Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
L'agenda
A réserver dès maintenant
Dans le cadre de l'Université de la Terre organisée conjointement par l'UNESCO, le Ministère de la Santé et Mediawan les 14 et 15 mars 2025, un débat intitulé
"L'intelligence artificielle : un coût (de trop) pour la planète" aura lieu vendredi 14 mars de 11h30 à 13h à la Maison de l'UNESCO, 125 avenue de Suffren à Paris. Il est recommandé de réserver sa place dès que possible.
En ligne
Comme chaque année, le
CTF de Noël de SANS est ouvert à tous, gratuit et pour tous niveaux. Jusqu'au 3 janvier.
Pannes et bugs
Des black-outs en pagaille
Mardi 10 décembre vers 9h (heure française),
une panne mondiale a touché Microsoft 365. Selon les communiqués de Microsoft, l'origine du problème se situait dans la génération de jetons d'authentification. Le déploiement du correctif s'est terminé vers 15h, et a conclu l'incident.
Le lendemain mercredi 11 décembre,
c'est OpenAI qui fait les frais d'une interruption de service sur ChatGPT et Sora. Cette panne, dont l'origine n'a pas été précisée est tombée au jour 5 de l'événement promotionnel "12 days of OpenAI".
Ce même jour vers 18h30 (heure française),
ce fut le tour des réseaux sociaux du groupe Meta de tomber, affectant diversement ses utilisateurs à travers le monde. Comme souvent, le groupe s'est contenté de faire savoir qu'il était conscient de la panne et travaillait dessus.
Les services ont été rétablis le lendemain matin (heure française), sans autre précision sur l'origine de la panne.
Suite des conflits avec Windows 11 24H2
Lundi 9 décembre, il a été question des conflits entre Windows 11 24H2 et d'autres applications.
Commençons avec une bonne nouvelle pour les gamers,
Ubisoft a trouvé une solution (partielle) aux problèmes de compatibilité entre l'OS et ses jeux. Pour rappel, un patch de l'éditeur – réglant des problèmes audio, des crashes et des freezes causés par l'environnement Windows 11 24H2 – empêchait les mises jours de ce dernier.
Mais les questions de compatibilité ne s'arrêtent pas là, et une mise à jour peut en entraîner une autre : désormais, Microsoft bloque les mises à jour de Windows 11 24H2
sur les appareils dotés d'une version obsolète de Google Workspace Sync, car les versions antérieures causeraient des problèmes au démarrage du nouvel Outlook.
Les bugs de l'anti-stream
La lutte des plateformes de streaming contre le piratage occasionne des dégâts collatéraux : cet automne,
Le système anti-piratage automatisé Piracy Shield, spécialisé dans le blocage rapide du streaming illégal d'événements sportifs, a bloqué par erreur des dizaines de milliers de sites légitimes, dont Google Drive, des associations caritatives, et bien d'autres. Déjà contesté auparavant, tant sur son efficacité que sur la légitimité de son action, Piracy Shield a vu les critiques négatives sur son activité relancées par cet incident.
Failles de sécurité
Les Interfaces Clavier / Chaise : un enjeu de sécurité persistant
En matière de
vulnérabilités liées au comportement de l'utilisateur, plus ça change, plus c'est la même chose : utilisation des applis de l'entreprise sur des appareils personnels, droits d'accès insuffisamment restreints, réutilisation des mots de passe et contournement de la PSSI persistent dans grand nombre d'entreprises, accompagnés du petit dernier des comportements à risques : l'injection de données sensibles dans les IA conversationnelles. Les actions de sensibilisation des employés sont indispensables pour toute entreprise souhaitant renforcer sa posture de sécurité.
Les vulnérabilités du réseau
Le réseau est vulnérable cette semaine, à commencer par
les routeurs de chez Synology, qui ont dû être patchés récemment pour plusieurs vulnérabilités XSS de sévérité modérée. Le risque encouru relève de l'injection de script web ou de HTML arbitraire. Il est fortement recommandé de mettre à jour le gestionnaire du routeur vers la version 1.3.1-9346-10 ou supérieure pour mitiger ce risque.
CVE-2024-53279,
CVE-2024-53280,
CVE-2024-53281,
CVE-2024-53282,
CVE-2024-53283,
CVE-2024-53284 et
CVE-2024-53285Les WAF (pare-feux dédiés aux serveurs d'applications web) de plusieurs marques très répandues (dont Akamaï et Cloudflare) contiennent une faille de sécurité systémique appelée "
BreakingWAF", qui les rend vulnérables aux dénis de service, aux ransomwares et à la compromission de l'application. Des APT telles que APT41 on été repérées exploitant des vulnérabilités similaires pour extraire des données sensibles. Les plus grosses multinationales – telles que Visa, Intel ou UnitedHealth – sont concernées. Les mesures de mitigation de ce risque incluent la restriction d'accès au backend à une liste blanche, ainsi que l'utilisation d'en-têtes HTTP personnalisés avec secrets pré-partagés et de mTLS (authentification mutuelle du serveur et du CDN).
Enfin, une vulnérabilité critique a été trouvée sur
la fonctionnalité Attended SysUpgrade d'OpenWRT. elle est le résultat de deux failles simultanées, l'une sur la commande Make (permet l'injection de commandes arbitraires), et l'autre sur l'utilisation du chiffrement. Son exploitation permet à l'attaquant de distribuer des images système infectées.
Très réactive, l'équipe d'OpenWRT a mis en ligne un correctif quelques heures seulement après avoir été avertis par un chercheur de chez RyotaK. Bien qu'aucune exploitation de cette faille n'ait été signalée à ce jour, il est recommandé d'accompagner la mise à jour vers la même version corrigée d'une vérification de la légitimité de l'image système.
CVE-2024-54143Le réseau sans fil est lui aussi affecté par la découverte de
dix vulnérabilités sur la plateforme de gestion cloud Reyee lors du sommet BlackHat Europe 2024. Trois d'entre elles sont critiques (
CVE-2024-47547,
CVE-2024-48874 et
CVE-2024-52324). L'ensemble de ces failles causent un risque de RCE (Remote Code Execution) sur les machines connectées à la plateforme. Les possibilités ouvertes aux attaquants incluent la prise de contrôle des appareils, qui est peu intéressante, ou bien l'exécution plus discrète d'un reverse-shell. C'est cette dernière attaque, surnommée "Open Sesame", qui est la plus redoutée.
Code
Une vulnérabilité critique a été trouvée sur
Python 3.12.0, pouvant mener à une exploitation de la mémoire sur les systèmes Linux ou MacOS. La faille vient d'une manipulation incorrecte de la mémoire-tampon entraînant un buffer overflow. Cela dit, les conditions spécifiques pour que cette vulnérabilité se manifeste sont nombreuses, diminuant d'autant sa probabilité. L'équipe Python travaille à un correctif.
CVE-2024-12254L'utilisation croissante du LCNC (low code / no code) entraîne l'augmentation du risque lié à un vecteur d'attaque sous-estimé :
l'injection OData. OData (Open Data Protocol) est un standard populaire dans le développement et la gestion d'APIs REST sur les plateformes LCNC, où il est souvent utilisé comme un langage de requêtes. La possibilité d'injections par ce biais est plus complexe à repérer et à comprendre pour les chercheurs qu'une injection SQL, car OData ne se limite pas aux BDD relationnelles mais se connecte à un large panel de sources différentes. Les failles de sécurité associées à cette démarche sont associées aux entrées de données provenant de sources externes sans mesures de validation.
Cleo
Une faille 0-day critique sur
le logiciel de transfert de fichiers Cleo est activement exploitée. Cette faille est similaire à celle d'une version antérieure du logiciel (
CVE-2024-50623), dont le patch s'est avéré insuffisant. Elle consiste en un abus complexe de la fonction d'exécution automatique, qui se solde par l'exécution d'un script PowerShell malveillant.
Depuis le 3 décembre, un nouveau malware du nom de
Malichus exploite activement cette faille pour un installer des portes dérobées reliées à des serveurs C2.
Cette attaque, surnommée
Cleopatra Backdoor, survient dans un contexte où le succès des ransomwares contre MOVEit l'an dernier a fait prendre conscience aux cybercriminels de l'intérêt des attaques contre les applis de transfert de fichiers.
Le gang Termite en est un des principaux exploiteurs.
Encore non disponible en début de semaine, un correctif a été publié jeudi dans la version 5.8.0.24. Il est impératif pour les entreprises clientes d'effectuer la mise à jour au plus tôt. Vérifier continuellement les logs du logiciel à la recherche de fichiers .xml contenant des commandes PowerShell permettra aussi de s'assurer de la non-compromission du système.
En bref
La fournée hebdomadaire de failles Microsoft :
- Microsoft Office et Excel présentent deux vulnérabilités, avec des risques de RCE (CVE-2024-49069) et d'élévation de privilèges
(CVE-2024-49059).
- Une faille nommé AuthQuake touche la MFA d'Azure, d'Office 365 et d'autres services Microsoft., et permet des accès non autorisés aux comptes. Le patch, sorti il y a plus de deux mois, est à appliquer d'urgence.
- Une vulnérabilité critique (CVE-2024-49115) touche RDP, le service d'accès distant de Microsoft, avec une possibilité de RCE. Une mise à jour récente à résolu le problème.
- NTLM, le prédécesseur de Kerberos, est susceptible d'être la cible d'attaques par relais causant des fuites d'identifiants(CVE-2024-21413, CVE-2023-23397 et CVE-2023-36563). Un patch non officiel est sorti en attendant la prochaine mise à jour.
… Et les autres brèves
MàJ, changements et nouvelles fonctionnalités
Les changements majeurs
Le
nouveau HDMI 2.2 arrivent le mois prochain. La version actuelle, 2.1, remonte à 2017. Le Forum HDMI annonce qu'il en détaillera les spécificités dans une conférence de presse le 6 janvier prochain. On sait déjà que les progrès porteront sur de meilleures fréquences de rafraîchissement et une plus haute résolution. On sait aussi que ces progrès seront apportés par un nouveau câble. Il est peu probable que le port lui-même soit modifié.
Le nouveau standard
TPM (Trusted Platform Module) 2.0 a pour but de mieux protéger les appareils connectés des cyberattaques. Ce qui change de l'ancienne version, c'est un meilleur contrôle de l'utilisateur et de l'administrateur sur le firmware, qui peuvent maintenant surveiller ses actions et s'assurer qu'il est à jour. Il est aussi possible de remédier à une faille de sécurité sans attendre un patch du fabricant.
Chez Linux aussi, on a du nouveau :
Linux 6.12 devient le nouveau noyau LTS (Long Term Support). Outre la promesse d'un support régulier et d'une durée de vie bien plus longue que les deux ans habituels, il apporte de nouvelles fonctionnalités, comme le planificateur extensible ou le gestionnaire de rendu DRM (Direct Rendering Manager).
Les nouvelles fonctionnalités de la semaine
Android se dote de
nouvelles fonctionnalités anti-tracking. L'utilisateur pourra mettre en pause la fonction de localisation, et sera alerté de la présence de trackers inconnus, notamment les trackers Bluetooth, dont le rôle a été mis en cause dans des affaires de violences conjugales et de harcèlement, et jusque dans des cas de féminicides.
Bonne nouvelle :
PeerTube se dote d'une appli mobile. Au-delà du bénéfice évident de pouvoir regarder des vidéos PeerTube sur son mobile, l'objectif est aussi de simplifier l'expérience du Fediverse, notamment pour l'utilisateur néophyte. Pour cela, l'appli se dote d'outils pensés en priorité pour améliorer l'expérience utilisateur : compte local sur l'appareil (sans rechercher une instance sur laquelle se créer un compte), moteur de recherche, présentation attrayante des diverses instances, et disponibilité de l'appli sur les principales plateformes de téléchargement (AppStore, PlayStore et F-Droid).
Attaques : les campagnes de la semaine
Ils font parler d'eux cette semaine
C'est la grosse alerte de la semaine : les attaques par la chaîne d'approvisionnement (supply chain attack) se multiplient. Les
DDOS ciblant les APIs ont augmenté de 3000%. Ces attaques ciblent plus particulièrement les PME, qui sont visées 175% plus que les grosses entreprises.
En fin de semaine,
c'est Wordpress qui était visé à travers des dépôts GitHub. 390000 comptes ont ainsi été usurpés.
Guan Tianfeng a acquis une certaine notoriété cette semaine, en réussissant à
compromettre 81 000 firewalls Sophos avec une seule faille zero-day. Et puisqu'on en est aux gros chiffres, le gouvernement américain a promis une récompense de 10 millions de dollars à qui lui fournira des renseignements sur la localisation du pirate...
Le groupe Lynx, spécialisé dans le ransomware,
a attaqué le principal fournisseur d'électricité de Roumanie. Ils n'ont toutefois pas atteint d'infrastructure critique. Le DNSC, entité chargée de l'enquête, recommande qu'aucune structure touchée par une éventuelle demande rançon ne paie, et fournit un script de scan YARA qui doit permettre de repérer le fichier malveillant.
Un nouveau
rootkit LKM (Loadable Kernel Module) menace les systèmes Linux. Difficile à détecter, Pumakit a fait l'objet d'une règle YARA, publiée par Elastic Security pour aider les administrateurs à le repérer.
Le (trop ?) long feuilleton de la fuite de données chez Free touche à sa fin :
on connaît enfin le mode opératoire du pirate. Un complice en interne lui a donné ses identifiants pour se connecter au VPN de l'entreprise. Après l'accès initial, l'élévation de privilèges par ingénierie sociale lui a permis d'accéder aux données convoitées. Il est notable que son attaque repose essentiellement sur des failles humaines (cf. plus haut), avec littéralement zéro prouesse technique.
En dehors des sentiers battus...
Un nouveau scam, qui a au moins le mérite de l'originalité à défaut de celui de la compassion, fait fureur aux États-Unis : convaincre des personnes sans-emploi de verser de petites sommes d'argent
pour effectuer des tâches en lignes supposément rémunérées. Bien-sûr, le versement tarde, jusqu'à se rendre à l'évidence : il s'agit d'un scam. Et celle-ci a connu un succès à la hauteur des efforts de ses victimes pour s'en sortir : la Federal Trade Commission estime qu'elle représente 40 % du total des arnaques en ligne. On est loin de Robin des Bois...
DNS encore...
Les fêtes en général, et celles de fin d'années en particulier, constituent une période choix pour les arnaqueurs.
Cette étude des noms de domaines relatifs à Noël tend à le démontrer…
Des chercheurs en cybersécurité ont découvert une technique avancée leur permettant de découvrir
l'infrastructure opérationnelle d'un attaquant en utilisant les données du DNS passif. Leur méthode implique de collecter et d'analyser les données de transit sur le réseau plutôt que de se concentrer sur les noms de domaines.
Les attaquants aussi font usage du DNS dans leurs activités : une évolution récente du trojan
Zloader le dote d'un tunnel DNS personnalisé qui lui permet de couvrir efficacement ses communications avec le serveur C2.
Dura Lex
Propriété intellectuelle
"Il va y avoir du sport…" Le groupe audiovisuel
Canal+ a obtenu du tribunal judiciaire de Paris que les fournisseurs DNS bloquent l'accès aux plateformes pirates diffusant les matches. Ceci n'est pas sans poser un épineux problème technico-juridique : un fournisseur DNS ne pouvant (par respect des règles de confidentialité) distinguer l'origine géographique de l'utilisateur, il est obligé, de fait, d'appliquer la décision française au niveau mondial. Dans le cas de Quad9, poursuivi dans le cadre de cette procédure, on a donc un fournisseur suisse contraint d'appliquer au reste du monde une décision de justice émanant de la France. Les défenseurs d'un internet ouvert sont outrés, et il y a de fortes chances que la "guerre du DNS" ne s'arrête pas avec cette bataille...
Voila, c'est la fin de ma dernière revue de presse de l'année. On se retrouve dimanche 5 janvier pour l'actu de la tech 2025. Et d'ici là, passez de joyeuses fêtes !
