Sécurité : Microsoft annonce avoir détecté des attaques exploitant la faille Zerologon. Plusieurs exploits ont été publiés en ligne au cours des derniers jours. Le patch corrigeant cette importante vulnérabilité dans NetLogon est disponible depuis le mois d'août. Des pirates informatiques exploitent activement la vulnérabilité de Zerologon dans des attaques réelles, annonçait ce matin l'équipe de renseignement sur la sécurité de Microsoft. « Microsoft suit activement les activités d'acteurs malveillants utilisant des exploits pour la vulnérabilité EoP CVE-2020-1472 Netlogon, surnommée "Zerologon". Nous avons observé des attaques où des exploits publics ont été incorporés dans les outils des attaquants », a écrit la société dans une série de tweets. Selon les experts de l'industrie de la sécurité, ces attaques étaient attendues. Une vulnérabilité facilement exploitable Plusieurs versions de l'exploit de cette vulnérabilité ont été publiées en ligne sous une forme librement téléchargeable depuis que des détails sur la vulnérabilité de Zerologon ont été révélés le 14 septembre par la société de sécurité néerlandaise Secura BV. Le premier exploit a été publié quelques heures après la publication du post, confirmant l'analyse de Secura selon laquelle le bug Zerologon est facile à exploiter, même par des acteurs peu qualifiés. Le CERT-FR signalait la semaine dernière que des exploits étaient déjà publiquement disponibles, et a remis à jour son bulletin d'information sur Zerologon lundi pour y ajouter des informations d'aide à la détection. Une explication plus approfondie du bug Zerologon est disponible dans notre couverture initiale de la vulnérabilité. Le bug Zerologon est une vulnérabilité de Netlogon, le protocole utilisé par les systèmes Windows pour s'authentifier sur un serveur Windows fonctionnant comme contrôleur de domaine. L'exploitation du bug Zerologon peut permettre à des pirates de prendre le contrôle du contrôleur de domaine et, par essence, du réseau interne d'une organisation. Mises à jour nécessaires Zerologon a été décrit par beaucoup comme la plus dangereuse des failles de sécurité révélées cette année. Au cours du week-end, le DHS a donné trois jours aux agences fédérales pour corriger le bug sur les contrôleurs de domaine, ou les déconnecter des réseaux fédéraux. Dans une alerte publiée lundi, la CISA explique que le bug Zerologon affecte également le logiciel de partage de fichiers Samba, qui doit aussi être mis à jour. Le CERT-FR a également publié un bulletin d'information concernant l'impact de Zerologon sur Samba : l'utilisation de cette vulnérabilité permet ici une élévation de privilèges lorsque le serveur Samba est utilisé comme contrôleur de domaine. Bien que Microsoft n'ait pas donné de détails sur les attaques, il a publié des hashs de fichiers pour les exploits utilisés dans les attaques. Comme plusieurs experts en sécurité l'ont recommandé depuis que Microsoft a révélé ces attaques, les entreprises dont le contrôleur de domaine est exposé sur internet doivent mettre leurs systèmes hors ligne pour les réparer. Les serveurs accessibles par internet sont particulièrement vulnérables, car les attaques peuvent être mises en œuvre directement, sans que le pirate ait besoin de s'introduire dans les systèmes internes. Source :ZDNet.com

La Commission nationale de l'informatique et des libertés (Cnil) demande à l'ensemble des acteurs français de la santé d'arrêter de confier leur hébergement de données à l'entreprise américaine Microsoft ou toute autre société soumise "au droit étasunien", révèle Médiapart dans un article publié le 9 octobre. Ces injonctions ont été inscrites dans un mémoire transmis au Conseil d'Etat dans le cadre d'une procédure visant à faire annuler le décret du 21 avril 2020 qui a accéléré la mise en place du Health Data Hub, cette base compilant les données de santé des Français actuellement hébergées par Microsoft. LA JUSTICE DOIT TRANCHER SUR LE FOND Ce recours a été déposé devant le juge administratif par un collectif de 18 personnalités et organisations, dont le Conseil National du Logiciel Libre, le Syndicat National des Journalistes et l'association Française des Hémophile, le 17 septembre 2020. Quelques jours plus tard, le Conseil d'Etat a rejeté leur référé, procédure qui permet de demander de suspendre une décision prise par l'administration. Mais le fond de l'affaire n'est toujours pas tranché. C'est dans ce cadre que la Cnil a été appelée à formuler des recommandations. Dans son mémoire, la Commission réitère ses inquiétudes sur les transferts de données outre-Atlantique alors que le juge européen a invalidé le Privacy Shield, accord qui facilitait le transfert de données entre l'UE et les Etats-Unis. Elle pointe également une faille concernant les clés de chiffrement qui sont stockées dans un dispositif appelé "Customer Lockbox". Le contrat liant l'Etat à Microsoft prévoit une exception "dans le cadre de scénarios inattendus ou imprévisibles correspondant à des catastrophes ou en cas d’accès fortuit aux données par un ingénieur de Microsoft". Par ailleurs, l'autorité protectrice de la vie privée relève l'existence d'un avenant qui "limite fortement les transferts à l'initiative de Microsoft" mais qui les autorise "si la loi l'exige". Or, en vertu l'invalidation du Privacy Shield, ces demandes "devraient être considérées comme des divulgations non autorisées par le droit de l'Union" notamment au Règlement général sur la protection des données (RGDP). LES DONNÉES NE PEUVENT PLUS ÊTRE CONFIÉES PAR UNE ENTREPRISE AMÉRICAINE La Cnil est donc très claire : les données des citoyens européens ne peuvent plus être confiées à une entreprise américaine, même si celle-ci dispose d’un siège et de serveurs dans l’Union européenne. "Cette situation doit conduire à modifier les conditions d’hébergement de la PDS (plateforme de données de santé, ndlr), ainsi que celles des autres entrepôts de données de santé qui sont hébergés par des sociétés soumises au droit étatsunien". Et ce changement d’hébergement "devrait intervenir dans un délai aussi bref que possible". Mais la situation dépasse désormais largement le cadre du Health Data Hub. De nombreux acteurs de la santé utilisent des solutions Microsoft. Ils vont donc devoir modifier les conditions d’hébergement au risque de se voir refuser, par la Cnil, leurs "autorisations de traitement de ces données, notamment dans le cadre de recherches scientifiques". LA MISE EN PLACE D'UNE SOLUTION TRANSITOIRE Pour faciliter la procédure, la Cnil propose de mettre en place temporairement "un fondement juridique permettant le cas échéant, de délivrer de telles autorisations, sous certaines garanties. Cependant, prévient-elle, "cette période de transition doit rester limitée à ce qui est nécessaire et impérativement mise à profit pour garantir, par des démarches actives, la modification des conditions d’hébergement des données". En parallèle, elle appelle les autorités à "évaluer en urgence l’existence de fournisseurs alternatifs et leurs capacités, tant en volume de stockage qu’en qualité de service, afin d’évaluer la durée nécessaire pour cette transition, la plus courte possible". Un appel déjà entendu par le gouvernement. Le secrétaire d'Etat au Numérique Cédric O a annoncé hier que le Health Data Hub devait être hébergé par un acteur français ou européen. "Nous travaillons avec [le ministre de la Santé] Olivier Véran, après le coup de tonnerre de l’annulation du Privacy Shield, au transfert du Health Data Hub sur des plate-formes françaises ou européennes", a déclaré le haut fonctionnaire. "Nous aurons sur ce sujet des discussions avec nos partenaires allemands", a-t-il ajouté. ALICE VITARD Source : Usine-Digitale.fr