⚠️ Urgence Sécurité : 14 millions de machines vulnérables à une faille OpenSSH oubliée

Salut 👋, j'espère que ta semaine se passe bien ! Prépare-toi à savourer THE cocktail d'actus cyber et digitales, ça va pulser !

Au programme :

La Suggestion du Barman : 🧨 OpenSSH : 14 millions de machines sont en danger,
En Image : 🔃 Cycle de vie d’une vulnérabilité zero-day,
Vos shots :
🇷🇺 Les pirates russes de Cozy Bear s’attaquent à TeamViewer,
🇪🇺 Le modèle “payer ou consentir” de Meta dans le viseur des régulateurs européens,
🔥 Ça chauffe pour les infrastructures réseaux,
Pétillant : 🇫🇷 État de la maturité cyber en France par Wavestone.

🧨 OpenSSH : une faille critique met en danger des millions de serveurs Linux

Le CERT Français a sonné l’alerte lundi. Des analystes de Qualys ont récemment découvert une vulnérabilité critique dans OpenSSH, un composant essentiel qui permet de se connecter à des machines à distance avec le protocole “SSH”. Ce problème expose des millions de systèmes Linux à des attaques d'exécution de code à distance. Et le moyen de contournement expose les machines à du déni de service…

Une faille critique, référencée CVE-2024-6387, et notée 8.1 sur l'échelle CVSS, menace des millions de systèmes Linux en permettant l'exécution de code à distance non authentifié avec des privilèges “administrateur”.

Cette vulnérabilité permet à un attaquant de prendre le contrôle total du système, d'installer des logiciels malveillants, de manipuler des données et de créer des portes dérobées pour un accès persistant. Cette faille pourrait aussi faciliter la propagation des attaques au sein d'un réseau, en utilisant un système compromis comme point d'appui pour attaquer d'autres systèmes vulnérables.

Les versions d’OpenSSH concernées sont détaillées dans l’alerte du CERT FR.

De retour après 18 ans d’absence

Ce bug, surnommé "RegreSSHion" par la Threat Research Unit (TRU) du fournisseur Qualys, qui l’a découvert, est une réintroduction d'une faille corrigée en 2006 (CVE-2006-5051). Cette réintroduction est probablement due à des mises à jour non testées ou à l'utilisation de code ancien.

“Cet incident met en évidence le rôle crucial des tests de régression approfondis pour empêcher la réintroduction de vulnérabilités connues dans l'environnement. Cette régression a été introduite en octobre 2020 (OpenSSH 8.5p1)”, écrit Qualys.

Un risque d'exploitation considérable

Selon les chercheurs de Qualys, la découverte de cette vulnérabilité a des implications significatives pour la sécurité des systèmes Linux à travers le monde. Avec l'utilisation omniprésente d'OpenSSH dans divers environnements, des ordinateurs personnels aux serveurs d'entreprise, plus de 14 millions d'instances de serveurs OpenSSH sont potentiellement vulnérables et exposées à Internet.

Bien que cette vulnérabilité soit plus courante sur les systèmes Linux, elle pourrait également exister sur les environnements Mac et Windows, bien que son exploitabilité sur ces systèmes n'ait pas encore été prouvée.

Comment s’en protéger ?

L’avis du CERT-FR le précise. Il existe également un outil conçu pour identifier les serveurs utilisant des versions vulnérables d'OpenSSH, ciblant spécifiquement la vulnérabilité regreSSHion (CVE-2024-6387) récemment découverte.

🔃 Cycle de vie d’une vulnérabilité zero-day

🇪🇺 Le modèle “payer ou consentir” de Meta est dans le viseur des régulateurs européens

Meta, la société mère de Facebook et Instagram, est confrontée à une enquête de la Commission européenne pour son modèle “Payer ou Consentir”. Ce modèle impose aux utilisateurs de choisir entre accepter des publicités personnalisées ou payer un abonnement pour les éviter, une pratique jugée non conforme au Digital Markets Act (DMA).

Le 17 avril, le gendarme européen de la protection des données (EDPB) avait déjà communiqué sur ce modèle “pay or consent” en appelant les éditeurs de sites à donner un vrai choix aux utilisateurs.

Ce lundi 1er juillet, la Commission européenne a informé Meta que son modèle ne respecte pas les exigences de l'article 5(2) du DMA, car il ne propose pas d'alternative équivalente moins personnalisée pour ceux qui refusent le suivi de leurs données. Pour être conforme au DMA, les plateformes doivent permettre aux utilisateurs d'accéder à des services équivalents sans consentir à la collecte de leurs données.

Meta a désormais 12 mois pour répondre aux conclusions préliminaires et se conformer aux régulations. En cas de non-conformité, Meta pourrait se voir infliger une amende pouvant aller jusqu'à 10 % de son chiffre d'affaires mondial.

Face à ces accusations, Meta a déclaré dans un communiqué transmis à l’agence de presse Associated Press que “l'abonnement sans publicité suit l'orientation de la plus haute cour d'Europe et est conforme à la DMA” et qu'elle allait engager un dialogue constructif avec la Commission dans le cadre de l’enquête. La décision de lundi est la dernière en date d'une série d'actions réglementaires de Bruxelles visant les grandes entreprises technologiques (Apple, Microsoft, etc.)

🇷🇺 Les pirates russes de Cozy Bear s’attaquent à TeamViewer

TeamViewer, l'éditeur de logiciels de contrôle à distance, très utilisé par les supports techniques, a récemment confirmé avoir été la cible d'une cyberattaque. Celle-ci a été menée par le groupe de pirates russes APT29, également connu sous le nom de Cozy Bear. L'incident, survenu la semaine dernière, a permis aux cybercriminels de copier les données du répertoire des employés telles que les noms, les coordonnées de l'entreprise et les mots de passe cryptés, qui étaient destinés à l'environnement informatique interne de l'entreprise.

L'intrusion a été réalisée en utilisant les identifiants compromis d'un “compte d’employés standard”. Néanmoins, TeamViewer se veut rassurant et précise dans son communiqué que les pirates n’ont pas pu accéder à l'environnement de produit de l'entreprise ou aux données clients car ses réseaux et comptes sont strictement séparés pour limiter les mouvements latéraux non autorisés. Les experts en cybersécurité recommandent de supprimer le logiciel TeamViewer ou de surveiller étroitement les systèmes où il est installé pour détecter tout comportement inhabituel, jusqu'à ce que plus d'informations soient disponibles.

APT29 est un acteur de la menace affilié au service de renseignement russe (SVR) connu pour avoir été impliqué dans plusieurs des piratages les plus conséquents de la dernière décennie. Il est notamment responsable du hack de SolarWinds en 2020, et plus récemment, dans la cyberattaque majeure contre Microsoft, où ils sont parvenus à accéder aux e-mails de plusieurs hauts responsables américains.

🔥 Ça chauffe pour les infrastructures réseaux

Juniper Networks a publié des mises à jour de sécurité pour corriger une faille critique qui pourrait conduire à un contournement de l’authentification dans certains de ses routeurs. Cette vulnérabilité, identifiée sous le nom de CVE-2024-2973, obtient le score CVSS maximal de 10.0. Elle permet à un attaquant non authentifié basé sur le réseau de prendre le contrôle total du routeur. Les appareils affectés sont Session Smart Router, Session Smart Conductor et WAN Assurance Router.

En parallèle, un groupe de pirates lié à la Chine nommé Velvet Ant a été observé en train d’exploiter une vulnérabilité zero-day (CVE-2024-2039) dans le logiciel Cisco NX-OS. Cette vulnérabilité permet l’exécution de commandes à distance par des attaquants déjà authentifiés. Les appareils touchés incluent les commutateurs des séries Nexus et MDS de Cisco. Malgré la nécessité de posséder des identifiants administrateurs pour exploiter cette faille, la menace reste significative en raison des capacités de persistance et de furtivité du malware utilisé.

Pour rappel, les équipements de Cisco et Juniper dominent le marché mondial des routeurs. Cisco détient environ 37% du marché des routeurs pour les fournisseurs de services et les entreprises, tandis que Juniper affiche également une forte présence, surtout dans les centres de données et les réseaux des fournisseurs de services.

🇫🇷 État de la maturité cyber en France par Wavestone

Depuis plus de 5 ans, Wavestone publie un benchmark de la maturité cyber de ses clients face aux standards internationaux et en particulier le NIST CSF. Basé sur des évaluations terrains, réalisées par ses consultants, cette évaluation de plus de 100 grandes entreprises permet d’éclairer les forces et faiblesses dans de multiples secteurs.

À retenir :

1. Les grandes entreprises (plus de 1 milliard de dollars de CA) montrent une légère amélioration en matière de cybersécurité (53%). Soit +1 point par rapport à 2023. Ce qui ne semble pas significatif.

2. Les budgets de cybersécurité représentent 6,6% du budget informatique tous secteurs confondus, ce qui est à la limite inférieure de la fourchette recommandée (entre 5 et 10%). Les entreprises n’investissent donc pas assez.

3. En moyenne, 1 expert en cybersécurité est responsable de la sécurité de 1 086 employés, et de plus en plus d'entreprises mettent en place des initiatives pour retenir les talents. Le Top 10 des clients les plus matures de Wavestone affiche une moyenne de 1 expert cyber pour 86 employés.

4. 2 domaines ont particulièrement progressé cette année : la sécurité du cloud (+5%) grâce aux améliorations dans la gestion des plateformes, et la sécurité des données (+4%), en lien avec les défis de l'Intelligence Artificielle. Il est temps, 18 ans après le lancement d’AWS, le cloud d’Amazon (2006)

5. Certains domaines de la cybersécurité restent problématiques, notamment la sécurité des partenaires et des fournisseurs (48,9% de maturité) et celle des systèmes industriels (39,9%), malgré des investissements en hausse. Les entreprises ont-elles baissé les bras sur ces sujets ?

6. Face à la menace rançongiciel, les grandes entreprises maîtrisent mieux les fondamentaux de la cybersécurité, contrairement aux petites entreprises, dont 54% y restent vulnérables. La cybersécurité gagnerait à être simplifiée, surtout pour les TPE/PME.

7. Les Jeux Olympiques de Paris vont exposer les grandes entreprises françaises aux attaques par déni de service dont 39% sont suffisamment protégées et aux interruptions de sites web dont 47% sont suffisamment protégées. Les dernières actions sont encore possibles à un mois de l'événement mais il faut agir maintenant.

8. La directive NIS 2 aura un impact important sur les stratégies de cybersécurité, touchant un nombre croissant d'entreprises à travers l'Europe, et nécessitera des investissements importants pour combler l'écart de 20% à 40% face aux exigences attendues.

Pour diffuser la culture cyber et digitale, partage ce Shake autour de toi 👐

À samedi pour la Carte Cyber ! ✌️