Selon le bulletin US-CERT pour la semaine du 10 avril (SB17-107)
Connectez-vous sur l'outil d'analyse des bulletins CERT pour visualiser les top10 survolés ici, les liens sur les bulletins des vulnérabilités y sont listés.
Amazon nous fait un score de 10 ave une vulnérabilité dans FireOS (tablettes Amazon). Pas trop de soucis chez nous.
Par contre dans le topten, on a :
Position Nom Score moyen -------- --------- ----------- 9 google 8,36 10 linux 7.87
Explications: Voir plus bas l'analyse du podcast Security Now #608
A remarquer dans le topten:
Position Nom Score moyen -------- --------- ----------- 2 axis 6.8 3 foxitsoftware 6.8
Pas de commentaire spécial.
Dans les vulnérabilités non encore évaluées (pas de score), on retrouve
notamment Adobe Acrobet et Mac OsX; probables mises-à-jour à appliquer bientôt.
Attention, Excel 2010, Internet Explorer (VBScript), Outlook, OneNote,
Windows 8.1 et 10, Hyper-V, Samsung (notamment Galaxy S6), LibreOffice,
une palanquée de caméras SONY, Symantec (problèmes avec fichiers au format RAR)
et le navigateur Edge de Microsoft également dans le lot.
Il s'agit de révélations qui dénoncent des programmes d'attaques créés par les "Shadow Brokers", une organisation apparemment mandatée par la CIA, qui utilisent des vulnérabilités existantes depuis toujours sur des systèmes Windows pour les pénétrer.
Ces vulnérabilités, les "Shadow Brokers Exploits", sont donc aujourd'hui connues et probablement exploitées/ables par des individus ou organisation malveillantes. Elles portent des noms assez originaux comme "EternalChampion" ou "EskimoRoll"; celles qui sont aujourd'hui patchées par Microsoft sont listées dans ce bulletin du 14 avril 2017 du MSRC. Appliquer les mises-à-jour les plus récentes pour les systèmes supportés.
Attention, pour les sytèmes qui ne sont plus supportés (XP, Vista), il y a grave danger.
UPnP est une fonctionnalité existant aujourd'hui sur la plupart des routeurs Internet, notamment ceux fourni par les fournisseurs d'accès, et qui consiste à ouvrir automatiquement des ports de communication à la demande des appareils présents sur le réseau local.
C'est grâce à cette fonctionnalité que beaucoup de logiciels ou machines, notamment les jeux ou les consoles (XBox, PS4, ...), peuvent facilement ouvrir des communications avec d'autres systèmes à l'extérieur du réseau local, sans avoir à autoriser préalablement l'utilisation de ces canaux de communication par configuration manuelle du routeur. Les routeurs sont donc sensés ouvrir automatiquement des ports de communication du réseau local (LAN) vers le réseau Internet extérieur (WAN). Malheureusement, depuis le début de son existence, un incroyable bug existant sur certains routeurs ouvre le protocole de façon analogue dans le sens du réseau extérieur (WAN) vers le réseau interne (LAN), rendant ainsi inutile les parefeus des routeurs vulnérables.
L'intégralité de ce qui concerne cette vulnérabilité et ses méthodes d'exploitation est désormais documentée et disponible sur Internet, il faut donc s'assurer de prendre les précautions adéquates:
Rappel: Un cookie est une information envoyée par un site web à un navigateur; le navigateur stocke cette information qu'il redonne ensuite au site web avec chaque demande de page. Ceci permet au site web de gérér des états, comme par exemple une connection authentifiée.
Les cookies de tierce partie ("third party cookies") sont des informations qui viennent d'un autre site que celui visité, mais qui sont relayés par le site visité. C'est par exemple des jetons d'identification de sites comme facebook, qui sont relayés par le site visité, lorsque l'on choisit de se connecter au site via son compte facebook.
Il existe des sites Internet qui utilisent ce genre de cookies pour leur fonctionnement
régulier, alors que certains programmes de blocage de "pop-ups" ou fenêtres publicitaires,
comme le très connu et conseillé "uBlock origin" pour Chrome et Firefox, les bloquent.
Ces sites ne fonctionnent alors plus, et il est alors conseillé au mieux d'autoriser les
cookies de tierce partie site par site plutôt que globalement.
Au niveau de la confidentialité de vos données de navigation Internet, il faut savoir qu'à chaque fois que vous utilisez par exemple votre compte facebook pour vous connecter à un autre site, vous faites un joli cadeau de données à facebook qui en connait alors encore un peu plus sur vos habitudes de navigation et qui sera automatiquement mis au courant de chacune de vos connexions sur des autres sites que vous effectuez avec votre identifiant facebook.
En bref, SNI est une extension malheureusment nécessaire du protocole TLS (=SSL nouvelle version). Elle est nécessaire pour les sites qui ne disposent pas de leur adresse IP unique privée. Dans la plupart des hébergements mutualisés, il y a en effet plusieurs sites Internet hébergés sur la même adresse IP. Or, pour les connexions sécurisées, le serveur mutualisé doit savoir à quel site sur l'adresse IP vous demandez à vous connecter, pour pouvoir utiliser le bon certificat SSL.
Donc, à l'établissement de cette connexion TLS, une information de plus est donnée en clair, le nom du site. C'est un problème de taille, car c'est une information qui peut être très importante et qui est reniflable par le fournisseur d'accès.
Testez votre solution VPN sur le site whoer.net. Une visite sur ce site, avec et sans votre VPN activé vous permettra de vous rendre compte en un clin d'oeil d'une panoplie d'informations qui sont révélées aux sites Internet lors de vos visites.
L'important qui est mis en évidence par Steve Gibson est qu'avec certains VPN, dont malheureusement ProXPN (que j'utilise et recommande toujours néanmoins), les informations DNS sont révélées ou peuvent être découvertes par le site que vous visité, même sous couvert de la protection du canal sécurisé VPN. En fait, selon la configuration de votre connexion réseau (Windows et Mac), il se peut par exemple - et c'est le cas pour moi - que les DNS de votre fournisseur d'accès local (Swisscom) sont révélés !!!
Donc, si vous visitez un site Internet par le biais d'une connexion VPN à un serveur aux US par exemple, et que votre DNS Swisscom est révélé au site visité, ce dernier peut facilement en déduire que vous accédez au site via un VPN et que votre localisation réelle est en Suisse et pas aux US! Vous comprenez mieux commment Netflix arrive à vous découvrir, même lorsque vous accédez au site avec une connexion VPN aus US...
Un bon comparatif VPN est disponible (en anglais) sur le site torrentfreak.com.
En bref, il est possible de coder des noms de domaines représentés en table de caractères UNICODE (16 bits), en ASCII (7 bits).
Le jeu de caractère UNICODE est utile pour représenter des caractères accentués ou des jeux de caractères non US comme ceux de l'alphabet chinois par exemple. Le piège est que du coup, avec cette possibilité de coder un caractère accentué avec plusieurs caractères ASCII, un nom de domaine comme:
https://www.xn--80ak6aa92e.com
est l'encodage en ASCII du nom de domaine https://www.apple.com !!!
Vous pouvez suivre le lien, vous verrez votre navigateur vous afficher apple.com alors que vous êtes en fait sur https://www.xn--80ak6aa92e.com Il y même un certificat SSL sur ce domaine, ce qui contribue à l'illusion. C'est un danger important d'attaque de fishing ou d'escroquerie.
Mettez à jour vos navigateurs, ils afficheront le nom de domaine "réel" (soit https://www.xn--80ak6aa92e.com), au lieu de celui déguisé en UNICODE.
Article original: https://www.xudongz.com/blog/2017/idn-phishing/
Cette faille est présente dans pratiquement tous les noyaux Linux existants plus petit que 4.5. Ce qui veut dire que toute machine ou appareil ou téléphone ou tablette, etc... qui tourne sous Linux, donc Android également, est vulnérable si elle n'est pas mise-à-jour.
C'est la raison pour laquelle il y a autant d'entrées concernant Linux et Android dans ce bulletin SB17-107.
A noter que Google a patché Android, mais que les téléphones ou tablettes sous Android non Google ne sont pas forcément patchés.
Cette faille CVE-2016-10229 est critique et elle concerne tous les programmes qui sont à l'écoute de paquets UDP et qui utilisent pour cela une fonction spécifique du noyau Linux qui permet de scanner un paquet UDP reçu sans l'enlever de la liste des paquets de données reçus (MESSAGE_PEEK).
Sans rentrer dans les détails, l'important est de comprendre que juste le fait qu'un programme soit à l'écoute de paquets UDP, sans avoir de privilèges élevés, soit en mode "user", peut être vulnérable, et que la faille permet de prendre le contrôle à distance de la machine à l'attaquant; toutefois, aucune exploitation de cette faille n'est encore rapportée.
FIN DU BULLETIN
