Archives

Solid est un projet Open Source issu des travaux du MIT sous le parrainage de Tim Berners-Lee. Son but est d’offrir à chaque usager d’Internet la possibilité de savoir précisément « où » sont stockées ses données, de maîtriser la gestion des partages en lecture et écriture des données en question, et surtout de pouvoir choisir d’être soit son propre hébergeur en installant un « Solid Pod » , soit client de spécialistes du stockage « certifiés Solid » . C’est là une sorte de « cloud local/cloud externalisé » pour les données personnelles, associé à un jeu d’APIs destinées à établir la jonction entre le coffre-fort de données et l’application tierce-partie ou le réseau social que l’on souhaite exploiter.

Solid est l’add-in que l’on aimerait voir fleurir sur les NAS et « home servers » familiaux. C’est surtout un premier pas vers une réappropriation des données pour les particuliers, artisans, petites structures qui, pour l’heure, doivent nécessairement faire appel (et faire confiance) aux services des Gafa. Plus de renseignements sur le site Inrupt, compagnie fondée par Berners-Lee précisément pour promouvoir Solid et développer son essor commercial.

Les CPU ne sont pas mensuelles … cela se remarque au premier coup d’œil en parcourant le bulletin trimestriel publié par Oracle. Plus de 300 CVE concernant la quasi-totalité du catalogue, d’Enterprise Manager à MySQL en passant par Fusion, Oracle Database, Java SE, les outils PeopleSoft…

En plongeant dans cette avalanche de bouchons, l’on peut signaler l’existence de quelques failles critiques, notamment CVE-2018-3259 et CVE-2018-3299 (exploit distant sans authentification préalable au serveur de base de données), 56 CVE dans Fusion dont 12 susceptibles d’autoriser une exploitation distante, 12 CVE dans Java SE dont 11 également exploitables à distance, 38 CVE dans MySQL dont seulement 3 « remote »… La rédaction toute entière souhaite un agréable week-end aux administrateurs de produits Oracle.

50 alertes CVE colmatées, dont un « zero day » ( CVE-2018-8453 ) pouvant concourir à une élévation de droits, et affectant Windows serveur et station depuis la version 7, et un trou ayant déjà fait l’objet d’une publication, CVE-2018-8423. Ce dernier concerne un défaut dans le moteur de base de données Jet, lequel est utilisé dans plusieurs applications bureautiques de la suite Microsoft.

Qualys,au fil de son analyse mensuelle, attire l’attention sur CVE-2010-3190, un défaut dans Exchange Server dont l’exploitation offrirait un contrôle totale de la machine.

Au total, le Sans considère que 12 rustines sont à appliquer sur des failles jugées critiques.

Le déploiement de ce lot de bouchons n’a pas été sans mal. Aux USA, plusieurs usagers se sont plaints d’avoir perdu des données après application (les informations contenues dans « Mes documents »), et en France, l’installation du lot a, pour certains usagers, nécessité plusieurs redémarrages.

Le « mois de la cybersécurité »a démarré officiellement le 1er octobre, 31 jours durant lesquels se succèderont petits films d’incitation et de propos volontaristes, dessins humoristiques thématiques, dossiers de presse truffés de statistiques, le tout agrémenté de manifestations, tables rondes, colloques, débats, réunions de sensibilisation, conférences, journées -et nuits- cyber. Autant d’actions coordonnées par l’Enisa au niveau Européen et par l’Anssi sur les terres des Gaules.

Une belle collection de failles a été collectée dans les systèmes d’exploitation des équipements sous IOS et IOS XE. Le bulletin publié par l’équipementier classe la quasi-totalité des trous dans la catégorie « critique, à corriger immédiatement ». Et notamment, une possibilité d’accès sans authentification nécessaire dans OSPF v3, un risque de déni de service par redémarrage en boucle des équipements (plateformes IOS XE et série ASA 5500-X), ceci sans oublier une défaillance dans l’interface Web d’IOS XE ou des bugs dans la gestion des droits d’accès aux répertoires de Webex.

Un défaut dans la fonction « Aperçu du profil en tant que » a permis à des gastronomes de la donnée personnelle de générer des « jetons d’accès », sortes de clefs numériques qui offrent à chaque usager la possibilité de demeurer connecté à leur compte sans avoir à saisir à nouveau leurs identifiants/mots de passe. Dixit les services techniques de Facebook, au fil d’un communiqué expliquant cette attaque relativement complexe.

Il s’agit en fait de l’exploitation de trois défauts qui, combinés, peuvent offrir aux attaquants accès au compte FB. La faille a été colmatée et le service « aperçu du profil en tant que » a été suspendu pour une durée indéterminée.

Outre l’accès aux minutes onaniques Facebookienne, on ne peut oublier les fonctions d’authentification et de « single sign on » que ce réseau social apporte à de multiples services et sites Web étrangers à Facebook. Si l’authentification du site principal est compromise, n’existerait-il pas un risque que cette attaque puisse déborder et affecter d’autres serveurs utilisant ladite authentification ? Une sorte de « pass the hash » modernisé. Cette hypothèse reste cependant improuvée, et les services sécurité de la Zuckerberg’s company considèrent ce scénario comme peu probable.

Dans tous les cas de figure, cette inconsistance logicielle rappelle à chacun que les services d’un réseau social ne doivent pas être confondus avec une banque de mot de passe.

Encore un projet de Bug Bounty, lancé par un universitaire de Berkeley, Amit Elazari. Disclose.io se veut une continuation de la plateforme de divulgation de vulnérabilités open source Bugcrowd et CypherLaw. Son Credo est disponible sur Github

Un PoC WhatsApp développé par Checkpoint prouvant qu’il est possible de modifier et d’interférer avec des messages de groupe ou des échanges privés. Démonstration vidéo sur Youtube

Ryder Cup : selon le magazine Golfweek , des serveurs (non stratégiques) de l’association des golfeurs professionnels PGA of America ont été infectés par un crypto-virus. Un 18 trous de sécurité ?

2 millions d’enregistrements médicaux accessibles en ligne sur les serveurs d’un service hospitalier de Mexico… largement de quoi faire les gros titres de iBuzzNews ou Securereading. Las, aucun pirate à l’horizon… mais le fruit du travail de Volodymyr « Bob » Diachenko , Directeur de la Communication de Kromtech et passionné d’analyse du moteur de recherche Shodan. L’article originel, dans un style plutôt alarmiste, a été publié sur LinkedIn, via le compte personnel de l’auteur. Article rapidement suivi par une annonce de recherche d’emploi. Parfois, une mauvaise politique de sécurité peut profiter à une bonne stratégie d’évolution personnelle.

La publication de failles peut également contribuer à assoir une réputation. A tout hasard, celle du groupe Project Insecurity qui s’est penché sur l’un des plus célèbre logiciel open source de gestion de données médicales, OpenEMR. Et si j’appuie là, est-ce que ça vous fait mal ? Le résultat est une interminable litanie d’injections SQL, de bugs d’authentification, d’exploitations distante et autres CSRF, soit 27 pages de descriptions de trous de sécurité accompagnés d’une « preuve de faisabilité ». Une application rapide du correctif cumulatif est vivement conseillée.

Cette nouvelle forme de full responsible disclosure, plus policée, plus « marketée », savamment publiée en période de grands événements infosec, vise essentiellement des secteurs sensibles, susceptibles d’attirer l’attention des médias grand public. Tout ça coûte moins cher qu’une page de publicité ou un stand dans les allées de la BlackHat.