Chaque semaine, les consultants du service de veille synthétisent et analysent les faits marquants de la semaine écoulée.
Correctifs
Cette semaine, le CERT-XMCO recommande en priorité l’installation des correctifs publiés par Microsoft pour les systèmes Windows lors du Patch Tuesday. Une des vulnérabilités corrigées est actuellement exploitée sur Internet [1a][1b][1c]. Elle permet une élévation de privilèges sur le système via l’exécution d’une application malveillante. Il est donc recommandé de mettre à jour les systèmes impactés.
Il est également conseillé d’installer les correctifs de sécurité pour Git [2] et Ghotscript [3a][3b]. L’exploitation des vulnérabilités associées permettait à un attaquant d’élever ses privilèges, et d’exécuter du code arbitraire, pouvant mener à la prise de contrôle du système.
Informations
Sécurité et entreprise
La dernière version de Windows 10 (1809) est affectée par un problème de suppression de fichiers lors de l’installation de la mise à jour. En effet, plusieurs utilisateurs ont vu le contenu de leur dossier « Documents » effacé par celle-ci. Après avoir été informée, Microsoft a arrêté le déploiement de la version. Les utilisateurs affectés peuvent utiliser des applications de récupération de données pour récupérer au moins une partie des données effacées. [4]
Alors que la campagne de révocation des certificats Symantec devrait toucher à sa fin, Mozilla a annoncé repousser la date de révocation de ces certificats pour Firefox. Cette décision est motivée par le grand nombre de sites utilisant ces certificats (plus de 1 %) parmi le top 1 million des sites les plus visités dans le monde. La nouvelle date de révocation n’a pas été annoncée, mais il est indiqué que celle-ci aurait lieu cette année. [5]
Vie privée
Une base de données MongoDB contenant 43,5Go de données personnelles a été découverte. Celle-ci aurait été utilisée à des fins marketing. Découverte par un chercheur indépendant en sécurité, cette base de données était indexée sur le moteur de recherche « Shodan » depuis le 13 septembre 2018. Celle-ci contient près de 11 millions d’adresses électroniques (majoritairement Yahoo!), et des renseignements personnels sur les utilisateurs associés (sexe, adresse physique, etc.). L’appartenance de la base de données n’est pas encore claire. [6]
L’aéroport d’Heathrow a été condamné à une amende de 120 000 £ pour manquements sérieux dans ses mesures de protections des donnée. Cette condamnation fait suite à la découverte en octobre 2017 d’une clé USB contenant des données confidentielles, et à une enquête, suite à cela, dirigée par l’ICO, à propos des mesures de protection des données personnelles. D’après les résultats de l’enquête, moins de 2 % des employés de l’aéroport auraient été formés à la protection des données confidentielles, et l’usage de périphériques de stockage externes non chiffrés serait commun au sein de l’entreprise (y compris pour stocker des données confidentielles). [7a][7b]
Google+ va fermer ses porte [8a][8b]. C’est l’annonce qu’a faite Google après avoir corrigé une faille vieille de 3 ans dans son réseau social, qui aurait affecté les données personnelles de 500 000 utilisateurs. Cette faille aurait été découverte dans le cadre d’un audit interne, et n’aurait pas été pas exploitée. Cependant, la correction de la faille arrivée en mars 2018 aurait dû mener à un avertissement pour les utilisateurs concernés, mais celui-ci n’a pas eu lieu, par peur des représailles, en plein scandale Cambridge Analytica. Le Congrès américain a sommé l’entreprise de leur transmettre le mémo interne à l’origine de cette décision, afin d’obtenir plus d’informations. [9]
Publication
Le National Cyber Security Centre (« NCSC », une entité des renseignements britanniques) a publié un document compilant des informations sur certains malwares utilisés par le groupe APT28 (aussi appelé « FancyBear »). Pour chacun des 4 malwares présentés, le NCSC présente l’outil, des IPs et des domaines avec lequel il communique ainsi que des noms et des hashs de fichiers malveillants. Pour 3 d’entre eux, il présente également des règles de détection Snort. [10]
Un chercheur en sécurité a dénoncé cette semaine le système de paquets Flatpak. Selon lui, Flatpak serait un cauchemar en termes de sécurité. Il permettrait aux applications installées d’exécuter du code de façon arbitraire, et certaines des applications distribuées seraient vulnérables à des failles de sécurité vieilles de plusieurs semaines, alors que leurs équivalents officiels sont corrigés. [11]
Enfin, nous vous rappelons que vous pouvez suivre l’actualité de la sécurité en retrouvant le CERT-XMCO sur Twitter : http://twitter.com/certxmco
Références portail XMCO
[1] CXN-2018-4123
[2] CXA-2018-4061
[3] CXN-2018-4080
[4] CXN-2018-4073
[5] CXN-2018-4171
[6] CXN-2018-4066
[7] CXN-2018-4109
[8] CXN-2018-4079
[9] CXN-2018-4169
[10] CXN-2018-4056
[11] CXN-2018-4133