En lançant YesWeHack EDU il y a moins d’un an, la plateforme française de bug bounty entendait attaquer le grand mal de la cybersécurité : la pénurie de compétences. Aujourd’hui, EDU recense 180 écoles et 3000 étudiants sur sa plateforme, une adoption sans doute boostée par sa gratuité lors du confinement.

En novembre 2019, YesWeHack lançait YesWeHack EDU. Cette plateforme éducative entend permettre à des étudiants de s’entraîner à la recherche de failles de sécurité sur des scénarios réalistes, dans des contextes identiques à ce qui existe aujourd’hui en production au sein des entreprises et des organisations. “L’objectif est de permettre aux étudiants de se confronter aux conditions réelles de gestion de vulnérabilités : depuis la recherche de failles, la rédaction de rapports de vulnérabilités et la méthodologie d’analyse de risques, le suivi des contributions et les corrections de vulnérabilités” écrit la jeune pousse française.

YesWeHack explique sa démarche par le manque de formations pratiques dans les universités françaises. En effet, s’il existe bel et bien un nombre croissant de cursus en cybersécurité, l’entreprise déplore que les programmes soient en règle générale “trop théoriques”. Il faut selon l’entreprise attendre les stages ou le premier poste avant que les étudiants soient confrontés aux problématiques réelles de la sécurité informatique des entreprises. 

Du concret dans les formations

Lors du confinement, en avril, YesWeHack a choisi comme de nombreuses autres entreprises d’offrir gratuitement l’accès à sa plateforme EDU. “L’occasion pour bon nombre d’enseignants de tester YesWeHack EDU avec leurs étudiants et ainsi poursuivre, à distance, leur enseignement en ajoutant de la pratique aux cours traditionnels” ajoute la jeune pousse. Aujourd’hui, elle annonce ses chiffres : 3000 étudiants l’ont testée, pour un total de 180 écoles. 

Cela peut sembler bien peu au regard des besoins actuels dans la cybersécurité. Entre 5000 et 10 000 postes seraient ainsi à pourvoir chaque année, rien qu’en France. “YesWeHack ambitionne de contribuer à la réduction de la pénurie de talents à laquelle le secteur est confronté en permettant aux étudiants, dès leurs premières années d’études, de s’entraîner à détecter et corriger des failles, dans des conditions réelles de Bug Bounty. Elle leur ouvre également des perspectives d’emploi vers des spécialisations porteuses telles que DevSecOps, Data Scientist, Security Analyst…”. 

Ce n’est plus le cheval de Troie bancaire que l’on a connu mais plutôt désormais un vecteur d’attaques opéré par un groupe appelé TA542 lequel a des « clients » qui exploitent des trojans tels que Dridex, Qbot et TrickBot distribués sous forme de "seconde charge utile".

Emotet doit donc être détecté au plus tôt sur les postes infectés car sa présence laisse prévoir d’autres intrusions. Les premiers courriers d’hameçonnage contiennent la plupart du temps des fichiers joints de type PDF ou Word. Parfois le courriel contient seulement une URL qui pointe sur un document Word contenant des macros.

L’ANSSI a lancé une alerte le 7 septembre sur la recrudescence d’Emotet en France avec quelques recommandations :
► Sensibiliser les utilisateurs à ne pas activer les macros dans les pièces jointes et à être particulièrement attentifs aux courriels qu’ils reçoivent et réduire l’exécution des macros.
► Limiter les accès Internet pour l’ensemble des agents à une liste blanche contrôlée.
► Déconnecter les machines compromises du réseau sans en supprimer les données.
► De manière générale, une suppression / un nettoyage par l’antivirus n’est pas une garantie suffisante., Seule la réinstallation de la machine permet d’assurer l’effacement de l’implant.

Pour Matt Walmsley, expert cybersécurité et directeur Europe de Vectra, « chercher à identifier et à comprendre qui sont les opérateurs d’Emotet ainsi que leurs motivations fait partie du puzzle et c’est le rôle des forces de l’ordre. Mais le plus utile et le plus durable pour la sécurité reste de comprendre les tactiques et les techniques qu'ils utilisent et d'anticiper la manière dont elles pourraient être atténuées pour protéger les cibles du Trojan.

« Dans le cas d'Emotet, il s'agirait notamment de détecter l'utilisation abusive de comptes à privilèges, les mouvements latéraux sur le réseau local (pour les PME par exemple) et les comportements signalant la présence d’outils de commande et de contrôle (C&C). Les équipes de sécurité doivent être de plus en plus agiles, car le temps est leur ressource la plus précieuse pour faire face aux attaques de logiciels malveillants. Une détection et une réponse précoces sont essentielles pour reprendre le contrôle et arrêter les attaquants avant qu'ils ne puissent se propager dans l'organisation, et qu’ils volent ou empêchent l’accès aux données. »

L’éditeur installé dans la banlieue de Lille devait passer sous pavillon américain après que le fonds Catalyst ait investi en juin 2019 quelque 70 millions de dollars dans l’entreprise. Mais crise sanitaire et procédure judiciaire obligent, l’investisseur se retire. 

En juin 2019, Vade Secure annonçait avoir signé un accord d'investissement avec le fonds américain General Catalyst. Ce dernier devait injecter 70 millions d’euros dans le spécialiste français de la sécurité des e-mails, faisant passer l’entreprise lilloise sous pavillon américain, avec un nouveau président en la personne de Stephan Dietrich, co-fondateur de Neolane. 

L’éditeur comptait sur cet investissement pour renforcer sa présence aux États-Unis, où il dispose déjà de bureaux. Mais l’opération est aujourd’hui remise en cause et Vade Secure se voit privé des fonds de Catalyst. L’investisseur a préféré retirer ses billes compte tenu des difficultés rencontrées par Vade Secure aux États-Unis et de la crise sanitaire qui a fragilisé les PME américaines, coeur de cible outre-Atlantique de l’éditeur. 

En effet, selon Les Echos, l’entreprise française a refusé la demande de Catalyst d’un nouveau report de la date de clôture de l’opération. Le fonds, se considérant dans l’impossibilité de mettre en oeuvre ses projets, a annulé son investissement. Vade Secure a néanmoins réussi à sécuriser 10 millions d’euros par le biais d’un prêt garanti par l’Etat, et 5 millions supplémentaires grâce à l’un de ses clients japonais. 

Une plainte de Proofpoint

On est cependant bien loin des 70 millions annoncés et Vade Secure n’est pas au bout de ses déboires de l’autre côté de l’Atlantique. Il est en effet poursuivi en justice par son principal concurrent, ProofPoint. L’éditeur américain reproche au Français un vol de secrets industriels et commerciaux. “Nous avions embauché un peu plus de deux ans auparavant comme CTO un ancien salarié d'une société rachetée par Proofpoint. Et nous étions poursuivis pour simple suspicion d'appropriation de secret d'affaire” explique aux Echos le PDG de Vade Secure, Georges Lotigier. 

Le patron de l’éditeur fait certainement référence au recrutement en février 2017 de Olivier Lemarié, actuel CTO de Vade Secure, qui occupait auparavant différents postes chez Cloudmark, aux fonctions de responsable des équipes ingénierie ou encore responsable produits. Or, en novembre 2017, Cloudmark était racheté pour 110 millions de dollars par Proofpoint. Selon Georges Lotigier, la procédure, qui permet à Proofpoint de “réclamer, sur la base de simples soupçons, des tonnes de documents pour prouver que nous n'avions dérobé aucune info confidentielle” , exige une “énergie folle”. Et surtout coûte en frais de justice 500000 euros par mois à Vade Secure. Qui, malgré ses difficultés, n’exclut pas de tenter prochainement une nouvelle levée de fonds. 

L’éditeur spécialisé dans la sécurisation des endpoints se rapprochent du géant de Mountain View pour élaborer une nouvelle offre. Celle-ci entend notamment permettre aux entreprises de faire face plus efficacement aux APT. 

Toute bonne sécurité informatique repose sur la détection des menaces, nous ne vous apprenons rien. Or dans un environnement de plus en plus distribué, entre postes de travail distants et cloud, repérer un risque avant qu’il ne devienne critique s’avère de plus en plus complexe. C’est à cette problématique que Tanium entend répondre en étendant son partenariat avec Google Cloud, avec l’intégration de Tanium Threat Response et de Chronicle. 

“Cette intégration permet à nos clients d’investiguer sur les APT et autres menaces depuis leur détection et de remonter jusqu’au moment de la compromission pour apporter une réponse et des mesures correctives complètes” explique Orion Hindawi, co-fondateur et co-CEO de Tanium.

Né des Google Labs, Chronicle devait être le bras armée et autonome du géant de Mountain View dans le domaine de la cybersécurité, s’appuyant sur la solution VirusTotal, rachetée en 2015, et sur Backstory, un SIEM lancé en mars 2019. Finalement, Chronicle est absorbé en juin 2019 par Google Cloud, qui lui aussi proposait des produits de sécurité. 

Prévenir et guérir

Dans le cas du partenariat entre Tanium et Google Cloud, il s’agit donc de rapprocher les analyses opérées par le second des outils de Threat Intelligence du premier, de sorte à offrir aux RSSI la corrélation des capacité d’analyses de Chronicle et des données remontées par Tanium, permettant “une recherche très rapide avec des capacités d’investigation sans précédent”.

“Avec Chronicle, les clients peuvent corréler jusqu'à un an de données recueillies à partir des informations fiables reçues des postes de travail et serveurs et de l’enregistrement de l'activité du réseau réalisé par la plateforme Tanium. Cet ensemble de données enrichies permet aux équipes d’intervention d’analyser de manière approfondie sur les attaques à long terme et de prendre des mesures correctives complètes” écrivent les deux sociétés dans un communiqué commun. .

Autre intégration au menu, celle de BeyondCord, de Google, qui donnera accès via Tanium aux données d'identité, d'état et de conformité des postes de travail et serveurs pour l'accès à distance de BeyondCorp. Enfin, les deux entreprises entendent travailler ensemble à la sécurisation des postes utilisateurs, sans donner plus de détails à ce sujet pour le moment, mais promettant de plus amples informations dans le courant de l’année. 

Sur la liste [OSS Security] on voit une conversation intéressante sur la sécurité des MTA (Mail Transfer Agent). Une faille sur Qmail a été mentionnée par Georgi Guninski en 2005. Cette faille a été rejetée (ignorée) par DJ. Bernstein à l'époque au prétexte que "aucun système n'utilise 4GB de RAM pour son serveur de mail". Or, des équipes de Qualys on réussi à exploiter ce bug en produisant un Remote code execution pour cette même faille, 15 ans plus tard ! Voir les liens suivants:

Quelles réflexions en tirer ? La sécurité logicielle des serveurs de mail est toujours un sujet d'actualité pour ces infrastructures de l'internet. Qmail est considéré comme un serveur sécurisé, à côté de mastodontes comme SendMail ou Postfix. Ensuite, il n'est jamais trop tard pour patcher, ou pour prendre en compte une vulnérabilité logicielle !

Finalement, ce RCE (Remote Code Execution) dévoilé par Qualys a donné lieu à une intéressante discussion entre Georgi et DJ. Bernstein, l'auteur du logiciel. L'histoire ne raconte pas combien d'exploitations ont eu lieu en conditions réelles, sur des serveurs non patchés...

L’entreprise spécialisée en cybersécurité CheckPoint a découvert dans la célèbre application de “dating” plusieurs vulnérabilités qui auraient pu permettre à des attaquants, au moyen de faux liens, de dérober les données des utilisateurs et utilisatrices du site de rencontre. 

A en croire leurs communications, les sites de rencontre tels que Tinder, Grindr ou encore AdopteUnMec ont connu des pics d’utilisation à l’occasion du confinement. La popularité croissante de ces services en font des cibles pour des hackers friands de données personnelles, alors que ces mêmes sites sont fréquemment pointés du doigt pour leurs pratiques un tantinet laxiste en termes de protection des données. 

Les chercheurs de CheckPoint se sont récemment penchés sur l’un d’entre eux, OkCupid, et en ont eu pour leur argent... La société spécialisée en sécurité rapporte avoir découvert plusieurs failles dans l’application, lesquelles permettaient non seulement de mettre la main sur les données des utilisateurs, de leurs adresses IP à leurs préférences en passant par leurs adresses email ou encore leurs tokens d’authentification, mais aussi de prendre de le contrôle des comptes ciblés. Bref, une véritable mine d’or, qui n’a cependant pas été exploitée, semble-t-il. 

Haro sur les cookies

Procédant par rétroingénierie, les chercheurs ont constaté que l’application mobile Android de OkCupid incluait une fonctionnalité de « liens profonds », permettant d'invoquer des intentions dans l'application via un lien de navigateur”. Ainsi, par le biais d’un lien créé par un attaquant, ce dernier sera en mesure d’ouvrir l’application dans un navigateur (webview). Ajoutons à cela la possibilité, contenue dans les paramètres utilisateurs, d’effectuer une injection XSS.  “Toute requête sera envoyée avec les cookies des utilisateurs” précise l’équipe de CheckPoint. Une requête HTTP GET permet au pirate de récupérer les paramètres du profil de l'utilisateur, le paramètre pouvant être injecté au moyen d’un code JavaScript. 

Dans leur test, les chercheurs précise que “le code XSS final charge un fichier JavaScript depuis le serveur des pirates. Le code JavaScript chargé sera utilisé pour l'exfiltration. Il contient 3 fonctions : 1.  steal_token : vole le jeton d'authentification des utilisateurs, oauthAccessToken, et l'identifiant des utilisateurs, userid. Les informations sensibles des utilisateurs (IPI), telles que l'adresse électronique, sont également exfiltrées. 2.    steal_data : vole le profil et les données privées des utilisateurs, leurs préférences, les caractéristiques des utilisateurs (par ex. les réponses données lors de l'inscription), et plus encore. 3.    send_data_to_attacker : envoyer les données recueillies dans les fonctions 1 et 2 au serveur des pirates”.

API très ouverte

 Mais les découvertes ne s’arrêtent pas là, puisqu’une mauvaise configuration de la politique Cross-Origin Resource Sharing (CORS) du serveur API du service de dating “permet à n'importe quelle origine d’envoyer des requêtes au serveur et de lire ses réponses”. Ainsi, une victime authentifiée sur l’application qui visiterait le site web de l’attaquant déclencherait l’envoi d’une requête JSON au serveur API, requête contenant les cookies de l’utilisateur. Le serveur répond quant à lui en renvoyant l’identifiant utilisateur ainsi que le jeton de connexion correspondant. 

Des failles loin d’être anodines, mais qui d’une part n'ont apparemment jamais été exploitées, et d’autre part ont été corrigées. “CheckPoint Research a informé les développeurs de OkCupid des vulnérabilités exposées dans cette étude et une solution a été déployée de manière responsable pour garantir que ses utilisateurs puissent continuer d’utiliser l'application OkCupid en toute sécurité” écrit l’éditeur, qui recommande à tous les utilisateurs de mettre à jour l’app dans les plus brefs délais.

Le vendeur de portefeuilles à cryptomonnaies a été victime fin juin d’une intrusion dans ses systèmes. Une attaque qui n’a pas été détectée avant mi-juillet, mais qui ne touche pas directement les fonds stockés par les utilisateurs : les pirates n’ont eu accès qu’à une base de données e-commerce et marketing, contenant principalement des adresses email. 

Les plateformes d’échange de cryptomonnaies sont fréquemment la cible d’attaques. Quand le Bitcoin était à son plus haut, les tentatives étaient quotidiennes, et régulièrement couronnées de succès, les hackers volant ici et là l’équivalent de quelques centaines de milliers de dollars en devises virtuelles. 

Le rythme a quelque peu diminué mais l’industrie reste une proie particulièrement alléchante pour les cybercriminels. Ledger, entreprise française spécialisée en cryptowallets, des systèmes de stockage de cryptomonnaie, n’y a pas échappé. La société annonce avoir été victime d’une intrusion dans ses serveurs. C’est par le biais de son programme de bug bounty que Ledger a été informé, le 14 juillet, d’une potentielle vulnérabilité sur son site web. Aussitôt signalée, aussitôt corrigée.

Vol de données, et non de cryptomonnaies

Néanmoins, se penchant sur cette faille, l’équipe de Ledger découvre, une semaine environ après les faits, que celle-ci a été exploitée, permettant à un tiers non autorisé d’accéder à une base de données. L’entreprise prévient : les informations de paiement et les fonds stockés n’ont pas été affectés. Les pirates ont eu accès à une base de données marketing et e-commerce, “utilisée pour envoyer des confirmations de commande et des e-mails promotionnels”. Un accès obtenu via une clé API, désactivée depuis. 

S’y trouvaient principalement un million d’adresses email d’utilisateurs, mais aussi “un sous-ensemble comprenant également les coordonnées et les détails de la commande tels que le prénom et le nom, l'adresse postale, l'adresse e-mail et le numéro de téléphone”. Ces dernières données concernent 9500 utilisateurs. En réaction, Ledger a prévenu la Cnil le 17 juillet, et a fait appel le 21 juillet à Orange Cyberdéfense “pour évaluer les dommages potentiels de la violation de données”. 

Ledger surveille les places de marché bien connues des hackers afin d’y repérer la vente de ces données, et explique avoir réalisé et planifié la réalisation, de plusieurs pentests. Une plainte a en outre été déposée, tandis que les utilisateurs affectés ont été notifiés.