Articles

[Bulletin d’alerte Cyberprotect] Faille critique Ghost sur systèmes GNU/Linux

Une faille critique touchant un grand nombre de systèmes GNU/Linux vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Glibc (GNU C Library)

Glibc une bibliothèque standard permettant d’implémenter des opérations courantes programmées dans le langage C

Le fait que la majorité des systèmes utilise Glibc rend cette vulnérabilité particulièrement critique, notamment les serveurs Web et toutes autres machines exposées à l’Internet.

Cette faille de Glibc permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine, et ce, sans besoin d’authentification

Cette faille semble être facilement exploitable depuis l’extérieur puisqu’il semblerait que l’on puisse prendre la main sur un serveur de messagerie simplement en envoyant un courriel.

La vulnérabilité a pour référence :

CVE-2015-0235 –> https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2015-0235

Des correctifs de sécurité corrigeant la vulnérabilité sont disponibles auprès des éditeurs des différentes distributions GNU/Linux.

Nous vous invitons à mettre à jour vos systèmes en vous focalisant en priorité sur les machines accessibles depuis l’extérieur de votre réseau (serveur de messagerie, serveur Web,…)

N’hésitez pas à diffuser ce message à vos contacts.

[Bulletin d’alerte Cyberprotect] Faille critique Bash sur systèmes Unix/Linux

Une faille critique touchant un grand nombre de systèmes Linux et Mac OS X vient d’être rendue publique. Elle concerne l’exploitation d’une vulnérabilité dans Bash.

Bash est un environnement console disponible sur les systèmes afin d’exécuter des commandes.

Le fait que la majorité des systèmes utilise Bash rend cette vulnérabilité particulièrement critique, notamment les serveurs Web qui, eux, sont exposés à l’Internet.

Cette faille de Bash permet d’exécuter n’importe quelle commande sur les machines vulnérables avec pour conséquences la prise de contrôle de la machine. Cette faille est exploitable à distance.

Nous constatons déjà des scans de vulnérabilités sur Internet visant à découvrir les machines vulnérables, l’exploitation de cette vulnérabilité est donc déjà en cours.

Il est facile de vérifier si votre machine est vulnérable, il suffit d’exécuter la commande suivante :

 

 

si la commande retourne

vous etes vulnerable
ceci est un test

Et bien c’est que votre système est vulnérable !

Un premier correctif de sécurité a été publié mais une variante de la vulnérabilité a été découverte.

Vous pouvez vérifiez si votre machine est vulnérable, en exécutant la commande suivante :


si la commande retourne quelque chose comme

bash: X: line 1: syntax error near unexpected token `=’
bash: X: line 1: `’
bash: error importing function definition for `X’
Thu Sep 24 22:19:25 CEST 2014

avec la date affichée à la fin, c’est que votre système est vulnérable !

Les deux vulnérabilités ont pour référence :

CVE-2014-6271 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-6271

et

CVE-2014-67169 –> http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-7169

Des correctifs de sécurité commencent à être publiés par les éditeurs corrigeant les deux variantes de la vulnérabilité. Dans le cas où les tests se sont révélés positifs, merci de vérifier régulièrement, si des correctifs sont disponibles. Une fois les correctifs de sécurité appliqués sur vos systèmes, réessayez les deux commandes précédentes afin de vous assurer de l’efficacité des correctifs.

N’hésitez pas à diffuser ce message à vos contacts.

 

Informations complémentaires  sur le bulletin du CERT-FR –> http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-006/CERTFR-2014-ALE-006.html

Des comptes utilisateurs GitHub victimes de compromission

GitHub, le service Web de gestion de développement de logiciels, a annoncé sur son blog que de nombreux comptes utilisateurs ont été la cible d’attaques par brute-force sur  leur mots de passe.

L’attaque a été réalisée à partir d’un dictionnaire de mots de passe courant, ce qui ciblent les mots de passe faibles. Ces tentatives d’intrusions ont été faites de manières lentes et distribués (avec plus de 40 000 adresses IP publiques différentes) dans le but d’outre passer les systèmes de surveillance.

La bonne nouvelle est que GitHub a revu sa politique de mots de passe et renforce l’obligation d’utiliser des mots de passe plus complexes.

Les utilisateurs ayant subi une compromission de leur compte ont été alertés par GitHub et leurs comptes ont été réinitialisés.

[Source]

Drupal attaqué, les utilisateurs priés de changer leur mot de passe

Dans un billet du blog de Drupal, son directeur exécutif Holly Ross, a annoncé que les sites Drupal.org et groups.drupal.org ont été compromis et que les données des utilisateurs ont été consultées par les attaquants.

Cette compromission a été possible par l’exploitation d’une vulnérabilité présente sur un logiciel tiers utilisé dans leur infrastructure. La vulnérabilité n’a aucun rapport avec le CMS Drupal.

Les sites fonctionnant sous Drupal ne sont pas concernés par une quelconque vulnérabilité.

Les données compromises comprennent identifiants, adresses email, mots de passe hashés, et pays. Seules les personnes ayant un compte sur drupal.org et groups.drupal.org seront obligées de changer de mot de passe.

A priori aucune autre donnée n’a été dérobée, cependant, les investigations des équipes de sécurité continuent afin de délimiter l’étendu des dégâts. Drupal souligne qu’ils ne stockent pas les informations de carte de crédit, de sorte qu’elles ne peuvent  pas avoir été volée de cette manière. Néanmoins, ils conseillent aux utilisateurs de surveiller leurs comptes financiers pour voir si une transaction de la part de l’association drupal.org  n’a pas été opérée ou dans le cas où ils utiliseraient un mot de passe le même sur le site de leur banque.

[Source]

Un informaticien licencié par Toyota soupçonné d’avoir saccagé les systèmes du constructeur

Un ancien informaticien de Toyota a été sommé de ne pas quitter le pays après avoir été accusé d’avoir accéder aux serveurs de l’entreprise, télécharger des informations confidentielles et saboter les systèmes.

Le constructeur automobile accuse un ancien programmeur, licencié le 23 Août dernier, de s’être introduit dans le système d’information de Toyota ce même jour et d’avoir tout saccagé pendant environ six heures. Il avait dit à ses patrons qu’il avait l’intention d’y retourner après avoir perdu son contrat de travail.

Il aurait accédé à un portail web permettant, à Toyota et ses partenaires, d’échanger des informations sur les projets de véhicules à venir. Bien que Toyota n’ait pas précisé quelles données ont pu être volées, il peut s’agir des prix, de spécifications des pièces, de rapports qualité ou encore des renseignements descriptifs.

Si ces informations ont été communiquées aux concurrents ou rendues publiques, il serait très dommageable pour Toyota et ses fournisseurs, causant des dommages immédiats et irréparables.

Toyota affirme également que l’ex-employé aurait modifié au moins 13 applications différentes sur ses serveurs, y compris le retrait des certificats de sécurité, provoquant le crash des systèmes. Il faudra plusieurs  jours aux services informatiques de la firme pour déterminer l’étendue de ses blessures.

Lundi, la juge Karen Caldwell de la cour de justice de Lexington dans le Kentucky, a accordé une injonction Toyota empêchant l’informaticien mis en cause, de quitter les Etats-Unis ou de partager des informations exclusives qu’il pourrait posséder.

[Source]

Global Payments confirme l’accès aux données de 1.5 millions de clients

La société de gestion de transactions par carte Global Payments a fourni plus de détails sur l’attaque de son Système d’Information subie en Mars 2012, confirmant que les attaquants ont eu accès aux détails de 1.5 millions de cartes.

Dans une conférence de presse téléphonique, le PDG de la société Paul Garcia a déclaré que les enquêtes menées en interne et par les autorités fédérales ont montré que les renseignements confidentiels fournis par les petits clients marchands ont pu être compromis.

Global Payments a annoncé que les attaquants avaient eu accès aux serveurs contenant les données de cartes, et bien qu’ils ne puissent pas vérifier si les données ont été copiées, les clients touchés seront alertés dans les prochains jours. La firme précise que la cyber-attaque a été contenue.

A la suite de l’incident, Visa avait retiré la société de sa liste de fournisseurs de services conformes au standard PCI DSS,  Global Payements souhaite y être de nouveau.

[Source]

Les patrons de PME s’estiment à l’abri d’un vol de données

Bien que le nom le nombre de violations de données impliquant des PME continue de croître, un sondage réalisé par The Hartford constate que 85% des dirigeants de PME (de moins de 50 employés) pensent qu’une violation de données est peu probable et beaucoup d’entre eux ne mettent pas en place des mesures de sécurité simples pour aider à protéger les données des clients et des employés.

Le sondage a révélé que les propriétaires d’entreprises variaient dans leur adoption des huit meilleures pratiques pour réduire les risques de violation de données :

  1. Verrouiller et sécuriser les données sensibles des clients, patients ou employés (48%)
  2. Restreindre l’accès des employés aux données sensibles (79%)
  3. Déchiqueter et entreposer de manière sécurisée les données des clients, patients ou employés (53%)
  4. Utiliser une protection par mots de passe et chiffrer les données (48%)
  5. Avoir une politique de confidentialité (44%)
  6. Mettre à jour les systèmes et logiciels de manière régulière (47%)
  7. Utiliser un pare-feu pour contrôler l’accès et parer les attaques (48%)
  8. Assurer que l’accès à distance au réseau de l’entreprise est sécurisé (41%)

Pour autant 61% des répondants estiment qu’une violation des données mettrait en péril la relation de l’entreprise avec ses clients et partenaires. Ils avouent également avoir une opinion plus négative sur les entreprises ayant subies une violation de données.

[Source]

Le code source de VMware ESX publié

VMware a confirmé que le code affiché sur Pastebin par un hacker se faisant appeler « Hardcore Charlie », est une partie du code source de son Hyperviseur ESX.

Un communiqué sur le site de VMware explique que l’équipe de sécurité a pris note de la publication publique d’une partie du code source de VMware ESX ainsi que du fait que d’autres éléments pourraient être diffusés à l’avenir. En précisant toutefois que le code affiché et les commentaires associés remontent à 2003-2004.

Il est précisé que la publication du code source ne signifie pas nécessairement qu’il y ait un risque accru pour les clients de VMware. Des équipes internes et externes vont continuer à travailler sur le sujet afin de proposer un maximum de garantie à leurs clients et partenaires.

Cette affaire rappelle l’épisode PCanywhere. Il y a quelques mois, la publication du code source de la solution de sécurité PCanywhere éditée par Symantec, avait obligé la firme à publier plusieurs mises à jour de sécurité. Symantec avait demandé à ses clients de ne plus utiliser PCanywhere tant que les patchs de sécurité n’étaient pas disponibles…

Retrouvez le communiqué de VMware [ici]

Vol d’identifiants et de mots de passe chiffrés chez Nissan

Une semaine après avoir été piraté, le groupe Nissan a admis que des pirates se sont introduit dans leur système d’information et ont volé l’ID des employés et les mots de passe chiffrés.

Le piratage a eu lieu le 13 avril 2012 mais la société n’a émis une déclaration de l’attaque que le 20 avril car l’entreprise souhaitait colmater les brèches avant de divulguer l’information.

La société n’a pas été légalement tenue de signaler l’incident, car aucune des données sensibles relatives aux clients, employés ou des opérations commerciales n’a été prise lors de l’attaque.

Andy Palmer, vice-président de Nissan Motor Co, a déclaré dans un communiqué qu’ils ont « pris des mesures pour protéger les informations relatives aux clients, employés et autres partenaires à travers le monde. Des logiciels malveillants ont été placés au sein du SI afin de dérober des données de l’entreprise. Notre plan d’actions rapide a permis de sécuriser les données. Cependant, nous pensons que les ID utilisateur et les mots de passe hachés ont été transmis aux malfaisants. Aucune indication ne permet de dire que les informations personnelles et les emails n’ont été compromis ».

Retrouvez le communiqué de Nissan [ici]

 

Encore beaucoup de progrès à faire avant de pouvoir voter en ligne

Un groupe de chercheurs de l’Université du Michigan a récemment réussi à compromettre un système de vote par correspondance sur Internet, actuellement en test dans la région de Washington DC.

En 2010, Washington DC a élaboré un projet pilote de vote par Internet destiné à permettre aux électeurs  absents de se prononcer sur une élection en utilisant un site Web. Avant de déployer le système, le District a tenu à faire tester la solution par le grand public. Une simulation d’élection a été organisée au cours de laquelle toute personne était invitée à tester le système ou à tenter de compromettre sa sécurité.

Bien entendu, 48h tard les votes et scrutins étaient compromis. Ce qui est inquiétant est plutôt le fait que les fonctionnaires électoraux n’aient pas détecté les intrusions pendant près de deux jours, et encore, un indice flagrant a volontairement été laissé.

Un système de vote basé sur le Web a besoin de maintenir à la fois l’intégrité du résultat de l’élection et le secret du choix des électeurs, il doit rester disponible sur un réseau ouvert et ne pas être compromis.

Après quelques heures, les chercheurs ont réussi à compromettre le serveur d’application Web, le protocole ESP, la clé publique utilisée pour le chiffrement des bulletins, à remplacer tous les fichiers chiffrés de vote sur le serveur et à exfiltrer un fichier PDF contenant les lettres d’instructions envoyés à chacun des électeurs inscrits (ce qui inclus les informations d’identification des électeurs réelles.

Ils ont également réussi à s’infiltrer dans le serveur TSE, de le compromettre et de changer les mots de passe sur les équipements réseaux. Deux webcams  non sécurisées présentes sur le réseau ont permis de voir qui avait accès à la salle serveur.

L’un des principaux dangers dans de nombreux schémas de vote par Internet est qu’une petite erreur dans la configuration ou la mise en œuvre des serveurs de vote centraux ou de leur infrastructure réseau environnant peut facilement saper la légitimité de l’élection tout entière.

La conclusion retenue est qu’il faudra des avancées significatives en matière de sécurité informatique avant de déployer un système de vote par Internet, jusque là, le vote en ligne ne doit pas être considéré comme sûr.

Retrouvez le rapport complet du test [ici]