Alerte sur les risques de sécurité entourant un système de vote en ligne

Selon une étude, les acteurs malveillants pourraient falsifier les bulletins de vote déposés via OmniBallot sans être détectés par les électeurs, les responsables des élections ou le développeur de l'outil.

By https://www.welivesecurity.com/fr/author/aowaida/

OmniBallot, une plateforme approuvée pour le vote en ligne dans plusieurs États américains, est peu sûre à plusieurs niveaux et est susceptible d’être manipulée à divers degrés, a constaté un rapport de chercheurs du Massachusetts Institute of Technology (MIT) et de l’université du Michigan.

« Au pire, les attaquants pourraient modifier les résultats des élections sans être détectés, et même s’il n’y avait pas d’attaque, les responsables n’auraient aucun moyen de prouver que les résultats sont exacts. Aucune technologie disponible ne peut atténuer ces risques de manière adéquate, c’est pourquoi nous demandons instamment aux juridictions de ne pas déployer les fonctionnalités de vote en ligne d’OmniBallot », selon Michael Specter et J. Alex Halderman, les chercheurs à l’origine du rapport.

Les deux universitaires ont évalué les risques liés à trois méthodes d’utilisation d’OmniBallot, un système de vote et de livraison de bulletins par internet développé par Democracy Live. Les méthodes étaient la livraison de bulletins blancs, le marquage des bulletins en ligne et le retour des bulletins en ligne.

Le retour des bulletins en ligne a été classé comme un risque grave, car les électeurs n’ont aucun moyen de vérifier que leur vote n’a pas été altéré. En outre, les acteurs malveillants pourraient modifier les votes d’une manière qui pourrait s’avérer difficile à détecter par l’une des parties concernées – électeurs, fonctionnaires ou Democracy Live. Les chercheurs ont également critiqué le fait que cette méthode repose largement sur des services et des infrastructures de tiers et ne permet pas d’obtenir une indépendance logicielle.

« Nous avons observé qu’OmniBallot utilise une approche simpliste du vote par Internet qui est vulnérable à la manipulation du vote par des logiciels malveillants sur l’appareil de l’électeur et par des initiés ou d’autres attaquants qui peuvent compromettre Democracy Live, Amazon, Google ou Cloudflare », ont déclaré les deux chercheurs.

Les risques associés à la manipulation du marquage des bulletins de vote en ligne sont considérés comme élevés. Les attaquants peuvent découvrir les choix de l’électeur et peuvent soit modifier le vote pour un candidat différent de celui prévu par l’électeur, soit les détourner et les faire scanner comme un vote pour quelqu’un d’autre. Dans le premier cas, les changements seraient visibles, mais l’électeur ne remarquerait probablement pas la différence. L’éducation des électeurs et les défenses procédurales ne peuvent pas aller plus loin dans l’atténuation des risques; c’est pourquoi l’équipe recommande de limiter le déploiement du marquage des bulletins de vote en ligne.

Quant à la remise de bulletins blancs, il existe un risque que de acteurs malveillants puissent modifier les bulletins des électeurs ou les instructions de retour en omettant des candidats ou en provoquant une mauvaise lecture des votes. Les chercheurs estiment que ces risques sont modérés, car des procédures électorales rigoureuses pourraient les atténuer.

À lire aussi : Tendances 2018 : Piratage de la démocratie

Dans le contexte de la pandémie de la COVID-19, les États américains se préparent à la possibilité que les électeurs ne puissent pas voter en personne lors des prochaines élections. Trois États ont annoncé qu’ils allaient autoriser certains électeurs à renvoyer leur bulletin de vote en ligne à l’aide d’OmniBallot. Le New Jersey a offert cette option aux électeurs handicapés, la Virginie occidentale a suivi le mouvement et permet en outre au personnel militaire et aux résidents étrangers de voter en ligne également. Le Delaware est allé encore plus loin en offrant cette option à tous les électeurs malades, en situation d’isolement social ou d’auto-quarantaine.

Outre les recommandations pour les juridictions présentées dans le rapport, les chercheurs ont également donné quelques conseils aux électeurs individuels sur la manière de protéger leur vote. Les inquiétudes concernant un piratage des élections ne sont bien sûr pas nouvelles. Et comme l’élection présidentielle de 2020 se déroulera à un moment sans précédent, il est compréhensible que les niveaux d’anxiété soient élevés.

Microsoft ships hefty patch load this month

The latest Patch Tuesday knocks out a record-high number of vulnerabilities, including new bugs in the SMB protocol

Tomáš Foltýn 

Microsoft has released a new batch of regular security updates for Windows and other supported software. With fixes for a whopping 129 vulnerabilities, including 11 rated as critical, the latest Patch Tuesday is the bulkiest on record.

Importantly, however, none of the flaws had been disclosed or spotted as being under active exploitation prior to the release. A little more than half of them fell into the category of privilege escalation flaws in various Windows components, though none was rated as critical.

Still, there are a number of vulnerabilities that merit close attention, including because they are rated critical and could, in some scenarios, be abused by bad actors to take control of vulnerable systems remotely and with no help from victims.

The Windows VBScript scripting engine, for one, contained a trio of critical remote-code execution (RCE) flaws – CVE-2020-1213, CVE-2020-1216 and CVE-2020-1260, each of which was given the “exploitation more likely” rating on Microsoft’s Exploitability Index.

Successful abuse of any of these vulnerabilities could give the attacker the same user rights as those of the current user, including potentially admin rights. “An attacker could then install programs; view, change, or delete data; or create new accounts with full user rights,” said Microsoft.

One RCE vulnerability, CVE-2020-1248, was fixed in the Windows Graphics Device Interface (GDI). Caused by how GDI handles objects in memory, the vulnerability could enable an attacker to seize control of a vulnerable system. One attack scenario could involve enticing the target to open a malicious attachment.

A bunch of holes in SharePoint were also plugged with the latest update. This ncludes CVE-2020-1181, a critical-rated RCE flaw that has to do with Microsoft SharePoint Server failing to properly identify and filter unsafe ASP.Net web controls. “An authenticated attacker who successfully exploited the vulnerability could use a specially crafted page to perform actions in the security context of the SharePoint application pool process,” said Microsoft.

SMB bleeding

The Server Message Block (SMB) protocol received patches for three important-ranked flaws that were all given the “exploitation more likely” rating.

Per this summary by the SANS Technology Institute, this month’s highest CVSS score overall – 8.6 out of 10 – was given to CVE-2020-1206, an information disclosure vulnerability in SMBv3 that has to do with how the protocol handles certain requests. “An attacker who successfully exploited the vulnerability could obtain information to further compromise the user’s system,” said Microsoft.

Dubbed SMBleed, this new vulnerability in the SMB decompression functionality is present in Windows 10 versions 1903, 1909 and 2004. Details about the vulnerability were published by researchers at ZecOps, who discovered it while looking at SMBGhost, another – and more serious – security hole in the protocol that was patched via an out-of-band update three months ago.

SMBleed could enable attackers to leak kernel memory remotely; combined with SMBGhost, it allows to achieve pre-auth Remote Code Execution (RCE), said the researchers.

The wormable SMBGhost bug, meanwhile, allows attackers to spread malware from machine to machine with no user interaction. Citing open source reports, the Unites States’ Cybersecurity & Infrastructure Security Agency (CISA) warned last week that threat actors were already targeting SMBGhost, indexed as CVE-2020-0796, with publicly available proof-of-concept (PoC) code.

Also patched this month was an RCE vulnerability affecting SMBv1 and indexed as CVE-2020-1301. It may bring some echoes of a security loophole hole in SMBv1 that was exploited by EternalBlue and facilitated the WannaCryptor aka WannaCry outbreak in 2017. The third newly-fixed SMB flaw is CVE-2020-1284, a denial-of-service vulnerability in SMBv3 that attackers could exploit in order to crash vulnerable systems.

You would be well advised to apply all available updates as soon as practicable. Should you experience delays in receiving the patches, you can download the updates from Microsoft Update Catalog.

Microsoft Outlook en Office doelwit van Gamaredon-groep, rapporteren ESET-onderzoekers

APT groep gebruikt innoverende methodes om hun kwaadaardige payloods verder te verspreiden

Onderzoekers bij ESET hebben nieuwe tools ontdekt die door de Gamaredon-groep gebruikt worden in hun nieuwste kwaadaardige campagnes. De eerste tool heeft Microsoft Outlook als doelwit. Hiervoor wordt een aangepast Microsoft Outlook Visual Basic for Applications (VBA) -project gebruikt dat de aanvallers in staat stelt om het mailaccount van het slachtoffer te kraken en zo spearphishing-mails te sturen naar contacten in het adresboek. Het gebruik van Outlook-macro's om malware te verspreiden, wordt door onderzoekers zelden gezien. De tweede tool gebruikt door deze actieve APT-groep, dient om macro's en referenties naar externe sjablonen in Office-, Word- en Excel-documenten te injecteren. Beide tools zijn ontworpen om de Gamaredon-groep te helpen zich verder te verspreiden in reeds gecompromitteerde netwerken.

"Tijdens de afgelopen paar maanden is de activiteit van deze groep toegenomen. Constante golven van kwaadaardige mails hebben de mailboxen van hun doelen geraakt. De bijlagen bij deze mails zijn documenten met schadelijke macro's die, wanneer ze worden uitgevoerd, een groot aantal diverse soorten malware proberen te downloaden ”, zegt Jean-Ian Boutin, Head Threat Research bij ESET.

De nieuwste tools injecteren schadelijke macro's of verwijzingen naar externe sjablonen in bestaande documenten op het aangevallen systeem. Dit is een zeer efficiënte manier is om binnen het netwerk van een organisatie te evolueren, aangezien documenten routinematig met collega's worden gedeeld. Bovendien, dankzij een speciale functionaliteit die de beveiligingsinstellingen van de Microsoft Office  macro’s  bemoeilijkt, hebben de getroffen gebruikers geen besef dat ze hun werkstations opnieuw in gevaar brengen wanneer ze de documenten openen.

De groep gebruikt achterdeuren en ‘bestanddieven’ om gevoelige documenten te identificeren en te verzamelen op een gecompromitteerd systeem en zo op de C&C-server te uploaden. Bovendien hebben deze bestanddieven de mogelijkheid om willekeurige code uit te voeren vanaf de C&C-server.

Er is wel een belangrijk onderscheid tussen Gamaredon en andere APT-groepen: de aanvallers doen weinig tot geen moeite om onder de radar te blijven. Hoewel ze met hun tools discrete technieken kunnen gebruiken, lijkt het erop dat de groep vooral gericht is op het zich zo ver en zo snel mogelijk in het netwerk van hun doelwit te verspreiden terwijl ze gegevens proberen te exfiltreren.

"Hoewel het misbruiken van een aangetaste mailbox om kwaadwillige mails te verzenden zonder de toestemming van het slachtoffer geen nieuwe techniek is, geloven we dat dit het eerste openbaar gedocumenteerde geval is van aanvallers die een OTM-bestand en een Outlook-macro gebruiken om dit te bereiken", verduidelijkt Boutin over deze ontdekking door ESET. "We konden tal van verschillende voorbeelden verzamelen van kwaadaardige scripts, uitvoerbare bestanden en documenten die door de Gamaredon-groep tijdens hun campagnes werden gebruikt." 

De Gamaredon-groep is zeker al sinds 2013 actief. Het was verantwoordelijk voor een aantal aanvallen vooral gericht op Oekraïense instellingen.

De tools die in dit onderzoek werden besproken zijn gedetecteerd als varianten op MSIL/Pterodo, Win32/Pterodo of Win64/Pterodo.

Lees, voor meer technische details over de nieuwste tools van Gamaredon, de volledige blogpost “Gamaredon group grows its game” op WeLiveSecurity.com. Volg ESET Research on Twitter voor het laatste nieuws van ESET Research. Bezoek eveneens https://www.eset.com/be-nl/

Apple hopes to bolster password security with open source project

The tech giant wants developers of password managers to collaborate for better user experience and security

Amer Owaida 

Apple has released a set of open source tools that are aimed at helping developers of password managers create more secure passwords for their users. Called Password Manager Resources, the project mainly aims to tackle the problem that passwords generated by password managers often don’t match the requirements of websites – a problem faced by people across all operating systems.

“Every time a password manager generates a password that isn’t compatible with a website, a person not only has a bad experience but a reason to be tempted to create their password,” said Apple on its GitHub page.

People who give in to such a ‘temptation’ may end up committing one of the cardinal password creation sins, such as recycling their password across multiple accounts or opting for easy-to-remember passwords. These are generally less safe than random strings generated by dedicated password management software.

The Cupertino tech giant expects the project to bring a three-fold benefit:

·               Resource sharing can improve the quality of all password managers with less work than it          would take an individual password manager vendor to achieve the same outcome.

·               Public documentation of website-specific behaviors can incentivize websites to use                    standards or emerging standards that will improve their compatibility with password                managers.

·               Improving the quality of password managers will improve user trust in them.

The list of tools includes password selection parameters used by popular websites – minimum and maximum password length, whether they require lower-case or upper-case letters, digits, and even special characters. This will allow password managers to generate passwords that are both secure and compatible with the websites.

Apple also included a list of websites that share “the same credential backend”, meaning that they share login credentials. For example, a user can use the same access details across different region-specific varieties of Amazon, or a chain like Marriott International can allow them to use the same credentials across its subsidiaries.

Furthermore, the company also included a list of “change password URLs”, which websites use to redirect users when they want to change their password. “To drive the adoption of strong passwords, it’s useful to be able to take users directly to websites’ change password pages,” added Apple.

Further reading:

5 common password mistakes you should avoid
People know reusing passwords is risky – then do it anyway
Security flaws found in popular password managers

L’écran de verrouillage de votre smartphone est-il sécurisé?

Entre l'humble mot de passe et l'authentification biométrique, il y a de nombreuses options pour verrouiller votre smartphone Android. Mais lesquelles sont les plus sûres?

Alors que les gens deviennent plus sensibles à la confidentialité et à la sécurité de leurs données, on serait tenté de penser que la sécurisation de leur smartphone avec au moins un type de mesure d'authentification serait devenu tout à fait courant. Malheureusement, c’est loin d’être le cas. Selon un rapport du Pew Research Center (report by the Pew Research Center), près d'un tiers des Américains n'utilisent aucun type de verrouillage d'écran. Nous y avons réfléchi lorsque nous avons discuté de la façon d'améliorer la sécurité de votre smartphone en 2020 (how to improve the security of your phone in 2020).

Nous allons donc approfondir le sujet et examiner les différentes méthodes d'authentification proposées par les appareils Android.

Verrou à motif

Comme son nom l'indique, un verrou à motif  est un verrou qui oblige le propriétaire à saisir un motif spécifique qu'il a conçu pour déverrouiller son appareil. Au niveau du choix de verrouillage d'écran, les verrous à motif peuvent être considérés comme une option de sécurité de niveau moyen. Votre gribouillis pourrait être aussi simple que de dessiner un L  mais vous pourriez rendre le motif plus difficile en dessinant une forme plus sophistiquée. Plus le motif est simple, plus il est facile de le copier par ceux qui épient par-dessus votre épaule.

Des chercheurs ont découvert que, 64,2% du temps après l'avoir examiné une seule fois, les malandrins réussissaient à recréer le motif de balayage (recreating the swipe pattern 64.2% of the time). Ce risque augmente après de multiples observations. On peut améliorer sa sécurité en désactivant les lignes de feedback et en choisissant un motif plus sophistiqué. Tout bien considéré, un code PIN ou un mot de passe est généralement une option plus sûre.

PIN/mot de passe

Vous avez été intelligent et avez installé une protection sur vos appareils Android, alors vous connaissez probablement l'option de verrouillage PIN / mot de passe, car il s’agit du code que votre carte SIM vous demande d'entrer chaque fois que vous éteignez et rallumez votre téléphone. De nombreuses versions d'Android vous permettent de choisir un code à quatre chiffres dérisoire, mais si vous vous souciez de votre sécurité, vous choisirez un code PIN nettement plus long.

