Bulletins de sécurité

Bulletin de sécurité – janvier 2021

05 févr. 2021

BULLETIN DE SÉCURITÉ – JANVIER 2021

EDITO

Au cours du dernier trimestre 2020, Cyllene a effectué avec succès le renouvellement pour 3 ans de ses certifications ISO 27001et HDS. Cyllene a également satisfait aux exigences des standards SOC 1 type 2 et SOC 2 Type 2.

Afin d’offrir toujours plus de garanties dans nos offres de développement et d’hébergement mettant en œuvre des mécanismes de paiement en ligne, nous sommes engagés dans une démarche de ralliement, à l’échéance de juin 2021, de la norme PCI DSS.

L’équipe s’est renforcée début janvier avec l’arrivée de Raphaël LEBLET, alternant en Master «Cyber sécurité» à l’ITESCIA qui nous a rejoint pour trois ans.

Enfin, si les missions de conseil (audit, Pen-test, analyse...) se poursuivent tant le besoin en cyber sécurité est grand chez nos clients, nous poursuivons le développement de notre offre de SOC managé, dont bénéficient déjà plusieurs grands groupes français.

L'ACTUALITÉ CYBER POUR TOUS

  • Sécurité Windows : 1250 failles de sécurité corrigées par Microsoft en 2020 contre 840 vulnérabilités en 2019.

Ce fut une année record en matière de correctifs de sécurité déployés par Microsoft sur l’ensemble de l’année 2020 par rapport à 2019. Il faut dire que Microsoft met à disposition de plus en plus de services en ligne sur Azure, ce qui augmente mécaniquement le nombre de correctifs. Pour le dernier «Patch Tuesday» de l’année 2020, Exchange Server et SharePoint sont pointés du doigt comme les plus mauvais élèves en termes de la sécurité. Le serveur de messagerie de Microsoft est concerné par 3 failles de sécurité critiques dont les détails techniques sont dévoilés sur le site web de Zdnet.fr

  • Halte au phishing : un nouvel outil permettant d’installer des messages malveillants directement dans les boîtes mail.

Les ingénieurs de « Gemini Advisory » affirment que l’outil «Email Appender», ayant connu récemment un succès sur les forums de Dark Web russophones, pourrait être utilisé par des attaquants afin de déposer des messages malveillants directement dans les boîtes de réception, en contournant les règles de sécurité et les filtres de détection des mails indésirables. Pour exploiter cet outil, il faut connaître les identifiants de comptes de messagerie. Afin de se protéger contre ce type d’attaques, utilisez le MFA et restez vigilants aux mails entrants, même s’ils semblent provenir de la part d’un expéditeur connu (collègue de travail, client). «Email Appender» n’est pas un rançongiciel, mais il peut faire une copie de la mailbox de la victime, effacer tous ses messages et lui demander de payer une rançon sous prétexte de publier les mails ayant les données sensibles sur Internet. Pour en savoir plus : regardez cette vidéo de démonstration sur YT.

  • ARTE propose : Stories of Conflict : Cyberguerre – «Ça parle pas à ton grand-père».

Le cyberespace fait pleinement partie des espaces d’affrontements reconnus, entre cyberattaques contre des infrastructures, fuites de données et écoutes étatiques. Pour «comprendre les grands conflits de notre temps en matière de cyberguerre et décrypter les évolutions du monde à venir», des séquences documentaires de 7 minutes à découvrir sur ARTE.

  • Le durcissement de la surveillance des crypto-monnaies en France.

Des exigences plus strictes en matière de crypto-monnaies seront imposées en France. Une ordonnance a été étudiée récemment en Conseil des ministres afin de durcir les processus de vérification d’identité sur les plateformes. Les acteurs français du marché de crypto-monnaies devront optimiser les processus de connaissances clients et leur demander systèmatiquement une deuxième preuve d’identité. Selon Clubic.com, le virement SEPA serait la seconde preuve envisagée par le gouvernement français (ce point restant à confirmer).

SÉCURITÉ TECHNIQUE

  • Les outils offensifs du cabinet de sécurité FireEye ont été subtilisés par les hackers.

La manière dont les hackers ont procédé pour voler des outils de la sécurité offensive de FireEye n’a pas été rendue publique. Pour le FBI, les premières indications montrent un acteur avec un haut niveau de sophistication, soutenu par un État-nation. Le principal risque est que les outils offensifs du cabinet soient désormais utilisés par des hackers pour mener des attaques de grande ampleur, similaires à celles de WannaCry et NotPetya, lorsque les pirates affiliés à la Corée du Nord et à la Russie ont mis la main sur les outils volés à la NSA par les «Shadow Brokers». FireEye affirme ne pas avoir identifié l’utilisation de ses scripts et logiciels volés contre d’autres cibles. Par ailleurs, l’entreprise victime a donné un accès à des éléments techniques permettant de détecter l’utilisation des outils dérobés et d’en parer les effets.

