Trusted

FBI: Des hackeurs ont volé du gouvernement et d’une entreprise privée leur code source

4 mins
Mis à jour par Célia Simon
Rejoignez Notre Communauté de Trading sur Telegram

EN BREF

  • Le FBI a publié un avertissement sur les hacks sur le gouvernement dans le logiciel de débogage populaire SonarQube.
  • SonarQube est une application Web sur de nombreux sites populaires, tels que Github.
  • Les hackeurs ont pu infiltrer le code source en utilisant les paramètres par défaut et les mots de passe par défaut.
  • promo

Selon le Federal Bureau of Investigation (FBI), les mauvais acteurs profitent des applications SonarQube pour voler des codes source aux États-Unis et aux entreprises privées.

Mot de passe: Admin

Le FBI a récemment envoyé un avertissement aux responsables informatiques et aux experts en logiciels. Apparemment, une vulnérabilité dans SonarQube a permis aux hackeurs d’y puiser des informations, y compris des codes sources, depuis avril 2020. L’alerte d’avril a été rendue publique cette semaine. Malheureusement, toute personne qui sécurise mal son ordinateur pourrait en être victime. SonarQube est un logiciel populaire qui permet aux entreprises de tester et de déboguer le code source. Les hackeurs ont découvert une vulnérabilité lorsque le code a été défini sur les paramètres de port par défaut (9000). Cela ouvrait l’accès au programme en utilisant le nom d’utilisateur et le mot de passe par défaut, qui étaient tous deux le mot «admin». Parce que SonarQube est utilisé pour déboguer le code, les hackeurs ont eu un accès immédiat à un nouveau code source qui n’avait même pas encore été publié. En juillet 2020, un hackeur a utilisé une méthode similaire pour voler le code source d’une entreprise anonyme. Ils l’ont ensuite publié pour consultation publique sur un «référentiel public auto-hébergé». Il y a eu une deuxième attaque en août 2020. Certaines données gouvernementales ont été volées. Le FBI a recommandé aux utilisateurs de SonarQube de placer leur application derrière un pare-feu, de placer les instances du logiciel derrière un écran de connexion et, surtout, de modifier les paramètres de port par défaut de 9000. Ironiquement, le logiciel SonarQube est utilisé pour identifier les failles de sécurité. Il fonctionne sur une application Web, ce qui en fait une cible plus facile pour les hackeurs. Le logiciel est également très populaire. Il est installé sur des serveurs Web et connecté à des sites d’hébergement de code populaires tels que BitBucket, GitHub, etc. Malheureusement, le FBI a déclaré que ces grandes entreprises ont laissé le logiciel s’exécuter sur la configuration du port 9000.

Le FBI s’associe au programme

Depuis deux ans, le FBI s’intéresse de plus près aux piratages et aux escroqueries. Les escroqueries virtuelles sont en augmentation, et avec l’essor de la crypto, les escrocs trouvent des moyens d’en tirer profit. De nombreuses escroqueries cryptos demandent des investissements qui s’avèrent être des dons aux criminels. De fait, le FBI a averti que la pandémie COVID-19 a entraîné une augmentation des escroqueries en ligne, en particulier des escroqueries crypto criminelles. Les piratages gouvernementaux et les attaques de crypto récupération de rançon ont été visibles dans les médias ces derniers temps. En mars 2018, des hackeurs ont infiltré le ministère américain de la santé et des services sociaux au plus fort des craintes liées aux coronavirus. Le 17 juin 2020, l’agent spécial Tyson Fowler a déclaré dans un communiqué de presse:
Dans le cybermonde, il est très difficile de sécuriser un réseau au point qu’il ne soit jamais perméable aux intrusions, mais vous pouvez rendre l’effraction aussi difficile que possible.
Certains hackeurs installent des logiciels de rançon, c’est-à-dire des logiciels qui rendent les ordinateurs d’une entreprise inutilisables jusqu’à ce qu’une rançon soit payée, généralement en cryptomonnaie. D’autres, comme les brèches connues de SonarQube, recherchent des informations sur le code source qui pourraient conduire à des fuites de technologie ou à des attaques de logiciels de rançon en cours de route. Le FBI suggère aux entreprises de conserver leurs données cryptées derrière des pare-feu et des mots de passe pour éviter les deux. La vulnérabilité de SonarQube, qui utilise des paramètres par défaut et des mots de passe faciles à deviner, est malheureusement rudimentaire. La protection des données ou des fonds à l’aide d’une blockchain est un moyen possible de sécuriser les biens. Malgré l’anonymat tant vanté de cette technologie, peut en fait aider les forces de l’ordre à attraper les criminels.

Des mises en garde ignorées

La cyber-industrie met souvent en garde contre le danger de laisser certaines bases de données exposées en ligne, selon ZDnet. Alors que MongoDB et Elasticsearch sont scrutés à la loupe, SonarQube, disent-ils, est passé entre les mailles du filet. Pourtant, certains experts dénoncent les défauts de SonarQube depuis mai 2018. Il est frappant de constater que Bob Diachenko, un chasseur de brèches dans les données, a découvert qu’environ 3000 instances du logiciel en ligne n’avaient pas de nom d’utilisateur ou de mot de passe efficace.
En 2018, Bob #Diachenko a averti qu’environ 30% à 40% de toutes les ~ 3000 instances #SonarQube disponibles en ligne à l’époque n’avaient pas de mot de passe ou de mécanisme d’authentification activé.
Plus récemment, Till Kottmann, un ingénieur en sécurité suisse, a volé des informations à des dizaines d’entreprises technologiques afin de démontrer la vulnérabilité du logiciel. Selon M. Kottmann, ces brèches auraient pu être évitées :
La plupart des gens semblent ne pas changer aucun des paramètres, qui sont en fait correctement expliqués dans le guide de configuration du SonarQube.
Pour éviter de telles fuites, l’alerte du FBI énumère une série de mesures que les entreprises peuvent prendre pour protéger leurs serveurs SonarQube, en commençant par modifier la configuration par défaut de l’application. Les utilisateurs peuvent ensuite renforcer leurs identifiants et utiliser des pare-feu pour empêcher tout accès non autorisé à l’application.
Les meilleures plateformes de cryptos | Novembre 2024
Les meilleures plateformes de cryptos | Novembre 2024
Les meilleures plateformes de cryptos | Novembre 2024

Avis de non-responsabilité

Avis de non-responsabilité : Conformément aux directives de The Trust Project, BeInCrypto s'engage à fournir des informations impartiales et transparentes. Cet article vise à fournir des informations exactes et pertinentes. Toutefois, nous invitons les lecteurs à vérifier les faits de leur propre chef et à consulter un professionnel avant de prendre une décision sur la base de ce contenu.

images.jpeg
Publi-reportage
Publi-reportage correspond au titre général d'auteur pour tous les contenus sponsorisés fournis par les partenaires de BeInCrypto. Par conséquent, ces articles, qui sont créés par des tiers à des fins promotionnelles, sont susceptibles de ne pas refléter les points de vue ou les opinions de BeInCrypto. Bien que nous nous efforcions de vérifier la crédibilité des projets présentés, ces articles sont destinés à la publicité et ne doivent pas être considérés comme des conseils financiers. Les...
READ FULL BIO
Sponsorisé
Sponsorisé