Archives par mot-clé : compromis

La sécurité de plusieurs QR codes du passeport vaccinal compromis au Québec

Depuis le mercredi dernier, les applications permettant de vérifier la validité du passeport vaccinal ont été lancées par le Ministère de la Santé et des Services sociaux.

Ces applications sont dénommées respectivement VaxiCode et VaxiCode Verif.

Cet article va aussi vous intéresser : La vie privée à l’épreuve des QR codes

Un hacker proche de la communauté des spécialistes du hacking canadien dénommé Hackfest, a réussi de manière illicite, à accéder à des codes QR, de plusieurs membres du parlement québécois et en prime, celui du ministre responsable de la protection des renseignements personnels, Éric Caire. Une situation très dérangeante.

Dans un billet de blog publié ce jeudi sur la page Facebook de Crypto Québec, par la suite supprimé en soirée, il a été dit que des données vaccinales présentes dans le QR code du passeport appartenant au premier ministre François Legault avaient aussi été compromises. Il en serait de même pour Christian Dubé, le ministre de la Santé et des Services sociaux, du co porte-parole de Québec solidaire, monsieur Gabriel Nadeau Dubois ainsi que de Dominique Anglade, le chef du parti libéral.

Étant au fait de cette situation, le regroupement des professionnels de la sécurité informatique le Hackfest a immédiatement porté à la connaissance de gouvernement le problème qui existait, comme l’a signifié son cofondateur, Patrick Mathieu.

Le pirate informatique, a réussi à déjouer le portail libre-service du gouvernement pour être en mesure de glaner suffisamment d’informations. Des informations qui sont en théorie très facilement collectable sur les réseaux sociaux. Cependant l’initiative était de prouver qu’il est facile d’avoir des informations personnelles par ce moyen.

Interrogé sur la question, le ministre monsieur Éric Caire a exprimé que son cabinet prenait très au sérieux cette situation et qu’ils avaient commencé à établir des vérifications nécessaires à ce niveau. « Toute falsification ou tout vol de code QR est un acte passible d’amende, voire [un acte] criminel », souligne la porte-parole, Nathalie Saint-Pierre.

À titre de rappel, dès le 1er septembre, les QR codes fournis par le ministère de la Santé et des Services sociaux de servir de passeport vaccinal. Pour obtenir ses QR code tous les Québécois qui se sont vaccinés doivent s’inscrire sur un portail en ligne du gouvernement. Bien évidemment lors de l’inscription ils doivent y ajouter certaines informations telles que :

– leurs noms et prénoms ;

– leur date de naissance ;

– la date de leur première vaccination contre le covid-19 :

– le type de vaccin reçu ;

– le numéro de l’assurance maladie.

Ce qui a d’ailleurs faciliter la tâche au pirate informatique c’est parce que les personnes qu’il a réussi à cibler avec eux même déjà médiatisé la date de leur vaccination. Tout ce qu’il avait à faire c’est de faire des confirmations.

Selon Monsieur Patrick Mathieu le cofondateur de Hackfest, le système pointé du doigt a été très mal conçu et cela d’A à Z. Le souci majeur c’est que la sécurité des systèmes est fondée sur des informations facilement collectable de sorte à ce que tout le monde peut être sources de compromission pour tout le monde. En fait, la technologie utilisée n’est pas conçue pour être utilisée à grande échelle. « Nous l’avons dit à plusieurs reprises au gouvernement que c’était un mauvais choix de technologie », affirme-t-il.

Selon la députée libérale Marwah Rizqy, la question est de savoir pour quelle raison le gouvernement n’a pas essayé de mettre en place une autre couche de sécurité pour protéger les données disponibles sur le portail. Elle met en évidence le risque d’usurpation d’identité dans une situation ou plusieurs personnes peuvent avoir les mêmes noms. « Heureusement, il n’y a qu’une seule Marwah Rizqy au pays, ça m’étonnerait que quelqu’un essaie de se faire passer pour moi. Mais si j’avais un nom plus commun, comme Réjean Tremblay, ça serait peut-être plus facile d’utiliser un faux code QR, et c’est ça qui est préoccupant », explique cette dernière. « Ça fait depuis le mois de mai que le gouvernement nous parle du passeport vaccinal. Ils avaient le temps de s’assurer que la sécurité soit au point, mais ils ont minimisé tous les problèmes qui ont été soulevés par les gens qui s’y connaissent en sécurité. C’est triste », souligne la députée.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Protéger ses sous-domaines pour éviter leur compromission

Les sous domaine sont très délicats à gérer et la prise de contrôle peut avoir un impact significatif sur la crédibilité ou l’image d’une entreprise.

En particulier, c’est généralement un problème de DNS et malheureusement ce genre de situation perdure et se multiplient de plus en plus. On peut le dire avec certitude, les sous-domaines sont de plus en plus prie d’assaut et les pirates informatiques se rendre compte qu’il y a une opportunité à en tirer face à la négligence professionnelle du secteur.

Cet article va aussi vous intéresser : Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Comme on le sait, toute entreprise qui a un site internet a également ce qu’on appelle des sous domaine. Ce sont des outils nécessaires qui permettent organiser le contenu disponible sur le site Internet ainsi que le service à proposer aux visiteurs, de sorte à les maintenir d’une certaine manière. Certaines grandes entreprises peuvent posséder des milliers et des milliers de sous domaines. De façon pratique, à cause de leur importance, les pirates informatiques ne cessent de s’y intéresser. Plusieurs situations ont permis de démontrer que les sous-domaines peuvent-être des sources d’attaques supplémentaires. L’exemple de Warner Bros, Honeywell, Chevron et 3M sont des exemples palpables qu’il faut prendre comme illustration de cette situation.

Le plus souvent les pirates informatiques détournent ces sous-domaines pour rédiger les internautes vers des sites de jeux en ligne illégaux, des activités douteuses ou encore de la pornographie en ligne.

À ce propos, TechRadar écrivait : « C’est un problème récurrent pour les sites hébergés par Azure ».

Le site spécialisé ici faisait référence à ce qui s’est passé durant le mois de mars. Durant cette période le service d’alerte des failles de sécurité et aux exploits avait signifié avoir découvert près de 670 sous domaines de Microsoft étant totalement vulnérables seulement après un scan automatisé. Une telle situation qui serait selon le services d’alerte causée par de mauvaises pratiques du géant américain en matière de gestion de nom de domaine (DNS).  À préciser que Microsoft à lui seul possède plus de 100 000 noms de domaine.

 Quand les pirates informatiques réussissent à réunir les privilèges nécessaires pour accéder à un système informatique, en passant par le contrôle du sous-domaine, ils ont la possibilité d’exfiltrer d’énormes base de données. Ils peuvent aussi espionner le trafic des données voir cloner les sites web vulnérables.

C’est pour cela que les spécialistes demandent de faire attention à ce genre de menace informatique car de manière pratique, il serait impossible de détecter une attaque affectant le sous-domaine. En d’autres termes, s’il est détourné, vous ne le saurez pas. Votre entreprise est alors vulnérable à tout type d’attaque informatique.

« Outre les erreurs de configuration du DNS, les sous-domaines peuvent être exploités s’ils sont attribués à des utilisateurs indignes de confiance », précisent des chercheurs De l’Université technologique de Vienne. « Les entrées de DNS non résolues », c’est-à-dire les entrées pointant vers des ressources expirées, peuvent être prises en charge par des parties non autorisées. Les services tiers interrompus peuvent également permettre de s’introduire dans un système. », notent ces derniers. Ces derniers n’ont pas manqué de préciser que la conséquence des attaques ciblant les sous-domaines peut-être extrêmement graves. Surtout dans l’éventualité où les sous-domaines de DNS sont sous le contrôle des pirates informatiques. Ces cybermalveillants auront alors l’opportunité de pouvoir détourner des sessions, réaliser des attaques par fixation de session. Ils pourront aussi contourner les sécurités déjà établies du Web, sans oublier la possibilité d’organiser d’immenses campagnes de phishing avec une facilité déconcertante. Les possibilités dans ce cas de figure sont tellement nombreuses qu’il est possible d’en faire une liste exhaustive pour le moment.

Bien sûr les chercheurs n’ont pas manqué sur leurs sites web de donner quelques conseils nécessaires pour réduire la menace au maximum. Il commence d’abord par donner des topos concernant la manière de découvrir comment savoir si les sous domaine sont vulnérables ou potentiellement vulnérables. De ce fait ils proposent de « passer en revue toutes les entrées de DNS de type CNAME pointant vers des domaines externes, ainsi que toutes les entrées A/AAAA pointant vers des adresses IP qui ne sont pas directement contrôlées par l’entreprise, par exemple celles des fournisseurs de services et de cloud.  Si les liens ne sont plus actifs, il faut supprimer les entrées de DNS correspondantes ».

Si l’intention est de protéger les applications Web contre de potentiel les exploitations des cybercriminels, les développeurs web en particuliers devront « établir des politiques de sécurité selon le principe du moindre privilège, c’est-à-dire restreindre la surface d’attaque autant que possible ».  Il est clair, « qu’en limitant la surface d’attaque autant que possible on réduit le risque. ». Il faudrait « envisager l’usage du préfixe de cookie __Host- si les cookies définis par l’application Web n’ont pas besoin d’être partagés avec d’autres domaines connexes ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Un mot de passe compromis serait la porte d’entrée de pirates informatiques dans le réseau de Colonial Pipeline

Suite à l’attaque qui a été subi par ces systèmes informatiques, le géant américain Colonial Pipeline a mis sur le coup une entreprise de cybersécurité chargé de mener l’enquête.

Selon les résultats fournis par cette entreprise, l’attaque aurait réussi à l’aide de mots de passe compromis. Une cyberattaque qui qui a causé la fermeture de la société de distribution de carburant à travers les États-Unis.

Cet article va aussi vous intéresser : Les autorités américaines réussissent à saisir la rançon versée aux pirates informatiques par Colonial Pipeline

Selon la société de cybersécurité embauchée par la société américaine, le mot de passe corrompu sur est lié à l’utilisation d’un compte de réseau virtuel privé qui était utilisé auparavant. Un compte qui n’est plus actif aujourd’hui. L’informations a été confirmé par le vice-président de la division criminalistique de FireEye, Mandiant.

Le premier problème concerne le compte qui lui n’était pas protégé par une couche de sécurité tel que l’authentification à multiples facteurs. En clair, les conclusions émises par le spécialiste de Mandiant, chargé de l’enquête tout s’est joué par un mot de passe. Durant l’interview ces derniers déclarent : « les pirates informatiques liés au groupe de cybercriminels opérateurs du ransomware DarkSide ont utilisé un seul mot de passe compromis sur un réseau privé virtuel (VPN), accédant aux serveurs de Colonial le 29 avril par le biais d’un compte qui n’était plus utilisé, mais qui pouvait encore accéder aux réseaux de la société. ».

Cependant, on ne sait toujours pas comment les pirates informatiques ont réussi à mettre la main sur le mot de passe corrompu. On retient tout de même le danger que constitue les pirates opportunistes. Il n’est pas moins, du manque d’hygiène de la part du personnel d’une entreprise surtout une entreprise aussi importante que Colonial Pipeline.

À titre de rappel, précisons l’attaque informatique subie par le géant américain a été révélé le 7 mai 2021 après qu’un employé a vu apparaître sur l’écran d’un ordinateur de la salle de contrôle une demande de rançon par les pirates informatiques. L’attaque est attribuée à propos de cybercriminels derrière le programme informatique du nom de DarkSide. Ce groupe de pirates informatiques serait est d’origine russe. En plus de déployer eux-mêmes leur rançongiciel, ces derniers ont tendance à le mettre à la disposition d’autres groupes de pirates informatiques, on échange de recevoir une partie des rançons qu’ils obtiendront.

Pour ce qu’il en est du mode opératoire de DarkSide, c’est presque classique dans le domaine. En effet, à l’instar de plusieurs autres groupes, il cible généralement des entreprises ou des organisations ayant des polices d’assurance contre des attaques informatiques et bien sûr qu’ils détiennent dans des données suffisamment sensibles pour les contraindre à payer la rançon sous forme de chantage. Le Président Directeur Général de Colonial Pipeline a reconnu avoir payé une rançon de 4,4 millions de dollars aux Cybercriminels.

Selon le spécialiste en sécurité informatique chargé de l’enquête, le mot de passe corrompu qui servit aux pirates informatiques à réussir leur coup était disponible sur le forum du dark web, ce qui signifie qu’un employé de colonial pipeline a utilisé ou continue d’utiliser les mêmes mots de passe sur plusieurs comptes.

L’un des aspects les plus délicats et qui fâche dans cette histoire, c’est le fait que le compte concerné ne pas protéger par aucun code ou aucune couche supplémentaire de sécurité. En d’autres termes, pas de d’authentification multiples.

« Ils n’ont pas mis en œuvre l’authentification multifacteur sur leurs VPN. Il s’agit de l’un des vecteurs d’attaque les plus courants. Les VPN à eux seuls ne suffisent pas », a déclaré le spécialiste.

« Nous avons effectué une recherche assez exhaustive de l’environnement pour essayer de déterminer comment ils ont obtenu ces informations d’identification », souligne Carmakal. « Nous ne voyons aucune preuve d’hameçonnage pour l’employé dont les informations d’identification ont été utilisées. Nous n’avons pas vu d’autres preuves de l’activité de l’attaquant avant le 29 avril ». Ajoute ce dernier.

En outre, l’enquête a montré que rien ne prouvait manifestement que les pirates informatiques ont réussi à avoir accès à des infrastructures qui était de Colonial Pipeline.

De son côté, les premiers responsables du géant américain a interpellé le gouvernement sur la nécessité de s’attaquer aux pirates informatiques qui se cache derrière les frontières de la Russie. « En fin de compte, le gouvernement doit se concentrer sur les acteurs eux-mêmes. En tant qu’entreprise privée, nous n’avons pas la capacité politique de fermer les pays hôtes qui abritent ces mauvais acteurs ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Rapport de IBM sur la cybersécurité mondiale : Que faut-il retenir ?

Selon la firme américaine IBM, plus de 8,5 milliards des données auraient été compromises en 2019.

On constate qu’à travers cette étude, le problème de la compromission des données informatiques est en hausse d’environ 200 % eu égard à 2018.

Le rapport de IBM portant sur les différentes menaces en matière de sécurité informatique observées durant toute l’année 2019 est intitulé « IBM X-Force Threat Intelligence Index ».

Cet article va aussi vous intéresser : Bilan des attaques informatiques en 2019 : le ransomware largement en tête

La vice-présidence de IBM X Force Threat Intelligence, Wendi Whitmore a noté que : « le volume de dossiers exposés est tel » que, les pirates Informatiques peuvent se contenter simplement les données qu’ils ont pu récupérer durant toute ces vagues de piratages pour opérer dorénavant. Ce qui met évidemment la pression du côté des entreprises qui doivent revoir à la hausse leur investissement en terme de sécurité. Surtout exiger le plus possible sur la fameuse authentification à multiples facteurs. La question aujourd’hui est à la cyber résilience. Ce n’est pas seulement les données des entreprises qui est en jeu mais aussi celles des utilisateurs.

Par ailleurs le rapport de IBM X-Force met en évidence 5 points majeurs :

• Un record en terme de compromission des dossiers sur l’année

En faisant le point des dossiers qui ont été compromis durant l’année soit par des attaques informatiques ou des fuites de données peu importe les raisons de cette fuite, le record de 8,5 milliards a été atteint. Pour ne pas se répéter certains diraient un mauvais record. En se référant au rapport a révélé que 7 milliards de ces dossiers on a été compromis du fait de serveurs mal configurés ou tout simplement du fait de serveur mal protégé. De ce fait, par rapport au 50% de signalement en 2018, 2019 nous avons eu 86 %

• La prolifération de rançongiciels et autres programmes malveillants

2019 a été qualifié pour la majorité des chercheurs en sécurité informatique comme étant l’année du rançongiciel. Il n’y a pas pratiquement eu un mois sans attaque au rançongiciel en 2019. D’un autre côté d’autres programmes malveillants ont aussi proliféré. Du cryptomineur au cheval de Troie, les systèmes informatiques du monde ont eu leurs lots de surprises et de dégâts. Le pire dans tout ça, c’est que leur utilisation ne s’est pas limitée aux cibles classiques que sont des PME. Mais plusieurs secteurs ont été les plus touchés tels que les domaines de la santé et des collectivités territoriales. Leurs portées sur le plan financier a été plus que conséquentes. une « attaque par malware destructeur coûte en moyenne 239 millions de dollars par multinationale touchée, soit plus de 60 fois plus que le coût moyen d’une violation de données (Ponemon Institute) », ont voulu signifier les auteurs du rapport.

• Une progression de la pratique de l’hameçonnage

Selon le rapport de IBM, 31 % des attaques informatiques ont été opérées via la méthode du phishing. Cette méthode classique qui consiste pour le pirate informatique de pousser un individu tier à lui fournir des informations personnelles ou professionnelles en se faisant passer se soit pour une plate-forme Web officielle, soit pour une personne qu’il est censé avoir l’habitude de traiter. Les fait le démontrent, et cette méthode reste jusqu’à présent l’un des principaux moyens pour les pirates informatiques d’initier leurs des différentes attaques. Derrière le phishing, il y a l’exploitation de vulnérabilité qui elle comptabilise 30 % des méthodes utilisées et 29 % pour le vol d’identifiant

• La vulnérabilité du secteur financier

Le secteur qui a le plus été touché par la vague de piratage de l’année 2019 a été celui des finances. Avec les différentes politiques de dématérialisation des transactions financières ainsi que des autres services financiers annexes, les pirates informatiques ont commencé à y voir une opportunité, opportunité qui a bien sûr été saisie sans aucun doute. En 2019 comme en 2018 ce secteur a été le plus touché. Si le secteur financier est en tête du top 10 des victimes en matière de cybersécurité de l’année 2019, il est suivi de près par le secteur de la santé, de l’administration publique, de l’éducation, ainsi que du commerce. Mais vers la fin de l’année il a été observé une forte tendance à l’égard de l’Internet des objets.

• Les pirates informatiques et les Système de contrôle industriel.

Les Systèmes de contrôle industriel ainsi que les technologies opérationnelles ont été aussi ciblés par les pirates informatiques. Les experts de IBM X- Force ont observé une évolution d’environ 2000 pourcents.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage