Temps de lecture : 8 minutes

En matière de sécurité, il est essentiel de rester informé des dernières tendances et des incidents qui menacent systèmes et données. Comme chaque mois, nous voici de retour avec une sélection de news intéressantes au sujet de la sécurité et du cloud. Nouveaux services AWS, bonnes pratiques sécurité, tendances des cyberattaques, et autres informations : pour être protégés, soyez bien informés ! 

La une

Backdoor et Social Engineering Takeovers avec xz-utils

Le 28 mars 2024, une backdoor a été découverte dans le populaire paquet de compression `xz-utils`. Cette vulnérabilité s’est vue attribuer la CVE-2024-309 et le score CVSS maximal de 10 sur 10.

En effet, le code malveillant introduit dans xz consistait en l’injection de code dans le binaire `sshd`, qui permettait à l’attaquant, soit d’exécuter des commandes arbitraires sur la machine cible, soit de s’y connecter en contournant le mécanisme d’authentification.

A noter que cette backdoor n’était utilisable que par l’acteur malveillant l’ayant introduit car elle nécessite la connaissance d’une clé privée.

Les versions de `xz-utils` impactées sont les versions `5.6.0` et `5.6.1`. Ces dernières ont été incluses pendant plusieurs jours dans certaines distributions Linux comme les versions en développement de Fedora, Debian et OpenSuse mais aussi des distributions en “rolling release” comme Arch et Kali.

La backdoor a été identifiée le 28 mars 2024 par Andres Freund, développeur Postgres travaillant chez Microsoft. Ce dernier n’était pas à la recherche d’une vulnérabilité, mais enquêtait plutôt sur un problème de latence de 500 ms introduit après une mise à jour logicielle. Le développeur a ainsi pu remonter le problème jusqu’au package xz et finalement identifier la porte dérobée.

Source

Sans le signalement d’Andres Freund, cette backdoor aurait pu devenir l’un des moyens d’intrusion les plus importants jamais découverts.

Depuis la découverte de cette vulnérabilité, l’industrie et la communauté ont produit plusieurs analyses. Nous avons désormais une meilleure compréhension de la façon dont l’attaque s’est déroulée et de son impact avec notamment la timeline des discussions qui retrace comment l’individu ayant introduit le code malveillant est devenu un contributeur de confiance au développement de zx-utils.

L’attaque a attiré une couverture médiatique importante car étant largement considérée comme une opération sophistiquée : obfuscation du code malveillant, utilisation d’une clé privée afin que seul l’attaquant puisse utiliser la backdoor sur plusieurs années, préparation sur plusieurs années afin de devenir un contributeur de confiance.

L’Open Source Security Foundation (OpenSSF) et l’OpenJS Foundation ont récemment émis une alerte concernant ce type d’attaque où un individu malveillant tente de contribuer et/ou de prendre le contrôle d’un projet open source.

Ces attaques intitulées Social Engineering Takeovers sont difficiles à détecter et à contrer, car l’attaquant exploite la relation de confiance qu’il a réussi à instaurer avec les mainteneurs et la communauté.

Sources :

• CVE-2024-3094 XZ Backdoor: All you need to know
• XZ backdoor story – Initial analysis
• XZ Utils Backdoor — Everything You Need to Know, and What You Can Do
• The XZ Utils backdoor (CVE-2024-3094): Everything you need to know, and more
• xz-utils backdoor: how to get started

Coté AWS

Une API non documentée d’Amplify permettant la récupération arbitraire d’account IDs

Le 27 mars 2023, Nick Frichette a révélé dans son article de blog la découverte d’une API non documentée du service Amplify. Cette API, nommée `amplify:GetDistributionDetails`, avait la particularité de permettre de récupérer de façon arbitraire l’identifiant du compte AWS associé à une application Amplify. 

Après que le chercheur ait signalé ce comportement à AWS, l’équipe de sécurité a répondu que cela ne constituait pas un problème de sécurité. Cependant, trois jours plus tard, l’API à été désactivée. 

L’article décrit en détails la découverte de cette API, ses implications potentielles en matière de sécurité et la réponse d’AWS.

LeakyCLI bug ou feature ? 

Les chercheurs en sécurité d’Orca informent que les outils en ligne de commande (CLI) des cloud providers peuvent exposer des identifiants sensibles lorsqu’ils sont utilisés dans des outils de CI/CD. 

En effet, le comportement, baptisé **LeakyCLI** par Orca, désigne la façon dont les commandes CLI peuvent afficher les configurations et donc les variables d’environnement de certaines ressources. Lorsque ces commandes sont utilisées dans des outils de CI/CD, ces informations peuvent se retrouver dans les journaux d’exécution de ces derniers. Ainsi, Orca aurait découvert plus de mille projets ayant divulgué involontairement des secrets via ce comportement sur GitHub Actions, Circle CI et Travis CI. 

Microsoft a corrigé ce comportement dans des mises à jour de sécurité de novembre 2023. 

Cependant, contrairement à Microsoft, Amazon et Google considèrent cela comme un comportement normal. Ces derniers rappellent plutôt qu’il est recommandé de ne pas stocker d’informations sensibles dans les variables d’environnement, mais plutôt d’utiliser un service de stockage de secrets dédié comme AWS Secrets Manager.

Sources :

• LeakyCLI: AWS and Google Cloud Command-Line Tools Can Expose Sensitive Credentials in Build Logs
• AWS, Google, and Azure CLI Tools Could Leak Credentials in Build Logs

Nouveautés pour KMS

AWS Key Management Service a introduit récemment de nouvelles options pour la configuration de la rotation automatique des clés symétriques. 

Cette annonce inclut la possibilité de configurer les périodes de rotation (de 90 à 2560 jours), la possibilité de faire une rotation à la demande, des améliorations de visibilité sur les évènements de rotation des clés, et une nouvelle limite sur le prix de toutes les clés symétriques ayant subi deux rotations ou plus. 

L’article explore également l’évolution de la rotation des clés cryptographiques symétriques, depuis les temps anciens de Jules César.

Vulnérabilité dans STS

Lors du développement de leur produit, l’entreprise Stedi a découvert une vulnérabilité dans le service AWS Security Token Service (STS).

Cette vulnérabilité aurait permis aux utilisateurs de leur produit d’obtenir un accès non autorisé au compte admin de Stedi en raison d’une évaluation incorrecte des déclarations de Trust Policies. 

Après avoir été alerté AWS, a corrigé le problème et informé les utilisateurs affectés.

Actus Cyber

L’ANSSI publie un guide sur la sécurité des systèmes d’IA générative

L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) a récemment publié un guide sur la sécurité des systèmes d’IA générative.

Ce guide fournit une définition de ce qu’est l’IA générative et définit des mesures de sécurité spécifiques pour chaque phase du cycle de vie (entraînement, déploiement, production). Il aborde également des scénarios d’attaques potentiels sur les systèmes d’IA générative. Pour en savoir plus, le guide est disponible sur le site de l’ANSSI.

À quoi s’attendre pendant les JO ?

Les éditions précédentes des Jeux Olympiques ont été marquées par une série croissante de cyberattaques, allant de la création de faux sites web à des attaques sophistiquées comme « Olympic Destroyer ». Ces incidents ont non seulement perturbé les événements eux-mêmes, mais ont aussi entraîné des répercussions plus larges, telles que des pertes financières et une dégradation de l’image internationale de l’organisateur. 

Les Jeux Olympiques de Paris 2024 susciteront, sans aucun doute, l’intérêt des cyberattaquants. Dans son article, la société iTrust explique l’évolution des cyberattaques ciblant les JO ainsi que la stratégie de défense mise en place pour cette édition 2024.

L’Allemagne attribue des attaques à un groupe qui serait lié à l’État Russe et convoque un haut diplomate

L’Allemagne a convoqué un haut diplomate russe suite à une série de cyberattaques visant les membres du parti au pouvoir (les Sociaux-Démocrates), ainsi que des entreprises des secteurs de la défense et de la technologie. 

Ces attaques, survenues en 2023 suite à la décision de l’Allemagne de livrer des chars Loepold 2 à l’Ukraine, ont été attribuées à APT28 (Advanced Persistent Threat). D’après la ministre allemande des Affaires étrangères, Annalena Baerbock, ce groupe serait lié au renseignement militaire russe.

La sécurisation des supply chain logicielles, une perte de temps ?

JFrog a révélé dans son rapport annuel sur les softwares supply chains (chaînes d’approvisionnement logiciel en bon français) que les équipes informatiques passent beaucoup de temps pour se protéger de vulnérabilités qui ne les concernent pas vraiment. 

Le rapport met en évidence plusieurs points qui peuvent nuire à la productivité : les CVEs peuvent être trompeuses (la sévérité est mise en avant mais pas la probabilité d’exploitation), les attaques DDoS sont prédominantes, la sécurité impacte la productivité, les outils de sécurité se multiplient et les contrôles de sécurité manquent de cohérence dans le cycle de développement des logiciels. 

BlueHats, un prix pour récompenser les mainteneur de logiciel open sources

Simon Kelley mainteneur du projet dnsmasq a remporté le premier prix BlueHats, une initiative de la Direction interministérielle du numérique qui vise à mettre en lumière et à récompenser les mainteneurs de logiciels libres critiques. 

dnsmasq est une solution légère permettant la fourniture d’adressage réseau pour les petits réseaux, incluant DNS, DHCP et annonces de routeur. dnsmasq est ainsi largement utilisé dans les routeurs domestiques, les appareils de l’IoT et est inclus dans le système d’exploitation mobile Android. 

Quelle est la valeur de vos données ?

Selon l’analyse de la société Proton, les données générées par un individu aux États-Unis ont rapporté plus de 600 $ en revenus rien qu’à Facebook et Google l’année dernière. 

Ces chiffres révèlent l’importance économique des données pour les grandes entreprises technologiques, qui les exploitent sans consentement pour maximiser leurs profits, ignorant souvent les lois sur la confidentialité en vigueur. Ces données peuvent également être exposées lors de fuites de données, accentuant ainsi les risques pour la vie privée des utilisateurs.

Calendrier des événements Cyber en France

Sthack

Sthack est un événement qui propose une journée de conférences et un CTF en équipe jusqu’à 5 membres. Les catégories annoncées sont : web, network forensic, reverse engineering, stéganographie et software exploitation.

• Catégorie : Conférences et Capture The Flag
• Date : 24 mai 2024
• Lieu : Bordeaux
• Site web : https://www.sthack.fr/ 

NOPSctf

Le NOPSctf est le Capture The Flag organisé par NOPS, l’équipe CTF de l’Eurecom. Les catégories annoncées sont : web, cryptographie, misc, IA et plus.

• Catégorie : Capture The Flag
• Date : 1er juin 2024
• Lieu : En ligne
• Site web : https://www.nops.re/index.html 

ESAIP Hack Challenge

L’ESAIP Hack Challenge est un CTF en équipe jusqu’à quatre participants ouvert à tous (étudiant et professionnels). Les catégories annoncées sont : osint, web, pwn, reverse, forensics, misc, network, crypto, programmation, stéganographie.

• Catégorie : Capture The Flag
• Date : La nuit du vendredi 7 au 8 juin 2024 de 21h à 8h du matin
• Lieu : Présentiel aux campus de l’ESAIP d’Angers et d’Aix-en-Provence
• Site web : https://ctf-new.esaip.org/ 

LeHack

20ème édition de l’événement emblématique leHack. Le programme n’est pas encore annoncé mais on peut s’attendre à de nombreuses activités : conférences, workshops, CTF, etc … 

• Catégorie : Salon, Conférences, Workshops et CTF
• Date : 5 et 6 juillet 2024
• Lieu : Cité des Sciences et de l’Industrie à Paris
• Site web : https://lehack.org/ 

Pass the SALT

Pass the SALT est une conférence gratuite dédiée aux logiciels libres et à la cybersécurité. Cette édition accueillera 21 présentations et 9 workshops.

• Catégorie : Conférences et Workshops
• Date : 5 et 6 juillet 2024
• Lieu : Locaux de l’école Polytech à Lille
• Site web : https://2024.pass-the-salt.org/