Mes top 5 actualités cyber sécurité de la semaine dernière (10 au 16 septembre 2019)

de | 18 septembre 2018

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière : Pour sa date d’anniversaire, le gouvernement américain publie le rapport post-incident Equifax… édifiant. EternalBlue est-il la solution ultime contre les versions pirates de Microsoft Windows ?. Une application de sécurité un peu trop intrusive supprimée du store d’Apple. Schneider Electric fournit, avec ses produits, des clés USB infectées par un malware. Voler une Tesla Model S en clonant la clé, c’est possible.


Au-delà l’exploitation de la vulnérabilité Apache Struts qui a servi de point d’entrée aux systèmes d’Equifax, le rapport révèle que l’intrusion n’a pas été détectée, car la sonde de détection n’a pas inspecté les flux https qui avaient été utilisés pour l’exfiltration des données… la raison invoquée : le certificat SSL n’avait pas été renouvelé depuis 10 mois. L’exfiltration a été détectée au moment de l’intégration du nouveau certificat, soit 76 jours après la compromission initiale. Par ailleurs, le rapport montre que l’exfiltration des données a eu lieu de manière progressive : l’attaquant a exécuté par loin de 9 000 requêtes dans 48 bases de données pour récupérer les données des client d’Equifax (aucune limite n’a été configurée dans le base de données pour limiter le nombre de requêtes qui peut être exécuté avec un compte)

Pour l’anecdote, le rapport révèle qu’une note avait été diffusée au sein des équipes techniques d’Equifax concernant la vulnerability Apache Struts… mais que cette note n’ai jamais parvenu à la personne en charge de l’application des patchs !

Une petite dernière pour la route : pas de segmentation des réseaux > toutes les bases de données étaient localisées dans le même sous-réseau. En compromettant le système accessible depuis Internet, l’attaquant a réussi dans un second temps à rebondir sur d’autres bases de données internes d’Equifax, de quoi rouvrir le débat sur la segmentation des réseaux.

Source :


L’éditeur d’antivirus avira a mené une étude pour comprendre pourquoi les ransomwares basés sur EternalBlue, notamment WannaCry and Petya, continuent à se propager, plus d’un an après la vague très médiatisée de compromissions. La raison que l’éditeur invoque est que ces systèmes disposent d’une version crackée de Windows qui ne peut pas être mise à jour. Avira a donc décidé de faire en sorte que ses produits désactivent SMBv1 sur les postes qui utilisent le partage réseau et qui n’ont pas été patchés. Résultat : 300 000 systèmes sont concernés par cette désactivation. Les désactivations ont eu lieu principalement dans les pays suivants (top10) :

  • Indonesie
  • Taiwan
  • Vietnam
  • Thailande
  • Egypte
  • Russie
  • Chine
  • Philippines
  • Inde
  • Turquie

Source :


Apple a retiré de son store l’application Adware Doctor, car des chercheurs ont réussi à détecter que cette application collectait en permanence des données sur les iPhones et iPads dans lesquels elle a été installée. La collecte concernait l’historique de navigation sur Safari, Firefox et Chrome, la liste des applications installées et les processus en cours d’exécution. Ces informations étaient transmises dans un second temps vers des serveurs hébergés dans AWS. Les administrateurs de ces serveurs étaient localisés en Chine.

Cette application permettait de sécuriser la navigation depuis un iPhone. Elle était notée 4,6 étoiles dans le store et été souvent mise en avant dans le store d’Apple dans le top 5 des applications payantes.

L’application coûtait $4,99 : qui a “Si c’est gratuit, c’est que vous êtes le produit” ?

J’avais oublié : le développeur de l’application se nomme Yongming Zhang… probablement en référence à un célèbre tueur en série chinois exécuté en 2013.

Source :


Le constructeur de produits industriels Schneider Electric a annoncé que les clés USB fournies avec le produit Conext ComBox (module de surveillance à distance des onduleurs/chargeurs) et le produit Conext Battery Monitor (module d’affichage de l’état de charge des batteries). Le constructeur déclare que le malware a été introduit dans les chaînes de production de clés USB d’un de ses fournisseurs (Toujours penser à la sécurité de ses fournisseurs : de le talon d’achille de toute organisation)

Le constructeur demande que les clés USB soient détruites. Il recommande d’utiliser son site Internet afin de télécharger la documentation.

La clé USB contient la documentation relative à aux produits et quelques utilitaires… mais heureusement, personne ne lit la documentation.

Source :


Des chercheurs ont réussi à voler une (leur) Tesla Model S en clonant la clé du porteur : il suffit d’être à quelques dizaines de centimètres de ce dernier pour récupérer les informations de la clé. Le coût du dispositif de piratage est de 600$.

Le piratage exploite une faille dans la gestion des clés cryptographique pour la sécurisation de la communication entre la clé et le véhicule pour l’ouverture de la porte. Seules les voitures de la gamme produite avant le mois de juin de cette année sont concernées par cette faille.

Une vidéo de deux minutes a été mise en ligne sur Youtube.. La vidéo est très bien faite au passage.

Le détail de la faille et de son exploitation ne devrait pas tarder à être publiés sur Internet.

A suivre.

Source :