Une semaine d’actualités : une sérieuse vulnérabilité dans PayPal

Ralentissement dans l’application des correctifs dans OpenSSL, des nouvelles de Hacking Team de la part de Kaspersky Lab et de sérieux bugs chez PayPal et Android.

Dans l’actualité cette semaine : un ralentissement des progrès quant à la distribution des correctifs pour la vulnérabilité Heartbleed dans OpenSSL, une semaine riche en recherches pour nos collègues de la GReAT Team de Kaspersky Lab, une vulnérabilité agaçante dans le système d’authentification à deux facteurs de PayPal et plus encore.

Et qu’en est-il de Heartbleed ?

Un dangereux bug est toujours présent dans OpenSSL. Cela fait un certain temps que nous n’avions pas parlé de ce bug qui peut être exploité pour voler des informations sensibles. Mais chaque semaine, nous consultons des rapports et des avertissements encourageant les utilisateurs à mettre à jour leur système ou leur logiciel suite à la sortie d’un patch développé par le fournisseur responsable de la vulnérabilité. Les nouvelles recherches suggèrent que malheureusement, l’enthousiasme pour débarrasser Internet de ce bug, qui permet de voler les clés de chiffrement, est en déclin.

Dans la prochaine décennie, je m’attends à trouver des milliers de systèmes vulnérables, et certains en situation critique.

Afin d’énumérer le nombre de systèmes qui utilisent toujours une version vulnérable de OpenSSL, Rob Graham de Errata Security a scanné les principales artères du trafic chiffré en ligne. Sa première analyse, quelques jours seulement après que le bug ait été rendu public, démontrait que quelques 600 000 systèmes étaient encore vulnérables. Sa deuxième analyse était plutôt encourageante, 300 000 systèmes avaient appliqué les correctifs. Cela signifie que la moitié des systèmes avaient appliqué la correction dans un délai d’un mois. Par contre, sa troisième analyse, trois mois après l’apparition du bug, est quant à lui beaucoup moinsprometteur. En effet, il démontre que 300 000 systèmes sont toujours vulnérables.

Graham a écrit sur son blog :  » Cela indique que les gens ont arrêté d’essayer d’appliquer les correctifs  »  » Nous observerons une lente diminution dans les dix prochaines années, au fur et à mesure que les vieux systèmes seront remplacés. Mais dans la prochaine décennie, je m’attends à trouver des milliers de systèmes vulnérables, et certains en situation critique.  »

Les outils de surveillance et les campagnes de fraudes

Une équipe de chercheurs de Kaspersky Lab et de Citizen Lab à la Munk School of Global Affairs de  l’Université de Toronto ont fait paraître un rapport sur la controversée compagnie italienne Hacking Team. Hacking team vend des outils de surveillance aux gouvernements et aux organismes chargés de l’application des lois. Les laboratoires Citizen et Kaspersky observent Hacking Team depuis un certain temps. La nouvelle recherche dévoilée cette semaine traite des outils pour espionner les appareils mobiles développés par Hacking Team.

Les nouvelles propositions pour mobiles du groupe donnent aux gouvernements et aux responsables de l’application des lois la possibilité de surveiller l’emplacement de leur cible, de voler les données de leurs appareils, d’utiliser le microphone en temps réel, d’intercepter les messages vocaux et SMS envoyés par des applications telles Skype, WhatsApp, Viber et plus encore.

Cette semaine, les chercheurs de Kaspersky Lab ont aussi signalé une campagne de fraude digne d’intérêt. Elle est connue sous le nom de Luuk. Plus tôt cette année, la campagne a permis aux pirates de voler plus d’un demi-million d’euros, soit près de 700 000 dollars, d’une banque européenne en une semaine. En utilisant une version adaptée de Zeus, les arnaqueurs ont fraudé plus de 200 clients grâce à une série d’attaques de type man-in-the-browser

Une vulnérabilité de sécurité sérieuse sur PayPal

Ce mercredi, une vulnérabilité est apparue dans la façon dont PayPal gère certaines requêtes de ses clients mobiles. Cette vulnérabilité permet aux pirates de contourner le système d’authentification à deux facteurs pour le service et le transfert d’argent du compte d’un utilisateur vers tout autre compte.

La faille réside dans la manière dont PayPal gère l’authentification dans ses applications iOS et Android. PayPal était au courant de la problématique signalée par des chercheurs de Duo Security depuis mars et a implanté une solution provisoire. Par contre, PayPal ne prévoit pas une application complète des correctifs d’ici la fin juillet. La vulnérabilité de sécurité dans PayPal est grave, les utilisateurs devraient surveiller leur compte jusqu’à ce qu’elle soit réparée.

Les correctifs sont appliqués sur un bug de sécurité dans Android

Une sérieuse vulnérabilité à l’exécution des codes dans Android 4.3 et ses versions antérieures a été corrigée sur KitKat, la dernière version du système d’exploitation. Malheureusement, le bug a affecté pratiquement tous les utilisateurs d’Android. C’est encore plus malheureux, parce que l’application des correctifs dépend presque entièrement de la volonté des opérateurs mobile de livrer les patchs de Google à ses clients. Donc, presque la majorité des utilisateurs vulnérables le demeureront.

 

Conseils