Archives pour la catégorie Piratage

Nous traitons ici tous les sujets d’actualité lié au piratage. Vous serez informé des dernières nouvelles sur la sécurité informatique et nous donnerons à chaque fois une solution ou un conseil pour se protéger.

Failles de sécurité : la vulnérabilité dans HashiCorp Vault décryptée par un exploit

En Août dernier, Vault de Hashicorp, une solution de coffre-fort sécurisé (solution permettant de sécuriser des tokens, des certificats, des mots de passe, des clés de chiffrements accessibles en ligne de commande, des API HTTP ou interface utilisateur) avait été découvert par deux vulnérabilités.

Des failles de sécurité critiques (CVE-2020-16250/16251), qui aujourd’hui sont bien évidemment corrigé. Cependant l’équipe de cybersécurité de Google, le Project Zéro a décidé de faire une description du mode opératoire permettant d’utiliser ces vulnérabilités. Un exploit qui a mis en avant le problème de la sécurité des solutions cloud en ce qui concerne en la gestion des identités.

Cet article va aussi vous intéresser : Une faille de sécurité touchant des cartes Visa permettant des pirates avec des smartphones tournant sous Android d’effectuer des paiements sans contact

« Un très bon développeur peut être capable de raisonner sur toutes les limites de sécurité, les exigences et les pièges de son propre logiciel, mais cela devient très difficile une fois qu’un service externe complexe entre en jeu », a notifié, Felix Wilhelm, un chercheur en sécurité de Project Zero.

C’est littéralement l’une des pires éventualités pour un coffre-fort sécurisé d’être touché par une faille de sécurité. Dans ce contexte il y en avait deux. Encore pire. Bien sûr il ne faut pas se leurrer. À l’instar de tout programme informatique ou tout système, il y a toujours une vulnérabilité quelque part. On peut prendre l’exemple de Last Pass, qui a corrigé plusieurs failles de sécurité affectant sa composition. Mais bien sûr le pire est passé vu que les vulnérabilités ont déjà été corrigées.

L’équipe de spécialistes en recherche de faille de sécurité de Google, un mois plus tard a décidé de faire une meilleure approche de la vulnérabilité et de ses potentielles conséquences. Si ces vulnérabilités étaient tombées entre les mains de personnes mal intentionnées. « L’interfaçage avec Vault nécessite une authentification, et Vault prend en charge le contrôle d’accès basé sur les rôles pour régir l’accès aux secrets stockés », note les chercheurs en sécurité informatique de Google dans un billet de blog. « Pour l’authentification, il prend en charge les méthodes d’authentification enfichables allant des informations d’identification statiques, LDAP ou Radius, à l’intégration complète dans les fournisseurs tiers OpenID Connect ou les plateformes Cloud Identity Access Management ». Les vulnérabilités ont été précisément découvertes lors de l’utilisation de plate-forme tierces IAM cloud, celle fournie par Amazon Web services mais aussi GCP.

« J’ai écrit un POC d’exploit qui touche à la création et de la sérialisation de JWT. Bien que la configuration du fournisseur OIDC ajoute une certaine complexité, nous nous retrouvons avec un joli contournement d’authentification pour les rôles activés arbitrairement par AWS. La seule exigence est que l’attaquant connaisse le nom d’un rôle AWS privilégié dans le serveur Vault cible », note Felix Wilhelm, le chercheur en sécurité de Projet Zero. « AWS IAM ne dispose pas d’un moyen simple de prouver l’identité d’un service à d’autres services non AWS. Les services tiers ne peuvent pas facilement vérifier les demandes pré-signées et AWS IAM ne propose aucune signature primitive standard qui pourrait être utilisée pour implémenter une authentification basée sur des certificats ou des JWT. En fin de compte, Hashicorp a corrigé la vulnérabilité en appliquant une liste d’autorisation d’en-têtes HTTP, en limitant les demandes à l’action GetCallerIdentity et en validant plus fortement la réponse STS, ce qui, espérons-le, est suffisant pour protéger contre les modifications inattendues de l’implémentation STS ou les différences de l’analyseur HTTP entre STS et Golang. »

Le chercheur de Google précise par la suite : « Il est important de noter que le compte AWS utilisé pour cela n’a pas besoin d’avoir de relation avec notre cible ».

« Nous pouvons maintenant utiliser notre OIDP pour signer un JWT qui contient un GetCallerIdentityResponse arbitraire […] Si tout se passe comme prévu, STS reflétera le sujet du jeton dans le cadre de sa réponse codée JSON ». Note ce dernier. Au moment où, le décodeur Go XML ne prendra pas en compte tout le contenu de l’objet GetCallerIdentityResponse, Vault sera amené à considérer cette information comme une réponse STS CallerIdentity correct donc le validera.

« La dernière étape consiste à convertir cette demande sous la forme attendue par Vault et de l’envoyer au serveur Vault cible en tant que demande de connexion sur / v1 / auth / aws /s’identifier. Vault désérialise la demande, l’envoie à STS et interprète mal la réponse. Si AWS ARN / UserID GetCallerIdentityResponse a des privilèges sur le serveur Vault, il est alors possible de récupérer un jeton de session valide, que nous pouvons utiliser pour interagir avec le serveur Vault pour récupérer des données secrètes ». Explique Felix Wilhelm

Pour sa conclusion, le chercheur de Project Zero de Google déclare : « Les solutions IAM cloud modernes sont puissantes et souvent plus sécurisées que les solutions sur site comparables, mais elles présentent leurs propres écueils de sécurité et une grande complexité de mise en œuvre. Alors que de plus en plus d’entreprises se tournent vers les grands fournisseurs de cloud, la familiarité avec ces piles technologiques deviendra une compétence clé pour les ingénieurs et les chercheurs en sécurité et il est prudent de supposer qu’il y aura beaucoup de problèmes similaires dans les prochaines années ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Cyberattaques : l’Organisation Maritime Internationale a été victime d’une attaque informatique sophistiquée

Aucune organisation n’est épargnée par la cybercriminalité en pleine hausse.

Nous apprenons que très récemment, l’organisme chargé de veiller au maritime internationale a été touché par une attaque informatique. Si dans la pratique les conséquences sont censées être minimes, il faudrait s’inquiéter de l’ampleur que prend les choses.

Cet article va aussi vous intéresser : Le gouvernement Australien au prise une cyberattaque massive

L’organisme international a signifié que son système est dorénavant restauré. Mais selon les experts, cet incident informatique aurait pu tourner au vinaigre. En effet il faut signifier que cette structure sous la houlette de l’Organisation des nations unies a sous sa responsabilité plus de 400 milles marins. Des marins qui sont pour la plupart bloqués en mer à cause de plusieurs restrictions liées à la pandémie au covid-19.

L’agence internationale chargée des questions maritimes a été touchée par une attaque dit-on, sophistiquée. Mais plus de peur que de mal, car l’ensemble des systèmes aujourd’hui fonctionne correctement. Pour réussir à contenir le programme malveillant qui était la source de l’incident informatique, l’administration centrale a procédé à la fermeture de certains systèmes clés.

Pour le moment la nature de la cyberattaque n’a pas encore été précisée. Ce que l’on peut dire avec certitude, c’est que plusieurs systèmes et services en ligne ont connu des dysfonctionnements. Par contre, le service de messagerie et la plateforme de conférence ainsi que de collaboration à distance n’ont pas été touché par le problème. Par ailleurs l’Agence internationale n’a pas signifié qu’il y a eu un quelconque vol des données.

Pour régler au plus vite l’incident informatique, plusieurs experts en sécurité de rang mondial ont été dépêché immédiatement sur le terrain pour « restaurer les systèmes dès que possible, identifier la source de l’attaque et améliorer les systèmes d’information », explique l’organisme international. Pour le moment elle n’a fait état d’aucune une enquête ou poursuites judiciaires.

« Les serveurs de fichiers du siège de l’OMI sont situés au Royaume-Uni, avec des systèmes de sauvegarde étendus à Genève. Le système de sauvegarde et de restauration est régulièrement testé », précise l’organisme international. « Pour s’introduire dans les systèmes d’information, les cyberattaquants ont donc surmonté les mesures de sécurité rigoureuses », explique ce dernier.

Comme il a été signifié plus haut, les conséquences d’un tel incident aurait peut-être plus dramatique. En effet, notons que l’organisation maritime internationale a à sa charge la régulation des océans. Elle joue aussi un rôle très important dans la gestion de cette crise sanitaire que le montre avis. Surtout par la gestion de 400 milles marins qui sont bloqués dans leur navire, à cause des mesures barrières imposées par les règles de sécurité dû au covid-19. Si les pirates informatiques avaient réussi à bloquer les réunions, cela aurait pu compromettre les échanges des informations très importantes, voir nécessaire dans la gestion de la crise actuelle.

Cela n’est pas une première pour l’Organisation des nations unies. Les organisations internationales en général sont le plus souvent victimes de cyberattaques qu’elles prennent un malin plaisir à les dissimuler. En 2019, on se rappelle que l’ONU était victime d’une fuite de données impliquant près de 4000 employés. Un incident qui n’a été révélé que 6 mois plus tard par l’organisme international, Cela, sous la pression des médias. Des dissimulations qui peuvent avoir plus de conséquences que les attaques elles-mêmes. Car d’une certaine manière elles réduisent l’ampleur de risque, et les personnes généralement touchées par ce genre d’incident ne prennent pas les précautions qu’il faut pour éviter le retour du bâton.

De façon globale, les cyberattaques se font de plus en plus persistantes. Les pirates informatiques osent de plus en plus, et d’une certaine façon ils ne trient plus leur cible. Partout il estime avoir un quelconque impact, ils en profitent pour semer du désordre. L’on attend toujours la réponse des autorités et des spécialistes.

Concernant les procédures à suivre pour cette attaque informatique, il faut noter que l’Organisation maritime internationale n’a rien signifié pour le moment. L’identité des pirates informatiques demeure toujours un mystère. Pour le moment, l’on est en attente de rapport décrivant l’attaque informatique de long en large. Cela permettra peut-être d’en savoir beaucoup plus. En particulier, sur les raisons qui auraient pu motiver les cybercriminels à s’en prendre à cet organisme en particulier. Même si dans un sens, l’idée du logiciel du rançongiciel est la plus probable.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Grindr : Un simple courriel suffit pour pirater un compte

À cause d’une faille de sécurité, il suffit à un pirate informatique d’obtenir votre adresse mail pour pirater votre contre Grindr.

C’est cette seule information qui lui permet de prendre le contrôle de votre profil sur l’application de rencontre. Bien sûr cela c’était jusqu’à la semaine dernière, car le problème semble résolu dorénavant.

Cet article va aussi vous intéresser : Pirater des stars est-il si difficile que cela ?

Pour réaliser cette prise de contrôle frauduleuse, il suffisait simplement d’entrer l’adresse courriel du compte Grindr, procédez ensuite à la réinitialisation du mot de passe, obtenez alors le code source du site web et utiliser le dans le but d’obtenir l’adresse url, ce qui permet enfin de changer sa clé de sécurité. En accomplissant seulement ces trois étapes. Il était facile pour un internaute de voler l’identité sur ce site de rencontre destiné aux LGBTQ.

Le problème s’explique par le fait que le message envoyé pour initier la réinitialisation du compte contenait aussi le code source du site. Ce qui signifie, que si un pirate informatique s’intéresse de près à ce site web, aurait eu l’occasion de prendre connaissance de plusieurs informations de nature très personnelle voire compromettantes. Cela pourrait s’agir de message à privé, du statut sérologique des membres, etc.

C’est un utilisateur français du nom de Wassime Bouimadaghene qui a signalé la faille de sécurité à l’éditeur du site web. Vu que les responsables du site ne réagissaient pas, il s’est alors tourné vers des experts de la sécurité informatique pour étudier de plus près la faille. Ce sont notamment Troy Hunter et Scott Helme.

Selon le directeur des opérations de l’application, Rick Martini, la faille de sécurité a été colmaté. Aucune personne mal intentionnée n’a réussi à en profiter selon ces derniers.

Cependant, il faut signifier que ce n’est pas la toute première fois que l’application de rencontre pour LGBTQ est face à une telle situation. En 2018 déjà, Grindr rencontre des problèmes de sécurité. Elle avait par mégarde au permis à des entreprises à tierces d’accéder à des données privées de ses internautes, surtout le statut sérologique VIH.

Face à cet énième problème de sécurité, les administrateurs du site de rencontre ont voulut rassurer l’ensemble des personnes utilisant leur plate-forme, qu’ils s’engageaient à améliorer la qualité et la sécurité du site. Pour cela ils se sont affiliés à une firme de cybersécurité, chargé de maintenir au plus haut niveau leur sécurité informatique et répondre aux signalements des internautes en cas de découverte d’un problème similaire.

L’administration de Grindr a signifié travailler sur un programme dans lequel des personnes qui décèleraient des vulnérabilités sur leurs programmes informatiques pourront recevoir des primes. Il reste à voir si la confiance des 27 millions des inscrits sur la plate-forme sera rehaussée par ses promesses. Ce genre de problème est assez courant au niveau de ce genre d’applications. Les Utilisateurs sont aussi souvent concernés donc doivent faire très attention à la nature des informations qu’ils acceptent de partager avec ce genre de plate-forme. De tous les côtés la vigilance est de mise.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Ransomware : le groupe hospitalier UHS touché par une attaque informatique basée sur Ryuk

C’est l’un des géants dans le secteur hospitalier.

Il est composé de près de 400 établissements de santé, reparti entre les États-Unis et la Grande-Bretagne, avec près de 90 000 employés. Ce géant de la santé réalise en moyenne près de 11 milliards de dollars en terme de revenu annuel. Le groupe Universal Health Services se compte dorénavant parmi les victimes actuellement des attaques au rançongiciel.

Cet article va aussi vous intéresser : En pleine crise de la pandémie du coronavirus, un hôpital Tchèque est victime d’une attaque informatique

L’attaque a débuté par des infections à travers des méthodes classiques de phishing. Les cybercriminels ont utilisé les chevaux de Troie Emotet et Trickbot pour amorcer leur technique.

Au Déclenchement de l’attaque, aucune solution antivirus ne fonctionnait. Toutes les mesures de protection ont littéralement été rendues inopérantes.

Encore une fois, le domaine de la santé est confronté à ce dangereux adversaire. Le groupe UHS qui avait jusque-là réussi à échapper à la menace s’est fait finalement avoir par les cybercriminels.  En l’espèce, c’est le rançongiciel Ryuk qui a été utilisé par les cybercriminels pour mettre à terre son réseau informatique mondiale. Depuis ce dimanche, plusieurs établissements hospitaliers sont devenus incapables de prendre en charge certains de leurs patients obligeant à les transférer vers d’autres sites.  Les établissements touchés se trouvent en Floride, en Californie, en Arizona, à Washington DC et au Texas. Leur système informatique et réseau téléphonique qui sont totalement inopérant. Certains systèmes nécessaires sont hors service tel que la cardiologie la radiologie. Même les laboratoires sont perturbés.

« Dimanche à environ 2 heures du matin, les systèmes de notre établissement ont commencé à s’arrêter. J’étais assis devant mon ordinateur lorsque tout cela a commencé. C’était surréaliste et semblait définitivement se propager sur le réseau », explique un dénommé graynova66 sur la plateforme Reddit. « Toutes les machines de mon département sont des systèmes Dell Win10. Lorsque l’attaque s’est produite, plusieurs programmes antivirus ont été désactivés par l’attaque et les disques durs se sont mis en veille. Après environ 1 minute, les ordinateurs se sont déconnectés et se sont éteints. Lorsque l’on essaie de rallumer les ordinateurs, ils s’éteignent automatiquement ». Ajoute-il.

Le problème a bel et bien été confirmé par le groupe hospitalier. Une source en interne interrogée par le média en ligne BleepingComputer que les cybercriminels ont durant l’attaque renommés tous les fichiers en y ajoutant l’extension .ryk. Une caractéristique propre au rançongiciel Ryuk. Un expert de la cybersécurité du nom de Vitali Kremez, de chez Advanced Intel nous explique que cette attaque informatique a été précédée par une autre mais de l’hameçonnage cette fois ci, comme nous l’avons mentionné plus haut. Cela a eu pour effet d’ouvrir un pont entre le système infecté et un serveur contrôler par les pirates informatiques. Ce qui leur a permis notamment de facilement disséminer des scripts malveillants En passant par PSExec ou de PowerShell Empire.

« Le réseau informatique des installations des services de santé universels (UHS) est actuellement hors ligne, en raison d’un problème de sécurité informatique », déclarait ce lundi UHS dans communiqué. « Nous mettons en œuvre des protocoles de sécurité informatique étendus et travaillons avec diligence avec nos partenaires de sécurité informatique pour restaurer les opérations informatiques le plus rapidement possible. En attendant, nos installations utilisent leurs processus de sauvegarde établis, y compris des méthodes de documentation hors ligne. Les soins aux patients continuent d’être dispensés de manière sûre et efficace. Aucune donnée de patient ou d’employé ne semble avoir été consultée, copiée ou autrement compromise ».

La panne informatique a entraîné le retard fatal de transmission d’analyses, avec les complications qui s’ensuivirent. Selon un dénommé u/SgtHaddix, 4 personnes auraient trouvé la mort au sein des établissements touchés du groupe hospitalier. Cependant aucune relation n’a été établie entre ces mort et la cyberattaque subit le dimanche. Cela rappelle automatiquement la mort d’une patiente hôpital allemand qui avait été touché lui aussi par une attaque au rançongiciel. La cyberattaque a ralenti une opération urgente qu’elle devait subir ce qui a été fatal pour cette dernière.

En outre, le risque demeure. Les établissements de santé sont toujours ciblés, et les conséquences sont de plus en plus graves. Si avant on ne pouvait dénombrer que des pertes financières, aujourd’hui c’est une question de vie humaine qui ont mise sur la sellette.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un fournisseur de la Navy américaine, touché par un rançongiciel

IPG Photonics est un fabricant de laser à fibre.

La semaine dernière il a été officiellement annoncé que la société avait été touchée par un programme de rançonnage. Le Ransomwares dont il est question n’est rien d’autre que RansomExx, connu anciennement sous la dénomination de « Defray777 ». L’impact de cette Cyberattaque s’est fait sentir sur le plan mondial. L’ensemble des systèmes de la société a été paralysé. On parle notamment de la messagerie de la téléphonie ainsi que les réseaux informatiques.

Cet article va aussi vous intéresser : Tesla, déjà ciblé par une attaque au rançongiciel

Notons par ailleurs que la société IPG Photonics et un fournisseur de l’us Navy. En effet il fournit à l’institution américaine son système d’armement au laser, « le LaWS », qui est d’ailleurs installé sur le navire de guerre USS Ponce. L’entreprise qui existe depuis 1990, crée par Valentin Gapontsev, un milliardaire Russo-Américain et une spécialiste dans le développement et la commercialisation des lasers à fibre, une technologie qui est couramment utilisé dans le secteur de la santé, de l’Industrie, mais aussi de l’armement c’est-à-dire militaire. Son siège se situe à Oxford dans le Mississippi aux États-Unis, et emploie près de 4 000 personnes. Cotée au Nasdaq, l’entreprise a généré en 2019 un chiffre d’affaires d’environ 1,3 milliards de dollars.

La cyberattaque dont elle a été victime a énormément affecté le fonctionnement de l’entreprise au niveau mondial. De la messagerie à la téléphonie en passant par les réseaux annexes, tout a été paralysé. Que ce soit les activités de fabrication ou même de distribution, l’entreprise s’est trouvé dans une indisponibilité totale. Selon les informations qui proviennent de la société, l’attaque informatique a permis aux cybercriminels de dérober les répertoires TFS, mais il n’y a pas une très grande précision concernant le problème.

Pour le moment, le montant exigé par les cybercriminels n’a pas encore été précisé. Tout ce que l’on sait c’est la nature du programme malveillant utilisé. Bleeping Computer, il serait alors question de RansomExx, une version plus récente d’un précédent rançongiciel connu sous le nom de Defray777. Comme on le sait, ce n’est pas du tout la première fois que ce programme malveillant est utilisé dans le cadre d’une cyberattaque. On vous rappelle que durant le mois de juin dernier, c’était Texas Departement of Transportation qui était attaqué avec ledit ransomware. Il s’en est suivi durant le mois de juillet, l’attaque de Konica Minolta.

Bien sûr, cette attaque Informatique implique beaucoup de choses qui montrent clairement que les pirates informatiques à l’origine ne seraient pas simplement intéressés par de l’argent. En effet, IPG Photonics, à travers son activité touche plusieurs secteurs sensibles, à savoir le côté militaire et le côté médical. En particulier US Navy en tant que client. Selon la rumeur qui circulent sur la question, les cybercriminels indexés pourraient bien agir pour le compte de la Russie.

Cette énième attaque met en évidence une tendance qui est inquiète de plus en plus les secteurs du numérique ainsi que tous les autres secteurs qui lui sont affiliés directement ou indirectement. « L’attaque par ransomware contre IPG Photonics met en évidence une tendance inquiétante », a souligné Andrea Carcano, le cofondateur de Nozomi Networks. « Les attaquants exigent des rançons plus élevées et ciblent des organisations plus grandes et plus critiques. Ces menaces devraient être une préoccupation sérieuse pour les professionnels de la sécurité chargés de protéger non seulement l’informatique, mais aussi les réseaux OT et IoT ».

Comme le mentionne IPG Photonics, Des dossiers TFS et d’autres données ont été dérobé d’après une note laissée les pirates informatiques.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage