Débriefing Sécurité de la semaine du 27 août au 31 août 2018

Bonjour à tous ! Le débriefing Sécurité est de retour !
Au programme cette semaine :
- Une fuite de données pour une grande compagnie aérienne
- Une nouvelle faille dans le système d’exploitation Windows
- Un logiciel-espion sur Android !
C’est le moment de débriefer !
[Vous pouvez retrouver le débriefing Sécurité de la semaine dernière en cliquant ici !]
Air Canada réinitialise le mot de passe d’1.7 million de comptes
Air Canada a été forcé cette semaine de procéder à la réinitialisation des mots de passe de plus d’1.7 million de comptes après la compromission d’environ 20000 comptes.
Dans un communiqué publié cette semaine, l’entreprise explique avoir détecté “un comportement inhabituel lors de tentatives d’accès à l’appli Air Canada”.
Parmi les données ayant fuitées nous retrouvons les choses suivantes :
- Nom
- Adresse mél
- Numéro de téléphone
- Numéro NEXUS (permettant de voyager plus facilement entre certaines frontières)
- Numéro de voyage connu
- Genre
- Date de naissance
- Nationalité
- Date d’expiration du passeport
- Pays de délivrance du passeport
- Pays de résidence
Les numéros de cartes bleues étaient chiffrés et ne seraient pas compromis. Les mots de passe associés au programme de fidélité de l’entreprise ne seraient pas compromis mais l’entreprise suggère tout de même de “surveiller les transactions”.
En attendant, les 1.7 millions de comptes potentiellement touchés par la faille vont devoir réinitialiser leur mot de passe. Cela sera un processus qui va probablement s’étaler dans le temps.
Ce que j’en retiens:
- L’application permettait de stocker ses données de passeport pour faciliter les trajets entre les différents pays. Avec certaines de ces données ayant fuitées, il est possible que des identités soient usurpées ou que des passeport soient dupliqués. Air Canada indique :
“que le risque qu’une tierce personne parvienne à se procurer un passeport [en le nom de la victime] est faible si [la victime] détient toujours [son] passeport, [sa] preuve de citoyenneté et [ses] pièces d’identité.”
Je pense que considérer seulement le vol de passeport comme risque est incomplet. En effet, les attaques par ingénierie sociale vont être facilitées avec ce genre d’information disponible.
- Récemment de plus en plus d’applications proposent à leurs utilisateurs de mettre leurs données de passeport directement dans l’application afin de gagner du temps. C’est notamment le cas de Telegram récemment. Je ne pense pas que ce genre de service soit nécessaire donc je m’en passerai, mais les personnes qui décident de l’utiliser doivent être assurées que leurs données soient stockées en sécurité. Ce n’est pas la faute des victimes d’avoir mis leurs données dans l’application Air Canada c’est bien la responsabilité de l’entreprise qui n’a pas su les protéger de manière adéquate.
Sources:
Une nouvelle faille Windows 10 révélée sur Twitter
Une nouvelle faille a été découverte dans le Planificateur de tâches Windows.
Le 27 août 2018, l’utilisateur SandboxEscaper sur Twitter, poste un tweet au ton assez sec proposant un 0-day avec un lien vers un GitHub, contenant un fichier .RAR
Le problème existe dans une API utilisée par le programme qui ne vérifierait pas les privilèges de l’utilisateur. De ce fait, de nombreux abus pourraient être effectués, notamment une élévation de privilèges locale, c’est à dire devenir Administrateur sur le poste.
Est-ce la fin du monde ?
Probablement pas. La vulnérabilité nécessite tout de même un accès local à l’ordinateur pour être exploitée et d’exécuter quelques commandes au préalable.
Aussi, le code d’exploitation pour l’instant ne cible que les systèmes 64-bit et a des valeurs “codées en dur” ce qui signifie que le code d’exploitation ne fonctionne que sur des systèmes bien définis. Cependant on pourrait supposer que des personnes sont en train de travailler en ce moment pour porter le code sur des systèmes 32-bit.
De son côté Microsoft a annoncé que “Windows a un devoir d’enquêter sur les problèmes de sécurité reportés, et de mettre à jour proactivement les périphériques concernés.” Le correctif devrait arriver dans une prochaine mise à jour.
Quand bien même un correctif arrivera dans les semaines qui suivent, il ne faut pas oublier qu’entre le moment où le correctif est disponible et le moment où il est déployé sur un parc, il y a un delta considérable consacré au test de cette nouvelle mise à jour. Sans ce test, on se retrouve avec des mises à jour pouvant bloquer des postes comme la dernière mise à jour de McAfee (ce n’était pas la première fois).
Ce que j’en retiens :
- La manière dont la vulnérabilité a été annoncée est inconsciente. Le chercheur en sécurité a révélé sur Twitter une 0-Day (faille non connue de l’éditeur) et l’on ne sait pas s’il a prit la peine de prévenir l’éditeur avant. Heureusement cette faille ne propose pas de mécanisme d’exécution de code à distance comme EternalBlue où l’on se serait retrouvé avec de nouveaux rançongiciels.
