WannyCry: première phase de futures attaques avancées

La vague d’attaques en cours depuis vendredi basées sur un ransomware nommé WannyCry n’est que la première phase d’attaques plus construites et avancées qui nous attendent. Ce virus a en effet été construit sur les informations divulguées par un groupe de pirate informatique qui a volé ces programmes à la NSA américaine. En avril, ils ont révélés certaines informations en leur possession dont plusieurs failles 0-day dans Windows. Une faille 0-day est une vulnérabilité non connue par l’éditeur et non corrigée. Microsoft a publié un correctif en mars et avril pour ces problèmes (avant la divulgation publique de la faille). Mais le problème est qu’elle est également présente sur les anciens systèmes d’opération plus mis à jour par Microsoft, tel que Windows XP, Windows 8.0 ou Windows Server 2003.

Le groupe ShadowBroker, derrière le piratage de la NSA, va vendre ou publier dès le mois de juin de nouvelles failles 0-day, dont des accès à des systèmes bancaires. Il faut donc s’attendre à de nouveaux virus agressifs et dangereux dans les prochains mois. De plus, les CryptoLocker actuels ciblent de plus en plus les systèmes de backup, censés être la meilleure défense contre le cryptage des données.

Comment se protéger

  1. réaliser des backup des données sensibles et avoir des images des systèmes d’exploitation disponibles. Attention, le système de backup doit être protégé du réseau principal et avoir des accès spécifiques
  2. mettre à jour les systèmes d’exploitation de tous les postes de travail. Ne pas oublier les serveurs et les ordinateurs non utilisés par des humains qui seront la cible de ces vulnérabilités trouvées par la NSA
  3. ne jamais ouvrir de pièces jointes inconnues ou cliquer sur des liens suspicieux. On ne gagne pas à la loterie par email et on n’a pas tous des cousins en Afrique qui sont multimillionaires
  4. avoir un bon anti-virus et le tenir à jour très régulièrement. Faire également des scans de la base de registre et des éléments système de Windows.
  5. gérer correctement les accès aux systèmes et aux données. La propagation d’un virus sera bloquée ou diminuée si les accès sont bien définis et les mots de passe forts.

 

En cas de doute, il faut tout de suite éteindre son ordinateur et faire appel à un spécialiste.

est à votre disposition pour analyser et auditer vos systèmes informatiques, ainsi que vos procédures de sécurité.

Etat des lieux de la cybercriminalité en 2016

Le début d’année est toujours l’occasion de sortir des statistiques et des graphiques sur l’année écoulée. 2016 a été une année forte intéressante et très intense en terme de piratage informatique et de failles de sécurité. F-Secure, éditeur norvégien de solutions de sécurité informatique, publie son rapport 2017 sur la cybersécurité. En plus de parler de toutes les grandes menaces, des chiffres et autres statistiques, ils ont ajouté un graphique résumé de l’année 2016 très intéressant avec certains grands axes mondiaux. Des plus récréatifs et passionnants.

 

 

 

 

source: f-secure, rapport 2017

DailyMotion a été piraté en octobre

Le site de vidéo DailyMotion a été piraté courant octobre et 85 millions de comptes utilisateurs ont été volés. Parmi ceux-ci environ 18 millions de mots de passes sont disponibles. Ces mots de passes ont un système de chiffrement très avancé qui prend beaucoup de temps pour être déchiffré. Mais il faut partir du principe que ces comptes là ne sont plus sûrs.

Pour les utilisateurs de ce site il est important de changer son mot de passe et surtout de le modifier sur les autres plateformes dans lesquelles vous utilisiez ce mot de passe.

 

Source: DailyMotion

De nouvelles failles critiques sur Magento laissent des millions de site e-commerce vulnérables

Traduit de l’anglais par MS

Article original ici

Si vous utilisez Magento pour votre site e-commerce, il est grand temps de mettre à jour votre CMS.

Des millions d’entreprises vendant en ligne risquent des attaques de piratage à cause d’une vulnérabilité de type XSS dans la plus populaire des plateformes e-commerce détenue par eBay.

 

Pourquoi ces bugs sont si sérieux ?

Virtuellement, toutes  les versions de Magento Community Edition 1.9.2.2 ainsi que les précédentes, de même que les versions Enterprise Edition 1.14.2.2 et antérieures, sont vulnérable à des failles XSS.

Ces failles XSS sont terribles car elles permettent au attaquants de :

  • de prendre effectivement le contrôle d’un site fait avec Magento
  • augmenter les privilèges
  • voler des données des cartes de crédit
  • contrôler le site internet via un compte administrateur

Toutefois, la bonne nouvelle est que ces vulnérabilités sont déjà patchées et que la mise à jour a été rendue publique après que la firme de sécurité Sucuri l’ait découverte et reportée en grand secret à la société.

Une faille facile à exploiter

La vulnérabilité XSS est assez aisée à exploiter. Tout ce que les attaquants ont besoin d’ajouter est un code Javascript malicieux dans le champs du formulaire d’enregistrement du client.

Magento lit et exécute cet e-mail contenant le codage frauduleux dans le compte administrateur, permettant alors à l’attaquant de voler la session administrateur et de prendre le contrôle le serveur utilisant Magento.

La société de sécurité Sucuri décrivant le bug comme une des pires failles.

 

Faite la mise à jour dès aujourd’hui !

A titre de prévention de l’exploitation de cette failles, les webmasters sont priés d’appliquer le dernier patch bundle dès que possible.

Bien que le dernier patch résolvait la question pour Magento de la version 1.14.1 et 1.9.1 et précédentes, les problèmes impliquant les versions 1.14.2.3 et 1.9.2.3 ont été déjà réparés.

Avec Alexa, plus d’un million de sites e-commerce et plus de 10 million de sites internet utilisant le célèbre CMS, Magento est devenu une cible privilégiée des hackers actuellement.

Patchez vos sites et restez en sécurité !

Des milliers de sites suisses vulnérables

Internet a grandi très rapidement durant ces 15 dernières années. Des milliers de nouveaux sites web sont mis en ligne chaque jour.

Selon Netcraft, il y aurait actuellement plus de 850’000’000 sites web actifs sur Internet (Mai 2015). Une des raisons expliquant cet accroissement soudain est l’utilisation de CMS (Content management system), comme par exemple WordPress, Typo3, Joomla et Drupal.

En utilisant un CMS, vous pouvez publier aisément du contenu sur internet sans aucune connaissance IT. De plus, vous avez un vaste choix de plugin disponibles afin de personnaliser à l’envi votre site web. C’est grâce à cette facilité d’usage que les CMS sont utilisés aussi bien par les PME, que par les web-masters amateurs désirant également un site internet, pour leur club de sport, par exemple.

Bien que ces CMS soient de très bons outils, ils sont devenus les cibles privilégiées des hackers. En avril 2015, GovCert.ch a twitté à propos d’une vulnérabilité dans WordPress. En effet, une personne malveillante pouvait exécuter une attaque de type XSS (Cross-Site Scripting), contre tous sites web utilisant cette version de WordPress vulnérable, en postant simplement un commentaire contenant du Java-Script malicieux (CVE-2015-3440). Durant cette même journée où cette vulnérabilité a été rendue publique, WordPress publiait la mise à jour de sécurité WP 4.2.1 pour réparer cette faille.

Malheureusement, cette réparation n’a pas tenu long. Le 6 mai 2015, une autre vulnérabilité (CVE-2015-3429) a été rendue publique. Cette dernière, de type XSS également, concerne à nouveau les sites WordPress. Selon Sucuri, la vulnérabilité a déjà été exploitée avant que WordPress ait été capable de publier son update de sécurité. Cette même faille existe également avec le plugin Jetpack dont plus d’un million d’installations actives. Cette vulnérabilité a été révélée le 6 mai 2015. WordPress a réagi en publiant un patch de sécurité le 7 mai 2015. Actuellement, un mois plus tard, des milliers de sites internet ne sont toujours pas mis à et jour et ce ce fait, sont toujours vulnérables.

Selon nic.ch, le nombre de noms de domaine enregistrés en Suisse (.ch) s’élève à 1’939’115 à la fin mars 2015. 124’000 d’entre eux sont des sites WordPress. En vérifiant la version WP de ces sites web, on s’aperçoit que plus de 70% de tous les sites .ch ont une version antérieur de WP et sont de ce fait, très vulnérables aux attaques décrites ci-dessus.

 

vulnerable_wordpress_sites_ch Nombre sites .ch vulnérables VS non-vulnérables utilisant WP

Après avoir enlevé la vulnérabilité CVE (CVE-2015-3440 – Stored XSS vulnerability sous WP, CVE-2015-3429 – XSS vulnerability sous WP et JetPack), la situation se présente ainsi :

 

cve_wp_ch Nombre de failles CVE sur les sites .ch utilisant WordPress

Ces statistiques sont basées sur la version de WordPress utilisée. D’autres investigations seront nécessaires pour déterminer si ces sites internet sont vulnérables ou non (où si ils sont, par exemple, protégés par un firewall applicatif web qui pourrait bloquer ce type d’attaques).

Cependant, le danger est bien réel, puisqu’ils utilisent une version ancienne de WordPress, connue pour être vulnérable à ces attaques.

Si l’on se réfère aux rapports GovCERT.ch reçu des partenaires de la Confédérations, on peut dire que plus de 5’000 sites internet sont confirmés vulnérables à la faille CVE-2015-3440. C’est environ 5 fois plus que le nombre d’installations vulnérables utilisant Magento en Suisse, annoncé par la Confédération en avril 2015. Aujourd’hui, GovCert.ch a commencé le processus de notification en contactant les principaux hébergeurs de ces sites, les informant des risques potentiels liés à l’utilisation d’une version de WordPress obsolète et vulnérable.

Malheureusement, nous croyons que ceci ne serait que la pointe de l’iceberg. Comme mentionné plus haut dans cet article, il y a de nombreux autres CMS que WordPress où il semblerait que là non plus, la situation de soit pas enviable également.

Mais la question que l’on se pose est : pourquoi y-a-t’il tellement de sites internet utilisant une version ancienne d’un CMS ? Une explication pourrait être que les CMS soient victimes de leur propre succès car ils permettent facilement à quiconque de publier son site sur internet, même les personnes n’ayant que très peu de connaissances en IT. Ces personnes ne savent pas qu’elles doivent protéger leur CMS comme elles devraient également le faire avec leur ordinateur. Comme une voiture a besoin de services réguliers, vous devriez vérifier si le CMS que vous utilisez est à jour et protégé.

Aussi, si vous utilisez un système CMS comme WordPress, Typo3, Joomla ou Drupal, nous vous recommandons vivement de vérifier si leur version est la plus récente. Plus de conseils et mesures de sécurité pour votre CMS peuvent également se trouver sur le site web de MELANI

Mesures de prévention pour les systèmes de gestion de contenu
http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=fr

Article traduit par .

Retrouvez l’article dans la version originale ici : http://www.govcert.admin.ch/blog/8/outdate-wordpress-thousands-of-websites-in-switzerland-are-vulnerable

Audits de sécurité pour Nikon

logo de Nikon

Nikon Europe dispose d’un certain nombre de sites de vente en ligne, un par pays d’activité. Chacun de ces sites, bien que disposant d’une base technologique commune, présente des particularités liées à la langue et aux spécificités du pays ciblé. Ces sites reposent sur une architecture commune plus complexe que l’architecture standard de nombreux sites de vente en ligne (à savoir une architecture directe serveur PHP/base de données MySQL) et sur un moteur de eCommerce renommé, Hybris. Pour garantir la sécurité de ces sites, les équipes de développement de Nikon suivent les recommandations de nombreuses autorités en matière de sécurité, et notamment OWASP. Ceci souligne déjà les excellents efforts déployés par Nikon pour garantir la sécurité de ses sites, et par là-même de ses clients.

Cependant, de nouvelles failles sont documentées chaque mois. Une veille constante est importante. Les failles sont testées sur les plateformes et analysées. Il en résulte un plan d’action qui touche l’infrastructure, le code et les processus de déploiement.

Continue reading

Faille critique dans la plateforme e-commerce Magento

Magento est une plateforme e-commerce utilisée par plus de 200’000 sites de vente en ligne dans le monde, dont Ebay. La firme Sucuri informe que plus de la moitié des sites utilisant cette solution e-commerce, seraient vulnérables. Une faille, découverte récemment par la société Checkpoint, spécialisée dans la sécurité, a été qualifiée de critique.

Continue reading

Votre compte Gmail a-t-il été piraté ?

Environ 10 millions d’adresses e-mail et mots de passe ont été dernièrement été publiés sur le forum russe Bitcoin. Les comptes les plus touchés sont Gmail (environ 5 millions) ainsi que deux providers russes très populaires (Yandex et Mail.ru).

Notre partenaire, Acunetix a créé pour vous une application en ligne pour quiconque souhaite savoir si son compte fait partie de la liste publiée.

Pour accéder à l’application Acunetix : http://www.acunetix.com/pwdleak/index.php

La suite de l’article en anglais de notre partenaire ici.

Un autre article judicieux de notre collaborateur Stanley, c’est par là

Crunch – Générateur de mot de passe

Crunch est un programme en ligne de commande permettant de créer dictionnaires de mots de passe.

Il est parfois intéressant pour un administrateur réseau de tester la qualité des mots de passe utilisés, que ce soit pour un compte email, un partage de fichiers, des utilisateurs Windows ou un réseau wifi par exemple. Des programmes existent pour tester la résistance de ces différents mots de passe face à une attaque.

Or ces programmes s’appuient sur des dictionnaires que l’on peut trouver sur internet, mais également générer soit même plus finement avec un programme comme Crunch.

Lire l’article au complet : http://open-tech.ch/blog/2014/09/16/crunch-generateur-de-mot-de-passe/

Source : www.open-tech.ch

Application mobile pour le club Fifty-One

a développé une application mobile hybride pour le District 117 du Club Fifty-One. L’application, développée en utilisant l’EDI basé cloud AppBuilder (ex-Icenium), de Telerik, permet aux membres d’avoir un accès facilité aux données de contact des autres membres, de voir l’agenda des réunions et autres événements faisant la vie du club, et permet également aux secrétaires de gérer les listes des présences durant les événements. L’application est disponible sous Android et iOS, et sera prochainement disponible sur Windows Phone.

Continue reading