Le blog de la Cybersécurité

by OpenSphere.

Zerologon : Microsoft signale des attaques

Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com        

Assises de la cybersécurité 2020 : positivons !

Les Assises de la cybersécurité viennent de s’ouvrir au Grimaldi Forum de Monaco. L’événement fête ses vingt ans et a débuté avec une session plénière de Guillaume Poupard, en charge de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information). En substance il a salué le travail effectué et a voulu porter un message positif pour l’avenir. La session plénière a débuté avec un message d’accueil du ministre de l’Intérieur de la Principauté de Monaco qui a tenu à démontrer comment son pays était engagé dans une vaste transformation autour du numérique et donc de la cybersécurité pour créer un espace de confiance exemplaire afin d'attirer les entreprises et les parties prenantes autour des nouvelles technologies. Il a pris pour exemple le projet autour d’Extended Monaco qui met en avant chaîne de blocs, Cloud et 5G. Un message positif  Guillaume Poupard a pris un peu l’assistance a contre-pied avec un discours mettant en avant les points positifs qu’il a distingué durant la période récente. Tout le monde s’attendait à un énième message d’alerte vers les entreprises pour les sensibiliser sur une « menace toujours croissante ». Il s’est expliqué de ce contre-pied en indiquant qu’il « avait le sentiment que la phase d’évangélisation était enfin terminée. Aucun dirigeant d’entreprise ne « peut pas dire qu’il n’était pas au courant » et qu’il était fautif dans le cas contraire. Il a continué : « c’est un message d’espoir car nous pouvons maintenant nous concentrer sur les solutions » pas seulement techniques mais humaines et de gouvernance. Il a rappelé le dernier opus de son agence pour préparer et aider les entreprises par un guide de la gestion de crise. Ancien militaire il ne peut croire qu’en la vertu de l’entraînement ! Il a ensuite mis en exergue le travail autour des certifications réalisées par son agence et en particulier autour de prestataires de confiance et d’un référentiel nouveau PAMS pour aider les entreprises à reconstruire leur réseau au lendemain d’une attaque ou encadrer un prestataire autour de l’assistance à la conception.  Il a aussi évoqué des projets pour aller plus loin dans l’éducation à la cybersécurité avec des programmes qui existent déjà à destination des élèves de première et de seconde. Il a ajouté : « les outils pour le faire arrivent ainsi que la formation des enseignants ». Éviter angélisme et naïveté Il a pris en point d’orgue les différents projets et efforts dans la coopération européenne autour de la cybersécurité et nous a assuré que l’entraide à ce niveau était nécessaire à défaut de ne pouvoir lutter du fait du morcellement européen. Il souhaite que cette coopération apporte de l’objectivité dans les débats car « le caricatural est mauvais mais il faut aussi éviter l’angélisme et la naïveté ». Cette collaboration peut faire notre force indique le directeur de l’ANSSI.  La keynote s’est conclue par un point de Michel Van Den Berghe concernant le campus de cyberdéfense dont L’Informaticien a largement parlé au cours des dernières semaines. Guillaume Poupard apprécie cette initiative : « il nous fallait un lieu à l'image de ce qui s’est fait en Bretagne ». Il conclut par le besoin de continuer l’ensemble de ces efforts. Source : Linformaticien.com

Google révèle la plus grande attaque DDoS de l'histoire

Technologie : Tenue secrète jusqu'à vendredi dernier, l'attaque DDoS a eu lieue en septembre 2017 et serait le fait d'un cyberattaquant parrainé par un Etat. Image : Google Cloud. L'équipe Google Cloud a révélé vendredi dernier une attaque DDoS non divulguée qui a ciblé le service Google en septembre 2017. Elle avait atteint 2,54 Tb/s, faisant d'elle la plus grande attaque DDoS enregistrée à ce jour. Une attaque venue de Chine Dans un article séparé publié au même moment, le Google Threat Threat Analysis Group (TAG), l'équipe de sécurité de Google qui analyse les groupes de menaces haut de gamme, précise que l'attaque a été menée par un acteur de la menace parrainé par un Etat. Les chercheurs du TAG affirment que l'attaque est venue de Chine, car elle avait pour origine le réseau de quatre fournisseurs chinois de services internet (ASN 4134, 4837, 58453 et 9394). Damian Menscher, un ingénieur en fiabilité et sécurité pour Google Cloud, raconte que le pic de 2,54 Tb/s correspond à « l'aboutissement d'une campagne de six mois » qui a utilisé de multiples méthodes d'attaques pour marteler l'infrastructure des serveurs de Google. Il n'a cependant pas révélé quels services étaient visés. L'attaque DDoS la plus importante jamais enregistrée « L'attaquant a utilisé plusieurs réseaux pour usurper 167 Mp/s (des millions de paquets par seconde) à 180 000 serveurs CLDAP, DNS et SMTP exposés, qui nous envoyaient ensuite des réponses importantes », explique Damian Menscher. Ces informations « démontrent les volumes qu'un attaquant bien équipé peut atteindre : c'est quatre fois plus que l'attaque record de 623 Gb/s du botnet Mirai un an plus tôt [en 2016] ». En outre, cette attaque est également plus importante que l'attaque DDoS de 2,3 Tb/s qui a ciblé l'infrastructure AWS d'Amazon en février de cette année. Les attaques DDoS vont augmenter avec la bande passante Bien que l'attaque ait été gardée secrète pendant trois ans, Google a révélé l'incident la semaine dernière pour différentes raisons. Tout d'abord, l'équipe TAG de Google veut sensibiliser à la tendance croissante des groupes de cyberattaquants parrainés par des Etats, qui utilisent des attaques DDoS pour perturber leurs cibles. L'équipe de Google Cloud voulait également mettre en avant le fait que les attaques DDoS vont s'intensifier dans les années à venir, à mesure que la bande passante disponible pour internet va augmenter. Dans un rapport publié mercredi dernier, la société de datacenters Equinix prévoit une augmentation d'environ 45 % (~16 300+ Tb/s) de la bande passante d'interconnexion mondiale d'ici 2023. Pour tout savoir sur les attaques de DDOS Qu'est-ce qu'une attaque DDoS ? Tout savoir pour les reconnaître et s'en protéger Source : ZDNet.com

Un quartier de Londres frappé par une importante cyberattaque

Technologie : Suite à la cyberattaque, de nombreux services municipaux et systèmes informatiques fonctionnent au ralenti ou sont à l'arrêt. Le council de Hackney, dans le nord de Londres, a annoncé être la cible d'une grave cyberattaque, qui touche un grand nombre de ses services et de ses systèmes informatiques. Assurer la continuité des services La mairie explique qu'elle travaille en étroite collaboration avec le Centre national de la cybersécurité (NCSC), des experts externes et le ministère du Logement pour faire avancer l'enquête et comprendre l'impact de l'incident. On ne sait pas exactement quelle forme a pris la cyberattaque, ni quand elle a eu lieu. « L'enquête n'en est qu'à ses débuts, et nous avons pour l'instant peu d'informations. Nous continuerons à vous informer au fur et à mesure de l'avancement de l' enquête », a déclaré Philip Glanville, maire de Hackney. Il ajoute que l'essentiel pour l'instant est la continuité de services essentiels de première ligne, en particulier ceux qui touchent les résidents les plus vulnérables. Les équipes se concentrent aussi sur « la protection des données, tout en rétablissant les services touchés dès que possible ». Des difficultés à accéder aux services Néanmoins, certains services municipaux pourraient être indisponibles ou plus lents qu'habituellement, et le centre d'appels de la mairie est extrêmement occupé. « Nous demandons aux résidents et aux entreprises de ne nous contacter qu'en cas d'absolue nécessité, et de nous soutenir dans nos efforts pour résoudre ces problèmes », précise-t-il. « En raison de problèmes techniques, vous pourriez éprouver des difficultés à accéder aux services en ligne aujourd'hui, notamment One Account et les paiements. Nous essayons de résoudre ce problème le plus rapidement possible », peut-on lire sur le site web du Council de Hackney. Toute tentative de connexion à un compte se solde par le message d'erreur suivant : « le système auquel vous essayez d'accéder fait l'objet d'une maintenance programmée et devrait être bientôt de retour ». « Nous savons qu'un incident affecte actuellement le Hackney Borough Council. Le NCSC soutient l'organisation et travaille avec des partenaires pour comprendre l'impact de cet incident », souligne un porte-parole du NCSC. Source : ZDNet.com

L’alarmante sous-représentation des femmes dans les métiers de la cybersécurité

L’expansion mondiale du numérique a entraîné l’augmentation des vulnérabilités et la diversification des menaces. Cela s’est d’autant plus vérifié lors de la crise de la Covid-19. Durant cette période inédite, 70 % des travailleurs se sont retrouvés en télétravail. Les serveurs Internet ont d’autant plus été exposés afin d’assurer la continuité du service, et cela, les hackers l’ont bien compris ! Le nombre d’attaques s’est envolé, passant de moins de 5 000 par semaine en février à plus de 200 000 par semaine fin avril 2020. Alors qu’historiquement les hackers étaient principalement des script kiddies (pirates informatiques débutants), on constate plus récemment une évolution et une diversification des profils d’attaquants : pirates, hacktivistes, cybermercenaires avec des motivations différentes. 0 % de chômage Face à ces menaces plus nombreuses et sophistiquées, les entreprises deviennent conscientes des enjeux de la cybersécurité. D’après le baromètre des risques 2020 d’Allianz, les entreprises classent le risque cyber en première position, et ce pour la première fois. Il y a 7 ans, ce risque était à la 15e position. Pour se protéger, elles se dotent donc de plus en plus d’experts en sécurité. Aujourd’hui, plus de 4,5 millions de professionnels de cybersécurité sont répartis sur la totalité du globe, soit le double d’il y a 10 ans. D’ailleurs, le taux de chômage dans le secteur était de 0 % l’année dernière, taux qui n’a pas changé depuis 2011. Malgré la pleine expansion du secteur et une rémunération attirante (autour de 116 000 dollars par an), le manque de candidatures globales est alarmant. À l’échelle mondiale, 4,07 millions d’emplois sont vacants et seulement 20 % sont pourvus en France. Ce manque est d’autant plus prononcé lorsqu’il s’agit de la gent féminine. En effet, 78 % des jeunes femmes ne considèrent pas de carrière dans la cybersécurité. En France, seulement 5 % des experts cyber sont des femmes, comparé à 53 % tous secteurs confondus. La sous-représentation féminine en cyber recèle des enjeux éthiques pour les pratiques des ressources humaines, mais également des répercussions économiques conséquentes sur les finances des entreprises et sociales liées à la motivation au travail. Quels sont les facteurs sous-jacents à cette sous-représentation alarmante ? En collaboration avec Clarisse Ferreira Paulino, consultante cyber chez Deloitte étant intervenue dans le cadre de l’initiative Women In Cyber, plusieurs témoignages d’experts ont été recueillis et ont permis d’identifier un ensemble de facteurs interdépendants. Stéréotypes Le premier facteur concerne le manque d’incitation des femmes à intégrer une formation académique en cybersécurité. En effet, « durant les cursus, il est rare de sensibiliser les étudiants aux métiers du secteur à travers des modèles féminins à qui les jeunes femmes peuvent s’identifier ». De plus, plusieurs écoles et universités stéréotypent inconsciemment les capacités en matière de cybersécurité, comme témoigne une interviewée : « les femmes se voient offrir plus de places dans des domaines moins techniques. Les universités devraient annoncer toutes les possibilités, et laisser les étudiantes décider lesquelles elles préfèrent et soutenir leur évolution ». Par ailleurs, la sensibilisation aux métiers de la cybersécurité devrait prendre une ampleur sociale au-delà du cercle scolaire. En effet, 40 % des femmes se tournent vers leurs parents pour obtenir des conseils en matière d’orientation professionnelle. Ces orientations faussées sont incitées par un autre facteur associé aux stéréotypes de la cybersécurité. Avant d’intégrer ce secteur, la majorité des praticiens associaient le cyberattaquant à « un jeune homme en sweat à capuche cloîtré dans sa chambre en train de s’amuser à pirater une multinationale ». Beaucoup percevaient aussi le cyber comme un milieu « très technique et purement IT (technologies de l’information). J’ai toujours pensé qu’il fallait être un geek pour réussir dans ce domaine ». Toutefois, durant leur évolution dans ce domaine, ils se sont rendu compte de la diversité des profils : « J’ai déjà pu échanger avec une personne qui fait du droit, une autre qui fait des tests d’intrusion, etc. Cette diversité de profils me plaît énormément. Elle est d’ailleurs propre à la cybersécurité qui est très complexe ». Un autre facteur se manifeste à travers le manque de confiance dans les compétences des femmes en matière de cybersécuritédont témoigne une experte : « Je me suis retrouvée plusieurs fois dans des situations où mes interlocuteurs décident de m’expliquer des concepts techniques simples juste parce que je suis une femme. J’ai aussi constaté que certaines formations techniques sont naturellement proposées aux collaborateurs et non aux collaboratrices ». Ces orientations forcées touchent également l’accès aux postes ouverts, comme l’explique une autre femme interrogée : « J’ai été poussée vers des sujets de gouvernance/PMO malgré mon background technique. Je n’ai pas eu l’opportunité de prouver ce que je savais faire techniquement qu’au bout d’un an d’expérience ». Une autre pratique discriminatoire est le rabaissement, parfois involontaire, des femmes : « J’ai déjà été témoin lors de réunions de mansplaining où des hommes interrompent des femmes pour reformuler de manière condescendante ce qu’elles viennent de dire. On pourrait penser que ce n’est pas forcément sexiste ou que la personne fait ça avec tout le monde, mais j’ai vraiment eu le sentiment que c’était lié au sexe des personnes ». Ces pratiques sont fortement corrélées à la prédominance masculine dans le secteur. En effet, beaucoup s’accordent sur le fait que cette supériorité numérique puisse décourager certaines femmes : « Je comprends complètement que les femmes ne soient pas attirées par ce domaine d’activité car elles peuvent l’assimiler à un secteur réservé aux hommes ». La prédominance des hommes est également perçue comme frein à l’évolution des carrières des femmes, bien que la grande majorité n’ait jamais constaté de différence de salaire entre une collaboratrice et un collaborateur : « Supposons que demain il y ait un poste ouvert pour un responsable de la sécurité des systèmes d’information. À qui allons-nous penser ? Nous avons malheureusement des préjugés ancrés dans notre inconscient collectif qui nous pousseront à croire que l’homme est symbole d’assurance, de sécurité et d’expérience ». Ce rejet des femmes est une conséquence normale de la prédominance masculine dans le secteur. En effet, ce que l’homme ne connaît pas, il le rejette et souhaite limiter son expansion. C’est une attitude courante dans les liens humains depuis la préhistoire (les albinos, les roux, Galilée, etc.). Pirater les idées préconçues Ainsi, de peur d’être mises à l’écart, certaines femmes refusent d’elles-mêmes d’intégrer le domaine de la cybersécurité. Le fait que les femmes se sous-estiment reste un facteur très récurrent dans ce secteur : « Les femmes anticipent des difficultés qui ne sont pas toujours fondées. Certaines jeunes femmes, qui n’ont pas assez confiance en leurs compétences dans le domaine, se retirent volontairement de la cybersécurité. D’ailleurs, contrairement aux hommes, les femmes sont moins nombreuses à estimer qu’elles peuvent s’autopromouvoir et saisir les opportunités d’évolutions dans leurs carrières. Je fais partie de l’équipe de recrutement et je remarque que pour une offre publiée, nous recevons des réponses de candidats même s’ils ne répondent pas à 100 % des compétences énoncées dans l’offre. Les candidates sont plus réservées lorsqu’il s’agit d’offres plus explicites ». L’ensemble des facteurs élicités permettrait de mieux guider le perfectionnement des méthodes managériales au niveau des personnes, des écoles, des entreprises et des gouvernements afin d’améliorer la situation des femmes en cybersécurité. Il est grand temps de pirater les idées préconçues… Clarisse Ferreira Paulino, consultante cyber chez Deloitte, a co-rédigé cet article. Source : TheConversation.com

Microsoft doit se retirer du Health Data Hub, d'après la Cnil

La Commission nationale de l'informatique et des libertés (Cnil) demande à l'ensemble des acteurs français de la santé d'arrêter de confier leur hébergement de données à l'entreprise américaine Microsoft ou toute autre société soumise "au droit étasunien", révèle Médiapart dans un article publié le 9 octobre. Ces injonctions ont été inscrites dans un mémoire transmis au Conseil d'Etat dans le cadre d'une procédure visant à faire annuler le décret du 21 avril 2020 qui a accéléré la mise en place du Health Data Hub, cette base compilant les données de santé des Français actuellement hébergées par Microsoft. LA JUSTICE DOIT TRANCHER SUR LE FOND Ce recours a été déposé devant le juge administratif par un collectif de 18 personnalités et organisations, dont le Conseil National du Logiciel Libre, le Syndicat National des Journalistes et l'association Française des Hémophile, le 17 septembre 2020. Quelques jours plus tard, le Conseil d'Etat a rejeté leur référé, procédure qui permet de demander de suspendre une décision prise par l'administration. Mais le fond de l'affaire n'est toujours pas tranché. C'est dans ce cadre que la Cnil a été appelée à formuler des recommandations. Dans son mémoire, la Commission réitère ses inquiétudes sur les transferts de données outre-Atlantique alors que le juge européen a invalidé le Privacy Shield, accord qui facilitait le transfert de données entre l'UE et les Etats-Unis. Elle pointe également une faille concernant les clés de chiffrement qui sont stockées dans un dispositif appelé "Customer Lockbox". Le contrat liant l'Etat à Microsoft prévoit une exception "dans le cadre de scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur de Microsoft". Par ailleurs, l'autorité protectrice de la vie privée relève l'existence d'un avenant qui "limite fortement les transferts à l'initiative de Microsoft" mais qui les autorise "si la loi l'exige". Or, en vertu l'invalidation du Privacy Shield, ces demandes "devraient être considérées comme des divulgations non autorisées par le droit de l'Union" notamment au Règlement général sur la protection des données (RGDP). LES DONNÉES NE PEUVENT PLUS ÊTRE CONFIÉES PAR UNE ENTREPRISE AMÉRICAINE La Cnil est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. "Cette situation doit conduire à modifier les conditions d’hébergement de la PDS (plateforme de données de santé, ndlr), ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien". Et ce changement d’hébergement "devrait intervenir dans un délai aussi bref que possible". Mais la situation dépasse désormais largement le cadre du Health Data Hub. De nombreux acteurs de la santé utilisent des solutions Microsoft. Ils vont donc devoir modifier les conditions d’hébergement au risque de se voir refuser, par la Cnil, leurs "autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques". LA MISE EN PLACE D'UNE SOLUTION TRANSITOIRE Pour faciliter la procédure, la Cnil propose de mettre en place temporairement "un fondement juridique permettant le cas échéant, de délivrer de telles autorisations, sous certaines garanties. Cependant, prévient-elle, "cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données". En parallèle, elle appelle les autorités à "évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible". Un appel déjà entendu par le gouvernement. Le secrétaire d'Etat au Numérique Cédric O a annoncé hier que le Health Data Hub devait être hébergé par un acteur français ou européen. "Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plate-formes françaises ou européennes", a déclaré le haut fonctionnaire. "Nous aurons sur ce sujet des discussions avec nos partenaires allemands", a-t-il ajouté. ALICE VITARD Source : Usine-Digitale.fr

Le géant allemand Software AG mis à terre par une attaque de ransomware

Technologie : Le groupe Clop demande une rançon de plus de 20 millions de dollars à la société technologique allemande Software AG suite à une infection de ses systèmes. Software AG, l'une des plus grandes sociétés de logiciels au monde, a été victime d'une attaque par rançongiciel le week-end dernier, et la société ne s'est pas encore complètement remise de cet incident. Des données personnelles volées publiées sur le dark web   Un groupe du nom de Clop a pénétré dans le réseau interne de l'entreprise le samedi 3 octobre, chiffré des fichiers et demandé plus de 20 millions de dollars pour fournir la clé de décryptage. Plus tôt dans la journée, après l'échec des négociations, le groupe Clop a publié des captures d'écran des données de l'entreprise sur un site web que les pirates exploitent sur le dark web. Les captures d'écran montrent des scans de passeport et de carte d'identité des employés, des courriels des employés, des documents financiers et des répertoires du réseau interne de l'entreprise.   Image : ZDNet. Des vols de données clients ont été constatés Software AG a révélé l'incident lundi 5 octobre, indiquant qu'elle était confrontée à des perturbations sur son réseau interne « en raison d'une attaque de logiciel malveillant ». L'entreprise a précisé dans un premier temps que les services clients, y compris ses services basés sur le cloud, n'étaient pas affectés et qu'elle n'avait pas connaissance « d'informations clients auxquelles les attaquants auraient pu accéder ». L'entreprise est revenue sur ses déclarations deux jours plus tard dans un second communiqué, indiquant cette fois que des vols de données avaient été constatés. Le message concernant l'attaque est resté sur la page d'accueil de son site officiel toute la semaine. Software AG n'a pas répondu à nos questions sur l'incident. La rançon ne semble pas avoir été payée Une copie du binaire du rançongiciel utilisé contre Software AG a été découverte en début de semaine par le chercheur en sécurité MalwareHunterTeam. La demande de rançon de plus de 20 millions de dollars est l'une des plus importantes jamais demandées dans le cadre d'une attaque de type ransomware. L'identifiant fourni dans la note de rançon a permis aux chercheurs en sécurité de visualiser les discussions en ligne entre les attaquants et le groupe Software AG sur un portail web géré par le groupe de ransomware. Au moment de la rédaction de cet article, rien n'indique que la société allemande a payé la demande de rançon. Clop, bien connu des services Le ransomware Clop, utilisé dans le cadre de cette attaque, a également sévi en France : c'est ce rançongiciel qui est notamment suspecté d'avoir été mis en œuvre en 2019 dans l'attaque ayant perturbé le CHU de Rouen. En novembre 2019, l'Anssi avait publié un rapport faisant état d'une recrudescence d'activité du groupe Clop en France, et offrant quelques détails sur le fonctionnement du ransomware. L'Anssi le liait au groupe connu sous le nom de TA505, très actif depuis 2014, qui s'est illustré dans des attaques de différentes natures. Un rapport portant plus spécifiquement sur l'évolution de ce groupe avait été publié au mois de juin 2020. Software AG est la deuxième plus grande entreprise d'Allemagne, avec plus de 10 000 entreprises clientes réparties dans 70 pays. Parmi les clients les plus connus de l'entreprise figurent Fujitsu, Telefonica, Vodafone, DHL et Airbus. Sa gamme de produits comprend des logiciels d'infrastructure d'entreprise comme des systèmes de bases de données, des cadres de bus de services d'entreprise (ESB), des architectures logicielles (SOA) et des systèmes de gestion des processus d'entreprise (BPMS). Source : ZDNet.com

