L’actualité cyber sécurité de la semaine dernière (2 au 8 octobre 2017)

de | 8 octobre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : 18000 malwares issus de 2500 différentes familles de Malware ont ciblé les systèmes industriels sur le premier semestre de cette année. Vulnérabilité critique dans les commutateurs industriels Siemens Scalance et Ruggedcom. L’intrusion dans les systèmes Yahoo de 2013 a touché 3 milliards de comptes et non 1 milliard comme annoncé initialement.  Spear-phishing dans un échange de mails. Effacement de données et rançon pour la récupération des données de joueurs de Rainbow Six.

Sur la partie outil, évaluation OWASP top 10 automatisée. Détection des compromission sur serveur web.


Dans son dernier rapport sur les menaces relatives à la sécurité des systèmes industriels sur le premier semestre 2017, l’éditeur de solutions de sécurité Kaspersky Labs a révélé qu’il a découvert plus de 18000 malwares issus de de 2500 différentes familles de Malware. Les vecteurs d’infection de ces systèmes sont l’interconnexion entre les réseaux industriels et les réseaux informatiques mais aussi les accès Internet à travers les réseaux cellulaires, utilisé pour le télémétrie et la surveillance des automates. De plus, Kaspersky fait le point sur la propagation des ransomware sur la période écoulée:  13.5% d’infection avec le ransonware Wannacy et 10.7% avec Locky. Par ailleurs, il indique que 500 entreprises dans 50 différents pays ont été infectée par le ransonware Industroyer, qui cible les systèmes industriels et qui avait provoqué un blackout électrique en Ukraine.


Une faille critique sur les commutateurs industriels Siemens Ruggedcom et Scalance permet à un tiers malveillant de (re)configurer ces équipements. La vulnérabilité concerne le protocole Ruggedcom Discovery Protocol (RCDP) de configuration des équipements Siemens. Les commutateurs vulnérables sont les suivants :

  • Ruggedcom RSL910 préalable au ROS 5.0.1 et pour les autres versions préalable au ROS 4.3.4 ;
  • Scalance XB-200, XC-200, XP-200, XR300-WG préalable à la v3.0 et XR-500 et XM-400 préalable à la v6.1.

Une mise à jour est disponible pour les équipements de la gamme Ruggedcom. Pour les autres modèles Siemens recommande la désactivation de RCDP en attendant la mise à disposition des correctifs.


Les outils utilisés par la NSA, destinés à pénétrer et espionner les réseaux de leurs cibles, ont été volés sur l’ordinateur personnel d’un de ses sous-traitants en 2015. L’exfiltration des données a été possible à travers un programme malveillant chargé sur le poste de la victime grâce à l’antivirus de l’éditeur de solutions de sécurité russe Kaspersky Lab. Le Wall Street Journal affirme que les attaquants sont russes. Cette affaire ajoute de l’huile sur le feu suite à l’interdiction par le département de la sécurité du territoire américain (DHS) l’utilisation des solutions de l’éditeur dans les administrations américaines (cf. ma revue de l’actualité de la semaine 11 au 17 septembre 2017). La NSA de son côté a annoncé qu’elle n’utilisait pas les produits de l’éditeur russe pour protéger ses systèmes.

Dans un communiqué, Kaspersky Lab n’a pas caché son inquiétude sur l’utilisation de ses solutions par des personnes malveillantes. L’éditeur a confirmé sa priorité pour la sécurisation de ses solutions et a confirmé qu’il n’avait aucun lien avec un gouvernement, la Russie comprise… en indiquant au passage qu’il était au milieu d’un conflit géographique !

… par contre, rien n’a été révélé sur les raisons et les moyens utilisés par le sous-traitant pour récupérer ce type de données sensibles sur son ordinateur personnel !


L’intrusion dans les systèmes de Yahoo, en 2013,  a finalement compromis 3 milliards de comptes et non 1 milliard comme l’avait annoncé l’entreprise. Pour rappel, les attaquants avaient réussi à obtenir les noms, prénoms, adresses mail, numéros de téléphone, dates de naissance ainsi que les hash des mots de passe. Une large campagne de changement des mots de passe avait été lancée en 2016 !  Pour le moment, les investigations n’ont pas apporté la preuve que les numéros de cartes bancaires des utilisateur des services de Yahoo, devenu Oath depuis le rachat par Verizon, ont été accédé. A suivre !

Une attaque par spear-phishing basée sur l’interception d’un échange de mails entre deux personnes, désignée par FreeMilk, a été détectée par les équipes de sécurité de Palo Alto. Le principe : l’attaquant s’immisce dans un échange de mails entre deux personnes. Pendant l’échange, l’attaquant ajoute un fichier Microsoft Word contenant une charge qui exploite la faille CVE-2017-0199. La faille lui permet d’installer à distance deux programmes malveillants désignés par PoohMilk et  Freenki. Le premier servant à télécharger et installer le second. Le second servant à :

  1. Collecter des informations sur l’ordinateur infecté (Adresse MAC, nom d’utilisateur, nom de l’ordinateur et les programmes qui s’y exécutent) mais aussi à prendre des copies d’écran de l’ordinateur infecté pour les transmettre dans un second temps vers un serveur de commande et de contrôle -C2- ;
  2. Télécharger d’autres programmes malveillants.

De nombreuses intrusions ont été constatés dans différentes organisations au Moyen-Orient et en Europe.

Le second programme malveillant, Freenki, avait déjà utilisé en 2016 dans une attaque watering hole : de nombreux sites anti-gouvernement nord-coréen avaient été compromis afin que ce programme malveillant soit installé sur les ordinateurs de leurs visiteurs !

Une intrusion a eu lieu dans les systèmes de R6DB qui héberge les statistiques des joueurs de Rainbow Six, FPS édité par Ubisoft. Les attaquants ont récupéré la base de données de la société, l’ont supprimé pour enfin demander une rançon pour la restituer ! R6DB n’a pas cédé au chantage et à décider de restaurer les données depuis ses sauvegardes, en indiquant qu’il est possible que certaines données, non sauvegardées, soient définitivement perdues. La société a, par ailleurs, indiqué qu’aucune donnée personnelle n’est stockée dans ses bases, limitant ainsi la fuite aux performances des joueurs.


Outils :

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *