Tanium et Google Cloud s’associent pour sécuriser les postes de travail

L’éditeur spécialisé dans la sécurisation des endpoints se rapprochent du géant de Mountain View pour élaborer une nouvelle offre. Celle-ci entend notamment permettre aux entreprises de faire face plus efficacement aux APT. 

Toute bonne sécurité informatique repose sur la détection des menaces, nous ne vous apprenons rien. Or dans un environnement de plus en plus distribué, entre postes de travail distants et cloud, repérer un risque avant qu’il ne devienne critique s’avère de plus en plus complexe. C’est à cette problématique que Tanium entend répondre en étendant son partenariat avec Google Cloud, avec l’intégration de Tanium Threat Response et de Chronicle. 

Cette intégration permet à nos clients d’investiguer sur les APT et autres menaces depuis leur détection et de remonter jusqu’au moment de la compromission pour apporter une réponse et des mesures correctives complètes” explique Orion Hindawi, co-fondateur et co-CEO de Tanium.

Né des Google Labs, Chronicle devait être le bras armée et autonome du géant de Mountain View dans le domaine de la cybersécurité, s’appuyant sur la solution VirusTotal, rachetée en 2015, et sur Backstory, un SIEM lancé en mars 2019. Finalement, Chronicle est absorbé en juin 2019 par Google Cloud, qui lui aussi proposait des produits de sécurité. 

Prévenir et guérir

Dans le cas du partenariat entre Tanium et Google Cloud, il s’agit donc de rapprocher les analyses opérées par le second des outils de Threat Intelligence du premier, de sorte à offrir aux RSSI la corrélation des capacité d’analyses de Chronicle et des données remontées par Tanium, permettant “une recherche très rapide avec des capacités d’investigation sans précédent”.

Avec Chronicle, les clients peuvent corréler jusqu'à un an de données recueillies à partir des informations fiables reçues des postes de travail et serveurs et de l’enregistrement de l'activité du réseau réalisé par la plateforme Tanium. Cet ensemble de données enrichies permet aux équipes d’intervention d’analyser de manière approfondie sur les attaques à long terme et de prendre des mesures correctives complètes” écrivent les deux sociétés dans un communiqué commun. .

Autre intégration au menu, celle de BeyondCord, de Google, qui donnera accès via Tanium aux données d'identité, d'état et de conformité des postes de travail et serveurs pour l'accès à distance de BeyondCorp. Enfin, les deux entreprises entendent travailler ensemble à la sécurisation des postes utilisateurs, sans donner plus de détails à ce sujet pour le moment, mais promettant de plus amples informations dans le courant de l’année. 

MTA (Mail Transfer Agent): des failles toujours d'actualité 15 ans après !

Sur la liste [OSS Security] on voit une conversation intéressante sur la sécurité des MTA (Mail Transfer Agent). Une faille sur Qmail a été mentionnée par Georgi Guninski en 2005. Cette faille a été rejetée (ignorée) par DJ. Bernstein à l'époque au prétexte que "aucun système n'utilise 4GB de RAM pour son serveur de mail". Or, des équipes de Qualys on réussi à exploiter ce bug en produisant un Remote code execution pour cette même faille, 15 ans plus tard ! Voir les liens suivants:

Quelles réflexions en tirer ? La sécurité logicielle des serveurs de mail est toujours un sujet d'actualité pour ces infrastructures de l'internet. Qmail est considéré comme un serveur sécurisé, à côté de mastodontes comme SendMail ou Postfix. Ensuite, il n'est jamais trop tard pour patcher, ou pour prendre en compte une vulnérabilité logicielle !

Finalement, ce RCE (Remote Code Execution) dévoilé par Qualys a donné lieu à une intéressante discussion entre Georgi et DJ. Bernstein, l'auteur du logiciel. L'histoire ne raconte pas combien d'exploitations ont eu lieu en conditions réelles, sur des serveurs non patchés...

OkCupid était plein de failles

L’entreprise spécialisée en cybersécurité CheckPoint a découvert dans la célèbre application de “dating” plusieurs vulnérabilités qui auraient pu permettre à des attaquants, au moyen de faux liens, de dérober les données des utilisateurs et utilisatrices du site de rencontre. 

A en croire leurs communications, les sites de rencontre tels que Tinder, Grindr ou encore AdopteUnMec ont connu des pics d’utilisation à l’occasion du confinement. La popularité croissante de ces services en font des cibles pour des hackers friands de données personnelles, alors que ces mêmes sites sont fréquemment pointés du doigt pour leurs pratiques un tantinet laxiste en termes de protection des données. 

Les chercheurs de CheckPoint se sont récemment penchés sur l’un d’entre eux, OkCupid, et en ont eu pour leur argent... La société spécialisée en sécurité rapporte avoir découvert plusieurs failles dans l’application, lesquelles permettaient non seulement de mettre la main sur les données des utilisateurs, de leurs adresses IP à leurs préférences en passant par leurs adresses email ou encore leurs tokens d’authentification, mais aussi de prendre de le contrôle des comptes ciblés. Bref, une véritable mine d’or, qui n’a cependant pas été exploitée, semble-t-il. 

Haro sur les cookies

Procédant par rétroingénierie, les chercheurs ont constaté que l’application mobile Android de OkCupid incluait une fonctionnalité de « liens profonds », permettant d'invoquer des intentions dans l'application via un lien de navigateur”. Ainsi, par le biais d’un lien créé par un attaquant, ce dernier sera en mesure d’ouvrir l’application dans un navigateur (webview). Ajoutons à cela la possibilité, contenue dans les paramètres utilisateurs, d’effectuer une injection XSS.  “Toute requête sera envoyée avec les cookies des utilisateurs” précise l’équipe de CheckPoint. Une requête HTTP GET permet au pirate de récupérer les paramètres du profil de l'utilisateur, le paramètre pouvant être injecté au moyen d’un code JavaScript. 

Dans leur test, les chercheurs précise que “le code XSS final charge un fichier JavaScript depuis le serveur des pirates. Le code JavaScript chargé sera utilisé pour l'exfiltration. Il contient 3 fonctions : 1.  steal_token : vole le jeton d'authentification des utilisateurs, oauthAccessToken, et l'identifiant des utilisateurs, userid. Les informations sensibles des utilisateurs (IPI), telles que l'adresse électronique, sont également exfiltrées. 2.    steal_data : vole le profil et les données privées des utilisateurs, leurs préférences, les caractéristiques des utilisateurs (par ex. les réponses données lors de l'inscription), et plus encore. 3.    send_data_to_attacker : envoyer les données recueillies dans les fonctions 1 et 2 au serveur des pirates”.

API très ouverte

 Mais les découvertes ne s’arrêtent pas là, puisqu’une mauvaise configuration de la politique Cross-Origin Resource Sharing (CORS) du serveur API du service de dating “permet à n'importe quelle origine d’envoyer des requêtes au serveur et de lire ses réponses”. Ainsi, une victime authentifiée sur l’application qui visiterait le site web de l’attaquant déclencherait l’envoi d’une requête JSON au serveur API, requête contenant les cookies de l’utilisateur. Le serveur répond quant à lui en renvoyant l’identifiant utilisateur ainsi que le jeton de connexion correspondant. 

Des failles loin d’être anodines, mais qui d’une part n'ont apparemment jamais été exploitées, et d’autre part ont été corrigées. “CheckPoint Research a informé les développeurs de OkCupid des vulnérabilités exposées dans cette étude et une solution a été déployée de manière responsable pour garantir que ses utilisateurs puissent continuer d’utiliser l'application OkCupid en toute sécurité” écrit l’éditeur, qui recommande à tous les utilisateurs de mettre à jour l’app dans les plus brefs délais.

Ledger attaqué, les cryptomonnaies en sécurité

Le vendeur de portefeuilles à cryptomonnaies a été victime fin juin d’une intrusion dans ses systèmes. Une attaque qui n’a pas été détectée avant mi-juillet, mais qui ne touche pas directement les fonds stockés par les utilisateurs : les pirates n’ont eu accès qu’à une base de données e-commerce et marketing, contenant principalement des adresses email. 

Les plateformes d’échange de cryptomonnaies sont fréquemment la cible d’attaques. Quand le Bitcoin était à son plus haut, les tentatives étaient quotidiennes, et régulièrement couronnées de succès, les hackers volant ici et là l’équivalent de quelques centaines de milliers de dollars en devises virtuelles. 

Le rythme a quelque peu diminué mais l’industrie reste une proie particulièrement alléchante pour les cybercriminels. Ledger, entreprise française spécialisée en cryptowallets, des systèmes de stockage de cryptomonnaie, n’y a pas échappé. La société annonce avoir été victime d’une intrusion dans ses serveurs. C’est par le biais de son programme de bug bounty que Ledger a été informé, le 14 juillet, d’une potentielle vulnérabilité sur son site web. Aussitôt signalée, aussitôt corrigée.

Vol de données, et non de cryptomonnaies

Néanmoins, se penchant sur cette faille, l’équipe de Ledger découvre, une semaine environ après les faits, que celle-ci a été exploitée, permettant à un tiers non autorisé d’accéder à une base de données. L’entreprise prévient : les informations de paiement et les fonds stockés n’ont pas été affectés. Les pirates ont eu accès à une base de données marketing et e-commerce, “utilisée pour envoyer des confirmations de commande et des e-mails promotionnels”. Un accès obtenu via une clé API, désactivée depuis. 

S’y trouvaient principalement un million d’adresses email d’utilisateurs, mais aussi “un sous-ensemble comprenant également les coordonnées et les détails de la commande tels que le prénom et le nom, l'adresse postale, l'adresse e-mail et le numéro de téléphone”. Ces dernières données concernent 9500 utilisateurs. En réaction, Ledger a prévenu la Cnil le 17 juillet, et a fait appel le 21 juillet à Orange Cyberdéfense “pour évaluer les dommages potentiels de la violation de données”. 

Ledger surveille les places de marché bien connues des hackers afin d’y repérer la vente de ces données, et explique avoir réalisé et planifié la réalisation, de plusieurs pentests. Une plainte a en outre été déposée, tandis que les utilisateurs affectés ont été notifiés. 

Hexatrust compte désormais 57 membres

L’association d’éditeurs de solutions de cybersécurité recrute sept nouveaux membres, parmi lesquels MailInblack et Yes We Hack. Au catalogue s’ajoutent avec ces nouveaux entrants du bug bounty, de la mise en conformité ou encore de la supervision.

Depuis 2014, Hexatrust se développe à son rythme, recrutant régulièrement de nouveaux membres. L’association professionnelle française, qui travaille à la mise en place de son réseau Gallia, plateforme en ligne voulant regrouper tous ceux qui, d’abord en France, touchent de près ou de loin à la cybersécurité, annonce aujourd’hui compter sept nouveaux membres, portant ses effectifs à 57 entreprises.

Viennent donc de rejoindre l’association Digitemis, Formind, MailInblack, Satelliz, Whaller ainsi que les deux plateformes hexagonales de bug bounty Yogosha et Yes We Hack. Cette cuvée post-covid est portée par de jeunes acteurs particulièrement dynamiques. Yes We Hack et Yogosha font très régulièrement l’actualité avec leur programme de chasses aux vulnérabilités, tandis que MailInblack a récemment fait parlé de lui. Après avoir levé 14 millions d’euros l’an dernier, l’outil antispam est devenu en septembre dernier partenaire de Microsoft.

De jeunes locomotives

Whaller, pour sa part, propose aux entreprises de créer leurs réseaux sociaux internes sécurisés. Cette adhésion, alors qu’Hexatrust planche sur Gallia, ne semble pas être une coïncidence. Sur le créneau de la mise en conformité et de l’analyse de risques, on trouve Digitemis, sur la partie logicielle principalement, et le cabinet de conseil Formind. Enfin, Satelliz fournit des solutions de supervision et d’infogérance Cloud.

« L'arrivée de 7 nouveaux membres permet au groupement de continuer à étendre le catalogue des solutions de confiance que nous souhaitons réunir avec les meilleures pépites, dans l'optique de présenter l'offre la plus complète et performante possible en matière de solutions souveraines pour les besoins de cybersécurité et de cloud de confiance des utilisateurs et des organisation » se félicite Jean-Noël de Galzain, Président d’Hexatrust.

Un bug bounty sur la Playstation

Alors que la cinquième version de la console de salon de Sony a été annoncée, l’entreprise japonaise s’intéresse (enfin) à la sécurité du système d’exploitation de la Playstation 4, et du Playstation Network, dans les pas de Microsoft pour Xbox et, bien antérieurs, de Nintendo. 

On oublie souvent que les consoles de jeux, toujours plus connectées, sont confrontées aux mêmes problématiques de sécurité que n’importe quel PC. On se rappellera, dès 2011, l’intrusion sur les serveurs du Playstation Network et la fuite de données qui en résulta. Nintendo a été le premier à recourir au bug bounty, en 2016, pour sa console portable 3DS. Microsoft lancera sur le tard sa propre chasse participative aux vulnérabilités pour l’ensemble de sa galaxie Xbox, en janvier dernier

Et voici enfin que le troisième larron, Sony, propose à son tour aux chercheurs et développeurs tiers de traquer les failles sur ses systèmes. Le géant japonais a ouvert la semaine dernière un bug bounty sur la plateforme Hacker One. “Chez PlayStation, nous nous efforçons d'être le meilleur endroit pour jouer et nous pensons que la sécurité de notre environnement est fondamentale pour atteindre cet objectif” écrit Sony. “Nous pensons que grâce à des partenariats étroits avec la communauté de la recherche sur la sécurité, nous pouvons offrir un environnement plus sûr pour jouer”.

Jusqu’à 50 000 dollars

Sont concernés par ce programme la dernière console en date du Japonais, la Playstation 4, son système d’exploitation ainsi que ses accessoires. Mais seules les vulnérabilités affectant les versions actuelles et beta de la brique logicielle garantiront une prime : les failles soumises pour des versions antérieures seront examinées au cas par cas.

Le Playstation Network, ensemble de services en ligne allant du multijoueur à la boutique de jeux, est également couvert par ce bug bounty, à savoir les domaines *.playstation.net, *.sonyentertainmentnetwork.com, *.api.playstation.com, my.playstation.com, store.playstation.com, social.playstation.com, transact.playstation.com et wallets.api.playstation.com. Tout autre domaine est exclu du champ du programme, tandis que les anciennes consoles, de la Playstation 1 à la PSP en passant par la PS3 ou la PS Vita, ne sont pas concernées par le bug bounty. 

Côté prime, Sony compense son retard à faire appel à la communauté par le montant des récompenses proposées. Là où Microsoft plafonne à 20 000 dollars pour des failles critiques, celles-ci peuvent rapporter jusqu’à 50 000 dollars si elles affectent la Playstation 4. Les vulnérabilités touchant le PSN sont quant à elle bien moins profitables, puisqu’elles ne rapportent que 3000 dollars au maximum.

Levée de 100 millions de dollars pour Tanium, désormais valorisé 9 milliards

Belle opération pour le jeune éditeur d’EDR, qui vient de lever près de 100 millions de dollars auprès de Salesforce Ventures. Tanium a levé depuis sa création 900 millions de dollars au total, ce dernier tour de table portant sa valorisation à 9 milliards de dollars. 

Jeune pousse naviguant dans le domaine de la protection des endpoints, Tanium continue son bonhomme de chemin, multipliant depuis une décennie les levées de fonds. Après avoir séduit en 2018 le fonds Andersen Horowitz, c’est désormais à Salesforce Venture que l’éditeur s’adosse. Dans un communiqué, Tanium annonce l’investissement du bras financier de Salesforce. S’il ne détaille pas la somme reçue, l’entreprise précise que cet apport d’argent frais porte le total des fonds levés depuis sa création à 900 millions de dollars. 

Le calcul est aisé : après la levée auprès de Andreessen Horowitz, Tanium annonçait 800 millions de dollars de fonds cumulés. Salesforce Ventures a donc signé un chèque de 100 millions de dollars, ce qui a pour conséquence de porter la valorisation de la jeune pousse à 9 milliards de dollars. "Cet investissement permettra de renforcer le leadership de Tanium sur le marché de la gestion unifiée et sécurisation des postes de travail et serveurs" écrit l’entreprise.

Partenaires

Surtout, cet investissement s’accompagne d’un partenariat entre Salesforce et Tanium. "Grâce à ce partenariat, Salesforce pourra exploiter la puissance de la plateforme Tanium pour aider les équipes informatiques à obtenir une visibilité et un contrôle complets des postes de travail et serveurs de leurs employés" écrit l’entreprise de Marc Benioff. Les détails techniques de cet accord ne sont pas fournis, mais Salesforce précise qu’il s’agit de remédier "de manière proactive" aux incidents et "aider les responsables informatiques à prendre des décisions en se basant sur des données en temps réel, précises et complètes sur les postes de travail et serveurs".

"Grâce aux atouts de Tanium et de Salesforce, nous sommes dans une position unique pour fournir une plateforme de gestion des services et des postes de travail et serveurs de bout en bout, qui s'adapte parfaitement au nouveau modèle de travail de nos clients, où qu'ils se trouvent" se félicite Orion Hindawi, co-fondateur et co-PDG de Tanium.

Lire à ce sujet l'interview d'Orion Hindawi publiée dans L'Informaticien n°183.

Découvrez le n°1 de CyberRisques

Il est paru malgré la pandémie, l'annulation de tous les événements professionnels et la désorganisation des services postaux. Alors tout le monde va en profiter ! Nous vous proposons l'édition PDF complète de ce numéro un à découvrir, à lire, à faire connaître et à commenter afin de préparer un numéro deux qui réponde si possible encore mieux à vos attentes.

 

Comment sécuriser ses réunions sur Zoom ?

L’outil de vidéoconférence connaît un boom de fréquentations, qui s’accompagne de la découverte de nombreuses failles de sécurité et autres abus en termes de données personnelles. Si Zoom s’active pour résoudre ces différents problèmes, il est néanmoins possible de prendre les devants afin de sécuriser ses réunions. 

Avec l’épidémie et les mesures de confinement obligeant de nombreuses entreprises à recourir au télétravail, les solutions de vidéoconférence sont massivement utilisées et Zoom semble le fer de lance de cette tendance. Malheureusement (ou non), qui dit pic d’utilisation dit intérêt accru des hackers, bons ou mauvais. Zoom n’y a pas échappé et de nombreuses failles ont été découvertes dans sa sécurité et dans ses pratiques de confidentialité ces dernières semaines. 

Zoom rectifie le tir

Entre le partage de données de l’application iOS, non mentionné dans les règles de confidentialité, avec Facebook, la possibilité de consulter les informations du profil LinkedIn des participants à une réunion, pour les administrateurs de les fliquer, d’envahir une réunion (ou Zoombombing), les vidéos enregistrées accessibles librement en ligne, une vulnérabilité sur Windows, un comportement de malwares sur MacOS... Zoom a fort à faire pour corriger sa trajectoire et force est de constater que, malgré les révélations hebdomadaires, l’entreprise s’efforce de combler les failles. 

Ainsi, le 9 avril, Zoom a déployé une mise à jour visant à renforcer la sécurité de la plateforme, avec la bien nommée Security, une fonctionnalité permettant de réduire les risques de Zoombombing. Celle-ci permet d’accéder plus aisément lors d’une réunion à des fonctions de sécurité telles que le verrouillage de la réunion, l’activation de la salle d’attente, la suppression de participants et d’autres options permettant de limiter l’interaction de ces derniers (chat, partage écrans, annotations...). S’y ajoute le masquage des identifiants de meeting, très attendue, l’application desktop n’affichant désormais plus l’ID, l'identifiant de la réunion, dans la barre de titre de l'application de sorte à éviter les fuites accidentelles. Parmi les autres mesures, qui concernent les comptes Basic et Pro sous licence unique gratuite, la salle d’attente est maintenant activées par défaut, de même que les mots de passe pour les réunions. 

Des barrières supplémentaires

Des mesures saluées par les experts en sécurité, qui ne nient pas la responsabilité de Zoom dans les très nombreuses failles tout en reconnaissant les efforts de l’entreprise. « L'utilisation massive de cette application a permis de mettre en lumière des failles, peut-on parler de bug bounty malgré eux ? » s’interroge non sans une pointe d’humour Benoît Grunemwald, expert en cybersécurité pour ESET France. Il soulève en outre que, pour mieux protéger les réunions, mots de passe et/ou contrôle des participants par le biais de la salle d’attente s’imposent, ainsi que la limitation du partage d’écran de l’administrateur. Il recommande aussi d’éviter de partager des liens ou des identifiants de réunion sur les médias sociaux, mais aussi de préférer les seconds lors de l’invitation de participants, de sorte à atténuer les risques liés à la recrudescence de domaines malveillants exploitant la marque Zoom. 

Du côté de CyberReason, Sam Curry rappelle que les risques pesant sur les réunions sont « plutôt faciles à éviter par de simples changements des paramètres d'utilisation ». Le responsable de la sécurité chez l’éditeur conseille lui aussi de sécuriser les réunions des mots de passe, et par ailleurs de n’autoriser dans les réunions que les utilisateurs authentifiés tout en exigeant le chiffrement des terminaux tiers. Autant de réglages disponibles dans la section Paramètres avancées des clients Zoom. 

L'opérateur russe Rostelecom détourne le trafic de plus de 200 CDN et fournisseurs de cloud

Le 1er avril, une partie du trafic de quelques-uns des plus grands CDN et fournisseurs de cloud a été reroutée par la Russie. Un détournement BGP dont s'est rendu coupable l'opérateur national Rostelecom, dont on ne sait s'il a été intentionnel ou accidentel.

Google, Amazon, Facebook, Akamai, CloudFlare, GoDaddy, Digital Ocean… tous ont vu leur trafic détourné mercredi dernier. En cause, une technique bien connue sur le backbone Internet : le détournement BGP, pour Border Gateway Protocol. Ce système de routage basé sur TCP a ses mérites, notamment en termes de décentralisation, mais n'est plus tout jeune, ni très robuste. D'où de multiples détournements, parfois intentionnels, parfois accidentels.

Et dès lors que le pirate du routage est Chinois ou Russe, le détournement fait les gros titres. China Telecom s'en est fait une spécialité, mais l'opérateur télécom national russe, Rostelecom, n'est pas en reste. En 2017, il détournait ainsi le trafic de Visa, MasterCard et d'autres géants de la finance. Il a rempilé le 1er avril, à grande échelle cette fois-ci. L'incident a concerné, pendant une heure, près de 8000 préfixes, pour quelque 200 opérateurs de Cloud et de CDN.

Une mauvaise blague

BGPmon explique avoir détecté le détournement peu après 19h UTC mercredi 1er avril. Détourner le trafic n'est guère complexe, puisqu'il suffit à un système autonome (AS) de communiquer un faux chemin d'accès de sorte à passer pour les autres acteurs comme le destinataire légitime des paquets IP qu'ils envoient : leur trafic sera donc rerouté par les serveurs du pirate.

Avant l'essor du HTTPS, le détournement BGP servait notamment à des attaques de type man-in-the-middle, mais avec le recours croissant au chiffrement du classique, la méthode a perdu de son intérêt. A moins d'avoir bien sûr les moyens de le stocker et de le déchiffrer. Cependant, il est également probable que ce détournement soit purement accidentel, une erreur humaine ou informatique pouvant annoncer des chemins d'accès, des préfixes ou des ASN (Autonomous System Number) erronés.

L’APHP en grande discussion avec Palantir

L’organisation rassemblant les hôpitaux parisiens pourrait avoir recours aux solutions d’analyse de données de l’entreprise américaine. Celle-ci est en pleine opération séduction des institutions médicales européennes, profitant de la lutte contre l'épidémie de COVID-19.

Il fut un temps où la moindre mention de Palantir faisait se dresser les cheveux sur la tête de tous les défenseurs du droit à la vie privée. L’entreprise co-fondée par Peter Thiel et financée par le renseignement américain a en effet une réputation sulfureuse. Mais, alors que le coronavirus continue de se propager, certains services de santé européens songeraient à faire appel à ses services.

Selon les sources de Bloomberg, l’Américain serait en négociations avec les autorités françaises, allemandes, autrichiennes et suisses. L’entreprise aurait d’ores et déjà obtenu un contrat avec le Lander allemand de Rhénanie du Nord-Westphalie, à hauteur de 14 millions d’euros. La semaine dernière, c’est le NHS britannique qui annonçait avoir signé avec Palantir. De notre côté de la Manche, les discussions seraient en cours avec l’APHP, l’entité rassemblant les hôpitaux publics de Paris.

Palantir à l’hosto

A ses prospects, Palantir assure que ses technologies peuvent permettre de suivre et analyser la propagation du virus, aider les hôpitaux à prévoir les pénuries de personnel et d'approvisionnement ou encore les gouvernements à préparer la sortie des mesures de confinement. Plus globalement, il s’agit d’ingérer et de traiter d’importants volumes de données. Et c’est justement cette question des données qui fait toujours débat, certains Etats européens risquant de se montrer réticents à l’idée de fournir des données aussi sensibles à une entreprise américaine.

En Europe, Palantir s’est considérablement développé ces dernières années, jusqu’à compter 800 salariés sur le vieux continent et des contrats avec bon nombre d’Etats. Dont la France. Quand bien même les services de l’Etat cherchent à s’émanciper de Palantir, son contrat avec le renseignement intérieur à été renouvelé l’an dernier, faute d’alternative souveraine. L’APHP fait appel depuis la semaine dernière à ses propres ingénieurs informatiques pour analyser les données des 39 hôpitaux de l’organisation. Ni l’APHP ni Palantir n’ont pour l’heure confirmé les informations de Bloomberg.

Le code source du ransomware Dharma mis en vente

Actif depuis 2016, le ransomware Dharma continuait l’an dernier à faire parler de lui : dans l’Hexagone il a en août dernier été responsable de la paralysie de Ramsay Générale de Santé. Son code source a été mis en vente sur des forums russes ce week-end, pour 2000 dollars. Les chercheurs craignent un effet Mirai, mais y voient aussi l’occasion de décortiquer ce programme malveillant et d’y trouver de nouvelles parades. 

Dharma est apparu en 2016 sous le nom de CrySiS. Ce ransomware, distribué "as a Service", aux variantes nombreuses et plus ou moins virulentes, a connu un pic mi-2019 nous apprend le rapport de l’Anssi sur les rançongiciels. « Responsable d’un quart des infections détectées en 2018, Dharma est probablement proposé à bas prix » estime le SSI de l’Etat, qui ajoute que certains des attaquants ayant recours à ce ransomware ne le maîtrisent pas, tant et si bien qu’ils se sont trouvés bien incapables après paiement de la rançon de déchiffrer les fichiers de leurs victimes. 

Malgré ses nombreuses déclinaisons, là encore plus ou moins maîtrisées, Dharma se répand par le biais de pièces jointes malveillantes ou de liens dans des emails de spam, déguisé en fichier d’installation de logiciels légitimes, notamment d’antivirus, distribués en ligne et, surtout, ce ransomware est diffusé manuellement, lors d’attaques ciblées exploitant des authentifiants RDP (Remote Desktop Protocol) faibles ou préalablement compromis.

Chiffrement fort

Une fois dans le système, Dharma crée des entrées de registres afin de maintenir sa persistance et chiffre pratiquement tous les types de fichiers, exceptés les fichiers système et les autres programmes malveillants, sur le terminal cible, ses périphériques externes et les réseaux partagés. La particularité de Dharma est que son algorithme de chiffrement est particulièrement solide (AES-256 combiné avec du chiffrement asymétrique RSA-1024) : les rares fois où il a pu être déchiffré, en 2016 et en 2017, le code n’avait pas été cassé mais les clés de chiffrement divulguées. 

Et voici donc que, d’après plusieurs chercheurs en cybersécurité, le code source du ransomware a été mis en vente sur des forums utilisés par des hackers russes. Et pour une somme modique compte tenu de la réputation de ce ransomware : 2000 dollars. Chez les éditeurs, deux sons de cloche se font entendre. D’une part, certains redoutent un effet Mirai, du nom de ce botnet dont le code source avait été publié, donnant la possibilité au moins habile des cybercriminels de créer son petit botnet à moindre frais. Mais d’autres y voient l’opportunité pour les spécialistes en cyber de se pencher sur ce code source, de le décortiquer et d’y découvrir les meilleures méthodes pour contrer cette souche de ransomware.