft en 2015, soit une augmentation sensible par rapport à la moyenne de ces dernières années. Les nouveaux produits Microsoft n’expliquent qu’en petite partie cette hausse, le nouveau navigateur Edge n’ayant fait l’objet que de cinq bulletins spécifiques cette année. Cette augmentation est liée pour l’essentiel aux nouveaux composants de l’écosystème Windows qui sont passés à la loupe pour la première fois, une tendance qui indique l’importance croissante de la sécurité informatique.

MS15-135 résout une vulnérabilité 0-Day au sein du noyau Windows. Pas plus de détails quant à l’ampleur de la diffusion de cette vulnérabilité et de son exploit, mais cela lui vaut une place de choix dans notre liste des priorités.

Les navigateurs étant souvent utilisés dans les scénarios d’attaque actuels, notamment les téléchargements involontaires ou les attaques par harponnage, ils doivent être mis à jour le plus rapidement possible. Les bulletins MS15-124 pour Internet Explorer (IE), MS15-125 pour Edge et MS15-126 pour les bibliothèques JavaScript sous Vista et Windows Server 2008 résolvent 30 vulnérabilités, nombre d’entre elles étant critiques car elles permettent l’exécution de code à distance (RCE). Edge ne présente « que » 15 problèmes, dont 11 proviennent d’IE et 4 sont propres à ce nouveau navigateur.

MS115-131 pour Microsoft Office est le bulletin suivant sur la liste. Il est classé comme critique par Microsoft, ce qui est rare pour un bulletin Office et indique qu’il existe un vecteur pour exploiter la vulnérabilité sans interaction de l’utilisateur. CVE-2015-6172 est une vulnérabilité critique sous Outlook déclenchée par un message électronique formaté dans un but malveillant. Il n’existe pas de solution de contournement raisonnable et Microsoft suggère de désactiver le volet d’aperçu, l’équivalent numérique de « Il suffit de ne pas le faire ». Corrigez cette vulnérabilité dès que possible. CVE-2015-6124 est actuellement exploitée à l’aveugle par des attaquants.

Place ensuite à une vulnérabilité sur le serveur Microsoft DNS, ce qui est plutôt rare. MS15-127 remplace MS12-017 depuis plus de 3 ans. Les attaquants qui exploitent la vulnérabilité identifiée dans MS15-127 sur le serveur DNS de Microsoft prendront là encore le contrôle du serveur et exécuteront du code dans le contexte du système. L’attaque est lancée à distance et n’exige aucune authentification et il n’existe aucune solution de contournement. Mettez vos serveurs DNS Microsoft à jour le plus vite possible, en respectant les phases de test et d’attente nécessaires pour un service aussi fondamental.

La vulnérabilité critique suivante se trouve dans le système graphique de Windows (bulletin MS15-128) qui pose un problème de gestion des polices. Ce bulletin remplace le bulletin MS15-097 depuis septembre, lequel remplaçait le MS15-077 depuis juillet. Il s’agit donc d’occurrences assez courantes. Les vecteurs d’attaques sont très larges dans la mesure où la navigation Web, la messagerie électronique, les documents et les médias riches jusqu’à Silverlight peuvent tous être utilisés pour lancer une attaque.

Les autres vulnérabilités critiques concernées par ce Patch Tuesday se trouvent dans Silverlight (MS15-129) et Uniscribe (MS15-130). Traitez-les en même temps que les vulnérabilités importantes résolues à l’aide des bulletins MS15-132, MS15-133 et MS15-134.

En plus des mises à jour Microsoft, Adobe a publié une nouvelle version de Flash. Le bulletin de sécurité APSB15-32 correspondant résout le nombre record de 78 vulnérabilités. Toutes les vulnérabilités, sauf trois, pouvaient être utilisées par un attaquant pour exécuter du code à distance depuis le navigateur à l’insu de son utilisateur. Il suffisait ensuite d’exploiter une deuxième vulnérabilité pour devenir système sur la machine (voir MS15-135 par exemple), ce qui aurait au final fourni un contrôle total à l’attaquant. Les attaques basées sur Flash ont été très prisées des pirates tout au long de l’année 2015 avec de nombreux kits fournissant des exploits tout à fait actualisés. Ajoutez cela à votre liste des points hautement prioritaires. (Analyse par Wolfgang Kandek, CTO , Qualys, Inc.)

Sécuriser les sites web, quelque soit le niveau du propriétaire

Un informaticien Français lance le défit d’un système capable de sécuriser les sites web, quelque soit le niveau du propriétaire, face aux malveillances numériques.

Flavien Normand, a 22 ans. Développeur, il a une dizaine de langage de programmation à son actif. Cet étudiant a commencé le développement informatique à l’âge de 15 ans, d’abord sur des émulateurs de jeu en ligne développés en Java. Trois ans plus tard, après avoir été la cible d’une tentative de fraude via un site de vente en ligne, il va se pencher sur la sécurité informatique. White Hat dans l’âme, il a très vite compris que ce n’est pas parce qu’on sait fracturer une serrure que l’on va le faire pour son propre intérêt.

Son premier projet, Whys, a été réalisé en solo au cours de ses premières années d’études à Nantes, au sein de l’IMIE. Un scanner de vulnérabilité qui regroupe plusieurs outils afin de trouver les failles sur son propre site et les corriger soi même. A noter que le code source de Whys est disponible, en open source. Bilan, ce premier essai dans la sécurité informatique l’a motivé à lancer un nouveau projet autour d’un outil de sécurité informatique qui pourra protéger les sites Internet, quelque soit le niveau du propriétaire. DataSecurityBreach a rencontré l’inventeur, interview !

DataSecurityBreach – Présentation du projet
Flavien Normand – Aujourd’hui, de plus en plus de sites web sont attaqués par deface « à l’aveugle », en utilisant des DORKS ou autre outil, les hackers attaquent des sites en trouvant directement un élément faillible dans celui-ci, et exploitent cette faille avec un script afin d’installer sur le serveur distant une pharmacie illégale, un phishing, un deface pour représenter une cause qu’ils veulent défendre ou bien simplement un ver pour utiliser la machine plus tard.

Les cibles les plus touchées dans ce type d’attaque sont les TPE, les PME et les blogs car elles n’ont pas les moyens de maintenir la sécurité sur leur site web, ou n’y allouent pas assez de temps/budget pour la plus grande partie, et les solutions de maintenance informatique disponibles aujourd’hui sont très chères. On retrouve souvent des arguments comme « mais personne ne va nous attaquer, on ne fait que…. » le soucis, c’est que personne n’a besoin de vous attaquer pour vous voler des données, mais ils peuvent simplement vous attaquer pour le « fun » ou pour préparer un DDoS en utilisant votre serveur, ou encore pour installer un phishing, etc. Vous avez sûrement déjà pu voir beaucoup d’exemples.

Le projet, pour l’instant baptisé Flawless, est présent pour résoudre ce soucis. Un scanner de vulnérabilité qui vous tiens au courant régulièrement de l’état de sécurité de votre application web, et vous averti en cas de faille, avec un service disponible pour fixer les failles trouvées.

DataSecurityBreach – Le principe de votre outil ?
Flavien Normand – Le concept du projet est simple: Sécuriser les sites web, quelque soit le niveau du propriétaire de celui-ci.

Le projet est donc un scanner de sécurité automatisé, vous inscrivez votre site, confirmez que vous êtes bien le propriétaire, puis vous réglez la fréquence des scans et leur horaire (vous pouvez par exemple demander 1 scan par semaine, le mardi à 4h du matin pour éviter tout soucis au niveau des tests les plus stressants). Une fois le scan terminé, vous recevez un email de synthèse du résultat vous expliquant si il y a des failles, avec les informations que nous avons trouvé dessus.

Si vous savez corriger la faille, ou que vous avez du personnel compétent pour trouver un fix à celle-ci, vous pouvez la fixer de votre coté, la mettre en production et demander un scan hors prévision pour vérifier que la faille est bel et bien fixée ou simplement attendre le prochain scan planifié.

Si vous ne savez pas corriger la faille, vous pouvez demander une prestation au près de notre équipe, qui se fera un plaisir de corriger et sécuriser votre application web.

DataSecurityBreach – Important de protéger les bloggueurs ?
Flavien Normand – Oui, il est important de protéger les blogueurs car ce sont les plus vulnérables. Aujourd’hui, n’importe qui peut se créer un blog sur son serveur mutualisé, il télécharge wordpress sur le site officiel, ou demande même directement un site avec wordpress installé (certains hébergeur font ça). Il installe les plugins et thèmes dont il a besoin, et ce sans connaître le développement web, pas besoin car les CMS sont présents pour cela.

6 mois plus tard, on retrouve notre petit blogueur, qui a une petite communauté sur son blog et aime partager ses articles quotidiens sur ses sujets favoris. Sauf que son fournisseur d’accès le contacte et lui bloque son site car celui-ci émet un nombre trop important de requêtes sortantes d’un coup. Il se demande ce qu’il se passe, et est bloqué car son blog est hacké, et il ne sait absolument pas comment corriger cela.

Mieux vaut prévenir que guérir ! Ce vieil adage est adapté pour le cas de la sécurité informatique, et dans notre exemple avec Mr blogueur, encore plus. En effet, flawless étant présent pour surveiller la présence de failles sur le site donné, il aurait pu prévenir notre blogueur de la faille, et simplement lui dire que son plugin d’envoi d’images était faillible, et qu’il fallait soit le mettre à jour, soit en choisir un autre (suivant les informations recueillies).

DataSecurityBreach – L’automatisation de la sécurité informatique, pas dangereux ?
Flavien Normand – J’entends par cela le fait que l’internaute se sent rassuré, donc ne met plus les mains dans son code.

Le but de l’outil n’est pas de corriger les failles à votre place, mais de les signaler. Si vous souhaitez par la suite une prestation pour fixer les failles en question, c’est un humain qui sera chargé de la tâche si celle-ci est spécifique, sinon un script sera mis à votre disposition et vous aurez simplement à le lancer, et le script, une fois terminé, se supprimera lui même, afin d’éviter toute fausse manipulation.

DataSecurityBreach – Cela vise quelle plateforme ?
Flavien Normand – L’application sera disponible sous forme d’un site web, avec une interface de gestion et un dashboard pour se tenir au courant des nouveautés, et de l’état général de son site en se basant sur les résultats des derniers scans.

DataSecurityBreach – Quel avenir pour votre projet ?
Flavien Normand – L’avenir du projet, c’est de devenir le pilier d’une startup, et de sécuriser un maximum de personnes en France et dans le monde, mais avant tout ceux qui en ont besoin et qui n’en ont pas forcément les ressources/le temps.

DataSecurityBreach – Et si votre outil est piraté ? La base de données des utilisateurs pourra permettre aux malveillants d’accéder à leurs failles ?
Flavien Normand – Avant tout, l’application est bien sûr sécurisée au maximum, mais comme il est essentiel de prévoir l’imprévu. Nos données sont donc stockées de manière à ce que même nos développeurs sont incapables de les lire, les seules entités capables de lire les données sont le serveur, et la personne qui aura développé le système de stockage (moi même).

PowerMemory, l’outil qui contre les faiblesses de Windows Active Directory

Un jeune Belge, aujourd’hui basé au Canada, a inventé PowerMemory, un outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion aussi simplement qu’un clic de souris.

Pierre-Alexandre Braeken travaille dans l’ingénierie des systèmes depuis plus de 11 ans. Il est aujourd’hui architecte technologique. Cet informaticien  certifié MCITP SA, MCSA 2008/2012 ou encore MCSE 2012 a comme domaine de spécialité l’architecture des systèmes et les domaines d’entreprise Active Directory. A noter qu’il est open cfp pour la conférence infiltrate de Miami. Il a développé une expertise particulière autour de la sécurité de ces systèmes et développe des outils pour prouver les idées qu’il avance. J’ai rencontré l’auteur de PowerMemory lors du HackFest Canada 2015, l’outil qui a pour mission d’empêcher que Windows Active Directory diffuse vos identifiants de connexion. Interview !

DataSecurityBreach. Qu’est ce que PowerMemory ?  

Pierre-Alexandre Braeken. PowerMemory est un outil utilisé dans des audits de sécurité de domaine Windows Active Directory. PowerMemory permet de vérifier les faiblesses de ces domaines pour les corriger. Une de ses fonctionnalités phares est la révélation des mots de passe Windows directement depuis la mémoire. Son fonctionnement est totalement nouveau puisqu’il est indépendant de l’architecture ciblé et qu’il ne fait pas appels aux fonctions de Windows pour trouver les mots de passe et pour les déchiffrer. De plus il utilise le langage de script PowerShell qui fait partie intégrante du noyau de base depuis Windows 7. [Lire l’interview du chercheur enseignant Français Jérôme Ridet au sujet de la faille PowerShell capable de faire tomber la sécurité d’un système en 5 secondes]

DataSecurityBreach. Type de failles ?

