Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

L’Open Source Security Foundation : mieux vaut tard que jamais

Il a plusieurs fois été mis sur la table la difficulté de pouvoir travailler de sorte à optimiser la recherche de bug dans le domaine de l’Open Source.

L’idée de création d’une Open Source Security Foundation est la plus attendu de tous car cela permettra d’organiser au mieux le travail de recherche de bug sur les logiciels Open Source.

Cet article va aussi vous intéresser : Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté

L’arrivée de l’initiative de la Fondation pour la sécurité de l’Open Source mets au cœur de tous les projets la cybersécurité. Si le projet a été établi depuis longtemps, on a du mal à comprendre pour quelle raison il a fallu autant de temps pour le réaliser. Malheureusement, cette durée de la tendance a facilité le fait que les attaquants puissent exploiter les bugs dans les applications Open Source, dans OpenSSL, Apache Struts et plusieurs autres projets du même genre, dont la sécurité a été négligée.

D’où le regret que l’initiative de la création de la Fondation ait pris autant de temps. L’heure est de combiner les efforts pour protéger le logiciel libre. Et cela relève de la responsabilité de chaque entreprise.

Si l’initiative prend vie en 2020, il faudrait alors l’encourager. La construction fragmentée de l’Open Source a beaucoup plus crée sa vulnérabilité. Selon qui Kim Lewandowski, chef de produit sur Google, par ailleurs un membre du conseil d’administration de l’OpenSSF : « nous dépendons tous de l’open source, et il n’y a aucune raison que chacun essaye de résoudre ce problème individuellement ou selon des modalités en silo ». S’il est clair que sa vision est totalement juste, l’on se pose la question de savoir pourquoi avoir autant attendu.

On le rappelle, le principal problème de l’Open Source c’est sa sécurité qui n’est pas limitée à une seule entreprise. Par exemple, si une banque utilise un logiciel Open Source, il est clair qu’elle est en droit de demander que ce logiciel soit sécurisé. Cependant, il est clair que la sécurisation coûtera le paiement d’une certaine somme. Ce qui est totalement contraire aux principes même de l’Open Source, payer pour utiliser une application. Le problème se pose pour presque toutes les entreprises et compris le géant américain Google qui le même contribue généralement la production de logiciel Open Source et les utilisent beaucoup. « Google ne va pas réécrire tous les logiciels open source disponibles aujourd’hui sur Internet, et que nous et nos clients utilisons », explique l’agent de Google, Kim Lewandowski.

Même si Google se donnait les moyens, il ne pourra pas véritablement atteindre l’objectif de ce genre en cas l’univers de l’Open Source est très vaste et continue malgré tout de suite tendres encore plus. Au mieux, il pourra faire son mieux pour corriger la vulnérabilité de OpenSSL ou Apache Struts. Bref, une seule entreprise, peu importe sa force ne peux pas résoudre ce problème seul. Trop de diversité, trop de besoins différents, trop de projets différents. Ce qui rend la résolution d’un problème assez complexe et même avec les moyens financiers disponibles, cela reste quand même une gageure. « Il s’est trouvé des cas où certaines personnes chargées de la maintenance d’un projet refusaient soit d’être payées, soit simplement de s’impliquer dans des modifications dont nous avions besoin ».

Pour les outils de sécurité plusieurs projets du secteur de l’Open Source ont besoin d’être épaulé. Cet aspect censé être prise en charge par la Fondation pour la sécurité de l’Open Source, Histoire d’aider des fondations qui sont déjà en charge, De ce genre de contrôle tel que la Cloud Native Computing Foundation (CNCF) ou d’autres organisations. « Certains audits sont excellents et ont permis de découvrir beaucoup de choses, mais si l’auditeur ne va pas au bout de l’audit, les projets peuvent se retrouver bloqués avec une montagne de corrections en suspens », note Kim Lewandowski. Elle ajoute par ailleurs qu’il arrive parfois que « les gens se contentent aussi de corriger des bogues, juste pour réussir l’audit ou en quête de solution rapide, mais sans résoudre le problème de sécurité sous-jacent ».

Le véritable problème actuellement et de pouvoir rassembler toute une communauté autour d’un but commun. L’identification et la résolution des problèmes de sécurité. Comme l’explique le chef de produit de Google : « l’OpenSSF envisageait actuellement différentes modalités pour inciter les contributeurs à résoudre les vulnérabilités de sécurité, même s’il est probable que cela ne sera pas forcément plus simple. Par exemple, certaines entreprises sont prêtes à apporter l’expertise de leurs ingénieurs pour aider à corriger les bogues, ce qui est une bonne chose. Mais l’OpenSSF peut-elle les tenir responsables de ces modifications ? Par exemple, si un certain nombre d’entreprises, membres de l’OpenSSF, engagent chacune cinq ingénieurs, comment faire preuve de responsabilité pour que tous ces ingénieurs fassent exactement ce que nous attendons qu’ils fassent au sein de la Fondation ? Ce sont des problèmes difficiles, et nous avons besoin d’une aide supplémentaire pour cela ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

TrickBot selon AdvIntel

Récemment dans un rapport publié par la société AdvIntel, il a été observé le mouvement d’un nouveau module TrickBot, appelé par les chercheurs « PermaDll32 ».

Ce nom a attiré l’attention des chercheurs car il paraissait être un dérivé de l’expression « permanent », c’est qu’il a fait penser à un module qui pourrait causer des effets de type persistant.

Cet article va aussi vous intéresser : L’UEFI : cible persistante de TrickBot

Selon l’analyse des chercheurs sécurité informatique, ce module avait la fonctionnalité de lire les informations présentes dans le microprogramme BIOS et aussi dans le programme UEFI, lorsqu’il arrivait infecté de machines. « Ce code de bas niveau est stocké dans la puce de mémoire flash SPI de la carte mère d’un ordinateur et est responsable de l’initialisation du matériel pendant le processus de démarrage et de la transmission du contrôle au système d’exploitation. » explique Lucian Constantin, CSO.

La découverte a été faite par les chercheurs de AdvIntel et de Eclypsium, qui est connu possédée une spécialisation dans la sécurité des firmwares. Les deux sociétés se sont associées pour mieux analyser le récent module de TrickBot et déterminer ce à quoi il pourrait bien servir. Selon cette enquête : « le module PermaDll32 déploie un pilote appelé RwDrv.sys » qui vient de RWEverything, un programme gratuit assez populaire ayant la fonctionnalité de permettre à ses utilisateurs de lire et d’écrire dans les micrologiciels des composants matériels, c’est compris le contrôleur SPI présent pour l’UEFI.

« Le module TrickBot utilise cette capacité pour identifier la plateforme matérielle Intel sous-jacente, vérifier si le registre de contrôle du BIOS est déverrouillé, et si la protection en écriture BIOS / UEFI est activée. Pour que la chaîne de démarrage complète soit sécurisée, le micrologiciel UEFI doit être protégé en écriture, mais les fabricants OEM d’ordinateurs ont souvent laissé cela mal configuré dans les systèmes par le passé. » explique Lucian Constantin. Cette fonctionnalité a permis à des groupes des pirates informatiques spécialisés dans le cyber espionnage de déployer les logiciels malveillants furtifs. « Je pense qu’il y a probablement des millions d’appareils vulnérables à ce problème encore sur le terrain », a expliqué à CSO Jesse Michael, chercheur principal pour Eclypsium. « Je n’ai pas le nombre d’appareils visés, mais c’était une chose très courante avant 2017 et même après 2017, nous voyons encore certains appareils sortant d’usine livrés avec cette vulnérabilité. Les fournisseurs de premier plan font ce qu’ils peuvent pour combler ce trou de sécurité », ajoute-il.

Le problème est bien connu. On rappelle qu’une faille semblable avait été exploité dans le passé. Cela a servi à des cybercriminels à déployer des implants UEFI par les pirates informatiques du groupe APT 28 à travers l’attaque LoJax ou encore avec les pirates informatiques de MossaicRegressor.u plus récemment. Pourtant, il demeure de nombreuses failles de sécurité UEFI et plusieurs erreurs de configuration au niveau des matériels qui sont constamment signaler depuis maintenant des années. Des vulnérabilités qui pourraient être exploitées par TrickBot plus tard.

« Les implications pour la sécurité nationale résultant d’une campagne de malware généralisée capable de brancher des appareils sont énormes », avertissent les chercheurs. « Le module TrickBoot cible tous les systèmes Intel produits au cours des cinq dernières années. D’après l’analyse Eclypsium, la plupart de ces systèmes restent vulnérables à l’une des multitudes de vulnérabilités de micrologiciel actuellement connues, avec une plus petite proportion susceptible d’être sensibles au problème de mauvaise configuration ».

La meilleure manière de se protéger contre les attaques des genres et bien sûr de faire constamment les mises à jour du BIOS / UEFI. Au fur et à mesure les vulnérabilités connues sont en train d’être corrigées. Il est important de faire les mises à jour car ce sont des choses qui sont pour la plupart négligées. Une routine simple mais sans savoir pourquoi est difficilement respecté par les entreprises.

« Souvent, les gens se concentrent sur les mises à jour du système d’exploitation et négligent les mises à jour du micrologiciel », note Jesse Michael. « Vous avez donc peut-être une mise à jour du micrologiciel pour votre système que vous pouvez déployer pour résoudre ce problème, mais comme vous ne l’avez pas, parce que vous n’incluez pas les mises à jour du micrologiciel dans vos opérations informatiques normales, vous mettez plus de temps pour les appliquer. A titre préventif vous devez inclure les mises à jour du micrologiciel dans vos processus normaux ».

Il est possible de résoudre ce problème. Cependant, il faudra résoudre d’abord un autre celui du manque de visibilité des problèmes liés au micrologiciel, lors de l’analyse des vulnérabilités.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cyberattaques 2020 : toujours plus de victimes

Le nombre de victimes d’attaques informatiques ne cesse de croître.

Depuis le début de l’année, le secteur de l’informatique n’a pas cessé d’être alerté et ballotté. Avec la pandémie à coronavirus, les cybercriminels sont passés à la vitesse supérieure. Les demande de rançon se sont multipliées. Les Attaques sont devenues beaucoup plus pertinente qu’avant. Si 2019 avait été désigné comme l’année des rançongiciels, il est clair que 2020 avec tout ce qui se passe l’a nettement détrôné. En effet selon l’agence nationale de sécurité de système d’information, on assiste à une « augmentation sans précédent » de l’utilisation du ransomware.

Cet article va aussi vous intéresser : L’année 2020 compte déjà deux fois plus d’attaques que 2019 selon l’ANSSI

Lors de son échange avec le sénat, Guillaume Poupard, le patron de l’Agence nationale de sécurité des systèmes d’information, a noté que les attaques au rançongiciels en 2020 en France, se multiplient par « trois ou quatre ». Il notait que « C’est quelque chose de particulièrement inquiétant ». Selon ce dernier, il n’y a rien qui permet de dire que ce problème baisser en intensité à court terme. En effet, en observant de plus près on se rencontre que le nombre d’entreprises touchées par les cyberattaques continue de monter en flèche. Chaque semaine une victime nouvelle est signalée.

On compte parmi les victimes en non seulement de grandes entreprises, comme la société Sopra Steria affiliée au secteur de la défense, comme fournisseur de solution numérique (ayant perdu près de 40 à 50 million d’euros suite à une attaque au rançongiciels) où la collectivité territoriale telle que les villes d’Alfortville, de Vincennes où la collectivité de Marseille. Les petites entreprises ne sont pas en marge cette explosion de la cybermalveillance.

Selon la plateforme de prévention gouvernementale contre la cybermalveillance, près de 1 328 victimes ont pu être recenser.

Le mode opératoire des cyberattaquants est purement un classique. La plupart de ces actes de cybermalveillance ont commencé par l’envoi d’un courriel corrompu. Un courriel qui contient bien sur une pièce jointe. « Nous ne sommes plus dans la caricature de l’email mal traduit avec des fautes, c’est désormais suffisamment perfectionné pour qu’une personne qui n’a pas les automatismes se fasse avoir », signifie, Brice Augras, hacker éthique, patron d’une société de conseil brestoise BZHunt. Avec l’ouverture créé par la pièce jointe, les pirates informatiques pourront alors s’introduire dans le système informatique de l’entreprise ciblée. « L’ouverture de la pièce jointe va permettre aux attaquants de s’introduire dans l’informatique de l’entreprise. Les cybercriminels, après avoir fait le tour à distance des ordinateurs, chiffrent les fichiers Excel, les documents PDF ou Word, puis exigent une rançon en cryptomonnaie. Les sommes demandées vont de quelques milliers d’euros à un demi-million d’euros, une somme demandée cette année à une entreprise bretonne », explique Brice Augras.

À ce niveau, il a été observé que les attaques aux programmes de rançon devenaient trop rentables pour ses opérateurs malveillants. Ce qui est de nature à les encourager et les pousser à faire plus et à être plus exigeant.

« Aux premières demandes de rançons qui visaient sans distinction les internautes, il y a quelques années, ont succédé des attaques plus ciblées en direction des entreprises, avec parfois des demandes de rançon ajustées en fonction du chiffre d’affaires des sociétés. Si l’on ignore avec certitude l’identité des criminels derrière ces logiciels, les activités d’informaticiens d’Europe de l’Est sont regardées de près. Parfois à raison. » explique l’hacker éthique. Un exemple pour expliquer cette situation, nous avons le procès qui s’est tenu à la mi-octobre, qui est assez rare en son genre, mais qui mi à nu le cas d’Alexander Vinnik qui avait été suspecté, d’avoir été impliqué dans les agissements de logiciel de rançon Locky. La décision du juge n’a pas encore été rendu et ne saurait tarder apparemment.

La situation continue de s’empirer. Certains spécialistes de la sécurité commencent à craindre pour l’année 2021. Les organisations doivent se préparer à aborder la nouvelle année avec beaucoup de complexité, et de stratégie. Car c’est ce que feront les cybercriminels. Selon plusieurs études, que ce soit au niveau des logiciels de rançon, l’ingénierie sociale et les vulnérabilités affectant les dispositifs liés à l internet des objets, il y aura une certaine évolution de la cybermalveillance.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’UEFI : cible persistante de TrickBot

Récemment les chercheurs en sécurité informatique la société AdvIntel ont fait une étonnante découverte.

Un module TrickBot permettant aux logiciels malveillants de persister et continuer à agir quand bien même que le système ciblé a été reformater ou remplacer. Une fonctionnalité qui ne va pas rendre la tâche facile aux responsables de sécurité de système d’information.

Cet article va aussi vous intéresser : Trickbot : Microsoft et les autorités Américaines contre le réseau de zombie le plus important au monde

De façon technique, on notera que TrickBot, utilise une plate-forme qui a la possibilité d’identifier les modules matériels tournant sur Intel mais de façon sous-jacente. Il permet alors de vérifier le registre de contrôle du BIOS, pour s’assurer qu’il est déverrouillé ou l’absence d’une quelconque protection.

Une évolution assez inquiétante du programme TrickBot, qui donnait déjà du fil à retordre aux professionnels. À titre de rappel, il faut noter que TrickBot est un Botnet c’est-à-dire un réseau d’ordinateurs connectés de façon frauduleuse dans le but de générer de la puissance de calcul, servant généralement aux pirates informatiques de passerelle d’accès aux réseaux des entreprises pour injecter des rançongiciels où d’autres programmes malveillants pour les soumettre à leur contrôle. Grâce aux nouveaux modules identifiés par les chercheurs en sécurité, le Botnet peut dorénavant rechercher la configuration UEFI qui présente des failles de sécurité sur des systèmes qu’ils ont précédemment infectés. Ce qui permet alors au cyber attaquants de pouvoir déployer des portes dérobées, de niveau si bas, qu’il est compliqué au les chercheurs de les supprimer.

À titre de précision signifions que l’UEFI pour « Unified Extensible Firmware Interface » est un outil qui permet de s’assurer que sur un système informatique aucun logiciel malveillant du genre rootkit (utilisé par les pirates informatiques pour modifier les systèmes d’exploitation dans le but de cacher des programmes malveillants, de transférer des données ou des portes dérobée), n’est installé. Rappelons de ce fait que Kaspersky annonçait avoir découvert un rootkit du nom de MoazaicRegressor, qui s’attaque à principalement aux disques UEFI.

« Cela marque une étape importante dans l’évolution de TrickBot », ont précisé les chercheurs des sociétés de sécurité informatique Advanced Intelligence (AdvIntel) et Eclypsium dans leur récent rapport publié aujourd’hui. « Les implants de niveau UEFI sont la forme de bootkits la plus profonde, la plus puissante et la plus furtive. Étant donné que le micrologiciel est stocké sur la carte mère par opposition aux lecteurs système, ces menaces peuvent fournir aux attaquants une persistance continue, même si le disque est remplacé. De même, si le micrologiciel est utilisé pour brique un appareil, les scénarios de récupération sont nettement différents et plus difficiles que la récupération à partir du cryptage traditionnel du système de fichiers qu’une campagne de ransomware comme Ryuk, par exemple ». Notent-elles.

Pour en revenir à TrickBot, c’était à la base un programme en malveillant de type cheval de Troie. Il faisait ses armes généralement dans le domaine de la fraude bancaire en ligne et du vol d’identifiant de connexion tels que des mots de passe et de noms d’utilisateurs.

Aujourd’hui, il se présente comme une vaste plateforme de cybercriminalité qui s’étend à plusieurs fonctionnalités et capacités qui prend en compte les analyses RDP, les accès à distance passant par le VNC plus, les exploits à travers les vulnérabilités SMB.

Plusieurs opérateurs ont été observés derrière l’utilisation de TrickBot. Parmi tant d’autres, il y a le célèbre groupe connu dans le secteur de la cybersécurité du nom d’Overdose ou The Trick. Il utilise le programme malveillant pour accéder aux réseaux d’entreprises, pour ensuite mettre à la disposition d’autres groupes des cybercriminels les accès obtenus, en particulier les opérateurs qui sont derrière le rançongiciel Ryuk. Le groupe Lazarus, connu comme un groupe de pirate informatique travaillant pour le compte de l’État Coréen aurait aussi user de TrickBot dans le but de développer des portes dérobées.

Selon les chercheurs en sécurité informatique, les opérateurs du programme TrickBot offrent le plus souvent leur service au groupe de catégorie APT où aux groupes de pirates informatiques de catégorie supérieure.

En octobre dernier, la société de Redmond Microsoft et plusieurs autres organisations se sont réunies pour porter un coup important sur les Infrastructures de commande et de contrôle du programme malveillant TrickBot. Si l’opération a été un succès, il n’en demeure pas moins que le Botnet vit toujours. En novembre, plusieurs compagnes de cybercriminalité en été initié en se fondant sur ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Open Source : ces failles de sécurité qui passent inaperçues au détriment de la communauté

Récemment, des spécialistes on mit en évidence un fait qui se présente comme problématique.

C’est le fait que les vulnérabilités qui affectent les applications Open Source passent inaperçues à cause des moyens peu alloués pour leur recherche et leur correction. On parle de près de 4 ans avant que ces failles de sécurité ne soient découverte.

Cet article va aussi vous intéresser : Windows XP : le code source du système d’exploitation de Microsoft disponibles en ligne

C’est le résultat du rapport intitulé « State of the Octoverse » de la plate-forme GitHub, spécialisé dans le développement et l’hébergement de logiciel Open Source.

L’avantage avec le logiciel Open Source, c’est que leurs développeurs permettent la consultation de leur code source par toutes les personnes intéressées par leur travail, contrairement à ceux qui permettent la consultation en échange du versement d’une somme d’argent.

À cause de la non rémunération de l’Open Source, la ressource humaine se fait rare. Il devient alors difficile de travailler sur la détection et la correction des failles de sécurité.

À titre d’exemple, Heartbleed est une vulnérabilité logicielle qui affecte la bibliothèque de cryptographie OpenSSL depuis mars 2012. Cette Faille de sécurité permet aux opérateurs pirates informatiques de prendre connaissance de la mémoire d’un serveur client pour récupérer des données importantes, lors d’une communication avec le protocole TLS (Transport Layer Security).

Une vulnérabilité qui touche plusieurs services Internet depuis longtemps ne fut découverte qu’en 2014, et porté à la connaissance de grand public en Avril. Ce qui veut dire que le pirate informatique a eu 2 ans pour exploiter et étudier de fond en comble la faille de sécurité. Exposant par ce fait des milliers de serveur à travers le monde. C’est grâce à un chercheur bénévole que la vulnérabilité a été découverte. Elle aurait été présente dans le référentiel de OpenSSL lors d’une proposition de correction d’autres failles de sécurité accompagnée d’amélioration de fonctionnalités. En clair, c’est une faille de sécurité qui a été introduite par erreur. Ce genre de faille de sécurité représente littéralement 83 % des vulnérabilités découvertes sur les projets Open Source présente sur la plate-forme GitHub.

Cependant, le rapport de la plateforme de Microsoft, il est précisé aussi que 17 pourcents des failles de sécurité découvertes ont été expressément introduites par des personnes de mauvaises intentions. Un rapport intitulé Risksense publiait récemment que les failles de sécurité des sources étaient croissantes. Et cela se comprend par le fait que beaucoup de projets informatiques de nos jours se fondent sur les recherches Open Source. Ce qui accroît l’intérêt des personnes souvent les d’intention malveillantes.

« Les failles de sécurité des logiciels open source passent parfois sous les radars de la détection pendant 4 ans avant d’être révélées en raison des faiblesses du modèle de financement de la sphère » précise le rapport. « Le modèle de financement de la sphère Open Source est parmi les facteurs les plus susceptibles d’expliquer que les failles de sécurité au sein des logiciels passent sous les radars pendant des périodes aussi importantes. ».

Certaines Initiatives essaient tant bien que mal de soutenir les projets de logiciels libre. Il y a notamment la Core Infrastructure Initiative (CII). Mais bien sûr, ces projets sont assez rares. La Core Infrastructure Initiative est l’un des groupes à avoir alerté et réagit face à la découverte de la vulnérabilité critique Heartbleed dans la bibliothèque OpenSSL, étant utilisé par des millions de sites internet. Le problème avec cette initiative, c’est que sa portée est assez limitée, car il faudra compter sur des apports financiers extérieurs en particulier, venant d’acteurs propriétaires de logiciels, dont Facebook, Microsoft, Oracle, VMWare, Comcast comme les principaux.  Ces mêmes propriétaires de logiciels qui financent aussi la Linux Foundation et d’autres projets similaires. Une aide financière ne saurait se faire sans contrepartie à un certain niveau. Car ils possèdent alors, à cause de leur contribution, des sièges au conseil de décision, étendant ainsi leur contrôle même dans l’univers du logiciel libre. Bryan Lunduke dit à ce propos : « La conséquence immédiate est que les projets open source qui bénéficient de financement sont ceux sur lesquels leurs infrastructures s’appuient en majorité. ». Ce qui met à l’écart celles qui ne sont pas beaucoup utilisées par ces mêmes infrastructures qui financent.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage