Mise à jour de la base de données, veuillez patienter...

Google a mis en ligne une nouvelle version de son navigateur Chrome pour Windows, Mac et Linux dans le but de corriger une nouvelle faille de sécurité zero-day déjà exploitée dans le cadre d'attaques ! Il s'agit de la 9ème faille de sécurité zero-day corrigée dans Google Chrome depuis le début de l'année 2022.

Google a mis en ligne un nouveau bulletin de sécurité afin d'évoquer cette nouvelle vulnérabilité associée à la référence CVE-2022-4262 et une sévérité élevée. Ainsi, Google a mis en ligne de nouvelles versions de Chrome : la version 108.0.5359.94 pour Mac et Linux sert à corriger cette faille, tandis que sur Windows, il faut utiliser la version 108.0.5359.94 ou la version 108.0.5359.95.

La découverte de cette faille de sécurité est à mettre au crédit de Clement Lecigne de l'équipe Google Threat Analysis Group. Il s'agit d'une vulnérabilité de type "Type Confusion" qui se situe dans le moteur JavaScript V8 de Google Chrome. Les cybercriminels pourraient exploiter cette vulnérabilité pour exécuter du code arbitraire au travers du navigateur, même si généralement ce type de faille permet plutôt de faire planter le navigateur Chrome.

Dès maintenant, vous devez mettre à jour votre navigateur Chrome en ouvrant le menu, puis en cliquant sur "À propos de Google Chrome" sous "Aide". Fin novembre, Google a déjà corrigé la faille de sécurité zero-day CVE-2022-4135 au sein de son navigateur. Au même titre que les mises à jour du système d'exploitation, le suivi des mises à jour du navigateur est un vrai sujet pour les entreprises et les particuliers.

Source

L'article Google met à jour Chrome pour corriger une nouvelle faille zero-day (CVE-2022-4262) est disponible sur IT-Connect : IT-Connect.

Un nouveau centre hospitalier a subi une attaque informatique ! Cette fois-ci, c'est dans les Yvelines que ça se passe puisqu'il s'agit de l'hôpital André-Mignot du centre hospitalier de Versailles ! Faisons le point sur la situation.

Ce samedi 3 décembre 2022, à 21 heures, l'hôpital André-Mignot a subi une cyberattaque déjà revendiquée par le groupe LockBit 3.0 ! Cette attaque n'est pas sans rappeler celle qui a ciblé le Centre Hospitalier Sud Francilien de Corbeil-Essonnes en août dernier puisque ce sont les mêmes cybercriminels.

Suite à cette cyberattaque, on constate les problèmes habituels : l'hôpital doit fonctionner en mode dégradé puisque le plan blanc a été déclenché, ce qui implique que certaines opérations sont déprogrammées, tandis que le système informatique est totalement hors service pour le moment. Globalement, les employés essaient d'assurer l'accueil des patients comme ils peuvent, mais il s'agit d'un service limité.

D'après le ministre de la Santé, François Braun, qui s'est rendu sur place, l'hôpital a procédé au transfert de six patients vers d'autres hôpitaux de la région à cause de cette attaque informatique. En complément, il a précisé à la chaîne BFM TV : "Les urgences accueillent les patients, le Samu réoriente les patients vers d’autres services le temps qu’on puisse faire un diagnostic plus précis". Cette attaque a impacté les services ambulatoires et les services de court séjour, tandis que le SAMU quant à lui, n'est pas impacté par cette attaque informatique ce qui lui permet de prendre le relais sur les urgences.

Cette attaque par ransomware est associée à une demande de rançon, mais pour le moment, il n'y a pas eu de communication officielle sur le montant demandé. À voir quelles sont les informations publiées par les pirates informatiques dans les prochaines heures ou les prochains jours. On se souvient que lors de l'attaque du centre hospitalier de Corbeil-Essonnes, les pirates avaient réclamé la somme de 10 millions de dollars.

Bon courage aux équipes de l'hôpital André-Mignot

Source

L'article Le Centre Hospitalier de Versailles victime d’une attaque par ransomware ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Aujourd’hui, nous allons apprendre à utiliser une fonctionnalité très pratique de Wireshark disponible depuis la version 3.0 : le déchiffrement des flux chiffrés HTTPS sans certificat. Cette fonctionnalité va permettre d’afficher les flux chiffrés en clair, notamment les flux :

• Web
• DoH : Dns Over Https
• Quic

Avant de continuer, voici la liste des précédents articles de cette série sur Wireshark :

• Tutoriel - Installation pas-à-pas de Wireshark
• Tutoriel - Découverte de l'interface Wireshark
• Tutoriel - Astuces pour personnaliser l'interface de Wireshark !
• Tutoriel - Wireshark et les filtres de capture
• Tutoriel - Wireshark et les filtres d'affichage
• Tutoriel - Wireshark et la résolution de noms
• Tutoriel - Wireshark et les commentaires
• Tutoriel - Wireshark : activer la géolocalisation d’adresses IP
• Téléchargement - Wireshark

II.  Comment décrypter les flux TLS sans certificat ?

A. Explication

Avec Wireshark, il existe deux méthodes pour déchiffrer les flux :

• Avoir le certificat en sa possession
• Enregistrer les clés de sessions TLS

Avec le nouveau protocole de sécurité TLS 1.3 ou algorithme de chiffrement ECDHE, même en ayant le certificat nous ne pouvons pas déchiffrer les flux : cela peut poser problème pour une analyse de performances ou dans le cadre d'une analyse liée à un incident de cybersécurité.

Ce qui est d'autant plus vrai avec la mise en place du protocole de transport Quic sur Internet ! Contrairement à TCP qui fournit les informations en clair, Quic chiffre l’ensemble des en-têtes donc même pour suivre l’ordonnancement des paquets, nous sommes obligés de voir les flux en clair. Pour résoudre cette problématique, nous allons mettre en œuvre l’enregistrement de clés de sessions TLS clients et serveurs.

N.B : la fonctionnalité d’enregistrement des clés TLS fonctionne uniquement sur des captures réseau en direct.

B. Enregistrer les clés de sessions TLS

L’enregistrement des clés de sessions TLS peut s’effectuer sur Linux, Mac et Windows. Dans ce tutoriel, nous allons appliquer la procédure pour Windows, avec une machine sous Windows 11 dans mon cas (ceci fonctionne aussi sur Windows 7 et Windows 10). Si vous souhaitez l’implémenter pour Mac et Linux, vous pouvez aller sur le site de Wireshark consulter cette page.

Sur Windows, il y a deux étapes pour enregistrer les clés de sessions TLS :

• Créer une variable environnement utilisateur
• Créer un fichier texte pour enregistrer les clés de sessions clients et serveurs

III. Mise en place de l’enregistrement des clés de sessions TLS

A. Création d’un fichier txt pour enregistrer les clés de sessions TLS

Vous allez créer un fichier txt pour enregistrer les clés de sessions TLS.

Mon fichier s’appellera sslkeys.txt que je vais enregistrer dans mon disque DATA. A vous d'adapter selon votre environnement.

B. Modification des variables d’environnement utilisateurs

Aller dans les paramètres de Windows. Une fois la page ouverte cliquer sur « Système », « Informations système » puis « Paramètres avancés du système »

Une nouvelle fenêtre s’ouvre, cliquer suz « Variables d’environnement… ».

Nous arrivons sur les Variables d’environnement de votre ordinateur, la partie qui va nous intéresser, c'est la section des variables d’environnements utilisateur. Cliquez sur « Nouvelle… »

Donnez le nom suivant à la variable : SSLKEYLOGFILE

Indiquez l’emplacement de votre fichier en cliquant sur « Parcourir le fichier… ». Dès que vous avez terminé votre configuration, cliquez sur « OK ».

La nouvelle variable d’environnement apparaît, pour l’appliquer, cliquez sur « OK ».

C. Valider le bon fonctionnement

Pour valider l’enregistrement des clés de sessions TLS, il suffit d’aller sur internet et de regarder si le fichier txt créé précédemment se remplit. Ouvrez votre fichier txt, vous devriez voir les lignes suivantes créer.

D. Que signifient les lignes dans ce fichier ?

Dans ce fichier, les lignes utilisent des préfixes différents. Voici des informations pour vous aider à les interpréter :

• CLIENT_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du client codé en hexadécimal.
• SERVER_HANDSHAKE_TRAFFIC_SECRET : la clé secrète de la poignée de main du serveur codé en hexadécimal.
• CLIENT_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du client codé en hexadécimal.
• SERVER_TRAFFIC_SECRET_0 : le premier code du trafic applicatif du serveur codé en hexadécimal.
• EXPORTER_SECRET : le secret de l’exportation en hexadécimal

Voici la source qui explique l’ensemble des valeurs.

IV. Configuration de Wireshark

Maintenant que nous avons validé l’enregistrement des clés de sessions TLS, il reste à configurer Wireshark, pour voir les flux en clair.

Pour cela, lancez Wireshark et allez sur « Editer » puis « Préférences… ».

Ensuite, déroulez le menu à gauche jusqu'à trouver « protocols ».

Cherchez le protocole « TLS ».

On arrive à la page de configuration du protocole TLS. Pour lier votre fichier txt de clés sessions TLS, il suffit de renseigner la localisation de votre fichier en cliquant sur « Parcourir… » au niveau de « (Pre)-Master-Secret log filename ». Ici :

Vous devez arriver à ce résultat et ensuite cliquez sur « OK ».

V. Validation de la configuration Wireshark

Lancez une trace réseau avec Wireshark... vous devriez voir des flux http sur le port TCP ou UDP sur le port 443. Ainsi, les flux HTTPS sont visibles en clair dans Wireshark grâce à la configuration que nous venons de mettre en place ! Cela s'applique aussi aux flux transportés par le protocole QUIC.

VI. Conclusion

Cet article sur Wireshark et la fonctionnalité de déchiffrement les flux TLS est terminé ! Avec cette fonctionnalité, vous pourrez déchiffrer vos flux des applications SAAS de votre entreprise à titre d’exemple, donc vous serez en mesure de voir les requêtes et réponses applicatives.

Le prochain article sera sur l’importation de clés sessions TLS dans un fichier de capture.

L'article Wireshark – Comment déchiffrer les flux TLS comme le HTTPS ? est disponible sur IT-Connect : IT-Connect.

Ces chiffres sont fous : le FBI et la CISA ont révélé que le gang du ransomware Cuba est parvenu à empocher 60 millions de dollars en 2022 grâce au paiement des rançons, après avoir compromis plus de 100 entreprises à travers le monde !

En quelques mois, le groupe Ransomware Cuba est devenu l'une des principales menaces, à l'échelle mondiale. Le FBI et la CISA ont mis en ligne un nouveau bulletin d'alerte, qui évoque les dizaines d'organisations critiques et d'entreprises américaines touchées par ce ransomware. D'ailleurs, le FBI estime que depuis décembre 2021 : "le nombre d'entités américaines compromises par le ransomware Cuba a doublé, les rançons demandées et payées étant en augmentation". Autrement dit, il y a de plus en plus de rançons payées et le montant est de plus en plus élevé : ce qui n'est pas illogique, car si les victimes paient, les pirates peuvent voir un intérêt à augmenter le tarif de la rançon pour empocher un maximum d'argent.

D'après les estimations de l'agence américaine FBI, les cybercriminels du Ransomware Cuba ont compromis plus de 100 entreprises dans le monde jusqu'en août 2022 ! Au total, ils ont pu récolter 60 millions de dollars grâce aux rançons sur un total demandé de 145 millions de dollars. C'est presque 50% de la somme maximale.

Généralement, le ransomware Cuba est déployé sur une infrastructure par l'intermédiaire de la menace Hancitor, ce dernier étant là pour exécuter des logiciels malveillants de différents types sur des infrastructures (attaques sur des serveurs Exchange, serveurs RDP ouverts sur Internet, campagnes de phishing, etc.). Sans surprise, le ransomware Cuba est le dernier maillon de la chaîne et il est là pour chiffrer les données.

Pour déclencher le ransomware Cuba sur une infrastructure compromise, les cybercriminels utilisent des outils Windows comme PowerShell et PsExec, dans le but de pouvoir agir à distance. Une fois que les fichiers sont chiffrés, ils héritent de l'extension ".cuba". La suite, vous la connaissez.

Le FBI, comme l'ANSSI en France, n'encourage pas le paiement des rançons puisqu'il n'est pas certain que cela empêche les fuites de données, les attaques futures, ni même de récupérer l'intégralité de ses données.

Source

L'article Ransomware Cuba : plus de 100 entreprises compromises et 60 millions de dollars de gain ! est disponible sur IT-Connect : IT-Connect.

Les chercheurs en sécurité de chez Zimperium ont mis en ligne un rapport au sujet d'un logiciel malveillant pour Android, actif depuis 2018, et qui aurait fait 300 000 victimes à travers le monde grâce à des applications malveillantes.

Surnommé Schoolyard Bully, ce logiciel malveillant se cache au sein d'applications éducatives pour les appareils Android. Dès que la victime installe une application qui contient ce malware, celui-ci entre en action dans le but de dérober des identifiants et des informations au sujet de votre compte Facebook, notamment l'adresse e-mail et le mot de passe.

Pour récupérer ces informations, le malware ouvre une page de connexion Facebook légitime dans l'application (via WebView) afin de récupérer la saisie clavier et grâce à un code JavaScript malveillant, il parvient à extraire les données. Les chercheurs en sécurité de chez Zimperium expliquent que la méthode "evaluateJavascript" est utilisée et que "le code JavaScript extrait la valeur des éléments avec 'ids m_login_email' et 'm_login_password', qui sont des espaces réservés pour le numéro de téléphone, l'adresse électronique et le mot de passe."

Toujours d'après eux, les applications qui distribuent Schoolyard Bully ne sont plus présentes sur le Google Play Store mais elles l'ont été à une époque. Toutefois, elles sont toujours distribuées via des magasins d'applications alternatifs. Il y aurait au moins 37 applications malveillantes associées à cette campagne qui dure depuis plusieurs années.

Cette campagne lancée en 2018 semble toujours active aujourd'hui. À ce jour, Zimperium estime que Schoolyard Bully est parvenu à faire au moins 300 000 victimes réparties dans 71 pays à travers le monde, y compris en France, avec tout de même un fort impact au Vietnam. Il s'agit d'une estimation et les chiffres réels pourraient être plus importants.

Pour le moment, les chercheurs en sécurité de chez Zimperium ne sont pas parvenus à identifier le groupe de cybercriminels à l'origine de cette campagne. Il ne s'agirait pas du groupe FlyTrap, connu aussi pour voler des identifiants Facebook au Vietnam.

Source

L'article Vol de comptes Facebook : ce malware a déjà fait plus de 300 000 victimes est disponible sur IT-Connect : IT-Connect.