L’ANSSI alerte les candidats aux législatives du risque de phishing. L’organisation des élections législatives et les récents incidents survenus lors des présidentielles ont conduit l’ANSSI a rappeler quelques règles de base en terme de sécurité informatique. L’organisation prochaine des élections des 577 députés va nécessairement démultiplier les risques d’hameçonnage pour les milliers de prétendants. Une technique d’escroquerie où un utilisateur tiers convainc une personne à révéler ses données d’identification par la mise en ligne d’un faux site officiel.
Sur ce terrain, justement, « l’ANSSI constate une recrudescence de ces attaques qui visent sans discernement l’ensemble des acteurs politiques, économiques, de toute importance, mais également les particuliers ». Pour prévenir ou du moins limiter les risques d’hémorragie, l’Agence a mis en ligne un fiche de prévention, en fait une série de « réflexes indispensables à adopter pour ne plus rester vulnérable face au phishing ». Un inventaire d'hygiène informatique Sept règles d'or. La propagation du virus informatique qui a touché plus de 70 pays quasi stoppée. Un chercheur en sécurité informatique a réussi à ralentir sa diffusion, tout comme la publication d’une mise à jour de Windows. Les machines touchées, quant à elles, restent toujours bloquées. Le virus informatique de type « rançongiciel » qui a touché des dizaines de milliers d’ordinateurs dans plus de 70 pays devrait désormais stopper sa progression, grâce à la mise en place de contre-mesures et à l’intervention d’un chercheur en sécurité qui a accidentellement trouvé le moyen d’actionner un mécanisme d’autoblocage.
Le chercheur en sécurité informatique anonyme, connu uniquement par son pseudonyme sur les réseaux sociaux, MalwareTech, a découvert dans la nuit de vendredi à samedi l’adresse d’un site Internet dans le code du logiciel. Le virus tentait de se connecter à ce site lors de sa diffusion ; si le site était injoignable, il poursuivait sa propagation.
Les ordinateurs toujours bloqués Mise à jour en urgence de Windows. Fichier TES : Inria compare les architectures concurrentes, oubliées par l’Intérieur. L'Institut national de recherche en informatique et en automatique (Inria), vient de publier une intéressante étude technique sur le fichier TES, le fichier biométrique monstre rassemblant l’ensemble des cartes nationales d’identité et des passeports. L'enjeu ? Exposer, pas seulement aux yeux de l'Intérieur, l'existence de voies alternatives. Après la CNIL, le Conseil national du numérique, l’ANSSI et la DINSIC notamment, au tour de cet institut de faire connaître son analyse sur la solidité de la base centralisant des données ultra-sensibles, en répondant à une question simple : « la centralisation des données biométriques est-elle vraiment inévitable ?
» Seulement, alors que l’Intérieur n’a d’yeux que pour un système centralisé, Inria remarque que « différents choix d’architecture et de techniques sont possibles ». Cinq scénarios, dont quatre oubliés par l'exécutif La comparaison est dressée entre différentes solutions. Le respect de la vie privée Marc Rees.
Windows : une faille 0-day révélée dans SMB, le correctif espéré la semaine prochaine. Une faille 0-day existe dans Windows, plus spécialement dans la manière dont le système gère le trafic SMB. Un prototype d’exploitation est déjà en circulation, le chercheur souhaitant manifestement réveiller Microsoft, qui n’a pas proposé de solution au cours des cinq derniers mois. Le protocole SMB (Server Message Block) est utilisé par Windows depuis longtemps pour lire et écrire des fichiers depuis des serveurs équipés du système de Microsoft.
Un protocole très connu et présent, au point que son implémentation libre, Samba, se retrouve dans bon nombre de distributions Linux. Une faille dans la gestion du trafic SMB Mais Windows a actuellement un problème dans sa gestion du trafic SMB. Les conséquences sont potentiellement nombreuses. Une faille initialement remontée en septembre Le problème principal de la faille est que, non seulement elle est simple à exploiter, mais que le code pour le faire est disponible sur un dépôt GitHub depuis ce week-end. Des associations défendent sans équivoque le chiffrement, « rempart » contre la surveillance. Un groupement d'associations et organisations de défense des libertés fustige les atteintes au chiffrement et s'inquiète de sa remise en cause par les États. Il souhaite obtenir des garanties sur le respect de ces outils, qui seraient devenus le principal rempart contre la surveillance de masse.
Le débat autour du chiffrement est toujours aussi vif. L'Observatoire des libertés et du numérique (OLN), composé notamment d'Amnesty International, du Cecil, de la Ligue des droits de l'Homme, la Quadrature du Net et du Syndicat de la magistrature, a publié son positionnement sur le sujet. Sans surprise, il s'agit d'une défense univoque de ces techniques, considérées comme un « rempart [...] aux intrusions arbitraires et illégales de nombreux acteurs, étatiques, privés, ou criminels ». Acteurs publics contre ministère de l'Intérieur Le groupement est loin d'être le premier à s'élever pour défendre le chiffrement en Europe. Affaiblir le chiffrement, un coût important Guénaël Pépin. Les points noirs du fichier TES épinglés par le rapport ANSSI et DINSIC. À une semaine du FIC, le Forum international de la cybersécurité à Lille, l’ANSSI et la DINSIC ont remis leur rapport sur le fichier des titres électroniques sécurisés, cette méga base agrégeant les données notamment biométriques des cartes nationales d’identité et des passeports.
Une certitude : les conclusions du document sont très mitigées. La naissance de TES par un décret en Conseil d’État publié le 30 octobre 2016 a provoqué un bel émoi : ce fichier monstre, contre le principe duquel le PS s’était opposé en 2012, a pour ambition de devenir le plus grand fichier biométrique français. Cela en rassemblant les empreintes et la photo du visage de tous les porteurs de ces titres. Potentiellement, comme l'a souligné la CNIL, il peut concerner l’ensemble de la population française. Les aigreurs de la Commission sont d’autant plus vives qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. Des sous-traitants du fichier TES. Le numéro un de l’ANSSI défavorable au vote électronique. Guillaume Poupard, le directeur général de la très sérieuse Agence nationale de la sécurité des systèmes d'information (ANSSI) a déclaré ce matin à l’Assemblée nationale qu’il n’était « pas en faveur du vote électronique ».
S'appuyant sur ses propos, un député a décidé de demander au gouvernement d’interdire les machines à voter pour les prochaines élections. Si François Fillon a promis de généraliser le vote électronique, rappelons que son usage est aujourd’hui assez limité. S’agissant du vote par Internet, il est uniquement proposé aux Français de l’étranger (sur la base du volontariat), et pour quelques scrutins seulement. En 2017, cette faculté leur sera ainsi offerte pour les législatives, mais pas pour la présidentielle. Quant aux machines à voter, officiellement autorisées depuis la fin des années 60, seules quelques communes continuent de les utiliser, suite à l’adoption d’un moratoire, courant 2007. Poupard favorable à une extension du moratoire sur les machines à voter. Primaire de la gauche : l'adresse mail de centaines de votants diffusée par erreur. L'équipe de la primaire de la gauche a adressé un mail à près de 700 personnes visiblement installées à l'étranger, pour leur signaler un petit problème de numéro de téléphone.
Mais un autre souci s’est surajouté : les emails de ces 700 votants ont été placés en CC et non en Cci… « Le n° de téléphone mobile que vous nous avez transmis pour la réception par SMS de votre mot de passe qui vous permettra de voter à la Primaire de la Gauche et des Écologistes semble invalide ou non accessible », indique ce courrier signé de l’équipe organisatrice. Et celle-ci d’inviter les destinataires à « faire parvenir une adresse de messagerie secondaire à laquelle nous pourrons vous expédier votre mot de passe ». Petit bourde : la même fine équipe a eu la très mauvaise idée d’adresser ce mail à l’ensemble des personnes impactées en utilisant le champ « CC » et non « CCi ».
Conclusion ? Voilà une belle liste de près de 700 personnes jetée dans la nature ! Marc Rees. Adobe Acrobat installe par défaut une extension Chrome assez bavarde. Avec la dernière mise à jour d’Acrobat Reader, une extension pour Chrome s’installe automatiquement. Si l’utilisateur l’accepte, elle a la capacité de lire l’ensemble des données lors d’une session de navigation. Pour l’instant, Adobe s’en sert uniquement pour des informations techniques. La version 15.023.20053 d’Acrobat Reader, disponible depuis deux jours, installe l’extension Chrome Acrobat, que les utilisateurs pouvaient déjà récupérer sur le Web Store du navigateur. Disponible uniquement pour la version Windows, elle propose quelques fonctionnalités intéressantes, comme la sauvegarde de n’importe quelle page web en PDF.
Elle permet également d’ouvrir un document dans Acrobat ou Reader pour des capacités supplémentaires. Une installation automatique, des yeux inquisiteurs Mais l’inclusion par défaut dans la mise à jour du logiciel fait grincer des dents. Par ailleurs, le panneau d’information donne quelques informations sur les capacités de l’extension. Vincent Hermann. Cloud de confiance : l'ANSSI sort son référentiel et lance un label avec l'Allemagne. Après plus de deux ans de travail, l'agence de sécurité informatique de l'État a mis en ligne la première partie de son référentiel, qui doit aider à certifier les prestataires cloud de confiance. Au niveau européen, ce programme est fusionné avec son homologue allemand, pour donner naissance au label ESCloud.
En matière de numérique, l'État a souvent deux mots à la bouche : confiance et sécurité. Qu'il s'agisse de développer la blockchain ou de trier les offres cloud, l'objectif affiché semble bien le même, avec des démarches à long terme. Les deux ans qu'a pris l'élaboration du référentiel SecNumCloud, ex-Secure Cloud, en est l'une des preuves. Initié dans le cadre de la Nouvelle France industrielle, il présente aujourd'hui un visage (presque) finalisé. Hier, l'Agence nationale de sécurité des systèmes d'information (ANSSI), en charge de la cybersécurité de l'État et des opérateurs d'importance vitale (OIV), a enfin présenté la première partie de son travail.
Android : le malware Gooligan a déjà piraté plus d'un million de comptes Google. Un nouveau malware fait parler de lui sur Android : Gooligan. Il infecte les appareils sous Android 4 et 5 et aurait à ce jour permis le piratage de plus d’un million de comptes Google, dérobant des informations personnelles, provoquant des achats sur le Store et installant des adwares. Les méfaits de Gooligan ont été révélés par la société de sécurité Check Point. Elle indique que le rythme d’infection de ce malware est de 13 000 nouveaux appareils par jour, prouvant sa virulence. Il se répand dans les boutiques tierces d’applications, Check Point ayant trouvé le même code malveillant dans plusieurs applications. Il ne semble pas s’être répandu dans le Play Store, sur lequel veille normalement Google.
Droits root, piratage de comptes et achats sur le Store Si l’utilisateur déclenche l’installation et valide les droits réclamés par l’application frelatée, le malware se met en position et « roote » l’appareil. Après quoi, il passe à la phase suivante. Mirai : une variante s'attaque aux routeurs, 900 000 clients Deutsche Telekom touchés. Les objets connectés sont loin d’en avoir terminé avec le malware Mirai. La publication du code source a provoqué l’apparition de plusieurs variantes, et près d’un million de routeurs Deutsche Telekom ont été touchés, provoquant de sérieux disfonctionnements. L’objectif de Mirai est de s’infiltrer dans les objets connectés pour créer des botnets. La première version a essentiellement visé des caméras connectées, mais la publication début octobre du code source faisait craindre une multiplication des attaques.
À la fin du mois, nous indiquions que 500 000 appareils étaient toujours contaminés et que des signes évidents pointaient vers l’arrivée de variantes adaptées à d’autres situations. 900 000 clients touchés chez Deutsche Telekom Depuis environ 48 heures, de nombreux clients ADSL en Allemagne se plaignent de problèmes avec leurs routeurs. Du propre aveu de Deutsche Telekom, entre 4 et 5 % de ses clients ont été touchés, le fournisseur d’accès en comptant 20 millions. Et maintenant ? Sécurité : des chercheurs demandent à Microsoft de ne pas abandonner EMET.
Début novembre, Microsoft annonçait le retrait de son outil de sécurité EMET à la fin de son cycle actuel de vie, soit en juillet 2018. Un outil apprécié dont certains craignent déjà le départ. Des chercheurs demandent ainsi à l’éditeur de renoncer à cette retraite. La sécurité de Windows est probablement l’un des sujets les plus débattus et les plus riches.
Avec une part de marché écrasante, le poids pesant sur les épaules de Microsoft est difficilement comparable à celui des autres systèmes. Non qu’il faille plaindre l’entreprise : elle a œuvré dans ce sens. Mais en 2004 et 2005, quand son Windows XP a commencé à crouler sous les attaques, elle a dû changer son fusil d’épaule. La marche continue (et forcée) de la sécurité sous Windows L’explosion d’Internet au début des années 2000 a largement simplifié l’exploitation des failles. Depuis, chaque Windows a intégré un nombre croissant de protections. EMET, l'outil d'atténuation des risques Or, Microsoft veut se débarrasser d’EMET. La cyberattaque d'octobre 2016 réalisée... par un gamer mécontent ? Linux : presser longtemps la touche Entrée permettait de contourner un outil de chiffrement. Un bug dans Cryptsetup permet sous Linux de contourner la demande de mot de passe quand l’unité de stockage a été chiffrée.
La faille qui en résulte peut être exploitée aussi bien localement qu’à distance. Explications. C’est un chercheur en sécurité espagnol, Hector Marco, qui a soulevé le lièvre. Celui-ci réside dans l’utilitaire Cryptsetup, très utilisé pour le chiffrement des disques durs et autres SSD, que ce soit sur des machines personnelles, des postes de travail ou des serveurs. Il est exploitable via LUKS (Linux Unified Key Setup), installé par défaut avec Debian et Ubuntu notamment.
On le trouve donc sur de très nombreuses machines. Votre machine est trop lente, réessayez C’est en inspectant le processus de démarrage que Marco a repéré un souci. Cette erreur est engendrée par une mauvaise interprétation des actions par les scripts. Au bout de la route, un shell et des droits root Localement ou à distance Une faille simple à corriger, des patchs arrivent.
Microsoft : 68 failles corrigées dans les bulletins de novembre, deux déjà exploitées. Microsoft a publié hier ses bulletins de sécurité pour le mois de novembre. Ils sont au nombre de 14,dont 6 critiques, pour un total de 68 failles corrigées. L'un d'entre eux concerne la faille – déjà exploitée – révélée par Google. Les utilisateurs ont ce mois-ci tout intérêt à installer rapidement les mises à jour proposées par Windows Update. Les 14 bulletins contiennent un certain lot de failles critiques, dont deux sont activement exploitées et trois ont été révélées publiquement. Dans ce type de situation, il est recommandé de procéder à l’installation sans attendre, même s’il existe des facteurs d’atténuation. Deux failles critiques déjà exploitées... Le bulletin le plus important est probablement le MS16-135, qui correspond à la faille révélée récemment par Google, au grand dam de Microsoft qui a accusé son concurrent de mettre les utilisateurs en danger.
Mais il ne s’agit pas de la seule faille déjà exploitée. ... trois autres révélées publiquement Vincent Hermann. Windows 10 : Google dévoile une faille de sécurité sans l’accord de Microsoft. L’April exhorte l’État à publier son « accord de sécurité » avec Microsoft. Dyn : une attaque DDoS perturbe l'accès à des sites importants, surtout aux États-Unis. NSA : un sous-traitant arrêté par le FBI pour vol de données sensibles. Fuite de données : amende « record » de 400 000 livres pour l'opérateur britannique TalkTalk. Mots de passe : on vous aide à choisir le gestionnaire qu'il vous faut. Le premier label Coffre-Fort Numérique a été délivré | CNIL. Pour l'ANSSI, le chiffrement est « une technologie de paix et de prospérité » ANSSI : un point de contact unique pour alerter des failles de sécurité.
Firefox fait la chasse aux clés de chiffrement trop faibles, le projet Mortar avance.