  • Google fait supprimer de la plateforme GitHub du code capable de contourner sa DRM Widevine.

Google a fait retirer du code de sa plateforme widevine utilisée pour des services de streaming. À l’origine de la découverte, un PoC du chercheur Tomer Hadad qui voulait montrer à quel point il était facile de contourner la protection par DRM. Le PoC se présentait sous forme de l’extension Chrome qui ne fonctionnait que sous Windows. Cette extension s’inflitrait dans la liaison entre Widevine et les Encrypted Media Extensions (EME), et récupérait les clés de chiffrement au passage, grâce à quoi il devenait possible d’obtenir un flux vidéo en clair.

  • Des «darkphones» : un nouvel défi à relever par les concepteurs du matériel du forensic mobile.

Dans un article sur Cercle-k2.fr la gendarmerie constate que depuis quelques années certaines sociétés privées se sont lancées dans la mise à disposition des téléphones «inviolables» - des «darkphones». Les revendeurs appliquent des politiques de sécurité qui désactivent physiquement la caméra, rendent inopérant l’utilisation de la voix, des applications de localisation et l’échange de données via la connectivité USB. Vendus sur Darknet, ces appareils sont livrés avec 2 systèmes d’exploitation distincts. Lorsque le téléphone est démarré, un Android normal s’affiche avec aucune donnée utilisateur. Une combinaison de touches spécifiques permet de passer en mode sécurisé et de lancer le système d’exploitation Encrochat développé par la société préparant le téléphone. Le «darkphone» créé un canal chiffré pour envoyer ou recevoir des mails chiffrés via le serveur dédié. La carte SIM est également difficile à tracer. Un effacement à distance est nativement intégré. À l’avenir, les forces de l’ordre et les fabricants du matériel dédié à la forensique devront développer des nouvelles techniques d’investigation pour faire face aux mesures de dissimulation criminelle se trouvant au cœur des «darkphones».

COMPRENDRE ET APPLIQUER LA PROTECTION DES DONNÉES

  • La politique des cookies de Google et Amazon est pointée du doigt par la CNIL.

La CNIL vient de condamner Google et Amazon à des amendes de plusieurs millions d’euros. Cette sanction concerne la politique des cookies intrusive des 2 acteurs du numérique. La CNIL a constaté au moins 3 manquements à l’article 82 de la loi Informatique et Libertés. Le premier est l’absence de consentement préalable de l’utilisateur. Lorsqu’un utilisateur se rendait sur la page www.google.fr, plusieurs cookies poursuivant une finalité publicitaire étaient automatiquement déposés sur son ordinateur sans aucune action de sa part. Autre manquement : l’utilisateur ne pouvait pas exercer pleinement son droit d’opposition, car «un des cookies publicitaires demeurait stocké sur son poste et continuait de lire des informations à destination du serveur auquel il était rattaché». Pour découvrir la troisième violation de Google de l’article 82, n’hésitez pas à lire cet article sur Lemondeinformatique.fr.

  • Le «Digital Services Act» en 6 questions.

Dans le cadre d’une nouvelle directive sur les services numériques «Digital Services Act», que la Commission européenne a présentée récemment, les géants numériques comme Facebook, Twitter ou Google seront obligées de « fournir plus d’informations sur le fonctionnement de leurs algorithmes lorsque les régulateurs le demandent». Cela consiste de «préciser aux utilisateurs des plateformes comment les systèmes de recommandation intégrés dans ces plateformes décident du contenu à afficher». Les plateformes numériques devront aussi «livrer des rapports réguliers sur le contenu des outils de modération qu’elles emploient» et «de meilleures informations sur les annonces publicitaires auxquelles les utilisateurs sont exposés».

Article suivant

Gérer mes Cookies

Les cookies sont importants pour le bon fonctionnement d'un site. Afin d'améliorer votre expérience et nos services, nous utilisons des cookies pour collecter les statistiques en vue d'optimiser les fonctionnalités de notre site Web.

Vous pouvez choisir de bloquer certains types de cookies. Sélectionnez votre choix concernant chaque catégorie de cookie. Cliquez sur «soumettre les préférences » pour valider vos choix.

Mesure d'audience

Ces cookies servent à mesurer et analyser l’audience de notre site (nombre de visiteurs, pages vues, durée sur le site, etc.) afin d’en améliorer la performance.

Afin de recevoir notre fiche produit,
veuillez saisir votre adresse email

Pour télécharger notre document, veuillez entrer votre adresse mail