actualités

La moitié des 18 failles de type "zero day" qui ont été exploitées cette année auraient pu être évitées, si les principaux fournisseurs de logiciels avaient créé des correctifs plus complets et effectué davantage de tests.

C'est le verdict des chercheurs de l'équipe Google Project Zero, qui a recensé jusqu'à présent 18 failles "zero day" en 2022. Ces dernières affectent Windows (Microsoft), iOS et WebKit (Apple), Chromium et Pixel (Google), et le serveur Confluence (Atlassian).

C'est dans les vieilles failles qu'on fait les meilleurs exploits

Google Project Zero ne recueille des données que sur les failles de type "zero day" – des bugs exploités par des attaquants avant qu'un correctif ne soit disponible – dans les principaux logiciels, de sorte que le nombre annoncé n'englobe pas toutes les failles 0day découvertes dans les logiciels.

En outre, selon l'équipe de Google, il n'y a eu que quatre failles zero day vraiment uniques cette année, car les attaquants se contentent de modifier leurs exploits pour contourner les correctifs partiels.

« Au moins la moitié des failles zero day que nous avons observées au cours des six premiers mois de 2022 auraient pu être évitées grâce à des correctifs et des tests de régression plus complets. En outre, quatre des failles zero day de 2022 sont des variantes de failles zero day de 2021. 12 mois à peine après la correction de la première 0day, les attaquants sont revenus avec une variante du bug original », écrit Maddie Stone, membre du groupe Project Zero, dans un billet de blog.

Elle ajoute qu'au moins la moitié des failles zero day « sont étroitement liés à des bugs que nous avons déjà vus ».

De plus en plus de zero day

Ce manque d'originalité va dans le sens d'une tendance que Maddie Stone et d'autres chercheurs de Google ont récemment mise en évidence.

Plus de failles zero day ont été trouvées en 2021 qu'au cours des cinq dernières années où Google Project Zero les a comptabilisés.

Plusieurs facteurs sont potentiellement en jeu. Tout d'abord, les chercheurs pourraient être plus à même de détecter leur exploitation par des attaquants qu'auparavant. D'autre part, le code source des navigateurs est devenu aussi complexe que les systèmes d'exploitation. De plus, les navigateurs sont devenus une cible directe, suite à la disparition de plug-in de navigateur comme Flash Player.

Les pratiques de l'industrie à revoir

Mais si la détection, la divulgation et l'application de correctifs s'améliorent dans l'ensemble de l'industrie, « nous ne rendons pas les 0day difficiles (à créer) », souligne Maddie Stone. Elle souhaite que l'industrie élimine des classes entières de failles de sécurité.

Par exemple, 67 % des 58 failles zero day étaient des vulnérabilités de corruption de mémoire.

L'équipe chargée de la sécurité de Chrome travaille à des solutions pour les failles de mémoire découlant de l'énorme base de code du navigateur écrit en C++, mais les mesures d'atténuation ont un coût en termes de performances. Chrome ne peut pratiquement pas être réécrit en Rust, qui offre de meilleures garanties de sécurité mémoire que le C et le C++.

Correctifs partiels

Maddie Stone souligne également que l'équipe Windows de Microsoft et l'équipe Chrome de Google ont fourni des correctifs partiels.

« Bon nombre des failles zero day de 2022 sont dues au fait que la vulnérabilité précédente n'a pas été entièrement corrigée. Dans le cas des bugs Windows win32k et Chromium property access interceptor, le flux d'exécution que les exploits visaient ont été corrigés, mais la cause première n'a pas été traitée : les attaquants ont pu revenir et déclencher la vulnérabilité originale par un chemin différent », raconte-t-elle.

« Dans le cas de WebKit et de Windows PetitPotam, la vulnérabilité originale avait déjà été corrigée, mais à un moment donné, elle a régressé de sorte que les attaquants ont pu exploiter à nouveau la même vulnérabilité. »

Les failles exploitées cette année

Voici la liste des failles zero day exploitées en 2022 que Google Project Zero a suivies jusqu'au 15 juin :

• Windows win32k : CVE-2022-21882, variante de la faille CVE-2021-1732 (2021) ;
• iOS IOMobileFrameBuffer : CVE-2022-22587, variante de la faille CVE-2021-30983 (2021) ;
• Windows : CVE-2022-30190 ("Follina"), variante de la faille CVE-2021-40444 (2021) ;
• Chromium property access interceptors : CVE-2022-1096, variante des failles CVE-2016-5128, CVE-2021-30551 (2021) et CVE-2022-1232 ;
• Chromium v8 : CVE-2022-1364, variante de la faille CVE-2021-21195 ;
• WebKit : CVE-2022-22620 ("Zombie"), corrigée à l'origine en 2013, mais rétablie en 2016 ;
• Google Pixel : CVE-2021-39793 (la CVE indique 2021, mais la faille a été divulguée et corrigée en 2022), variante d'une faille Linux similaire, dans un sous-système différent ;
• Atlassian Confluence : CVE-2022-26134, variante de la CVE-2021-26084 ;
• Windows : CVE-2022-26925 ("PetitPotam"), variante de la CVE-2021-36942 (patch régressé).

En d’autres termes, tout bug ou vulnérabilité découverts dans Internet Explorer à partir de maintenant ne sera pas corrigé, car Microsoft retire le navigateur et encourage les utilisateurs à passer à Microsoft Edge.

Cela n’a guère de sens de discuter de l’héritage d’Internet Explorer, mais il fut un temps où il était le navigateur numéro un dans le monde. Cependant, les navigateurs tiers ont évolué à un rythme très rapide, alors qu’Internet Explorer ne l’a pas fait, de sorte que l’application de Microsoft a lentement mais sûrement perdu la bataille.

Maintenant que Microsoft s’investit pleinement dans Microsoft Edge, l’entreprise espère que la transition d’Internet Explorer ne sera pas aussi douloureuse qu’il y paraît.

Microsoft propose un mode IE dédié dans Microsoft Edge, de sorte que les utilisateurs peuvent toujours charger certains sites Web dans ce mode de compatibilité.

Bon débarras

« Si vous êtes un consommateur utilisant Internet Explorer à la maison, nous vous recommandons de passer à Microsoft Edge avant le 15 juin 2022, pour commencer à profiter d’une expérience de navigation plus rapide, plus sécurisée et plus moderne », a déclaré Microsoft dans une précédente annonce. « La bonne nouvelle : vous l’avez probablement déjà sur votre appareil. Recherchez “Microsoft Edge” à l’aide de la boîte de recherche de Windows 10 ou cherchez l’icône. Si vous ne l’avez pas, vous pouvez facilement le télécharger ici. Nous avons également cherché à simplifier la mise à niveau vers Microsoft Edge. Une fois que vous avez choisi de passer à Microsoft Edge, il est facile de transférer vos mots de passe, vos favoris et autres données de navigation d’Internet Explorer en quelques clics. Et si vous tombez sur un site qui nécessite Internet Explorer pour s’ouvrir, Microsoft Edge intègre le mode Internet Explorer pour que vous puissiez toujours y accéder ».

Le temps est venu pour Internet Explorer, mais alors que c’était l’un des principaux navigateurs du monde à un moment donné, il est difficile de croire qu’il manquera à trop de gens de toute façon.

Source : www.blog-nouvelles-technologies.fr/

Date : 15/06/2022

Auteur : Yohann POIRON

En février 2022, la CNIL annonçait des mises en demeure à l’encontre de sites web français qui utilisaient Google Analytics, estimant que l’usage de cet outil était une violation du RGPD, en raison de transferts de données vers les États-Unis.

Aujourd’hui, la CNIL fait le point sur la situation pour aider les acteurs du web à comprendre pourquoi certains paramétrages de l’outil ne sont pas suffisants pour être en conformité et propose une solution opérationnelle : l’utilisation d’un proxy.

La modification du paramétrage des conditions de traitement de l’adresse IP ne suffit pas pour être en conformité
À la suite de cette prise de position de la CNIL en février dernier, certains professionnels du web ont modifié leur paramétrage des conditions de traitement de l’adresse IP mais cela n’est pas suffisant selon l’autorité administrative française car les données continuent d’être transférées aux États-Unis.

Autre paramétrage qui ne suffit pas : le chiffrement de l’identifiant généré par Google Analytics, ou bien du remplacement de celui-ci par un identifiant généré par l’opérateur du site. La raison avancée par la CNIL : « cela n’apporte que peu ou pas de garanties supplémentaires contre une éventuelle réidentification des personnes concernées, principalement du fait de la persistance du traitement de l’adresse IP par Google. »

Quel est le principal problème pour la CNIL ?

La problématique principale mise en avant par la CNIL : « le contact direct, par le biais d’une connexion HTTPS, entre le terminal de la personne et des serveurs gérés par Google. Les requêtes qui en résultent permettent à ces serveurs d’obtenir l’adresse IP de l’internaute ainsi que de nombreuses informations sur son terminal. Celles-ci peuvent, de manière réaliste, permettre une réidentification de celui-ci et, en conséquence, l’accès à sa navigation sur l’ensemble des sites ayant recours à Google Analytics. »

Une solution complexe proposée : l’utilisation d’un proxy

La CNIL recommande d’utiliser un serveur mandataire (un proxy) pour rompre le contact direct entre le terminal de l’internaute et les serveurs de Google. L’idée est de garantir que l’ensemble des informations transmises ne permet en aucun cas une réidentification de la personne.

Dans son blog post, la CNIL liste toutes les mesures nécessaires à mettre en place pour que la proxyfication soit valable et les conditions d’hébergement adéquates. Mais mettre en place un proxy correctement configuré ne se fait pas en un claquement de doigts, et la CNIL en a conscience : « La mise en œuvre des mesures décrites ci-dessous (ndlr : la proxyfication) peut se révéler coûteuse et complexe et ne permet pas toujours de répondre aux besoins opérationnels des professionnels. » 

Le moment de changer d’outil de web analytics ?

Est-ce le moment de changer de solution de web analytics ? La question se pose. Dans son blog post, la CNIL invite d’ores et déjà les acteurs du web à se tourner vers d’autres solutions ne réalisant pas de transfert de données personnelles en dehors de l’Union européenne… Le début de la fin pour Google Analytics en France ?

La CNIL a publié une FAQ sur ses mises en demeure de la CNIL concernant l’utilisation de Google Analytics. Vous y retrouvez notamment une liste d’outils alternatifs de mesure d’audience.

Source : www.blogdumoderateur.com/

Date : 09/06/2022

Auteur : Estelle Raffin

Généralement, la première chose que l’on regarde pour savoir si un site est fiable, c’est son URL. Si celle-ci contient le sigle « https » avant le nom de domaine, on se sent déjà plus en sécurité. Votre navigateur vous conforte dans ce choix en indiquant que la connexion est sécurisée, avec un symbole de cadenas pour Chrome par exemple. Le nom du site ne contient aucune faute, le design a visiblement été réalisé par un professionnel, et pourtant c’est bien un escroc qui se cache derrière cette page.

Les arnaqueurs se sont adaptés au niveau de vigilance des internautes. Le sigle HTTPS est devenu une nécessité pour tromper les victimes, puisque le navigateur vous prévient en cas de soupçons.

Pour faire court, le protocole HTTP (abréviation de protocole de transfert hypertexte) rend possibles les échanges de données entre un client et un serveur, entre un site web et un navigateur. Un stade de sécurité peut être ajouté en installant un certificat SSL (Secure Socket Layer). L’HTTPS est activé et les échanges avec le serveur sont dès lors chiffrés.

On peut donc se connecter au site d’un pirate, contenant des logiciels malveillants. La seule chose que le protocole garantit, c’est que la communication est sécurisée. Plusieurs mails catégorisés comme « spam » que nous avons reçus, nous demandant nos identifiants bancaires, détiennent le fameux certificat.

« Un site de phishing ne veut pas être référencé »

Sommes-nous condamnés à ne jamais être totalement sûrs que nous sommes sur le bon site ? En quelque sorte oui, mais des situations sont bien plus dangereuses que d’autres. Interrogé par Numerama, Arnaud Lemaire, directeur technique chez F5, une société américaine de cybersécurité, nous recommande par exemple de « ne jamais cliquer sur le lien intégré dans un mail. On tire un trait sur le côté instantané, mais il vaut toujours mieux se rendre sur le site depuis un navigateur et chercher soi-même l’information sur son compte plutôt que tomber dans le piège ».

Il ajoute que même un site officiel peut-être infecté : « l’attaquant va tenter de récupérer du contenu depuis un fournisseur tiers de données grâce aux cookies, comme un annonceur publicitaire ».

Faire sa recherche sur les premières pages de Google sera toujours moins risqué. « Un site de phishing ne veut absolument pas être référencé. D’abord ce sont généralement des plateformes éphémères liées à une campagne. Ensuite les entreprises que les attaquants veulent usurper traquent les arnaques. Le groupe souscrit à un service de sécurité qui va détecter et alerter le navigateur de l’existence de ce danger. »

Dernièrement, les tensions sur le plan international ont poussé les hackers à copier les sites des fournisseurs d’énergie. Comme indiqué précédemment, on vous recommande de ne pas vous aventurer sur les offres que vous recevez par mail.

Source : www.numerama.com/

Date : 30/04/2022

Auteur : Bogdan Bodnar

Les entreprises prennent peu à peu la mesure du phishing (hameçonnage) et du hacking (piratage) qui transite par leurs boîtes mail. Pourtant, seuls 3 % des salariés repèrent l’intégralité des mails frauduleux qui leur sont adressés, d’après un sondage Opinionway repéré par Le Parisien .

Une « surestimation » des capacités à déjouer les pièges

Dans l’étude, on apprend que 88 % des collaborateurs s’estiment vigilants quand ils ouvrent leurs mails et que 67 % considèrent qu’il est facile de détecter les e-mails frauduleux. Pourtant, seuls 3 % des sondés sont parvenus à repérer tous les pièges lors d’une campagne test.

« La surestimation de soi est flagrante, explique Bruno Teboul, chercheur en sciences cognitives et économie comportementale, au Parisien. Le sujet de la cybersécurité n’est pas uniquement technologique, managérial, organisationnel. Le diagnostic repose aussi sur la compréhension des mécanismes psychologiques. »

Selon l’étude, la sensibilité ou non aux arnaques de ce type est la même chez les hommes et les femmes. La taille de l’entreprise ne modifie pas non plus les résultats. L’âge, en revanche, semble jouer : les 18-24 ans, qui se disent plus stressés, cliquent à 59 % contre des liens frauduleux, contre 26 % toutes générations confondues.

Les experts en cybersécurité recommandent des formations dans les entreprises à destination de tous les employés.

Source : www.arochesuryon.maville.com/

Auteur : Ouest-France

Date : 27/04/2022