Blog PBSCo

Comme cela a été annoncé en Juillet 2017, Adobe cessera de distribuer et de mettre à jour Flash Player à compte du 31 Décembre 2020. Cela signifie qu’il ne sera plus possible de télécharger Adobe Flash Player et de le mettre à jour afin de corriger d’éventuels problèmes de sécurité.

Pourquoi Adobe a décidé de mettre en fin de vie Flash Player ?

Des standards plus ouverts tel que HTML5, WebGL ou encore WebAssembly ont gagné en maturité au fil des années et se présentent aujourd’hui comme des alternatives viables à Flash Player. De plus, la majorité des navigateurs internet intègrent nativement ces standards, alors que les plugins comme Flash Player sont progressivement bloqués.

Flash Player, une technologie régulièrement mise à mal par des failles de sécurité

De nombreuses failles de sécurité critiques activement utilisée sont apparues ces dernières années. La nature même de Flash Player (un plugin à intégrer sois même) rend dans certains cas les tentatives de piratages triviales.

Attention aux futurs versions non officielles de Flash Player

Avec cette décision d’Adobe d’arrêter la distribution de Flash Player, il faut s’attendre à voir fleurir sur internet des versions non officielles, pouvant comporter des malwares ou des virus. Il convient d’être extrêmement vigilant quant à ces fausses versions.

Source : https://www.adobe.com/products/flashplayer/end-of-life.html

Les faits

C’est dans un communiqué publié ce jour (Mardi 19 Mai 2020) que le compagnie aérienne britannique easyJet a annoncé avoir été victime d’une attaque informatique complexe.

Les pirates auraient à ce jour 9 millions de comptes piratés entre leurs mains. Parmi ceux là, un peu plus de 2200 comptes donneraient accès à des données bancaires de clients. La compagnie affirme avoir prévenu et continuer à prévenir les utilisateurs aux comptes impactés d’ici au 26 Mai prochain.

Comment réagir ?

Que vous ayez été prévenu ou non par la compagnie, nous vous recommandons bien évidemment de procéder au changement du mot de passe de votre compte easyJet. Nous rappelons qu’un mot de passe dit « fort » est composé de 12 caractères au minimum, comprenant des lettres majuscules, minuscules, des chiffres et des symboles.

Par ailleurs, il est important de surveiller les transactions sur votre compte bancaire si celui-ci était renseigné sur votre compte client easyJet.

Les adresses e-mail associées aux comptes sont actuellement entre les mains des pirates. Les client pourraient donc être, dans les jours à venir, victimes d’attaques de « phishing » ¹ sur leurs boites mail.

¹ Le phishing (ou hameçonnage) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. (Source : Wikipédia)

En cette période de confinement, l’utilisation des outils de conférences vidéos a considérablement augmenté. Parmi les nombreux produits sur le marché : Microsoft Skype, Microsoft Teams, Cisco WebEX… c’est Zoom qui attire aujourd’hui notre attention.

Son créateur, Eric S. Yuan, ex. membre de la société Cisco (ayant participé au développement de la solution Cisco WebEx), a créé un produit certes très performant, mais qui pose quelques problèmes de sécurité pour les utilisateurs. A ce jour, de nombreux aspects critiques de sécurité ont été relevés par différentes études.

Le chiffrement

Zoom annonce à ses utilisateurs que les vidéos conférences sont chiffrées. C’est en partie vrai : les vidéos sont belles et bien chiffrées entre les utilisateurs et les serveur de Zoom. Ce chiffrement empêche quiconque sur le réseaux d’intercepter les images entre vous (l’utilisateur) et Zoom (les serveurs). En revanche, une fois sur les serveurs de Zoom, les vidéos ne sont plus chiffrées, ce qui implique que les employés de Zoom sont capables d’écouter et de visionner vos conversations.

L’envoi de données à Facebook

Après une étude du fonctionnement de Zoom, des chercheurs en sécurité on révélé qu’un SDK (outil d’aide à la programmation) était présent dans le code source de l’application et que celui-ci envoyait des données concernant votre ordinateur/téléphone directement à Facebook (localisation, fournisseur d’accès internet…)

Le « Zoom-Bombing »

Cette pratique très répandue sur Zoom, permet, via des failles de sécurité du produit, qu’un inconnu puisse rejoindre votre conférence, il pourra alors voir votre webcam, entendre votre conversation et même partager son écran.

Alternatives

Des solutions alternatives à Zoom existent sur le marché : « Microsoft Skype », qui fait ses preuves depuis de nombreuses années, ou encore « Microsoft Teams », le remplaçant de la version Skype professionnelle. La société Infomaniak (hébergeur Suisse très respectueux de la confidentialité des données) propose également sa propre implémentation du logiciel libre Jitsi, sous le nom « Meet ».

Bilan

Zoom, conscient de la situation a décidé d’agir pour combler les failles de sécurité de son produit. A ce jour, certains correctifs ont été apportés mais il n’est pas impossible dans les jours voire les semaines à venir, que de nouvelles vulnérabilités soient découvertes. De plus, tout récemment, plus de 500 000 comptes Zoom ont été retrouvés sur des forums pirates. Ces comptes (piratés) donnent accès aux données personnelles des utilisateurs ainsi qu’à des liens pour rejoindre des réunions privées. Ils seraient vendus seulement 0,0020$/compte…

Une vulnérabilité a été découverte dans certains SSD SAS HPE dont la version du microgiciel est antérieure à HPD8. Après 32 768 heures de fonctionnement, soit 3 ans, 270 jours et 8 heures, le disque dur s’arrête de fonctionner et il est impossible de récupérer les données. Plusieurs disques durs mis en service en même temps s’arrêteront donc sensiblement au même moment.

Il est possible d’utiliser l’outil de diagnostic intégré pour vérifier la durée de fonctionnement du disque (https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00092478en_us).

Solution

Il est critique de mettre à jour les disque vers la dernière version du micro-logiciel. La mise à jour du micro-logiciel corrigera la vulnérabilité.

Sources :

• https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00092491en_us
• https://www.cert.ssi.gouv.fr/avis/CERTFR-2019-AVI-594/

Une fausse application WhatsApp qui circule sur le Play Store d’Android a été découverte par un utilisateur de Reddit : E_x_Lnc

L’application au milliard d’utilisateurs, est victime d’une copie malveillante sur le PlayStore. Cette fausse application compte déjà plus d’un million de téléchargements.  
L’application n’a pas encore été analysée en profondeur mais elle semble installer au premier abord des publicités sur le terminal Android :

Ce qui a induit les utilisateurs en erreur est l’éditeur de l’application, en apparence légitime :

En réalité, un charactère ‘Espace’ a été rajouté à la fin du nom de l’éditeur :

Si l’on compare avec la vraie application WhatsApp :

Dans ce cas là, si des utilisateurs venaient par exemple d’acquérir un nouveau téléphone Android, il était assez simple de tomber dans le panneau.

Sources:  

• https://twitter.com/virqdroid/status/926437790140772362
• https://www.reddit.com/r/Android/comments/7ahujw/psa_two_different_developers_under_the_same_name/

Une faille de sécurité a été découverte par Anthony Ferrara.

WordPress 4.8.3 est maintenant disponible. Il s’agit d’une version de sécurité pour toutes les versions précédentes et nous vous encourageons fortement à mettre à jour vos sites immédiatement. 

Les versions de WordPress 4.8.2 et antérieures sont affectées par un problème où $wpdb->prepare () peut créer des requêtes inattendues et dangereuses conduisant à une éventuelle injection SQL (SQLi).WordPress n’est pas directement vulnérable à ce problème, mais l’équipe de WordPress a durci le système pour empêcher les plugins et les thèmes de provoquer accidentellement une vulnérabilité.

Cette version inclut un changement de comportement pour la fonction esc_sql (). La plupart des développeurs ne seront pas affectés par ce changement, vous pouvez lire plus de détails dans la note développeur. 

Téléchargez la dernière version de WordPress 4.8.3 ou bien accédez à votre Dashboard, puis dans mises à jour et cliquez simplement sur « Mettre à jour maintenant ». Les sites qui prennent en charge les mises à jour automatiques en l’arrière-plan commencent déjà à se mettre à jour vers WordPress 4.8.3.

Sources: https://wordpress.org/news/2017/10/wordpress-4-8-3-security-release/

Des chercheurs en sécurité de l’entreprise de logiciel de sécurité Slovaque ESET ont découvert un nouveau ransomware Android, qui ne chiffre pas seulement les données de l’utilisateur mais qui verrouille l’appareil en changeant le code de déverrouillage d’écran. 

DoubleLocker est le premier ransomware à compromettre l’accessibilité d’un appareil Android. « Compte tenu de ses origines venant de logiciels malveillants bancaires, DoubleLocker pourrait bien être transformé en ce que l’on pourrait appeler des ransom-bankers », a déclaré Lukáš Štefanko, chercheur sur les logiciels malveillants chez ESET. 

Un ransom-bankers est un logiciel malveillant en deux étapes qui tente d’abord de vider votre compte bancaire ou PayPal, puis de verrouiller votre appareil et vos données pour demander une rançon. 
Les chercheurs pensent que DoubleLocker puisse être dans le futur être évolué pour voler des données bancaires, et plus seulement extorquer de l’argent comme rançon.

Repéré pour la première fois en Mai, DoubleLocker se propage en se faisant passer pour une fausse mise à jour d’Adobe Flash via des sites compromise.

Voici comment le ransomware fonctionne :

Une fois installée, l’application change en premier lieu le code PIN de l’écran de verrouillage pour une valeur aléatoire, que les attaquants ne savent même pas, et pendant ce temps, le malware chiffre l’ensemble des fichiers de l’appareil. DoubleLocker va demander ensuite 0.0130 BTC (soit approximativement 70-80€ selon le cours actuel) et menace la victime de devoir payer dans les 24h.  

Si la victime paye, l’attaquant envoie la clé de déchiffrement pour déverrouiller les fichiers et réinitialise le code PIN de l’écran de verrouillage.

Comment se protéger du ransomware DoubleLocker :

Selon les chercheurs, il n’existe pour l’instant aucun moyen de déchiffrer les fichiers et de réinitialiser le code PIN. Néanmoins, les utilisateurs possédant un appareil Android rooté (appareil dont les protections de super-utilisateur ont été retirées) peuvent réinitialiser le code PIN en passant par le Android Debug Bridge (ADB) sans avoir à formater leur appareil.  
Le meilleur moyen de se protéger de ce genre de ransomware est de toujours télécharger depuis des sources sures, comme le Google Play Store, et de se cantonner à développeurs de confiance.  
De plus, ne cliquez jamais sur des liens provenant de SMS ou d’eMails. 
Installez surtout un bon anti-virus sur votre smartphone capable de détecter et de bloquer ce genre de malware. Gardez-le toujours à jour ainsi que les autres applications.  

Si vous avez reçu un message Facebook, de n’importe qui, même vos amis, contenant un lien vers une vidéo, ne cliquez pas sur le lien !Les chercheurs en sécurité du Kaspersky Lab ont repéré une campagne d’infection multi-plateformes (Windows/MacOS/Linux), où les utilisateurs reçoivent un lien de vidéo redirigeant vers un faux site internet, qui installera un logiciel malveillant sur le pc de la victime.

Bien que la méthode de propagation du malware ne soit pas encore clair, les chercheurs pensent que les pirates utilisent des comptes FaceBook déjà compromis par de précédentes attaques. 
Les attaquant peuvent recourir à de l’ingénierie sociale pour piéger les utilisateurs afin de les inciter à cliquer sur le lien. Notamment avec un message (comme le montre la capture d’écran plus haut), contenant « le nom d’un ami à vous » suivi du terme Video, suivi par un bit.ly, qui est un raccourcisseur de lien.

L’URL redirige la victime sur une page Google Doc, qui affiche une miniature de vidéo, comme un film en streaming par exemple, basé sur une image du compte facebook de l’expéditeur. Une fois cliqué, la miniature redirige l’utilisateur sur une page qui dépend du navigateur et du système d’exploitation utilisé.  
Par exemple, les utilisateurs de Mozilla Firefox sur Windows sont redirigés sur un site qui affiche une fausse information de mise à jour de Adobe Flash Player (voir capture d’écran ci-dessous), et offre un exécutable contenant le malware.

Les utilisateurs de Google Chrome sont redirigés vers une copie du site YouTube, ressemblant très fortement au célèbre site de partage de vidéos. 
Ce faux site affiche une fenêtre proposant d’ajouter une extension malveillante à Google Chrome (voir ci-dessous).

Les attaquants derrière cette campagne ne cherchent pas, d’après les premiers éléments, à voler des données, compromettre des systèmes ou autre, mais à gagner de l’argent grâce à des logiciels malveillants affichant une grosse quantité de publicité sur l’ordinateur.  
Les campagnes de spam sur FaceBook sont très régulières. Pour rester en sécurité, ne soyez pas curieux de cliquer sur des liens douteux, même envoyés par vos amis. Ensuite, gardez toujours votre anti-virus à jour.

Utilisez-vous Foxit PDF Reader ? 

Si oui, vous feriez mieux de faire attention…

Des chercheurs en sécurité ont découverts deux failles critiques zero-day dans le logiciel Foxit Reader, qui permettent aux attaquant d’exécuter du code malveillant sur l’ordinateur cible. 
La première vulnérabilité (CVE-2017-10951), est un bug d’injection de commande découverte par le chercher Ariele Caltabiano, travaillant pour Trand Micro’s Zero Day Initiative, tandis que la seconde vulnérabilité (CVE-2017-10952) est un problème d’écriture de fichier découverte par le chercheur Steven Seeley de l’Offensive Security. 
Un attaquant peut exploiter ces bugs en envoyant un fichier PDF spécialement fabriqué pour ces failles à des utilisateurs et les inciter à ouvrir ce dernier.  
Foxit refuse pour le moment de patcher ces deux vulnérabilités, car elles sont contrées par le mode « Safe Reading Mode », activé par défaut. Néanmoins, les chercheurs pensent que fermer les yeux sur ces vulnérabilités en se reposant sur le mode « Safe Reading Mode » n’est pas une solution. En effet, si ces failles demeurent non patchées, des attaquants pourraient trouver un moyen de contourner cette protection.

Si vous utilisez Foxit Reader ou Phantom PDF, assurez-vous d’avoir l’option « Activer le mode de lecture sécurisée » activée, qui se trouve dans les « Préférences » et « Gestionnaire de Confiance ».

En addition de cela, assurez-vous d’avoir décoché l’option « Activer les actions JavaScript ».

Soyez également vigilant pour tout fichier reçu par mail, surtout sur les fichiers .pdf, .docx et .pptx.

N’oubliez pas d’être aussi attentif à l’hameçonnage, aux spams, ainsi qu’aux expéditeurs suspects.