Archives par mot-clé : Supply-Chain

Cybersécurité, Mise à jour, Patch

SmartTube compromis, un détournement par clé de signature

Un client YouTube tiers très utilisé sur Android TV et boîtiers multimédias a diffusé une mise à jour infectée. La compromission des clés de signature a transformé un canal de confiance en vecteur d’implant silencieux.

Le développeur de SmartTube, application open source prisée sur Android TV, Fire TV Stick et décodeurs, a reconnu la compromission de ses clés de signature. Cette fuite aurait permis à des attaquants d’injecter un composant malveillant dans une mise à jour officielle, provoquant une vague d’alertes : Play Protect a commencé à bloquer l’application et à la signaler comme menace, après de nombreuses plaintes d’utilisateurs en fin de semaine dernière. Des analyses communautaires de la version 30.51 ont repéré la bibliothèque libalphasdk.so, absente du code source public. Le module collecte des informations appareil, les envoie à distance et peut recevoir de nouvelles fonctions.

Une chaîne de confiance retournée contre les utilisateurs

Le point critique n’est pas seulement la présence d’un malware, c’est le chemin qu’il emprunte. Selon Yuri Yuliskov, développeur de SmartTube, les clés de signature ont été compromises. Dans l’écosystème Android, la signature est la preuve d’authenticité qui autorise une mise à jour à remplacer une version existante. Quand cette clé tombe, l’attaquant n’a plus besoin de convaincre l’utilisateur : l’update “officielle” devient le cheval de Troie. C’est précisément ce que suggère l’alerte Play Protect, déclenchée après une série de retours utilisateurs en fin de semaine dernière, avec blocage automatique de l’application sur certains appareils.

SmartTube, gratuit et open source, est populaire car il bloque la publicité et reste stable sur du matériel modeste, un profil fréquent dans les parcs de téléviseurs Android, Fire TV Stick et boîtiers TV. Ce contexte compte : ces appareils sont souvent moins surveillés que les smartphones, partagés au sein du foyer et connectés à des comptes Google, ce qui augmente l’intérêt d’un implant discret.

Le module suspect : libalphasdk.so et une collecte furtive

Des passionnés ayant disséqué la version 30.51 affirment y avoir découvert une bibliothèque inconnue, libalphasdk.so, absente du dépôt public. Yuliskov précise que ce composant n’appartient pas au projet et n’est rattaché à aucun outil utilisé pour construire l’application. L’élément le plus inquiétant tient au comportement décrit : fonctionnement silencieux, aucune action visible, collecte d’informations sur l’appareil, envoi vers un serveur distant, et échanges réguliers via un canal chiffré. Le choix d’une bibliothèque native, au format .so, peut aussi compliquer la lecture du code et masquer des fonctions derrière du binaire.

À ce stade, aucun vol de compte ni enrôlement dans un botnet n’est rapporté. Mais le texte insiste sur le risque : l’architecture observée permettrait d’activer à distance des fonctions additionnelles. Dit autrement, la version livrée pourrait n’être qu’un socle, avec des capacités modulaires déclenchées ultérieurement. Pour des opérations d’influence ou de renseignement, ce modèle est pratique : déployer large, rester discret, puis activer seulement sur certaines cibles.

Yuliskov affirme avoir révoqué immédiatement les clés compromises. Il annonce une nouvelle version avec un nouvel identifiant, et pousse les utilisateurs à mettre à jour dès que possible. Il dit aussi avoir publié une bêta sécurisée et une version de test stable via sa chaîne Telegram. Bleeping Computer relève toutefois qu’un déficit d’informations techniques alimente la défiance dans la communauté. Le développeur promet une analyse complète après la disponibilité de la nouvelle version sur F-Droid, ce qui situe la communication dans une logique de transparence différée : d’abord remettre en circulation une build saine, ensuite documenter l’incident.

Cybersécurité, Mise à jour, Patch

Septembre : Zero Day en amont, Patch Tuesday plus calme

Deux Zero Day Android, une faille WhatsApp et une vulnérabilité WinRAR ont marqué septembre. Le Patch Tuesday s’annonce plus sobre, mais Windows et Adobe restent des priorités.

Le mois de septembre a été rythmé par plusieurs vulnérabilités Zero Day découvertes avant le Patch Tuesday : deux failles critiques dans Android, une brèche dans WhatsApp et une autre dans WinRAR. Microsoft publie ensuite 81 correctifs, dont huit jugés critiques et deux déjà divulgués publiquement. Adobe diffuse en parallèle neuf mises à jour couvrant 22 CVE, dont certaines touchant Acrobat Reader, ColdFusion et Premiere Pro. Malgré un Patch Tuesday relativement calme, la pression reste forte : l’exploitation active des Zero Day, conjuguée à une attaque de la chaîne d’approvisionnement via Drift AI et Salesforce, rappelle l’ampleur de la surface de menace.

Zéro Day avant le Patch Tuesday

Les jours précédant le Patch Tuesday de septembre ont été agités. Deux vulnérabilités critiques dans Android (CVE-2025-38352 et CVE-2025-48543) ont été exploitées activement. Elles s’ajoutent à une faille Zero Day dans WhatsApp (CVE-2025-55177) et à une vulnérabilité similaire dans WinRAR (CVE-2025-8088). Ces quatre incidents suffisent à reconfigurer l’agenda des équipes de sécurité. Parallèlement, une attaque visant la chaîne d’approvisionnement a touché l’agent conversationnel Drift AI, exposant des données de clients Salesforce. L’ensemble illustre la multiplication des vecteurs d’attaque, allant des applications mobiles aux logiciels tiers en passant par les intégrations cloud.

Microsoft a corrigé 81 nouvelles vulnérabilités ce mois-ci, dont huit classées critiques. Parmi elles figurent cinq exécutions de code à distance, deux élévations de privilèges et une divulgation d’informations, toutes affectant Windows ou Office. Deux vulnérabilités avaient déjà été rendues publiques. La première, CVE-2025-55234, concerne le protocole SMB de Windows. Elle offre une élévation de privilèges et affiche un score CVSS de 8,8. Microsoft la classe comme importante, avec un niveau de maturité de code non prouvé. La seconde, CVE-2024-21907, est liée à Newtonsoft.Json et touche SQL Server 2016 à 2019. Elle permet un déni de service à distance, selon l’usage de la bibliothèque. Là encore, l’évaluation du risque recommande de la traiter comme importante. Ces deux divulgations montrent que les failles connues circulent rapidement, augmentant le risque d’exploitation opportuniste.

Mises à jour Adobe et priorités de septembre

Adobe a publié neuf mises à jour couvrant 22 CVE, dont 12 critiques. Les produits concernés incluent Acrobat Reader, Premiere Pro, After Effects, Commerce, ColdFusion, Experience Manager, Dreamweaver et deux outils de modélisation 3D. Adobe attribue une priorité 1 à ColdFusion et une priorité 2 à Commerce. Les autres mises à jour sont classées en priorité 3, donc moins urgentes. La hiérarchisation proposée par Adobe renvoie à l’usage intensif de certaines plateformes en production. Pour ce mois de septembre, les équipes de sécurité doivent donc d’abord traiter les Zero Day détectées avant le Patch Tuesday. Ensuite, elles peuvent planifier les mises à jour Microsoft et Adobe dans le cadre des opérations de maintenance mensuelles. L’absence de nouvelles Zero Day dans le Patch Tuesday allège la charge immédiate, mais l’intensité des incidents précédents rappelle que la vigilance ne peut pas se relâcher.

La séquence de septembre montre un contraste entre l’intensité des Zero Day découvertes avant le Patch Tuesday et la relative stabilité des correctifs officiels. Une question demeure : les équipes de sécurité peuvent-elles maintenir une priorisation efficace face à la convergence des menaces mobiles, logicielles et cloud ?

cyberattaque, Entreprise

Santé : impossible de distribuer des médicaments à la suite d’une cyber attaque

Les opérateurs du ransomware « Blackcat » ont été identifiés comme responsables de la récente panne chez Change Healthcare, une division technologique du groupe UnitedHealth spécialisée dans le traitement des réclamations d’assurance et des paiements dans le secteur de la santé aux États-Unis. Cette cyberattaque a entraîné une perturbation nationale, interrompant la distribution des médicaments sur ordonnance pendant une durée de six jours.

Notre quotidien repose fortement sur la fiabilité des chaînes d’approvisionnement. Des attaques d’envergure comme celles qui ont touché Colonial Pipeline ou MoveIT, ainsi que celles visant des prestataires de services IT tels que Kaseya et Materna, démontrent, quelle que soit leur ampleur ou leur secteur, l’importance cruciale d’adopter une démarche collective pour renforcer la cyber-résilience des services essentiels tels que la santé, l’énergie, l’eau et les transports.

L’impact en cascade d’une compromission au sein de la chaîne d’approvisionnement [La Supply chain] peut être catastrophique. La cyber-résilience est la capacité de maintenir des opérations attendues face à des incidents cybernétiques, et pour les infrastructures essentielles, cela inclut la gestion des incidents externes.

Les entités appartenant aux infrastructures vitales doivent s’assurer qu’elles sont préparées à continuer leurs opérations malgré une attaque et évaluer régulièrement les risques liés à leur chaîne d’approvisionnement. Il est crucial d’analyser et de réévaluer les dépendances tierces. Notamment, un plan de réponse aux incidents devrait prévoir des actions à entreprendre en cas d’indisponibilité ou d’attaque externe affectant la supply chain.

