L’actualité cyber sécurité de la semaine dernière (16 au 22 octobre 2017)

de | 22 octobre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Sale semaine pour la sécurité de la crypto, des failles ont été trouvés dans les protocoles de sécurité WPA2 et RSA. Un nouvelle failles importantes qui permet une exécution de code à distance sur le lecteur Flash Player déjà exploitée ! Fuite de données chez Pizza Hut et Domino. Attaque ciblée contre le secteur maritime identifiée. La Chine continue discrètement ses activités de cyber espionnage. Nouvelle attaque de type Mirai probablement en préparation.

Dans la partie outil : vérification si vous êtes vulnérable à KRACK ou à ROCA. Vérification de la sécurité de vos Bucket S3 et de vos installations PHP.


Une faille critique a été détecté dans le protocole WPA2, baptisée KRACK, qui sécurise les communications wifi entre un poste de travail et une borne wifi. En exploitant la faille, une personne malveillante est capable de décrypter les échanges et d’injecter du contenu malicieux entre le poste de travail et la borne wifi à laquelle il est connecté. La majorité des acteurs de l’informatique et constructeurs est concernée par le faille. La portée de la faille est à relativiser, car elle ne permet pas d’exploiter les données qui transitent dans une communication chiffrée, communication très souvent utilisée lors de la transmission d’identifiant et mot de passe ou encore lors des paiements électroniques. Des mises à jour sont disponibles pour un grand nombre de terminaux et équipements wifi vulnérables.

Mise à jour à réaliser ASAP et, dans la section outil, script destiné à tester si votre point d’accès est vulnérable.

Sur un autre axe, certains chercheurs en cyber sécurité soupçonnent que la faille est connue et exploitée par la NSA depuis 2010. Ils se basent sur un document révélés par Edward Snowden qui présente un outil désigné par BADDECISION qui permet de rediriger le trafic vers un serveur FOXACID. Ce dernier pouvant charger des exploits dans le navigateur de la cible. Le document précise, en page 5, que BADDECISION fonctionne avec WPA et WPA2 !


Une faille dans la génération des clés RSA a été découverte dans une librairie qui permet l’utilisation des fonctions cryptographiques des puces Infineon Technologies AG. La version 1.02.013 de la librairie est concernée par la faille. La faille permet à une personne malveillante de calculer la clé privée en partant de la clé publique ! Cette faille, si exploitée, permet déchiffrer les messages échangés entre deux parties !

Pour rappel, les puces Infineon Technologies AG sont utilisées dans de nombreuses solutions : smartcards, les boitiers de chiffrement, ordinateurs, etc. Elles sont également utilisées dans des terminaux qualifiés NIST FIPS 140-2 et CC EAL 5+ depuis 2012.


Une nouvelle faille critique a été découverte dans le lecteur Adobe Flash Player. La faille permet à une personne malveillante l’exécution de code à distance… la pire des failles. L’exécution de code à distance permet l’installation d’un malware ou encore le vol de données de la cible. Sont concernés par cette faille, Adobe Flash Player pour Windows, Macintosh, Linux et Chrome OS.

Mise à jour à réaliser ASAP… et attendons la fin de Flash Player annoncée par Adobe pour 2020.

Depuis le début de l’année, plus de 50 failles critiques ont été corrigées dans ce lecteur !


Les grandes enseignes de restauration rapide autour de la pizza : Pizza Hut et Domino’s Pizza ont souffert d’une fuite de données personnelles.

Pour Pizza hut, une intrusion dans leur plate-forme de commande Internet a permis l’exfiltration de données personnelles (nom, prénom, adresse mail et postale) et bancaires (numéro de carte bancaire, date d’expiration et CVV) des clients de l’enseigne. Cette dernière annonce qu’un petit nombre de clients, 60 000, est concerné par l’exfiltration.

Pour Domino’s Pizza, il s’agit de données personnelles de leurs clients qui ont commandé leurs pizzas en lignes. Ces données ont été confiées à un tiers. Le systèmes d’information de ce tiers a été corrompu et a permis l’exfiltration de données. Pour le moment, Domino’s Pizza n’a pas donné le nom de ce tiers et encore moins les raisons du transfert des données personnelles. Domino’s Pizza indique par ailleurs que les mots de passe de leurs clients n’ont pas été corrompus.


Une attaque, menée par le groupe Leviathan actif depuis 2014, contre différents acteurs du secteur maritime a été détectée par l’éditeur de solutions de cyber sécurité proofpoint. Dans son rapport, l’éditeur indique des employés de sous-traitants de la défense, des organismes et industriels proche du secteur maritime ont reçu des mails de propositions d’emploi contenant un fichier Excel ou Word malveillant (spearphishing) qui exploite les vulnérabilités CVE-2017-0199 et CVE-2017-8759. Ces vulnérabilités permettent, lors de l’ouverture du fichier de la suite bureautique de Microsoft, le téléchargement et l’installation de programmes malicieux et de prises de contrôle à distance du PC de la victime.


En cette période qui pointe la Russie et la Corée du Nord dans de nombreuses cyber attaques, deux rapports dernièrement publiés récemment mettent en évidence que des groupes de pirates informatiques localisés en Chine continuent leurs activités de cyber espionnage.

Le premier groupe semble utiliser une version actualisée d’un trojan de type RAT (Remote Access Tool) datant de 2004, désigné par “Hacker’s Door”, et attribué à l’époque à un groupe localisé en Chine. Pour rappel, un RAT  permet l’accès et le contrôle total du PC compromis. Le second groupe, désigné par  BRONZE BUTLER a ciblé des infrastructures critiques et des industriels japonaises. Le groupe utilise le spearphishing comme vecteur d’attaque pour dans un second temps s’implanter dans le réseau de la cible afin d’en exfiltrer des données relatives aux recherches, spécifications des produits, des configurations des équipements réseaux et des systèmes ainsi que des mails et des compte-rendus de réunion.


La société Checkpoint a identité un botnet qui se déploient actuellement dans les objets connectés à Internet. Elle estime que plus d’un million d’organisations ont été infectées. La finalité du botnet n’a pas été identifiée. Néanmoins, il y a une forte probabilité qu’une attaque de type Mirai se reproduise mettant à genoux Internet. Le botner cible différents types d’objets connectés à Internet : les caméras GoAhead, les systèmes basés sur Linux maus aussi les routeurs Netgear, TP-Link, D-Link, etc. ou encore les filers Synology.

A suivre.


Outils :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *