Powered By Blogger

Rechercher sur ce blogue

Aucun message portant le libellé failles. Afficher tous les messages
Aucun message portant le libellé failles. Afficher tous les messages

lundi 11 septembre 2023

Avec un Flipper Zero, vous pouvez inonder un iPhone de notifications !

 Avec un Flipper Zero, vous pouvez inonder un iPhone de notifications !

 07/09/2023  Florian Burnel 114 Views  Aucun commentaire Apple, Cybersécurité, iPhone  2 min read

À l'aide d'un Flipper Zero, un chercheur en sécurité a mis au point une technique qui permet d'inonder de notifications les iPhone et les iPad à proximité !


Très apprécié par les professionnels de la cybersécurité, le Flipper Zero est un petit boitier portable aux nombreuses capacités. Par exemple, il peut servir dans le cadre d'une mission de test d'intrusion. On peut l'acheter légalement sur Internet, pour environ 200 euros.


La technique présentée aujourd'hui a été mise au point par le chercheur en sécurité surnommé Techryptic, qui a mis en ligne une vidéo sur YouTube en guise de démonstration.


Pour que cette attaque, que l'on peut considérer comme du spam, soit en mesure de fonctionner, le Bluetooth doit être actif sur les appareils pris pour cible. En effet, cette technique exploite la technologie Bluetooth Low Energy (BLE) pour diffuser des paquets spécifiques (advertising packets - ADV) qui sont utiles pour annoncer sa présence aux appareils à proximité. Au sein de l'écosystème Apple, ces paquets sont très utiles pour différents services et fonctions AirDrop, l'association à une Apple Watch, l'activation du Handoff, etc.


Grâce aux capacités du Flipper Zero, qui prend en charge différents protocoles sans-fil, le chercheur a pu diffuser de nombreux paquets ADV pour inonder les appareils à proximité ! Ainsi, les appareils compatibles BLE et qui se situent à portée vont recevoir ces notifications sous la forme de demandes de connexion légitimes.


Pour parvenir à mettre en œuvre cette attaque, le chercheur en sécurité a été obligé d'effectuer une modification au sein du firmware du Flipper Zero. Une fois l'appareil préparé, cette technique peut être utilisée pour perturber les utilisateurs avec un grand nombre de notifications, mais aussi pour tenter de piéger l'utilisateur dans le cadre d'une attaque plus sophistiquée. Le chercheur en sécurité précise : "Pour les utilisateurs d'iOS, ce mimétisme peut être plus qu'un simple désagrément. Il peut être source de confusion, perturber les flux de travail et, dans de rares cas, poser des problèmes de sécurité."


Ici, il s'agit d'une démonstration réalisée pour le fun mais aussi pour sensibiliser les utilisateurs : attention aux comportements des appareils qui vous entourent, notamment lorsqu'ils sont sans-fil.


Si vous disposez d'un Flipper Zero et que vous souhaitez tester cette technique, tout est expliqué sur le site de l'auteur.


REF.: https://techryptic.github.io/2023/09/01/Annoying-Apple-Fans/

https://www.it-connect.fr/avec-un-flipper-zero-vous-pouvez-inonder-un-iphone-de-notifications/

samedi 29 octobre 2022

Selon 4IQ: 14,9 milliards de dossiers d'identité bruts circuler sur le Web,et ';--have i been pwned? lui en a identifier 11,936,824,607

 

 Selon 4IQ: 14,9 milliards de dossiers d'identité bruts circuler sur le Web,et ';--have i been pwned? lui en a identifier 11,936,824,607

 

RAPPORT SUR LES VIOLATIONS D'IDENTITÉ 4IQ 2019
« IDENTITÉS DANS LA NATURE :
LA LONGUE QUEUE DES PETITES INFRACTIONS”

4iQ surveille en permanence les failles et les fuites trouvées dans les sources ouvertes sur le Web de surface, social et profond et sombre avec des robots d'exploration automatisés et des experts en la matière authentifiant et vérifiant les données.

En 2018, 4iQ a découvert 12 499 violations authentiques et a vu 14,9 milliards de dossiers d'identité bruts circuler sur le Web. Après avoir normalisé et nettoyé les données, l'équipe a estimé que 3,6 milliards d'enregistrements d'identité étaient nouveaux et authentiques.

Le rapport plonge dans les données de l’année dernière indiquant les tendances suivantes :

    Il y a eu une augmentation de 71% avec 14,9 milliards de dossiers d'identité circulant dans les communautés clandestines en 2018.
    Les cybercriminels ont changé d'orientation, ciblant davantage de petites entreprises, ce qui a entraîné une augmentation de 424 % des violations authentiques et nouvelles à partir de 2017.
    Les listes combinées massives de mots de passe continuent de croître pour prendre en charge les campagnes de prise de contrôle de compte.
    Les « agences gouvernementales » étaient l'industrie exposée à la croissance la plus importante en 2018, avec une augmentation de 291 % par rapport à 2017.
    Les États-Unis et la Chine représentaient ensemble 47% de tous les dossiers d'identité compromis.
    Les données des citoyens et les registres des électeurs sont ciblés et conditionnés dans un environnement géopolitique instable.
    Les expositions accidentelles provenant d'appareils ouverts représentent trois des plus grandes violations de l'année, mais le nombre d'appareils qui fuient diminue lentement.

En analysant nos résultats, nous aidons les entreprises et les particuliers à reconnaître et à comprendre les risques liés aux informations d'identification et aux informations personnelles identifiables exposées.
Téléchargez le rapport de violation d'identité 4iQ 2019 maintenant.


REF.: https://medium.com/@jcasal/4iq-identity-breach-report-2019-identities-in-the-wild-the-long-tail-of-small-breaches-a2e3974dfaa2

https://haveibeenpwned.com/

jeudi 10 février 2022

Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

 

Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord

Parce qu’il s’est fait pirater par la Corée du Nord, un informaticien habile a pris une solide revanche en mettant hors service tout le réseau Internet de l’État-voyou. Rien de moins!

Pirate indépendant au nom de code P4x, il a lui-même été piraté il y a un an par des agents nord-coréens qui visaient des chercheurs en sécurité occidentaux. Ces espions voulaient voler des logiciels de piratage et des informations sur les vulnérabilités des logiciels.

Bien que ces espions n’ont pu lui subtiliser quoi que ce soit, il s’est senti profondément troublé d’avoir été visé par des pirates parrainés par un État-voyou comme la Corée du Nord et aussi par le manque de soutien du gouvernement américain.

La contre-attaque par déni de service

Un an plus tard, se disant que si on ne faisait rien, les pirates allaient poursuivre les attaques. P4x ne prit les choses en main avec rien de moins que l’objectif de faire tomber tout le réseau nord-coréen! «Je veux qu'ils comprennent que si vous vous en prenez à nous, cela signifie qu'une partie de votre infrastructure va tomber pour un moment», dit-il au magazine Wired.

Il prend sa revanche en mettant hors service tout le réseau Internet de la Corée du Nord
Wikipédia

À partir de vulnérabilités non corrigées dans les systèmes nord-coréens, P4x a trouvé le moyen de mettre à genoux les réseaux et serveurs de l’État-voyou. Comment? Par une cyberattaque somme toute très classique par déni de service (DDoS) qui submerge de requêtes les systèmes informatiques d’une organisation ou d’un pays afin de le rendre inopérant et d’en bloquer l’accès aux utilisateurs.

Sans révéler publiquement toutes les vulnérabilités exploitées, il a indiqué à titre d’exemple un bogue connu du logiciel de serveur Web NginX qui gère mal les en-têtes d’adresses http, lequel a servi à inonder de requêtes les serveurs.

La Corée du Nord roule Linux

Fait intéressant, on apprend par P4x que le système d’exploitation du pays, connu sous le nom de Red Star OS, n’est rien d’autre qu’une ancienne version du système Linux probablement vulnérable.

P4x qui exécute des simulations d’attaques pour tester la solidité des réseaux de ses clients précise que sa cyberattaque menée en Corée du Nord fut un test de pénétration réseau moyennement facile, toujours selon le magazine Wired.

Résultat du piratage, presque tous les sites Web nord-coréens étaient hors service et seuls ceux situés en dehors du pays n’ont pas été affectés, comme le site d'informations Uriminzokkiri.com.

Si les armes ne servent qu'à des démonstrations de force, les attaques informatiques de la Corée du Nord sont monnaie courante.
Photo AFP
Si les armes ne servent qu'à des démonstrations de force, les attaques informatiques de la Corée du Nord sont monnaie courante.

Panne totale confirmée

Le chercheur en cybersécurité, Junade Ali, qui surveille les réseaux nord-coréens a confirmé les mystérieuses attaques à grande échelle sur les réseaux du pays, et ce sans savoir la moindre idée de qui les menait. Il a vu d’importants routeurs tomber en cascade au point de fermer l’accès Web, mais aussi les messageries : «une panne totale d’Internet affectant tout le pays». P4x précise que sa cyberattaque n’a pas coupé l’accès sortant des Nord-Coréens au reste d’Internet.

Si l’exploit technique est bien réel, surtout pour un seul pirate anonyme, sur l’ensemble du pays, il faut quand même relativiser cette panne d’Internet où seule une petite minorité a accès à des ordinateurs connectés à Internet, souligne le chercheur Martyn Williams, du projet 38 North. Il précise que la population n’a accès qu’à l’intranet déconnecté du pays et que la cyberattaque n’a mis hors service que les serveurs surtout utilisés pour la propagande et les autres fonctions destinées à un public international.

P4x confirme cela en disant qu’il n’avait pas l’intention de cibler la population du pays, mais autant que possible le gouvernement.

Pochains objectifs

L’expert P4x a maintenant l'intention d'essayer de pirater plus à fond les systèmes nord-coréens, dit-il, pour voler des informations et les partager avec des experts. En même temps, il espère recruter d'autres hacktivistes pour sa cause grâce à un site Web obscur appelé Projet FUNK, c'est-à-dire "FU North Korea" (inutile de traduire), dans l'espoir de générer une plus grande force de frappe collective. 

 

REF.:   https://www.journaldemontreal.com/2022/02/08/il-prend-sa-revanche-en-mettant-hors-service-tout-le-reseau-internet-de-la-coree-du-nord

jeudi 3 février 2022

PwnKit, le bug Linux qui vous met à la root

 

 

PwnKit, le bug Linux qui vous met à la root

Oyez, oyez jeunes et moins linuxiens ! Sachez-le, il y a sur votre Linux une faille de 12 ans d’âge qui permet à n’importe quel utilisateur lambda sans aucun droit, de devenir root.

Cette vulnérabilité se situe dans le composant pkexec de Polkit. Polkit est un framework qui gère les interactions entre les process avec privilèges et sans privilèges. À titre d’exemple, pkexec permet à un utilisateur de lancer des commandes en tant qu’un autre utilisateur, un peu comme avec sudo.

Référencée sous le doux nom de CVE-2021-4034 alias PwnKit, cette vulnérabilité fonctionne plutôt bien. Un proof of concept en C est même dispo ici. Et un autre en Python également téléchargeable là.

Je viens de le tester sur un Linux Mint et me voilà root.


Évidemment, l’heure est au patch, donc vous pouvez soit patcher directement Pkexec, soit mettre à jour votre système Linux. Debian, Ubuntu, Mint et dérivés ainsi que Red Hat ont déjà sorti les patchs. Mais si vous êtes sur un système un peu à la traine, vous pouvez en attendant utiliser cette commande pour neutraliser l’exploitation de pkexec :

chmod 0755 /usr/bin/pkexec

Également, si vous avez un doute concernant votre serveur et que vous voulez vérifier les logs afin d’être certain que la vuln n’a pas été exploitée, cherchez les chaines suivantes dedans :

The value for the SHELL variable was not found the /etc/shells file
The value for environment variable […] contains suspicious content.

Vous trouverez tous les détails techniques de cette vuln chez Qualys.

Bon courage !

Source  https://korben.info/pwnkit-exploit.html?fbclid=IwAR2n3pBpd8xRpe6exa3siMP6KfWYtx-cJAgXLyCb7p1tKnQ7Wcr3Ljuc9W4

lundi 20 décembre 2021

Une règle fail2ban contre la vuln log4j

 

 

Une règle fail2ban contre la vuln log4j

Si vous êtes encore en train de lutter avec la faille log4j, il y a des tas de techniques pour parer l’attaque comme vous pouvez le lire ici ou grâce à Crowdsec. Mais même si vous avez tout patché et que vous ne risquez plus rien, il y a probablement des tas de rigolos qui tentent quand même leur chance. Et ça pourrit vos logs.

La meilleure solution serait donc de bannir toutes les IPs qui tentent d’exploiter cette vulnérabilité.

Jay Caines-Gooby a mis en ligne sur son site une règle fail2ban qui détecte et bannit immédiatement les IPs des affreux qui jouent avec log4j.

Pour cela, ajoutez la règle suivante dans /etc/fail2ban/jail.local

[log4j-jndi]
maxretry = 1
enabled = true
port = 80,443
logpath = /path/to/your/*access.log

Puis créez le fichier

/etc/fail2ban/filter.d/log4j-jndi.conf

et mettez y la définition regex suivante :

[Definition]
failregex   = (?i)^<HOST> .* ".*$.*(7B|{).*(lower:)?.*j.*n.*d.*i.*:.*".*?$

Et voilà !

Merci à Henri pour l’info et si vous voulez suivre les discussions sur cette règle Fail2Ban, le gist du code est ici.

 

REF.:   https://korben.info/fail2ban-log4j.html?fbclid=IwAR24UIAhp3zRokF5-gpbBRpQN_i38YWtGEEhGWkl73ZhGNJWJezN7Vo2bRg

Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware


Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware
Par
BALAJI N -
16 décembre 2021 0
Des pirates informatiques exploitant la vulnérabilité Log4j2 dans la nature pour déployer un ransomware

Une mise à jour de sécurité d'urgence a été publiée récemment par Apache Software Foundation pour corriger une vulnérabilité de 0 jour dans la bibliothèque de journalisation Log4j populaire.

Cette vulnérabilité 0-day dans Log4j a été exploitée par les acteurs de la menace pour déployer un ransomware.

Log4j est une bibliothèque Java largement utilisée dans les systèmes d'entreprise et les applications Web. Les experts en cybersécurité ont suivi cette vulnérabilité de 0 jour en tant que CVE-2021-44228 et avec la version 2.15.0, le correctif a été publié.
Profil de défaut

Cette vulnérabilité de 0 jour a été nommée Log4Shell et a obtenu un score de 10 points sur 10 sur l'échelle d'évaluation de la vulnérabilité CVSS.

Ce 0-day permet aux attaquants d'exécuter du code arbitraire à distance puisqu'il s'agit d'un RCE.

    ID CVE : CVE-2021-44228
    Nom du défaut : Log4Shell
    Date de publication : 10/12/2021
    Dernière modification : 14/12/2021
    Source : Apache Software Foundation
    Gravité : critique
    Note de base : 10,0

Log4j est un environnement de travail pour le journal d'activité dans Apache qui permet de surveiller l'activité dans une application, et ici pour exploiter la faille 0-day, un attaquant devait envoyer un morceau de code malveillant.

Il oblige les applications et serveurs Java qui utilisent la bibliothèque Log4j à enregistrer une ligne spécifique dans leurs systèmes internes.

Lorsqu'une application ou un serveur traite de tels journaux, une chaîne peut amener le système vulnérable à charger et à exécuter un script malveillant à partir du domaine contrôlé par l'attaquant.
Produits et projets concernés

Cette vulnérabilité 0-day a été découverte à l'origine lors de la recherche de bugs sur les serveurs de Minecraft, mais Log4j est présent dans presque toutes les applications d'entreprise et les serveurs Java.

Donc, ici, nous avons mentionné ci-dessous tous les produits et projets populaires concernés : -

    Jambes de force Apache
    Apache Flink
    Druide Apache
    Canal Apache
    Apache Solr
    Apache Flink
    Apache Kafka
    Apache Dubbo
    Redis
    Recherche élastique
    Logstash élastique
    Ghidra

Les attaquants exploitant la vulnérabilité

La faille 0day, CVE-2021-44228 ne peut être exploitée que si le paramètre log4j2.formatMsgNoLookups est défini sur false. dit Bitdefender.

Dans la version Log4j 2.15.0, ce paramètre est défini sur true, principalement pour arrêter de telles attaques.

En bref, les utilisateurs de Log4j qui ont déjà mis à jour vers la version 2.15.0 puis mis le drapeau à false deviendront à nouveau vulnérables à ces attaques, les utilisateurs qui n'ont pas mis à jour la même chose resteront en sécurité.

Cependant, ici, les pirates exploitent cette vulnérabilité 0-day en déployant plusieurs botnets, mineurs, malwares et ransomwares. C'est pourquoi nous avons mentionné ici les déploiements utilisés par les pirates : -

    Botnet Muhstik
    Mineur XMRIG
    Khonsari (Nouvelle famille Ransomware)
    Orcus (cheval de Troie d'accès à distance)

Atténuations

Ici, les analystes de la cybersécurité ont recommandé aux utilisateurs de suivre quelques étapes immédiates pour atténuer cette vulnérabilité 0-day, et les voici mentionnées ci-dessous :

    Pour identifier tous les systèmes qui implémentent l'infrastructure de journalisation Apache Log4j2, effectuez un audit complet de l'infrastructure et des applications logicielles.
    Assurez-vous de revoir toutes vos nomenclatures de logiciels et votre chaîne d'approvisionnement de logiciels.
    Appliquer une approche de défense en profondeur.
    Surveillez activement l'infrastructure pour détecter d'éventuelles tentatives d'exploitation.

En dehors de cela, avec cette dernière mise à jour (mise à jour Apache Log4j 2.16.0) aucun risque supplémentaire n'est posé par cette vulnérabilité pour les utilisateurs.

 C'est pourquoi certains ont comparé Log4j à Heartbleed, une vulnérabilité dans SSL qui a affecté de nombreux sites Web et services importants, mais qui était également difficile à détecter et à gérer. À l'instar de Heartbleed, dont les conséquences continuent de se faire sentir depuis des années, on craint déjà que les vulnérabilités de Log4j ne soient un problème à long terme. 

  La CISA a imposé aux agences fédérales américaines de corriger la vulnérabilité de Log4j en quelques jours. Mais pour tous les autres, le processus pourrait prendre des années et il y aura de nombreux cas où, malgré les vulnérabilités critiques, certains systèmes ne recevront jamais le correctif.

Il suffit de regarder EternalBlue, le catalyseur derrière WannaCry et NotPetya en 2017, qui figure encore régulièrement parmi les vulnérabilités les plus couramment exploitées et qui, des années plus tard, est toujours utilisé par les cybercriminels pour lancer des attaques. En fin de compte, tant que des systèmes seront menacés par la vulnérabilité Log4j, il y aura des cybercriminels ou des pirates soutenus par des États-nations qui chercheront à en tirer parti.

Et même si une organisation de premier plan a l'impression d'être protégée contre cette vulnérabilité, il est possible que des attaquants compromettent un fournisseur qui ne gère pas son informatique de manière aussi rigoureuse. Les criminels pourraient alors exploiter cette faille comme une passerelle vers une cible plus importante et plus lucrative.


REF.:  https://gbhackers.com/hackers-exploiting-log4j2-to-deploy-ransomware/?fbclid=IwAR0AZa-NRuK-TxlTiXiyxefgLGgSwBL2YSf480i3g5OxjefJ1D_8ECFni7Y

mercredi 15 décembre 2021

Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

 Faille: Log4j,plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud,....les Banques aussi .

Une faille zero day dans Log4j crée d'importantes vulnérabilités dans plusieurs applications dont Minecraft

Fanny Dufour
10 décembre 2021 à 12h50

 

Une zero day critique a été trouvée dans Log4j permettant à des attaquants de réaliser des attaques d'exécution de code à distance.

Plusieurs services sont désormais considérés comme vulnérables, aussi bien Minecraft que Steam en passant par Apple iCloud .

Une faille critique facile à exploiter

Log4j est un outil de journalisation développé par la fondation Apache et utilisé dans de nombreux logiciels et services Cloud, ce qui explique pourquoi la faille zero day qui le touche est aussi critique. Rapportée initialement à Apache par l'équipe de sécurité d'Alibaba Cloud dès le 24 novembre, cette faille est désormais définie comme la CVE-2021-44228. Elle permet à des attaquants de créer des requêtes malveillantes pour exécuter du code à distance et prendre le contrôle total d'un serveur, tout ça sans authentification.

Dans la nuit, plusieurs preuves de concept de son exploitation ont été postées. À la suite de ça, il a été rapporté que plusieurs acteurs malveillants scannaient Internet à la recherche de systèmes vulnérables à attaquer. « En raison de la facilité d'exploitation et de l'étendue de l'applicabilité, nous soupçonnons que des groupes de ransomwares vont commencer à exploiter cette vulnérabilité immédiatement », a déclaré la Randori Attack Team.

De nombreuses applications concernées

Pour le moment, il est compliqué d'avoir une liste complète d'applications touchées, la faille impactant les configurations par défaut de nombreux frameworks Apache, que ce soit Apache Struts2, Apache Solr, Apache Druid, Apache Flink et autres. La Randori Attack Team prédit qu'un « nombre croissant de produits vulnérables seront découverts dans les semaines à venir ».

LunaSec a de son côté confirmé que Steam, Apple iCloud et Minecraft étaient vulnérables. Plusieurs sites dédiés à Minecraft ont rapporté que des hackers pouvaient exécuter du code à distance sur les serveurs ou clients utilisant la version Java du jeu grâce à de simples messages dans le chat.

Les joueurs de Minecraft sont donc appelés à faire preuve d'une grande prudence, à ne pas se connecter à des serveurs inconnus et à ne pas communiquer avec des joueurs qu'ils ne connaissent pas. Il est conseillé que les logiciels et applications utilisant Log4j2 fassent la mise à jour vers le build log4j-2.15.0-rc2 , le fixe présent dans la version 2.15.0-rc1 ayant déjà été contourné. LunaSec rappelle que des failles similaires dans Apache Struts avaient conduit en 2017 à la fuite de données d'Equifax.

WoW que dire des Banques maintenant ;-)

REF.:   https://www.clubic.com/antivirus-securite-informatique/actualite-398148-une-faille-zero-day-dans-log4j-cree-d-importantes-vulnerabilites-dans-plusieurs-applications-dont-minecraft.html

 

Une grave faille zero-day dans la bibliothèque Java Log4j est déjà exploitée

Sécurité : Une grave vulnérabilité dans les bibliothèques de journalisation Java permet l'exécution de code à distance non authentifié et l'accès aux serveurs, avertissent des chercheurs.

Une vulnérabilité zero-day récemment découverte dans la bibliothèque de journalisation Apache Log4j est facile à exploiter et permettrait à des attaquants de prendre le contrôle total des serveurs affectés.

Identifiée comme CVE-2021-44228, la vulnérabilité est classée comme grave et permet l'exécution de code à distance non authentifié.

Selon le CERT néo-zélandais (CERT-NZ), cette vulnérabilité est déjà exploitée par des attaquants.

Le CERT-FR a également publié un avis

Le CERT-FR a également publié un avis concernant cette faille de sécurité. Les analystes de l'Anssi indiquent que « cette vulnérabilité permet à un attaquant de provoquer une exécution de code arbitraire à distance s'il a la capacité de soumettre une donnée à une application qui utilise la bibliothèque log4j pour journaliser l'événement.

« Cette attaque peut être réalisée sans être authentifié, par exemple en tirant parti d'une page d'authentification qui journalise les erreurs d'authentification. Des preuves de concept ont déjà été publiées et des codes d'exploitation sont susceptibles d'être rapidement développés ».

Les systèmes et services qui utilisent la bibliothèque Apache Log4j entre les versions 2.0 et 2.14.1 sont tous concernés, notamment de nombreux services et applications écrits en Java.

Toute personne utilisant Apache Struts est « probablement vulnérable »

La vulnérabilité a été découverte pour la première fois dans Minecraft, mais les chercheurs avertissent que des applications cloud sont également vulnérables. Il est également utilisé dans des applications d'entreprise et il est probable que de nombreux produits se révèlent vulnérables à mesure que l'on en apprend davantage sur la faille.

Un article de blog publié par des chercheurs de LunaSec avertit que toute personne utilisant Apache Struts est « probablement vulnérable ».

« Compte tenu de l'omniprésence de cette bibliothèque, de l'impact de l'exploit (contrôle total du serveur) et de sa facilité d'exploitation, l'impact de cette vulnérabilité est assez grave. Nous l'appelons "Log4Shell" en abrégé », indique LunaSec.

Que faire face à cette menace ?

Les organisations peuvent identifier si elles sont affectées en examinant les fichiers journaux de tous les services utilisant les versions Log4j affectées. S'ils contiennent des chaînes de caractères envoyées par l'utilisateur, le CERT-NZ utilise l'exemple de "Jndi:ldap", ils pourraient être affectés. Afin d'atténuer les vulnérabilités, les utilisateurs doivent basculer le paramètre log4j2.formatMsgNoLookups sur "true" en ajoutant "‐Dlog4j2.formatMsgNoLookups=True" à la commande JVM pour démarrer l'application.

Pour empêcher l'exploitation de la bibliothèque, il est vivement recommandé de mettre à jour les versions Log4j vers log4j-2.15.0-rc1.

« Si vous pensez que vous pourriez être affecté par CVE-2021-44228, Randori vous encourage à faire comme si vous l'étiez et à examiner les journaux concernant les applications affectées pour identifier une activité inhabituelle », écrivent des chercheurs en cybersécurité de Randori dans un article de blog. « Si des anomalies sont découvertes, nous vous encourageons à supposer qu'il s'agit d'un incident actif, que vous avez été compromis et à réagir en conséquence. »

Source : ZDNet.com

 

Ici le tester de Trendmicro:

https://log4j-tester.trendmicro.com/

 

Détectez et bloquez les tentatives d’exploitation de la vulnérabilité Log4j avec CrowdSec

— En partenariat avec Crowdsec —

Si vous travaillez dans le domaine de la cybersécurité, vous avez probablement passé un très mauvais week-end.

Et ce, à cause de la découverte de la vulnérabilité zero-day Log4j (CVE-2021-44228).

L’équipe CrowdSec s’est retroussé les manches pour développer un scénario capable de détecter et bloquer les tentatives d’exploitation de cette vulnérabilité. Vous pouvez le télécharger directement depuis le Hub de CrowdSec et l’installer en un clin d’œil. 

L’efficacité de CrowdSec se basant sur le pouvoir de la foule, et à la lumière de la taille de leur communauté en pleine expansion, la solution a déjà collecté un grand nombre d’adresses IP qui tentant d’exploiter la vulnérabilité. Vous pouvez consulter la liste ici. Elle est très fréquemment mise à jour et il va sans dire que vous devriez bloquer sans attendre celles qui sont marquées comme « validated ».

Ces adresses IP ont été sélectionnées par l’algorithme de consensus de la solution, ce qui signifie qu’elles ont reçu de nombreux votes défavorables de la part de leur réseau d’utilisateurs. Celles qui sont marquées comme “not enough data” sont très suspectes mais peuvent encore contenir quelques faux positifs. Les adresses classées dans la catégorie « benign » sont utilisées par des personnes qui sont généralement du bon côté de la force, pour aider, scanner, et non à des desseins malfaisants. 

Vous pouvez également utiliser leur mode replay, ou forensics, pour analyser les logs de vos serveurs afin de vérifier si une exploitation Log4j a été tentée sur l’une de ces IP, par qui et quand, en utilisant le scénario approprié et la ligne de commande ci-dessous :

sudo cscli hub update
sudo cscli scenarios install crowdsecurity/apache_log4j2_cve-2021-44228
sudo systemctl reload crowdsec

# sudo crowdsec --dsn "file://<log_file_path>" -no-api --type <log_type>
sudo crowdsec --dsn "file:///var/log/nginx/access.log" -no-api --type nginx

sudo cscli alerts list --scenario crowdsecurity/apache_log4j2_cve-2021-44228

Si vous souhaitez accéder à plus de détails concernant cet IPS open source et collaboratif, qui est capable de détecter et bloquer de nombreux comportements malveillants, tout en vous permettant de collaborer entre cyber défenseurs en échangeant les IPs bloquées, visitez leur site web ou leur dépôt GitHub

REF.:  https://korben.info/detecter-bloquer-vulnerabilite-log4j-crowdsec.html?fbclid=IwAR1lZWvc0Li99sSEnhRgyY5oDcx1TyZ1rfoiIhpch-8TdZJLPFVDTXD3B6Y



jeudi 14 octobre 2021

Si un con vous appel sur ligne 1-800, c'est surement que vous faîtes partie de la faille ClubHouse/Facebook

 Si un con vous appel sur ligne 1-800, c'est surement que vous faîtes partie de la faille ClubHouse/Facebook

 3,8 milliards d'enregistrements d'utilisateurs de Clubhouse et Facebook auraient été supprimés et fusionnés, mis en vente en ligne

 Un utilisateur d'un forum de hackers populaire vend une base de données qui contient prétendument 3,8 milliards d'enregistrements d'utilisateurs. La base de données aurait été compilée en combinant 3,8 milliards de numéros de téléphone d'une "base de données secrète" de Clubhouse précédemment supprimée avec les profils Facebook des utilisateurs.

 La compilation semble inclure des noms, des numéros de téléphone et d'autres données. L'affiche demande 100 000 $ pour la base de données complète de 3,8 milliards d'entrées, mais est également prête à diviser l'archive en plus petites portions pour les acheteurs potentiels.

 Selon le message créé le 4 septembre, la base de données contient également des profils d'utilisateurs qui n'ont pas de compte Clubhouse, dont les numéros de téléphone pourraient avoir été acquis par des acteurs malveillants en raison de l'insistance passée de l'entreprise à ce que les utilisateurs partagent leurs listes de contacts complètes avec Clubhouse pour utiliser la plate-forme de médias sociaux. Compilation de scrape Facebook Clubhouse - message sur le forum Pour voir si l'un de vos comptes en ligne a été exposé lors de violations de sécurité précédentes, utilisez notre vérificateur de fuite de données personnelles avec une bibliothèque de plus de 15 milliards d'enregistrements violés.

 Qu'y a-t-il dans la compilation Clubhouse/Facebook ?

 La compilation aurait été créée à la suite du grattage du Clubhouse du 24 juillet, où une "base de données secrète" de plus de 3,8 milliards de numéros de téléphone, qui auraient été récupérés sur les serveurs du Clubhouse violés, a été mise en vente sur un forum de hackers. Les numéros appartenaient prétendument aux utilisateurs du Clubhouse et aux personnes figurant sur leurs listes de contacts téléphoniques. Twitter L'affiche affirme que la base de données contient 3,8 milliards d'enregistrements d'utilisateurs qui incluent des noms, des numéros de téléphone, des rangs de clubhouse et des liens de profil Facebook. 

 Bien que nous n'ayons pas été en mesure de confirmer si la base de données est authentique, la possibilité qu'un acteur malveillant puisse combiner des données de profil Facebook divulguées avec d'autres fuites est loin d'être nulle. Il convient également de noter que Clubhouse n'est pas non plus étranger aux manquements à la vie privée, comme en témoigne la position laxiste de la plate-forme de médias sociaux sur le grattage de masse qui a potentiellement entraîné le partage en ligne des données de 1,3 million de profils Clubhouse.

 Est-ce un gros problème? 

Avant cette compilation, les numéros de téléphone prétendument grattés du Clubhouse, qui ont été publiés sans aucune information supplémentaire sur les utilisateurs, étaient pratiquement inutiles pour les acteurs menaçants. En conséquence, le précédent Clubhouse gratté a été marqué comme un «mauvais échantillon» sur le forum et n'a pas suscité l'intérêt des escrocs. 

 Maintenant, cependant, la compilation élargie – si elle est authentique – « pourrait servir de mine d'or pour les escrocs », explique Mantas Sasnauskas, chercheur principal en sécurité de l'information chez CyberNews. Selon Sasnauskas, ils auraient accès à beaucoup plus d'informations contextuelles sur les propriétaires des numéros de téléphone divulgués, y compris les noms d'utilisateur, les emplacements basés sur les suffixes des numéros de téléphone, la taille de leur réseau Clubhouse et les profils Facebook. 

Cela signifie qu'il serait beaucoup plus facile pour les escrocs de mener des campagnes de masse localisées et de créer des escroqueries personnalisées basées sur les données glanées à partir des profils Facebook des victimes potentielles. « Les gens ont tendance à trop partager les informations sur les réseaux sociaux.

 Cela pourrait donner des indications aux escrocs sur le vecteur à utiliser pour mener à bien leurs escroqueries, par exemple en appelant les gens avec les informations qu'ils ont apprises de leur compte Facebook », explique Sasnauskas. 

 En conséquence, l'affiche qui aurait élargi la compilation espère capitaliser sur une vieille éraflure et demander un prix plus élevé.

 Qu'est-ce que cela signifie pour toi? 

À en juger par le message du forum des hackers, l'auteur de la compilation n'a pas été en mesure de vendre l'intégralité de la base de données et est toujours à la recherche d'acheteurs. Cela dit, la base de données pourrait être vendue au coup par coup. Si elles sont authentiques, les données de la compilation peuvent être utilisées par les acteurs de la menace contre les victimes potentielles de plusieurs manières en :

 Mener des campagnes de phishing ciblées et d'autres campagnes d'ingénierie sociale.

 Spamming 3,8 milliards de numéros de téléphone et de profils Facebook.

 Forcer brutalement les mots de passe des profils Facebook concernés.

 Si vous pensez que vos données de profil Clubhouse ou Facebook pourraient avoir été grattées par des acteurs malveillants, nous vous recommandons : 

Utilisez notre vérificateur de fuite de données personnelles pour savoir si vos données Facebook ou Clubhouse ont été incluses dans des fuites ou des fuites précédentes. 

 Méfiez-vous des messages Facebook suspects et des demandes de connexion d'inconnus.

 Changez le mot de passe de vos comptes Clubhouse et Facebook.

 Pensez à utiliser un gestionnaire de mots de passe pour créer des mots de passe forts et les stocker en toute sécurité. 

 Activez l'authentification à deux facteurs (2FA) sur tous vos comptes en ligne. 

 Faites également attention aux e-mails et SMS potentiels de phishing. 

Encore une fois, ne cliquez sur rien de suspect et ne répondez à personne que vous ne connaissez pas.

 

REF.: 

vendredi 28 mai 2021

COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 

 COMB: la plus grande violation de tous les temps divulguée en ligne avec 3,2 milliards d'enregistrements

 par Bernard Meyer 

12 février 2021 dans News 39 Fuite de données COMb

 - Mère de toutes les violations 2,4 k

 ACTIONS: Détecteur=https://cybernews.com/personal-data-leak-check/

 On l'appelle la plus grande violation de tous les temps et la mère de toutes les violations: COMB, ou la compilation de nombreuses violations, contient plus de 3,2 milliards de paires uniques d'e-mails et de mots de passe en texte clair. Bien que de nombreuses violations et fuites de données aient affecté Internet dans le passé, celui-ci est exceptionnel par sa taille. À savoir, la population totale de la planète est d'environ 7,8 milliards, et cela représente environ 40% de cela. Cependant, si l'on considère qu'environ 4,7 milliards de personnes seulement sont en ligne, COMB inclurait les données de près de 70% des internautes mondiaux (si chaque enregistrement était une personne unique).

 Pour cette raison, il est recommandé aux utilisateurs de vérifier immédiatement si leurs données ont été incluses dans la fuite. Vous pouvez maintenant accéder au vérificateur de fuites de données personnelles CyberNews. CyberNews a été la première base de données de fuite à inclure les données COMB. Depuis la sortie de COMB, près d'un million d'utilisateurs ont vérifié notre vérificateur de fuite de données personnelles pour voir si leurs données étaient incluses dans la plus grande compilation de brèches de tous les temps.

 Alors, comment la fuite de données COMB s'est-elle produite? Le mardi 2 février, COMB a été divulgué sur un forum de piratage populaire. Il contient des milliards d'informations d'identification utilisateur provenant de fuites passées de Netflix, LinkedIn, Exploit.in, Bitcoin et plus encore. Cette fuite est comparable à la compilation Breach de 2017, dans laquelle 1,4 milliard d'informations d'identification ont été divulguées. Cependant, la violation actuelle, connue sous le nom de «Compilation de nombreuses violations» (COMB), contient plus du double des paires uniques d'e-mail et de mot de passe. Les données sont actuellement archivées et placées dans un conteneur crypté et protégé par mot de passe. La base de données divulguée comprend un script nommé count_total.sh, qui a également été inclus dans la compilation des violations de 2017. Cette violation comprend également deux autres scripts: query.sh, pour interroger les e-mails, et sorter.sh pour trier les données.

 Après avoir exécuté le script count_total.sh, qui est un simple script bash pour compter le nombre total de lignes dans chacun des fichiers et les additionner, nous pouvons voir qu'il y a plus de 3,27 milliards de paires d'e-mails et de mots de passe:

 Nous ajoutons actuellement les nouveaux e-mails COMB à notre vérificateur de fuites de données personnelles. Le vérificateur de fuites de données personnelles de CyberNews possède la plus grande base de données de comptes piratés connus, aidant les utilisateurs à savoir si leurs données sont éventuellement tombées entre les mains de cybercriminels. Consultez notre vérificateur de fuites de données personnelles maintenant pour voir si votre adresse e-mail a été exposée dans cette fuite ou dans des fuites précédentes. Fuites de données et leurs effets: comment vérifier si vos données ont été divulguées? capture d'écran vidéo Cela ne semble pas être une nouvelle violation, mais plutôt la plus grande compilation de violations multiples.

 Tout comme la compilation des violations de 2017, les données de COMB sont organisées par ordre alphabétique dans une structure arborescente et contiennent les mêmes scripts pour interroger les e-mails et les mots de passe. Dans les captures d'écran jointes à la fuite, on peut voir l'organisation des données, ainsi que le type de données publiées. Ci-dessous, les données ont été brouillées par CyberNews: Pour le moment, on ne sait pas quelles bases de données précédemment divulguées sont collectées dans cette faille. Les échantillons consultés par CyberNews contenaient des e-mails et des mots de passe pour des domaines du monde entier. 

Connexions Netflix, Gmail, Hotmail incluses dans COMB Comme COMB est une base de données rapide, consultable et bien organisée des fuites majeures passées, elle contient naturellement les fuites passées.

 Cela inclut les fuites majeures de services populaires tels que Netflix, Gmail, Hotmail, Yahoo et plus encore. Sur la base de notre analyse des données violées, il y a environ 200 millions d'adresses Gmail et 450 millions d'adresses e-mail Yahoo dans la fuite de données COMB. En 2015, The Independent a signalé un «piratage Netflix» apparent où les cybercriminels ont pu se connecter aux comptes des utilisateurs de Netflix dans le monde entier. Cependant, Netflix n'a jamais admis avoir été piraté, ce qui est probablement dû au fait que les utilisateurs utilisent souvent les mêmes mots de passe pour différents comptes.

 C'est pourquoi il est important d'utiliser un mot de passe unique pour chaque compte que vous créez. CyberNews dispose d'un générateur de mots de passe fort que vous pouvez utiliser pour créer des mots de passe forts et uniques. Astuce CyberNews Pro Ne laissez pas une autre violation de données vous effrayer. Les gestionnaires de mots de passe créent non seulement des mots de passe forts et uniques, mais ils vous alertent également lorsque vos informations d'identification ont été divulguées. En savoir plus sur les gestionnaires de mots de passe De même, Gmail n'a jamais connu de violation de données. Au lieu de cela, cela est probablement lié aux personnes utilisant leur adresse e-mail Gmail sur d'autres sites Web ou services piratés. D'autre part, Microsoft a confirmé qu'entre janvier et mars 2019, les pirates ont pu accéder à un certain nombre de comptes de messagerie Outlook.com, Hotmail et MSN Mail. Mais peut-être que la plus grande violation de données de grande envergure est arrivée à Yahoo. Bien qu'elle ait été signalée en 2016, la violation s'est en fait produite à la fin de 2014.

 Dans cette violation de Yahoo, la société a confirmé que les 3 milliards de comptes de ses utilisateurs avaient été touché. Il semble que toutes les données des anciennes violations de Yahoo et Hotmail / Microsoft n'ont pas été incluses dans COMB. Néanmoins, il est possible que la liste ait été nettoyée des informations d'identification mortes, c'est pourquoi il est essentiel que les utilisateurs vérifient si leurs données ont été divulguées. Semblable à Breach Compilation Cette base de données actuellement divulguée semble s'appuyer sur la compilation des violations de 2017. Dans cette fuite, les analystes du renseignement de 4iQ ont découvert une base de données de fichiers unique contenant 1,4 milliard de paires d'e-mails et de mots de passe, le tout en texte brut.

 À l'époque, cela était considéré comme le plus grand risque de violation d'informations d'identification, presque deux fois plus important que le plus grand risque d'informations d'identification précédent d'Exploit.in qui comptait près de 800 millions d'enregistrements. La compilation des violations de 2017 contenait 252 violations précédentes, y compris celles agrégées des précédents dumps Anti Public et Exploit.in, ainsi que LinkedIn, Netflix, Minecraft, Badoo, Bitcoin et Pastebin. Cependant, lorsqu'ils ont analysé les données, ils ont constaté que «14% des paires nom d'utilisateur / mot de passe exposées n'avaient pas été précédemment décryptées par la communauté et sont désormais disponibles en texte clair».

 Lorsque 4iQ a découvert la compilation Breach, ils ont testé un petit sous-ensemble de mots de passe pour vérification, et la plupart des mots de passe testés ont fonctionné. Les analystes du renseignement déclarent avoir trouvé la décharge de 41 Go le 5 décembre 2017, les dernières données étant mises à jour le 29 novembre 2017. Ils ont également fait remarquer que la fuite n'était pas simplement une liste, mais plutôt une «base de données interactive» qui permettait des «recherches rapides (une seconde réponse) et des importations de nouvelles violations. Étant donné que les gens réutilisent les mots de passe sur leurs comptes de messagerie, de médias sociaux, de commerce électronique, de banque et de travail, les pirates peuvent automatiser le détournement de compte ou la prise de contrôle de compte. » On ne sait pas quelles ont été les répercussions de la compilation Breach.

 Impact possible L'impact sur les consommateurs et les entreprises de cette nouvelle violation peut être sans précédent.

 Étant donné que la majorité des gens réutilisent leurs mots de passe et noms d'utilisateur sur plusieurs comptes, les attaques de bourrage d'informations d'identification constituent la plus grande menace. Si les utilisateurs utilisent les mêmes mots de passe pour leur LinkedIn ou Netflix que pour leurs comptes Gmail, les attaquants peuvent basculer vers d'autres comptes plus importants. Au-delà de cela, les utilisateurs dont les données ont été incluses dans Compilation of Many Breaches peuvent être victimes d'attaques de spear-phishing ou recevoir des niveaux élevés de spams. Dans tous les cas, il est normalement recommandé aux utilisateurs de changer régulièrement leurs mots de passe et d'utiliser des mots de passe uniques pour chaque compte. Faire cela - créer et mémoriser des mots de passe uniques - peut être assez difficile, et nous recommandons aux utilisateurs de faire appel à des gestionnaires de mots de passe pour les aider à créer des mots de passe forts.

 Et, bien sûr, les utilisateurs doivent ajouter une authentification multifacteur, comme Google Authenticator, sur leurs comptes les plus sensibles. De cette façon, même si un attaquant a son nom d'utilisateur et son mot de passe, il ne pourra pas accéder à ses comptes. Nous continuerons d'analyser les données au fur et à mesure que l'histoire se déroule. 

 Mise à jour du 12 février: 

cet article a été mis à jour pour ajouter une nouvelle analyse des domaines Gmail et Yahoo contenus dans la base de données COMB, ainsi que du nombre d'utilisateurs ayant vérifié leurs données sur le vérificateur de fuites de données de CyberNews. En savoir plus sur CyberNews: Essayez les meilleurs fournisseurs de VPN, comme ProtonVPN, Surfshark ou NordVPN. Comparez ExpressVPN avec NordVPN Les logiciels malveillants sur votre ordinateur ou appareil peuvent constituer une menace sérieuse - choisissez judicieusement le logiciel antivirus 350 millions d'adresses e-mail déchiffrées laissées exposées sur un serveur non sécurisé Les fournisseurs de messagerie sécurisés peuvent protéger les informations sensibles que vous envoyez Un guide des meilleurs VPN pour Netflix en 2021 

 

REF.:

vendredi 14 mai 2021

Ce qu’il faut savoir sur la faille de sécurité décelée dans AirDrop

 

 

Ce qu’il faut savoir sur la faille de sécurité décelée dans AirDrop

Des chercheurs en cybersécurité expliquent comment s’en prémunir.


Par Valentin

Avc iOS 14.5, les iPhone font le plein de nouvelles fonctionnalités en faveur de la confidentialité. Il s’agit là d’un domaine de compétences dans lequel Apple se veut exceller, mettant en avant la protection des données personnelles au sein de nombre de ses campagnes promotionnelles. Malgré tout, il arrive parfois que des experts arrivent à dénicher des brèches pouvant exposer les informations privées des utilisateurs à de potentiels pirates informatiques.

C’est ce qu’il vient de se passer en Allemagne, où des développeurs ont réussi à identifier une faille de sécurité majeure issue de l’outil AirDrop. Celui-ci, qui n’est pas disponible sous forme d’app indépendante mais uniquement depuis les paramètres ou le partage, est considéré par beaucoup comme un moyen efficace de transférer des fichiers. Il n’est en revanche disponible que sur les appareils de Cupertino.

Vos coordonnées potentiellement dans la nature

Comme l’expliquent des scientifiques de l’université de technologie de Darmstadt ayant étudié la question de près, il est possible pour des acteurs malveillants d’obtenir votre numéro de téléphone ainsi que votre adresse e-mail si vous faites appel à AirDrop. Tout ce qu’il faut pour y arriver est une simple connexion Wi-Fi, suffisamment proche de la cible pour parvenir à ses fins.

Découverte en mai 2019, donc il y a de longs mois maintenant, la faille a été communiquée aux ingénieurs d’Apple depuis mais rien ne semble indiquer que ceux-ci aient depuis corrigé le problème. Pourtant, on sait que la société américaine n’a pas pour habitude de prendre à la légère ce genre de sujet. En général, des patchs sont même déployés assez rapidement lorsqu’un souci de ce type arrive aux oreilles de ses ingénieurs.

Que faire afin de s’en prémunir ?

À ce jour, plus d’un milliard d’appareils de marque Apple seraient donc vulnérables. Mais comme souvent, il existe en fait un moyen relativement simple de se protéger. Il suffit en effet de désactiver manuellement un paramètre précis d’AirDrop. La marche à suivre est la suivante (sur iPhone) :

  1. ouvrir l’app Réglages
  2. scroller et cliquer sur le menu Général
  3. choisir AirDrop
  4. sélectionner Réception désactivée

Notons par ailleurs que le service AirDrop est aussi accessible sur la nouvelle Apple TV et sur tous les modèles de MacBook, mais aussi sur le Mac mini M1.

 

REF.:

mercredi 7 avril 2021

Faille de sécurité chez Apple, Microsoft, etc. : un chercheur pirate leurs serveurs sans difficulté

 

 

Faille de sécurité chez Apple, Microsoft, etc. : un chercheur pirate leurs serveurs sans difficulté

35 compagnies célèbres ont montré des failles dans leur système informatique : Apple, Netflix, Tesla, Microsoft, PayPal et bien d’autres. Le chercheur a pu y introduire des fichiers de sa création.

Un scénario cauchemardesque pour les responsables informatiques de grandes sociétés s’est déroulé il y a peu. Alex Birsan, chercheur en sécurité informatique, a pu introduire des fichiers de façon furtive sur les serveurs de nombreuses entreprises.


Suite à la découverte d’une faiblesse dans le fonctionnement des systèmes open source, le chercheur s’est demandé s’il pouvait exploiter la faille pour infecter, virtuellement parlant puisque ses fichiers étaient inoffensifs, de grands noms de la tech.

« Le taux de réussite était tout simplement incroyable, » déclare-t-il. Heureusement dénué de mauvaises intentions, le chercheur a prévenu les victimes qui lui ont versé une prime en contrepartie. Cet exercice de piratage lui aura permis de gagner plus de 130 000 dollars dont la moitié est à mettre au crédit d’Apple et Microsoft.

Le déroulement de l’attaque

Tout commence lorsque Birsan découvre un nom de paquet utilisé en interne par PayPal et non référencé sur le domaine public. Il lui vient alors l’idée de créer une variante utilisant le même nom et de l’héberger sur un serveur open source. Et c’est là que l’histoire commence. Le système de PayPal est venu chercher en priorité le paquet hébergé en open source plutôt que celui qui est sur les serveurs internes de l’entreprise.

En effet, la faille est de taille, de nombreux logiciels vont tenter de résoudre leur dépendance de paquet en allant chercher les versions les plus récentes sur les serveurs open source. En priorisant ainsi le distant au local, ces applications ouvrent une brèche de taille dans les systèmes informatiques.

Alex Birsan a donc créé un ensemble de fichiers contrefaits puis les a mis en ligne pour les retrouver directement sur les serveurs privés de grandes entreprises sans que personne se soit rendu compte du forfait. Cette méthode contourne donc les grands classiques du piratage informatique et ne nécessite pas de s’en prendre à un utilisateur en interne grâce à une technique de « phishing » par exemple.

Une brèche de sécurité critique

La découverte des failles de sécurité n’est pas une chose rare. Récemment, une faille découverte sur iOS permettait à des hackers de prendre le contrôle d’un iPhone sans le toucher. Pire encore, CD Projekt, déjà en difficulté par rapport à Cyberpunk, subit le chantage de pirates informatiques qui réclament une rançon pour ne pas diffuser les codes sources de plusieurs jeux et des documents confidentiels.

Heureusement pour les sociétés victimes du chercheur, aucun code malveillant n’était présent dans les fichiers modifiés et le piratage de grande envergure n’avait pour but que d’améliorer la sécurité. Si les plus sceptiques pensent que déposer un fichier sur un serveur et y exécuter un code malveillant sont deux choses bien différentes, sachez qu’Apple a confirmé à Birsan qu’avec la méthode utilisée, il aurait pu exécuter un code sur les serveurs à l’insu des employés.

Espérons donc pour nos données et pour la sécurité des entreprises que ce genre de failles sera découvert en priorité par des chercheurs bien intentionnés plutôt que par des pirates avides de profits.

Sécurité : 10 règles pour se protéger des attaques sur Internet

Source : BGR

dimanche 15 mars 2020

Une faille de sécurité critique a touché des centaines de millions d’iPhone



Une faille de sécurité critique a touché des centaines de millions d’iPhone

Le problème a depuis été corrigé par les développeurs, et aurait également fait des victimes chez Amazon, Google et Samsung.




iPhone, iPhone 8, iPhone Xr, iPad Mini, MacBook Air, failles,




L’un des arguments de vente majeurs d’Apple est le respect de votre confidentialité : la firme aime le rappeler dans ses campagnes marketing, et de nombreux utilisateurs lui font confiance en faveur de ce positionnement. Bien que discuté par l’Europe et les États-Unis, ce point positif est en effet crucial à l’heure où la vie privée est de plus en plus bafouée par les GAFAM.
Malgré tout, les risques existent toujours, et même Cupertino se retrouve parfois face à des menaces sérieuses qui pourraient être à l’origine de fuites de données sensibles chez certains consommateurs. En témoignent notamment les brèches qui ont touché Safari et Mail il y a quelques semaines.

Quels appareils sont concernés ?

C’est lors d’une conférence RSA que la nouvelle a été annoncée. Pendant l’événement qui se tenait ce mercredi, des chercheurs en cybersécurité ont ainsi précisé que des puces Wi-Fi venant de chez Broadcom et Cypress Semiconductor ont été mises en cause dans un incident, qui lui date de l’an dernier. Il a depuis été résolu, lors des mises à jour 13.2 d’iOS et 10.15.1 de macOS, toutes les deux sorties en octobre. Parmi les produits Apple qui étaient alors vulnérables, car faisant appel à ces sous-traitants, on compte :
  • les iPhone 6, 6s, 8 et XR
  • l’iPad mini 2
  • le MacBook Air de 2018
Ces composants ont de toute manière été abandonnés depuis par le fabricant. On suppose par ailleurs que l’iPhone 12, prévu pour le troisième trimestre à en croire les rumeurs les plus persistantes, ait adopté un autre modem issu des usines de Qualcomm, un des fondeurs les plus prolifiques de la génération smartphone.

 REF.:

Une nouvelle faille de sécurité découverte dans les réseaux 4G





Une nouvelle faille de sécurité découverte dans les réseaux 4G

 



failles, 4G, Hackers,


Technologie : Une récente étude met en lumière une nouvelle faille de sécurité sur les réseaux 4G. Celle-ci faciliterait l'usurpation d'identité des possesseurs de smartphones ou d'objets


Nouveau signal d'alarme pour les réseaux 4G/LTE. Selon une nouvelle étude publiée récemment par l'université allemande de Bochum, une faille de sécurité sur ces réseaux pourrait être exploitée pour souscrire des abonnements ou des services de site web payants aux frais de quelqu'un d'autre.
Cette faille permettrait de fait l'usurpation d'identité des utilisateurs de smartphone, en donnant aux attaquants le pouvoir de « démarrer un abonnement aux frais d'autrui ou de publier des documents secrets de l'entreprise sous l'identité de quelqu'un d'autre ».
Cette attaque, baptisée IMP4GT, toucherait « tous les appareils qui communiquent avec le LTE », ce qui inclut « pratiquement tous » les smartphones, les tablettes et certains appareils connectés. Les systèmes radio reposant sur une architecture logicielle sont un élément déterminant de cette attaque. Celle-ci serait ainsi capable de lire les canaux de communication entre un appareil mobile et une station de base et donc de tromper un smartphone en lui faisant considérer que la radio est la station de base pour mieux duper le réseau en traitant la radio comme le téléphone mobile.

publicité

La voie ouverte à l'usurpation d'identité

Une fois que ce canal de communication est compromis, il est temps de commencer à manipuler les paquets de données envoyés entre un appareil 4G et une station de base. « Le problème est le manque de protection de l'intégrité : les paquets de données sont transmis chiffrés entre le téléphone mobile et la station de base, ce qui protège les données contre les écoutes », expliquent les chercheurs à l'origine de cette étude.
Pour eux, « il est possible de modifier les paquets de données échangés. Nous ne savons pas ce qui se trouve où dans le paquet de données, mais nous pouvons déclencher des erreurs en changeant les bits de 0 à 1 ou de 1 à 0 ». Autant d'erreurs qui peuvent alors forcer un téléphone mobile et une station de base à décrypter ou chiffrer les messages, en convertissant les informations en texte clair ou en créant une situation dans laquelle un attaquant est capable d'envoyer des commandes sans autorisation. Seul bémol : les attaquants doivent se trouver à proximité de leur victime pour être capable d'utiliser cette technique.
Reste que le jeu en vaut la chandelle : la faille permettrait en effet à ceux qui l'exploitent d'acheter des abonnements ou de réserver des services en adressant simplement la facture à leur victime. Elle pourrait même avoir des conséquences beaucoup plus dommageables pour les forces de l'ordre en ouvrant la porte à des faits d'usurpation d'identité. « Par exemple, un attaquant pourrait télécharger des documents classés d'une entreprise en faisant reposer la faute de cette intrusion sur la victime, qui serait auteure de l'infraction aux yeux de son opérateur comme des autorités », précisent les auteurs de cette étude.

Des réseaux 4G faillibles

Seule défense connue à ce jour : changer purement et simplement d'équipement radio, ce qui devrait se révéler compliqué alors que les opérateurs commencent tout juste à déployer leurs réseaux, dont une grande part repose encore sur les réseaux 4G existants.
« Les opérateurs de réseaux mobiles devraient accepter des coûts plus élevés, car la protection supplémentaire génère plus de données pendant la transmission », explique l'un des auteurs de l'étude, qui sera présentée lors du Network Distributed System Security Symposium qui se tiendra ce mardi à San Diego. De la même façon, « ;tous les téléphones mobiles devraient être remplacés et la station de base élargie », notent les auteurs de cette étude, qui doutent fortement de la probabilité d'une telle débauche de moyens dans le contexte actuel.
Rappelons que d'autres failles ont été découvertes ces dernières années sur les réseaux 4G. Il y a quelques années, une étude menée par la même université allemande avait ainsi mis en évidence les faiblesses de la sécurité de la 4G, en démontrant que celle-ci pourrait être utilisée de manière abusive pour suivre les visites de sites web et pour réaliser des attaques de type "Man-in-The-Middle" (MiTM) afin de rediriger les victimes vers des domaines malveillants. Autant de failles causées par l'incapacité de la 4G à vérifier les charges utiles chiffrées transmises par les flux de données, relevaient déjà les auteurs de l'étude.




jeudi 20 février 2020

Huawei : ses équipements 5G présentent une lourde faille de sécurité



Huawei : ses équipements 5G présentent une lourde faille de sécurité 

par Guillaume Pigeard, le

Libellés

5G, Huawei, BackDoor, hackers Chinois, failles, Kill Switch, 4G,

Après de longues années de suspicion quant à la possibilité pour Huawei et donc pour le gouvernement chinois d’accéder aux données circulant via ses équipements 5G, les États-Unis annoncent en avoir maintenant la preuve.
D’après les services de renseignement américains, le constructeur chinois Huawei aurait utilisé des portes dérobées, ces fameux backdoors, mises en place sur ses équipements réseau 4G depuis une dizaine d’années. Huawei nie en bloc.

Huawei aurait utilisé des backdoors depuis 2009

Depuis 2009, Huawei aurait utilisé les accès mis en place pour les forces de l’ordre au sein des équipements 4G vendus à travers le monde afin de collecter des données personnelles sensibles. C’est en tout cas ce qu’a déclaré Robert O’Brien, conseiller à la sécurité nationale américaine. Évidemment, le constructeur chinois rejette ces accusations sans pour l’instant communiquer davantage.
Samsung Galaxy S10 : recharger un autre téléphone, c'est rapide ?
Les liens étroits qui unissent Huawei au gouvernement communiste chinois avaient conduit l’administration américaine à mettre le constructeur sur liste noire en mai dernier, l’interdisant de faire commerce avec des entreprises américaines. Cela se traduit pour le grand public par l’absence des services Google des derniers smartphones de la marque chinoise, obligeant celui-ci à pousser ses propres solutions. D’autres constructeurs avaient suivi les recommandations américaines.
Les États-Unis avaient averti les pays européens dès la fin de l’année dernière. Pourtant le Royaume-Uni et l’Allemagne ont tout de même autorisé l’utilisation d’équipements Huawei pour la mise en place du réseau 5G. Toutefois, un certain nombre de restrictions ont été imposées, comme une limite de ces équipements à 35 % du total ou l’interdiction de leur utilisation dans certaines zones géographiques stratégiques. Malgré la pression de Pékin, la France maintient son interdiction. Son inscription sur liste noire n’a pas empêché le constructeur chinois de réaliser un chiffre d’affaires record sur l’année écoulée.

Source. : CNET

Un bug de Windows 7 empêche les utilisateurs d'arrêter ou de redémarrer des ordinateurs



Un bug de Windows 7 empêche les utilisateurs d'arrêter ou de redémarrer des ordinateurs

Technologie : Un nouveau bug majeur frappe Windows 7 après la date limite de fin de support du 14 janvier.





bug, failles, Win 7,



Un bug étrange d'origine inconnue a frappé les ordinateurs Windows 7 cette semaine, selon plusieurs articles en ligne.
Les utilisateurs de Windows 7 ont signalé qu'ils recevaient un message contextuel indiquant "Vous n'êtes pas autorisé à arrêter cet ordinateur" chaque fois qu'ils tentent d'arrêter ou de redémarrer leur système.
La cause du bug reste inconnue au moment de la rédaction.
Au cours des deux derniers jours, les utilisateurs se sont débrouillés pour trouver des solutions au problème. La bonne nouvelle est qu'ils ont trouvé au moins une solution de contournement temporaire et un correctif non officiel pour résoudre le problème.
publicité

Solution temporaire

Une solution simple a été trouvée par un utilisateur sur Reddit. Celle-ci ne nécessite aucun script ou piratage du système d'exploitation et peut être exécutée par n'importe quel utilisateur de Windows 7.
L'inconvénient est de devoir suivre ces étapes chaque fois que l’on souhaite arrêter ou redémarrer un PC.
  • Étape 1: Créez un autre compte administrateur.
  • Étape 2: Connectez-vous à ce compte (ou à un autre compte administrateur qui était déjà sur le système).
  • Étape 3: Reconnectez-vous au compte administrateur par défaut.
  • Étape 4: Arrêtez ou redémarrez normalement.
"Ce n'est pas une solution définitive", a averti l'utilisateur sur Reddit.

La solution officieuse

Un moyen plus permanent de contourner ce bug a été proposé par plusieurs utilisateurs sur Reddit et par la société de support informatique Quick Heal.
Plusieurs utilisateurs ont confirmé le fonctionnement de cette méthode. Celle-ci se présente comme suit:
  • Étape 1: Appuyez sur Windows + R pour ouvrir la fenêtre Exécuter.
  • Étape 2: Tapez gpedit.msc et appuyez sur Entrée.
  • Étape 3: Dans la fenêtre de l'Éditeur de stratégie de groupe, accédez à: Configuration ordinateur> Paramètres Windows> Paramètres de sécurité> Stratégies locales> Options de sécurité.
  • Étape 4: Dans le panneau droit de l'option Options de sécurité, recherchez et double-cliquez sur «Contrôle de compte d'utilisateur: exécuter tous les administrateurs en mode d'approbation administrateur».
  • Étape 5: Dans la nouvelle fenêtre, sélectionnez Activer.
  • Étape 6: Rouvrez la fenêtre Exécuter, mais cette fois tapez "gpupdate /force" et appuyez sur Entrée. Cela mettra à jour toutes les stratégies de groupe.
  • Étape 7: redémarrez ou arrêtez votre système normalement.
Windows 7 a atteint la fin de support le 14 janvier 2020 et ne devrait pas recevoir de nouveaux correctifs.
Le mois dernier, Microsoft a fait une exception à cette règle en fournissant un correctif pour un bug qui cassait l'affichage du fond d'écran pour les utilisateurs de Windows 7.
Étant donné que le redémarrage ou l'arrêt de votre ordinateur est une fonctionnalité du système d'exploitation plus importante que la prise en charge d’un fond d’écran, Microsoft devra très probablement faire une autre exception et fournir une deuxième mise à jour post-fin de vie très bientôt.
Source. : ZDNet.com