Microsoft corrige 53 failles en novembre


Aucune faille corrigée en novembre par Microsoft dans sa mise à jour de sécurité n'a encore été exploitée par des pirates. Mais il existe déjà des outils pour en exploiter certaines. Sur les 53 correctifs de la livraison, treize doivent être appliqués en priorité.

Certains correctifs du Patch Tuesday de novembre doivent être installés rapidement car il existe déjà des outils pour les exploiter. (Crédit : D.R.)

Microsoft a livré hier - 2ème mardi du mois - sa mise à jour de sécurité pour novembre. Les correctifs sont présentés et décrits dans sa base Security Update Guide, mais depuis le changement de présentation de son Patch Tuesday, en avril dernier, l'éditeur ne propose plus la synthèse des bulletins de sécurité qu’il publiait jusque-là. La lecture récapitulative des correctifs ne s’en trouve pas facilitée. Selon Gill Langston, directeur produit du spécialiste en sécurité Qualys, cette livraison de novembre intervient sur 53 vulnérabilités dont 25 sont liées à un risque d’exécution de code à distance. Et elle comporte une mise à jour « massive » pour les logiciels d’Adobe.

Le système d’exploitation Windows reçoit 14 correctifs, aucun n’étant considéré comme critique. Les autres correctifs sont destinés aux navigateurs web et à Office. Selon Microsoft, aucune des failles considérées n’a été encore été exploitée « in the wild » par des pirates. Contrairement au mois d’octobre dernier où la faille CVE-2017-11826 concernant une vulnérabilité de corruption de mémoire dans Office était exploitée activement. En octobre, Microsoft avait également corrigé, « discrètement », rappelle Gill Langston, la vulnérabilité CVE-2017-13080, connue comme la faille Krack dans le protocole sans fil WPA2. Il ne l’avait fait savoir qu’une semaine plus tard lorsqu'elle avait été révélée publiquement, rappelle le responsable produit de Qualys.

13 correctifs à appliquer en priorité

Pour novembre, Gill Langston recommande aux administrateurs de s’occuper en priorité des failles CVE-2017-11830 et CVE-2017-11847. La première est une vulnérabilité de contournement des fonctions de sécurité Device Guard. La deuxième peut déboucher sur une élévation de privilèges dans Windows. Quatre autres failles doivent également être corrigées rapidement car il existe déjà des outils pour les exploiter, même si ceux-ci n’apparaissent pas encore pour l’instant dans des campagnes d’attaques actives. Il s’agit des failles CVE-2017-11848 (concernant Internet Explorer), CVE-2017-11827 (portant à la fois sur IE et Edge), CVE-2017-11883 et CVE-2017-8700 (ces deux dernières étant liées à ASP.NET).

Qualys pointe six autres failles à mettre sur la liste des priorités : CVE-2017-11836, CVE-2017-11837, CVE-2017-11838, CVE-2017-11839, CVE-2017-11871 et CVE-2017-11873. Elles concernent toutes le moteur de script des navigateurs Edge et IE, notamment sur les ordinateurs portables. Un dernier correctif est qualifié d’important par Microsoft. Il porte sur la faille de corruption de mémoire dans Office CVE-2017-11882 qui prête le flanc à une exécution de code à distance.



iPhone X : Face ID trompé par un masque imprimé 3D

La société vietnamienne Bkav, spécialisée dans la sécurité mobile et réseau, a réussi à tromper le système de reconnaissance faciale de l'iPhone X avec un masque imprimé en 3D. 150 dollars et une poignée de jours ont été nécessaires pour sa production.

Une vidéo publiée par Bkav montre le déverrouillage d'un iPhone X avec un masque 3D. (crédit : Bkav)

Le système de reconnaissance faciale de l'IPhone X peut être trompé. Bien que présenté par Apple comme étant beaucoup plus difficile à contourner que le système d'authentification par empreintes digitales, Face ID n'en demeure pas moins faillible. C'est en tout cas ce qu'a réussi à démontrer Bkav, société vietnamienne spécialisée dans la sécurisation des terminaux mobiles et des réseaux, et dont le résultat est visible dans une vidéo. « Peu importe si Apple Face ID apprend de nouvelles images du visage, car cela n'affectera pas la vérité qu'Apple Face ID n'est pas une mesure de sécurité efficace », a indiqué Bkav.

Détails de la création du masque 3D élaboré par Bkav pour tromper le Face ID de l'iPhone X. (crédit : Bkav)

Pour réussir à tromper Face ID, Bkav a élaboré grâce à une imprimante 3D un masque sachant qu'une attention particulière a été faite sur le nez, fait à la main en silicone par une artiste. Une partie du visage critique car constituant l'un des principaux éléments de reconnaissance faciale pris en compte par Face ID. « Le masque a été fabriqué en combinant de l'impression 3D avec du maquillage et des images 2D avec un processus de création particulier sur les joues et autour de la face où il y a des larges zones de peau, afin de tromper l'apprentissage machine de Face ID », a expliqué Ngo Tuan Anh, vice-président cybersécurité de Bkav.

Bkav évalue le coût de son masque à 150 dollars pour un temps de production de quelques jours. Si la société précise que son expérimentation reste limitée à un proof of concept, elle envisage de dévoiler d'autres problèmes liés à sa recherche.


Cyberattaques : des pertes évaluées à 2,25 M€ en moyenne en France


L'étude mondiale sur la cybersécurité du cabinet PwC montre l'impact financier des attaques subies par les entreprises, notamment en France.

Le cabinet d'audit et de conseil PwC publie son étude annuelle sur la cybersécurité : The Global State of Information Security Survey 2018. Si tout le monde souligne l'ampleur des attaques subies par les entreprises, cette étude insiste sur leur impact financier. Pour la France, les pertes financières subies par les entreprises ont augmenté de 50% par rapport à l'année précédente. Elles sont estimées à 2,25 millions d'euros en moyenne.

Sur l'autre volet financier, celui de l'investissement, les entreprises françaises ont engagé en moyenne 4,3 millions d'euros dans la sécurité de leurs SI au cours des 12 derniers mois. Ce n'est qu'une moyenne. Mais la tendance est là avec une hausse de 10,2% des budgets d'une année à l'autre. L'étude met ce chiffre du budget en rapport avec le nombre d'incidents détectés, en augmentation de 9%. Les entreprises françaises, selon la même étude, ont enregistré 4 550 incidents en un an, l'équivalent de 12 par jour, contre 11 par jour un an auparavant.

Manque de formations en France

La question de la cybersécurité remonte vers les directions générales, note PwC. Le cabinet estime que 70% des entreprises françaises ont défini ou sont en cours de définition d'une stratégie de cybersécurité. Les répondants en France sont particulièrement vigilants sur quatre points : l'interruption des opérations, 36%, la mise en danger des données sensibles, également 36%, une menace pour la qualité des produits, 32%, et un risque pour la vie humaine 25%. Toutefois, 53% des entreprises en France n'ont pas de programme de formation ou de sensibilisation à la cybersécurité (contre 48% des entreprises dans le monde). Et 28% des dirigeants ou des RSSI se disent très confiants sur leur capacité à détecter les auteurs des attaques, ils sont 39% au niveau mondial.

Sur le même sujet, la Matinée Stratégique Cybersécurité : nouvelles menaces, nouvelles solutions organisée par CIO aura lieu le 21 novembre 2017 à Paris.


Amazon muscle la sécurité de son stockage cloud S3


Après que plusieurs de ses clients, dont Deloitte et Accenture, ont été piratés à cause d'erreurs de configuration de buckets sur son service de stockage cloud S3, Amazon réagit. Chiffrement par défaut des instances S3 et remontée d'alertes de celles accessibles publiquement font partie des dernières fonctions de sécurité ajoutées.

Une des dernières fonctions de sécurité d'Amazon S3 permet de s'assurer via une alerte qu'un bucket est accessible en mode public. (crédit : AWS)

Plus un mois ne passe - ou presque - sans que l'on apprenne que des données stockées sur le service de stockage cloud Amazon S3 ont été hackées. Non pas que ce service soit une passoire, bien au contraire, mais les administrateurs internes des entreprises concernées (Deloitte, Accenture...) font des erreurs de configurations d'instances. Des erreurs que des pirates n'hésitent pas à exploiter pour accéder à des informations confidentielles.

Afin de faciliter la tâche de ses clients, et éviter de continuer cette « mauvaise publicité » autour de son service de stockage cloud phare, AWS a pris des mesures. La société vient ainsi d'annoncer la mise en service de 5 nouvelles fonctions pour renforcer la sécurité de S3. Maintenant, les administrateurs ne sont plus contraints de construire des règles de sécurité pour rejeter les objets non chiffrés, mais peuvent instaurer un chiffrement par défaut de l'ensemble des objets contenus dans une instance ou bucket.

Inscrire les objets répliqués sur une nouvelle liste de contrôle d'accès

La console S3 permet également d'afficher un indicateur permettant de connaître les instances qui sont publiquement accessibles. De même, lorsque des objets sont répliqués entre plusieurs comptes AWS, on peut spécifier les objets à inscrire sur une nouvelle liste de contrôle d'accès (ACL) ou encore gérer leurs clés via le service Key Management d'Amazon. Enfin, le rapport d'inventaire S3 inclut à présent le statut de chiffrement pour chaque objet, et peut lui-même être chiffré.


77% des entreprises françaises victimes du piratage


D'après une étude menée par Loudhouse / Fortinet, RSSI et DSI estiment encore que les dirigeants de leurs entreprises négligent la cybersécurité. Moins de la moitié d'entre elles allouent au moins 10% de leur budget à la cybersécurité.

Les piratages et cyberattaques continuent leur progression. (crédit : Fortinet)

L'alerte est permanente. Mais est-elle entendue ? Rien n'est moins sûr. 85% des entreprises (77% en France) ont subi un piratage selon une étude Loudhouse / Fortinet. La cybermenace majeure demeure les logiciels malveillants (notamment les ransomwares) pour 47% des décideurs IT (45% en France). Malgré tout, 48% des décideurs IT (40% en France) jugent que la cybersécurité ne fait toujours pas partie des priorités de premier rang pour les dirigeants d'entreprises. 77% (71% en France) jugent pourtant que la direction générale devrait davantage se préoccuper du sujet.

Pourtant, 61% des entreprises (seulement 49% en France) allouent au moins 10% de leur budget IT à la sécurité. Et 71% déclarent le faire progresser (63% en France). Malgré tout, 34% (43% en France) estiment que l'évolution du cadre réglementaire (RGPD, LPM...) avec ses amendes dissuasives contribue à sensibiliser les dirigeants. Et la transition vers le cloud amènent les dirigeants à se poser des questions sur la sécurité pour 77% des répondants (71% en France).

Sur le même sujet, la Matinée Stratégique Cybersécurité : nouvelles menaces, nouvelles solutions organisée par CIO aura lieu le 21 novembre 2017 à Paris.

Last modified: Sunday, 15 September 2019, 7:32 PM