Views
5 months ago

Cybersecurity 2019

  • Text
  • Faire
  • Attaques
  • Suisse
  • Entreprise
  • Contre
  • Netzmedien
  • Mots
  • Peuvent
  • Passe
  • Entreprises

04 SPÉCIAL ACTUEL

04 SPÉCIAL ACTUEL Négligences sur Github: des centaines de milliers d’ordinateurs Asus piratés Les mises à jour corrompues étaient signées avec un certificat émis par Asus et hébergées sur les serveurs de téléchargement de l’entreprise. ych. L’update d’Asus était corrompu. Live Update, le logiciel intégré aux notebooks Asus pour maintenir les pilotes et firmwares à jour, a permis à des pirates d’installer une porte dérobée dans des centaines de milliers d’ordinateurs. Les pirates se sont peut-être servis de mots de passe dénichés sur Github (propriété de Microsoft) pour infiltrer les systèmes d’Asus. A l’origine de la découverte de cette attaque de type Menaces Persistantes Avancées (APT), Kaspersky Lab a informé le fabricant le 31 janvier dernier. Asus a publiquement confirmé l’attaque, précisant avoir corrigé la dernière version de Live Update et pris plusieurs mesures, notamment en introduisant dans ce logiciel «de multiples mécanismes de vérification sécuritaire empêchant toute manipulation malveillante sous la forme de mises à jour logicielles ou autre». Kaspersky décrit ce piratage comme une attaque très sophistiquée ciblant la chaîne d’approvisionnement. La complexité de l’attaque suggère qu’elle a été perpétrée pour le compte d’un Etat. «Ces attaques cooptent les mécanismes mêmes dont nous avons besoin pour assurer notre sécurité. De plus, le caractère international de notre industrie entraîne un éventail de vulnérabilités qui sont très difficiles à protéger», analyse l’expert en sécurité Bruce Schneier (interview en page 19). Les mises à jour corrompues étaient signées avec un certificat émis par Asus et hébergées sur les serveurs de téléchargement de l’entreprise. Un détail qui suggère que les attaquants ont eu accès au réseau interne du fabricant. Comment? Probablement via des mots de passe exposés à la vue de tous sur Github. Un chercheur en sécurité a en effet confié au site spécialisé Techcrunch avoir trouvé des mots de passe dans un répertoire du compte d’un employé du fabricant. Le chercheur a pu se servir d’un mot de passe pour accéder à un compte mail utilisé par les développeurs et les ingénieurs d’Asus. Les mots de passe du compte de messagerie sont restés exposés publiquement pendant au moins un an. A Singapour, les noms de milliers de séropositifs fuitent en ligne L’armée se dote d’un campus pour cybersoldats ych. Les données de 14 200 porteurs du VIH ont fuité en ligne. Les informations personnelles, dont les noms et les numéros de téléphone, ont été volées via un accès non autorisé à un registre du ministère de la santé de Singapour. La fuite de données touche 5400 Singapouriens et 8800 étrangers diagnostiqués séropositifs. Un citoyen américain serait à l’origine de la fuite et aurait agi par vengeance, après avoir été condamné à 28 mois d’emprisonnement notamment pour avoir caché sa séropositivité afin d’obtenir et de conserver son permis de travail (Singapour interdit l’immigration de porteurs du VIH). Il serait parvenu à accéder en 2016 à la base de données, par l’intermédiaire d’un médecin complice ayant dirigé l’Unité nationale de santé publique du ministère de la santé de Singapour. Suite à l’intrusion, les autorités avaient retrouvé le coupable et saisi son matériel. Le gouvernement avait alors mis en place des mesures de protection de ses systèmes pour limiter les risques d’accès frauduleux aux données. Mais l’auteur de la fuite avait visiblement des copies en sa possession. Image: Lily Banse / unsplash.com Singapour interdit l’immigration aux porteurs du VIH. cfd. La Confédération prend les cybermenaces très au sérieux. Dans le cadre de la stratégie nationale de protection de la Suisse contre les cyberrisques (SNPC) adoptée en 2018, le Département fédéral de la défense, de la protection de la population et des sports (DDPS) a officiellement lancé le Campus cyberdéfense (CYD-Campus). Dirigé par armasuisse Sciences et technologies, il réunit des experts issus de l’administration, du privé et du milieu académique. Ensemble, ils doivent suivre les tendances de cyberattaques et sur les moyens de les contrer, développer des technologies de défenses et former des cyberspécialistes pour gonfler leurs rangs. Les cybersoldats s’appuient notamment sur le savoir-faire en la matière des Écoles polytechniques fédérales de Zurich et de Lausanne. Le CYD-Campus a pour vocation de mettre ses compétences à disposition de l’ensemble du DDPS. Il se concentrera dans un premier temps sur la cybersécurité en tant que telle, l’intelligence artificielle et l’analyse des données. www.ictjournal.ch © netzmedien ag

ACTUEL SPÉCIAL05 Les services web n’ont plus de raison d’exiger un mot de passe ych. La progression vers un web sans mot de passe a franchi une étape cruciale. Le World Wide Web Consortium (W3C) et l’Alliance FIDO viennent d’approuver WebAuthn en tant que standard web officiel. Annoncé l’an dernier, WebAuthn est déjà pris en charge dans Windows 10 et Android, ainsi que par les navigateurs Google Chrome, Mozilla Firefox, Microsoft Edge et Apple Safari (preview). Cette technologie étant désormais un standard approuvé, les services et applications web sont invités à l’activer pour donner à leurs utilisateurs la possibilité de se connecter plus facilement. Jeff Jaffe, CEO du W3C, déclare: «Le moment est venu pour les services web et les entreprise d’adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du web. La recommandation du W3C établit des directives d’interopérabilité à l’échelle du web, définissant des attentes cohérentes pour les utilisateurs du web et les sites qu’ils visitent. Le W3C s’efforce de mettre en œuvre cette meilleure pratique sur son propre site.» Le protocole WebAuthn se base sur une API qui permet aux services web de communiquer avec un dispositif de sécurité pour le processus de connexion. Le dispositif peut par exemple être une clé de sécurité FIDO se branchant sur un port USB, mais aussi un dispositif ou une application biométrique (notamment via l’objectif de la caméra d’un smartphone). Le WC3 et l’Alliance FIDO soulignent que le modèle de sécurité basé sur WebAuthn élimine les risques d'hameçonnage et toutes formes de vol de mots de passe. Les identifiants de connexion cryptographiques utilisés sont uniques sur chaque site et aucune information biométrique ou autres données confidentielles ne quittent le terminal de l’utilisateur ou ne sont stockés sur un serveur, précise encore le WC3 et l’Alliance FIDO. Pour les fournisseurs de services prêts à se familiariser avec les spécifications FIDO2, des outils de test sont fournis et un programme de certification a été lancé. Image: VTT Studio / Fotolia.com «Le moment est venu pour les services web et les entreprise d’adopter WebAuthn pour déjouer la vulnérabilité des mots de passe et améliorer la sécurité des expériences en ligne des utilisateurs du web.» Jeff Jaffe, CEO du W3C Les polices romandes auront leur centre de cybercriminalité Vaste opération contre des utilisateurs de DDoS swa. Faux ordres de virements, boutiques en ligne frauduleuses, fausses annonces immobilières, etc. Autant de délits sur Internet qui seront désormais traités par le Centre de Compétence Cyber (CCC), des polices cantonales de Romandie, de Berne et du Tessin. Le CCC assumera des tâches liées à l’accès aux données numériques, à l’évolution dans le cyberespace, à l’exploitation dans l’IoT ainsi qu’à l’exploitation et l’analyse du renseignement récolté. Le travail sera effectué par des spécialistes de la Brigade de Criminalité Informatique et de la police judiciaire genevoise. La Conférence latine des chefs de départements de justice et police a également validé la création de deux postes de spécialistes cyber. Le CCC sera équipé d’un outil en matière de renseignement, la Plateforme d’Information de la Criminalité Sérielle en Ligne (PICSEL), qui permettra la prise en charge des dépôts de plaintes. Elle analysera et exploitera également les informations liées aux enquêtes policières. Enfin, chaque canton aura un ou deux référents pour s’assurer que les données récoltées soient correctement centralisées. Le Centre de Compétence Cyber sera doté de spécialistes cyber et d’une plateforme de renseignement centralisée. cfd. En avril 2018, l’agence européenne de police criminelle annonçait le démantèlement de webstresser.org, une plateforme à 15 euros par mois qui proposait à ses utilisateurs de lancer pour eux des attaques par déni de service (DDoS). Désormais, ce sont ces 151 000 utilisateurs, à l’origine de plus de 4 millions d’attaques, qui sont poursuivis par un consortium coordonné par Europol et la Joint Cybercrime Action Taskforce (J-CAT) avec le soutien de la police néerlandaise et de la British National Crime Agency. Au Royaume-Uni, 60 appareils ont déjà été saisis dans le cadre de cette enquête et «plus de 250 utilisateurs de webstresser.org et d’autres services de DDoS seront bientôt poursuivis pour les dommages qu’ils ont causés», révèle l’agence internationale. Que ce soit contre les clients de webstresser ou plus largement contre toute personne à l’origine de DDoS, des opérations ont été mensées dans de nombreux pays, y compris en Suisse. Le FBI a par ailleurs interpellé les hackers à l’origine de Downthem et de Quantum Stresser, deux autres plateformes proposant des DDoS on-demand. www.ictjournal.ch © netzmedien ag