L’actualité cyber sécurité de la semaine dernière (du 4 au 10 septembre 2017)

de | 11 septembre 2017

Voici ce que j’ai retenu de la riche actualité cyber sécurité de la semaine dernière : impossible de ne pas parler de la fuite d’informations personnelles de 45% de la population américaine gérées par la société de scoring Equifax, ShadowBrokers qui fait encore parler de lui avec un nouveau leak de la NSA, le groupe de pirates informatiques Dragonfly s’est infiltré dans les systèmes opérationnels de gestion des réseaux électriques nord-américains et européens, deux failles critiques dans les appareils connectés dédiés au secteur de la santé, une nouvelle exposition de données personnelles depuis un bucket S3 d’Amazon Web Services mal configuré et enfin, sur le modèle chinois, le conseil européen semble travailler sur un projet de filtrage massif de l’Internet en europe.

Sur la partie outil, nouvelle version de la distribution de pentesting BlackArch Linux, découverte de l’organisation à travers les métadonnées de fichiers publics, scanner de vulnérabilités d’application web et un concurrent au célèbre framework metasploit avec des modules spécifique aux protocoles industriels


La société américaine Equifax est spécialisée dans le scoring des consommateurs américains et qui permet aux sociétés de crédit de valider la santé financière de leurs nouveaux clients. Elle supervise les habitudes d’achat de ses clients afin d’établir leur score et de détecter toutes tentatives de fraude ou de violation d’identité. Elle est l’une des trois grandes sociétés américaines qui proposent ce type de services. Elle collecte et maintient les données de plus de 800 millions consommateurs américains. Hors les informations de 143 millions de consommateurs ont été accédées par des tiers malveillants suite à une intrusion dans le système d’information d’Equifax pendant 40 jours, de la mi-juin à la fin juillet. Les informations suivantes ont été accédées : noms, numéros de sécurité sociale américaine (SSN), dates de naissance, adresses et pour certain, numéros de permis de conduite. Par ailleurs, 209 000 numéros de cartes de crédit ont été accédés. Les informations de résidents anglais et canadiens ont également été accédées.

La société a mis en ligne un service qui permet à un consommateur de vérifier si ses données sont concernées par l’intrusion : il suffit pour cela de saisir son nom de famille et les 6 derniers chiffres du SSN.

La société va pouvoir utiliser son service d’aide en cas de violation des données de l’entreprise pour elle-même.


Shadowbrokers a publié un nouvel exploit utilisé par la NSA et désigné par UNITEDRAKE. Cet exploit permet de prendre le contrôle à distance d’un ordinateur qui tourne sous Microsoft Windows XP, Vista, 7, 8 ainsi que Windows Server 2012. Il permet de collecter des données sur l’ordinateur cible puis de les transférer vers un serveur. Il est possible d’activer à distance la webcam ou encore le microphone de l’ordinateur. Il fait aussi office de keylogger qui enregistre les saisies du clavier. Ces fonctionnalités sont activables à travers des pluggins ! Il ne me reste plus qu’à plonger dans le manuel de UNITEDRAKE pour comprendre son fonctionnement. Cette publication de Shadowbrokers a probablement pour objectif d’attirer des “prospects” qui souscriront à son service payant de publication de données de la NSA. ShadowBrokers annonce que cinq publications sont prêtes, et ce, malgré les plaintes de certains clients qui jugeaient que des outils achetés ne fonctionnaient pas… l’après-vente laisse à désirer.


L’éditeur de solutions de sécurité Symantec a rapporté sur son blog que le groupe de pirates informatique Dragonfly a compromis de nombreux systèmes opérationnels de gestion des réseaux électriques nord-américains et européens. Des compromissions semblent être confirmées aux Etats-Unis, en Suisse et en Turquie.

Le groupe de pirates se spécialise dans les attaques contre les systèmes industriels critiques. En effet, il avait, dès 2014, ciblé de nombreux opérateurs du secteur de l’énergie dans différents pays : Allemagne, Espagne, Etat-Unis, France, Italie, Pologne et Turquie.  

L’initialisation de l’attaque semble assez “classique” :

  1. Spear phishing par email : transmission d’un faux vrai mail ciblant une personne particulière de l’organisation qui contient une charge malicieuse
  2. Installation d’un programme malveillant sur le poste de travail de la cible du spear phishing
  3. Mouvement latéral dans le système ciblé par l’attaque : le groupe utilise de nombreux outils disponibles sur Internet pour se “déployer” dans le réseau compromis, notamment des outils qui lui permettent de récupérer les identifiants et mots de passe sur les systèmes compromis

Symantec propose dans son rapport la liste des indicateurs de compromission (IOC) associés à cette attaque.

Un officiel de la NSA modère l’attaque en la qualifiant uniquement d’intrusion… à suivre.


L’agence américaine des denrées alimentaires et des médicaments (FDA) à rappeler, et donc leurs porteurs, 450 000 pacemakers avec des fonctions de communication par radio fréquence. Il s’agit des pacemakers de la marque Abbott’s, anciennement St. Jude Medical’s. Le rappel a pour objectif la mise à jour de ces pacemakers afin de corriger une faille qui permet à une personne malveillante située à proximité du porteur du pacemaker de prendre le contrôle de l’équipement. L’exploit qui a permis de démontrer la faille n’est pas public.


8 vulnérabilités ont été détectées dans les pompes à perfusion Medfusion 4000 de la marque Smiths Medical par un chercheur en cyber sécurité. Ces vulnérabilité, une fois exploitées,  permettent à une personne malveillante de piloter à distance la distribution des médicaments via la perfusion, ce qui met en danger les patients des hôpitaux. A noter par ailleurs qu’une vulnérabilité concerne des mots écrits en clair dans un fichier CVE-2017-12723 ou codés en dur dans le matériel CVE-2017-12725 dans les pompes et accessibles à distance si les communications depuis ces équipements sont autorisées. Une autre vulnérabilité concerne… le serveur FTP qui peut être démarré au niveau des pompes.
La correction de ces vulnérabilités est attendue… en janvier 2018. Néanmoins des recommandations pour limiter l’exploitation de ces vulnérabilités sont proposées par le constructeur (pas de DHCP, supervision du trafic DNS, DHCP, telnet et FTP, isolation du réseau qui héberge les pompes, sécurisation des accès au réseau à travers des tunnels VPN, etc.)


Après la fuite d’informations personnelles de milliers de professionnels de la sécurité, laissées dans un bucket S3 par une société de recrutement qui travaillait pour la société de sécurité TigerSwan, sujet que j’avais abordé dans ma revue d’actualité du 28 août au 3 septembre 2017, c’est maintenant au tour d’un sous-traitant de la société Time Warner Cable d’exposer les informations de 4 millions d’abonnés aux services du câblo-opérateur. Les informations personnelles (nom, adresse, numéro de téléphone, nom d’utilisateur et numéro de contrat), la configuration des modems (adresse MAC et numéro de série) ainsi que des informations de facturation ont été exposées.

L’activation du service Amazon Macie, que j’avais abordé dans la revue de l’actualité de la semaine du 21 au 27 août 2017, devient urgente pour les clients AWS. Ce service permet de classifier les données dans les buckets S3 et de surveiller leurs usages afin de détecter les fuites de données.


Au nom de la propriété intellectuelle, le Conseil européen travaille-t-il sur un projet de filtrage massif d’Internet sur le modèle chinois ? C’est que semble révéler un document que s’est procuré l’association de protection des droits et des libertés des citoyens de l’Union européenne Statewatch. Le document suggère deux options : 1/ l’analyse de l’ensemble du trafic Internet en Europe afin de réaliser les blocages des contenus ou 2/ rendre responsables les opérateurs et les utilisateurs des plateformes Internet afin qu’ils réalisent eux-mêmes le filtrage… délation quand tu nous tiens.


D’autres actualités :

Lenovo payera 3,5 millions de dollars américains pour les 750 000 ordinateurs portables distribué avec un spyware entre août 2014 et juin 2015

De nombreuses vulnérabilités dans la séquence d’amorçage de téléphones mobiles ont été trouvées par des chercheurs. Ces vulnérabilités permettent à une personne malveillante de disposer de droit élevé sur le système, lui permettant d’y installer des applications malicieuses ou d’en extraire des données. Les vulnérabilités ont été confirmées dans plusieurs mobiles dont le Huawei P8 ALE-L23, le Nexus 9 et le Sony Xperia XA.


Outils :

  • BlackArch v2017.08.30 : Une nouvelle version de la distribution Linux dédiée aux tests d’intrusion a été publiée. Au programme plus de 50 nouveaux outils et des améliorations du système (kernel 4.12.8, mises à jour de packages système et d’outils) : https://blackarch.org/downloads.html
  • Metagoofil : Il permet d’extraire des métadonnées de fichiers disponibles publiquement. Les fichiers concernés sont les suivants : pdf,doc,xls,ppt,docx,pptx,xlsx. Ces métadonnées sont principalement disponibles dans les propriétés du document. Les documents sont recherchés à travers Google. L’outil a pour objectif identifier rapidement et éradiquer les documents publics qui peuvent fournir des informations sensibles sur l’organisation à une personne malveillante : https://securityonline.info/metagoofil-information-gathering-tool/
  • Tulpar : un scanner de vulnérabilités sur les applications Web. Même s’il en existe plusieurs, par exemple Nikto2, il est important d’utiliser plusieurs outils afin de s’assurer de l’exhaustivité de l’analyse de sécurité : https://github.com/anilbaranyelken/tulpar
  • ISF(Industrial Exploitation Framework) : une alternative au framework metasploit existe. Ce framework est basé sur routersploit (Router Exploitation Framework). Je le trouve intéressant, car il propose de nombreux modules dédiés aux protocoles industriels (modbus, S7, Profinet). Il utilise la lirairie d’analyse réseaux Scappy, je me pose la question de la performance de l’outil au regard de la lenteur de traitement de cette librairie : https://github.com/dark-lbp/isf/blob/master/README.md

Une réflexion au sujet de « L’actualité cyber sécurité de la semaine dernière (du 4 au 10 septembre 2017) »

  1. Ping : L’actualité cyber sécurité de la semaine dernière (du 11 au 17 septembre 2017) – Alerte Sécurité

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *