La Fondation Matrix a alerté sur deux failles graves dans le protocole de communication open source support de plusieurs messageries sécurisées. Des correctifs sont disponibles, ainsi que des mesures d’atténuation.
Coup de froid sur Matrix après la découverte de deux failles dans le protocole de communication open source. La Fondation Matrix a indiqué dans un message que les vulnérabilités ont été découvertes il y a un mois, mais les informations sur les mesures d’atténuation ont été gardées secrètes pour laisser le temps aux utilisateurs du protocole de les tester et de les appliquer. Matrix sert de base à des messageries sécurisées en particulier Tchap en France dédié au…
Il vous reste 95% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Selon l’équipe d’Akamai, le malware Aquabotv3 exploite activement une vulnérabilité connue dans les téléphones Mitel pour les inclure dans son botnet. Les cybercriminels ont ajouté en plus une fonction signalant quand il est détecté.
Une troisième variante du logiciel malveillant Aquabot basé sur Mirai prend apparemment le contrôle des téléphones Mitel pour créer un botnet contrôlé à distance qui peut lancer des attaques par déni de service distribué (DDoS). Selon la Security Intelligence and Response Team d’Akamai, le malware, baptisé Aquabotv3, exploite activement une vulnérabilité connue des terminaux pour accéder à leur fonction SIP ( protocole d’initiation de session). Il est intéressant de noter que cette variante présente une caractéristique unique et inédite (du moins dans Mirai) : elle signale lorsqu’elle est détectée.
L’équipe d’Akamai indique que le logiciel malveillant « présente un comportement qui n’avait jamais été observé auparavant avec Mirai » : quand le terminal infecté tente de supprimer le logiciel malveillant, sa fonction [report_kill] alerte le serveur de commande et de contrôle (C2). Cependant, les chercheurs ont précisé qu’ils n’avaient pas encore vu de réponse de la part du serveur C2. « Les attaques DDoS restent une menace omniprésente pour de nombreuses entreprises, et les botnets comme Aquabot en sont des acteurs clés », ont écrit Kyle Lefton et Larry Cashdollar, chercheurs en sécurité d’Akamai, dans un blog. « Pour un auteur de botnet novice, le retour sur investissement de Mirai est élevé. C’est l’une des familles de botnets les plus prospères au monde, et c’est aussi l’une des plus simples à modifier. »
Une caractéristique unique, mais pas nécessairement un avantage
Mirai a été conçu pour détourner objets connectés (IoT) afin de créer des botnets de contrôle à distance capables de lancer des attaques DDoS de grande ampleur. C’est le fournisseur d’antivirus Antiy Labs qui, en novembre 2023, a découvert Aquabot pour la première fois. La v3 exploite une vulnérabilité d’injection de commande référencée CVE-2024-41710, qui cible spécifiquement les téléphones des séries 6800, 6900 et 6900w de Mitel. Révélée pour la première fois à la mi-juillet 2024, cette vulnérabilité donne la capacité aux attaquants d’obtenir des privilèges d’administration et d’altérer les paramètres d’entrée afin d’accéder à des données sensibles pour exécuter ensuite des commandes arbitraires spécifiques au système. « Ces machines IoT sont souvent dépourvues de fonctions de sécurité appropriées, sont en fin de service ou fonctionnent avec des configurations et des mots de passe par défaut, soit par négligence, soit par manque de connaissance des risques », ont écrit les chercheurs d’Akamai.
Ces derniers font remarquer que, à première vue, le logiciel malveillant semble n’être qu’un « binaire du malware Mirai standard avec des fonctions d’attaque DDoS typiques ». Cependant, en y regardant de plus près, ils ont découvert une fonction qui envoie un signal lorsqu’elle détecte certaines actions de sécurité dans le téléphone infecté qui pourraient mettre fin à l’activité malveillante. Quand l’une de ces actions est identifiée, Aquabotv3 la capte, marque le malware comme étant « protégé » contre ce signal, puis prévient son C2. « Nous n’avons pas encore observé ce comportement dans une variante de Mirai, il est donc possible que cette fonctionnalité soit nouvelle », ont ajouté les chercheurs. La véritable raison de ce comportement n’est pas encore confirmée, mais il pourrait servir à surveiller la santé du botnet. Cette observation intentionnelle de l’activité défensive d’un terminal pourrait aussi être utilisée par les attaquants pour développer des « variantes plus furtives ». Enfin, elle pourrait également servir à détecter des réseaux de zombies concurrents actifs ou des campagnes de démantèlement. « Ce logiciel malveillant n’est pas particulièrement silencieux, ce qui pourrait lui être préjudiciable », soulignent Kyle Lefton et Larry Cashdollar.
La lutte persistante contre les attaques DDoS basées sur Mirai
Le nombre de variantes de Mirai est incalculable – les chercheurs en ont dénombré entre 7 et plus de 200 – mais les entreprises de cybersécurité font preuve de diligence pour les éradiquer. Il y a une semaine, par exemple, Cloudflare a déclaré avoir détecté le plus gros DDoS jamais enregistré, une attaque de 5,6 térabits par seconde (Tbps) lancée par une variante de Mirai. L’attaque visait un fournisseur d’accès à Internet asiatique et provenait de plus de 13 000 appareils IoT. Elle n’a duré que 80 secondes et a été rapidement identifiée et atténuée par les systèmes autonomes de Cloudflare. « Aucune intervention humaine, aucune alerte n’ont été nécessaires et il n’y a eu aucune dégradation des performances », a affirmé Cloudflare dans un blog la semaine dernière.
Dans un autre cas, les chercheurs de VulnCheck ont découvert que, depuis novembre 2024, les attaquants utilisaient le botnet Gayfemboy, basé sur le malware Mirai, pour attaquer des vulnérabilités précédemment inconnues dans les routeurs et des IoT domestisques. Il est clair que Mirai n’est pas près de disparaître, voire jamais, pas plus que les attaques DDoS. En fait, Cloudflare a signalé une augmentation de 53 % des menaces DDoS en 2024 par rapport à 2023 et une hausse considérable de 1 885 % des attaques dépassant 1 Tbps, appelées attaques DDoS « hyper-volumétriques », entre le troisième et le quatrième trimestre 2024.
Aquabot présenté comme un service DDoS en tant que tel
Les chercheurs d’Akamai ont découvert que les créateurs d’Aquabotv3 ont fait de la publicité pour le botnet en tant que service DDoS via des plateformes comme Telegram, sous différents noms, notamment Cursinq Firewall, The Eye Services et The Eye Botnet. Comme ils l’ont noté, les cybercriminels affirment généralement que le botnet n’est pas nuisible et qu’il est uniquement destiné à tester l’atténuation des attaques DDoS (ou « red teaming »). « Les acteurs de la menace prétendent qu’il s’agit simplement d’une preuve de concept (PoC) ou d’un outil pédagogique, mais une analyse plus approfondie montre qu’ils font de la publicité pour le DDoS en tant que service, ou que les propriétaires se vantent d’exploiter leur propre botnet », ont déclaré les chercheurs.
Quoi qu’il en soit, ces derniers ont souligné l’importance de sécuriser les terminaux IoT encore configurés avec des identifiants par défaut. Étant donné que de nombreux botnets s’appuient sur des bibliothèques de mots de passe communs pour l’authentification, il est important de vérifier les identifiants de connexion et de les modifier s’ils sont toujours configurés par défaut ou s’ils sont faciles à deviner. De plus, les équipes de sécurité doivent identifier où se trouvent les dispositifs IoT connus et « vérifier qu’il n’y a pas de dispositifs illégaux » parmi eux.
Dans son étude sur le trafic Internet mondial, Cloudflare a constaté que les robots d’indexation de l’IA deviennent une source importante de ces flux. L’éditeur souligne d’autres tendances comme le mode de connexion, l’impact de Crowdstrike,…
Chaque année Cloudflare, spécialiste du CDN, publié son rapport sur les tendances Internet. Ce document regorge d’informations sur différentes thématiques, connectivité, sécurité, fréquence des pannes, utilisation des terminaux,… Sans surprise, Google, Facebook, Apple, TikTok et Amazon Web Services (AWS) sont les services Internet les plus populaires dans le monde, et, avec 65,8 % d’utilisateurs, Chrome est le navigateur web le plus populaire au niveau mondial.
Le trafic des robots d’indexation IA…
Il vous reste 92% de l’article à lireVous devez posséder un compte pour poursuivre la lecture
Vous avez déjà un compte?
Un expert français a démontré une attaque nommée Eucleak permettant de cloner des clés Yubikey, utilisés dans le cadre d’une authentification à plusieurs facteurs. Il s’appuie sur une faille par canal auxiliaire et propose des solutions d’atténuation du risque.
Beaucoup d’entreprises appuient leur stratégie d’authentification de l’identité sur la clé YubiKey. Ce matériel FIDO (Fast Identity Online) est l’un des plus populaires et l’un des mieux notés pour le MFA (authentification à plusieurs facteurs). Cependant, dans le cadre d’une attaque récemment identifiée, baptisée « Eucleak», le dispositif USB s’est révélé vulnérable au clonage quand des cybercriminels mettent physiquement (temporairement) la main dessus, car ils peuvent alors accéder aux informations d’identification FIDO de l’utilisateur en menant une attaque par canal auxiliaire (side channel).
Cette semaine, Yubico, qui fabrique ces clés, a publié un avis à propos de cette faille découverte par un chercheur français, Thomas Roche, co-fondateur de la start-up Ninjalab, spécialisée en cryptographie. Il a détaillé dans un rapport les détails de l’attaque. Yubico a qualifié la gravité de la faille de « modérée ». Mais, étant donné qu’il est impossible de mettre à jour le firmware de la YubiKey, le matériel reste définitivement vulnérable. « Cela montre que les éléments sécurisés ne sont pas parfaits et que leur sécurité doit être continuellement remise en question, mais trop peu de gens prennent en compte cet aspect inhérent à la sécurité », a déclaré l’expert.
Les clés, considérées comme plus sûres pour la MFA
Les entreprises mettent de plus en plus en œuvre l’authentification multifactorielle pour renforcer leurs défenses contre les cyberattaques toujours plus nombreuses. Les clés sont souvent considérées comme plus sûres (et moins coûteuses) que les outils logiciels, car si un pirate vole les informations d’identification du compte d’un utilisateur, il a toujours besoin du token, qui est (ou devrait être) physiquement entre les mains de son propriétaire légitime.
Les YubiKeys, comme tous dispositifs FIDO, sont un « facteur d’authentification », a expliqué Thomas Roche. « Ils peuvent jouer le rôle de deuxième facteur d’authentification (en plus d’un login/mot de passe) ou de facteur unique (comme dans les récents passkeys). Dans son rapport, celui-ci écrit que les dispositifs sont soumis au plus haut niveau d’évaluation de sécurité existant et qu’ils sont habituellement considérés comme « inviolables », même dans les pires scénarios. Ainsi, « les systèmes sécurisés complexes fondent leur sécurité sur ces scénarios ».
Un clonage de l’appareil à l’insu de l’utilisateur
Bien que très répandus, ces dispositifs ne sont manifestement pas inviolables. Avec l’attaque par canal latéral du YubiKey récemment découverte, les cybercriminels peuvent accéder à des fuites de signaux provenant d’un système cryptographique dans l’appareil. Thomas Roche a expliqué que les fuites par canal latéral sont liées à la physique même du semi-conducteur et « qu’elles ne peuvent être évitées ». Leur prévention nécessite des contre-mesures spécifiques, souvent coûteuses. Dans un scénario d’attaque réussie, un acteur malveillant peut voler l’identifiant et le mot de passe d’un utilisateur (par hameçonnage ou par d’autres méthodes), puis gagner un accès physique à son token sans qu’il le sache. Après quoi il pourra envoyer des demandes d’authentification au token tout en enregistrant des mesures sur le token latéral. Une fois le dispositif restitué, il pourra alors lancer un canal latéral pour extraire l’algorithme de signature numérique à courbe elliptique (Elliptic Curve Digital Signature Algorithm, ECDSA) lié au compte et accéder au compte sans être détecté. « Supposons qu’un pirate parvient à voler la YubiKey d’un utilisateur, l’ouvre pour accéder à la carte logique, applique l’attaque Eucleak et reconditionne la YubiKey originale à l’insu de l’utilisateur, il pourra alors créer un clone de son facteur d’authentification, c’est-à-dire une copie de sa YubiKey », a détaillé l’expert. « L’utilisateur pensera qu’il est en sécurité, alors que ce n’est pas le cas ».
La faille cryptographique se trouve dans un petit microcontrôleur de l’appareil et affecte toutes les YubiKeys et Security Keys utilisant un firmare antérieur à la version 5.7, publiée en mai. Elle concerne également les versions de la clé YubiHSM 2 antérieures à la version 2.4.0 publiée cette semaine. M. Roche a rappelé que les attaquants devaient être en possession physique d’une clé et disposer d’un équipement spécialisé souvent coûteux pour visualiser l’opération vulnérable. Ils peuvent également avoir besoin d’informations supplémentaires, notamment d’un nom d’utilisateur, d’un mot de passe ou d’un VPN. De plus, les acteurs de la menace ont besoin d’avoir une connaissance approfondie de l’ingénierie pour mener à bien une telle attaque. Dans la grande majorité des cas, les RSSI ne devraient pas s’inquiéter de l’attaque Eucleak. En effet, cette attaque vise généralement des personnes spécifiques d’une administration ou d’une organisation. Elle n’est pas « techniquement très compliquée », mais « logistiquement très difficile ». « Elle nécessite un effort considérable pour une seule cible et doit être réappliquée pour chaque cible », a-t-il poursuivi.
Remplacer les clés (mais ce n’est pas la seule option)
Les utilisateurs doivent vérifier leur YubiKey pour voir si elle a été affectée. Thomas Roche a conseillé aux entreprises de continuer à utiliser les dispositifs vulnérables plutôt que de passer à des outils alternatifs dépourvus de mécanismes de sécurité. Si l’achat d’une nouvelle clé est une option viable, il existe d’autres solutions temporaires. Il s’agit notamment d’éviter complètement l’algorithme de signature numérique à courbe elliptique ECDSA et d’opter pour d’autres algorithmes de chiffrement de bas niveau tels que l’Edwards-curve Digital Signature Algorithm (EdDSA), une variante de la cryptographie sur les courbes elliptiques, ou le système de cryptage à clé publique Rivest-Shamir-Adleman (RSA), qui a fait ses preuves. Une autre option consiste à appliquer des protocoles supplémentaires tels que les codes PIN ou la biométrie.
Les outils de contrôle des signatures et des enregistrements peuvent également être utilisés pour détecter les dispositifs FIDO clonés. Cela permet à un service web protégé par FIDO d’invalider les demandes et de verrouiller les comptes si des signaux suspects sont détectés, réduisant ainsi la capacité d’utilisation du clone à une période de temps limitée. Thomas Roche fait remarquer que, même si cette méthode d’atténuation n’est malheureusement pas obligatoire, elle est utile pour identifier, bloquer et sécuriser les comptes. Enfin, selon lui, il est toujours plus sûr d’utiliser des YubiKeys ou d’autres produits vulnérables que de ne pas en utiliser du tout.