octobre 1st, 2018

Le « mois de la cybersécurité »a démarré officiellement le 1er octobre, 31 jours durant lesquels se succèderont petits films d’incitation et de propos volontaristes, dessins humoristiques thématiques, dossiers de presse truffés de statistiques, le tout agrémenté de manifestations, tables rondes, colloques, débats, réunions de sensibilisation, conférences, journées -et nuits- cyber. Autant d’actions coordonnées par l’Enisa au niveau Européen et par l’Anssi sur les terres des Gaules.

Une belle collection de failles a été collectée dans les systèmes d’exploitation des équipements sous IOS et IOS XE. Le bulletin publié par l’équipementier classe la quasi-totalité des trous dans la catégorie « critique, à corriger immédiatement ». Et notamment, une possibilité d’accès sans authentification nécessaire dans OSPF v3, un risque de déni de service par redémarrage en boucle des équipements (plateformes IOS XE et série ASA 5500-X), ceci sans oublier une défaillance dans l’interface Web d’IOS XE ou des bugs dans la gestion des droits d’accès aux répertoires de Webex.

Un défaut dans la fonction « Aperçu du profil en tant que » a permis à des gastronomes de la donnée personnelle de générer des « jetons d’accès », sortes de clefs numériques qui offrent à chaque usager la possibilité de demeurer connecté à leur compte sans avoir à saisir à nouveau leurs identifiants/mots de passe. Dixit les services techniques de Facebook, au fil d’un communiqué expliquant cette attaque relativement complexe.

Il s’agit en fait de l’exploitation de trois défauts qui, combinés, peuvent offrir aux attaquants accès au compte FB. La faille a été colmatée et le service « aperçu du profil en tant que » a été suspendu pour une durée indéterminée.

Outre l’accès aux minutes onaniques Facebookienne, on ne peut oublier les fonctions d’authentification et de « single sign on » que ce réseau social apporte à de multiples services et sites Web étrangers à Facebook. Si l’authentification du site principal est compromise, n’existerait-il pas un risque que cette attaque puisse déborder et affecter d’autres serveurs utilisant ladite authentification ? Une sorte de « pass the hash » modernisé. Cette hypothèse reste cependant improuvée, et les services sécurité de la Zuckerberg’s company considèrent ce scénario comme peu probable.

Dans tous les cas de figure, cette inconsistance logicielle rappelle à chacun que les services d’un réseau social ne doivent pas être confondus avec une banque de mot de passe.