L’actualité cyber sécurité de la semaine dernière (du 25 septembre au 1 octobre 2017)

de | 1 octobre 2017

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Le piratage de la messagerie de Deloitte hébergée dans le Cloud. Le département de la sécurité intérieure des États-Unis (DHS) a confirmé que la Russie a tenté de pirater les systèmes de votes de 21 états américains avant l’élection de 2016.  Adobe publie la clé privé qui sert à protéger les échanges entre les chercheurs en sécurité et les équipes de sécurité d’Adobe. RedBoot un ransonware vicieux en cours de développement. Les attaques contre les distributeurs de billets changent de vecteur. Des vulnérabilités critiques de l’EFI de nombreux ordinateurs Apple Mac n’ont toujours pas corrigées. 10 librairies malicieuses découvertes dans le dépôt Python PyPI.

Sur la partie outil, le dorking pour lancer des recherches massives dans les moteurs de recherche.


Le cabinet d’audit Deloitte, qui propose également des services en cyber sécurité, a été victime d’un piratage de son système de messagerie. La compromission a conduit à l’exfiltration de plusieurs giga octets de données de clients, données qui comprennent des identifiants, des mots de passe, des données personnelles, mais aussi des informations stratégiques, des documents d’architecture des systèmes d’information de leurs clients. Le piratage fait suite à la compromission d’un compte d’un administrateur de la messagerie des 244 000 employés de Deloitte hébergée dans le cloud Microsoft Azure. L’accès à la messagerie à ce type de compte, qui dispose de tous les droits, n’est pas renforcé avec une authentification multi-facteurs. Deloitte a reconnu une incursion dans sa messagerie : la fuite de données concerne 6 de clients. Ces derniers ont été informés. Affaire à suivre.


Le DHS, département de la Sécurité intérieure des États-Unis, a informé 21 états américains que leurs systèmes de votes ont été la cible d’attaques avant l’élection présidentielle de 2016, sans donner d’information sur leurs origines. De nombreux politiques Américains pointent du doigt le gouvernement Russie. Le DHS n’a pas fourni la liste des états. Néanmoins, l’Associated Press a La liste comporte des états stratégiques dans la campagne électorale présidentielle tels que la Floride, L’Ohio, la Pennsylvanie, la Virginie et le Wisconsin. A date, seul l’état de l’Illinois a admis qu’une intrusion a eu lieu dans son système. Par ailleurs en début d’année, une fuite de données de la NSA contenait des informations sur des collectes d’informations sur des fournisseurs de logiciels d’enregistrement des votants de huit états.

PS : de nombreux systèmes de votes et d’enregistrement des votants sont connectés sur Internet !


Afin de protéger ses échanges avec les chercheurs en sécurité informatique, Adobe diffuse sa clé publique de chiffrement sur son blog de sécurité qui permet de transmettre des mails chiffrés à l’adresse psirt@adobe.com. Cette adresse est utilisée, notamment, par les chercheurs en sécurité informatique pour informer en toute sécurité Adobe de la découverte d’une nouvelle faille de sécurité. Ceci permet à Adobe de développer un correctif de sécurité avant d’informer les utilisateurs de leurs produits. Lors de la dernière mise à jour de sa clé publique, l’opérateur Adobe semble avoir également publié la clé privée de chiffrement des messages (pour rappel, dans un chiffrement asymétrique qui dispose de deux clés de chiffrement: si le message est chiffré par une clé, celui-ci ne peut être déchiffré que par la seconde. Lorsqu’une des deux clés est publique, ie. la clé publique, la seconde doit absolument rester secrète, ie. la clé privée). En disposant de cette clé, une personne malveillante peut lire un mail décrivant une faille de sécurité et exploiter cette dernière avant sa divulgation et la mise à disposition d’un correctif… c’est ce qui s’appelle une vulnérabilité Zero Day.

Adobe a révoqué la clé compromise : une nouvelle clé publique a été publiée


Les ransonware “traditionnels” chiffraient les données personnelles de la victime sans pour autant toucher au système d’exploitation. Le fait de laisser le système d’exploitation permettait, lorsqu’il était publié, des programmes anti-ransonware. RedBoot est un nouveau ransonware qui s’affranchit de cette contrainte : il exécute son propre système d’exploitation. Il va jusqu’à changer la MBP (le lanceur qui permet de démarrer le système d’exploitation installé sur le PC) pour forcer son lancement. Ce fonctionnement semble indiquer que l’objectif de RedBoot est de rendre inutilisable le PC infecté. Un chercheur qui a analysé le code source de RedBoot indique que le ransonware a été très mal développé. Le chercheur a été contacté par le concepteur du ransonware, il lui a indiqué que son programme est en cours de développement : la version définitive est prévue pour le mois d’octobre. Wait & see.


Une intéressante étude de Trend Micro sur les attaques contre les distributeurs de billets montre que les efforts des banques à protéger ces équipements commencent à payer, car les attaques semblent se concentrer sur les réseaux. L’objectif des attaquants est de compromettre les réseaux informatiques des banques, réseaux sur lesquels sont forcément connectés les distributeurs de billets, puis de prendre le contrôle de postes de travail d’administrateur pour enfin prendre le contrôle à distance des distributeurs afin d’en faire sortir des billets récupérées par des personnes sur place… en résumé, nous revenons aux modèles des attaques furtives.


Une étude qui date de la semaine dernière montre qu’Apple n’a pas corrigé les failles de l’EFI découvertes ces dernières années : Thunderstrike 1 (CVE-2014-4498), Thunderstrike 2 (CVE-2015-3692, CVE-2015-3693), CVE-2015-7035, CVE-2016-7585. Pour rappel, ces failles permettent qu’une mise à jour soit réalisée à travers un logiciel malveillant ou un l’insertion d’un périphérique dans le port Thunderbolt ! L’EFI qui gère les couches bases d’un PC juste avant le lancement du système d’exploitation. La prise de contrôle de l’EFI permettrait de circonvenir à l’ensemble des mécanismes de sécurité mis en place au niveau du système d’exploitation ! La protection par mot de passe de l’EFI n’est pas suffisante pour se prémunir contre cette attaque.

L’étude montre qu’Apple n’a pas entièrement patché son parc installé. Par ailleurs, le patch sur certains modèles ne semble pas avoir été correctement installé :

  • 43% des MAC 21.5” data de fin 2015 ne disposent pas de la bonne version de l’EFI
  • Entre 25% et 35% des MacBook Pro date de fin 2016 exécutent trois versions différentes de l’EFI non corrigées
  • 12% à 15% des MacBook Pro datant de début 2011 exécutent deux versions différentes d’EFI non corrigées
  • Sont égalament concernés :
    • 10% des macOS 10.12 (Sierra)
    • 3.4% d’OS X 10.11 (El Capitan)
    • 2.1% d’OS X 10.10 (Yosemite)

10 librairies contenant du code malicieux ont été découvertes par l’agence de sécurité de Slovaquie (NBU) au dépôt PyPI de librairies Python. De fausses librairies ont été intégrées à PyPI en utilisant des noms “presque” similaires à certaines librairies du dépôt. Elles contenaient le code que la librairie initiale à laquelle a été ajouté du code malicieux, le code malicieux ne semble pas être dangereux.

  • – acqusition (uploaded 2017-06-03 01:58:01, impersonates acquisition)
  • – apidev-coop (uploaded 2017-06-03 05:16:08, impersonates apidev-coop_cms)
  • – bzip (uploaded 2017-06-04 07:08:05, impersonates bz2file)
  • – crypt (uploaded 2017-06-03 08:03:14, impersonates crypto)
  • – django-server (uploaded 2017-06-02 08:22:23, impersonates django-server-guardian-api)
  • – pwd (uploaded 2017-06-02 13:12:33, impersonates pwdhash)
  • – setup-tools (uploaded 2017-06-02 08:54:44, impersonates setuptools)
  • – telnet (uploaded 2017-06-02 15:35:05, impersonates telnetsrvlib)
  • – urlib3 (uploaded 2017-06-02 07:09:29, impersonates urllib3)
  • – urllib (uploaded 2017-06-02 07:03:37, impersonates urllib3)

L’utilisation de cette technique, désignée par typosquatting, avait été détectée début août, dans le dépôt npm de package JavaScript et qui permis l’ajout de 38 fausses vraies libraires.

A noter que python est un langage fortement utilisé par les experts en cyber sécurité… et les pirates informatiques.


Outils :

  • Zeus-Scanner : un outil de dorking qui permet de lancer des recherches massives dans les moteurs de recherche de type Google, Bing, DuckDuckGo, etc. Ce type de recherche est important dans le cadre d’une investigation numérique, notamment pour identifier l’activité sur Internet d’une personne masquée derrière un pseudonyme… pour retrouver potentiellement un nom ou une adresse mail : https://github.com/Ekultek/Zeus-Scanner

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *