La revue de presse sécurité & cyber – Juin 2024
En matière de sécurité, il est essentiel de rester informé des dernières tendances et des incidents qui menacent systèmes et données. Comme chaque mois, nous voici de retour avec une sélection de news intéressantes au sujet de la sécurité et du cloud.
Nouveaux services AWS, bonnes pratiques sécurité, tendances des cyberattaques, et autres informations : pour être protégés, soyez bien informés !
La Une
Recall en sait trop… tellement que Microsoft préfère l’oublier
Recall, une fonctionnalité annoncée par Microsoft pour les PC Copilot+. Cette dernière permet aux utilisateurs de retrouver tout le contenu vu sur leur PC, répondre à des questions sur des fichiers difficiles à trouver, des e-mails et même l’historique de navigation.
Pour fonctionner, Recall prend des captures d’écran régulières des activités des utilisateurs et les stocke dans une base de données consultable par Copilot, le LLM intégré dans les nouveaux PC Copilot+.
Des professionnels de la sécurité ont souligné le risque que représente ce type de « logiciel espion » intégré. En effet, les captures d’écran se déclenchant de façon régulière et automatique, ces dernières peuvent contenir des informations sensibles telles que des mots de passe ou des numéros de compte.
Des chercheurs ont démontré les risques associés à cette nouvelle fonctionnalité de Microsoft en créant l’outil TotalRecallGithub. Ce dernier est capable d’extraire et d’afficher tout ce que Recall a stocké sur un appareil.
Voici une démonstration en vidéo de ce dont l’outil est capable (à partir de 6m55) :
TotalRecall a soulevé de réelles inquiétudes quant à la confidentialité des données des utilisateurs et à la facilité avec laquelle les données pourraient être dérobées par des attaquants.
Microsoft a finalement pris la décision de retarder le lancement de sa fonctionnalité controversée en passant d’une sortie générale pour les PC Copilot+ à une prévisualisation disponible via le programme Windows Insider. Cette décision a un peu entaché le lancement des tant attendus nouveaux PC Copilot+ le 18 juin, qui devait être le « moment M1 » de l’entreprise (en référence aux puces M1 d’Apple).
Sources :
- Microsoft Recall gets a total recall — so what’s the point of Copilot+ PCs again?
- Microsoft Recall snapshots can be easily grabbed with TotalRecall tool
- This Hacker Tool Extracts All the Data Collected by Windows’ New Recall AI
- Microsoft retarde la sortie de Recall après des problèmes de sécurité et demande l’aide des Windows Insiders
Coté AWS
Attaques de reconnaissance automatisées et tentatives de LLMjacking sur Amazon Bedrock
Des attaques automatisées ciblant des services AWS spécifiques (Secrets Manager, S3, S3 Glacier et IAM), ont été observées par Datadog. Cependant, aucune tentative d’exfiltration de données n’a été observée, les attaquants semblant s’être contentés de la phase d’énumération.
En revanche, Lacework a détecté une attaque similaire où cette fois l’attaquant a pris le contrôle de ressources Amazon Bedrock.
L’attaque a commencé par une reconnaissance automatisée (même procédé que pour l’attaque détectée par Datadog) suivie d’une escalade de privilèges. L’attaquant a ensuite accédé à la console AWS pour effectuer des appels aux API d’Amazon Bedrock.
Cette attaque rappelle la pratique du LLMjacking (rapportée récemment par Sysdig), dont l’objectif est de s’emparer de comptes cloud pour revendre des accès à des LLMs, faisant exploser la facture du propriétaire légitime.
Le vecteur d’attaque initial étant l’utilisation identifiants volés, ces attaques soulignent l’importance de la détection précoce des anomalies et de la rotation régulière des clés d’accès pour protéger les environnements cloud.
Protection contre les logiciels malveillants pour Amazon S3 avec Amazon GuardDuty
Amazon annonce la disponibilité générale de la protection contre le téléchargement de logiciels malveillants dans S3 avec Amazon GuardDuty.
GuardDuty utilise plusieurs moteurs de détection de logiciels malveillants pour analyser en continu les nouveaux objets ajoutés dans les buckets S3.
La fonctionnalité est disponible dans toutes les régions AWS où GuardDuty est présent, à l’exception de la Chine. Les tarifs sont basés sur le volume des objets scannés et le nombre d’objets évalués par mois.
AWS ajoute une authentification multi-facteur (MFA) avec Passkey
AWS renforce la sécurité des comptes AWS en ajoutant la possibilité d’utiliser des Passkeys pour l’authentification multi-facteur (MFA) des utilisateurs root et IAM.
Les Passkeys sont des clés cryptographiques générées sur l’appareil client lors de l’enregistrement à un service ou un site web. Cette méthode, plus sécurisée que les mots de passe, est liée à un domaine web spécifique.
Les utilisateurs peuvent activer les Passkeys dans la section IAM de la console AWS et bénéficier d’une expérience de connexion simplifiée et récupérable en cas de perte d’appareil.
Cet ajout s’intègre dans la démarche d’AWS qui consiste à imposer l’utilisation du MFA pour les utilisateurs root. Cette mesure devrait commencer par les comptes de gestion des organisations AWS, avec un déploiement progressif prévu dans les mois à venir.
Actus Cyber
Des clients Snowflake en dégel : une tempête de données s’échappe
Mandiant, l’entreprise de cybersécurité rachetée par Google Gloud, a identifié la campagne de vol de données et d’extorsion visant les instances de base de données des clients de Snowflake.
Les incidents ne seraient pas liés à une violation de l’environnement de l’entreprise Snowflake, mais à des identifiants clients compromis. En effet, les attaques auraient réussi principalement en raison de l’absence d’authentification à deux facteurs, de l’utilisation d’identifiants volés toujours valides et de l’absence de listes d’autorisation réseau pour limiter l’accès.
Mandiant et Snowflake ont notifié environ 165 organisations potentiellement exposées et mènent une enquête conjointe.
Suite à cette information, plusieurs sociétés se sont intéressées au sujet et des guides de Threat Hunting ont été publiés, notamment ceux de Mandiant et Datadog.
Sources :
- UNC5537 Targets Snowflake Customer Instances for Data Theft and Extortion
- Understanding the “Rapeflake” Attack: Lessons in Cybersecurity from the Snowflake Breach :
Injection CSS sur les profils GitHub
Une nouvelle vulnérabilité de type injection CSS a été découverte sur les profils GitHub, permettant aux utilisateurs de complètement modifier l’apparence des pages web.
Un ancien exploit utilisait la commande `\unicode` en mode mathématique LaTeX pour injecter des styles dans les profils GitHub. La plateforme avait réagi en bloquant la commande `\unicode`.
Mais les utilisateurs ont trouvé un moyen de contourner cette restriction en utilisant le codage des caractères HTML pour masquer la commande. Cette nouvelle méthode permet d’exécuter la commande `\unicode` avec des propriétés CSS spécifiées, malgré le filtre de GitHub. La plateforme a décidé de restreindre l’utilisation de la commande `\unicode`.
Même si ce genre de vulnérabilités peut être sérieuse, les utilisateurs de GitHub s’en sont donné à cœur joie. Voici quelques exemples :
- https://x.com/kuromimoder/status/1799166965417984273
- https://x.com/gf_256/status/1799197013629645101
- https://x.com/yacineMTB/status/1799232037691564432
Sources :
- CSS Injection on GitHub: What Happened and How to Stay Safe
- CSS Injection on GitHub Profiles: From Unicode Exploits to New Bypass Techniques
Un groupe de jailbrakers sort le Rabbit R1 de son terrier
Le 16 mai 2024, le groupe de jailbreakers Rabbitude aurait eu accès à la codebase de Rabbit (la société derrière le Rabbit R1), et aurait découvert des clés API critiques codées en dur.
Ces clés permettant d’accéder à toutes les réponses données par chaque R1, y compris celles contenant des informations personnelles. Ces clés permettent également de bloquer tous les R1, de modifier leurs réponses, de remplacer leur voix, et bien plus encore. Les services concernés incluent ElevenLabs, Azure, Yelp et Google Maps.
Malgré le fait que l’équipe de Rabbit ait été au courant de cette fuite, elle aurait décidé d’ignorer le problème, poussant le groupe Rabbitude à publier leur article.
La société a répondu en indiquant qu’elle enquêtait sur l’incident, mais n’avait pas encore constaté de compromission de ses systèmes critiques ou des données des clients.
Cette nouvelle vient s’ajouter aux problèmes déjà rencontrés par le Rabbit R1 depuis son lancement, compromettant davantage la confiance du public.
Sources :
- rabbit data breach: all r1 responses ever given can be downloaded
- A group of R1 jailbreakers found a massive security flaw in Rabbit’s code
- Rabbit R1 : l’IA de poche est une catastrophe pour votre cybersécurité
Jackpot pour EU ATM Malware
L’Europe est actuellement confrontée à un redoutable malware nommé EU ATM Malware. Ce logiciel malveillant, développé par des cybercriminels expérimentés, permet aux pirates de vider les réserves de billets des distributeurs. Il vise spécifiquement les guichets automatiques en Europe et aurait déjà infiltré près de 60% de ces derniers (avec un taux de réussite impressionnant de 99%).
Le malware se distingue par son modèle économique basé sur un abonnement mensuel, offrant aux cybercriminels la possibilité de louer cet outil de piratage en échange de frais récurrents. Ce système de malware-as-a-service est de plus en plus répandu, rendant ces logiciels malveillants performants accessibles à un plus large public.
Ransomware ShrinkLocker utilise BitLocker pour chiffrer Windows
Le ransomware ShrinkLocker exploite BitLocker pour chiffrer les données des machines Windows, ciblant notamment des organisations médicales, industrielles et gouvernementales.
Ce ransomware utilise VBScript, WMI et diskpart pour effectuer ses attaques, modifiant le Registre Windows pour désactiver les connexions Bureau à distance et activer BitLocker sans TPM. Une fois infectée, la machine se retrouve avec des disques verrouillés et aucune option de récupération BitLocker. Les cybercriminels reçoivent la clé BitLocker générée, et le ransomware efface ses traces en supprimant des données sans laisser de note de rançon.
Un tribunal français ordonne le blocage DNS de sites de streaming sportif illégaux
Après avoir imposé aux opérateurs Orange, SFR, Bouygues Telecom et Free le blocage DNS de sites de streaming diffusant du contenu sportif dont les droits appartiennent à Canal+, le tribunal judiciaire de Paris a ordonné à Google, Cloudflare et Cisco de bloquer ces mêmes domaines en modifiant leurs résolveurs DNS.
Malgré les arguments des fournisseurs DNS sur la non-couverture légale de leurs services, le tribunal a rejeté ces arguments.
Cette action fait partie des efforts de Canal+ pour lutter contre le streaming illégal et protéger ses droits de diffusion en exploitant pleinement l’article L333-10 du Code du sport français. Cependant, cette mesure soulève des questions sur l’efficacité du blocage DNS et les prochaines étapes que Canal+ pourrait demander.
Suite la décision de justice, le service OpenDNS, appartenant à Cisco, a pris la décision de tout simplement arrêter son service en France et au Portugal (où une décision de justice similaire a été prononcée).
Sources :
- Un tribunal français ordonne à Google, Cloudflare et Cisco d’empoisonner leurs résolveurs DNS afin d’empêcher le contournement des mesures de blocage
- OpenDNS : le résolveur DNS n’est plus disponible en France
Interdiction de Kaspersky aux États-Unis
Le département américain du Commerce a récemment interdit l’utilisation de l’antivirus russe Kaspersky sur leur territoire, invoquant des préoccupations en matière de sécurité nationale et des liens supposés avec le Kremlin. Cette décision impacte la vente de logiciels et les mises à jour de Kaspersky aux États-Unis, ainsi que les services fournis à des entités américaines dans le monde.
Malgré les démentis de la société russe, les autorités américaines craignent une utilisation des outils de Kaspersky pour des opérations d’espionnage. Un délai jusqu’au 29 septembre 2024 est accordé pour une transition « en douceur ».
Cette interdiction souligne les tensions croissantes en matière de cybersécurité entre Washington et Moscou.
Sources :
- L’antivirus russe Kaspersky est désormais interdit aux États-Unis
- US bans Kaspersky antivirus over security concerns tied to Russia, effective July 20
- L’interdiction de Kaspersky aux États-Unis : nouvelle étape dans la guerre de la cybersécurité
Calendrier des événements Cyber en France
LeHack
20ème édition de l’événement emblématique leHack. Au programme de nombreuses activités : conférences, OSINT village, workshops, CTF, car hacking et le jeu Qui Veut Gagner des Bitcoins !
- Catégorie : Salon, Conférences, Workshops et CTF
- Date : 5 et 6 juillet 2024
- Lieu : Cité des Sciences et de l’Industrie, Paris
- Site web : https://lehack.org
Pass the SALT
Pass the SALT est une conférence gratuite dédiée aux logiciels libres et à la cybersécurité. Cette édition accueillera 21 présentations et 9 workshops.
- Catégorie : Conférences et Workshops
- Date : 5 et 6 juillet 2024
- Lieu : Locaux de l’école Polytech, Lille
- Site web : https://2024.pass-the-salt.org
Barbhack
Barbhack c’est « la conférence de hacking la plus au sud ». Le programme est simple : conférence, workshop, barbecue le soir et CTF toute la nuit.
- Catégorie : Conférences, Workshops et CTF
- Date : 31 août 2024
- Lieu : Palais des Congrès Neptune, Toulon
- Site web : https://www.barbhack.fr/