Bulletin de sécurité Cyllene N°2 – Juin 2018.

Publié le

Le mot du RSSI

Sans doute votre attention aura-t-elle été récemment alertée par l’actualité sur le bug de Facebook ayant impacté 14 millions d’utilisateurs. De même aurez-vous été informés de la sanction CNIL récente (250 000 €) envers un site internet ayant insuffisamment protégé les données de ses clients. RGPD oblige, c’est autour de la thématique de la protection des données personnelles que nous vous proposons de débuter ce numéro.

Jean-François La Manna, RSSI/DPO Groupe Cyllene.

Un regard ciblé sur l'actualité

Le RGPD est applicable depuis le 25 mai 2018, l’occasion de jeter un œil sur les guides mis à disposition et le modèle de registre proposés par la CNIL.
Lire l’article.

Ainsi entrons nous dans un nouveau paradigme marqué par la fin du régime de déclaration des fichiers. En contrepartie responsables de traitement, sous-traitants et prestataires sont désormais pleinement responsables de la protection des données traitées. Au titre de ses obligations (article 28 du règlement) le groupe Cyllene est en mesure de vous accompagner.

La prolifération d’outils d’attaques de plus en plus sophistiqués est à mesurer à l’aune de moyens renforcés que l’ANSSI et le ministère de l’intérieur déploient : de la doctrine en passant par des guides de bonnes pratiques jusqu’à des dispositifs concrets, comme la récente plateforme Percev@l de signalement des fraudes à la carte bancaire (Se connecter via Service-Public.fr).

Les experts cybersécurité du SOC Cyllene sont en mesure d’animer une sensibilisation ciblée à tous niveaux (C-level ou tous collaborateurs) autour d’outils de veille, détection, alerte et reporting adaptés.

Alertes et avis de sécurité
  • Sur des vulnérabilités relatives aux mécanismes de chiffrement de courriels S/MIME et OpenPGP :
    Une attaque, nommée EFAIL (réf. : CVE-2017-17688, CVE-2017-17689), permet de compromettre les échanges de courriels sécurisés par S/MIME et OpenPGP.
    Un acteur malveillant peut obtenir la version déchiffrée d’un message protégé par l’un de ces mécanismes de chiffrement. Pour cela l’attaquant doit être en position d’homme du milieu (man-in-the-middle), c’est à dire être capable de lire les échanges de courriels entre un expéditeur et un destinataire. Cette attaque tire parti de fonctionnalités des clients de messageries qui permettent d’enrichir le contenu textuel d’un courriel en intégrant du HTML ou encore du CSS.
    Les préconisations de contournement sont graduelles :
    o   Court terme : désactivation d’utilisation de contenu actif ou déchiffrement de contenu en dehors de l’agent de mail,
    o   Moyen terme : surveillance de disponibilité de correctifs,
    o   Long terme : évolution des standards S/MIME et OpenPGP.

 

  • Sur des vulnérabilités relatives à des protocoles et services obsolètes Cisco SmartInstall, les préconisations sont les suivantes :
    o   Consulter l’alerte CERTFR-2018-ALE-006 du Cert-FR ;
    o   Qualifier en première étape la correspondance des IP transmises avec l’une de vos installations ;
    o   Identifier sur votre réseau interne les équipements vulnérables ;
    o   Appliquer les mesures de remédiation du constructeur ;
    o   Désactiver le service vulnérable si le service n’est pas utilisé ;
    o   Mettre en place des ACL afin de limiter l’accès au service vulnérable ;
    o   Appliquer un correctif.

 

  • Sur une vulnérabilité critique du CMS Drupal :
    Un  bulletin d’alerte de l’ANSSI reprend cette faille ainsi que les différents liens liés à l’exploitation de cette vulnérabilité : bulletin ANSSI. Cette vulnérabilité, répertoriée en tant que CVE-2018-7600, permettrait à un visiteur d’un site vulnérable d’accéder à toutes les données contenues sur le site, de les modifier et de les supprimer, et ce sans authentification. Il est impératif de mettre à jour toutes les versions de Drupal impactées : versions 8.5.x antérieures à 8.5.1, versions 8.4.x antérieures à 8.4.6, versions 8.3.x antérieures à 8.3.9, versions 7.x antérieures à 7.58, version 6.

 

  • Une vulnérabilité dans le noyau Linux Red Hat :
    Celle-ci permet une élévation en privilège. Les versions concernées sont les suivantes :
    o   Red Hat Enterprise Linux Server – AUS 7.2 x86_64
    o   Red Hat Enterprise Linux Server – TUS 7.2 x86_64
    o   Red Hat Enterprise Linux Server – Update Services pour SAP Solutions 7.2 x86_64
    La solution est de mettre à jour le noyau. Le lien du CERT-FR reprend cette vulnérabilité et celui du constructeur permet d’obtenir les éléments sur le correctif.

 

  • Notre fil rouge porte sur « les failles majeures dans les processeurs » :
    o   Il existe une variante aux quatre vulnérabilités Spectre et Meltdown. Bien que plus vraisemblable, elle est de sévérité moyenne et à modérer en fonction des constructeurs ;
    o   Un patch Intel est disponible, en version beta, pour les variantes 3a et 4. Le choix d’activation doit être analysé eu égard à l’impact de performance entre 2-8% ;
    o   AMD n’a aucun produit vulnérable à la variante 3a. Pour la 4 Microsoft a récemment publié un correctif. Pour Linux in n’en existe pas pour l’instant ;
    o   IBM a publié un patch pour OS et firmware pour la variante 4.

 

Nous contacter

Pour toute question relative à la sécurité des systèmes d’information chez Cyllene ou à la protection des données personnelles,
n’hésitez pas à nous contacter.

Partager cette actualité : Email this to someone
email
Share on LinkedIn
Linkedin
Tweet about this on Twitter
Twitter

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *