Top 10 des histoires de cybersécurité de 2020

La pandémie de Covid-19 a fondamentalement changé le monde de la technologie en 2020, et le secteur de la cybersécurité a lui-même été profondément touché.

Mais cela ne veut pas dire qu’un virus microscopique a fait les manchettes tout seul, avec des développements autour de la confidentialité et de la protection des données, de la sécurité du cloud, de la vulnérabilité et bien plus encore, tous saisissant leur part des projecteurs. Et comme d’habitude, nous n’avons même pas commencé à considérer l’impact de la cybercriminalité.

Voici les 10 meilleures histoires de cybersécurité de Computer Weekly de 2020 :

1. Avertissement sur la montée en puissance des incidents de sécurité Zoom

Les cybercriminels ciblent les utilisateurs de l’application de vidéoconférence populaire Zoom alors que des millions d’employés de bureau se tournent vers des outils de collaboration pour rester en contact les uns avec les autres pendant la pandémie de Covid-19.

L’équipe de recherche sur les menaces de Check Point a déclaré qu’elle a connu une augmentation constante dans les nouveaux domaines Zoom, avec 1700 créés depuis Janvier, mais cela a augmenté au cours des derniers jours, avec 425 nouveaux domaines enregistrés au cours des sept derniers jours seulement.

De ce nombre, 70 ont maintenant été identifiés comme de faux sites, qui usurpent l’identité de véritables domaines Zoom avec l’intention de capturer et de voler des informations personnelles. Les chiffres renforcent une tendance pour les cybercriminels à profiter du travail à domicile via Zoom, qui est utilisé par plus de 60% du Fortune 500 et a été téléchargé plus de 50 millions de fois à partir de l’App Store Google Play.

2. Broadcom s’en prendre à l’unité de sécurité de l’entreprise Symantec à Accenture

Moins de 12 mois après l’acquisition de l’activité de sécurité d’entreprise de Symantec pour 10,7 milliards de dollars, et à peine deux mois après la fin de l’opération, Broadcom vend l’unité des services de sécurité à Accenture pour une somme non divulguée.

Accenture a déclaré que l’accord ferait de son unité de sécurité un fournisseur de services de sécurité géré de premier plan, améliorant sa capacité à aider les organisations à « anticiper, détecter et répondre rapidement aux cybermenaces ».

Il s’occupera d’un vaste portefeuille comprenant la surveillance et l’analyse des menaces mondiales par l’intermédiaire d’un réseau mondial de centres d’opérations de sécurité, d’informations sur les menaces en temps réel et spécifiques à l’industrie et d’intervention en cas d’incident.

3. La société de cosmétiques Avon fait face à un nouvel incident de cybersécurité

Avon, la marque de cosmétiques qui a subi une attaque ransomware présumé en Juin 2020, s’est retrouvé au centre d’un incident de sécurité nouveau et important après avoir laissé par inadvertance un serveur Microsoft Azure exposé à l’Internet public sans protection par mot de passe ou de cryptage.

Découverte par Anurag Sen du service de comparaison d’outils de sécurité SafetyDetectives, la vulnérabilité signifiait que toute personne possédant l’adresse IP du serveur aurait pu accéder à une base de données ouverte d’informations.

Le dernier incident survient un peu plus d’un mois après qu’Avon a confirmé un incident de sécurité majeur, bien qu’il n’ait pas été confirmé qu’il s’agit d’une attaque ransomware, qui a pris ses systèmes back-end hors ligne et a laissé beaucoup de ses représentants de renom incapables de passer des commandes.

4. Un chercheur belge en sécurité pirate Tesla avec Raspberry Pi

Le constructeur automobile électrique Tesla a déployé un patch en vol pour ses véhicules Model X après avoir été informé d’une grave vulnérabilité dans son système d’entrée sans clé, identifié par des universitaires belges, qui aurait pu permettre aux criminels de contourner les systèmes de sécurité embarqués de la voiture à 100 000 dollars.

Le porte-clés de la Tesla Model X permet à ses propriétaires de déverrouiller automatiquement leur voiture à l’approche, ou en appuyant sur un bouton, en utilisant la norme de communication Bluetooth Low Energy pour parler à la voiture via une application smartphone.

Ce processus a été contourné par Lennert Wouters, doctorant du groupe de recherche en sécurité informatique et cryptographie industrielle de l’Université de Louvain, dans le cadre d’une preuve de concept à l’aide d’un dispositif self-made construit à partir d’un Raspberry Pi, d’une clé modifiée et d’une unité de commande moteur d’un modèle X récupéré, et d’autres composants d’un coût total de 195 $.

5. L’UE se rapproche de l’interdiction de cryptage après les attaques de l’Autriche et de la France

L’Union européenne se rapproche de mettre officiellement fin à l’utilisation du chiffrement de bout en bout par des plateformes web telles que Signal et WhatsApp, à la suite d’une vague d’attentats terroristes islamistes en Autriche et en France.

Dans un projet de document de résolution divulgué à la chaîne de télévision autrichienne ORF, qui peut être lu dans son intégralité ici, l’UE a déclaré qu’elle reconnaissait la valeur du chiffrement comme un « moyen nécessaire de protéger les droits fondamentaux », mais en même temps que « les autorités compétentes dans le domaine de la sécurité et de la justice pénale » devaient être en mesure d’exercer leurs pouvoirs légitimes dans le cadre de leur travail.

Les précédentes conclusions du Conseil européen rendues début octobre déclaraient que l’Union prévoyait defaire rage ses outils et ses pouvoirs réglementaires pour aider à façonner les règles et les normes mondiales », et que les fonds de son Fonds de relèvement et de résilience doivent être utilisés pour améliorer la capacité de l’UE à se protéger contre les cybermenaces, à assurer un environnement de comms sécurisé – peut-être par le biais du chiffrement quantique – et, surtout, à « garantir l’accès aux données pour les processus judiciaires et d’application de la loi ».

6. Les seaux AWS exposés à nouveau impliqués dans de multiples fuites de données

Le manque de soin pris pour configurer correctement les environnements cloud a une fois de plus été mis en évidence par deux fuites de données graves au Royaume-Uni causées par le stockage de godets Amazon Simple Storage Service (S3) mal configuré.

En tant que paramètre par défaut, les seaux Amazon S3 sont privés et ne peuvent être consultés que par des personnes qui ont explicitement eu accès à leur contenu, de sorte que leur exposition continue indique le fait que la messagerie cohérente autour de la politique de sécurité cloud, la mise en œuvre et la configuration ne parvient pas à passer à travers de nombreux professionnels de l’informatique.

La première fuite concernait plusieurs cabinets de conseil britanniques. Ceci a été découvert par Noah Rotem et Ran Locar, chercheurs chez vpnMentor, qui ont découvert des informations telles que des analyses de passeport, des documents fiscaux, des vérifications des antécédents, des demandes d’emploi, des demandes de remboursement de dépenses, des contrats, des courriels et des détails salariaux concernant des milliers de consultants travaillant au Royaume-Uni.

7. Le procès gdpr contre Oracle et Salesforce va de l’avant

Les politiques et pratiques de traitement des données de deux des plus grandes sociétés de logiciels au monde, Salesforce et Oracle, feront l’objet d’un examen minutieux devant la Haute Cour d’Angleterre et du Pays de Galles dans le cadre du plus grand recours collectif en matière de protection de la vie privée numérique jamais intenté.

La poursuite, déposée par rebecca Rumbul, militante de la protection de la vie privée et spécialiste de la protection des données, demande des dommages et intérêts estimés à plus de 10 milliards de livres sterling, ce qui pourrait entraîner des récompenses de 500 livres sterling pour chaque internaute au Royaume-Uni. Une poursuite parallèle aux Pays-Bas, soutenue par un groupe néerlandais appelé The Privacy Collective Foundation, pourrait porte le montant total des dommages à plus de 15 milliards d’euros.

— Assez, c’est assez, dit Rumbul. « J’en ai assez que les géants de la technologie se comportent comme s’ils étaient au-dessus des lois. Il est temps de prendre position et de démontrer que ces entreprises ne peuvent pas illégalement et sans discernement hoover mes données personnelles en toute impunité. L’Internet n’est plus facultatif, et je devrais être en mesure de l’utiliser sans big tech me suivre sans mon consentement.

8. Coronavirus : Un chercheur constate une vulnérabilité en matière de sécurité dans Slack

Les risques pour la sécurité associés à l’application unifiée de communication et de collaboration (UCC) Zoom sont devenus l’une des grandes histoires de la pandémie de coronavirus Covid-19, mais d’autres plates-formes UCC ne sont pas à l’abri de problèmes. Selon Alien Labs d’AT&T, une vulnérabilité dans le service de messagerie natif du cloud Slack pourrait laisser les réunions ouvertes à la perturbation par des acteurs malveillants.

La vulnérabilité se concentre sur les webhooks entrants de Slack, qui permettent aux utilisateurs de poster des messages à partir de diverses applications vers Slack. Si l’utilisateur spécifie une URL unique, un texte de corps de message et un canal de destination, il peut envoyer un message à n’importe quel internaute dont il connaît l’URL dans n’importe quel espace de travail, quel que soit son appartenance.

La vulnérabilité Slack a été découverte par Ashley Graves, chercheuse en sécurité cloud chez Alien Labs, qui a déclaré que bien que les webhooks soient considérés comme une intégration à faible risque – l’utilisateur doit sélectionner un canal cible, ce qui réduit la portée des abus, l’URL webhook est secrète, et les internautes n’acceptent que les données, donc ne peuvent pas, seuls, exposer des données – ce n’est pas tout à fait exact.

9. La vulnérabilité des puces Qualcomm met des millions de téléphones en danger

Les smartphones de Google, LG, OnePlus, Samsung et Xiaomi risquent d’être compromis par les cybercriminels après la découverte de 400 sections de code vulnérables sur la puce de processeur de signal numérique Snapdragon de Qualcomm, qui fonctionne sur plus de 40% de la propriété android mondiale.

Les vulnérabilités ont été découvertes par Check Point, qui a déclaré que pour exploiter les vulnérabilités, un acteur malveillant aurait simplement besoin de convaincre leur cible d’installer une application simple et bénigne sans aucune autorisation du tout.

Les vulnérabilités laissent les smartphones affectés à risque d’être repris et utilisés pour espionner et suivre leurs utilisateurs, ayant malware et d’autres code malveillants installés et cachés, et même être bricked pure et simple, a déclaré Yaniv Balmas, Check Point chef de la cyber-recherche.

10. La vulnérabilité critique de SaltStack affecte des milliers de centres de données

Une série de vulnérabilités critiques dans le cadre de tâche et de configuration à distance Salt Remote source de SaltStack permettra aux pirates de passer au-delà des garanties d’authentification et d’autorisation pour reprendre des milliers de serveurs basés sur le clouds’il n’est pas patché.

Le sel est utilisé dans les solutions d’automatisation de l’infrastructure, du réseau et de la sécurité et est largement utilisé pour maintenir les centres de données et les environnements cloud. Le cadre comprend un serveur « maître » agissant comme un référentiel central, avec un contrôle sur les agents « sbires » qui effectuent des tâches et recueillent des données.

Les deux vulnérabilités, qui se voient attribuer les désignations CVE-2020-11651 et CVE-2020-11652, ont été découvertes par des chercheurs de F-Secure en mars 2020 alors qu’ils travaillaient sur l’engagement des clients.