Tous les mois, on vous dévoile les enjeux de cybersécurité actuels et à venir.
L'actualité en cybersécurité
Tout savoir sur la vulnérabilité extrêmement critique Log4Shell dans Apache Log4j, qui met votre réseau informatique en danger
Un chercheur en sécurité a publié sur Twitter, le 9 décembre 2021, des informations sur une vulnérabilité liée à bibliothèque de journalisation Apache Log4J, référencée sous le code CVE-2021-44228.
Affectueusement appelée Log4Shell ou LogJam, la vulnérabilité permet d’exécuter du code à distance sans authentification et ainsi prendre le contrôle des équipements informatiques vulnérables. Cette bibliothèque de journalisation est souvent utilisée dans les projets de développement d’application Java/J2EE ainsi que par les éditeurs de solutions logicielles tierces (ex. VMware vCenter et plusieurs autres logiciels).
Face à la multitude d’informations sur ce qu’il convient de considérer comme l’une des plus importantes vulnérabilités de cette décennie, nous avons donné un webinaire sur le sujet avec Trend Micro et Fortinet pour vous aider à gérer la crise: https://inscription.cyberswat.ca/log4j
D’ailleurs, même si vous avez déjà agi pour vos systèmes à l’externe, il faut savoir que le groupe criminalisé Conti a créé un rançongiciel dans les derniers jours spécifiquement fait pour exploiter la vulnérabilité sur VMware vCenter. Cet outil de virtualisation des serveurs est utilisé à très grande échelle (et probablement dans votre entreprise). Il faut donc appliquer rapidement les mises à jour et/ou les méthodes de contournement préconisées sur vos serveurs de virtualisation. Il suffit qu’un de vos utilisateurs tombe dans le panneau lors d’une attaque de phishing et il est fort à parier que l’ensemble de votre réseau informatique pourrait alors devenir paralyser.
Pas certain de comment valider le tout dans votre réseau? Comme nous avons développé une méthode de détection de ce type de faille, il suffit de nous contacter 😉.
Autres ressources :
Testez votre site web: Log4j – Vulnerability Tester (trendmicro.com)
Puliczek/CVE-2021-44228-PoC-log4j-bypass-words: CVE-2021-44228 – LOG4J Java exploit – A trick to bypass words blocking patches (github.com), CVE-2021-44228 : comment neutraliser cette vulnérabilité ? (cyberwatch.fr)
Québec: Après l’adoption du projet de loi sur les renseignements personnels, un projet de loi réformant la gestion des renseignements de santé est déposé à l’Assemblée nationale
Le Gouvernement du Québec a déposé le projet de loi 19, créant la Loi sur les renseignements de santé et de services sociaux et modifiant plusieurs autres lois dans le but d’encadrer l’accès aux renseignements de santé par les usagers, les professionnels, les gestionnaires du système de santé et les chercheurs. En plus de créer une nouvelle Loi sur les renseignements de santé et de services sociaux, le projet de loi modifie 26 lois et abroge la Loi concernant le partage de certains renseignements de santé, qui couvrait jusqu’à maintenant le Dossier santé Québec. La nouvelle loi vient doter le Québec d’un cadre législatif à part entière pour les renseignements de santé, ce qui existait dans la plupart des autres provinces. La définition de « renseignement de santé » est large et englobe tout renseignement détenu par un organisme de santé au sujet d’une personne concernant notamment son état de santé, des prélèvements effectués dans le cadre de traitement ou les services ayant été offerts à cette personne, et ce, peu importe que la personne puisse être identifiée ou non par le renseignement.
Pour en savoir plus: Un projet de loi réformant la gestion des renseignements de santé est déposé à l’Assemblée nationale | Canada | Cabinet juridique mondial | Norton Rose Fulbright Le projet de loi en question est disponible ici: Projet de loi n° 19, Loi sur les renseignements de santé et de services sociaux et modifiant diverses dispositions législatives – Assemblée nationale du Québec (assnat.qc.ca)
Les mots de passe les plus communs au Canada en 2021 : «123456» pour une deuxième année consécutive
Moins d’une seconde: c’est le temps requis pour déchiffrer le mot de passe « 123546 », selon les estimations de l’entreprise de sécurité informatique NordPass. C’est pourtant celui qui figure en tête de liste du plus récent palmarès des 200 mots de passe les plus courants de 2021 selon cette entreprise. C’est la 2e année consécutive que le mot de passe 123456 arrive en première position.
La meilleure solution pour vous protéger; adoptez un gestionnaire de mots de passe. Vous pouvez générer des mots de passe uniques, complexes et vous n’avez pas à vous en souvenir. Changez vos mots de passe préconfigurés, on retrouve encore trop souvent « admin » (mot de passe par défaut) sur des consoles d’administration 🙏
Cet article vous en dit plus: 123456, mot de passe le plus utilisé de 2021 | Notre équipe d’impact | Actualités | Le Soleil – Québec
Pas convaincu? Les mots de passe longs font fuir les pirates!
Selon une analyse réalisée par le laboratoire de sécurité de Microsoft et relayée par le site spécialisé en cybersécurité The Record, la plupart des attaquants cherchant à casser un mot de passe, se concentrent sur ceux qui sont courts. Les mots de passe à base de « phrases de passe » ou mêlant des caractères complexes ne sont que très peu ciblés.
Pour réaliser cette étude, les chercheurs en sécurité de Microsoft ont analysé plus de 25 millions d’attaques dites par force brute (SSH). Il s’agit de tentatives de connexion en effectuant une succession d’essais pour découvrir des identifiants valides. Ce chiffre important correspond à près d’un mois de collecte de données à partir des capteurs de Microsoft.
L’autre donnée intéressante issue de cette analyse est que seulement 7% des tentatives incluaient un caractère spécial. Finalement, à partir du moment où un seul de ces caractères est employé, il est peu probable de se faire attaquer.
Cliquez sur le lien suivant pour découvrir cette analyse: Attackers don’t bother brute-forcing long passwords, Microsoft engineer says – The Record by Recorded Future
Victime d’une cyberattaque, le CEPEO a décidé de payer une rançon
Le Conseil des écoles publiques de l’Est de l’Ontario (CEPEO) a été frappé il y a six semaines par une cyberattaque de taille qui, estime-t-on, pourrait bien avoir compromis les données sensibles de « quelques milliers de personnes », majoritairement les employés embauchés depuis l’an 2000.
Prétextant avoir agi de la façon «la plus responsable possible », l’organisation a aussi payé une rançon aux pirates informatiques. Les renseignements compromis pourraient être particulièrement sensibles. Dans le cas des employés, ça pourrait aller jusqu’à des numéros d’assurance sociale, des numéros de compte bancaire, des numéros de cartes de crédit ou encore une date de naissance. CyberSwat vous propose de lire cet article pour en savoir plus sur les raisons ayant conduit le CEPEO a payé la rançon.
Cyberattaque au CEPEO: des milliers de personnes pourraient être touchées | Le fil des régions | Actualités | La Voix de l’Est – Granby (lavoixdelest.ca)
Chiffrer le disque dur de votre PC sous Windows 10 ne suffit pas pour protéger vos données
Dans les ordinateurs actuels, le chiffrement s’appuie sur un TPM (Trusted Platform Module). C’est une puce de sécurité qui va stocker la clé de chiffrement maître du disque (Volume Master Key), et la transmettre au processus de démarrage UEFI pour lancer le système.
C’est le cas pour le chiffrement BitLocker disponible sur Windows Pro/Entreprise. C’est également le cas pour le chiffrement « Device Encryption » sur Windows Home, qui est en réalité une version simplifiée de BitLocker avec moins d’options de paramétrage. Donc ce n’est pas parce que vous avez décidé de chiffrer le disque dur de votre PC Windows 10 qu’il faut penser que vos données sont totalement à l’abri en cas de vol. Vous voulez en savoir plus? Lisez cet article repris par plusieurs sites de cybersécurité:
Bien sûr, il y a une solution que nous recommandons toujours à nos clients. Vous voulez en savoir plus? Lisez cet article repris par plusieurs sites de cybersécurité: Pourquoi chiffrer le disque dur de votre PC sous Windows 10 ne suffit pas pour protéger vos données (01net.com)
Fuite de données chez GoDaddy : plus de 1,2 million de propriétaires de sites WordPress impactés
L’hébergeur de sites web GoDaddy a annoncé avoir été victime d’une fuite de données à la suite d’une attaque réalisée le 6 septembre, mais découverte le 17 novembre.
Plus de 1,2 million de propriétaires de sites WordPress sont concernés par cette fuite et leurs adresses courriel, numéros de compte GoDaddy et mots de passe ont pu être récupérés par les attaquants. GoDaddy a signalé la violation à la Securities and Exchange Commission. La société a expliqué avoir détecté un accès non autorisé aux systèmes sur lesquels elle héberge et gère les serveurs WordPress. Parce que WordPress est un outil très populaire pour créer et gérer des sites Web, cela pourrait être une attaque grave.
💡 Action à prendre: si vous avez un compte GoDaddy, par prévention, changez votre mot de passe et mettez en place l’authentification à 2 facteurs si ce n’est pas déjà fait!
Tout savoir sur cette attaque en lisant cet article : Violation de données GoDaddy – Ce que vous devez savoir – StepsBoard
Une énorme faille de sécurité de Linux pourrait faciliter les attaques de phishing
Avez-vous un serveur DNS? Si oui, il importe de lire plus en détail cet article: Une faille découverte dans Linux permet d’attaquer les serveurs DNS et potentiellement de rediriger des millions d’utilisateurs à la fois vers de faux sites. Jusqu’à 38 % des serveurs DNS pourraient être concernés, y compris des services comme OpenDNS.
La faille affecte les serveurs Linux. Elle fonctionne grâce à l’envoi d’un message d’erreur bien spécifique (de type ICMP redirect et ICMP frag needed). Comme il s’agit d’un message d’erreur, le serveur ne donne aucune réponse et il est théoriquement impossible de savoir s’il a été envoyé sur le bon port. Toutefois, sur Linux, ce message peut modifier la taille maximale des paquets des serveurs (MTU), qui peut ensuite être mesurée avec une simple commande « ping ». Il suffit donc de répéter l’opération en changeant de ports jusqu’à pouvoir découvrir le bon, soit un maximum de 65 536 fois. Il devient alors possible de lancer une attaque de force brute directe en utilisant la méthode découverte en 2008.
Le rapport disponible dans le lien ci-dessous donne davantage de détails: Linux has a serious security problem that once again enables DNS cache poisoning | Ars Technica
Une faille dans Windows vous permet de prendre le contrôle de n’importe quel ordinateur!
On sait qu’il est indispensable d’appliquer les dernières mises à jour de sécurité de Windows, mais parfois le remède est pire que le mal. C’est précisément le cas de la dernière mise à jour de sécurité de novembre venant corriger une faille de sécurité identifiée comme CVE-2021-41379. Cette dernière pouvait permettre d’augmenter les privilèges d’un compte afin de prendre le contrôle d’un ordinateur animé par Windows 10, Windows 11 et plusieurs versions de Windows Server.
Le problème? Un chercheur en cybersécurité s’est rendu compte qu’avec le correctif de cette vulnérabilité, il est désormais possible d’obtenir plus de privilèges que sur la mise à jour originelle. Il a même publié un outil facilitant l’exploitation du bogue. En savoir plus en lisant cet article: Cette faille dans Windows vous permet de prendre le contrôle de n’importe quel ordinateur ! (futura-sciences.com)
2021: L’année du Ransomware !
Colonial Pipeline, JBS Foods, Kaseya, etc…que d’attaques au rançongiciel nous avons connu en 2021. L’année n’est pas encore terminée mais elle peut sans aucun doute être surnommée l’année du Rançongiciel. En effet, selon les données recueillies par le magazine de cybersécurité Recorded Future, les attaques de rançongiciel contre les organisations les plus vulnérables comme les écoles et établissements de santé ont considérablement augmenté au fil des mois en cette année qui s’achève. Le groupe CyberSwat vous propose de prendre connaissance des statistiques de rançongiciel pour l’ensemble de l’année 2021 dans ce rapport: Ransomware tracker: the latest figures [December 2021] – The Record by Recorded Future
Microsoft introduit un mode « super sécurisé » dans son navigateur Edge
Microsoft a intégré en catimini le mode « Super Duper Secure Mode » (SDSM) dans son navigateur Edge. Cet ajout n’est pas référencé dans le « changelog », mais a été révélé par un chercheur en sécurité. Cette nouvelle fonction de sécurité est disponible à partir de la version 96.0.1054. 29. Pour en profiter, il faut aller dans Paramètres -> Confidentialité, recherche et services, puis activer les atténuations de sécurité pour une expérience de navigateur plus sûre dans la rubrique Sécurité.
Pour plus de détails, consultez cet article: Microsoft introduit un mode « super sécurisé » dans son navigateur Edge (01net.com)
Article du mois
Microsoft a publié 67 correctifs de sécurité pour les logiciels, dont 7 problèmes critiques et une faille zero-day activement exploitée par les cybercriminels. Microsoft corrige des problèmes logiciels, notamment des vulnérabilités d’exécution de code à distance (RCE), des failles de sécurité d’escalade de privilèges, des bogues d’usurpation d’adresse et des problèmes de déni de service. C’est notamment les produits suivants qui sont touchés: Microsoft Office, Microsoft PowerShell, le navigateur Edge basé sur Chromium, le noyau Windows, le spouleur d’impression et le client Bureau à distance.
Voici les CVE, bien qu’une seule soit connue pour être activement exploitée dans la nature:
- CVE-2021-43890: Cette vulnérabilité d’usurpation d’identité de Windows AppX Installer est en cours d’exploitation.
- CVE-2021-41333: cette vulnérabilité d’élévation de privilèges du spouleur d’impression Windows a été rendue publique et présente une faible complexité d’attaque.
- CVE-2021-43880: Cette faille de sécurité est décrite comme une vulnérabilité d’élévation de privilèges (EoP) de la gestion des appareils Windows Mobile qui permet à des attaquants locaux de supprimer des fichiers ciblés sur un système.
- CVE-2021-43893: : Cette faille de sécurité est décrite comme une vulnérabilité EoP dans le système de fichiers efs (Windows Encrypting File System).
- CVE-2021-43240: Microsoft affirme que cette faille, un bogue d’élévation de privilèges NTFS Set Short Name, dispose d’un code d’exploitation de preuve de concept et est connue publiquement.
- CVE-2021-43883: La dernière faille zero-day impacte Windows Installer. Ce problème peut permettre une escalade de privilèges non autorisée.
Apple a mis à disposition le 13 décembre plusieurs mises à jour pour différents produits afin de corrige de multiple vulnérabilité. Des corrections sont apportées au niveau du noyau, sandbox ou encore au niveau du pilot graphique pour les MacOS.
Voici la liste des produits mis à jour ce mois-ci:
Mozilla et Google corrigent de multiples failles dans leurs navigateurs respectifs Firefox (95) et Chrome (96.0.4664.93):
Bulletin de sécurité Mozilla – Centre canadien pour la cybersécurité
Bulletin de sécurité Google Chrome – Centre canadien pour la cybersécurité
