Faille de sécurité chez Apple, Microsoft, etc. : un chercheur pirate leurs serveurs sans difficulté

REF.:  Romain "Nemrod" Vandevelde, le 11 février 2021 03:36

35 compagnies célèbres ont montré des failles dans leur système informatique : Apple, Netflix, Tesla, Microsoft, PayPal et bien d’autres. Le chercheur a pu y introduire des fichiers de sa création.

Un scénario cauchemardesque pour les responsables informatiques de grandes sociétés s’est déroulé il y a peu. Alex Birsan, chercheur en sécurité informatique, a pu introduire des fichiers de façon furtive sur les serveurs de nombreuses entreprises.

Suite à la découverte d’une faiblesse dans le fonctionnement des systèmes open source, le chercheur s’est demandé s’il pouvait exploiter la faille pour infecter, virtuellement parlant puisque ses fichiers étaient inoffensifs, de grands noms de la tech.

« Le taux de réussite était tout simplement incroyable, » déclare-t-il. Heureusement dénué de mauvaises intentions, le chercheur a prévenu les victimes qui lui ont versé une prime en contrepartie. Cet exercice de piratage lui aura permis de gagner plus de 130 000 dollars dont la moitié est à mettre au crédit d’Apple et Microsoft.

Le déroulement de l’attaque

Tout commence lorsque Birsan découvre un nom de paquet utilisé en interne par PayPal et non référencé sur le domaine public. Il lui vient alors l’idée de créer une variante utilisant le même nom et de l’héberger sur un serveur open source. Et c’est là que l’histoire commence. Le système de PayPal est venu chercher en priorité le paquet hébergé en open source plutôt que celui qui est sur les serveurs internes de l’entreprise.

En effet, la faille est de taille, de nombreux logiciels vont tenter de résoudre leur dépendance de paquet en allant chercher les versions les plus récentes sur les serveurs open source. En priorisant ainsi le distant au local, ces applications ouvrent une brèche de taille dans les systèmes informatiques.

Alex Birsan a donc créé un ensemble de fichiers contrefaits puis les a mis en ligne pour les retrouver directement sur les serveurs privés de grandes entreprises sans que personne se soit rendu compte du forfait. Cette méthode contourne donc les grands classiques du piratage informatique et ne nécessite pas de s’en prendre à un utilisateur en interne grâce à une technique de « phishing » par exemple.

Une brèche de sécurité critique

La découverte des failles de sécurité n’est pas une chose rare. Récemment, une faille découverte sur iOS permettait à des hackers de prendre le contrôle d’un iPhone sans le toucher. Pire encore, CD Projekt, déjà en difficulté par rapport à Cyberpunk, subit le chantage de pirates informatiques qui réclament une rançon pour ne pas diffuser les codes sources de plusieurs jeux et des documents confidentiels.

Heureusement pour les sociétés victimes du chercheur, aucun code malveillant n’était présent dans les fichiers modifiés et le piratage de grande envergure n’avait pour but que d’améliorer la sécurité. Si les plus sceptiques pensent que déposer un fichier sur un serveur et y exécuter un code malveillant sont deux choses bien différentes, sachez qu’Apple a confirmé à Birsan qu’avec la méthode utilisée, il aurait pu exécuter un code sur les serveurs à l’insu des employés.

Espérons donc pour nos données et pour la sécurité des entreprises que ce genre de failles sera découvert en priorité par des chercheurs bien intentionnés plutôt que par des pirates avides de profits.

Sécurité : 10 règles pour se protéger des attaques sur Internet

Source : BGR

Thèmes : informatique, Sécurité

Frédéric Pierucci : "Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique"

Frédéric Pierucci : "Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique" 

Libellés

Cloud computing, cloud, GAFA, Cloud Act, espionnage

 

 

 

Cloud Computing : Prisonnier pendant 14 mois dans les prisons américaines, cet ancien responsable d’une division d’Alstom dénonce la logique d'extra-territorialité de la justice américaine. Il juge que le Cloud Act participe de cette tendance de fond.

Par Guillaume Serries | Modifié le mercredi 10 juil. 2019 à 18:41

Suivre @SerriesG

 

Le Cloud Act, "c'est une prolongation de Prism" assure Frédéric Pierucci, ancien responsable d’une division d’Alstom passé dans les prisons américaines pendant 14 mois. Il était le protagoniste principal d'un entretien fleuve (2h15) donné au site Internet Thinkerview lundi soir.

Le Cloud Act ? Une loi américaine qui permet depuis mars 2018 aux procureurs américains d'exiger des fournisseurs de cloud computing nord-américains et des opérateurs télécoms l'accès aux données stockées sur leurs serveurs, même si ceux-ci sont situés en Europe.

Prism ? Le nom de code du système d'espionnage global mis en place par la NSA avec les entreprises du numérique américaines qu'a révélé Edward Snowden. Un système qui permet bien entendu de pratiquer l'espionnage économique de grande ampleur. Un système qui quand il a été rendu public a provoqué un tollé. Mais peu d'actions officielles de la part des pays visés. Dont la France.

"Normalement, le garde fou c'est le "serious crime"

"Avec le Cloud Act, les Etats-unis ont légalisé l'espionnage économique" mentionne Frédéric Pierucci. "En faisant cela ils bypassent complètement toute entraide judiciaire internationale" dit-il. "Si une entreprise française a enfreint les lois américaines, normalement il y a une demande qui est faite du ministère de la justice américain au ministère de la justice français, et vous avez transfert ou non transfert de données avec en France des lois de blocage qui sont censées protéger les entreprises françaises de l'export de leurs informations à des autorités étrangères".

"En faisant cela (le Cloud Act), ils shuntent complètement ce processus".

Problème pour les entreprises françaises, les fournisseurs de cloud computing sont pour l'essentiel américains. Avec le Cloud Act, AWS, Azure (Microsoft) ou encore Google Cloud Platform se doivent d'accéder aux demandes des procureurs américains. Le risque de voir leurs données et les données de leurs client fuiter outre-Atlantique est donc grand.

Microsoft par exemple se satisfait désormais du Cloud Act (pour Clarifying Lawful Overseas Use of Data) après avoir combattu l'administration américaine sur ce sujet. Le président et directeur juridique de Microsoft, Brad Smith, a justifié le support de Microsoft à cette loi au motif qu'elle ouvre la voie aux gouvernements à l'établissement d'accords internationaux dans ce type d'affaires. Mais à ce jour, point d'accords internationaux.

"Normalement, le garde fou c'est le "serious crime", mais c'est suffisamment vague pour englober des faits de corruption" dit Frédéric Pierucci, qui assure que ce système participe d'une véritable guerre économique que livrent les Etats-Unis à l'Europe. L'infraction de "serious crime" serait donc un pratique fourre-tout qui permettrait à des procureurs de demander l'extraction quasi-automatique des données.

"Un procureur ne peut pas demander cela à une entreprise américaine sans l'accord d'un juge. Sauf que j'ai fait l'analyse, rien que dans l'Etat du Connecticut, sur 120 000 demandes de warrant (mandat judiciaire) de procureur a un juge américain, cela a été refusé dans moins de 10 cas" dit l'ancien cadre d'Alstom. "Dans 99,9 % des cas où un procureur demande l'aval d'un juge, cela lui est donné" insiste t-il. "Cette loi date de mars 2018. Combien de données on été siphonnées depuis cette date ?" s'interroge t-il.

Le RGPD européen tente de tempérer ce risque dans son article 48. Il stipule qu’un ordre judiciaire d’un pays tiers ne crée pas un engagement juridiquement reconnu en Europe si l’ordre ne passe pas par une procédure de coopération internationale. Reste que le rapport de force entre des européens pour l'heure assez peu unis et l'offensive américaine n'est pas en faveur de l'Europe.

Le récent rapport Gauvain préconise sur le cloud act de ponctionner 4 % du chiffre d'affaires des Gafa qui transmettraient des données aux gouverneurs américains. Cette extension du RGPD aux données des personnes morales « permettra de sanctionner les hébergeurs qui transmettraient aux autorités étrangères des données en dehors de l’entraide administrative ou judiciaire » assure le rapport. "Sur le papier c'est beau" mentionne Frédéric Pierucci.

Frédéric Pierucci a été arrêté en 2013 par le FBI à sa descente d’avion à New-York et poursuivi pour une affaire de corruption. Après avoir plaidé coupable devant le procureur en juillet 2013, afin d’alléger sa peine, il passe quatorze mois en prison. "Otage" et prisonnier aux États-Unis, pendant que se jouaient des tractations entre le groupe français Alstom et l’Américain General Electric, il affirme avoir mis au jour un véritable système de rachat et d'accaparement d'entreprises étrangères par la contrainte par des entreprises américaines, avec l'aide du département de la justice des Etats-Unis et du FBI. Par le biais de sanctions, 14 milliards de dollars auraient été ponctionnés aux entreprises françaises depuis 2010 via ce système.

Il livre son témoignage dans "Le piège américain" (JC Lattès, 2019), ouvrage coécrit avec le journaliste Matthieu Aron.


REF.: