Nos Actualités

Bulletin de sécurité n°11 – Septembre 2020

EDITO

Malgré la persistance du COVID, la rentrée est dense et le dernier trimestre s’annonce très actif.

Comme évoqué, les mois d’octobre et novembre vont être chargés avec la reconduction ISO 27001, HDS, SOC1 et SOC 2 et le lancement de la certification PCI DSS (garanties dans le domaine de la gestion des flux de paiements).

Indispensables, les séances de sensibilisation ont repris et nous travaillons dès à présent sur la réalisation d’un COOC sécurité (Corporate Online Open Course) en conjuguant les compétences sécurité du pôle Cyllene Cyber et l’ingénierie de formation de notre filiale Cyllene Troyes. Des séances d’un niveau technique plus élevé, destinées aux collaborateurs ayant une plus grande maturité (Développeurs, administrateurs) sont également en projet.

Enfin, les missions de conseil (audit, Pen-test, analyse…) se poursuivent tant le besoin en cyber sécurité est grand chez nos clients.

L'ACTUALITÉ CYBER POUR TOUS

1. L’ANSSI et le Ministère de la Justice ont publié un guide de sensibilisation sur les attaques par rançongiciels.

Depuis le 1er janvier 2020, l’ANSSI a traité 1041 attaques par rançongiciels. Pour faire face à cette situation inédite et dans le cadre d’une dynamique gouvernementale, l’ANSSI, en partenariat avec la Direction des Affaires criminelles et des grâces (DACG) du Ministère de la Justice, a mis en ligne le guide « Attaques par rançongiciels, tous concernés – Comment les anticiper et réagir en cas d’incident ? ». Ce guide de bonnes pratiques préventives et correctives a été enrichi des témoignages de trois entités victimes : le Groupe M6, le CHU de Rouen et Fleury Michon. Parmi ses recommandations, ce guide insiste sur l’importance du dépôt de plainte auprès des services de police ou de gendarmerie en cas d’attaque par rançongiciel. Pour en savoir plus, n’hésitez pas à consulter le site de l’ANSSI.

2. La durée de vie des certificats TLS/SSL passe désormais de 2 ans à … 13 mois.

Jusqu’au 1er septembre 2020, les certificats de sécurité étaient valables pendant deux ans. À partir de cette date, ils sont valables pour un maximum de 397 jours soit 13 mois. À noter également, cette nouvelle disposition ne concerne que les certificats émis à partir de septembre 2020. Les certificats émis avant cette date pour deux ans seront valables jusqu’à leur expiration. Les experts en cybersécurité et les développeurs de navigateurs web estiment que réduire la durée de validité des certificats TLS/SSL permet de renforcer la sécurité et évite que des utilisateurs non autorisés ne puissent les utiliser trop longtemps. Par ailleurs, cette réduction de la durée de vie des certificats favorisera les changements en cas de découverte de failles de sécurité dans les algorithmes de chiffrement.

3. Malware « Cerberus » pour Android est en libre-service sur les forums clandestins :

« Cerberus » est un malware bancaire Android sophistiqué, qui a été activement distribué à travers les forums peu fiables en tant « Malware as a Service » (MaaS). Selon les experts en cybersécurité de « Tribune Kaspersky », le code source du malware « Cerberus » a été dévoilé en entier sur des forums clandestins et il est désormais accessible gratuitement aux cyberattaquants. Cette fuite du code source , connue sous le nom « Cerberus v2 », a ouvert de nouveaux horizons aux cybercriminels qui tentent de s’attaquer au secteur bancaire grâce à l’évolution de ses fonctionnalités. Il permet notamment le vol via l’authentification à deux facteurs (2FA) et les options de l’outil d’administration à distance (RAT). Parmi d’autres capacités de « Cerberus v2 », on trouve également l’accès aux cartes de crédit et aux coordonnées, la possibilité de rediriger les appels ou de changer les fonctionnalités mobiles via les fonction RAT, et d’accorder automatiquement les autorisations requises dans le cadre de ses attributs d’authentification. Undernews.fr.

SÉCURITÉ TECHNIQUE

1. L’ANSSI a publié une alerte de sécurité concernant la vulnérabilité critique ayant été découverte le 17 septembre 2020 dans le logiciel Samba (dans toutes les versions antérieures à 4.8) :

La vulnérabilité critique, connue sous la référence CVE-2020-1472, permet à un attaquant de provoquer une élévation de privilèges si le serveur Samba est configuré en tant que contrôleur de domaine (en mode « NT4 » ou Active Directory). L’éditeur a publié un correctif qui peut être appliqué lorsque l’installation de Samba a été réalisée à l’aide du code source légitime. Ce correctif n’a pas encore été repris par les différents éditeurs de distribution Linux. Il est donc impératif de modifier au moins la configuration de Samba pour imposer l’utilisation des « Secure Channel » afin de prévenir l’exploitation. Cette modification se fait en spécifiant certains paramètres dans le fichier smb.conf.

2. Kaspersky a publié un rapport sur les menaces de sécurité visant les systèmes Linux :

Selon ce rapport, douze APTs (Groupes de Menace Persistante) visent des systèmes utilisant Linux, dans le cadre d’attaques ciblées. Ces groupements d’attaquants sont notamment Equation, The Lambert, Sofacy, Barium, Lazarus et Two-Sail Junk. En raison de la popularité des systèmes basés sur Linux au sein des entreprises, ces derniers sont très exposés aux logiciels malveillants tels que les codes malveillants, les portes dérobées, les webshells ainsi que les codes d’exploitation personnalisés. Plusieurs recommandations pour se prémunir des attaques visant les systèmes Linux sont disponibles sur le blog de SecureList.com.

3. Bluetooth : une nouvelle faille de sécurité a été découverte affectant des milliards d’appareils.

Lors d’une étude concernant la section du protocole Bluetooth Low Energy (BLO) qui joue un rôle essentiel pour les appareils fonctionnant sur batterie et utilisant la technologie Bluetooth, sept chercheurs de l’Université de Purdue ont découvert une nouvelle vulnérabilité, prénommée « Bluetooth Low Energy Sppofing Attack » (BLESA). L’attaque permet à un hacker de passer outre les clés d’authentification et d’accéder à d’autres services et applications sur des milliards d’appareils par la procédure de reconnexion.

4. Rançongiciel CYRAT dissimulé dans un logiciel réparateur de fichiers de librairie dynamique DLL :

Déguisé en logiciel de réparation de fichiers DLL (« DLL FIX 2.5 »), ce rançongiciel arrive à simuler un listage de fichiers DLL qu’il présente comme corrompus. Une fois activé, CYRAT chiffre les fichiers du SI infecté, sans limite de taille, en utilisant Fernet, une méthode de chiffrement symétrique également basée sur le langage Python. CYRAT persiste sur le SI compromis en se copiant dans le fichier de démarrage de Windows. L’ironie de l’histoire : un redémarrage du système réactive le rançongiciel. Pour en savoir plus, voir l’article de Gdatasoftware.com.

5. Epic Manchego : un nouveau type de malware utilisant la bibliothèque .NET pour créer des fichiers Excel malveillants.

En été 2020, les chercheurs de NVISO Labs ont identifié l’activité d’un nouveau type de logiciels malveillants, sous le nom d’Epic Manchego, qui ciblait activement les entreprises du monde entier avec des mails d’hameçonnage. Ces messages infectés contenaient des documents Excel capables de contourner les contrôles de sécurité et dont le score de détection était faible. L’astuce employée par les attaquants consistait à compiler les fichiers avec une bibliothèque .NET appelée EPPlus, au lieu du logiciel standard de Microsoft Office. L’ouverture des documents Excel malveillants permettait l’exécution du script (en cliquant sur le bouton « Activer l’édition »), les macros téléchargeaient et installaient des logiciels malveillants sur les SI de la victime. Les charges utiles finales étaient des chevaux de Troie de type « infostealer » comme Azorult, Formbook, Matiex, qui vidaient les mots de passe des navigateurs, des courriels et des clients FTP des utilisateurs et les transmettaient aux serveurs d’Epic Manchego. Afin d’éviter de devenir victime d’Epic Maltego, les chercheurs recommandent le filtrage des pièces jointes ainsi que le filtrage des mails envoyés de l’extérieur de l’entreprise

COMPRENDRE ET APPLIQUER LA RGPD

Une nouvelle offre Cyllene Cyber : PYTHIE

La conformité au RGPD s’inscrit dans la continuité des processus de sécurité au sein des entreprises et aujourd’hui elle devient même indispensable pour nos clients. La plus grande partie de nos projets initiés met en jeu des données à caractère personnel et requiert en conséquence la mise en place de mesures adaptées à leur protection.

Les demandes croissantes sur ces thématiques, qui traduisent une inquiétude croissante, nous ont amené à proposer une offre commerciale spécifique d’accompagnement et de mise en conformité RGPD, c’est l’offre PYTHIE.

Selon le niveau de maturité de chaque client : sensibilité de ses traitements, état d’avancement, etc. nos possibilités d’intervention sont adaptables : conseil, audits, accompagnement DPO externalisé ou formation interne… L’adaptabilité de cette offre est forte parce que chaque mise en conformité étant unique, il faut un accompagnement sur mesure.

Shopping Basket
fr_FRFrançais
en_GBEnglish (UK) fr_FRFrançais