Tous les articles par admin

Passionner l'informatique, nous travaillons dans la sécurité informatique afin de proposer des conseils à nos lecteurs pour qu'ils évitent de se faire pirater leurs comptes et leurs mots de passe.

Failles de sécurité : la vulnérabilité dans HashiCorp Vault décryptée par un exploit

En Août dernier, Vault de Hashicorp, une solution de coffre-fort sécurisé (solution permettant de sécuriser des tokens, des certificats, des mots de passe, des clés de chiffrements accessibles en ligne de commande, des API HTTP ou interface utilisateur) avait été découvert par deux vulnérabilités.

Des failles de sécurité critiques (CVE-2020-16250/16251), qui aujourd’hui sont bien évidemment corrigé. Cependant l’équipe de cybersécurité de Google, le Project Zéro a décidé de faire une description du mode opératoire permettant d’utiliser ces vulnérabilités. Un exploit qui a mis en avant le problème de la sécurité des solutions cloud en ce qui concerne en la gestion des identités.

Cet article va aussi vous intéresser : Une faille de sécurité touchant des cartes Visa permettant des pirates avec des smartphones tournant sous Android d’effectuer des paiements sans contact

« Un très bon développeur peut être capable de raisonner sur toutes les limites de sécurité, les exigences et les pièges de son propre logiciel, mais cela devient très difficile une fois qu’un service externe complexe entre en jeu », a notifié, Felix Wilhelm, un chercheur en sécurité de Project Zero.

C’est littéralement l’une des pires éventualités pour un coffre-fort sécurisé d’être touché par une faille de sécurité. Dans ce contexte il y en avait deux. Encore pire. Bien sûr il ne faut pas se leurrer. À l’instar de tout programme informatique ou tout système, il y a toujours une vulnérabilité quelque part. On peut prendre l’exemple de Last Pass, qui a corrigé plusieurs failles de sécurité affectant sa composition. Mais bien sûr le pire est passé vu que les vulnérabilités ont déjà été corrigées.

L’équipe de spécialistes en recherche de faille de sécurité de Google, un mois plus tard a décidé de faire une meilleure approche de la vulnérabilité et de ses potentielles conséquences. Si ces vulnérabilités étaient tombées entre les mains de personnes mal intentionnées. « L’interfaçage avec Vault nécessite une authentification, et Vault prend en charge le contrôle d’accès basé sur les rôles pour régir l’accès aux secrets stockés », note les chercheurs en sécurité informatique de Google dans un billet de blog. « Pour l’authentification, il prend en charge les méthodes d’authentification enfichables allant des informations d’identification statiques, LDAP ou Radius, à l’intégration complète dans les fournisseurs tiers OpenID Connect ou les plateformes Cloud Identity Access Management ». Les vulnérabilités ont été précisément découvertes lors de l’utilisation de plate-forme tierces IAM cloud, celle fournie par Amazon Web services mais aussi GCP.

« J’ai écrit un POC d’exploit qui touche à la création et de la sérialisation de JWT. Bien que la configuration du fournisseur OIDC ajoute une certaine complexité, nous nous retrouvons avec un joli contournement d’authentification pour les rôles activés arbitrairement par AWS. La seule exigence est que l’attaquant connaisse le nom d’un rôle AWS privilégié dans le serveur Vault cible », note Felix Wilhelm, le chercheur en sécurité de Projet Zero. « AWS IAM ne dispose pas d’un moyen simple de prouver l’identité d’un service à d’autres services non AWS. Les services tiers ne peuvent pas facilement vérifier les demandes pré-signées et AWS IAM ne propose aucune signature primitive standard qui pourrait être utilisée pour implémenter une authentification basée sur des certificats ou des JWT. En fin de compte, Hashicorp a corrigé la vulnérabilité en appliquant une liste d’autorisation d’en-têtes HTTP, en limitant les demandes à l’action GetCallerIdentity et en validant plus fortement la réponse STS, ce qui, espérons-le, est suffisant pour protéger contre les modifications inattendues de l’implémentation STS ou les différences de l’analyseur HTTP entre STS et Golang. »

Le chercheur de Google précise par la suite : « Il est important de noter que le compte AWS utilisé pour cela n’a pas besoin d’avoir de relation avec notre cible ».

« Nous pouvons maintenant utiliser notre OIDP pour signer un JWT qui contient un GetCallerIdentityResponse arbitraire […] Si tout se passe comme prévu, STS reflétera le sujet du jeton dans le cadre de sa réponse codée JSON ». Note ce dernier. Au moment où, le décodeur Go XML ne prendra pas en compte tout le contenu de l’objet GetCallerIdentityResponse, Vault sera amené à considérer cette information comme une réponse STS CallerIdentity correct donc le validera.

« La dernière étape consiste à convertir cette demande sous la forme attendue par Vault et de l’envoyer au serveur Vault cible en tant que demande de connexion sur / v1 / auth / aws /s’identifier. Vault désérialise la demande, l’envoie à STS et interprète mal la réponse. Si AWS ARN / UserID GetCallerIdentityResponse a des privilèges sur le serveur Vault, il est alors possible de récupérer un jeton de session valide, que nous pouvons utiliser pour interagir avec le serveur Vault pour récupérer des données secrètes ». Explique Felix Wilhelm

Pour sa conclusion, le chercheur de Project Zero de Google déclare : « Les solutions IAM cloud modernes sont puissantes et souvent plus sécurisées que les solutions sur site comparables, mais elles présentent leurs propres écueils de sécurité et une grande complexité de mise en œuvre. Alors que de plus en plus d’entreprises se tournent vers les grands fournisseurs de cloud, la familiarité avec ces piles technologiques deviendra une compétence clé pour les ingénieurs et les chercheurs en sécurité et il est prudent de supposer qu’il y aura beaucoup de problèmes similaires dans les prochaines années ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Les entreprises sont de plus en plus confrontées à des attaques sophistiquées

La lutte contre la cybercriminalité est devenue un pan essentiel pour le développement des entreprises.

Il a été observé de manière générale une hausse des attaques informatiques visant tout type d’organisation. Pourtant les entreprises sont les plus touchées. Et bien sûr les attaques sont des plus en plus évoluées.  Les entreprises de plus en plus exposées. En particulier avec la généralisation du télétravail qui un mode qui s’est littéralement imposé a beaucoup d’entreprises qui n’y était pas préparées. Le défi qui s’impose alors à beaucoup d’entreprises et responsables d’entreprise, et la protection des systèmes d’information et des données informatiques.

Cet article va aussi vous intéresser : Une hausse des attaques informatiques chez 93 % des entreprises Françaises

Le télétravail qui a été imposé aux entreprises à cause du confinement a démontré beaucoup de limites dans la gestion de la sécurité informatique dans beaucoup de sociétés. Cette pratique a permis de soulever beaucoup de questions dans la réponse pourrait apporter d’une certaine manière des solutions

« Cela a créé un certain nombre de défis, car toutes les sociétés n’étaient pas forcément prêtes. L’accès à distance aux systèmes de l’entreprise était donc plus compliqué. Pour celles qui étaient moins préparées, des risques supplémentaires sont apparus: les ordinateurs personnels pouvaient par exemple devenir un vecteur d’entrée et d’attaque pour les cybercriminels », note Olivier Reisch, avocat associé chez DLA Piper Luxembourg, responsable de l’équipe propriété intellectuelle et nouvelles technologies. Un autre point essentiel portait sur la surveillance des employés. « Ce ne sont pas des questions nouvelles, mais au Luxembourg, des règles strictes existent au niveau de cette surveillance, avec notamment des obligations de consultation des salariés et certains pouvoirs d’intervention de la CNPD. » ajoute l’avocat.

Une force est de constater malheureusement que depuis quelques années, la cybercriminalité est en pleine professionnalisation. Ces derniers continuent de s’améliorer non seulement sur le plan de l’organisation, mais aussi sur leur modèle économique telle une entreprise classique. Ce ne sont plus des attaques solitaires ou isolées de ci et par là. Ce sont maintenant des groupes très bien organisés, avec une stratégie bien définie qui initie des cyberattaques tellement sophistiquées que cela ressemble à un plan la mise en route d’une stratégie commerciale d’entreprise. Et tout cela dans le cadre d’une pénétration illégale dans les systèmes informatiques.  Avocat spécialisé en propriété intellectuelle et protection des données personnelles, counsel chez DLA Piper Luxembourg, David Alexandre, notait : « Il y a un fort élément humain qui rentre en ligne de compte. La formation en interne est importante pour être sensibilisé aux différents types d’attaques de plus en plus sophistiquées ».

Un autre point important à mentionner, ce ne sont plus les grandes entreprises qui sont les cibles privilégiées des cybercriminels. Aujourd’hui les petites et moyennes entreprises sont beaucoup plus touchées par ce fléau. « Il y a quelques années, les attaques étaient menées à plus grande échelle, sans discrimination. Les serveurs étaient attaqués au hasard via des outils automatisés. Maintenant, cela devient de plus en plus ciblé », admet Olivier Reisch.

Les petites entreprises ne disposent pas de suffisamment de ressources pour assurer leur sécurité informatique à grande échelle contrairement aux grandes entreprises. Cela les rend beaucoup plus vulnérables alors « Cela reste du cas par cas, tout dépend de la politique de sécurité de chaque entreprise », affirme David Alexandre.

Toutefois, la crise au sanitaire a permis de sensibiliser d’une certaine manière la conscience en général du véritable danger que représente la cybercriminalité. L’utilisation massive des solutions numériques a démontré à quel point les entreprises, peu importe leur taille et leur secteur étaient vulnérables. Et ce ne sont pas des cas d’exemple qui manquent.

« Nous assistons à un changement. La cybersécurité et la protection des données pouvaient être perçues comme un coût. Elles sont maintenant un argument de vente pour attirer les clients », déclare David Alexandre.

Alors on se demande si cela deviendra une priorité ?

En pratique, l’on a observé un certain écart des entreprises et organisations européennes par rapport à celles des États-Unis. « Le secteur financier luxembourgeois est plutôt bien préparé, car les règles en matière de sécurité informatique sont extrêmement strictes. Les acteurs au Luxembourg font généralement partie de grands groupes internationaux et bénéficient de leur expérience. »

Parlons alors de la sophistication des attaques informatiques. La cyberattaque la plus commune est la plus pratiquée pour soutirer le maximum d’argent aux organisations, en particulier aux entreprises et le rançongiciels. Aujourd’hui les cybercriminels ne se contentent plus de chiffrer l’accès au réseau informatique ou aux données des entreprises à qu’ils ciblent. Ils font de l’extraction de données, et menaces de les divulguer si l’entreprise refuse de payer la rançon exigée.

« Nous observons des conversations très professionnelles entre criminels et victimes, c’est bluffant! Les premiers mènent les négociations de rançon tout en expliquant les conséquences pour les secondes d’une divulgation des données en termes de chiffre d’affaires, de réputation, de coût », souligne Olivier Reisch.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Traçage mobile : le gouvernement Québécois rassure sur la fiabilité la sécurité de l’application

À l’instar de plusieurs pays à travers le monde, le Québec envisage toujours déployer une application de traçage mobile dans le but de contrôler les interactions dans le cadre de la lutte contre le Covid-19.

Malgré plusieurs oppositions de la part des spécialistes de la sécurité et des opposants politiques, le gouvernement semble à tenir à son projet. À cet effet, il invite l’ensemble des Québécois à utiliser massivement l’application de traçage.

Cet article va aussi vous intéresser : Traçage mobile : le Québec se dirige de plus en plus vers l’adoption d’une application de suivi

Alerte CoVid a vu bel et bien le jour. Il permettra d’avertir toute personne ayant été en contact avec une autre qui elle est infectée par le virus. Depuis ce lundi, elle est à la disposition des citoyens québécois. Bien sûr son efficacité va dépendre de l’utilisation des personnes ciblées.

« Le ministre responsable de la Transformation numérique [Éric Caire] a regardé l’application sous toutes ses coutures. Il est arrivé à la conclusion que c’est fiable et sécuritaire », a signifié lors d’un point de presse, ce lundi, François Legault.

Le gouvernement donne alors la confirmation qu’il s’investira au maximum pour que l’utilisation de l’application de traçage mobile puisse porter ses fruits. En aidant à réduire au maximum la contamination. On retient tout de même que l’adhésion à l’application de traçage est totalement gratuite. L’utilisation reste anonyme et non obligatoire telle le précise le premier ministre.

Son fonctionnement est basique et ressemble à peu près à ce qui a déjà été fait dans d’autres pays. Lorsqu’une personne reçoit un diagnostic le déclarant positif au covid-19, il entre les formations dans l’application de sorte que toutes les personnes ayant été en contact avec lui il a moins de 2 mètre, sur au moins 15 minutes, pendant les 2 semaines qui ont précédé la notification, sont immédiatement averti.

Bien sûr, cela ne serait fonctionné que si l’application est utilisée par beaucoup de personnes. Un enjeu et non négligeable pour le gouvernement.

« Le nerf de la guerre, c’est l’utilisation. Il faut que le plus grand nombre possible de citoyens téléchargent l’application pour qu’elle soit efficace », précise M. Caire. 

Selon quelques spécialistes de la sécurité informatique, l’application de traçage fourni par le gouvernement québécois présente une infrastructure assez sécuritaire.

« De tous les choix que le gouvernement avait, il s’agit de la meilleure application. Elle a été développée de sorte qu’elle ne récolte pas d’informations sur les gens », note Jean-Philippe Décarie-Mathieu. Mais il précise par la suite que cela ne fait pas dire qu’il n’y a aucun enjeu à ce sujet.

Si le gouvernement n’a pas déployé l’application le plus tôt, comme l’attendaient beaucoup de personnes, c’était pour éviter le maximum de fuite des données personnelles, comme l’explique Steve Waterhouse, l’ancien spécialiste de la sécurité informatique du ministre de la Défense nationale. Il rassure en notifiant que le problème est dorénavant réglé.

Cependant, pour lui le bémol se situe au niveau de l’utilisation du Bluetooth comme technologie centrale de l’application. Le Bluetooth connu du milieu comme étant rempli vulnérabilité mais aussi peu efficace

« C’est mauditement pas efficace pour faire de la mesure de distance », déclare-t-il. « Et ça ne prend pas en considération certains facteurs, comme si les gens portent le masque ou même s’ils se trouvent sur deux étages différents. Ça va donc générer des faux positifs qui vont se présenter pour rien [à des centres de dépistage] », ajoute ce dernier.

Notons par ailleurs que l’application de traçage du gouvernement québécois a été développée sur la base d’un logiciel Open Source. Ce qui signifie que l’ensemble des spécialistes en la matière peuvent avoir accès à son code source en et l’étudier. Ce qui a notamment le mérite de la rendre plus sécuritaire selon certains experts de la sécurité informatique

« S’il y avait eu des brèches de sécurité, elles auraient été détectées depuis longtemps », note Éric Caire, le ministre délégué à la Transformation numérique.

On retient alors que le Québec devient la huitième province du Canada à se doter d’une application de traçage mobile pour lutter contre le covid-19.

Quant aux résultats de cette initiative il faudra attendre encore quelques mois. Tout en espérant que cela ne soit pas et un échec total, comme le fût celui de l’application française.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cyberattaques : l’Organisation Maritime Internationale a été victime d’une attaque informatique sophistiquée

Aucune organisation n’est épargnée par la cybercriminalité en pleine hausse.

Nous apprenons que très récemment, l’organisme chargé de veiller au maritime internationale a été touché par une attaque informatique. Si dans la pratique les conséquences sont censées être minimes, il faudrait s’inquiéter de l’ampleur que prend les choses.

Cet article va aussi vous intéresser : Le gouvernement Australien au prise une cyberattaque massive

L’organisme international a signifié que son système est dorénavant restauré. Mais selon les experts, cet incident informatique aurait pu tourner au vinaigre. En effet il faut signifier que cette structure sous la houlette de l’Organisation des nations unies a sous sa responsabilité plus de 400 milles marins. Des marins qui sont pour la plupart bloqués en mer à cause de plusieurs restrictions liées à la pandémie au covid-19.

L’agence internationale chargée des questions maritimes a été touchée par une attaque dit-on, sophistiquée. Mais plus de peur que de mal, car l’ensemble des systèmes aujourd’hui fonctionne correctement. Pour réussir à contenir le programme malveillant qui était la source de l’incident informatique, l’administration centrale a procédé à la fermeture de certains systèmes clés.

Pour le moment la nature de la cyberattaque n’a pas encore été précisée. Ce que l’on peut dire avec certitude, c’est que plusieurs systèmes et services en ligne ont connu des dysfonctionnements. Par contre, le service de messagerie et la plateforme de conférence ainsi que de collaboration à distance n’ont pas été touché par le problème. Par ailleurs l’Agence internationale n’a pas signifié qu’il y a eu un quelconque vol des données.

Pour régler au plus vite l’incident informatique, plusieurs experts en sécurité de rang mondial ont été dépêché immédiatement sur le terrain pour « restaurer les systèmes dès que possible, identifier la source de l’attaque et améliorer les systèmes d’information », explique l’organisme international. Pour le moment elle n’a fait état d’aucune une enquête ou poursuites judiciaires.

« Les serveurs de fichiers du siège de l’OMI sont situés au Royaume-Uni, avec des systèmes de sauvegarde étendus à Genève. Le système de sauvegarde et de restauration est régulièrement testé », précise l’organisme international. « Pour s’introduire dans les systèmes d’information, les cyberattaquants ont donc surmonté les mesures de sécurité rigoureuses », explique ce dernier.

Comme il a été signifié plus haut, les conséquences d’un tel incident aurait peut-être plus dramatique. En effet, notons que l’organisation maritime internationale a à sa charge la régulation des océans. Elle joue aussi un rôle très important dans la gestion de cette crise sanitaire que le montre avis. Surtout par la gestion de 400 milles marins qui sont bloqués dans leur navire, à cause des mesures barrières imposées par les règles de sécurité dû au covid-19. Si les pirates informatiques avaient réussi à bloquer les réunions, cela aurait pu compromettre les échanges des informations très importantes, voir nécessaire dans la gestion de la crise actuelle.

Cela n’est pas une première pour l’Organisation des nations unies. Les organisations internationales en général sont le plus souvent victimes de cyberattaques qu’elles prennent un malin plaisir à les dissimuler. En 2019, on se rappelle que l’ONU était victime d’une fuite de données impliquant près de 4000 employés. Un incident qui n’a été révélé que 6 mois plus tard par l’organisme international, Cela, sous la pression des médias. Des dissimulations qui peuvent avoir plus de conséquences que les attaques elles-mêmes. Car d’une certaine manière elles réduisent l’ampleur de risque, et les personnes généralement touchées par ce genre d’incident ne prennent pas les précautions qu’il faut pour éviter le retour du bâton.

De façon globale, les cyberattaques se font de plus en plus persistantes. Les pirates informatiques osent de plus en plus, et d’une certaine façon ils ne trient plus leur cible. Partout il estime avoir un quelconque impact, ils en profitent pour semer du désordre. L’on attend toujours la réponse des autorités et des spécialistes.

Concernant les procédures à suivre pour cette attaque informatique, il faut noter que l’Organisation maritime internationale n’a rien signifié pour le moment. L’identité des pirates informatiques demeure toujours un mystère. Pour le moment, l’on est en attente de rapport décrivant l’attaque informatique de long en large. Cela permettra peut-être d’en savoir beaucoup plus. En particulier, sur les raisons qui auraient pu motiver les cybercriminels à s’en prendre à cet organisme en particulier. Même si dans un sens, l’idée du logiciel du rançongiciel est la plus probable.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cybersécurité : ces logiciels qui permettent d’évaluer le risque cyber

Pour gérer ses vulnérabilités et différents problèmes informatiques et qui peuvent survenir, les entreprises adoptent plusieurs et différentes solutions, selon leur situation et leurs ressources.

Cela peut aller de la formation du personnel dans son ensemble à l’exigence de certaines pratiques jugées nécessaires en passant par le déploiement de certains outils spécifiques pour gérer les vulnérabilités.

Cet article va aussi vous intéresser : Les risques informatiques qui menacent la rentrée

Comme ont le sait, les différentes solutions utilisées pour gérer les vulnérabilités offre la possibilité de hiérarchisation des risques cyber. Ce qui permet de facilement les adapter à une politique de sécurité. Avec l’évolution de la technologie et de la science, la manière de gérer les failles de sécurité a aussi connu une transformation. « En peu de temps, la science et la technologie qui sous-tendent la gestion des vulnérabilités ont beaucoup évolué. Quand elles ont émergé, les entreprises de gestion des vulnérabilités proposaient des solutions proches de celles des éditeurs d’antivirus, en ce sens qu’elles essayaient de faire en sorte que leurs scanners découvrent le plus grand nombre possible de menaces potentielles. Elles se vantaient même d’être capables de détecter plus de vulnérabilités se cachant dans les bancs d’essai que leurs concurrents. Le problème avec cette logique c’est que, contrairement aux virus et aux autres types de logiciels malveillants, les vulnérabilités ne représentent qu’un problème potentiel. Pour qu’une vulnérabilité soit vraiment dangereuse, elle doit être accessible à un attaquant et relativement facile à exploiter. Ainsi, une vulnérabilité reposant sur une ressource interne ne représente pas vraiment une menace potentielle, pas plus qu’une vulnérabilité qui nécessite des composants supplémentaires comme un accès sécurisé à d’autres services de réseau. » précise John Breeden II, IDG NS

Dans ce contexte, il est important de savoir l’étendue de menace pour être en mesure de déployer les solutions efficaces pour lutter contre toutes les menaces en évitant les actions inutiles susceptible de vous rendre inefficace.

On conseille généralement de classer les vulnérabilités en fonction de leur potentielle utilisation et de l’impact de celle. Une telle approche s’avère très utile en pratique.

« Il y a une différence entre l’effacement total d’une base de données et le blocage d’un seul utilisateur d’où l’intérêt d’évaluer la gravité potentielle de l’exploitation d’une vulnérabilité et la valeur des ressources affectées. Certes, il est n’est jamais plaisant de voir que son site web public a été compromis, mais le vol de données confidentielles est beaucoup plus dommageable. Les meilleurs programmes de gestion des vulnérabilités devraient tenir compte du contexte dans leurs scans. Certains logiciels proposent même des corrections automatiques, des formations ou une assistance préventive grâce à l’intelligence artificielle (IA). » explique notre expert.

Par ailleurs, il est très important d’avoir une approche assez compréhensive de certains points importants à savoir :

–  Les normes de conformité

–  Les obligations réglementaires

–  Et les bonnes pratiques dans le cadre de l’analyse technique des vulnérabilités.

En prenant alors compte de ces nombreuses failles de sécurité potentielles qui sont cachés dans les réseaux d’entreprise, c’est l’une des manières les plus sûrs, voire efficaces pour organiser les correctifs qui doit être apportés.

Selon John Breeden II, il faut prendre en compte certains produits qui facilite la gestion des failles de sécurité en entreprise. Nous avons entre autres :

– Kenna Security Vulnerability Management : c’est clairement l’une des premières plate-forme à inclure comme fonctionnalité la gestion des vulnérabilités. Elle permet la gestion en temps réel des données et les menaces. « Le principe de Kenna est de collecter les nombreuses alertes de vulnérabilité envoyées par les scanners, puis de les comparer en temps réel avec les données relatives aux menaces. La plateforme peut relier une vulnérabilité découverte à une campagne de menace active qui l’exploite et donner la priorité à une solution rapide. » précise l’expert

– Flexera Vulnerability Manager : c’est une plate-forme qui est axée beaucoup plus sur les applications tierces utilisées par les entreprises dans la tâche quotidienne contrairement aux autres qui ont tendance a beaucoup plus s’intéresser aux applications et au code développés par les entreprises en interne. Cela facilite ainsi la tâche aux entreprises qui ont tendance à négliger ces applications tierces surtout lorsque le système est surchargé par des milliers de connexion où il est difficile de les retrouver.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage