Cyber Watch Report : Mars-Avril 2018
Nous nous retrouvons ce mois-ci pour vous parler de données personnelles avec MS Outlook et Facebook, mais aussi de sport avec la fuite de données chez Under Armour !
Avec MS Outlook, votre mot de passe Windows peut être collecté à votre insu
Une vulnérabilité du service de messagerie Microsoft (Outlook – CVE-2018-0950) a été découverte il y a 18 mois. Elle permet à un attaquant de réaliser une fuite de données personnelles à votre insu, dont notamment votre mot de passe Windows. En fait, l’attaquant utilise une faiblesse de la fonctionnalité Outlook de prévisualisation des mails, permettant de les lire sans les ouvrir. Ainsi votre machine initie une authentification SMB auprès d’une machine contrôlée par l’attaquant sans que vous ne le remarquiez.
Et même si Microsoft vient de publier un correctif, celui-ci est incomplet… car il ne protège l’utilisateur qu’en cas de prévisualisation du mail uniquement. Si l’utilisateur clique sur un lien sous le format « IPfichier_malveillant », la procédure d’authentification SMB vers la machine de l’attaquant est initiée et le mot de passe récupéré.
Pas de panique pour autant, le mot de passe Windows est heureusement communiqué sous forme de hash* (NTLMv2), lu non aisément par un humain. Néanmoins, avec l’aide de tables de correspondances utilisant la même fonction de hash, il est toujours possible de retrouver le mot de passe d’origine. D’où la nécessité d’avoir des mots de passe compliqué, car plus le mot de passe est simple, plus c’est facile de retrouver le hash dans une table de correspondance.
De nouvelles fuites de données impliquent des centaines de millions de consommateurs
150 millions de comptes clients Under Armour fuitent fin février
Le 25 mars 2018, les équipes sécurité de la société de vente d’équipements sportifs ont découvert que les informations personnelles issues de 150 millions de comptes utilisateurs de l’application MyFitnessPal avaient fuité un mois plus tôt.
Et même si les mots de passes étaient « hashés » (eksblowfish) – les rendant difficilement interprétables – le prix de l’action a chuté de 3,8% en quelques heures, après la révélation de cette fuite de données.
En réaction, la société Under Armour a procédé rapidement à une communication auprès des victimes et en a profité pour réaliser une sensibilisation au phishing. Elle rappelait l’importance de ne jamais cliquer sur aucun lien, et de ne pas télécharger de pièce jointe dans les mails envoyés par la société américaine. L’objectif était de limiter les dégâts causés par des opportunistes malveillants désirant propager une campagne de phishing en usurpant l’identité du groupe.
8 mois après sa découverte, la vulnérabilité touchant 37 millions de consommateurs de Panera Bread est corrigée en 2 heures.
La chaîne de restauration nord-américaine Panera Bread a laissé exposé l’équivalent de 37 millions de comptes de clients ayant commandés en ligne, sur leur site internet. Si aucune fuite de données n’a été à ce jour détectée, les noms, prénoms, adresses mail et postale, les dates de naissance et une partie des chiffres présents sur les cartes de crédits des consommateurs ont été publiquement accessibles durant toute cette période…
Il a fallu que le chercheur en sécurité informatique – qui avait alerté durant l’été 2017 sur la faille les équipes IT de la chaîne – transmette un rapport début avril 2018 au journaliste Brian Krebs, spécialisé en Cyber Sécurité, pour que la faille soit enfin corrigée, et ce en 2h seulement…
Facebook et la protection des données privées, un combat loin d’être terminé
Depuis quelques semaines, Facebook est sous le feu des projecteurs suite à une série de révélations sur des données privées ayant fuitées vers Cambridge Analytica. Le problème réside dans le fait que Cambridge Analytica ait retenu des copies de données privées de plus de 50 millions de personnes, le tout sans le consentement de Facebook, et même après avoir accepté de supprimer ces données en 2015.
Cette fuite organisée s’est déroulée en plusieurs parties :
- Un chercheur, sur la base des « likes » d’une personne, essaie de prédire ses orientations politiques, couleur de peau, orientation sexuelle etc…
- Un professeur en psychologie travaillant pour Cambridge Analytica demande d’acheter cette base de données, qui lui est refusée par le chercheur.
- Le professeur est alors financé par Cambridge Analytica pour créer une application utilisation la connexion par Facebook et permettant ainsi de récupérer les données privées des utilisateurs.
- L’ API de Facebook à ce moment-là a permis au professeur de récupérer des données privées des amis de l’utilisateur (cela n’est plus possible aujourd’hui), passant de 270 000 personnes ayant installées et l’application à plus de 50 millions de personnes concernées…
- Le professeur partage les données récoltées avec Cambridge Analytica à l’insu de Facebook. Ces données étant ensuite utilisées pour lancer des campagnes de publicités ciblées.
Bien que Facebook ait par la suite demandé la suppression de ces données à Cambridge Analytica, ce qui est reproché à la société américaine est de ne pas avoir mis en place les contrôles nécessaires afin de s’assurer que l’action ait bien été effectuée.
Cela pose de sérieuses questions quant à la capacité de Facebook de s’assurer que les données privées soient utilisées aux fins déclarées. En effet, il est aujourd’hui normal de se demander si ces pratiques sont généralisées, tant chez Facebook que chez les autres membres du GAFA, et s’ils sont au courant de ce type de pratiques.
Alors que le règlement général sur la protection des données est sur le point d’entrer en application, ces carences risquent d’avoir un important préjudice pour Facebook, et pour longtemps.
[Mise à jour du 03/05/18] Suite à cette affaire et à l’impact sur leur image, la société Cambridge Analytica et sa maison-mère SCL ont annoncé avoir lancé une procédure de liquidation judiciaire.
Nos recommandations du mois :
- Si possible, bloquer l’authentification NTLM en SSO
- Se préparer au pire, écrire des process et les tester
- Une fois la correction de la vulnérabilité réalisée, collecter une preuve ou mandater un contre audit
- Lors d’une crise cyber, il peut être nécessaire et efficace d’engager des acteurs externes reconnus afin d’avoir un contrôle accru sur la situation
- Lors d’un transfert de données vers un prestataire, garder le contrôle sur les données envoyées (évaluer le niveau de sécurité du prestataire, insérer des clauses de protection des données dans le contrat, réaliser des contrôles)
Bonus :
Un site de revente de billets de cinéma à prix réduits a été contraint de demander à ses clients de changer de carte bancaire suite à une attaque sur leurs systèmes.
Co-écrit par Florian Boudot et Charles Le Reun.
*Hash : fonction cryptographique à sens unique qui calcule l’empreinte de la donnée fourni. La fonction n’est pas réalisable par le calcul (il est impossible de retrouver par le calcul la donnée initiale à partir d’un hash).