Si vous voulez améliorer votre verrouillage, vous devriez opter pour un mot de passe d’au moins huit caractères qui comprend des lettres, des chiffres et des caractères spéciaux. Il sera peut-être un peu plus difficile à mémoriser et à taper, mais à long terme, vous serez heureux d’avoir choisi la sécurité. Si vous voulez réellement être tout à fait sécurisé, vous pouvez aussi activer cette fonction pour essuyer votre téléphone après un nombre de tentatives de connexion infructueuses.

Verrou biométrique à empreinte digitale

Heureusement pour certains d'entre nous, les verrous biométriques à empreintes digitales sont une autre possibilité. Il y en a de différentes variétés. Certains sont des verrous autonomes, d'autres sont intégrés aux touches et les derniers en date sont ceux cachés dans l'écran du smartphone. Pour ceux-ci, le verrouillage des empreintes digitales est un des moyens les plus rapides de sécuriser votre téléphone. En plaçant le doigt sur le lecteur, votre smartphone se déverrouille en une fraction de seconde.

Mais est-ce infaillible? En ce qui concerne monsieur tout le monde, il est peu probable qu'un mal intentionné parvienne à franchir une serrure biométrique. Cependant, contourner un verrouillage d'empreinte digitale n'est pas entièrement impossible. Les empreintes digitales peuvent être volées à partir de photos et d'autres sources, puis recréées, même rien qu’avec une impression 2D et ensuite être utilisées pour contourner les verrous biométriques (used to bypass biometric locks). En 2017, un chercheur en sécurité a pu recréer l'empreinte digitale du ministre allemand de la défense (Germany’s Minister of Defense ) à partir de photographies haute résolution.

Scan du visage

Ce verrou biométrique fait exactement ce qu'il dit: il scanne votre visage. Bien que l’on imagine que ce processus est assez sophistiqué et implique un grand nombre de merveilles technologiques, il repose en fait essentiellement sur la caméra frontale et certains logiciels. La caméra scanne une image du visage, puis utilise un algorithme de reconnaissance faciale pour vérifier le visage. La vitesse de déverrouillage dépend également du téléphone et de la qualité de sa caméra frontale.

Cette  solution n'est pourtant pas aussi sûre et quelqu’un de mal intentionné peut la tromper avec une photo de votre visage. Les chercheurs ont effectué un test sur 110 smartphones différents (110 different smartphones) et ce qu'ils ont trouvé n'était pas beau à voir. En général, le verrou biométrique d'empreintes digitales en combinaison avec un mot de passe est le moyen le plus sûr.

Caractéristiques spécifiques aux différentes marques

Différentes marques de smartphones personnalisent également leurs mesures de sécurité biométriques en ajoutant des fonctionnalités spéciales afin de renforcer la sécurité de leurs appareils. Ces mesures vont de différents niveaux de numérisation du visage aux numérisations de l'iris. Samsung a sa propre version de l'analyse de l'iris, qui est assez simple à configurer. Il remarque si vous portez ou non des lunettes. La technologie utilise une LED infrarouge pour éclairer vos yeux tandis qu'une caméra à mise au point étroite capture les motifs de l'iris et le smartphone traite ces informations. Cela semble très high-tech,  mais est-ce sûr? Une équipe de pirates de l’organisation White Hat utilisant un appareil photo avec fonction infrarouge a réussi à tromper le premier téléphone de Samsung proposant cette fonctionnalité (trick the first of Samsung’s phones).

Verdict Final

Il y a un grand choix d'options de verrouillage. Il est toujours intéressant de choisir une combinaison de fonctionnalités plutôt que de compter uniquement sur une seule. Mais l'option la plus sûre est probablement le code PIN ou le mot de passe fiable suffisamment long, suivi de l’analyse d'empreintes digitales. Quelle que soit l'option que vous choisissez, il est toujours judicieux de planifier d’avance. Sécuriser votre téléphone dès à présent pourrait vous éviter de désagréables mots  de tête à l'avenir.