Si une dépendance est critique, il est vital pour les équipes IT de consulter leurs homologues sur leurs pratiques pour assurer la continuité des opérations dans de telles situations. Ce dialogue ouvre la voie à des discussions plus poussées sur l’amélioration de la résilience globale des infrastructures critiques.

Une cyberattaque contre une organisation peut compromettre la capacité d’une autre à traiter ses données. La compromission d’une identité privilégiée dans une entreprise peut provoquer des incidents dans une autre. Les capacités à s’adapter, à anticiper et à récupérer – éléments clés de la résilience – doivent être envisagées au-delà des limites d’une seule entreprise, en identifiant et en gérant les dépendances externes. »

Le cas c’est vue aussi, dernièrement, quand Bank America a été obligé d’alerter ses clients à la suite d’une fuite de données chez son prestataire IMS. Bank of America est l’une des plus grandes banques des États-Unis avec 69 millions de clients aux États-Unis et dans plus de 35 pays à travers le monde. Selon des documents fournis au procureur général du Texas, des informations personnelles sur des clients ont été divulguées, notamment leurs noms, adresses, numéros de sécurité sociale, dates de naissance, ainsi que des données financières, notamment des numéros de compte et de carte bancaire. 57 028 clients auraient été impactés début novembre 2023.

« Il est peu probable que nous soyons en mesure de déterminer avec certitude quelles informations personnelles ont été consultées à la suite de cet incident. » indiquait alors IMS ! IMS avait été bloqué par Lockbit, le 4 novembre 2023, affichant la prise d’otage de plus de 2 000 systèmes de l’entreprise. [Avec Reuters]

Patch

Oracle Critical Patch Update – Avril 2013

Oracle a publié deux mises à jour de sécurité critiques. Tout d’abord, une nouvelle version de Java corrige 42 vulnérabilités, dont 19 ayant le score CVSS le plus élevé (10) qui permet à un attaquant de prendre le contrôle total de la machine. Cette mise à jour corrige également les vulnérabilités découvertes lors de la compétition PWN2OWN à CanSecWest, en mars, où Java a été exploité par trois chercheurs en sécurité différents. Oracle a également modifié les alertes qui surgissent lorsque l’on exécute une applet Java, en introduisant des états distincts donnant plus d’informations sur la nature de l’applet. Les nouvelles versions sont Java v7 update 21et Java v6 update 45.

Dans l’ensemble, le CPU d’avril 2013 corrige plus de 120 vulnérabilités dans 13 gammes de produits. Une cartographie précise des logiciels installés sera cruciale dans l’application de ces correctifs en raison du grand nombre de produits couverts. Nous recommandons de commencer par les services exposés sur Internet, puis de mettre à jour en priorité les produits contenant des vulnérabilités avec un score CVSS élevé.

Le SGBDR d’Oracle dispose de quatre mises à jour pour des vulnérabilités ayant un score CVSS de 10. Les organisations doivent s’assurer en priorité que leurs bases de données Oracle ne sont pas exposées et appliquer les correctifs en conséquence.

La base de données MySQL dispose de 25 vulnérabilités corrigées, avec un score CVSS maximum de 6.9. Un score de niveau moyen qui donnent plus de temps aux administrateurs informatiques pour réagir.

Les solutions Oracle Fusion ont 29 vulnérabilités corrigées, avec un score CVSS de 10. Nous recommandons d’appliquer les patchs aussi rapidement que possible. Une des vulnérabilités se trouve dans le produit Oracle Outside-In, qui est utilisé par Microsoft Exchange Server. Il est noté 6.8, ce qui signifie que nous aurons une mise à jour d’Exchange très bientôt.

Oracle Solaris est affecté par 16 failles avec un score de 6.4, dont deux vulnérabilités exploitables à distance. Les administrateurs informatiques doivent se concentrer dans un premier temps sur ces deux vulnérabilités.

Les autres produits mis à jour comprennent Peoplesoft, Supply-Chain, E-Business, CRM.

En complément des mises à jour d’Oracle, Apple a également publié deux mises à jour de sécurité. La première adresse Java 6 qui est maintenu par Apple sur Mac OS X. La seconde corrige une vulnérabilité dans Webkit, le moteur de rendu HTML de Safari. La vulnérabilité dans Webkit a également été découverte lors de la compétition PWN2OWN, mais en l’occurrence dans le navigateur Chrome de Google. Google a corrigé cette vulnérabilité le mois dernier. (Wolfgang Kandek, CTO de Qualys pour Datasecuritybreach.fr)