Technologies

Wannacry: la Suisse évite le pire… pour cette fois!

Wannacry : la Suisse évite le pire… pour cette fois!   Wannacry est un virus de la famille des ransomwares. La première infection répertoriée remonte au vendredi 12 mai 2017. En quelques jours, des centaines de milliers d’endpoints ont été infectés dans plus de 150 pays d’après un premier bilan d’Europol. Il s’agit de l’infection la plus massive jamais enregistrée. heureusement, la Suisse a été relativement épargnée comparé à ses voisins.   Wannacry est un ransomware très intriguant car de nombreuses informations sont encore inconnues à son sujet. Cet article s’attarde sur les éléments connus du ransomware et dresse un état de la situation en Suisse. Qui est impacté ? Tous les systèmes Windows (avant Windows 10) non patchés pour la vulnérabilité MS17-010 sont susceptibles de se faire infecter par le ransomware. Les entreprises sont d’autant plus impactées puisque le ransomware est capable de se répandre latéralement sur le réseau interne et que le cycle d’application des correctifs est plus long. Le ransomware ne semble pas avoir de cible particulière. Que fait Wannacry ? Wannacry chiffre des fichiers sur le poste utilisateur et demande ensuite qu’une rançon soit payée pour récupérer l’accès aux fichiers pris en otages. Il demande le paiement de 300 USD en bitcoins au moment de l’infection. Après trois jours, le ransomware double le montant et...

L’histoire d’une attaque par Phishing indétectable

Le fameux cadena vert affiché par les navigateurs n’est plus gage de sûreté! Un expert en sécurité a découvert une vulnérabilité permettant de tromper l’utilisateur en lui faisant croire qu’il se trouve sur un site fiable alors qu’en réalité il est sur un site contrôlé par un hacker. Cette vulnérabilité ouvre la porte à des attaques par phishing particulièrement vicieuses puisque indétectables, ou presque…   Lors de séances de sensibilisation, nous donnons des préconisations simples qui permettent de détecter une tentative d’attaque par Phishing et ainsi éviter de se faire prendre. Nous conseillons aux utilisateurs du système d’information de vérifier plusieurs éléments avant de continuer sur un site web “sécurisé” : – Verifier le nom complet (Fully Qualified Domain Name) présenté par le navigateur et valider qu’il s’agit bien du site auquel l’utilisateur souhaite accéder, – Verifier que le navigateur présente un cadena et/ou la mention “secure” avant d’autoriser une connexion au site, – Refuser la connexion à un site web pour lequel le navigateur présente une alerte de sécurité (Phishing, Certificat invalide, …)     Ce sont quelques conseils simples qui permettent, s’ils sont correctement suivis, de limiter le nombre d’utilisateurs se faisant avoir par une attaque par Phishing. Cependant,...

No more user awareness

Un point sur lequel tout le monde est d’accord, dans le monde de la sécurité informatique, est que le principal maillon faible dans une entreprise est l’utilisateur. Une multitude de cas qui démontrent cette faiblesse sont publiés régulièrement. Comme par exemple, laisser trainer une clé USB proche d’une entreprise et attendre que quelqu’un la prenne et la connecte à un système. Ou, comment avec un simple appel téléphonique, un hacker arrive à prendre le contrôle d’un compte mobile (illustré ici). Mais surtout les emails contenant une pièce jointe infectée ou qui contient un lien vers un site malicieux. La principale et souvent la seule réponse de l’industrie à cette problématique est de former et sensibiliser les utilisateurs aux différents aspects de la sécurité. Ne pas se connecter sur un site suspicieux, ne pas ouvrir des emails avec pièces jointes de sources inconnues, changer de mot de passe régulièrement avec un minimum de complexité, etc etc. Cela passe aussi au travers de messages d’avertissement du danger affichés à l’utilisateur. Un exemple, des plus connus, est l’UAC introduit avec Windows Vista qui est encore dans le souvenir de tout le monde comme une plaie qui pop-up constamment. Ou encore le warning affiché quand un certificat d’un site Internet n’est pas valide. Dans l’esprit de l’utilisateur ce message est vu comme un perturbateur qui l’empêche...

Fin de support de SHA-1

La fin est proche pour SHA-1. En effet, Microsoft, Mozilla et Google ont annoncé, il y a maintenant quelques années, leur intention de stopper le support de SHA-1 dans les navigateurs web et l’algorithme est depuis déprécié. De plus, le « National Institute of Standards and Technology » (NIST) avait émis en 2013 une recommandation en précisant que SHA-1 ne devait pas être utilisé après le 31 décembre 2013. Afin de clarifier au mieux la situation pour 2017, voici quelques réponses aux questions régulièrement posées par nos clients : 1. Que va-t-il se passer au 1er Janvier 2017 ? Il ne va rien se passer de spécial pour les sites web https utilisant un certificat signé en SHA-1. 2. Quand est ce que les navigateurs Internet vont bloquer l’accès au sites web signés en SHA-1 ? La réponse dépend des éditeurs : Microsoft prévoit une mise à jour qui supprimera le support pour les navigateurs Internet Explorer et Edge au 1er février 2017 Mozilla va supprimer le support de SHA-1 avec Firefox 51 qui sera disponible en février prochain, Google va quant à lui retirer le support de SHA-1 fin Janvier avec la release de Chrome 56 3. Est-ce que les sites web internes seront concernés par ces updates ? Les différents navigateurs vont purement et simplement supprimer le support de SHA-1 et bloquer l’accès au site souhaité, qu’il soit interne ou publique. 4. Est-ce que tous les certificats...

Extraction des IP malicieuses depuis le fichier auth.log d’un serveur Linux

Dans cette article, nous présentons une commande shell qui a pour but d’extraire les adresses IP et les noms d’utilisateurs liés à des tentatives manquées de se connecter à un serveur Linux. Dans notre exemple, les logs sont collectés sur une machine Linux tournant sous Ubuntu Server 16.04 LTS. La commande a été développée et testée sur ce même système et elle peut donc varier d’un système à l’autre. Afin que le résultat de cette commande puisse être directement consommé par une API REST, nous allons la formater en JSON. Nous allons récupérer ces informations depuis les logs d’authentification qui se trouvent généralement dans /var/log/auth.log. Les logs se trouvent dans /var/log/secure sur CentOS. Dans notre cas, nous nous intéressons uniquement aux logs provenant du service sshd, vu qu’il s’agit d’un serveur publique accessible uniquement en SSH. Sans plus attendre, voici ladite commande: echo “[” > failed_auth.json && zcat -f –stdout auth.log* | grep “Invalid user” | awk ‘{print ” {\”user\”: \”” $8 “\”, \”ip\”: \”” $10 “\”\},”}’ | uniq | sed ‘$ s/,$//’ | tee -a failed_auth.json && echo “]” >> failed_auth.json Décortiquons-la un peu! La commande commence et se termine par un simple « echo ». Rien de...

L’avènement du déni de service super massif grâce à l’IoT

Il ne vous a surement pas échappé que plusieurs attaques par dénis de services ont été rondement menées ces dernières semaines. L’une d’elles a ciblé le journaliste Brian Krebs et plus particulièrement son blog qui a été violemment touché par un DDoS qui a dépassé les 600 Gbps ayant même forcé Akamai, fournisseur de solutions anti-DDoS et hébergeur du blog de Krebs, à fermer le site internet pendant un moment. Peu de temps après, c’est l’hébergeur OVH qui est ciblé avec une attaque dépassant cette fois le Terabit par seconde. Ces attaques ont plusieurs points communs : La violence et la puissance qui a déferlé sur les victimes, La compromission et l’utilisation de plusieurs centaines de milliers d’objets connectés et plus particulièrement de caméras IP mais aussi des routeurs, des NAS et même des Raspberry PI, L’utilisation du même code source : MIRAI Une nouvelle menace plane sur Internet Le code source de l’outil ayant servi à réaliser ces attaques est rendu publique depuis plusieurs jours. Il est disponible en libre accès à l’adresse GitHub suivante : Mirai-Source-Code Après seulement quelques jours, il y a déjà plus de 550 forks (copies du projet) dans la nature sans compter les personnes qui ont pu copier le code sur un support gardé offline. Supprimer le code source du repository GitHub n’a donc plus aucun intérêt, le mal est déjà fait et le code est modifiable et...