Archives par mot-clé : zero day

Piratage de l’Assistance publique hôpitaux de Paris : une faille de sécurité de type « Zero day », en est la cause

Il y a quelques semaines de cela, l’Assistance publique hôpitaux de Paris et est victime d’une attaque informatique.

Cet incident de sécurité a permis aux pirates informatiques de pouvoir voler plusieurs informations de santé à l’occurrence des tests de près de 1,4 million de Français. Récemment grâce à une enquête réalisée par les autorités, il a été découvert que les hackers ont réussi leur attaque informatique en exploitant une faille de sécurité boutique « zero day », présente dans un logiciel de gestion interne de la structure hospitalière.

Cet article va aussi vous intéresser : La cybersécurité des hôpitaux laisse à désirer

Comme nous le savons, ce genre de faille de sécurité pose un réel problème de sécurité. Car elles sont tout d’abord difficile à déceler. Ensuite un peu peut-être facilement utilisées par les cybercriminels comme ce fut dans notre cas d’espèce.

Rappelons un peu les faits :

Le 15 septembre, le centre hospitalier universitaire de l’Île-de-France constate avoir été ciblés par une attaque informatique. Conséquences de la cyberattaque : les tests COVID 2,4 millions de franciliens ont été volés. En plus de ces informations de santé plusieurs autres données personnelles ont pu être dérobées par les cybercriminels.

On parle notamment de :

– numéro de sécurité sociale ;

– de nom et de prénom ;

– l’adresse email ;

– l’adresse postale ;

– le type de test effectué ;

– le sexe ;

– la date de naissance ;

– le numéro de téléphone ;

– le résultat du test.

Si l’organisme hospitalier n’a pas donné suffisamment de détails suffisamment de détails sur l’incident de sécurité, on peut retenir néanmoins qu’il s’est engagé à avertir toutes les personnes qui ont été de près ou de loin touchées par cette situation. Il s’est aussi engagé à informer la Commission nationale de l’Informatique et des libertés ainsi que l’Agence nationale de sécurité des systèmes d’information.

Concernant les détails sur la faille de sécurité qui aurait permis aux cybercriminels de réussir leurs attaques, il a été mentionné qu’elle était quasiment imparable. Pour cause, c’était une vulnérabilité qui se trouvait au centre du logiciel « Dispose » qu’utilisent les employés du groupement hospitalier pour s’échanger des données. C’est une version personnalisée entre autre du logiciel « HCP Anywhere », conçu par une entreprise japonaise des noms de Hitachi. « Dispose » -lui a été créé par l’organisme hospitalier français et hébergé par ce dernier. La faille de sécurité aurait permis aux pirates informatiques d’accéder à la page de téléchargement des données qui ont été changé entre le personnel hospitalier. C’est comme cela que ces derniers ont pu alors voulais toutes ces informations.

Toutefois, plusieurs spécialistes sont surpris que pour cette attaque informatique, il a été fait usage d’une faille de type « zero day ». En effet dans la majeure partie des cas, lorsque les pirates informatiques utilisent ce genre de vulnérabilités, ils font en sorte d’en profiter au maximum voir d’en tirer le maximum d’argent. Car une fois la faille découverte bien évidemment elle sera corrigée donc inutilisable. Pourtant, dans notre cas d’espèce ils se sont contentés de voler que des fichiers contenant des données de santé de patients. Servent ces informations ont une certaine valeur monétaire sur le marché noir, cependant leur valeur ne peux pas expliquer cette stratégie employée par les cybercriminels alors qu’ils pouvaient en faire plus. D’ailleurs ces failles de sécurité peuvent même être échangées contre de l’argent. Surtout que la possibilité qu’il puisse permettre de détourner un logiciel entièrement peur être envisagé.

« Si vous divulguez une vulnérabilité « zero day » directement à un éditeur, vous n’aurez le plus souvent aucune rétribution. A l’inverse, des entreprises qui achètent et revendent les vulnérabilités, comme Zerodium, sont prêtes à dépenser plusieurs dizaines de milliers d’euros pour obtenir votre « zero day ». Et sur les marchés noirs, on peut vous offrir jusqu’à 50 BTC [1,8 million d’euros, ndlr] ». Il ajoute : « Dans ma jeunesse, j’aurais pu me laisser tenter par une offre de 5.000 euros. », souligne Frank Breedijk, un chercheur au Dutch Institute for Vulnerability Disclosure (DIVD) -une organisations bénévole spécialisée dans la prévention et la découverte de vulnérabilités

« Les récompenses attirent les hackers et les incitent à rechercher de nouvelles failles. Après avoir croisé plusieurs sources, le MIT Technology Review estime à 66 le nombre de failles zero day exploitées en 2021, ce qui en fait déjà de loin l’année record, à plus du double de l’année précédente. Entre autres, ces failles ont porté sur des produits d’Apple (dans l’affaire Pegasus) mais aussi de Microsoft, deux des plus gros éditeurs de logiciels. Ou encore, une « zero day » a permis à un gang de rançonner des milliers de clients de l’entreprise américaine Kaseya. », a souligné le chercheur.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La lutte contre les vulnérabilités Zero Day s’intensifie du côté de Google

L’année 2020, la société au quatre couleurs Google à travers son équipe de recherche en matière sécurité informatique, a mis à jour plus de 11 failles de sécurité de type 0 Day.

Selon les chercheurs de Google, ces failles de sécurité auraient été utiliser par un groupe de cybercriminel inconnu jusqu’à ce jour. Les vulnérabilités dont il est question ici affecteraient à la fois Windows de Microsoft, Chrome de Google et Safari et iOS de Apple. Elles permettaient alors aux pirates informatiques de prendre en charge les actes de cybermalveillance sur plus d’une vingtaine de site internet.

Cet article va aussi vous intéresser : Le business des Zéro days

Les pirates informatiques rediriger les utilisateurs ciblés grâce aux faille de sécurité vers un serveur dont il avait le contrôle. De la sorte il pourrait facilement proposer des programmes.

L’équipe de Google spécialisé dans la recherche des failles de sécurité affirme que la trace découverte prouve que c’est bel et bien un seul groupe de pirate informatique qui exploite la faille de sécurité depuis le mois de février maintenant. Ces derniers ont pu pendant un certain moment profiter de plusieurs failles de sécurité de type 0 Day à l’insu sur des éditeurs de logiciels concernés. Cependant, il a été noté qu’ils ont tous été informé des vulnérabilités dont il est mention ici. Pourtant si les chercheurs de Google affirment que les faille de sécurité ont été corrigée, Il n’en demeure pas moins qu’il ne donne pas suffisamment d’informations sur certains points essentiels tel que les sites internet qui aurait pu être utilisés par les pirates informatiques ou encore les victimes ciblées.

Dans tous les cas, selon la politique de Google et du Project Zero, une faille de sécurité reste quelque chose de dangereux qu’il faut éliminer.

Cependant dans un article qui a paru dans le MIT Technology Review, les failles de sécurité découvertes par l’équipe de Google ne profitaient pas en vérité a des pirates informatiques. Il s’agirait en fait de service de renseignement d’un État occidental qui aurait pu déployer un service dans le but dominé une opération contre le terrorisme. Si l’État concerné n’a pas été précisé dans la revue du MIT, il semblerait que ce soit un État allié au Etats Unis.

De son côté le Project Zero n’a fait aucune déclaration officielle sur la question. Ce qui est sûr, il y a bel et bien eu une entrave à une compagnie utilisant 11 failles de sécurité.

« Le niveau de surveillance, dans les démocraties occidentales, sur ce que font réellement leurs agences de sécurité nationale est, dans de nombreux cas, bien moindre que ce que nous avons aux Etats-Unis », affirme Michael Daniel, ancien coordinateur de la cybersécurité pour la Maison blanche, dans les lignes, le MIT Technology Review.

