Sécurité Informatique : Protéger le BIOS et le Processus de Démarrage
Importance de la Sécurisation du BIOS
La protection du BIOS des ordinateurs et du processus de démarrage est cruciale dans le paysage actuel de la cybersécurité. Cependant, reconnaître cette nécessité ne suffit pas ; des actions concrètes doivent être entreprises pour garantir cette sécurité.
Vulnérabilités Découvertes dans les Systèmes UEFI
Récemment, des chercheurs de Binarily, une entreprise spécialisée dans la sécurité des firmwares, ont mis en lumière une faille préoccupante. Ils ont identifié que plusieurs modèles de PC, notamment ceux de Dell, Acer, Fujitsu, Gigabyte, HP, Lenovo et Supermicro, ainsi que des composants d’Intel, utilisaient une clé de plateforme de test (PK) vieille de 12 ans, qui avait été divulguée en 2022. Cette clé est utilisée pour protéger les implémentations de Secure Boot UEFI.
Les experts de Binarily ont averti que « un attaquant ayant accès à la partie privée de la PK peut contourner facilement le Secure Boot en manipulant les bases de données de clés d’échange, de signatures et de signatures interdites. »
Connaissance des Risques par les Fabricants
Les fabricants concernés ne pouvaient ignorer que cette clé était non fiable et non destinée à un usage commercial, comme l’indiquait clairement l’emballage. Binarily a souligné que « ces clés de test présentent de fortes indications de non-fiabilité », avec des mentions telles que « NE PAS FAIRE CONFIANCE » ou « NE PAS EXPÉDIER ».
D’après les données de Binarily, plus de 10 % des images de firmware analysées sont vulnérables à l’exploitation via cette PK non fiable, émise par American Megatrends International, possiblement dès mai 2012. Les chercheurs ont qualifié cette situation de « l’une des vulnérabilités de chaîne d’approvisionnement les plus durables de son genre ».
Si un attaquant exploitait cette PK, il pourrait exécuter du code non fiable durant le processus de démarrage, même avec le Secure Boot activé, compromettant ainsi toute la chaîne de sécurité, du firmware au système d’exploitation. Binarily a mis à disposition un outil de scan gratuit pour vérifier la vulnérabilité des systèmes, et il est conseillé aux utilisateurs de l’exécuter. Les fabricants de dispositifs doivent impérativement agir pour remédier à cette situation.
Vulnérabilités Critiques de la Semaine : Une Ancienne Failles Toujours Exploitée
Cette semaine, nous avons un rapport alarmant concernant une vulnérabilité très ancienne qui continue d’être exploitée. Selon le NIST, une vulnérabilité de type « use-after-free » dans les versions 6 à 8 d’Internet Explorer, permettant aux attaquants distants d’exécuter du code arbitraire, a été détectée pour la première fois en 2012 et est toujours active aujourd’hui.
Si vous utilisez encore un système avec IE 6 à 8, il serait peut-être temps de le retirer de la circulation.
De plus, quatre vulnérabilités dans le système DNS Berkeley Internet Name Domain 9 ont été signalées par l’Internet Systems Consortium (CVE-2024-4076, CVE-2024-1975, CVE-2024-1737, CVE-2024-0760). Si elles sont exploitées, ces failles peuvent entraîner des dénis de service. Bien qu’elles ne soient pas aussi critiques que d’autres vulnérabilités, leur position au niveau DNS nécessite une installation rapide des correctifs.
Une Nouvelle Brèche chez un Fournisseur de Stalkerware
Il semble que nous ne puissions pas passer deux semaines sans qu’un fournisseur de stalkerware ne soit victime d’une brèche. TechCrunch a récemment reçu des fichiers volés à SpyTech, une entreprise basée au Minnesota. Ces fichiers, authentifiés comme étant réels, contenaient des données de plus de 10 000 appareils surveillés par le logiciel SpyTech, qui espionne discrètement les activités des utilisateurs depuis 2013.
Il est intéressant de noter que le PDG de SpyTech n’était pas au courant de la brèche lorsqu’il a été interrogé, ce qui démontre que ces entreprises semblent davantage préoccupées par le profit que par la protection des données privées qu’elles collectent.
L’Importance de l’Authentification Multifactorielle
Les chercheurs en sécurité de Cisco Talos ont publié leur rapport trimestriel sur les tendances en matière de réponse aux incidents, révélant une tendance inquiétante : environ 80 % des cas de ransomware au deuxième trimestre ont eu lieu dans des organisations qui n’avaient pas mis en place l’authentification multifactorielle (MFA).
Les identifiants compromis demeurent la méthode la plus courante pour accéder initialement aux systèmes, une situation qui perdure depuis trois trimestres. Les incidents de ransomware ont augmenté de 22 % entre le premier et le deuxième trimestre, représentant 30 % de tous les incidents auxquels Talos a répondu. Avec la montée des attaques utilisant des identifiants volés et l’absence de MFA, il serait judicieux de consacrer du temps cette semaine à activer cette fonctionnalité pour tous les utilisateurs, sans exception.
Amende de 16 Millions de Dollars pour TracFone
La filiale de Verizon, TracFone, a accepté de verser 16 millions de dollars à la FCC pour clore les enquêtes sur trois violations de données survenues entre 2021 et 2023. Selon la FCC, TracFone n’a pas sécurisé plusieurs de ses API de base de données clients, permettant à des criminels de voler des informations de compte et de dispositif, ainsi que des données personnelles identifiables. Ces violations ont entraîné de « nombreux transferts non autorisés ».
Il est important de ne pas confondre ces transferts avec les échanges de SIM, une autre escroquerie que la plupart des opérateurs peinent à prévenir. Les transferts impliquent le changement de numéro vers un autre opérateur, donnant ainsi aux attaquants le contrôle sur les dispositifs des clients.
TracFone a été contraint de mettre en œuvre des programmes de cybersécurité obligatoires, incluant des dispositions novatrices pour réduire les vulnérabilités des API, ainsi que des protections contre les échanges de SIM et les transferts non autorisés.
