Il est paru malgré la pandémie, l'annulation de tous les événements professionnels et la désorganisation des services postaux. Alors tout le monde va en profiter ! Nous vous proposons l'édition PDF complète de ce numéro un à découvrir, à lire, à faire connaître et à commenter afin de préparer un numéro deux qui réponde si possible encore mieux à vos attentes.

L’outil de vidéoconférence connaît un boom de fréquentations, qui s’accompagne de la découverte de nombreuses failles de sécurité et autres abus en termes de données personnelles. Si Zoom s’active pour résoudre ces différents problèmes, il est néanmoins possible de prendre les devants afin de sécuriser ses réunions. 

Avec l’épidémie et les mesures de confinement obligeant de nombreuses entreprises à recourir au télétravail, les solutions de vidéoconférence sont massivement utilisées et Zoom semble le fer de lance de cette tendance. Malheureusement (ou non), qui dit pic d’utilisation dit intérêt accru des hackers, bons ou mauvais. Zoom n’y a pas échappé et de nombreuses failles ont été découvertes dans sa sécurité et dans ses pratiques de confidentialité ces dernières semaines. 

Zoom rectifie le tir

Entre le partage de données de l’application iOS, non mentionné dans les règles de confidentialité, avec Facebook, la possibilité de consulter les informations du profil LinkedIn des participants à une réunion, pour les administrateurs de les fliquer, d’envahir une réunion (ou Zoombombing), les vidéos enregistrées accessibles librement en ligne, une vulnérabilité sur Windows, un comportement de malwares sur MacOS... Zoom a fort à faire pour corriger sa trajectoire et force est de constater que, malgré les révélations hebdomadaires, l’entreprise s’efforce de combler les failles. 

Ainsi, le 9 avril, Zoom a déployé une mise à jour visant à renforcer la sécurité de la plateforme, avec la bien nommée Security, une fonctionnalité permettant de réduire les risques de Zoombombing. Celle-ci permet d’accéder plus aisément lors d’une réunion à des fonctions de sécurité telles que le verrouillage de la réunion, l’activation de la salle d’attente, la suppression de participants et d’autres options permettant de limiter l’interaction de ces derniers (chat, partage écrans, annotations...). S’y ajoute le masquage des identifiants de meeting, très attendue, l’application desktop n’affichant désormais plus l’ID, l'identifiant de la réunion, dans la barre de titre de l'application de sorte à éviter les fuites accidentelles. Parmi les autres mesures, qui concernent les comptes Basic et Pro sous licence unique gratuite, la salle d’attente est maintenant activées par défaut, de même que les mots de passe pour les réunions. 

Des barrières supplémentaires

Des mesures saluées par les experts en sécurité, qui ne nient pas la responsabilité de Zoom dans les très nombreuses failles tout en reconnaissant les efforts de l’entreprise. « L'utilisation massive de cette application a permis de mettre en lumière des failles, peut-on parler de bug bounty malgré eux ? » s’interroge non sans une pointe d’humour Benoît Grunemwald, expert en cybersécurité pour ESET France. Il soulève en outre que, pour mieux protéger les réunions, mots de passe et/ou contrôle des participants par le biais de la salle d’attente s’imposent, ainsi que la limitation du partage d’écran de l’administrateur. Il recommande aussi d’éviter de partager des liens ou des identifiants de réunion sur les médias sociaux, mais aussi de préférer les seconds lors de l’invitation de participants, de sorte à atténuer les risques liés à la recrudescence de domaines malveillants exploitant la marque Zoom. 

Du côté de CyberReason, Sam Curry rappelle que les risques pesant sur les réunions sont « plutôt faciles à éviter par de simples changements des paramètres d'utilisation ». Le responsable de la sécurité chez l’éditeur conseille lui aussi de sécuriser les réunions des mots de passe, et par ailleurs de n’autoriser dans les réunions que les utilisateurs authentifiés tout en exigeant le chiffrement des terminaux tiers. Autant de réglages disponibles dans la section Paramètres avancées des clients Zoom. 

Le 1er avril, une partie du trafic de quelques-uns des plus grands CDN et fournisseurs de cloud a été reroutée par la Russie. Un détournement BGP dont s'est rendu coupable l'opérateur national Rostelecom, dont on ne sait s'il a été intentionnel ou accidentel.

Google, Amazon, Facebook, Akamai, CloudFlare, GoDaddy, Digital Ocean… tous ont vu leur trafic détourné mercredi dernier. En cause, une technique bien connue sur le backbone Internet : le détournement BGP, pour Border Gateway Protocol. Ce système de routage basé sur TCP a ses mérites, notamment en termes de décentralisation, mais n'est plus tout jeune, ni très robuste. D'où de multiples détournements, parfois intentionnels, parfois accidentels.

Et dès lors que le pirate du routage est Chinois ou Russe, le détournement fait les gros titres. China Telecom s'en est fait une spécialité, mais l'opérateur télécom national russe, Rostelecom, n'est pas en reste. En 2017, il détournait ainsi le trafic de Visa, MasterCard et d'autres géants de la finance. Il a rempilé le 1er avril, à grande échelle cette fois-ci. L'incident a concerné, pendant une heure, près de 8000 préfixes, pour quelque 200 opérateurs de Cloud et de CDN.

Une mauvaise blague

BGPmon explique avoir détecté le détournement peu après 19h UTC mercredi 1er avril. Détourner le trafic n'est guère complexe, puisqu'il suffit à un système autonome (AS) de communiquer un faux chemin d'accès de sorte à passer pour les autres acteurs comme le destinataire légitime des paquets IP qu'ils envoient : leur trafic sera donc rerouté par les serveurs du pirate.

Avant l'essor du HTTPS, le détournement BGP servait notamment à des attaques de type man-in-the-middle, mais avec le recours croissant au chiffrement du classique, la méthode a perdu de son intérêt. A moins d'avoir bien sûr les moyens de le stocker et de le déchiffrer. Cependant, il est également probable que ce détournement soit purement accidentel, une erreur humaine ou informatique pouvant annoncer des chemins d'accès, des préfixes ou des ASN (Autonomous System Number) erronés.

L’organisation rassemblant les hôpitaux parisiens pourrait avoir recours aux solutions d’analyse de données de l’entreprise américaine. Celle-ci est en pleine opération séduction des institutions médicales européennes, profitant de la lutte contre l'épidémie de COVID-19.

Il fut un temps où la moindre mention de Palantir faisait se dresser les cheveux sur la tête de tous les défenseurs du droit à la vie privée. L’entreprise co-fondée par Peter Thiel et financée par le renseignement américain a en effet une réputation sulfureuse. Mais, alors que le coronavirus continue de se propager, certains services de santé européens songeraient à faire appel à ses services.

Selon les sources de Bloomberg, l’Américain serait en négociations avec les autorités françaises, allemandes, autrichiennes et suisses. L’entreprise aurait d’ores et déjà obtenu un contrat avec le Lander allemand de Rhénanie du Nord-Westphalie, à hauteur de 14 millions d’euros. La semaine dernière, c’est le NHS britannique qui annonçait avoir signé avec Palantir. De notre côté de la Manche, les discussions seraient en cours avec l’APHP, l’entité rassemblant les hôpitaux publics de Paris.

Palantir à l’hosto

A ses prospects, Palantir assure que ses technologies peuvent permettre de suivre et analyser la propagation du virus, aider les hôpitaux à prévoir les pénuries de personnel et d'approvisionnement ou encore les gouvernements à préparer la sortie des mesures de confinement. Plus globalement, il s’agit d’ingérer et de traiter d’importants volumes de données. Et c’est justement cette question des données qui fait toujours débat, certains Etats européens risquant de se montrer réticents à l’idée de fournir des données aussi sensibles à une entreprise américaine.

En Europe, Palantir s’est considérablement développé ces dernières années, jusqu’à compter 800 salariés sur le vieux continent et des contrats avec bon nombre d’Etats. Dont la France. Quand bien même les services de l’Etat cherchent à s’émanciper de Palantir, son contrat avec le renseignement intérieur à été renouvelé l’an dernier, faute d’alternative souveraine. L’APHP fait appel depuis la semaine dernière à ses propres ingénieurs informatiques pour analyser les données des 39 hôpitaux de l’organisation. Ni l’APHP ni Palantir n’ont pour l’heure confirmé les informations de Bloomberg.

Actif depuis 2016, le ransomware Dharma continuait l’an dernier à faire parler de lui : dans l’Hexagone il a en août dernier été responsable de la paralysie de Ramsay Générale de Santé. Son code source a été mis en vente sur des forums russes ce week-end, pour 2000 dollars. Les chercheurs craignent un effet Mirai, mais y voient aussi l’occasion de décortiquer ce programme malveillant et d’y trouver de nouvelles parades. 

Dharma est apparu en 2016 sous le nom de CrySiS. Ce ransomware, distribué "as a Service", aux variantes nombreuses et plus ou moins virulentes, a connu un pic mi-2019 nous apprend le rapport de l’Anssi sur les rançongiciels. « Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix » estime le SSI de l’Etat, qui ajoute que certains des attaquants ayant recours à ce ransomware ne le maîtrisent pas, tant et si bien qu’ils se sont trouvés bien incapables après paiement de la rançon de déchiffrer les fichiers de leurs victimes. 

Malgré ses nombreuses déclinaisons, là encore plus ou moins maîtrisées, Dharma se répand par le biais de pièces jointes malveillantes ou de liens dans des emails de spam, déguisé en fichier d’installation de logiciels légitimes, notamment d’antivirus, distribués en ligne et, surtout, ce ransomware est diffusé manuellement, lors d’attaques ciblées exploitant des authentifiants RDP (Remote Desktop Protocol) faibles ou préalablement compromis.

Chiffrement fort

Une fois dans le système, Dharma crée des entrées de registres afin de maintenir sa persistance et chiffre pratiquement tous les types de fichiers, exceptés les fichiers système et les autres programmes malveillants, sur le terminal cible, ses périphériques externes et les réseaux partagés. La particularité de Dharma est que son algorithme de chiffrement est particulièrement solide (AES-256 combiné avec du chiffrement asymétrique RSA-1024) : les rares fois où il a pu être déchiffré, en 2016 et en 2017, le code n’avait pas été cassé mais les clés de chiffrement divulguées. 

Et voici donc que, d’après plusieurs chercheurs en cybersécurité, le code source du ransomware a été mis en vente sur des forums utilisés par des hackers russes. Et pour une somme modique compte tenu de la réputation de ce ransomware : 2000 dollars. Chez les éditeurs, deux sons de cloche se font entendre. D’une part, certains redoutent un effet Mirai, du nom de ce botnet dont le code source avait été publié, donnant la possibilité au moins habile des cybercriminels de créer son petit botnet à moindre frais. Mais d’autres y voient l’opportunité pour les spécialistes en cyber de se pencher sur ce code source, de le décortiquer et d’y découvrir les meilleures méthodes pour contrer cette souche de ransomware.

L’antivirus de l'éditeur slovaque est maintenant disponible pour les terminaux fonctionnant sous Linux. Il s’agit pour ESET de compléter sa solution à destination des entreprises, notamment pour les grandes organisations avec une intégration à son Security Management Center.

S’il existe bel et bien des antivirus, y compris chez les éditeurs mainstream, force est de constater que le kernel open source est régulièrement laissé pour compte lorsqu’il est question de protection anti-malware. L’éditeur slovaque ESET couvrait ainsi Windows, MacOS, iOS et Android, mais point de Linux dans son portefeuille. 

Cette faille est désormais comblée, puisque ESET annonce cette semaine que Linux est pris en charge par sa solution dédiée aux entreprises, Endpoint Antivirus for Linux. On y retrouve en substance les mêmes fonctionnalités que les versions destinées aux autres OS : protection des fichiers en temps réel, analyse des systèmes... L’éditeur ajoute que son outil a été conçu de sorte à avoir un “impact minimal sur le système, laissant plus de ressources système pour les tâches vitales des postes de travail afin de maintenir la continuité des activités”.

Mise à niveau gratuite

Ainsi, Endpoint Antivirus for Linux s’exécute en tâche de fond, sans recourir à une interface graphique, les daemons ne démarrant qu’en cas de besoin tandis que les seules notifications s’affichant seront celles avertissant de l’élimination d’une menace, “ne nécessitant aucune intervention de l'utilisateur”. 

Enfin, ESET a pensé aux grands comptes, en intégrant cet outil à ses Security Management Center et Cloud Administrator. “Nous comprenons que les organisations déploient souvent une variété de systèmes technologiques au sein de leur entreprise et doivent être sécurisées sur tous les vecteurs d'attaque possibles” explique Matus Cipak, chef de produit chez ESET. La mise à niveau est gratuite pour l’ensemble des utilisateurs existants.