SecurityInsider
Le blog des experts sécurité Wavestone

CERT-Solucom : retour sur l'actualité de la semaine du 3 août 2015



Comme chaque semaine, retrouvez notre revue d'actualité de la sphère cyber-sécurité. Cette compilation de brèves vous permettra d'alimenter les discussions des prochaines pauses cafés ! Vous retrouverez également le focus de la semaine portant sur la vulnérabilité Stagefright.

[Brève] Fiat Chrysler Automobiles (FCA) rappelle 1.4 millions de voitures vulnérables aux failles de son système Uconnect et est visé par une class-action
Charlie Miller et Chris Valasek ont récemment démontré qu’il était possible de prendre le contrôle à distance du tableau de bord et des commandes de navigation sur les voitures équipées par le système Uconnect.

Suite à cela FCA, intégrant la solution Uconnect de la société Harman International, a officiellement rappelé 1.4 millions de voitures vulnérables, afin de leur notifier l’existence d’une mise à jour corrective. Cette notification s’est faite par différents canaux :
  • La mise en place d’un site permettant de savoir, en se basant sur un identifiant unique appelé Vehicle Identification Number (VIN), si une voiture est impactée ;
  • La mise à disposition de la mise à jour sur le site ;
  • La mise à disposition de la mise à jour via l’envoi de clés USB aux conducteurs.
Cette dernière méthode est assez décriée dans la mesure où elle va à l’encontre des principaux messages de sensibilisation contre le social-engineering (« ne branchez pas n’importe quelle USB n’importe où ») et ouvre une fenêtre de tir pour d’éventuels attaquants qui pourraient envoyer des clés USB malveillantes par voie postale en se faisant passer pour FCA.

Au passage et suite à la publication de ces vulnérabilités, des propriétaires de Jeep ont initié une class-action contre FCA et Harman International.

La présence de ces failles, leur exploitation et leur correction par l’éditeur démontre encore une fois l’importance de prise en compte, dès la conception, d’un mécanisme de mise à jour adéquat aux usages de tels « objets connectés ».
Sources :
http://www.wired.com/2015/07/hackers-remotely-kill-jeep-highway/
http://www.networkworld.com/article/2953836/security/with-recall-fiat-chrysler-makes-its-car-hack-worse.html
https://www.duosecurity.com/blog/jeep-hacking-aftermath-patches-and-new-legislation
http://www.driveuconnect.com/software-update/
http://www.tripwire.com/state-of-security/latest-security-news/fiat-chrysler-and-harman-international-slammed-with-class-action-lawsuit-in-wake-of-jeep-hack/


[Brève] Des mises à jour mensuelles pour les smartphones Android de Google et Samsung
Historiquement, Google notifiait chaque mois aux différents acteurs de l’écosystème Android (constructeurs, éditeurs, opérateurs téléphoniques) les nouveaux correctifs de sécurité. Tandis que les smartphones Nexus de Google ont toujours été les premiers à recevoir ces correctifs, la diffusion par les autres acteurs a été et est toujours sporadique.
En réaction à la vulnérabilité Stagefright, Google et dans un même temps Samsung, viennent d’annoncer la mise en place d’un cycle régulier de mise à jour OTA sur une fréquence mensuelle pour leurs smartphones Android ; à l’instar de Microsoft qui a fonctionné de cette manière jusqu’à présent pour Windows et qui a récemment annoncé augmenter cette fréquence pour arriver à une diffusion au fil de l’eau.
Sources :
http://officialandroid.blogspot.fr/2015/08/an-update-to-nexus-devices.html
http://global.samsungtomorrow.com/samsung-announces-an-android-security-update-process-to-ensure-timely-protection-from-security-vulnerabilities/
http://www.silicon.fr/windows-10-signe-fin-patch-tuesday-115563.html


[Brève] FireEye publie les détails d’APT29 un groupe cybercriminel russe baptisé « Hammertoss » qui utilise Twitter comme C&C et inclut le code malveillant à exécuter au sein d’images stéganographiées
Tout le détail du mode opératoire en deux schémas :


Sources :
https://www2.fireeye.com/rs/848-DID-242/images/rpt-apt29-hammertoss.pdf
http://blog.elevenpaths.com/2015/08/hammertoss-apt-que-usa-estaganografia-y.html


[Brève] Plusieurs vulnérabilités également identifiées sur les voitures de la marque Tesla
Sources :
http://www.wired.com/2015/08/researchers-hacked-model-s-teslas-already/


[Brève] Une vulnérabilité critique identifiée sur Firefox permet le contournement de la Same-origin Policy ainsi que le vol de données via PDF Reader
Sources :
https://www.mozilla.org/en-US/security/advisories/mfsa2015-78/
http://arstechnica.com/security/2015/08/0-day-attack-on-firefox-users-stole-password-and-key-data-patch-now/


[Brève] Fortinet publie les détails du benchmark de leur sandbox testée par NSS Labs
Sources :
https://www.nsslabs.com/reports/breach-detection-systems-test-methodology-v20-0
http://www.fortinet.com/sites/default/files/whitepapers/NSS-Labs-2014-BDS-SVM_0.pdf
http://blog.fortinet.com/post/bds-sandbox-call-it-what-you-will-but-the-market-is-growing-fast
http://www.fortinet.com/sites/default/files/whitepapers/BDS-Fortinet-FortiSandbox-3000D.pdf


[Brève] TrustWave publie son rapport annuel sur les intrusions et fuites de données
Sources :
https://www2.trustwave.com/rs/815-RFM-693/images/2015_TrustwaveGlobalSecurityReport.pdf


[Brève] Fuite de données médicales des clients de la société américaine Medical Informatics Engineering
Sources :
http://www.techtimes.com/articles/74337/20150805/medical-software-hack-leaks-info-on-3-9-million-people.htm
http://www.nbcdfw.com/news/local/Medical-Software-Company-Hacked-39-Million-People-Affected-320509472.html


[Brève] Cisco corrige un bug relatif à la fragmentation de paquet pouvant provoquer un Déni de Service sur les routeurs ASR 1000
Sources :
http://www.tripwire.com/state-of-security/latest-security-news/cisco-patches-fragmented-packet-dos-vulnerability-in-asr-1000-series/


[Brève] Le site Web de l’ICANN victime d’une intrusion, des adresses mail et hashes de mots de passe diffusés
Sources :
http://www.computerworld.com/article/2960693/cybercrime-hacking/icann-resets-passwords-after-website-breach.html


[Brève] Wordpress < 4.2.4 vulnérable à une faille XSS et une injection SQL
Sources :
https://wordpress.org/news/2015/08/wordpress-4-2-4-security-and-maintenance-release/
http://www.cert.ssi.gouv.fr/site/CERTFR-2015-AVI-326/CERTFR-2015-AVI-326.html


[Brève] Des chercheurs du MIT ont réussi à identifier des serveurs cachés du réseau TOR en utilisant des techniques de machine learning
Sources :
http://www.scmagazineuk.com/mit-cracks-tor-anonymity-network-and-recognises-hidden-servers/article/430931/


[Brève] Une vulnérabilité trouvée sur un fusil à visée automatique connecté en WiFi permet entre autres de dévier la trajectoire d’une balle
Sources :
http://www.usatoday.com/story/tech/2015/08/06/computer-controlled-rifle-black-hat-trackingpoint/31239637/


[Brève] Une attaque sur les services de synchronisation de fichiers dans le Cloud démontrée à la Black Hat 2015
Sources :
http://www.darkreading.com/cloud/man-in-the-cloud-owns-your-dropbox-google-drive----sans-malware-/d/d-id/1321501
http://www.silicon.fr/lattaque-man-in-the-cloud-se-joue-des-services-de-stockage-cloud-123563.html


[Brève] La société de cybersécurité Lockheed Martin rend open-source son outil de détection de menace « Laika BOSS »
Sources :
http://www.darkreading.com/attacks-breaches/lockheed-open-sources-its-secret-weapon-in-cyber-threat-detection/d/d-id/1321599
http://www.lockheedmartin.com/us/what-we-do/information-technology/cybersecurity/laika-boss.html
https://github.com/lmco/laikaboss

Romain MEILLERAIS, Soufiane JOUMAR & Thomas REMOND

Aucun commentaire:

Enregistrer un commentaire