du 11 janvier 2019
Date

Choisir une autre édition

Une attaque DNS compromettrait les sites de nombreuses entreprises et organisations

Des pirates utiliseraient trois techniques pour rediriger des noms de domaine vers des serveurs compromis, affirme la société de sécurité FireEye.

Elle présente l’attaque comme massive et mondiale, touchant « des dizaines de domaines appartenant à des entités gouvernementales, de télécommunications et d’infrastructures Internet au Moyen-Orient, en Afrique du Nord, en Europe et en Amérique du Nord », sans les nommer. La campagne serait active depuis janvier 2017.

La première technique consiste à pirater le tableau d’administration du site ciblé chez son fournisseur DNS. L’attaquant change alors l’adresse du serveur vers lequel diriger l’internaute (enregistrement A), pour entrer un compromis.

Le serveur compromis agit alors comme un proxy entre l’internaute et le vrai site, collectant certaines données, par exemple des identifiants. L’utilisateur ne doit y voir que du feu, accédant un peu plus lentement au site légitime. Le faux site paraît protégé grâce à un certificat TLS gratuit récupéré chez Let’s Encrypt, renvoyant ensuite vers le vrai et son certificat officiel.

La seconde technique consiste à exploiter un bureau d’enregistrement ou domaine géographique (ccTLD), en modifiant cette fois l’enregistrement NS (serveur de nom). Alors que l’entrée « A » désigne le serveur principal, la « NS » permet de ne toucher qu’à un sous-domaine précis, comme celui d’un webmail.

La troisième technique s’ajoute à l’une des deux autres. Une redirection DNS est effectuée, pour retourner l’adresse IP compromise si le site ciblé est demandé par l’internaute, et demander une adresse à un résolveur légitime si un autre site est demandé.

Pour FireEye, il est difficile de se protéger de cette attaque. La société recommande d’activer la double authentification sur les panneaux d’administration DNS des domaines, de vérifier les entrées « A » et « NS » de sa zone DNS, de vérifier les journaux d’accès au site et d’enquêter sur des intrusions dans son propre réseau.

chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

TSMC a présenté ses résultats pour le dernier quart de 2018. Le fondeur y apparaît en bonne forme avec un chiffre d'affaires en hausse de 4,4  % sur un an, à 290 milliards de dollars taïwanais (environ 8,25 milliards d'euros), accompagné d'un bénéfice stable à 100 milliards de dollars taïwanais (2,85 milliards d'euros).

Ces bons chiffres sont, selon l'entreprise, le fruit d'importantes commandes pour des puces gravées en 7nm, celles-ci comptant pour 23 % de ses revenus, contre 6 % pour le 10 nm et 21 % pour le 16/20 nm.

Le fondeur n'est pas en reste sur les technologies plus anciennes, puisqu'un tiers de son chiffre d'affaires provient de la fourniture de puces gravées en plus de 28 nm. Des techniques peu coûteuses encore largement utilisées pour des composants bon marché.

Copié dans le presse-papier !

Après Google, Instagram, WhatsApp et Facebook, c’est au tour de YouTube, Spotify, Netflix, SoundCloud, Apple Music, Amazon Prime, DAZN et Flimmit d’être attaqués par NOYB (pour « none of your business »).

L’organisation menée par Max Schrems, cet Autrichien qui avait fait tomber le « Safe Harbor », a annoncé aujourd’hui avoir porté plainte devant la CNIL autrichienne, sur le fondement du RGPD. Les huit services en ligne sont accusés de ne pas respecter le droit d’accès des utilisateurs à leurs données personnelles.

SoundCloud et DAZN n’ont même pas répondu aux requêtes qui leur ont été envoyées. Pour les autres, les retours ont été jugés insuffisants au regard des obligations posées par la nouvelle réglementation européenne.

Copié dans le presse-papier !

Sur son blog, la société explique avoir détecté une activité anormalement élevée d'un groupe de pirates qu'elle surveille. Dans le même temps, elle identifie du code malveillant dans pas moins de 277 sites de vente en ligne. 78,6 % des attaques se sont déroulées en France.

Après des recherches approfondies, Trend Micro affirme que la source du problème ne se trouvait pas directement sur les sites, mais dans une bibliothèque JavaScript tierce provenant d'Averline. Il s'agit d'une régie publicitaire appartenant à Médiapost, une filiale de La Poste. Une fois cette dernière contactée, la brèche a été rapidement colmatée.

Le code en question surveillait l'URL des pages à la recherche de certains mots clés comme checkout, billing, purchase et panier. Ensuite, un script essayait de récupérer les informations de paiement (numéro de carte bancaire et code CCV).

Comme pour l'attaque de Newegg, de la British Airways et de TicketMaster, le groupe de pirates Magecart serait derrière cette attaque.

Copié dans le presse-papier !

Hier, la société annonçait de nouvelles règles pour les vendeurs proposant un essai gratuit avant facturation.

Il était ainsi question d'« obtenir l'approbation du titulaire de la carte à la fin de l'essai avant de commencer à le facturer » et d'envoyer, « par courrier électronique ou texto, le montant de la transaction, la date de paiement, le nom du commerçant ainsi que des instructions explicites sur la procédure à suivre pour annuler son essai ».

Dans une mise à jour de son communiqué, la société précise désormais « que le changement des règles est applicable aux produits physiques », pas aux ventes dématérialisées. Un soin ou un produit de santé est concerné, pas un abonnement à un service Internet.

Cette mention n'était pas présente dans la première version du billet, toujours consultable dans le cache de Google. Mastercard n'explique pas cet oubli crucial.

Copié dans le presse-papier !

Cette nouvelle mouture se veut plus simple à utiliser à son premier démarrage, avec des éléments guidant l'utilisateur en lui suggérant des actions. Jetbrain Webstorm est désormais reconnu comme un éditeur tiers.

En cas de tentative de commit sur des fichiers de plus de 100 Mo, une alerte sera affichée, renvoyant vers l'utilisation de Git LFS s'il n'est pas installé.