Janvier / Février 2020

Misc 107

Ransomwares : état de la menace

  • À la découverte du monde des ransomwares
  • Cas pratique d'un ransomware mobile
  • Détection et contre-mesures contre les ransomwares

En savoir plus

9,70 € TTC

Anciens Numéros

LIVRAISON OFFERTE en France Métropolitaine à partir de 50€
Misc 136

Misc 136

Novembre / Décembre 2024
14,59 €
Misc HS 30

Misc HS 30

Octobre / Novembre 2024
14,59 €
Misc 135

Misc 135

Septembre / Octobre 2024
12,63 €
Misc 134

Misc 134

Juillet / Août 2024
12,63 €
Misc HS 29

Misc HS 29

Juin / Juillet 2024
14,59 €
Misc 133

Misc 133

Mai / Juin 2024
12,63 €
Misc 132

Misc 132

Mars / Avril 2024
12,63 €
Misc HS 28

Misc HS 28

Février / Mars 2024
14,59 €
SOMMAIRE :

Exploit Corner

p. 06 CVE-2018-20718 : exécution de code arbitraire dans Pydio

Malware Corner

p. 14 Utilisation de services en ligne légitimes par les malwares

Forensic Corner

p. 22 Investigation numérique sous macOS / HFS+

Dossier

p. 28 Introduction au dossier
p. 29 Rançongiciels 101
p. 40 Rançon sur téléphone mobile : les entrailles d’Android/Koler
p. 46 Détection des rançongiciels, ou comment lutter contre nos propres outils de sécurité ?

Réseau

p. 55 OpenStack et la gestion des vulnérabilités

Système

p. 65 Programmation UEFI

Organisation & Juridique

p. 76 ISO 27701 : le Système de Management des Informations Privées (SMIP)

éDITO :

L'actualité de la SSI a été riche ces dernières semaines avec une nouvelle vague de rançongiciels ayant touché plusieurs structures et tout particulièrement le CHU de Rouen [1]. Cette attaque a été très médiatisée du fait de l’impact particulièrement tangible et compréhensible même pour la partie de la population la plus hermétique aux enjeux du numérique. En effet, l'hôpital a dû revenir au papier pendant plusieurs heures, les patients devant être admis aux urgences ont été invités à se rendre dans un autre hôpital de la région et, dans certains cas, la distribution de médicaments a été suspendue pour éviter des erreurs de prescription à cause de l’inaccessibilité des dossiers patients.

Cette attaque démontre la rapide évolution de la menace et des outils offensifs utilisés. Les entreprises ou administrations, à moins de travailler sur des domaines sensibles, pouvaient espérer n’avoir à gérer que les attaques venant de codes malfaisants conçus pour infecter les postes des particuliers. Un poste infecté dans un réseau avait un impact relativement réduit, se détectait facilement, et son éradication se résumait le plus souvent à une remasterisation du poste compromis après avoir sauvegardé les documents sur le poste. A contrario, les pirates utilisant des outils tels que CLOP [2], qui a touché le CHU de Rouen, attaquent le réseau interne afin de s’y propager. Pour cela, ils cherchent, comme le ferait un pentester, à réaliser une escalade de privilèges sur les contrôleurs de domaines avant de chiffrer le maximum du système d'information, sauvegardes comprises.

L’apparition de ces menaces est d’autant plus critique que les infrastructures bien au chaud derrière les firewalls depuis deux décennies sont particulièrement vulnérables. Le parc n’est le plus souvent pas exploité de manière homogène et subsistent beaucoup d’exceptions à commencer par les postes de travail les plus critiques tels que ceux des administrateurs informatiques et des VIP. En cas d’attaque par rançongiciel c’est le bain de sang avec des données critiques disséminées sur des postes de travail non sauvegardés ou des sauvegardes sur disques externes également chiffrées... Même pour les équipes ayant mis en place une architecture avec des contrôleurs de domaines, un stockage des documents côté serveur et des sauvegardes hors ligne, l’impact reste extrêmement important en cas d’infection pour peu que le parc soit composé de centaines voire de milliers de machines. La remasterisation des postes en parallèle d’une analyse forensic pour déterminer le vecteur d’infection et éradiquer tout code malveillant ne se compte pas en heures, mais en jours, voire en semaines [3].

Le mieux serait évidemment d’éviter toute infection, mais il est très compliqué de sécuriser correctement son réseau interne. Lors d’un test d’intrusion interne, le temps pour obtenir des privilèges sur les contrôleurs de domaine excède rarement la journée quand bien même les administrateurs sont sensibilisés à la sécurité. Une des premières difficultés vient des équipes de direction qui ont une certaine propension à favoriser la facilité des usages en sous-évaluant les risques pesant sur le parc informatique. Les quelques autorisations données au compte goutte peuvent rapidement faire tache d’huile et s’étendre à beaucoup de directions métiers. Les équipes informatiques se retrouvent à devoir autoriser des comptes administrateurs aux utilisateurs n’ayant pas la patience d’ouvrir un ticket pour l’installation d’un logiciel… et qui en profiteront pour désinstaller l’antivirus qui fait ralentir leur machine. S’ajoutent à ces problèmes organisationnels des protocoles réseau tels que DHCP ou Ethernet dont la sécurité est restée figée il y a 30 ans et des architectures Active Directory qui sont parmi les briques techniques les plus complexes à comprendre et à sécuriser [4].

Nous avons donc tous les ingrédients d’un cocktail explosif et il est aujourd’hui particulièrement complexe de réduire le risque à un niveau acceptable sauf à repenser en profondeur la gestion de parc… et peut-être relancer la mode des terminaux légers.

Cedric Foll / cedric@miscmag.com / @follc



[1] https://www.lemonde.fr/pixels/article/2019/11/18/frappe-par-une-cyberattaque-massive-le-chu-de-rouen-force-de-tourner-sans-ordinateurs_6019650_4408996.html

[2] https://www.cert.ssi.gouv.fr/uploads/CERTFR-2019-CTI-009.pdf

[3] https://www.letelegramme.fr/finistere/brest/l-ubo-touchee-par-un-cryptovirus-22-11-2019-12439861.php

[4] https://www.ssi.gouv.fr/guide/recommandations-de-securite-relatives-a-active-directory/

La publication technique des experts de la sécurité offensive & défensive

Face à la transformation digitale de notre société et l’augmentation des cybermenaces, la cybersécurité doit être aujourd’hui une priorité pour bon nombre d’organisations. Après plus de 20 années de publications et de retours d’expérience, MISC apporte un vivier d’informations techniques incontournable pour mieux appréhender ce domaine. Précurseur sur ce terrain, MISC a été fondé dès 2002 et s’est peu à peu imposé dans la presse française comme la publication de référence technique en matière de sécurité informatique. Tous les deux mois, ses articles rédigés par des experts du milieu vous permettront de mieux cerner la complexité des systèmes d’information et les problèmes de sécurité qui l’accompagne.

Introduction au dossier : Ransomwares : état de la menace
MISC n°107

Il ne se passe plus un mois sans qu’un ransomware ne touche une entreprise ou administration publique et que cette dernière se retrouve dans une situation délicate, au point que cela atterrisse invariablement dans les colonnes de nos quotidiens (oui bon, dans les bandeaux des chaînes d’information continue). On pourrait simplement dire que l’histoire se répète, qu’il s’agit d’un énième malware qui touche des infrastructures qui ne sont pas à jour, mal configurées, et que tout cela était inéluctable.

OpenStack et la gestion des vulnérabilités
MISC n°107

La communauté OpenStack s’est dotée d’un processus de traitement des vulnérabilités rigoureux, permettant de corriger au plus vite les anomalies découvertes. Dans cet article, nous aborderons le fonctionnement d’OpenStack et le processus de correction de vulnérabilités. Nous terminerons par l’explication et la reproduction d’une vulnérabilité révélée en janvier 2019.

CVE-2018-20718 : exécution de code arbitraire dans Pydio
MISC n°107

Cet article traite de l’exploitation de la CVE-2018-20718, une vulnérabilité d’injection d’objet sérialisé PHP affectant les versions inférieures à 8.2.2 du logiciel de partage de fichiers Pydio.

Ce magazine est intégralement disponible sur Linux Magazine Connect
© 2024 - LES EDITIONS DIAMOND