Appels téléphoniques frauduleux aux PME en lien avec le cheval de Troie bancaire “Retefe”

Depuis début février 2016, la Centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI et le service de coordination de la lutte contre la criminalité sur Internet SCOCI observent une augmentation des messages concernant des appels téléphoniques frauduleux. Ces appels ont pour but de préparer une fraude eBanking.

Lire l’article en entier sur le site de MELANI

 

Testez la fiabilité de vos collaborateurs avec notre outil  plus d’info sur swissphishing.ch

De nouvelles failles critiques sur Magento laissent des millions de site e-commerce vulnérables

Traduit de l’anglais par MS

Article original ici

Si vous utilisez Magento pour votre site e-commerce, il est grand temps de mettre à jour votre CMS.

Des millions d’entreprises vendant en ligne risquent des attaques de piratage à cause d’une vulnérabilité de type XSS dans la plus populaire des plateformes e-commerce détenue par eBay.

 

Pourquoi ces bugs sont si sérieux ?

Virtuellement, toutes  les versions de Magento Community Edition 1.9.2.2 ainsi que les précédentes, de même que les versions Enterprise Edition 1.14.2.2 et antérieures, sont vulnérable à des failles XSS.

Ces failles XSS sont terribles car elles permettent au attaquants de :

  • de prendre effectivement le contrôle d’un site fait avec Magento
  • augmenter les privilèges
  • voler des données des cartes de crédit
  • contrôler le site internet via un compte administrateur

Toutefois, la bonne nouvelle est que ces vulnérabilités sont déjà patchées et que la mise à jour a été rendue publique après que la firme de sécurité Sucuri l’ait découverte et reportée en grand secret à la société.

Une faille facile à exploiter

La vulnérabilité XSS est assez aisée à exploiter. Tout ce que les attaquants ont besoin d’ajouter est un code Javascript malicieux dans le champs du formulaire d’enregistrement du client.

Magento lit et exécute cet e-mail contenant le codage frauduleux dans le compte administrateur, permettant alors à l’attaquant de voler la session administrateur et de prendre le contrôle le serveur utilisant Magento.

La société de sécurité Sucuri décrivant le bug comme une des pires failles.

 

Faite la mise à jour dès aujourd’hui !

A titre de prévention de l’exploitation de cette failles, les webmasters sont priés d’appliquer le dernier patch bundle dès que possible.

Bien que le dernier patch résolvait la question pour Magento de la version 1.14.1 et 1.9.1 et précédentes, les problèmes impliquant les versions 1.14.2.3 et 1.9.2.3 ont été déjà réparés.

Avec Alexa, plus d’un million de sites e-commerce et plus de 10 million de sites internet utilisant le célèbre CMS, Magento est devenu une cible privilégiée des hackers actuellement.

Patchez vos sites et restez en sécurité !

Tutoriel : éviter les envois à Microsoft avec Windows 10

La sortie de Windows 10, cet été, a fait naître des inquiétudes : le dernier OS de Microsoft étant équipé de nouveaux systèmes de télémétrie, certains utilisateurs ont pu se sentir un peu trop espionnés. Les médias n’ont pas hésité à se faire l’écho de ces craintes, parfois abondamment, ce qui a pu les amplifier.

Microsoft a depuis voulu calmer le jeu. L’éditeur offre désormais la possibilité de gérer des paramétrages qui permettent de choisir les informations qui seront partagées. Voici comment limiter au maximum la télémétrie sur Windows 10, licence Famille, Pro ou Entreprise.

Lire l’article du JDN en entier ici

Faille critique dans les routeurs NETGEAR

De mutiples routeurs NETGEAR sont vulnérable à un contournement d’authentification. L’exploitation de la faille ne nécessite aucune configuration particulière et l’accès intégral à l’administration peut se faire sans avoir à soumettre aucun nom d’utilisateur ou mot de passe. Il suffit d’accéder plusieurs fois à une URL particulière pour exploiter la faille et accéder à l’interface d’administration.

Les routeurs NETGEAR WNR1000v4 avec les firmwares N300_1.1.0.31_1.0.1.img et N300-1.1.0.28_1.0.1.img sont affectés, ainsi que d’autres modèles utilisant ces deux firmwares. D’autres produits pourraient être vulnérable étant donné que les firmwares incriminés sont utilisés sur de multiples appareils.

Cette faille critique permet notamment à un attaquant de contourner le mécanisme d’authentification et de changer les paramètres DNS (Domain Name System) afin de rediriger la victime vers des adresses IP malicieuses.

Une preuve de concept est disponible :
L’attaquant peut exploiter ces problèmes en utilisant un simple navigateur ou en utilisant un script.

  1. Lorsqu’un utilisateur tente d’accéder à l’interface d’administration, une authentification HTTP Basic est initialisée
  2. Si l’utilisateur entre un mauvaise couple nom d’utilisateur/mot de passe, il est redirigé vers le fichier 401_access_denied.html
  3. Un attaquant accède plusieurs fois à la page http:///BRS_netgear_success.html
  4. Il peut désormais accéder à l’interface d’administration sans avoir à entrer un nom d’utilisateur et mot de passe

Voir plus de détails: http://www.csnc.ch/misc/files/advisories/CSNC-2015-007_Netgear_WNR1000v4_AuthBypass.txt

Adobe Flash mise à jour critique

Une nouvelle faille critique circulant sur le web a été découverte dans le plugin Adobe Flash Player affectant toutes les versions (CVE-2015-7645).

Une mise à jour est sortie, il est fortement recommandé de l’installer immédiatement.

Liens

https://helpx.adobe.com/security/products/flash-player/apsa15-05.html
http://blog.trendmicro.com/trendlabs-security-intelligence/new-adobe-flash-zero-day-used-in-pawn-storm-campaign/
http://www.theregister.co.uk/2015/10/16/adobe_pushes_out_critical_flash_patch_faster_than_expected/?mt=1445239969546

Magento : des sites non patchés infectés par le kit d’exploits Neutrino

Une nouvelle vague d’infection par exploit kits cible actuellement la plateforme Magento appartenant à eBay. Apparemment, il ne s’agit pas d’une nouvelle vulnérabilité mais d’une faille connue, Shoplift Bug, qui permet aux pirates d’installer un exploit kit comme Angler, Nuclear ou Neutrino.

Une fois inséré dans le site via à une iframe, le kit d’exploits va tâcher de répérer des vulnérabilités connues, notamment dans le plugin Flash Player d’Adobe, dans le navigateur ou dans le système d’exploitation, afin d’infecter l’ordinateur de la victime. Les machines compromises servent à récupérer des données bancaires et prennent part à un large réseau d’ordinateurs zombies (botnet).

Pour vous prémunir contre une telle attaque, il est important d’appliquer les mises-à-jour immédiatement. Un patch visant à combler cette faille est disponible sur le site de magento: http://magento.com/security/patches/supee-5344-%E2%80%93-shoplift-bug-patch. Un outil est également mis à disposition pour tester l’existence de la vulnérabilité.

Liens

http://magento.com/security-patch
http://www.computerworld.com/article/2995598/security/magenta-compromised-sites-havent-patched-older-flaws.html#tk.rss_security
http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=26543
http://www.avgthreatlabs.com/ww-en/virus-and-malware-information/info/neutrino-exploit-kit/

Les électriciens suisses craignent les cyberattaques

Mis à jour le 09.07.2015 / Le Matin.ch
Cybersécurité

Les entreprises électriques suisses se préparent depuis plusieurs semaines à d’éventuelles attaques informatiques, qui pourraient entrainer un black-out dans le pays.

Une analyse des risques réalisée par l’Office fédéral de la protection de la population (OFPP) a démontré qu’un «black-out» du réseau électrique helvétique figure au rang des scénarios redoutés.

Une attaque informatique ciblée sur une entreprise électrique suisse pourrait dans certaines circonstances entraîner un «black-out» dans l’ensemble du pays.

Prenant la menace très au sérieux, fournisseurs d’énergie et autorités se préparent.

Ces dernières semaines, les quelque 700 entreprises distribuant et fournissant du courant en Suisse se sont informées auprès d’un expert de la Centrale d’enregistrement et d’analyse pour la sûreté de l’information (MELANI) de la Confédération quant aux risques informatiques. En tant qu’infrastructure de premier plan, le réseau électrique peut représenter une cible de choix pour les cybercriminels.Continue reading

Des milliers de sites suisses vulnérables

Internet a grandi très rapidement durant ces 15 dernières années. Des milliers de nouveaux sites web sont mis en ligne chaque jour.

Selon Netcraft, il y aurait actuellement plus de 850’000’000 sites web actifs sur Internet (Mai 2015). Une des raisons expliquant cet accroissement soudain est l’utilisation de CMS (Content management system), comme par exemple WordPress, Typo3, Joomla et Drupal.

En utilisant un CMS, vous pouvez publier aisément du contenu sur internet sans aucune connaissance IT. De plus, vous avez un vaste choix de plugin disponibles afin de personnaliser à l’envi votre site web. C’est grâce à cette facilité d’usage que les CMS sont utilisés aussi bien par les PME, que par les web-masters amateurs désirant également un site internet, pour leur club de sport, par exemple.

Bien que ces CMS soient de très bons outils, ils sont devenus les cibles privilégiées des hackers. En avril 2015, GovCert.ch a twitté à propos d’une vulnérabilité dans WordPress. En effet, une personne malveillante pouvait exécuter une attaque de type XSS (Cross-Site Scripting), contre tous sites web utilisant cette version de WordPress vulnérable, en postant simplement un commentaire contenant du Java-Script malicieux (CVE-2015-3440). Durant cette même journée où cette vulnérabilité a été rendue publique, WordPress publiait la mise à jour de sécurité WP 4.2.1 pour réparer cette faille.

Malheureusement, cette réparation n’a pas tenu long. Le 6 mai 2015, une autre vulnérabilité (CVE-2015-3429) a été rendue publique. Cette dernière, de type XSS également, concerne à nouveau les sites WordPress. Selon Sucuri, la vulnérabilité a déjà été exploitée avant que WordPress ait été capable de publier son update de sécurité. Cette même faille existe également avec le plugin Jetpack dont plus d’un million d’installations actives. Cette vulnérabilité a été révélée le 6 mai 2015. WordPress a réagi en publiant un patch de sécurité le 7 mai 2015. Actuellement, un mois plus tard, des milliers de sites internet ne sont toujours pas mis à et jour et ce ce fait, sont toujours vulnérables.

Selon nic.ch, le nombre de noms de domaine enregistrés en Suisse (.ch) s’élève à 1’939’115 à la fin mars 2015. 124’000 d’entre eux sont des sites WordPress. En vérifiant la version WP de ces sites web, on s’aperçoit que plus de 70% de tous les sites .ch ont une version antérieur de WP et sont de ce fait, très vulnérables aux attaques décrites ci-dessus.

 

vulnerable_wordpress_sites_ch Nombre sites .ch vulnérables VS non-vulnérables utilisant WP

Après avoir enlevé la vulnérabilité CVE (CVE-2015-3440 – Stored XSS vulnerability sous WP, CVE-2015-3429 – XSS vulnerability sous WP et JetPack), la situation se présente ainsi :

 

cve_wp_ch Nombre de failles CVE sur les sites .ch utilisant WordPress

Ces statistiques sont basées sur la version de WordPress utilisée. D’autres investigations seront nécessaires pour déterminer si ces sites internet sont vulnérables ou non (où si ils sont, par exemple, protégés par un firewall applicatif web qui pourrait bloquer ce type d’attaques).

Cependant, le danger est bien réel, puisqu’ils utilisent une version ancienne de WordPress, connue pour être vulnérable à ces attaques.

Si l’on se réfère aux rapports GovCERT.ch reçu des partenaires de la Confédérations, on peut dire que plus de 5’000 sites internet sont confirmés vulnérables à la faille CVE-2015-3440. C’est environ 5 fois plus que le nombre d’installations vulnérables utilisant Magento en Suisse, annoncé par la Confédération en avril 2015. Aujourd’hui, GovCert.ch a commencé le processus de notification en contactant les principaux hébergeurs de ces sites, les informant des risques potentiels liés à l’utilisation d’une version de WordPress obsolète et vulnérable.

Malheureusement, nous croyons que ceci ne serait que la pointe de l’iceberg. Comme mentionné plus haut dans cet article, il y a de nombreux autres CMS que WordPress où il semblerait que là non plus, la situation de soit pas enviable également.

Mais la question que l’on se pose est : pourquoi y-a-t’il tellement de sites internet utilisant une version ancienne d’un CMS ? Une explication pourrait être que les CMS soient victimes de leur propre succès car ils permettent facilement à quiconque de publier son site sur internet, même les personnes n’ayant que très peu de connaissances en IT. Ces personnes ne savent pas qu’elles doivent protéger leur CMS comme elles devraient également le faire avec leur ordinateur. Comme une voiture a besoin de services réguliers, vous devriez vérifier si le CMS que vous utilisez est à jour et protégé.

Aussi, si vous utilisez un système CMS comme WordPress, Typo3, Joomla ou Drupal, nous vous recommandons vivement de vérifier si leur version est la plus récente. Plus de conseils et mesures de sécurité pour votre CMS peuvent également se trouver sur le site web de MELANI

Mesures de prévention pour les systèmes de gestion de contenu
http://www.melani.admin.ch/dienstleistungen/00132/01556/index.html?lang=fr

Article traduit par Avansis.

Retrouvez l’article dans la version originale ici : http://www.govcert.admin.ch/blog/8/outdate-wordpress-thousands-of-websites-in-switzerland-are-vulnerable