Adacis vous propose un condensé de l’actualité dans sa newsletter, dont nous avons un peu changé le format. On espère que ça vous plaira ! Toute la Team Adacis vous souhaite une bonne semaine.
Au menu:
News
1/05/2020 https://www.fairphone.com/en/2… : Fairphone, l’entreprise qui fabrique un téléphone durable et responsable, vient d’annoncer un nouveau partenariat avec la /e/ Foundation pour adapter /e/OS sur le Fairphone 3. /e/OS est un système d’exploitation mobile respectant la vie privée des utilisateurs.
4/05/2020 https://www.ssi.gouv.fr/guide/… : L’ANSSI publie un guide de recommandations sur la sécurisation des système de contrôle d’accès physique et de vidéoprotection.
4/05/2020 https://www.telegraph.co.uk/te… : Il y a tout juste 20 ans sévissait le premier virus informatique de grande ampleur, ILOVEYOU. Écrit en VBS, ce dernier était capable de se répandre automatiquement en utilisant les fonctionnalités des carnets d’adresse du client Outlook Express, alors largement utilisé par la majorité des personnes connectées à Internet. The Telegraph a mené l’enquête et a remonté la piste jusqu’à son auteur, situé à Manille dans les Philippines.
7/05/2020 https://www.silicon.fr/sill-20… : L’État a mis à jour son socle de logiciels libres recommandés aux administrations.
Cet article fait un point sur les ajouts et les retraits par rapport aux dernières éditions. On pourra noter l’ajout de la plateforme Remediate The Flag (https://github.com/sk4ddy/remediatetheflag) pour s’entraîner à la sécurité des développements.
7/05/2020 https://www.cybermalveillance…. : Nouveau service : la brigade numérique de la Gendarmerie nationale apporte son soutien aux usagers professionnels de Cybermalveillance.gouv.fr. Depuis le 20 avril, Cybermalveillance.gouv.fr complète son offre de service en permettant à ses usagers professionnels (entreprises, associations, collectivités) d’être mis directement en relation depuis sa plateforme avec la brigade numérique (BNUM) de la Gendarmerie nationale.
11/05/2020 https://cyberguerre.numerama.c… : Le retour des attaques DMA (Direct Memory Access), cette fois en réalisant à chaud un dump du firmware du contrôleur Thunderbolt de la machine cible, puis en patchant ce dernier avant de le réinjecter dans la puce d’origine. Une fois le niveau de sécurité abaissé, l’attaquant peut utiliser l’interface Thunderbolt de la machine (ex: USB-C) pour écrire directement dans la mémoire de la cible avec PCILeech et, par exemple, y injecter un module malveillant (comme un bypass d’authenfication).
15/05/2020 https://www.cybermalveillance…. : Campagne nationale 2020 TV-médias en partenariat avec le groupe France Télévisions : « Les réflexes essentiels pour votre sécurité numérique ». Dans un contexte de crise sanitaire, Cybermalveillance.gouv.fr lance en partenariat avec le groupe France Télévisions une campagne de sensibilisation aux risques numériques à destination du grand public.
15/05/2020 https://www.zdnet.com/article/… : L’APT « REvil » menace un cabinet d’avocat de divulguer des informations compromettantes, notamment sur Donald Trump, obtenues via le ransomware Sodinokibi.
15/05/2020 https://cyberguerre.numerama.c… : Le système d’Elexon a été touché par une cyberattaque. Cette entreprise contrôle l’offre et la demande et dirige les flux du réseau électrique britannique : sa paralysie aurait donc pu entraîner de nombreux dysfonctionnements sur le réseau.
16/05/2020 https://www.zataz.com/pirates-… : Plusieurs présumés pirates ont été arrêtés en France pour avoir dérobé de l’argent aux distributeurs automatiques de billets. Ils auraient utilisé une vieille technique de 2010, appelée jackpotting, pour ponctionner l’argent sans rien toucher.
18/05/2020 https://www.clubic.com/antivir… : Aussi appelé filoutage ou « phishing » en anglais, l’hameçonnage est un ensemble de techniques permettant à des fraudeurs de mettre la main sur les données personnelles de leurs victimes afin d’usurper leur identité. Cet article passe en revue les méthodes d’hameçonnage les plus courantes, montre comment les reconnaître et donne des conseils pour s’en prémunir. Nous vous expliquerons également la bonne réaction à avoir suite à une attaque de ce type.
19/05/2020 https://www.theregister.co.uk/… : EasyJet a été victime d’une cyberattaque, et les données de 9 millions de ses clients ont été dérobées. Parmi les victimes, 2000 d’entre elles ont également vu leur informations bancaires dérobées. La compagnie invite à la prudence concernant toute forme de communication d’escrocs qui chercheraient à se faire passer pour cette dernière grâce à la quantité d’informations récoltées.
19/05/2020 https://www.cybermalveillance…. : La professionnalisation et la complexité des cyberattaques impliquent la nécessité d’un accompagnement adapté des publics par des professionnels de confiance. Afin de garantir un niveau de qualité et d’offrir une meilleure lisibilité des prestations et services aux victimes, Cybermalveillance.gouv.fr lance le label ExpertCyber de reconnaissance de l’expertise numérique des professionnels.
20/05/2020 https://www.ssi.gouv.fr/partic… : L’ANSSI publie un guide pratique pour comprendre les enjeux et les bases du fonctionnement de la cryptographie.
20/05/2020 https://www.cnil.fr/fr/surveil… : Surveillance des examens en ligne : les rappels et conseils de la CNIL. Dans le contexte de crise sanitaire liée au COVID-19, certains établissements d’enseignement supérieur publics et privés souhaitent notamment recourir à des outils numériques de télésurveillance afin d’organiser des examens à distance. La CNIL rappelle les règles applicables et propose des conseils pour les établissements et les étudiants concernés.
20/05/2020 http://www.nxnsattack.com/shaf… : Une vulnérabilité DNS peut provoquer des attaques DDoS. Cette nouvelle attaque, qui a été surnommée NXNSAttack, impacte les serveurs DNS récursifs et le processus de délégation DNS. Outre la description de l’attaque, le document propose des mesures afin de réduire l’impact de l’exploitation de la vulnérabilité.
22/05/2020 https://www.bitdefender.com/fi… : Bitdefender détaille dans cet article une campagne du groupe Chafer APT, vraisemblablement iranien, contre l’Arabie saoudite et le Koweit.
25/05/2020 https://www.wired.com/story/co… : En mai 2017, WannaCry faisait son apparition avec les dégâts qu’on lui connaît. Plusieurs heures après son apparition, Marcus Hutchins, un jeune spécialiste des malwares, stoppait la propagation de ce dernier. Alors élevé au rang de héros des temps modernes, il souleva la curiosité du FBI, qui l’arrêtera quelques mois plus tard à Las Vegas lors de son retour de la DEFCON pour une autre affaire. Le magazine WIRED dresse un portrait détaillé de l’individu et revient en détail sur cette histoire.
25/05/2020 https://www.vice.com/en_us/art… : Vice et Motherboard reviennent sur le leak d’iOS 14, le futur système d’exploitation pour iPhone attendu pour Septembre 2020. C’est la première fois qu’un OS entier se voit ainsi distribué dans une version destinée aux développeurs, ce qui donne quelques longueurs d’avance aux hackers et chercheurs pour y déceler des vulnérabilités. Le vol d’un iPhone 11 dans une usine chinoise serait à l’origine de la fuite. Dans un même temps, Zerodium a arrêté d’acheter des vulnérabilités affectant iOS.
26/05/2020 https://www.inria.fr/fr/lappli… : L’INRIA s’associe avec la plateforme YesWeHack, pour proposer un bug bounty autour de l’application StopCovid. Pour mémoire, YesWeHack est une plateforme française de hackers éthiques qui permet de sécuriser des applications/sites internet contre rémunération.
26/05/2020 https://blog.yeswehack.com/la-… : Un autre article sur le sujet : la France fait appel aux hackers de YesWeHack pour sécuriser l’application StopCovid.
Vulnérabilité
1/05/2020 https://thehackernews.com/2020… : Une vulnérabilité (CVSS Score 10) permet la prise de contrôle à distance en root sur les produits SaltStack. À patcher en urgence.
1/05/2020 https://source.android.com/sec… : Il est nécessaire de mettre à jour les téléphones Android dès que les constructeurs le permettent. Des vulnérabilités critiques sont corrigées. Les bulletins de sécurité d’Android sont mensuels, et rappellent le nécessaire MCS de tous les équipements.
11/05/2020 https://www.bleepingcomputer.c… : Sept vulnérabilités découvertes sur le matériel Thunderbolt d’Intel pourraient permettre de voler des données sur les disques durs. Il est recommandé de désactiver Thunderbolt dans le BIOS ou de suivre ses recommandations. Utilisez l’outil Spycheck (https://thunderspy.io/) pour vérifier si vous êtes vulnérable.
18/05/2020 https://medium.com/bugbountywr… : Trois vulnérabilités affectant les NAS de la marque QNAP viennent d’être rendues publiques. Combinées ensemble, elles permettent d’obtenir un accès root à distance sur les équipements.
Un peu plus de 300 000 NAS de la marque seraient affectés.
19/05/2020 https://www.qualys.com/2020/05… : En 2005, trois vulnérabilités furent découvertes dans Qmail et jamais corrigées car elles étaient considérées comme inexploitables par défaut (il fallait allouer plus de 4GB de mémoire sur des architectures 32bits). Or aujourd’hui Qualys a redécouvert ces failles et pu maintenant exploiter l’une d’elle à distance dans une installation par défaut. Comme quoi il faut toujours chercher à corriger une faille.
Protection des données
1/05/2020 https://www.cnil.fr/fr/covid-1… : COVID-19 : les traitements de données associés aux opérations de distribution de masques.
Dans le contexte actuel de crise sanitaire, les collectivités sont appelées à procéder à des distributions massives de masques auprès de leurs administrés. La CNIL livre ses recommandations quant à la mobilisation de fichiers existants et la constitution de nouveaux traitements de données.
7/05/2020 https://www.cnil.fr/fr/coronav… : Coronavirus (COVID-19) : les rappels de la CNIL sur la collecte de données personnelles par les employeurs. Dans le contexte de crise sanitaire liée au coronavirus, particulièrement dans la perspective d’une phase de « déconfinement », particuliers et professionnels s’interrogent sur les mesures à mettre en œuvre aux fins de limiter la propagation du virus et d’assurer en toute sécurité la reprise de l’activité, ainsi que sur les conditions dans lesquelles les DCP (santé) peuvent être utilisées.
13/05/2020 https://www.cnil.fr/fr/la-cnil… : La CNIL publie son registre RGPD. Comme tout responsable de traitements de données personnelles, la CNIL tient un registre détaillant ses activités de traitement. Dans un souci de transparence et de pédagogie, elle rend ce registre public en l’accompagnant d’explications.
14/05/2020 https://www.cnil.fr/fr/tout-sa… : Tout savoir sur le décret « cadre NIR » dans le champ de la protection sociale. L’utilisation du numéro d’inscription des personnes (NIR) est particulièrement encadrée en raison de la sensibilité particulière de cette donnée unique pour chaque citoyen français. Le décret « cadre NIR » définit les catégories d’acteurs concernés et les finalités des traitements pour lesquels l’utilisation du NIR est autorisée, notamment dans le champ de la protection sociale.
19/05/2020 https://www.cnil.fr/fr/lanonym… : L’anonymisation rend impossible l’identification d’une personne à partir d’un jeu de données et permet, ainsi, de respecter sa vie privée. La CNIL fait le point sur les techniques utilisables et sur leurs enjeux.
19/05/2020 https://www.safetydetectives.c… : 250 000 comptes d’utilisateurs de la société brésilienne de cosmétique Natura ont été volés. Ces données étaient hébergées aux USA sur des serveurs d’Amazon. Le nombre d’enregistrements volés est estimé à 192 millions pour 270 Gb de données. Le nombre de données bancaires volées est évalué à 40000 comptes.
Outil
3/05/2020 https://labs.bitdefender.com/2… : Outil de déchiffrement pour le ransomware Shade (Troldesh).
7/05/2020 https://labs.bitdefender.com/2… : Outil de déchiffrement pour le ransomware GoGoogle.
15/05/2020 https://www.lemagit.fr/conseil… : Tixeo : une alternative française à l’application de visioconférence Zoom, massivement utilisée dans le monde en temps de confinement pour le télétravail et autres retrouvailles. Contrairement aux autres applications, Tixeo est chiffrée de bout en bout et bénéficie du visa de sécurité de l’ANSSI « France Cybersecurity ».
30/05/2020 https://www.immuniweb.com : Un outil libre d’exposition sur le dark Web, lié à d’autres utilitaires : scan de site Web, domain squatting… Une première approche de l’exposition du système d’information.
Menace
7/05/2020 https://www.cert.ssi.gouv.fr/c… : Menace : SILENCE est un groupe de cybercriminels supposément russophone, actif depuis 2016, et ciblant des institutions financières à travers le monde. Depuis ses débuts, leur degré de sophistication s’est accru, de sorte qu’ils utilisent désormais une infrastructure d’attaque qu’ils ont eux-même créé afin d’opérer des retraits frauduleux aux distributeurs automatiques de billets. Le CERT-FR met à disposition un rapport et des indicateurs de compromission.
21/05/2020 https://news.sophos.com/en-us/… : Sophos met en lumière la dernière trouvaille des auteurs du ransomware Ragnar Locker pour échapper à la détection, à savoir déployer une machine virtuelle et s’y exécuter ! Le ransomware installe VirtualBox silencieusement, créé une VM comportant le ransomware, et y attache tous les disques du système en tant que partage réseau. Une fois démarrée (cachée de l’utilisateur), le ransomware s’exécute dans la VM et chiffre le contenu des partages, à l’abri de tout système de sécurité de l’hôte !
25/05/2020 https://www.cert.ssi.gouv.fr/c… : Le code malveillant Dridex : origines et usages. Dridex est un code malveillant apparu en juin 2014 et qui a connu de nombreuses évolutions dans ses fonctionnalités comme dans ses usages. Le rapport suivant fournit une synthèse de la connaissance acquise par l’ANSSI sur ce code et ses opérateurs afin d’aider à s’en protéger. Des indicateurs de compromission sont disponibles sur la page CERTFR-2020-IOC-003.
Guide
25/05/2020 https://www.ssi.gouv.fr/upload… : Nouveau guide de l’ANSSI : Règles de programmation pour le développement sécurisé de logiciels en langage C. Ce guide définit un ensemble de règles, de recommandations et de bonnes pratiques dédiées aux développements sécurisés en langage C.
26/05/2020 https://www.cisa.gov/publicati… : Guide de bonnes pratiques sur la sécurité des SI industriels synthétisé en 2 pages, simple et efficace.
