Bienvenue dans l'édition de janvier du tour d'horizon de la sécurité de SSL.com! Le premier mois de 2021 a été assez riche en actions, en termes d'actualités. Et cela inclut des informations sur la sécurité numérique et les failles de cryptage, nous avons donc rassemblé quelques histoires du nouvel an pour vous:
La NSA émet des recommandations DNS chiffrées pour l'entreprise
Ce mois-ci, l'Agence de sécurité nationale a publié de nouveaux recommandations [Lien PDF] concernant le DNS sur HTTPS (DoH) dans les environnements d'entreprise. Comme nous mentionné précédemment, DoH empêche l'écoute clandestine des requêtes et des réponses DNS, qui ont été historiquement envoyées en texte brut.
La mise en œuvre de DoH présente des défis particuliers pour les réseaux d'entreprise. Les NSA communiqué de presse à propos des recommandations indiquent que:
Même s'ils ne sont pas officiellement adoptés par l'entreprise, les nouveaux navigateurs et autres logiciels peuvent essayer d'utiliser le DNS crypté de toute façon et contourner les défenses DNS traditionnelles de l'entreprise… Bien qu'il soit bon pour garantir la confidentialité dans les réseaux domestiques, DoH peut présenter des risques pour les réseaux d'entreprise s'il n'est pas n'est pas correctement mis en œuvre.
...
NSA recommande que le trafic DNS d'un réseau d'entreprise, chiffré ou non, soit envoyé uniquement au résolveur DNS d'entreprise désigné. Cela garantit une utilisation appropriée des contrôles de sécurité essentiels de l'entreprise, facilite l'accès aux ressources du réseau local et protège les informations du réseau interne. Tous les autres résolveurs DNS doivent être désactivés et bloqués.
Le document avertit également que DoH n'est «pas une panacée» et exhorte les administrateurs à rester vigilants contre un faux sentiment de sécurité: «DoH ne garantit pas la protection contre les cyber-menacesors et leur capacité à voir où va un client sur le Web. » L'agence note également que, si elle n'est pas mise en œuvre avec soin, la DoH peut interférer avec l'inspection du trafic liée à la sécurité des entreprises.
Apple supprime la «fonctionnalité» de contournement du pare-feu dans macOS
Souviens-toi du chemin du retour Novembre quand Apple a fait le choix impopulaire de permettre à ses propres applications de contourner les pare-feu et autres applications tierces? Eh bien, cette année, Apple a décidé de ne plus le faire. Tel que rapporté par Ravie Lakshmanan pour Les nouvelles de Hacker, le problème a soulevé des sourcils pour la première fois à l'automne, après la sortie de Big Sur, et a provoqué des avertissements selon lesquels le choix «était mûr pour les abus… il pourrait être exploité par un attaquant pour exfiltrer des données sensibles en les superposant à des applications Apple légitimes incluses sur la liste, puis contourner les pare-feu et les logiciels de sécurité. » L'article cite Patrick Wardle, chercheur principal en sécurité avec Jamf, à propos du retour en arrière d'Apple: «Après beaucoup de mauvaise presse et de nombreux commentaires / rapports de bogues à Apple de la part de développeurs comme moi, il semble que les esprits plus sages (plus soucieux de la sécurité) de Cupertino aient prévalu.
Adobe Flash est enfin terminé
Comme nos navigateurs nous préviennent depuis toujours, Adobe Flash est terminé. Ou, comme Simon Sharwood est très titre dramatique proclame à The Register, "C'est tout. C'est fini. C'est vraiment fini. À partir d'aujourd'hui, Adobe Flash Player ne fonctionne plus. Étaient libres. Nous pouvons simplement partir… Après Flashpocalypse, nous trébuchons dehors, en espérant que personne ne crée plus jamais un logiciel aussi peu sûr que cela.»À compter du 12 janvier 2021, toute personne qui tente d'accéder au contenu d'Adobe Flash Player verra un« avis de décès »qui mène à une« page d'informations générales de fin de vie »où« Adobe recommande vivement à tous les utilisateurs de désinstaller immédiatement Flash Player pour aident à protéger leurs systèmes. »
Alors que l'article de Register fait l'éloge de Flash, le logiciel a été un outil précieux pendant des décennies jusqu'à ce que son insécurité devienne trop lourde à supporter:
En 2005, Adobe, qui avait alors bel et bien compris que le contenu en ligne allait être plus volumineux que la publication assistée par ordinateur, a acquis Macromedia en partie pour mettre la main sur Flash.
Cela a aidé Adobe à consolider son rôle de standard de facto pour les outils créatifs. Mais Adobe a également eu un fardeau de sécurité croissant parce que Flash n'était pas bien construit. Les pirates ont remarqué que le plugin était le fromage suisse de la sécurité informatique - plein de trous - et ont exploité le logiciel sans pitié pour infecter les victimes du monde entier avec des logiciels malveillants.
Après des années d'agressions et la montée des alternatives, Adobe a annoncé la disparition de Flash en juillet 2017, affirmant que le support serait abandonné le 31 décembre 2020.
Et maintenant, la société a tenu cette promesse, avec une «bombe logique» dans les versions récentes de Flash Player qui ont empêché le code de rendre le contenu depuis le 12 janvier. Même avec un avertissement suffisant, la mort de Flash a causé quelques problèmes. De manière significative et étrange, la ville de Dalian, dans le nord de la Chine, exploitait son système ferroviaire avec Flash. C'était en panne pendant 20 heures avant de recommencer sur une version piratée.
MalwareBytes touchés par les pirates SolarWinds
En décembre 2020, l'attaque SolarWinds fait les gros titres, lorsque les pirates ont pu utiliser son système de distribution de logiciels pour infecter les réseaux clients. Ce mois-ci, la société de sécurité Malwarebytes a révélé qu'elle avait été compromise par le même groupe, qui avait compromis au moins une douzaine d'agences gouvernementales et d'entreprises privées américaines. Selon un article par Dan Goodin dans Ars Technica, les enquêteurs ont constaté que les pirates avaient accès à certains e-mails internes de l'entreprise et «aucune preuve d'accès non autorisé ou de compromis dans les environnements de production Malwarebytes». Cependant, cela ne veut pas dire que l'attaque était sans conséquence. De l'article:
«Dans notre cas particulier, l'acteur de la menace a ajouté un certificat auto-signé avec des informations d'identification au compte principal du service», a écrit Marcin Kleczynski, chercheur à Malwarebytes. «À partir de là, ils peuvent s'authentifier à l'aide de la clé et passer des appels API pour demander des e-mails via MSGraph.»
La semaine dernière, le fournisseur de gestion de messagerie Mimecast a également déclaré que des pirates informatiques avaient compromis un certificat numérique qu'il avait émis et l'avaient utilisé pour cibler certains clients qui l'utilisaient pour chiffrer les données qu'ils avaient envoyées et reçues via le service cloud de l'entreprise. Bien que Mimecast n'ait pas dit que le compromis de certificat était lié à l'attaque en cours, les similitudes font qu'il est probable que les deux attaques soient liées.
Selon l'article, la violation de Malwarebytes est la quatrième fois qu'une entreprise révèle qu'elle a été ciblée par les pirates informatiques parrainés par l'État-nation responsables de l'incident de SolarWinds. En outre, un certain nombre d'organismes gouvernementaux, qui comprendraient les ministères de la Défense, de la Justice, du Trésor et les instituts nationaux de la santé, ont également été visés par les agents.
