Adacis vous propose un condensé de l’actualité dans sa newsletter, dont nous avons un peu changé le format. On espère que ça vous plaira ! Toute la Team Adacis vous souhaite une bonne semaine.
Au menu:

News

2/04/2020 https://insee.fr/fr/statistiqu… : Chaque année, l’INSEE réalise une enquête sur les technologies de l’information et de la communication (TIC) dans les entreprises. Cette année, la publication met l’accent sur la sécurité des S.I. On apprend par exemple qu’un tiers des grandes sociétés a vécu un incident de sécurité informatique en 2018 ou que neuf sociétés sur dix agissent pour leur sécurité informatique.
2/04/2020 https://www.ryanpickren.com/we… : Ce billet est une présentation technique sur la façon dont Ryan Pickren a découvert plusieurs bugs de type « zero-day » dans Safari iOS/MacOS.
4/04/2020 https://www.theregister.co.uk/… : Certains composants électroniques dans les Boeing 787 conservent des données erronées en mémoire. Chaque avion doit être « rebooté » tous les 51 jours pour réinitialiser ces états.
6/04/2020 https://www.theregister.co.uk/… : Après le coup d’arrêt prononcé contre l’économie américaine, les inscriptions sur les listes de chômage pour bénéficier d’aides ont fait un bon spectaculaire et jamais anticipé auparavant. Seule grosse ombre au tableau, les systèmes de gestion de ces demandes, développés il y a plusieurs dizaines d’années, fonctionnent en COBOL, et les ressources compétentes dans ce domaine sont aujourd’hui une espèce rare. Le gouverneur du New Jersey lance un appel à l’aide pour faire face à cette dette technique.
7/04/2020 https://www.recordedfuture.com… : This report covers tactics and techniques tagged in Recorded Future® Platform sandbox submissions as mapped to the MITRE ATT&CK® framework over 2019. This report is designed for those familiar with ATT&CK, with particular relevance to security teams that rely on the framework to inform red and blue team exercises, penetration testing, threat hunting, and various security protocol prioritizations.
10/04/2020 https://labs.bitdefender.com/2… : Souvenez-vous des botnets Mirai, Qbot et Reaper : l’année dernière un nouveau botnet, Dark Nexus, a fait son entrée. Désormais, on en sait plus sur son fonctionnement. Ce document montre pourquoi ce botnet est plus robuste que les précédents et avec quels moyens il peut effectuer un DDoS en passant inaperçu.
13/04/2020 https://framablog.org/2020/04/… : #Covid19 – comment aider la population en stoppant la propagation du virus, mais sans rogner sur les libertés individuelles ? Présentation du protocole DP-3T.
9/04/2020 https://www.eff.org/deeplinks/… : Twitter a mis à jour sa politique sur la vie privée, mais pas dans le bon sens pour certains.
Twitter a supprimé la possibilité de refuser le partage d’informations avec leurs partenaires commerciaux.
Cela s’applique pour tous les utilisateurs sauf les européens, privilégiés grâce au RGPD qui empêche le réseau social de supprimer ce droit. L’EFF aimerait une loi forte pour la protection de la vie privée.
20/04/2020 https://cyber-risques.news/dec… : Malgré la pandémie, l’annulation de tous les événements professionnels et la désorganisation des services postaux, ce premier numéro de Cyber-Risques est paru, alors  profitons-en ! Nous vous proposons l’édition PDF complète de ce numéro à découvrir, à lire, à faire connaître et à commenter afin de préparer un numéro deux qui réponde si possible encore mieux à vos attentes.
20/04/2020 https://www.zataz.com/decouver… : Après la France et l’exposition « Guerres secrètes », le musée de Londres a proposé une immersion dans les petits papiers du Government Communications HeadQuarters (GCHQ), le Quartier Général des Communications du Gouvernement.
22/04/2020 https://www.acteurspublics.fr/… : Après une période de flottement liée à l’urgence de la crise et à la mise en place soudaine du télétravail pour la plupart des agents publics, la Dinum a finalement produit un document pour aider les administrations et leurs agents à choisir les bons outils de visioconférence. Un éclairage bienvenu, alors que la polémique enfle semaine après semaine autour de l’outil américain grand public et très populaire Zoom.
22/04/2020 https://www.pcgamer.com/team-f… : Le code source des jeux Team Fortress 2 et Counter Strike : Global Offensive a été publié sur Internet et s’échange sur certains sites de torrent. Le moteur de jeu Source de l’éditeur Valve se retrouve ainsi disponible et certains craignent déjà que des hackers mal intentionnés l’étudient pour développer des exploits afin d’exécuter du code à distance sur les ordinateurs de joueurs mais aussi sur les serveurs hébergeant les parties.
23/04/2020 https://www.hackread.com/hacke… : Après avoir détourné l’équivalent de 25 millions de dollars en cryptomonnaies d’une compagnie de prêts, un hacker a décidé de rendre la totalité du montant dérobé à l’entreprise. Il semblerait que ce dernier n’ait pas été très prudent pour couvrir ses traces et ait laissé traîné des indices de son passage pouvant l’incriminer, notamment son adresse IP ! Un acquis de conscience sans doute lié à sa nouvelle notoriété bien trop publique à son goût après que la police singapourienne ait été prévenue.
9/04/2020 https://usa.visa.com/content/d… : Avec la fin de vie de Magento 1.x annoncée initialement en novembre 2018 puis repoussée en juin 2020, VISA urge les e-commerce de migrer au plus vite sur Magento 2.x afin de limiter les risques potentiels liés aux fraudes à la carte bancaire (dus à l’absence de patch de sécurité passé cette date). VISA rappelle au passage qu’il s’agit d’une exigence PCI-DSS d’assurer le maintien en condition de sécurité et la mise à jour des systèmes présents dans le périmètre.
24/04/2020 https://www.ssi.gouv.fr/actual… : Du vendredi 24 avril au lundi 4 mai 2020, une quarantaine d’épreuves seront mises en ligne pour cette première phase de présélection de France Cybersecurity Challenge (FCSC). Etes-vous prêts à relever le défi ?
16/04/2020 https://www.us-cert.gov/ncas/a… : Les cyber-menaces nord-coréennes font l’objet d’une attention particulière. Les États-Unis offrent des récompenses allant jusqu’à 5 millions de dollars pour des informations sur les hackers de ce pays.
22/04/2020 https://thehackernews.com/2020… : Des vulnérabilités critiques dans le produit d’IBM Data Risk Manager ont été divulguées dans un POC. Notamment un bypass de l’authentification permettant un reset du mot de passe du compte administrateur.
30/04/2020 https://fr.safetydetectives.co… : Fuite de données pour le journal Le Figaro ! Ce dernier a en effet laissé une base de données Elasticsearch exposée sur Internet sans protection. Celle-ci contient une grande quantité de logs métiers et recense également des enregistrements contenant des données personnelles détaillées sur plusieurs milliers d’utilisateurs (nom complet, adresse mail et mot de passe … en clair). Le journal n’a pas encore commenté et on ne connait pas le nombre de personnes ayant eu accès à cette base.
30/04/2020 https://www.it-connect.fr/fail… : Faille – Teams : un GIF malveillant peut récupérer vos identifiants !
Les chercheurs en sécurité de chez CyberArk ont découvert une vulnérabilité dans l’outil collaboratif Microsoft Teams, touchant à la fois la version web et le client lourd.
23/04/2020 https://ubuntu.com/blog/ubuntu… : La nouvelle version de la distribution Ubuntu – 20.04 LTS (Focal Fossa) – est arrivée ! Cet article présente dans les grandes lignes les nouveautés qui y ont été intégrées.

Vulnérabilité

2/04/2020 https://theintercept.com/2020/… : Zoom ne met pas en oeuvre du chiffrement de bout en bout, contrairement aux annonces faites.
9/04/2020 https://www.cert.ssi.gouv.fr/a… : Multiples vulnérabilités dans Mozilla Firefox – Le 3 avril 2020, Mozilla a publié des correctifs pour deux vulnérabilités affectant son navigateur Firefox. La firme annonce que ces deux vulnérabilités, qui permettent une exécution de code arbitraire à distance, sont activement exploitées dans le cadre d’attaques ciblées.
14/04/2020 https://www.us-cert.gov/ncas/c… : Intel vient de publier plusieurs mises à jour de sécurité corrigeant des failles sur certains de leur produits.
22/04/2020 https://blog.zecops.com/vulner… : Les chercheurs de chez ZecOps ont observé qu’une vulnérabilité « zero-click » affectant les utilisateurs du système mobile iOS est activement exploitée par des acteurs malveillants. La vulnérabilité se situe au niveau du processus de gestion des emails, et ne nécessite aucune interaction pour être exploitée. Celle-ci autorise l’exécution de code à distance dans le contexte du client mail (atteinte à la confidentialité), mais pourrait s’avérer plus dangereuse combinée à un exploit kernel.
22/04/2020 https://thehackernews.com/2020… : Un autre article sur ces vulnérabilités de l’application Mail concernant les produits Apple.
22/04/2020 https://www.vice.com/en_us/art… : Zoom – Une faille critique 0-day visant l’outil de visioconférence Zoom est présente sur le marché noir (en vente pour 500 000$).
22/04/2020 https://thehackernews.com/2020… : Une faille nommée Starbleed mise en évidence dans les puces FPGA de Xilinx.
9/04/2020 https://securelist.com/unkilla… : Comment fonctionne xHelper Malware sous Android ? Particularité : il se réinstalle même après la réinitialisation usine de votre smartphone.

Protection des données

3/04/2020 https://www.cnil.fr/fr/liso-27… : Présentation de l’ISO 27701, une norme internationale pour la protection des données personnelles.
Elle décrit la gouvernance et les mesures de sécurité à mettre en place pour les traitements de données personnelles, en étendant deux normes bien connues de la sécurité informatique. Cette norme a été rédigée au niveau international, avec les contributions d’experts provenant de tous les continents et la participation de nombreuses autorités de protection des données et notamment des experts de la CNIL.
9/04/2020 https://www.cnil.fr/fr/covid-1… : COVID-19 : les conseils de la CNIL pour utiliser les outils de visioconférence.
15/04/2020 https://www.cnil.fr/fr/les-reg… : Des registres communaux d’alerte et d’information des populations : les situations d’urgence (inondation, canicule, incident nucléaire, épidémie…) nécessitent l’utilisation de moyens d’alerte et d’information des populations par les autorités compétentes. Pour faciliter l’assistance aux personnes en danger, les maires peuvent constituer des registres nominatifs, qui ne doivent pas être prétextes à la constitution de « fichiers de population ». La CNIL rappelle les règles applicables.
15/04/2020 https://www.cnil.fr/fr/publica… : Publication du référentiel relatif à la gestion des ressources humaines : La CNIL a adopté le référentiel relatif aux traitements de données personnelles mis en œuvre aux fins de gestion des ressources humaines. Ce référentiel, qui s’adresse à l’ensemble des employeurs privés et publics, s’inscrit dans la continuité de la norme simplifiée NS-46 qui n’a plus de valeur juridique depuis l’entrée en application du RGPD.
22/04/2020 https://www.bleepingcomputer.c… : Zoom – Environ 530 000 comptes Zoom en vente sur un forum du marché noir, ces entrées contiennent les informations suivantes : adresses email, mot de passe, meeting URL et la clé HostKey. C’est l’occasion de rappeler la nécessité d’utiliser un mot de passe unique pour chaque service utilisé. Ceci permet de limiter les risques d’atteinte à plusieurs services si l’un d’entre eux venait à être compromis.
26/04/2020 https://www.latribune.fr/techn… : Amende record mais sans impact sur le business model de Facebook.

Outil

22/04/2020 https://github.com/bkimminich/… : OWASP – Mise à jour de la machine vulnérable de l’OWASP Juicy Shop en version 10.2.0 : mode tutoriel, nouveau challenge OSINT ainsi qu’un suport expérimental ARM.

Menace

14/04/2020 https://dailygeekshow-com.cdn…. : Dharma est l’un des logiciels ransomware les plus dangereux – mais aussi l’un des plus rentables – qui existent actuellement dans le cyberespace. Les spécialistes en la matière viennent de découvrir que ce rançongiciel peut être acquis pour 2000 euros sur des forums russes.
17/04/2020 https://www.zdnet.fr/actualite… : Des cybercriminels auraient reproduit 725 bibliothèques Ruby en tous points similaires aux versions officielles mais infectées de script malveillants visant à détourner des transactions de cryptomonnaies. Il semblerait que ces attaquants n’en soient pas à leur premier coup d’essai pour ce type de fraude. Toutes les bibliothèques ont été supprimées par l’équipe de sécurité de RubyGems.
22/04/2020 https://www.cybermalveillance…. : Vous avez reçu un message (mail) d’un supposé pirate anonyme ou « hacker » qui prétend avoir piraté votre ordinateur ? Il vous menace de publier des images compromettantes prises à votre insu avec votre webcam et vous demande une rançon en monnaie virtuelle ? Pas de panique, ce ne sont que des tentatives d’arnaques au chantage à la webcam prétendue piratée !

Guide

2/04/2020 https://www.eff.org/deeplinks/… : L’EFF publie un guide pour améliorer la sécurité de Zoom.
3/04/2020 https://www.ssi.gouv.fr/guide/… : Recommandations de sécurité relatives à TLS : Mise à jour du guide !
Ce document fournit des recommandations pour un déploiement et une utilisation sécurisés de TLS. Il prend notamment en compte l’évolution du protocole TLS, dans sa version 1.3, qui a été mise à jour dans la RFC 8446.
22/04/2020 https://www.cybermalveillance…. : Pour informer et sensibiliser les publics sur les menaces numériques, le dispositif Cybermalveillance.gouv.fr met à disposition divers contenus thématiques. Des supports variés pour comprendre les cybermenaces et savoir comment y réagir, ainsi que des bonnes pratiques à adopter pour assurer votre sécurité numérique.
22/04/2020 https://github.com/appsecco/at… : Introduction aux attaques et à la sécurisation des conteneurs docker et clusters Kubernetes. Une ressource entièrement open-source contenant une documentation, des machines virtuelles Docker ainsi qu’un cluster Kubernetes (à déployer sur Google Cloud) volontairement vulnérables pour s’entrainer aux attaques et à leur sécurisation.
23/04/2020 https://owasp.org/www-project-… : OWASP – Une nouvelle version de l’Owasp Testing Guide (OTP) est publiée par l’OWASP. Le guide devient le Web Security Testing Guide (OSTG) dans sa version v4.1.
21/04/2020 https://media.defense.gov/2020… : La NSA et l’ASD proposent un guide de détection et de prévention contre les web shell : contrôle d’intégrité des répertoires, détection de requêtes suspectes, règles YARA, …