Les équipes de sécurité de Check Point et Facebook ont mis en évidence les dangers de s’appuyer sur le code tiers dans le processus de développement après la divulgation d’une vulnérabilité critique d’exécution de code distant (RCE) dans la plate-forme de partage de photos Instagram, qui aurait pu permettre aux acteurs malveillants de prendre le contrôle de l’Instagram de leur victime et de transformer leur appareil en un outil d’espionnage.

Assigné CVE-2020-1895, la vulnérabilité est décrite par Facebook comme un débordement entier conduisant à un débordement de mémoire tampon tas, et existait au sein de Mozjpeg, un décodeur JPEG open source, tiers utilisé dans Instagram pour télécharger des images sur l’application. Il a été corrigé il ya six mois, mais est seulement divulgué maintenant que suffisamment d’utilisateurs ont, nous l’espérons mis à jour leurs applications pour atténuer son impact.

Si un utilisateur d’Instagram avait enregistré une image malveillante envoyée par e-mail, WhatsApp ou SMS, puis ouvert l’application Instagram, l’exploitation aurait été déclenchée, donnant à l’attaquant un accès complet aux messages et images de la victime, lui permettant de publier ou de supprimer des images sur Instagram, et d’accéder à d’autres fonctionnalités du téléphone, y compris les données de localisation, les contacts téléphoniques et les médias stockés. Il aurait également pu être utilisé pour bloquer l’installation de la victime d’Instagram, leur refusant l’accès à elle et les forçant à supprimer et à réinstaller.

Yaniv Balmas de Check Point, responsable de la cyber-recherche, a mis en garde les développeurs contre les risques liés à l’utilisation de bibliothèques de code tierces comme Mozjpeg sans les vérifier minutieusement pour les bogues. Il a souligné que s’il est courant de gagner du temps dans le processus de développement en utilisant du code tiers pour gérer des tâches communes telles que le traitement de l’image et du son, ce code peut souvent contenir des bogues qui introduisent des vulnérabilités plus graves dans le produit final.

« Les bibliothèques de codes tierces peuvent constituer une menace sérieuse. Nous exhortons vivement les développeurs d’applications logicielles à vérifier les bibliothèques de code tierces qu’ils utilisent pour construire leurs infrastructures d’applications et s’assurer que leur intégration se fait correctement », a déclaré Balmas.

« e code tiers est utilisé dans pratiquement toutes les applications là-bas, et il est très facile de passer à côté des menaces graves intégrées dans elle. Aujourd’hui, c’est Instagram, demain – qui sait? »

Balmas a déclaré que les utilisateurs finaux pourraient également se protéger en prenant le temps de vérifier les autorisations d’une application comme Instagram a sur leur appareil. Bien que cela puisse sembler un fardeau, il est également l’un des mécanismes de défense les plus forts disponibles pour l’utilisateur moyen de l’application.

« Je conseillerais à tout le monde de prendre une minute et de réfléchir, est-ce que je veux vraiment donner à cette application l’accès à mon appareil photo, à mon microphone, et ainsi de suite? » a-t-il dit.

Balmas a également exhorté les gens à mettre à jour régulièrement leurs applications mobiles et leurs systèmes d’exploitation mobiles, soulignant que des correctifs de sécurité souvent critiques sont expédiés dans de telles mises à jour tout le temps.

Un porte-parole de Facebook a déclaré: « Nous avons résolu le problème et n’ont pas vu de preuves d’abus. Nous sommes reconnaissants de l’aide de Check Point pour assurer la sécurité d’Instagram.

Commentant la divulgation, Stuart Sharp, vice-président des services techniques de OneLogin, a déclaré : « Cette vulnérabilité montre à quel point nos comptes en ligne sont vulnérables. En permettant l’accès à distance à un compte Instagram, les attaquants pourraient l’utiliser à n’importe quel but qu’ils souhaitent, y compris le chantage ou le compromis de grands profils ou des comptes Instagram d’entreprise. Instagram doit travailler le plus rapidement possible pour corriger cette vulnérabilité. »

Il a soutenu que la divulgation d’une telle vulnérabilité devrait inciter tout fournisseur de services, comme Facebook, à « retourner à la table à dessin » et à repenser son approche de la sécurité pendant le processus de développement.

Javvad Malik, défenseur de la sensibilisation à la sécurité à KnowBe4 a décrit la vulnérabilité comme à la fois intéressante et inquiétante, compte tenu de la quantité d’informations sensibles que les comptes de médias sociaux peuvent contenir.

« Our cette attaque particulière, une image doit être envoyée à une cible et enregistrée sur son téléphone. Par conséquent, l’une des meilleures façons de se défendre contre cela serait que les gens se méfient des images entrantes, en particulier de la part de parties inconnues. Il est répandu que le téléphone de Jeff Bezos a également été compromise en raison de la réception d’une vidéo malware lacé via WhatsApp », at-il dit.

« Les utilisateurs peuvent également désactiver l’enregistrement automatique des images reçues via les médias sociaux tels que WhatsApp. Pour les influenceurs, ou les gestionnaires de marque qui utilisent Instagram ou d’autres médias sociaux à titre professionnel, il vaut la peine d’envisager d’utiliser des appareils distincts pour le travail et les utilisations personnelles des médias sociaux. Cela s’appliquerait non seulement aux influenceurs et aux célébrités eux-mêmes, mais aussi à tout le personnel qui les soutient et qui a accès à leurs comptes », a ajouté Malik.

CL’équipe de recherche de Heck Point a publié en ligne tous les détails techniques sur CVE-2020-1895. Ils ont noté que le bug Instagram était probablement « la pointe de l’iceberg » quand il s’agissait de Mozjpeg.

« Le projet basé sur Mozilla est encore largement utilisé dans de nombreux autres projets sur le web, en particulier Firefox, et il est également largement utilisé dans le cadre de différents projets open-source populaires tels que le projet sharp et libvips », ont déclaré les chercheurs de Check Point.

CyrusOne est devenu le dernier géant de la colocation à établir des plans pour réduire les émissions de carbone générées par son portefeuille mondial de centres de données.

L’entreprise, qui exploite plus de 50 centres de données à travers le monde, s’est publiquement engagée à devenir une organisation neutre en carbone d’ici 2040 afin de s’assurer que la croissance continue de l’entreprise ne se fasse pas au détriment de l’environnement.

À ce stade, CyrusOne a déclaré qu’il prévoit d’augmenter la quantité d’énergie renouvelable qu’il utilise pour alimenter ses installations, tout en se lançant dans une série de mises à niveau axées sur la durabilité de l’équipement à travers ses sites existants, tout en veillant à ce que toute nouvelle construction sont conçus avec l’efficacité énergétique à l’esprit.

« Comme CyrusOne se développe sur de nouveaux marchés, la société se concentre sur l’achat d’énergies renouvelables, l’exploitation de l’énergie verte et l’intégration de composants de conception durable pour toutes les installations », a déclaré l’organisation dans un communiqué décrivant son engagement.

« Dans les endroits existants, CyrusOne évalue stratégiquement les mises à niveau et les technologies qui réduisent l’intensité du carbone et ajoutent de l’énergie renouvelable au réseau, tout en restant rentable pour répondre aux besoins des clients. »

Ces initiatives seront suivies de la publication de la toute première Rapport sur la durabilité en octobre 2020, l’entreprise a confirmé.

Elle a déjà fait quelques pas vers l’amélioration de la durabilité de ses activités, l’entreprise confirmant en 2019 que ses trois datacentres londoniens fonctionnent exclusivement sur les énergies renouvelables, dans le cadre d’une campagne visant à répondre aux besoins d’infrastructure de ses clients d’une manière plus durable.

À ce stade, Bruce Duncan, président et chef de la direction de CyrusOne, a déclaré que l’engagement de 2040 neutre en carbone est également une preuve de son engagement à aider ses clients à améliorer la durabilité de leurs opérations aussi.

« S’engager à devenir neutre en carbone au cours des 20 prochaines années est une étape importante dans notre mission d’accroître nos efforts mondiaux de durabilité et d’aider les clients à atteindre leurs objectifs de durabilité », a-t-il déclaré.

« Nous reconnaissons la durabilité comme une priorité à l’échelle de l’entreprise et nous nous efforçons de réduire notre empreinte environnementale. »

La nouvelle de l’engagement de CyrusOne en matière de réduction des émissions de carbone fait suite à l’annonce par un autre colocation Digital Realty en mai 2020 au sujet de ses plans de doublement sur la durabilité en se lançant dans un vaste ensemble de travaux visant à réduire ses émissions d’ici 2030.

Dans le cas de Digital Realty, il prévoit de suivre l’Initiative d’objectifs scientifiques (SBTI) soutenue par les Nations Unies, qui verra elle fixer une série d’objectifs de durabilité visant à réduire ses émissions de carbone aux niveaux nécessaires pour maintenir le réchauffement climatique en dessous de 2 °C, par rapport aux niveaux préindustriels.

Le secteur des centres de données, dans son ensemble, a constaté que son utilisation des énergies renouvelables et ses antécédents en matière de durabilité ont fait l’objet d’un examen minutieux au cours des dernières années de la part des organismes de réglementation, des lobbyistes et des gouvernements, par crainte du coût de sa croissance sur l’environnement.

Cela, à son tour, a vu les entreprises de cloud hyperscale, les fournisseurs de services Internet et les entreprises de colocation tous prendre des engagements publics pour alimenter leurs installations en utilisant des sources d’énergie durables, et de mieux utiliser les déchets générés par leurs opérations.

Julian Assange a été diagnostiqué avec le syndrome d’Asperger, dépression sévère, et a d’autres problèmes de santé mentale qui le mettent à risque de suicide, le tribunal a entendu.

Julian Assange est à haut risque de suicide s’il est extradé vers les experts médicaux américains a déclaré au cours de deux jours d’audiences à l’Old Bailey.

La santé mentale d’Assange et le risque de suicide sont l’un des principaux facteurs qui détermineront si le fondateur de WikiLeaks peut être extradé vers les États-Unis.

Dans deux cas de précédent, le Royaume-Uni a refusé l’extradition de Gary McKinnon en 2012 et Lauri Love en 2018 pour faire face à des accusations de piratage aux États-Unis au motif qu’ils avaient le syndrome d’Asperger et la dépression – des conditions qui les mettraient à risque de suicide.

Au cours des deux derniers jours, des experts médicaux ont déclaré à l’Old Bailey qu’Assange souffrait de dépression et d’autisme et qu’il courait un risque élevé de suicide si le tribunal ordonnait son extradition vers une prison américaine.

Assange a été inculpé de 17 chefs d’accusation en vertu de la loi américaine sur l’espionnage et d’une accusation en vertu de la Loi américaine sur la fraude informatique et les abus, après avoir reçu des centaines de milliers de documents gouvernementaux divulgués de l’ancienne soldate américaine Chelsea Manning.

Le fondateur de WikiLeaks fait face à d’autres allégations selon lesquelles il a conspiré avec des pirates informatiques pour les encourager à obtenir des documents secrets du gouvernement américain.

Syndrome d’Asperger

Prenant la parole mercredi, Quinton Deeley, un psychiatre consultant du NHS, a déclaré qu’il avait diagnostiqué Assange avec le syndrome d’Asperger.

Deeley a diagnostiqué la condition après avoir observé Assange terminer un test de deux heures en Janvier et six heures d’entrevues téléphoniques avec Assange en Juillet 2020.

Il a dit qu’Assange était une personne intelligente, avec une capacité d’analyse des systèmes de pensée et de compréhension, mais avait de la difficulté à comprendre les autres.

« Vec délibération, il peut se résoudre à comprendre ce que les autres pensent et ressentent, mais dans son expérience quotidienne, il est inconscient », a-t-il déclaré à la cour.

Le psychiatre a déclaré à la cour que le syndrome d’Asperger d’Assange, signifiait qu’il ruminait sur des questions obsessionnelles, et combiné avec ses antécédents de dépression, serait à haut risque de suicide s’il faisait face à l’extradition vers une prison américaine.

« C’est un résultat qu’il craint, un résultat qu’il redoute », a déclaré Deeley. « l a toujours dit qu’il trouverait que c’était une épreuve insupportable. »

« La réalité de la situation est que les gens qui sont déterminés à se suicider vont se suicider », a-t-il déclaré au tribunal.

James Lewis QC pour l’accusation a demandé à Deeley s’il était au courant qu’Assange était l’hôte d’une émission de télévision en 2012, et s’est engagé dans un « échange de conversation » au Frontline Club pour les journalistes en 2010.

Lorsqu’une vidéo du club Frontline a été diffusée au tribunal, Deeley a déclaré qu’Assange avait présenté un « monologue impressionnant » sur un sujet dans lequelle il est expert, mais qu’il a trouvé l’interaction spontanée plus difficile.

Assange avait montré des indications de l’autisme comme un enfant, y compris une préférence pour le jeu solitaire et comme un adolescent développé l’amitié avec un petit nombre de « geek » des gens qui partageaient son intérêt pour l’informatique, a déclaré Deeley.

Le psychiatre a interrogé un ami d’Assange d’Australie qui lui a dit que Assange se comportait souvent de façon inhabituelle.

Il était normal pour lui d’aller dans les cafés et déplacer les chaises autour, d’aller derrière le bar pour changer la musique à quelque chose qu’il aimait ou de prendre une photo du mur pour le regarder.

Il ne pouvait pas gérer les petites conversations, parler de football ou de la météo. Il parlait sur les gens, les interrompait et coupait les gens – non pas parce qu’il était arrogant, mais parce qu’il avait une pensée et qu’il voulait l’exprimer.

Deeley a dit qu’il semblait y avoir une histoire de trouble du spectre autistique dans l’histoire familiale d’Assange.

Sa mère s’est identifiée comme « sur le spectre » et sa grand-mère s’est isolée dans sa chambre pour apprendre le latin.

Hallucinations auditives

Michael Kopelman, chef de la neuropsychiatrie au King’s College de Londres a déclaré que Assange avait l’autisme, des épisodes de dépression et a eu des hallucinations auditives.

« Pour autant qu’un psychiatre puisse dire, le risque de suicide si l’extradition se produit est très élevé », a déclaré Kopelman à la cour.

En témoignant mardi, Kopelman, a déclaré Assange avait rédigé un testament et a avoué à un prêtre catholique qui lui a donné l’absolution.

Le tribunal a appris qu’Assange avait été trouvé en possession d’un grand nombre de paracétamol et qu’il avait été accusé de possession d’une lame de rasoir dans sa cellule de la prison de Belmarsh, dans le sud-est de Londres.

À une autre occasion, Assange a déclaré qu’il avait une « expérience de mort imminente ».

Malingering

James Lewis QC pour la poursuite a pressé Kopelman s’il avait l’expérience de repérer les prisonniers qui étaient malsering ou exagérer leurs symptômes.

Kopelman a déclaré: « e suis très bien conscient en tant que quelqu’un qui a fait beaucoup de cas de la possibilité de malingering et j’étais au courant de cela dans ce cas, » .

L’avocat de l’accusation a demandé à Kopelman pourquoi il n’avait pas mentionné dans son rapport qu’Assange avait lu le British Medical Journal.

Il a déclaré que Kopleman n’avait pas inclus des éléments enregistrés dans les notes d’Assange, y compris des exemples étaient Assange semblait détendu et avait nié l’automutilation, dans son rapport médical.

Kopelman a dit qu’il essayait d’écrire un résumé pour la cour, et que son rapport était plus complet que celui d’autres experts médicaux dans l’affaire.

« J’ai inclus des choses qu’il dit qui sont positives au sujet de sa santé mentale et des choses qui sont négatives. Je n’ai pas tout inclus », a-t-il dit.

L’affaire continue.