Microsoft met en garde contre un nouveau ransomware Android

Sécurité : Le nouveau ransomware abuse des notifications d'appel entrant et du bouton Home pour empêcher les utilisateurs d'accéder à leur appareil Android. Une nouvelle souche de ransomware mobile a été découverte. Elle utilise les mécanismes de la notification d'appel entrant et le bouton "Home" pour verrouiller l'écrans d'un appareil. Nommé "AndroidOS/MalLocker.B", le ransomware se cache dans des applications Android proposées en téléchargement sur des forums en ligne et des sites web tiers. Une rançon qui se fait passer pour une amende Comme la plupart des ransomwares Android, MalLocker.B ne chiffre pas réellement les fichiers de la victime, mais empêche simplement l'accès au contenu du téléphone. Une fois installé, il prend le contrôle de l'écran du téléphone et affiche un message des attaquants, qui ne peut pas être retiré. La demande de rançon est conçue pour ressembler à un message des forces de l'ordre locales, indiquant aux utilisateurs qu'ils ont commis un crime et qu'ils doivent payer une amende :   Image : Microsoft. Depuis plus d'une demi-décennie, cette forme consistant à présenter une amende policière est la plus populaire parmi les ransomwares sur Android. Au fil du temps, ces souches de malwares ont abusé de diverses fonctions du système d'exploitation Android, afin que les appareils des utilisateurs restent verrouillés sur l'écran d'accueil. Par le passé, les attaquant ont utilisé des techniques consistant à abuser de la fenêtre d'alerte système ou à désactiver les fonctions qui interagissent avec les boutons physiques du téléphone. Abus de deux fonctionnalités du système MalLocker.B propose une nouvelle variante de ces techniques. Le ransomware utilise un mécanisme en deux parties pour afficher sa note de rançon. La première partie abuse de la notification "d'appel". C'est la fonction qui s'active pour les appels entrants, afin d'afficher des informations sur l'appelant. MalLocker.B l'utilise pour afficher une fenêtre qui couvre toute la zone de l'écran. La deuxième partie abuse de la fonction "onUserLeaveHint()". Cette fonction permet aux utilisateurs de mettre en arrière-plan une application pour passer sur une autre. Elle se déclenche en appuyant sur les boutons "Home" ou "Récents" par exemple. MalLocker.B abuse de cette fonction pour ramener sa demande de rançon au premier plan, et empêcher l'utilisateur de revenir à l'écran d'accueil ou de passer sur une autre application. Se méfier des applications téléchargées hors du Play Store L'abus de ces deux fonctions est une astuce nouvelle et inédite, même si l'utilisation du bouton "Home" par un ransomware a déjà existé. Par exemple, en 2017, ESET a découvert une souche de ransomware Android nommée DoubleLocker, qui abusait du service Accessibilité pour se réactiver après que les utilisateurs ont appuyé sur le bouton Home. Comme MalLocker.B contient un code trop simpliste et trop visible pour passer les contrôles du Play Store, il est conseillé aux utilisateurs d'éviter d'installer des applications Android téléchargées depuis des sites tiers : forums, sites de publicité ou magasins d'applications tiers non autorisés. Une analyse technique de cette nouvelle menace est disponible sur le blog de Microsoft. Source : ZDNet.com

Une équipe de chercheurs en sécurité a débusqué 55 vulnérabilités dans l'infrastructure d'Apple

Une équipe de cinq bidouilleurs chevronnés est partie à la chasse aux failles de sécurité et aux vulnérabilités dans les infrastructures d'Apple. Ce qui a commencé un peu comme un jeu est devenu un passe-temps très prenant : en trois mois (de début juillet à début octobre), Sam Curry, Brett Buerhaus, Ben Sadeghipour, Samuel Erb et Tanner Barnes ont débusqué 55 vulnérabilités, dont 11 critiques, 29 sérieuses, 11 moyennes et 2 faibles. Pour cette pêche aux trésors, Apple a versé 51 500 $ dans le cadre de son bug bounty, ouvert à tous les chercheurs en sécurité depuis la fin de l'année dernière. Une somme qui pourrait encore augmenter en fonction de l'examen d'Apple. Le constructeur s'est montré très réactif pour boucher les failles repérées par les white hat : de quelques heures à quelques jours environ. L'équipe s'est donc concentrée sur l'infrastructure d'Apple, qui est absolument massive : le constructeur possède l'intégralité de l'IP 17.0.0.0/8, qui couvre 25 000 serveurs web, dont 10 000 pour apple.com. La Pomme détient également 7 000 noms de domaine et son propre TLD (top-level domain), .apple. Certaines des vulnérabilités auraient pu permettre à des malandrins de s'infiltrer dans des applications d'utilisateurs d'Apple et de ses employés, de lancer un logiciel malveillant capable de subtiliser des informations confidentielles de comptes iCloud, de voler du code source développé par le constructeur pour des projets internes, de prendre possession d'un logiciel utilisé par Apple pour gérer des entrepôts, ou encore de prendre le contrôle de sessions d'employés Apple avec la possibilité d'accéder aux outils de gestion. Bref, c'est du sérieux. Impossible de décrire toutes les failles dont la « vaste majorité » a été corrigée, mais les amateurs se délecteront de quelques unes des découvertes à cette adresse. L'équipe a obtenu l'autorisation d'Apple d'en détailler quelques unes. Source : Macg.co  

    Sur le même thème