Articles

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSL

De nouvelles vulnérabilités concernant OpenSSL ont été rendues publiques (CVE-2016-0701 et CVE-2015-3197).

La première vulnérabilité (CVE-2016-0701) permet à un attaquant de pouvoir récupérer des informations essentielles au décryptage de la clé de chiffrement en utilisant des nombres premiers dit « non sûr » dans l’algorithme de Deffie-Hellman.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.2. Les versions en 1.0.1 ne sont pas affectées par cette vulnérabilité.

Un correctif a été apporté dans la version 1.0.2f.

La deuxième vulnérabilité (CVE-2015-3197) permet à une personne malveillante de négocier avec le chiffrement SSLv2 et de compléter la jonction SSLv2 même si la méthode de chiffrement SSLv2 a été désactivée sur le serveur.
Le protocole SSLv2 ne doit pas être désactivé via le paramètre SSL_OP_NO_SSLv2 pour que la vulnérabilité soit exploitée.
L’attaquant peut alors intercepter les communications.

Les versions affectées par cette vulnérabilité sont toutes les versions 1.0.1 et 1.0.2.
Solution :
•    mettre à jour vers 1.0.1r pour les utilisateurs de la version 1.0.1
•    mettre à jour vers 1.0.2f pour les utilisateurs de la version 1.0.2

Le CERT Cyberprotect recommande à tous les utilisateurs de OpenSSL de mettre à jour leur version de OpenSSL en version 1.0.1r ou 1.0.2f.

Références :
https://www.openssl.org/news/secadv/20160128.txt
https://www.kb.cert.org/vuls/id/257823

Répertoire de téléchargement des dernières versions de OpenSSL :
https://www.openssl.org/source/

[Bulletin d’Alerte Cyberprotect] Vulnérabilité critique sur OpenSSH

Une vulnérabilité critique dans le client OpenSSH a été rendue publique (CVE-2016-0777).

Un pirate qui aurait compromis un serveur peut récupérer toutes les clés nécessaires pour se connecter à d’autres serveurs que possèderaient le client OpenSSH.

La vulnérabilité concerne les versions OpenSSH 5.4 et supérieures

Nous vous invitons à mettre à jour OpenSSH vers sa version la plus récente (après avoir vérifié la compatibilité avec les applications utilisées) –>  http://www.openssh.com/

Il est également possible d’appliquer la modification suivante sur vos machines pour remédier à la vulnérabilité :

dans le fichier ‘/etc/ssh/ssh_config

ajoutez la ligne suivante :

UseRoaming no

L’option existe mais n’est pas documenté.

ATTENTION, ne pas placer cette option dans la configuration du serveur (sshd_config).

Pensez à redémarrer le service SSH.

Plus d’informations sur http://seclists.org/oss-sec/2016/q1/97

Vulnérabilité « Poodle » sur protocole SSLv3, attention à vos connexions HTTPS !

Google a annoncé avoir découvert une vulnérabilité (CVE 2014-3566) dans le protocole SSLv3. Cette vulnérabilité peut permettre à un attaquant de décrypter les données contenues dans une connexion chiffrée.

SSL (Secure Sockets Layers) est un protocole de sécurisation utilisé dans les échanges sur Internet.

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit son couple identifiant /mot de passe, ce dernier est chiffré et transmis au site Internet de la banque. En cas d’interception, votre couple identifiant / mot de passe n’apparaitra pas en clair mais dans le cas de cette vulnérabilité, on pourra récupérer ces informations.

La version SSLv3, aujourd’hui en cause, est obsolète mais encore utilisée par de nombreux services Internet. Il est toutefois maintenu en production afin d’assurer une certaine compatibilité avec les anciens navigateurs qui ne prennent pas en charge les protocoles actuelles (TLSv1.1 et TLSv1.2).

L’exploitation de la vulnérabilité est difficile à mettre en place mais reste néanmoins possible.

Il faut réunir trois éléments pour exploiter la vulnérabilité :

1) Le serveur contacté doit supporter le protocole SSLv3
2) Le client (navigateur de l’utilisateur) doit supporter le protocole SSLv3
3) L’attaquant doit pouvoir intercepter le trafic entre l’utilisateur et le serveur

Par défaut, le navigateur utilisera la version du protocole la plus récente, mais s’il n’est pas à jour, il peut utiliser le protocole SSLv3 si le serveur qu’il contacte l’utilise.

Que dois-je faire ?

Coté administrateur : Désactiver l’utilisation du protocole SSLv3 sur vos serveurs (cela peut avoir un impact si des utilisateurs utilisent un navigateur obsolète ou des versions anciennes de Java)

Coté utilisateur : S’assurer d’utiliser un navigateur à jour et désactiver l’utilisation du protocole SSLv3 si cela est possible. Vous pouvez vérifier la vulnérabilité de votre navigateur en faisant un test sur ce site https://www.poodletest.com/

 

Source [ici]

[Bulletin d’alerte Cyberprotect] Faille critique Bash sur systèmes Unix/Linux

Une faille critique touchant un grand nombre de systèmes Linux et Mac OS X vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Bash.

Bash est un environnement console disponible sur les systèmes afin d’exécuter des commandes.

Le fait que la majorité des systèmes utilise Bash rend cette vulnérabilité particulièrement critique, notamment les serveurs Web qui, eux, sont exposés à l’Internet.

Cette faille de Bash permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine. Cette faille est exploitable à distance.

Nous constatons déjà des scans de vulnérabilités sur Internet visant à découvrir les machines vulnérables, l’exploitation de cette vulnérabilité est donc déjà en cours.

Il est facile de vérifier si votre machine est vulnérable, il suffit d’exécuter la commande suivante :

 

 

si la commande retourne

vous etes vulnerable
ceci est un test

Et bien c’est que votre système est vulnérable !

Un premier correctif de sécurité a été publié mais une variante de la vulnérabilité a été découverte.

Vous pouvez vérifiez si votre machine est vulnérable, en exécutant la commande suivante :


si la commande retourne quelque chose comme

bash: X: line 1: syntax error near unexpected token `=’
bash: X: line 1: `’
bash: error importing function definition for `X’
Thu Sep 24 22:19:25 CEST 2014

avec la date affichée à la fin, c’est que votre système est vulnérable !

Les deux vulnérabilités ont pour référence :

CVE-2014-6271 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

et

CVE-2014-67169 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169

Des correctifs de sécurité commencent à être publiés par les éditeurs corrigeant les deux variantes de la vulnérabilité. Dans le cas où les tests se sont révélés positifs, merci de vérifier régulièrement, si des correctifs sont disponibles. Une fois les correctifs de sécurité appliqués sur vos systèmes, réessayez les deux commandes précédentes afin de vous assurer de l’efficacité des correctifs.

N’hésitez pas à diffuser ce message à vos contacts.

 

Informations complémentaires  sur le bulletin du CERT-FR –> http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html

Drupal attaqué, les utilisateurs priés de changer leur mot de passe

Dans un billet du blog de Drupal, son directeur exécutif Holly Ross, a annoncé que les sites Drupal.org et groups.drupal.org ont été compromis et que les données des utilisateurs ont été consultées par les attaquants.

Cette compromission a été possible par l’exploitation d’une vulnérabilité présente sur un logiciel tiers utilisé dans leur infrastructure. La vulnérabilité n’a aucun rapport avec le CMS Drupal.

Les sites fonctionnant sous Drupal ne sont pas concernés par une quelconque vulnérabilité.

Les données compromises comprennent identifiants, adresses email, mots de passe hashés, et pays. Seules les personnes ayant un compte sur drupal.org et groups.drupal.org seront obligées de changer de mot de passe.

A priori aucune autre donnée n’a été dérobée, cependant, les investigations des équipes de sécurité continuent afin de délimiter l’étendu des dégâts. Drupal souligne qu’ils ne stockent pas les informations de carte de crédit, de sorte qu’elles ne peuvent  pas avoir été volée de cette manière. Néanmoins, ils conseillent aux utilisateurs de surveiller leurs comptes financiers pour voir si une transaction de la part de l’association drupal.org  n’a pas été opérée ou dans le cas où ils utiliseraient un mot de passe le même sur le site de leur banque.

[Source]

88% des entreprises ont des bases de données vulnérables à des attaques

GreenSQL a révélé que 88% des entreprises participants à son enquête de Décembre 2012 ne protègent pas leurs bases de données des menaces internes et externes, et près d’une sur cinq ne mettent aucun mécanisme de protection.

Sur 350 professionnels de l’informatique, la moitié  assure la sécurité des bases en améliorant la qualité du code. Selon Amir Sadeh, CEO de Green SQL «l’enquête révèle que presque toutes les entreprises sont toujours vulnérables aux menaces liées aux bases de données […] La grande majorité risque des dommages liées la réputation de l’entreprise, des amendes, des poursuites, et la perte de confiance des partenaires ».

Suite à d’éventuelles fuites de données, les pertes financières directes et indirectes peuvent être fatales pour l’entreprise. Selon les chiffres, les attaques SQL peuvent se produire plus de 70 fois par heure. Les cybercriminels tentent d’injecter du code malveillant dans les bases de données en utilisant les formulaires en ligne pour lire, modifier ou écrire des informations dans les bases de données.

GreenSQL recommandent de se concentrer sur 4 points : l’amélioration de l’écriture du code, la protection des bases contre les attaques par injection SQL, l’utilisation d’un pare-feu applicatif et l’utilisation d’un pare-feu de base de données.

[Source]

 

Plusieurs Téraoctets de données fuitent des services de renseignements Suisses

L’Agence de renseignements Suisse (Swiss Intelligence Agency) a mis en garde ses homologues américains et britanniques sur le fait qu’elle aurait pu avoir perdue quelques téraoctets de données classées secrètes…

Un administrateur IT malveillant a dérobé d’énormes quantités de données confidentielles en les copiant sur des petits disques durs qu’il faisait sortir clandestinement du bureau dans son sac à dos. L’ex-employé qui a pourtant travaillé à l’Agence de renseignements pendant 8 ans aurait été mécontent de sa hiérarchie qui ignorait ses suggestions d’amélioration des systèmes informatiques.

En tant qu’administrateur système, il avait accès à des fichiers sensibles y compris des fichiers alimentés par des sources extérieurs tel que la CIA ou le MI6. Il s’agit pour la plupart d’informations partagées dans le but de la lutte anti-terroriste internationale.

Il semblerait que le malfaiteur n’ait pas eu le temps de vendre ces informations.

Une enquête a été ouverte par les autorités Suisses et un rapport de l’incident sera publié au printemps prochain

[Source]

Une amende de 120.000£ pour la police de Manchester à la suite d’une fuite de données

L’ICO, Information Commissioners Office, organisme indépendant Britannique de protection de l’information, a sanctionné financièrement les forces de police à la suite d’une fuite d’information importante.

La Police de Manchester a été contrainte de payer 120.000£ à la suite d’une enquête menée par l’ICO au sujet d’un vol de clé USB.

Cette clé USB, contenant des informations sur plus d’un millier de personnes ayant des liens avec des enquêtes criminelles graves, a été dérobée au domicile d’un officier. Bien évidemment,  l’appareil n’était pas chiffré…

L’enquête a révélé que de telles pratiques étaient courantes. Un certain nombre d’agents copiaient régulièrement des données sur des supports amovibles afin de pouvoir les consulter en dehors des bureaux.

L’ICO a d’autant plus été sévère qu’un incident similaire s’était déjà produit en Septembre 2010. La police est reconnue responsable du fait d’avoir négligé la mise en place de restrictions sur le téléchargement d’informations et le manque de formation du personnel.

La sanction de départ était de 150.000£, mais un rabais de 20% a été accordé pour paiement anticipé…

[Source]

Les entreprises envoient régulièrement des données sensibles par email

Lorsque les comptes de messagerie personnels de cadres politiques sont piratés, cela fait la une des infos. Cependant, la majorité des personnes ne pense pas que leurs boites mail personnelles ou professionnelles soient menacées par une attaque.

Plus de 400 professionnels de l’informatique ont été interrogés par Phone Factor, sur les types d’informations envoyées par l’intermédiaire de leurs systèmes de messagerie d’entreprise  et sur ce qui est fait pour sécuriser l’email.

Près des trois quart (73%) ont indiqué que des informations hautement sensibles, telles que la stratégie d’entreprise ou que les informations clients, sont régulièrement communiquées par email.

Les répondants ont indiqué que les documents propriétaires suivants ont été envoyés via leur messagerie d’entreprise :

  • Informations sur la stratégie de l’entreprise – 59%
  • Données sur les ventes et propositions commerciales – 54%
  • Informations sensibles sur les clients – 49%
  • Données de propriété intellectuelle, informations sur les produits – 48%
  • Informations financières, budgets et prévisions – 46%

Retrouvez l’étude complète [ici]

Les patrons de PME s’estiment à l’abri d’un vol de données

Bien que le nom le nombre de violations de données impliquant des PME continue de croître, un sondage réalisé par The Hartford constate que 85% des dirigeants de PME (de moins de 50 employés) pensent qu’une violation de données est peu probable et beaucoup d’entre eux ne mettent pas en place des mesures de sécurité simples pour aider à protéger les données des clients et des employés.

Le sondage a révélé que les propriétaires d’entreprises variaient dans leur adoption des huit meilleures pratiques pour réduire les risques de violation de données :

  1. Verrouiller et sécuriser les données sensibles des clients, patients ou employés (48%)
  2. Restreindre l’accès des employés aux données sensibles (79%)
  3. Déchiqueter et entreposer de manière sécurisée les données des clients, patients ou employés (53%)
  4. Utiliser une protection par mots de passe et chiffrer les données (48%)
  5. Avoir une politique de confidentialité (44%)
  6. Mettre à jour les systèmes et logiciels de manière régulière (47%)
  7. Utiliser un pare-feu pour contrôler l’accès et parer les attaques (48%)
  8. Assurer que l’accès à distance au réseau de l’entreprise est sécurisé (41%)

Pour autant 61% des répondants estiment qu’une violation des données mettrait en péril la relation de l’entreprise avec ses clients et partenaires. Ils avouent également avoir une opinion plus négative sur les entreprises ayant subies une violation de données.

[Source]