Actualités de la sécurité

Violation de données, personnes à l'origine des attaques DDoS et problèmes de modem

Avast Security News Team, 28 décembre 2018

Cette semaine, une violation des données a touché un système scolaire en Californie du Sud et une autre a touché la NASA.

Les fédéraux démantèlent les personnes à l'origine des attaques DDoS

Des actions malveillantes à l'ère du numérique peuvent engendrer diverses formes de sabotage sur Internet, mais l'un des stratagèmes préférés des cybercriminels est l'attaque DDoS, la tactique consistant à infecter un grand nombre d'ordinateurs et d'appareils pour qu'ensemble ils forment un botnet pouvant envahir un domaine cible de trafic, le forçant à se bloquer.

Une personne qui veut s'engager dans cette voie criminelle peut utiliser un service de « booter », ainsi nommé parce qu'il en résulte que le site Web ciblé est « booté » en passant du statut « en ligne » à « hors ligne ». Essentiellement, il s'agit de sites « DDoS-for-hire », et jusqu'à cette semaine, les plus populaires étaient Downthem, Ampnode et Quantum Stress. Ce n'est plus vrai puisque le FBI a saisi les trois sites, ainsi que de nombreux sites auxiliaires, et a arrêté trois hommes qui dirigeaient les opérations.

Un homme de 30 ans de l'Illinois et un homme de 25 ans de Californie ont été accusés d'exploiter les plateformes Downthem et Ampnode, responsables de plus de 200 000 attaques DDoS au cours des quatre dernières années, et un homme de 23 ans de Pennsylvanie a été engagé pour exploiter la plateforme Quantum Stress, le plus ancien service DDoS en activité et responsable de plus de 50 000 attaques. Bien que les auteurs présumés soient jugés pour leurs crimes, le Département de la Justice des États-Unis n'a pas mentionné dans sa déclaration officielle si le FBI examinera également les dizaines de milliers de clients enregistrés sur les sites Web des booters.

« C'est une très bonne nouvelle », commente Luis Corrons, expert en sécurité Avast. « Les cybercriminels ont utilisé les attaques DDoS comme un moyen de mener des plans d'extorsion tout comme des gangsters dans la vraie vie. En général, les cybercriminels ciblent les PME et, une fois l'attaque initiale terminée, ils offrent des services « anti-DDoS » à la victime afin d'éviter de futures attaques. Si l'escroquerie n'est pas rentable, ils lancent une attaque à grande échelle. » M. Corrons ajoute que, malheureusement, la liste des inconvénients peut être longue : « Il y a aussi les services de « location pour compte d'autrui », où les gens louent simplement un botnet, par exemple, pour lancer une attaque contre un concurrent. Il est presque impossible de découvrir qui est à l'origine de ces attaques, alors la meilleure façon d'y faire face est de se débarrasser de l'infrastructure qui le permet et des personnes qui en ont la charge. »

Schneider Electric corrige la faille EVLink

Une vulnérabilité critique des appareils de stationnement EVLink, stations de recharge des véhicules électriques que l'on trouve généralement dans les structures de stationnement des hôtels et des immeubles de bureaux, a été signalée par son fabricant, Schneider Electric. La faille implique des informations d'identification codées en dur qui peuvent être compromises pour permettre à un attaquant d'accéder à l'appareil. Cette semaine, Schneider a publié un correctif pour cette vulnérabilité et deux autres vulnérabilités de ses appareils EVLink. L'exploitation de l'une ou l'autre de ces failles permettrait d'accéder à certaines parties du système, y compris les données de paiement.

Les contrevenants ciblent les enseignants

Les informations personnelles des élèves et du personnel de San Diego Unified School District (SDUSD) sont à risque en raison d'une fuite de données qui s'est étendue de janvier à novembre 2018. En utilisant des tactiques de phishing pour entrer dans le système, l'agresseur a eu accès à des dossiers scolaires remontant à l'année scolaire 2008-2009 et contenant des fichiers détaillés sur plus de 500 000 personnes. Le trésor inestimable de données comprend les noms, les adresses, les dossiers personnels, les salaires du personnel, les renseignements sur la santé, et plus encore.

Le personnel de SDUSD a pris connaissance de la fuite en octobre, mais ne l'a pas annoncée de peur d'alerter les pirates. Les responsables informatiques du personnel ont plutôt opté pour la surveillance du trafic Web associé aux informations divulguées. Bien que personne n'ait encore été nommé, SDUSD signale que « la police scolaire a identifié un sujet d'enquête » mais ne peut en dire plus car le cas est en cours.

Les modems Orange laissent échapper les données en Europe

Une équipe de cybersécurité a remarqué qu'un pirate recherchait des modems Orange à partir du 21 décembre, et que c'était encore le cas au moment d'écrire ces lignes. Le pirate exploite une vulnérabilité des appareils Livebox Orange qui lui permet de voir le mot de passe Wi-Fi et l'ID réseau (SSID). Les chercheurs ont identifié 19 500 modems ADSL Livebox Orange vulnérables, presque tous situés en France et en Espagne, et ont partagé cette liste avec l'équipe de sécurité d'Orange. Le 23 décembre, Orange CERT a reconnu dans un tweet qu'il travaillait sur cette question.

« La diversité, c'est bien pour la sécurité, et l'absence de diversité, c'est bien pour les pirates », explique M. Corrons. « Les FAI fournissent généralement des routeurs et des modems à leurs clients, et chacun d'eux fournit probablement le même modèle à tous ses clients. Cela signifie que les principaux FAI ont des millions de clients qui utilisent le même matériel. Par conséquent, lorsqu'une faille de sécurité ou une vulnérabilité apparaît, cet équipement met tous ces clients en danger. »

Houston, nous avons un problème (de violation de données)

Le 18 décembre, une note de service interne a été envoyée à tous les employés de la NASA pour annoncer que l'agence avait subi une autre violation de données. L'ampleur globale de l'infraction n'est pas clairement définie, mais l'administrateur adjoint du Bureau du dirigeant principal des ressources humaines de la NASA a indiqué dans la note que « suite à une analyse initiale, la NASA a déterminé que les informations provenant d'un des serveurs contenant les numéros de sécurité sociale et d'autres données personnelles des employés actuels et anciens de la NASA pourraient avoir été compromises ». Les opérations informatiques de la NASA sont critiquées depuis des années en raison de leur faible sécurité, car l'agence a subi une autre violation majeure des données en 2016.

La note indique également que « la NASA et ses partenaires fédéraux en matière de cybersécurité continuent d'examiner les serveurs afin de déterminer la portée de l'exfiltration potentielle des données et d'identifier les personnes potentiellement touchées. Ce processus prendra du temps. »


Avast est le leader mondial de la cybersécurité, protégeant des centaines de millions d’utilisateurs dans le monde entier. Protégez tous vos appareils avec notre antivirus gratuit primé. Protégez votre confidentialité et chiffrez votre connexion en ligne avec le VPN SecureLine.

Apprenez-en davantage sur les produits qui protègent votre vie numérique sur avast.com. Obtenez toutes les dernières nouvelles sur les cybermenaces d’aujourd’hui et comment les vaincre sur blog.avast.com/fr

Merci d’utiliser Avast Antivirus et de nous recommander à vos amis et votre famille. Pour connaître les dernières actualités, pensez à nous suivre sur Facebook et Twitter.