L’actualité cyber sécurité de la semaine dernière (du 28 août 2017 au 3 septembre 2017)

de | 4 septembre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : changer le prix de ses achats directement sur le point de vente SAP, pièces de rechanges de mobiles malicieuses, TNT qui n’arrive pas à se dépêtrer du ransomware Petya, un botnet qui ciblait les fournisseurs de CDN détecté grâce à une collaboration entre grands acteurs Internet, APT17 utilise la fuite des épisodes de Game of Thrones pour transmettre un backdoor par mail et enfin la liste des candidats au recrutement par une société de sécurité accessible sur Amazon Web Services !

Quelques outils intéressants sont proposés à la fin de ce post : sécuriser le protocole SSL, créer des machines vulnérables pour garder la main en pentesting et enfin explorer la visibilité de son entreprise sur LinkedIn et exploitée par les pirates informatiques.

Souhaitez-vous forcer une remise sur un produit lors du passage en caisse ? C’est maintenant possible en exploitant une vulnérabilité dans la solution SAP destinée aux points de vente : Point Of Sales – (POS) Retail Xpress Server. Un chercheur en cyber sécurité a réussi, vidéo à l’appui, à changer le prix d’achat d’un macbook à 1€ lors du passage en caisse. SAP propose un correctif de sécurité sur son site depuis avril 2017… reste maintenant à le déployer !


Qui s’est posé la question de la qualité des pièces de rechange lors de la réparation de son smartphone ou sa tablette ? Il le faudrait, car des chercheurs de l’Université israélienne Ben-Gurion ont réussi à exfiltrer des données de smartphones à partir de composants électroniques de remplacement qu’ils ont fabriqués, en l’occurrence des écrans tactiles. Il faut savoir que les constructeurs de smartphones et de tablettes utilisent un grand nombre de composants électroniques fabriqués par des tiers et qu’ils intègrent dans leurs terminaux dans les chaînes de production. Il suffirait qu’un des fournisseurs soit compromis afin de mettre sur le marché des composants malicieux montés en usine ou chez les réparateurs de smartphone ou de tablettes. Je ne parle même pas des réparateurs qui, pour maximiser leurs marges, se fournissent chez des grossistes douteux qui vendent leurs composants à très bas prix, grossistes qui se procurent leurs produits n’importe où.


Après l’annonce de la société de transport maritime Maersk d’une perte sèche de 300 millions de dollars à cause du ransomware Petya, c’est maintenant au tour du TNT, acteur majeur du transport, d’admettre que la ransomware bloque toujours son système d’information et que le traitement des colis se fait manuellement, engendrant des retards dans leur acheminement. Le cours boursier de TNT a déjà chuté de 3%. Affaire à suivre.


Un bel exemple de collaboration entre plusieurs organisations, tel que Akamai, Cloudflare, Flashpoint, Google, Oracle Dyn et  RiskIQ, afin d’identifier et de contrer un hornet, désigné par WireX. Ce botnet était implanté dans des applications Android, distribuées à travers le play store de Google. Il était utilisé pour des attaques de déni de service DDoS qui visaient les fournisseurs de service CDN (Content Delivery Networks) qui proposent des services d’accélération et d’optimisation contenus riches aux internautes. Google a déjà supprimé ces applications malveillantes.

Les dernières victimes de DDoS peuvent vérifier dans les logs de leurs serveurs web les types de navigateur qui se sont connectés à leurs services pour savoir si l’attaque était liée à WireX . Voici la liste :

  • User-Agent: jigpuzbcomkenhvladtwysqfxr
  • User-Agent: yudjmikcvzoqwsbflghtxpanre
  • User-Agent: mckvhaflwzbderiysoguxnqtpj
  • User-Agent: deogjvtynmcxzwfsbahirukqpl
  • User-Agent: fdmjczoeyarnuqkbgtlivsxhwp
  • User-Agent: yczfxlrenuqtwmavhojpigkdsb
  • User-Agent: dnlseufokcgvmajqzpbtrwyxih

 


La fuite des épisodes de Game of Thrones est maintenant exploitée par le groupe de pirates chinois Apt 17. Un mail proposant d’acheter pour quelques dollars les derniers épisodes de la série était reçu par les victimes. Le mail contenait un fichier Microsoft Word dans lequel une charge était implantée et qui installée un backdoor. Ce backdoor permettait au groupe APT17 de prendre le contrôle à distance de l’ordinateur infecté.

L’attribution à ce groupe est liée à la (ré)utilisation de charges malicieuses identifiées lors d’une attaque, qui date de 2010, contre une trentaine de grandes entreprises dont Google, désignée à l’époque par opération Aurora.


Les informations personnelles de milliers de professionnels de la sécurité, qui ont postulé afin de rejoindre la société privée de sécurité américaine TigerSwan, fondée en 2007 par des anciens de la Delta Force, ont été publiquement divulguées. La société est un sous-traitant du gouvernement américain sur des contextes d’intervention classifiés sensibles.

La particularité de cette fuite d’information est liée au fait que la liste était accessible depuis Internet à une base de données hébergée dans Amazon Web Services S3, non protégée. Cette base avait été utilisée par le cabinet de recrutement TalentPen pour échanger les CV de candidats aveTigerSwan… en 2008.


Je ne reviendrai pas sur le piratage d’Instagram qui a permis la mise en vente de photos intimes de plusieurs millions de personnes influentes dans ce réseau social.


Outils :

  • SSL est un protocole qui permet d’assurer la confidentialité des échanges… qui dispose de ses failles et qui peut être compromis à cause d’une mauvaise configuration. A2sv est un scanner SSL qui permet de s’assurer de la bonne configuration du protocole sur ses applications, notamment des sites e-commerces https://github.com/hahwul/a2sv
  • Se former et entretenir ses compétences en pentesting afin d’évaluer la sécurité des systèmes d’information est essentiels. juice-shop est un système qui se veut délibérément vulnérables afin de s’exercer. Il est vulnérable aux top 10 OWASP ainsi que de nombreuses autres failles de sécurité https://github.com/bkimminich/juice-shop
  • On ne se rend pas compte mais LinkedIn est une fabuleuse source publique d’informations  pour les pirates informatiques afin de profiler leur cible pendant la phase de découverte, préalable à une attaque. Raven est outil intéressant pour les entreprises afin d’analyser les contenus publics dans LinkedIn les concernant, dans la perspective de maîtriser les informations qui peuvent être utilisées par un tiers malveillant https://github.com/0x09AL/raven

2 réflexions au sujet de « L’actualité cyber sécurité de la semaine dernière (du 28 août 2017 au 3 septembre 2017) »

  1. Ping : L’actualité cyber sécurité de la semaine dernière (du 4 au 10 septembre 2017) – Cyber sécurité, confiance numérique, sécurité des nouveaux usages, objets connectés, blockchain, etc.

  2. Ping : L’actualité cyber sécurité de la semaine dernière (du 11 au 17 septembre 2017) – Alerte Sécurité

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *