attaque informatiqueLe début de l’année 2015 a été intense en termes de sécurité informatique. Entre l’OpFrance de janvier qui a fait tomber 2000 sites, les attaques sur des médias comme France 5 et Le Monde, et en particulier le débat sur la Loi Renseignement qui en a découlé, la sécurité informatique est sur toutes les lèvres et toutes les ondes.

On oublie cependant souvent que ces attaques sont possibles à cause de vulnérabilités informatiques présentes sur les sites ciblés. En effet, dans beaucoup de cas d’ailleurs les attaques sont opportunistes, il est rare qu’un site précis soit réellement ciblé. De nouvelles failles sont découvertes très régulièrement ; certaines ont des conséquences plus importantes que d’autres, mais toutes doivent être corrigées, par les sites concernés au plus vite, afin justement de se protéger d’attaques éventuelles.

Cela dit, Verizon publie dans son 2015 Data Breach Investigation Report que pour la grande majorité des attaques exploitant une vulnérabilité connue, le correctif a été disponible des mois auparavant. Et même, dans 71% de ces cas, plus d’un an avant l’attaque !

NBS System souhaite donc faire un point, en ce milieu 2015, sur les découvertes majeures depuis le début de l’année. Cet article a pour but d’aider les lecteurs à mieux comprendre ces failles et leurs impacts, mais également de rappeler aux administrateurs de sites web qui seraient passé à côté de ces informations et qui n’ont pas mis à jour leurs outils, plateformes ou plugins de le faire, et le plus tôt sera le mieux !

Janvier : Ghost

GhostLa première grande vulnérabilité de 2015 a été divulguée le 27 janvier par la société Qualys. Nommée Ghost, elle menace la sécurité des serveurs Linux en permettant aux attaquants de récupérer des données, d’implanter un botnet sur une machine ou même de prendre le contrôle de celle-ci, le tout à distance.

La vulnérabilité Ghost est le résultat d’une erreur de code située dans la « Glibc », une bibliothèque comprenant toutes les fonctions de base nécessaires à l’activité de n’importe quel programme, et donc utilisée par toutes les machines Linux.

La faille se situe au niveau des fonctions de type « Gethostbyxxx () », d’où le nom de la faille : G(et)HOST. A cause d’un manque de sécurité dans le code, il existe un risque « d’exploitation de taille de caractères » : si un utilisateur dépasse le nombre de caractères définis pour un élément, et donc sort de la zone de mémoire dédiée à cet élément (ex : un mot de passe), sa requête ne sera pas stoppée comme elle devrait l’être. Il aura donc accès à d’autres parties de la mémoire de la machine et pourra utiliser ce droit de manière malveillante, en lui faisant par exemple exécuter du code, et en prenant petit à petit le contrôle de la machine.

Bien entendu, c’est une explication simplifiée, et l’exploitation de la faille requiert des compétences techniques relativement développées ; mais l’idée est là. Pour une explication plus poussée de la vulnérabilité, retrouvez notre article sur la faille Ghost.

Certaines cibles ne sont apparemment pas en danger d’être exploitées (retrouvez la liste des systèmes épargnés par Ghost à la fin de notre article). Pour vérifier si votre serveur est vulnérable et le corriger si c’est le cas, suivez les informations indiquées ici.

Mars : Freak

FreakEn mars a été découverte une famille de vulnérabilités : les SMACK (State Machine Attacks), qui sont des failles concernant le chiffrement des échanges. L’une d’entre elles a été particulièrement médiatisée : la faille FREAK.

Etre victime de FREAK, c’est voir son activité sur le web, ses échanges (entre le navigateur et le serveur) lus, rapidement décodés et compris par l’attaquant, même si à l’origine ils devaient être chiffrés efficacement…

Dans les années 90, les USA voulaient préserver leur avance en termes de chiffrement, et donc n’exportaient que des méthodes et algorithmes faibles auprès du reste du monde. Les plus développés n’étaient utilisés qu’en interne, afin qu’aucun autre pays ne puisse les voler. Ces algorithmes faibles ne sont plus utilisés ; la faille FREAK consiste cependant à forcer leur utilisation, via une faille dans l’implémentation du protocole TLS (protocole de sécurisation des échanges). Ainsi, quand les échanges sont chiffrés avec des clés RSA (seules concernées par la faille), un pirate peut obliger l’utilisation de l’algorithme « d’export » faible et les échanges sont donc plus simples à déchiffrer.

C’est ainsi qu’est né le nom FREAK : Factoring RSA Export Keys.

Pour pouvoir attaquer, le pirate doit réunir deux conditions :

– il doit être en position de « man in the middle », c’est-à-dire être sur le même réseau que sa cible pour pouvoir se « placer » entre un serveur et un navigateur visé(s).
– le serveur attaqué doit pouvoir supporter l’algorithme plus faible (ce qui est le cas pour environ 10% des sites recensés par Alexa, qui fournit des statistiques sur le trafic du Web mondial).

L’exploitation de cette faille demande des moyens relativement importants, et n’est pas donnée à tout le monde. Cependant, son champ d’action reste assez large : elle touche les navigateurs Chrome, IE, Safari et Android. Vous pouvez vérifier si votre navigateur est vulnérable à Freak via ce lien. Si vous l’êtes, mettez rapidement à jour votre navigateur ou, si vous utilisez Linux ou BSD, migrez au plus vite sur les dernières versions d’OpenSSL et LibReSSL.

Avril : une vulnérabilité importante de Windows

WindowsUne faille entraînant un risque particulièrement important a été divulguée en avril impliquant de nombreuses versions et serveurs Windows. Elle consiste en une vulnérabilité dans une partie du protocole HTTP sous ce système d’exploitation. Un attaquant envoyant une requête HTTP spécifique et malveillante à un système vulnérable peut exécuter du code à distance sur une machine, et donc potentiellement récupérer des informations ou en prendre le contrôle. Elle peut avoir une portée très grande puisqu’environ 90% des ordinateurs personnels sont sous Windows…

Les versions vulnérables et leurs éventuels correctifs respectifs sont disponibles ici.

Avril : SUPEE / Shoplift

ShopliftLa faille dont on a entendu parler sous le nom de SUPEE-5344 se nomme en réalité Shoplift. Elle se trouve dans Magento, et elle consiste en l’exploitation d’une série de petites failles dans la plateforme. Elle n’est donc pas facile à exploiter, mais ses conséquences sont extrêmement graves.

En effet, elle permet à un attaquant de prendre le contrôle d’une boutique en ligne et de ses données dans leur intégralité. Pour un site e-Commerce, c’est particulièrement catastrophique puisque leurs BDD peuvent notamment contenir des numéros de cartes bancaires !

L’exploitation de cette faille est lente, compliquée et requiert des compétences techniques importantes. Elle repose principalement sur un contournement de l’authentification de la plateforme, sur des injections SQL et sur de l’exécution de code. Pour une explication plus poussée de l’exploitation de cette failles, cliquez ici.

Pour vérifier si votre site est toujours vulnérable, rendez-vous sur la page Magento dédiée à Shoplift. Vous y trouverez également les correctifs mis à disposition par Magento (SUPEE-1533 et SUPEE-5344).

Vérifiez également qu’aucun profil utilisateur supplémentaire n’a été créé, et qu’aucune extension supplémentaire n’a été installée. C’est le signe que votre site a été attaqué ; appliquez alors le correctif, supprimez le profil et les extensions en trop, et changez tous les mots de passe !

Redonner ces informations 2 ou 3 mois après la publication de la faille peut paraître superflu ; mais à ce jour, près de 50 000 sites sous Magento n’ont toujours pas été corrigés

Mai : Logjam

LogjamLa faille Logjam a été révélée en mai. Elle reprend le même principe de fonctionnement que la faille FREAK, c’est-à-dire celui de forcer l’utilisation d’un chiffrement faible (originellement utilisé pour l’export par les USA pendant les années 90) et donc simple à casser. Elle est cependant liée directement à une faille dans le protocole TLS, et cible les échanges de clés Diffie-Hellman et non RSA.

Ici encore, le pirate doit se placer en position de « man in the middle », et il suffit que le serveur ou le navigateur visé n’accepte pas l’ancien chiffrement pour que l’attaque échoue (il est possible de tester les serveurs/sites concernés par Logjam via ce lien).

Les navigateurs vulnérables sont Chrome, Firefox, Safari et Android, mais aucun correctif n’a encore été édité à ce jour.

Mai : Venom

Venom est une faille de type « buffer overflow » qui a beaucoup inquiété le monde informatique puisque des datacenters, hébergeant donc des milliers de sites, étaient concernés… Elle touche certains hyperviseurs, outils utilisés dans le fonctionnement des machines virtuelles, et donc des serveurs hébergeant les sites : KVM/QEMU (Red Hat), Xen, VirtualBox (Oracle). En revanche VMWare, Hyper-V et les hyperviseurs Bochs ne sont pas affectés par cette vulnérabilité.

VenomVENOM signifie Virtualized Environment Neglected Operations Manipulation ; elle permet à un pirate de sortir d’une machine virtuelle (évasion) et d’infiltrer chacune des autres machines de la plateforme de virtualisation. Une plateforme correspond à une machine physique sur laquelle sont stockées les machines virtuelles. Si ce n’est pas la seule faille de ce type jamais découverte, elle est particulièrement impactante car elle permet l’exécution directe de code arbitraire, et ne limite pas l’évasion de machines virtuelles à une seule plateforme de virtualisation : l’attaque peut donc se répandre facilement. Pour l’exploiter, il suffit d’avoir un accès invité sur une machine. Cette faille ne concerne donc pas le commun des utilisateurs d’Internet, mais plutôt les sites en eux-mêmes. Des correctifs ont été développés pour les administrateurs des systèmes touchés.

Conclusion

attentionNous tenons à le rappeler, ce ne sont que quelques failles sur le grand nombre découvertes chaque mois ; elles font cependant partie des plus importantes. Les internautes ou utilisateurs d’ordinateurs peuvent avoir tendance à repousser les mises à jour, par flemme d’attendre le redémarrage de l’ordinateur, ou en cliquant sur le fameux bouton « me le rappeler plus tard » des notifications… Cependant, ces mises à jour sont vitales pour la sécurité des outils et systèmes utilisés : ne pas les réaliser, c’est prendre le risque de compromettre ses données, ou celles de son entreprise dans le cas des outils de bureau.

Ces vulnérabilités majeures ont marqué ce début d’année, mais on peut s’attendre à de nouvelles découvertes dans les années suivantes comme c’était le cas les années précédentes. Et même si l’on n’entend plus parler de failles de grande ampleur, cela ne signifie pas que l’Internet et les logiciels ou outils utilisés sont sécurisés, donc ouvrez l’œil !

Lucie Saunois
Lucie Saunois
Passionnée d'informatique, en particulier de sécurité, depuis qu'elle a rejoint l'OT Group en 2015, Lucie se spécialise dans la vulgarisation technique pour permettre à tous d'appréhender ces sujets parfois complexes.