juillet 21st, 2015

Il en fait couler, de l’encre, du code et du mauvais sang, ce bulletin MS15-078, de son petit nom CVE-2015-2426. Le Sans le peint en rouge vif avec la mention « trou critique, corrigez maintenant ! ».

Il faut dire qu’il s’agit d’un trou exploité et qu’il affecte toutes les éditions de Windows, de Vista aux préversions de Windows 10, serveurs y compris. Le défaut se situe dans Atmfd.dll la bibliothèque « Adobe Type Manager » de Windows et constituerait une voie royale pour une exécution de code dans le noyau distant. L’attaque, explique le bulletin de Microsoft, pourrait être menée via un document ou une page web utilisant des fontes de caractère OpenType forgées.

Si le déploiement de correctif n’est pas possible dans l’immédiat, l’éditeur conseille de désactiver Atmfd.dll, la méthode de contournement changeant selon le type de noyau utilisé 32 ou 64 bits, ainsi que l’ancienneté de l’édition de Windows.

Vendredi dernier, CVSphoto prévenait son aimable clientèle que ses serveurs avaient été visités. Sur ces serveurs, des numéros de carte de crédit, manifestement ni chiffrés, ni salés. CVSphoto est un service de tirage photographique rapide proposé par la chaîne de drugstore CVS, assuré par une entreprise sous-traitante qui offre ses offices à plusieurs grandes marques de supermarchés. Craignant que l’exploit serve à nouveau, plusieurs de ces clients ont suspendu leurs services photo, ainsi Tesco et Walmart Canada. Le nombre exact de victimes potentielles n’est pour l’instant pas encore connu.

Ashley Madison, site spécialisé dans les rencontres extraconjugales, arbore le slogan « La vie est courte. Tentez l’aventure » et revendique 37,5 millions de membres. Si l’on ajoute Cougarlife et Established Men, autres sites du même genre appartenant au groupe ALM, ces chantres du cyber-marivaudage alignent40 millions d’utilisateurs. Quelle aubaine pour les hackers, quel fantastique levier et moyen de chantage…

Aubaine qu’ont su exploiter (aux deux sens du terme) les hackers du groupe The Impact Team, nous apprend Brian Krebs. « Vos procédures (payantes) de suppression de compte sont totalement inefficaces, et l’anonymat de vos membres n’est nullement respecté » affirment les intrus. Si vos sites Ashley Madison et Established Men restent « en ligne », nous publierons l’intégralité des données de vos clients, leurs profils, leurs fantasmes sexuels, leurs transactions effectuées avec leurs cartes de crédit, leurs identités réelles, adresses… »

Les apparentes motivations puritaines du groupe de pirates pourraient (avec une forte probabilité) cacher des intentions moins morales. S’ils mettent leurs menaces à exécution, les avocats spécialisés en droit des familles, tant aux USA qu’au Canada, risquent d’afficher « complet » pour les 2 ou trois années à venir. Et si c’était ça, le véritable mobile de l’histoire ? Après l’employé frustré, le « disgrunded lawyer » ?

Depuis quatre jours, le site web de l’organisme bancaire Anversois AFC Credieten se limite à la page par défaut de Plesk. Spécialisé dans les prêts financiers, AFC Credieten a été la cible du groupe de pirates Rex Mundi spécialisés dans l’extorsion de fonds et le chantage. « Si vous ne payez pas, nous publierons les enregistrements de24 000 de vos clients » rapporte un article du Reg. Les Belges Dexia, Voo, Alpha Hosting, Xperthis, les Français Creditpret et Numéricable, les américains Domino’s Pizza et Americash Advance ont déjà été victimes de ces maître-chanteurs.

Une lecture attentive de l’article du Reg laisse à penser que la gestion de crise au sein d’ AFC Credieten est aussi subtile qu’une charge d’éléphants dans un magasin de porcelaine. « What that group did is illegal and writing about it would be against the law » declare un porte-parole du groupe. Il semblerait que menacer de poursuivre un journaliste en diffamation soit moins fatiguant, moins coûteux que d’augmenter un budget SSI ou de faire face à un groupe de pirates manifestement bien entraînés et hors de portée d’avocats. Le culte de l’omerta, si cher aux organismes bancaires Européens, n’est pas prêt de s’étioler. Il n’est en revanche pas certain du tout que les clients directs et indirects de cet organisme apprécient ce genre d’attitude.

4,5 millions d’enregistrements potentiellement compromis. C’est le bilan (provisoire) d’une intrusion informatique ayant frappé UCLA Health, un groupe hospitalier Californien. L’attaque aurait été découverte début mai dernier. Les informations dérobées comprennent les noms, adresses, dates de naissance, numéros de sécurité sociale, numéros d’enregistrement médical, informations portant sur les assurances santé complémentaires et de nombreuses autres données personnelles médicales. Pour l’heure, une enquête est en cours, assurée par le FBI, et les victimes se sont vues proposer la gratuité des opérations de récupération de données sur une période de 12 mois, ainsi qu’une police d’assurance en cas de dommage avec une prime d’un montant d’un million de dollars. Il n’est absolument pas certain, précise le communiqué de l’hôpital, que les données personnelles aient réellement été copiées.

Tor, Jabber et autres outils d’échanges confidentiels décrits de manière très didactique par Micah Lee de The Insider .