À l’occasion du FIC 2020, Guillaume Poupard, dirigeant de l’Agence Nationale de sécurité des systèmes d’information parlait du modèle français dans le même contexte : « quand des vulnérabilités sont trouvées, la règle c’est qu’on les fait corriger et que le défensif l’emporte. Cela passe par un dialogue étroit entre les différentes chaînes, et si besoin l’arbitrage est pris au plus haut niveau (le Premier ministre ou le président, NDLR). Mais il faut être honnête : si des vulnérabilités ne peuvent pas être corrigées, mon rôle n’est pas non plus d’empêcher l’offensif de faire son travail et de leur retirer leurs outils ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Google présente un ensemble de 11 failles de sécurité de type Zero Day

L’équipe de spécialistes de recherche de faille de sécurité de Google le Project Zero est dans une lancée depuis certains moments pour décrypter un ensemble de piratages informatiques qui ont compromis durant l’année 2020, plusieurs systèmes d’exploitation mobile et ordinateur.

À savoir Android, Windows et iOS. Parmi cette vulnérabilité détectée par les chercheurs du Project zéro, 3 de ces failles de sécurité pouvait offrir la possibilité à des pirates informatiques bénéficier des actions à travers le navigateur de iOS safari ou encore de Google Chrome. Elles sont à leur suite près de 4 failles de sécurité de nature critiques qui furent décrites par les chercheurs.

Cet article va aussi vous intéresser : Une faille de type « zero-day » découverte sur le navigateur Chrome de Google

C’est en début d’année que ces chercheurs décident de commencer l’explication de cette faille de sécurité. Cela suite à une observation d’une vague d’attaques informatiques sur plusieurs systèmes d’exploitation à la fois. Tout d’abord, cela commencé par l’explication de 4 failles de sécurité de nature critique à la base de cette chaîne d’attaque informatique à savoir :

– CVE-2020-6428 (TurboFan dans Chrome) ;

– CVE-2020-0938 ;

– CVE-2020-1020 (Font dans Windows) ;

– CVE-2020-1027 (WindowsCSRSS).

Récemment les chercheurs de Google nous livrent des explications sur les autres failles :

« Les vulnérabilités couvrent un spectre assez large de problèmes, d’une faille JIT moderne à d’importants problèmes de cache relatifs à des bugs de police », a détaillé la chercheuse en sécurité du Google Project Zero, Maddie Stone « Dans l’ensemble, chacun de ces exploits a fait l’objet d’un travail de compréhension approfondie ». Elle ajoute par ailleurs : « Parmi les 7 dernières failles analysées, la CVE-2020-15999 s’est montrée particulièrement redoutable, utilisant une méthode d’exploit jusqu’alors jamais observée par l’équipe de chercheurs de Google grâce à des méthodes d’offuscation variées ayant nécessité beaucoup de temps pour les comprendre. ».

Parmi les vulnérabilité découverte, il y a celles qui furent par la suite passer au crible par les spécialistes du géant américain en 4 couleurs. Ce sont notamment :

– CVE-2020-17087 (débordement de mémoire tampon Windows dans cng.sys) ;

– CVE-2020-16009 (Chrome TurboFan type confusion) ;

– CVE-2020-16010 (dépassement de mémoire tampon Chrome pour Android) ;

– CVE-2020-27930 (lecture/écriture dans la stack arbitraire de Safari via polices Type 1) ;

– CVE-2020-27950 (divulgation de mémoire noyau iOS XNU Kernel dans des messages mach) ;

– CVE-2020-27932 (iOS type confusion au niveau noyau).

Dans leur enquête, sécurité informatique de Google en découvert qu’il existait deux serveurs qui ont permis aux pirates informatiques d’activer leur exploit à travers une attaque appelée watering hole (point d’eau). La première qui a été active sur une durée d’une semaine ciblait principalement les systèmes Windows et iOS.  La seconde, attaque de nature opérationnelle, qui a duré 36 heures visait exclusivement les systèmes Android.

« Au total, nous avons collecté: 1 chaîne d’attaque complète ciblant Windows 10 entièrement corrigée avec Google Chrome, 2 chaînes d’attaque partielles entièrement corrigées ciblant 2 terminaux Android 10 différents avec Google Chrome et le navigateur Samsung, et des exploits RCE pour iOS 11-13 et un exploit d’escalade de privilèges pour iOS 13 » souligne Maddie Stone. « Les terminaux sous iOS, Android et Windows étaient les seuls que nous avons testés alors que les serveurs étaient encore actifs. L’absence d’autres chaînes d’exploitation ne signifie pas que ces chaînes n’existaient pas », ajoute-elle.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Une faille de sécurité affectant certains smartphones prisés du marché dont le Galaxy S9, Huawei P20, Redmi Note 5…

Sur certains smartphones sous Android OS, une faille de sécurité de type 0 Day été découverte.

Et cette nouvelle faille trouvé sur le noyau d’Android de ces mobiles, pourrait permettre de prendre le contrôle de ces derniers à distance. Et la vulnérabilité touche certains mobiles très en vogue ces derniers temps. Ce sont notamment le Huawei p20, le Samsung Galaxy s9 le Xiaomi Redmi Note 5. Et il a été mentionné que cette faille de sécurité est plus ou moins critique et sensible.

Cet article va aussi vous intéresser : Le piratage de nos smartphones devient de plus en plus inquiétant

Cette Vulnérabilité a été découverte par l’équipe du Project zéro de Google, cette branche dédiée exclusivement à la recherche de vulnérabilités et de failles critiques. Maddie stone, chercheuse en sécurité informatique a découvert cette faille 0 Day qui n’a jamais été documentée ni même corrigée. Cette faille de sécurité touche le noyau lunix d’Android, ce qui permettra aux cybercriminels de pouvoir s’octroyer des privilèges d’administrateur sur le système et prendre le contrôle total même à distance. Cette faille pourrait octroyer des privilèges permettant de modifier le système des smartphones à des niveau plus inférieur.

Affectant ainsi des smartphones assez populaire, cette vulnérabilité aurait apparu dans la version du noyau d’Android qui a vu le jour en avril 2018 et qui avait été même corrigé dans une autre version 4.14 LTS du noyau Linux, mis à la disposition du grand public en décembre 2018. Le problème c’est que ce correctif a été intégré que dans le noyau des versions d’Android 3.18 ; 4.4 et 4.9. Ce qui fait que de nombreux téléphones de type Android ont été commercialisés avec cette vulnérabilité. Les smartphones concernés ont été listés par la plateforme The Hacker News et ils sont au nombre de 13 dont

1) Samsung Galaxy S7

2) Samsung Galaxy S8

3) Samsung Galaxy S9

4) Google Pixel

5) Google Pixel XL

6) Google Pixel 2

7) Google Pixel 2 XL

8) Huawei P20

9) Xiaomi Redmi 5A

10) Xiaomi Redmi Note 5

11) Xiaomi A1

12) Oppo A3

13) Motorola Moto Z3

Par Ailleurs, il était signifié que la vulnérabilité pourrait s’étendre à certains appareils LG sous Android Oreo. La chercheuse a voulu notifier que la faille de sécurité touchait aussi la nouvelle version d’Android. En effet, elle avoue avoir réussi à exploiter la faille quand bien même qu’il y ait un récent correctif de sécurité.

Accessible depuis la Sandbox de Google Chrome, la faille dont il est question est exploitable par une application ou une simple page web, qui permettra ainsi de gagner des droits de lecture et même d’écriture sur le noyau du système Android. Pour résumer, juste l’essentiel pour prendre contrôle d’un appareil en toute discrétion.

Si un correctif de sécurité est en voie, il n’en demeure pas moins que la faille de sécurité a été exploitée par une entreprise israélienne, la NSO Group, firme de sécurité informatique qui est reconnu dans le secteur pour détecter facilement les failles de ce genre pour ensuite les revendre aux gouvernements.

Google prévenu de ce fait, prévoit de déployer un correctif de sécurité d’ici la fin du mois d’octobre. De l’autre côté, tous les constructeurs de smartphones impliqués ont été prévenu pour qu’il puisse de leur côté aussi développer des mises à jour pouvant aider à colmater la brèche.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage