Actu sécu « en bref » : RGPD, Vulnérabilités, Attaques du moment

#RGPD

Quatre mois après l’entrée en vigueur du règlement général sur la protection des données, la CNIL dresse un premier bilan[1] en quelques chiffres :

•  24 500 délégués à la protection des données ont été désignés en France
• plus de 600 000 notifications de violations de données, ce qui représente 7 notifications par jour en moyenne depuis le 25 mai
• L’ensemble des violations notifiées concerne 15 millions de personnes, autant dire qu’à ce rythme là, les données de tous les français auront au moins une fois « officiellement » fuitées d’ici 2020
• plus d’une centaine de nouvelles demandes d’autorisation de traitement concernant des données de santé
• une augmentation de 64 % des plaintes reçues par la CNIL par rapport à l’année 2017, sur la même période, soit 3767 plaintes reçues depuis le 25 mai

#VULNÉRABILITÉS

Les chercheurs de la société Qualys ont publiés deux POC [2] relatif à la vulnérabilité CVE-2018-14634 [3], permettant à un utilisateur local de réaliser une élévation de privilèges sur l’ensemble des systèmes Linux 64 bits dont les versions de noyau utilisées font parti des branches 2.6.x, 3.10.x et 4.14.x. Une vulnérabilité présente donc dans certaines branches depuis plus de dix ans. Des distributions encore très présentes, telles que Debian 8, Redhat ou Centos 6 sont vulnérables. Redhat souligne dans un bulletin de sécurité, que les machines embarquant mois de 32 Go de RAM auraient peu de chance d’être impactées, et que la version 5 n’était pas vulnérable. Euhhh, si vous avez encore des machines sous Redhat 5 dans votre SIH, ne sautez pas trop de joie, le système n’est plus maintenu depuis plus d’un an et de nombreuses autres vulnérabilités peuvent être exploitées.

La vulnérabilité « Btle Jack » concernant le protocole Bluetooth Low Energy, récemment présentée par le français Damien Cauquil lors de la Def Con [4], a bien de quoi susciter des craintes quant à son utilisation, notamment dans le secteur de la santé, comme c’est le cas pour certains stéthoscopes ou lecteurs de glycémie « connectés ». En effet, avec un budget matériel de 45€ et l’outil partagé par son auteur [5], il est possible de déconnecter un appareil connecté, de se connecter sans autorisation à l’appareil et d’en prendre le contrôle.

Adobe corrige pas moins de 47 vulnérabilités référencées comme critiques dans Acrobat Reader parmi les 86 « rustines » mises à disposition [6]. Exécution de code arbitraire, élévation de privilèges… il s’avère donc nécessaire de patcher rapidement !

#ATTAQUESDUMOMENT

L’éditeur d’antivirus Trend Micro indique dans un récent article [7] posté sur son blog l’exploitation active d’une vulnérabilité du moteur VBScript de Windows, corrigé en août par Microsoft. À noter que l’attaque en cours ne peut être exécutée sur des postes disposant d’Internet Explorer 11. Mais quel RSSI peut garantir à 100 % qu’aucune machine de son parc n’a pas une version d’Internet Explorer antérieure à la 11 ? Surtout quand je vois encore en 2018, des connexions au Forum SIH avec des systèmes Windows XP ou 2003 Server… Alors c’est l’occasion de refaire un point sur son parc, et au cas où, d’utiliser les indicateurs de compromission fournis par Trend Micro.

Aux États-Unis, l’IC3 (Internet Crime Complaint Center), a récemment publié une alerte [8] relative aux attaques réalisées sur le protocole RDP, invitant les administrateurs systèmes et réseaux a limiter les accès RDP ouverts sur Internet. En effet, depuis 2016, nous constatons une recrudescence de ce type d’attaques, dans le but de diffuser des rançongiciels, mais aussi d’exfiltrer des données.

Les chercheurs en sécurité de Talos (Cisco) révèlent que le logiciel malveillant ciblant de nombreux routeurs, VPN Filter, dont nous avons déjà parlé [9], continu de sévir et devient de plus en plus « puissant » [10].

Un « Youtuber » a récemment révélé sur sa chaîne Youtube comment « bypasser » l’authentification sur les derniers iPhone [11].

[1] https://www.cnil.fr/fr/rgpd-quel-premier-bilan-4-mois-apres-son-entree-en-application

[2] https://fr.wikipedia.org/wiki/Preuve_de_concept

[3] https://www.qualys.com/2018/09/25/cve-2018-14634/mutagen-astronomy-integer-overflow-linux-create_elf_tables-cve-2018-14634.txt

[4] https://media.defcon.org/DEF%20CON%2026/DEF%20CON%2026%20presentations/Damien%20Cauquil%20-%20Updated/DEFCON-26-Damien-Cauquil-Secure-Your-BLE-Devices-Updated.pdf

https://www.youtube.com/watch?v=hyjOJgm-D4s (Vidéo non officielle)

[5] https://github.com/virtualabs/btlejack

[6] https://blogs.adobe.com/psirt/?p=1624

[7] https://blog.trendmicro.com/trendlabs-security-intelligence/new-cve-2018-8373-exploit-spotted/

[8] https://www.ic3.gov/media/2018/180927.aspx

[9] /article/2969/vpnfilter-un-inquietant-logiciel-malveillant-qui-se-repand.html

/article/2989/vpnfilter-un-logiciel-malveillant-plus-inquietant-que-prevu.html

[10] https://blog.talosintelligence.com/2018/09/vpnfilter-part-3.html

[11] https://www.youtube.com/channel/UCkqCHjyPiNQokgxUzuFqz0A