Cyber Watch Report : Février 2018

Après un début d’année parti fort avec la révélation des failles Spectre et Meltdown, cap sur Février ! Du bilan des vulnérabilités en 2017 à la découverte de vente de certificats valides en passant par la plus grosse attaque par DDoS jamais enregistrée, le mois de Février aura été agité et les experts en cybersécurité ne se sont pas ennuyés !

2017, record en nombre de vulnérabilités découvertes

20 832 ! C’est le nombre de vulnérabilités découvertes en 2017 et enregistrées par Risk Based Security, une société qui établit son propre inventaire des failles de sécurité. Soit une augmentation de 31% par rapport à 2016. Un tiers de ces vulnérabilités possède un score CVSSv2 entre 7 et 10, représentant une menace importante pour les systèmes d’informations.

Parmi ces 20 832 vulnérabilité, environ 7 900 n’auraient pas été documentées dans le dictionnaire Common Vulnerability Enumeration (CVE) ou dans la National Vulnerability Database du gouvernement américain. L’explosion du nombre de vulnérabilités explique notamment le manque de temps des équipes en charge de l’identification et la catégorisation des vulnérabilités.

44,5% de ces vulnérabilités non-documentées ont un score CVSSv2 de 7 ou plus, ce qui signifie qu’elles représentent un niveau de risque élevé, alors même que les organisations à travers le monde ignorent leur existence et ne peuvent donc pas prendre les mesures adéquates pour les corriger. On estime qu’ environ un quart des vulnérabilités découvertes en 2017 n’ont pas reçu de patch correctif, laissant les utilisateurs sans remédiation directe de la part des éditeurs.

Le record de la plus grosse attaque par DDoS battu

Fin-Février, GitHub a été victime d’une importante attaque par DDoS. Cette attaque, qu’on appelle attaque par réflexion avec amplification, varie légèrement par rapport aux DDoS habituels. Les attaquants ont utilisés des serveurs memcached, serveurs utilisés par des hébergeurs de sites web pour augmenter la rapidité de réponse des sites. Comme un grand nombre de ces serveurs ne sont pas sécurisés, les attaquants peuvent envoyer des requêtes simples à des serveurs memcached en maquillant leur adresse IP et en se faisant passer pour l’adresse IP de leur cible, GitHub. Le facteur d’amplification pour ces requêtes a atteint plus de 50 000, ce qui signifie que pour 1 octet envoyé au serveur memcached, celui-ci renvoyait jusqu’à 50 Ko à l’IP ciblée.

GitHub a donc subi un pic de 1,3 térabit par seconde, mais a toutefois réussi à transférer le trafic vers Akamai afin de mieux gérer l’afflux de requêtes.

En comparaison, l’attaque par DDoS contre le fournisseur DNS Dyn en 2016 avait déjà battu des records atteignant jusqu’à 1,2 térabit par seconde. Toutefois, cette attaque via memcached est bien plus impressionnante avec un potentiel d’amplification plus important. Nul doute que ces records seront battus prochainement. Il a d’ailleurs fallu à peine une semaine pour voir une nouvelle attaque via memcached atteindre les 1,7 Tbps. Afin de limiter l’impact de ces attaques, la communauté compte notamment sur la sécurisation des serveurs memcached par leurs propriétaires.

Des ventes de certificats valides découvertes sur le marché noir

Une récente étude a prouvé que des hackers réussissaient à récupérer des certificats valides dans le but de signer du code malicieux. En théorie, les experts avaient d’avantage en tête des vols de certificats légitimes, repositionnés ensuite sur des applications malveillantes. Ces récentes recherches ont montré que certains hackers avaient réussi à récupérer des authentifiants d’entreprises légitimes… et généraient auprès des autorités de certification habituelles des certificats valides au nom de l’entreprise usurpée, pour des applications malveillantes.

Ces certificats apportent en théorie une garantie d’authenticité d’une application et permettent d’identifier formellement le propriétaire de l’application.

L’objectif recherché de ces hackers est toutefois double. Ils cherchent à duper les internautes, en leur faisant croire que l’application téléchargée ou utilisée est vérifiée et sans risque. Ils cherchent également à contourner certains systèmes de sécurité. En effet, les applications malveillantes signées par des certificats sont plus difficiles à détecter par les navigateurs ou les outils anti-malwares, qui vont faire confiance par défaut au code signé par certificat.

Ces certificats se vendent au prix fort, entre 299 dollars et 1599 dollars. Soit potentiellement jusqu’à 230% de plus qu’un certificat légitime. Etant donné le coût, les chercheurs en ont conclu que ces certificats risquaient d’être utilisés dans des attaques plus sophistiquées, « engagés notamment dans des actions ciblées ».

Les recommandations de ce mois sont :