Pierre-Alexandre Braeken. PowerMemory démontre à quel point il est désormais simple de récupérer les mots de passe de n’importe quel système Windows. Il peut récupérer les mots de passe stockés dans la mémoire locale d’un système, mais également à distance. La faille met en évidence que PowerMemory est capable de révéler des mots de passe sans être administrateur d’une machine. En effet, il peut révéler les mots de passe de machine virtuelle depuis le crash d’une machine (Blue Screen Of Death = BSOD) mais également à partir d’un snapshot de machine virtuelle. Ce qui veut dire qu’un simple opérateur d’un environnement virtualisé pourrait avoir plus de droit que l’administrateur même du domaine.

Ce type de faille pourrait mener à des scénarios d’attaque d’un domaine qui permettrait à une personne mal intentionnée, depuis l’extérieur, de récupérer d’abord des accès de plus faible niveau pour ensuite remonter toute la hiérarchie des systèmes et atteindre en bout de course le Saint-Graal représenté par un contrôleur de domaine. Dès ce moment, tout le système d’entreprise s’effondre en termes de sécurité et le réseau entier n’appartient plus aux administrateurs de l’entreprise mais bien au pirate informatique.

DataSecurityBreach. Comment est-ce possible qu’une telle possibilité n’ait pas été « pensée » par Microsoft ?  
Pierre-Alexandre Braeken. J’ai prévenu Microsoft du résultat de mes recherches. Ils ne considèrent pas ceci comme une faille de sécurité. Néanmoins, quelques jours après le report complet de mes travaux, l’outil RWMC (qui révèle les mots de passe) faisant partie de la suite d’audit PowerMemory a été catégorisé officiellement par Microsoft comme un « hacktool » de niveau d’alerte « medium ».

Le problème pour Microsoft est que la façon dont ils ont conçu leur système les empêche de donner une solution applicable pour les entreprises pour tous les systèmes d’exploitation jusqu’à windows 2012R2 compris. Pour Windows 10 (seulement dans sa version professionnelle) et 2016, les choses changent puisque Microsoft a créé un nouveau système pour protéger les mots de passe stockés en mémoire. On parle de Trustlets tournant dans un environnement isolé. Pourquoi Microsoft ne protège pas ses clients tournant sur des systèmes d’exploitation non supporté ? Je pense que ceci demande des changements si majeurs au système de fonctionnement du noyau que Microsoft n’est pas prêt à apporter de changements sur des systèmes qui risquent encore d’être présent dans 15 ans…

DataSecurityBreach. Comment s’en protéger ? 

Pierre-Alexandre Braeken. Il est nécessaire d’adopter de bonnes pratiques en matière de gestion de parc informatique. Le sujet est vaste et il n’est pas évident de se protéger de ce genre d’attaque. Des gens comme Sean Metcalf (Master Active Directory, moins de 100 dans le monde) abordent le sujet de façon régulière (dont Black Hat 2015). J’ai également rédigé plusieurs documents que je compte bientôt publier sur mon blog.  J’ai également créé l’outil PowerMemory dans le but de faciliter le travail de la sécurité. L’objectif est de détecter les failles afin d’apporter des solutions qu’une entreprise peut mettre en place.  De plus, j’ai également développé un outil qui détecte la méthode utilisée par PowerMemory pour révéler des mots de passe.

DataSecurityBreach. Vous présentez votre solution aux entreprises, comment réagissent-elles ?
Pierre-Alexandre Braeken. Elles ont d’abord beaucoup de mal à comprendre les implications. En effet, les enjeux sont extrêmement importants et les réactions en conséquence. Les mots ahurissant et impressionnant ressortent souvent.  Même avec l’évidence, il est difficile pour les grandes entreprises de modifier leurs processus afin de se protéger de ce genre d’attaque.  Mon rôle consiste à les avertir et à les aider à trouver des solutions pour se protéger sans pour cela casser son modèle.