- Cette histoire met en relief la valeur qui se dégage autour d’une vulnérabilité et du marché émergent qui se développe. Les Bug Bounty sont une plateforme (légale) permettant aux chercheurs en sécurité de déclarer des bugs aux entreprises contre une récompense. Cependant comme pour tout marché, il existe également un marché souterrain sur lesquels ces vulnérabilités se vendent beaucoup plus cher. Il est important pour les équipes sécurité de surveiller ces deux types de marché pour rester à la page des dernières attaques possibles.
- Ne pas surréagir à ce genre de vulnérabilités. Tous les systèmes ne sont pas affectés et les prérequis sont un peu lourds pour pouvoir l’exploiter. Le score CVSS, utilisé pour classer les vulnérabilités, est entre 6.4 et 6.8/10 ce qui classe la sévérité comme “Moyenne”.
Sources:
Un nouveau logiciel-espion sur téléphone ?
Cette semaine, un nouveau logiciel malveillant a été l’objet d’un retour sur expérience par les chercheurs de Kaspersky.
Ce logiciel, nommé BusyGasper est ce que l’on appelle un logiciel espion. Il a pour but de collecter des informations sur sa cible en restant relativement caché. La particularité de ce dernier est qu’il cible les téléphones Android.
Le logiciel ne serait pas si sophistiqué que cela, mais il présente de nombreuses caractéristiques innovantes comme le fait qu’il récupère des informations sur de nombreux senseurs comme les données relevées par l’accéléromètre, la localisation ou encore détecte quand l’utilisateur appuie sur son écran.
Un keylogger (logiciel permettant d’enregistrer les frappes claviers) est utilisé dans ce programme. En effet, le logiciel détecte les coordonnées du doigt de l’utilisateur et à l’aide de calculs, retrouve quelle touche a été frappée.
Autre composante surprenante pour ce type de logiciel malveillant : Le périphérique communique avec un serveur de contrôle à travers un canal IRC.
Un autre canal de commande existe par mél, le logiciel peut se connecter sur la boîte mél de l’utilisateur, récupérer les mails de commande, et ensuite télécharger les pièces jointes (généralement d’autres charges actives).
Enfin un dernier canal de commande existe par SMS. Si un SMS entrant contient “ 2736428734” ou “ 7238742800”, BusyGasper va exécuter diverses commandes et exfiltrer des données.
Ce logiciel-espion peut également récupérer les communications effectuées sur Facebook, WhatsApp, Fiber mais également les SMS.
Par ailleurs, les chercheurs ont trouvé un menu caché pour un contrôle manuel. L’opérateur doit appeler le 9909 depuis le terminal compromis. De cette interface, ce dernier peut exécuter des commandes ou encore accéder aux journaux du malware.
Enfin, le logiciel malveillant peut modifier les paramètres de luminosité de l’écran et détecter si le terminal est dans un état actif ce qui lui permet d’exécuter ses commandes lorsque le terminal est laissé sans surveillance et ce de manière presque invisible à l’oeil nu.
Au niveau de l’infrastructure, un serveur FTP venant d’un hébergeur gratuit a été trouvé témoignant de l’inexpérience probable des développeurs.
Le logiciel malveillant n’aurait était trouvé que sur 10 terminaux mobiles, tous venant de Russie. Pas de trace de harponnage ni hameçonnage, les chercheurs supposent que le logiciel a été installé manuellement.
Ce que j’en retiens:
- Les malwares se développent de plus en plus et ne ciblent plus forcément que les ordinateurs Windows. Les ordiphones ont de plus en plus de capacités de calculs et de données personnelles ce qui en font des cibles privilégiées pour des attaquants. Il faut s’attendre à voir le paysage des attaques évoluer dans les années qui arrivent.
- Les logiciels malveillants n’ont plus vraiment d’intérêt à détruire les systèmes d’information. Il est préférable pour un attaquant de faire un logiciel qui reste assez longtemps non détecté et qui exfiltre peu à peu des données plutôt que de tout détruire. Les attaques présentent des intérêts financiers pour les attaquants.
- Ce virus s’est installé directement sur les portables. La sécurité des terminaux ne se font pas qu’au niveau des logiciels. Ici, les logiciels malveillants ont été installés directement sur les mobiles. Il faut donc faire attention à ses affaires et ne pas laisser son téléphone sans surveillance !
Sources:
Ceci conclut le Débriefing Sécurité de cette semaine !
J’aurais besoin de vos avis concernant ce format afin de savoir ce qui vous plaît et ce qui peut encore être amélioré!
J’ai crée un formulaire que vous pouvez remplir à l’adresse suivante ! https://goo.gl/forms/9JnlsJrJhY8klu5O2
En attendant je vous souhaite une bonne semaine et on se retrouve la semaine prochaine pour un prochain Débriefing !
