Débriefing Sécurité de la semaine du 3 Septembre au 8 Septembre 2018

Aurelien
Aurelien
Sep 8, 2018 · 7 min read

Bonjour à tous ! Le débriefing Sécurité est de retour !

Au programme cette semaine :

  • Un problème de configuration dans des imprimantes 3D pourrait avoir un impact désastreux
  • Un logiciel-espion voit sa base de clients fuiter
  • La vulnérabilité de la semaine dernière déjà exploitée par un logiciel malveillant !

C’est le moment de débriefer !

[Vous pouvez retrouver le débriefing Sécurité de la semaine dernière en cliquant ici !]

Des imprimantes 3D accessibles en ligne sans authentification

Cette semaine, le SANS Internet Storm Center (Communauté de cybersécurité) a publié une alerte car plus de 3500 imprimantes 3D connectées à Internet utilisaient un logiciel de gestion nommé OctoPrint pour lequel l’authentification n’avait pas été configurée.

Du coup n’importe quel utilisateur qui accède à cette interface, peut interagir avec l’imprimante comme il le souhaite.

Pour ceux qui pensent qu’il serait quasiment impossible de trouver ces 3000 périphériques dans la marée d’appareils présents sur Internet, il existe un utilitaire nommé Shodan qui est un moteur de recherche pour les objets connectés.

Du coup il serait possible pour un attaquant de récupérer des anciens plans imprimés (ce qui représente un risque dangereux pour le business si le plan fait partie de la propriété intellectuelle de l’entreprise) ou de tenter de provoquer des dommages en lançant l’impression d’un plan particulier.

En réponse, les développeurs d’Octoprint ont déclaré:

Mettre votre instance OctoPrint sur Internet est une très mauvaise idée et je ne peux pas assez insister dessus. OctoPrint est connecté à une imprimante, complète avec des moteurs et des éléments chauffants. Si un attaquant n’importe où souhaite occasionner des dommages, il peut.”

Pour ceux qui ont une instance OctoPrint, assurez vous d’avoir activé l’authentification. Par contre l’authentification ne permet pas d’empêcher l’accès aux données disponibles en lecture seule, pour cela il faudra mettre en place des mesures supplémentaires comme un plug-in (OctoPrint anywhere) ou des manières d’accès plus développées (VPN, Reverse Proxy…)

Ce que j’en retiens:

  • Les développeurs d’Octoprint ont selon moi bien répondu. Ils admettent que leur programme est faillible s’il n’y a pas d’authentification et proposent des mesures pour se protéger et limiter l’accès extérieur.
  • Avant de mettre quelque chose sur Internet, demandez vous si vous en avez vraiment besoin et dites vous que si vous pouvez y accéder, n’importe qui d’autre le peut. Si cela représente un problème, mettez en place une mire d’authentification (forte ;))

Sources :

mSpy, Ironie du sort : Des millions de comptes utilisateurs d’une application d’espionnage ont fuité

Cette semaine, un chercheur en sécurité a découvert une base de données contenant des millions d’entrées d’utilisateurs provenant de l’application mSpy.

mSpy est une application mobile “de surveillance” permettant de savoir à n’importe quel moment où est le téléphone de la personne traquée. Il est également possible de récupérer l’historique internet, les SMS, les notes…

Quel est la différence avec un logiciel-espion ? Il n’y en a pas. Les utilisateurs sont sensés obtenir le consentement des personnes avant d’installer le logiciel sur leur terminal mobile. Cependant, on peut supposer que la plupart du temps, cette demande n’est pas faite.

Les données suivantes ont fuité :

  • Nom de compte
  • Mot de passe
  • Clé privée de chiffrement (clé permettant de voir les détails d’un terminal mobile utilisant le logiciel)
  • Identifiants iCloud et jeton d’authentification
  • Certains messages Facebook & WhatsApp

Ce logiciel a dans sa cible de marché des parents inquiets, qui souhaitent surveiller les actions de leurs enfants. Leur site affiche des témoignages de clients satisfaits comme le suivant :

Mais paradoxalement, cette fuite a contribué à réaliser l’effet inverse puisque désormais des milliers d’inconnus peuvent avoir accès à des informations permettant d’identifier les propriétaires des postes compromis, les posts sur les réseaux sociaux, bref la vie privée de ces enfants.

Personnellement je pars du principe que si l’on installe une porte dérobée sur un poste, n’importe qui pourra y accéder éventuellement.

La remontée de la brèche fût compliquée. Le chercheur en sécurité déclare s’être fait ignorer lorsqu’il a souhaité communiquer la faille aux créateurs.

Il a fallu que Brian Krebs les contacte pour avoir une réponse.

Le plus ironique ? Ce n’est pas la première fois que l’entreprise de “surveillance” est victime d’une faille. En 2015, la base de données s’était retrouvée à vendre sur le Dark Web. Et là encore, l’entreprise avait nié être victime d’une fuite pendant près d’une semaine. Pire encore, deux semaines après la faille, il était encore possible d’accéder à des captures d’écran des portables.

En résumé:

  • Cette entreprise possède un business model qui est selon moi peu éthique. Il consiste à jouer sur la peur des gens pour leur vendre un logiciel d’espionnage. Je ne dis pas avoir la réponse pour ces parents inquiets pour leurs enfants, mais je suggérerais plus de tenter de communiquer plutôt que de les espionner contre leur gré. De plus, il est évident que la confiance entre le surveillé et le surveillant sera d’autant plus rompue.
  • Le sujet à la mode en ce moment en Europe c’est le Règlement Général sur la Protection des Données. Si des clients européens ont eu leurs données qui ont fuité, l’entreprise va devoir communiquer sur cette fuite. Et, si les agences de protection des données décident de sanctionner l’entreprise, cette dernière s’expose à une amende entre 4% du C.A. mondial et 20 millions d’euros (le plus cher s’applique).
  • Pour les personnes inquiètes sur la sécurité de leur portable, l’ANSSI a publié un guide visant à sécuriser ses terminaux mobiles. Vous pouvez appliquer ces mesures pour augmenter le niveau de sécurité de vos terminaux.

PowerPool : De la vuln. à l’exploit

Combien faut-il de jours afin qu’une faille soit exploitée ? Deux, visiblement.

La semaine dernière, nous avions évoqué une nouvelle faille “0-day” sur Windows 10 qui avait été révélée sur Twitter. Il aura fallu deux jours pour que des attaquants développent un code malveillant à partir de cette vulnérabilité.

Pour rappel, cette vulnérabilté permet une escalation de privilèges locale. Un utilisateur avec des droits restreints est en mesure avec cette faille de lancer un processus ayant des droits d’administrateurs.

Les chercheurs d’ESET (un éditeur d’antivirus) ont réalisé une étude de ce code malveillant.

Le logiciel était transmis via des campagnes de harponnage. Généralement les victimes recevaient un mail avec une pièce jointe. La pièce jointe était composée de deux exécutables Windows.

Le premier exécutable établit la persistance du code malveillant et récupère des informations sur le poste compromis. Ensuite ces données sont exfiltrées vers un serveur de contrôle.

Le deuxième prend une capture d’écran du PC et l’envoie vers le serveur de contrôle.

Si les attaquants trouvent le poste intéressant, la phase deux de l’attaque commence. Le premier exécutable vient récupérer un code qui utilise la vulnérabilité décrite pour élever ses privilèges puis exécuter d’autres logiciels afin de récupérer des identifiants de machines, se connecter à d’autres postes…

La campagne pour l’instant ne fait que cibler des entités en particulier selon les équipes de recherche.

Ce que j’en retiens :

  • Il y a clairement un problème sur la façon de divulguer ce genre de failles. Le fait de distribuer ce genre de vulnérabilités sur Internet sans s’assurer que l’éditeur publie un correctif rend vulnérable un très grand nombre d’utilisateurs. De plus, le code source d’exploitation avait été distribué également permettant aux attaquants de réduire considérablement le temps de développement du code malveillant. Ils n’avaient qu’à changer la charge active.
  • Ce genre d’attaques démontre que les attaquants réalisent également une veille technologique et qu’ils n’hésitent pas à sauter sur des opportunités afin d’agrandir leur arsenal d’outils.
  • Toujours pas de patch pour l’instant provenant de Microsoft mais il existe des solutions proposées par le Cert-CC ou encore 0patch pour se protéger du risque. Aucune CVE n’a encore été attribuée à cette faille.

Ceci conclut la version 1.0 du Débriefing Sécurité.

Ça a été un véritable plaisir de faire ça pendant deux mois même si le rythme était assez difficile à tenir.

Des retours que j’ai obtenu, visiblement ça vous a également plu puisque ce débriefing a reçu la note moyenne de 8.1/10 !

Les points forts de ce format sont sa structure et sa visée pédagogique. Le but que j’avais en réalisant cette newsletter était d’assurer une veille technologique et de tenter de montrer d’une manière plus pragmatique les impacts de la Sécurité Informatique dans notre monde et donner des pistes pour commencer à s’en défendre.

Certains d’entre vous ont par ailleurs suggéré que j’étende ce Débriefing Sécurité en y incluant également des parties sur des conseils ou des avancées dans le domaine. Ce sont des pistes intéressantes à suivre, j’aimerais également diversifier mon format et ne pas faire que des articles de veille.

Pour l’instant je vais prendre une pause, afin de me ressourcer et de réfléchir à la suite de ce blog.

Je remercie mon relecteur grâce à qui j’ai pu améliorer considérablement la qualité de mes articles notamment au niveau de l’orthographe et de la syntaxe et je vous remercie, les lecteurs, d’avoir suivi cette expérience de deux mois !

Passez une bonne semaine, faites ce qui vous plaît et on se retrouvera une prochaine fois !

— Aurélien

Aurelien

Written by

Aurelien

Etudiant en Sécurité Informatique

Welcome to a place where words matter. On Medium, smart voices and original ideas take center stage - with no ads in sight. Watch
Follow all the topics you care about, and we’ll deliver the best stories for you to your homepage and inbox. Explore
Get unlimited access to the best stories on Medium — and support writers while you’re at it. Just $5/month. Upgrade