Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.

Les autorités japonaises renforcent le contrôle du blanchiment d’argent via les cryptomonnaies

Le parlement japonais met en place des mesures plus strictes contre le blanchiment d’argent par le biais des cryptomonnaies. Les nouvelles procédures AML (Anti-Money Laundering) entrent en vigueur ce 1er juin 2023.

Selon le média local Kyodo News, ces nouvelles procédures AML permettront à la législation japonaise de rattraper les principales nations mondiales en la matière. Les parlementaires ont commencé à modifier les mesures existantes contre le blanchiment d’argent en décembre dernier. À l’époque, le Groupe d’action financière internationale (FATF) avait déclaré que les procédures en vigueur au Japon étaient insuffisantes.

L’une des principales innovations sera la « règle de transfert« , qui permettra un meilleur suivi des transactions en cryptomonnaies. Tout établissement financier effectuant une transaction d’un montant supérieur à 3 000 dollars devra transmettre des informations sur la transaction au régulateur. La liste des données doit inclure les noms et adresses de l’expéditeur et du destinataire, ainsi que toutes les informations concernant les comptes.

La Protection des Données et le RGPD : Un Renforcement Incontournable de la Confidentialité en France et en Europe

Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.

Le RGPD : Une Révolution pour la Protection des Données

Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.

Exemples de Protection des Données en France

En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.

Impacts du RGPD dans l’Union européenne

Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.

Les Avantages du RGPD pour les Individus

Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.

Les Défis et les Perspectives Futures

Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.

Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.

Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.

Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.

Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.

Le virus qui fait disjoncter les réseaux électriques

Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.

Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.

En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.

Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.

CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.

Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.

CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.

La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)

Microsoft propose d’isoler les applications pour une meilleure sécurité

Alors que l’on entend surtout parler de ChatGPT dans les outils Microsoft, une autre fonctionnalité plus intéressante apparait dans Windows 11 : l’isolation des applications Win32.

Actuellement en phase de test dans une version d’aperçu, cette nouvelle fonction permettra aux utilisateurs d’exécuter des applications Win32 dans un environnement isolé, offrant ainsi une protection accrue et une sécurité renforcée pour le système d’exploitation. En créant une sorte de bac à sable, les applications Win32 ne pourront pas affecter le reste du système en cas de compromission ou d’attaque. Cette initiative fait partie de la mise à jour majeure de Windows 11, baptisée « Moment 3 », qui apporte également un support natif pour des formats de compression populaires tels que 7-Zip, RAR et GZ. Les utilisateurs des versions de prévisualisation peuvent déjà profiter de cette nouvelle fonctionnalité, qui promet d’améliorer l’expérience de sécurité et de confidentialité sur Windows 11.

BrutePrint : une faille expose les smartphones Android à des attaques par force brute des empreintes digitales

Des chercheurs de l’Université du Zhejiang et de Tencent Labs ont découvert un nouveau vecteur d’attaque baptisé BrutePrint. Il exploite la faiblesse des mécanismes de sécurité des empreintes digitales sur les smartphones Android.

Cette vulnérabilité permet à un attaquant de mener des tentatives d’authentification par force brute afin de prendre le contrôle d’un appareil mobile. En exploitant les vulnérabilités Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL), les chercheurs ont pu contourner les limites de tentatives d’authentification infructueuses imposées par les smartphones Android modernes.

Les détails techniques de BrutePrint ont été publiés sur la plateforme Arxiv par les auteurs de l’étude. Ils ont identifié des lacunes dans la sécurité des données biométriques au niveau de l’interface périphérique série (Serial Peripheral Interface, SPI) des capteurs d’empreintes digitales. Cette vulnérabilité permet une attaque de l’homme du milieu et l’accès aux images d’empreintes digitales. Les chercheurs ont testé leur vecteur sur dix modèles de smartphones populaires et ont pu mener un nombre illimité de tentatives d’authentification sur Android OS et HarmonyOS (Huawei). Dans le cas d’iOS, ils ont réussi à éliminer seulement dix tentatives supplémentaires.

Il est important de souligner que l’exécution de BrutePrint nécessite un accès physique à l’appareil ciblé. De plus, l’attaquant doit avoir accès à une base de données d’empreintes digitales, ce qui peut être obtenu pour un coût modeste d’environ 15 $.

Les résultats des tests ont révélé que tous les smartphones expérimentés étaient vulnérables à au moins l’un des bugs décrits. Les appareils Android permettaient un nombre illimité de tentatives de sélection d’empreintes digitales, tandis que les appareils Apple étaient légèrement plus fiables dans leur limitation des tentatives.

Cette découverte met en évidence la nécessité de renforcer la sécurité des données biométriques et des mécanismes d’authentification sur les smartphones Android. Les fabricants et les développeurs doivent prendre des mesures pour corriger ces vulnérabilités et améliorer la protection des empreintes digitales, qui sont de plus en plus utilisées comme moyen d’authentification. Les utilisateurs doivent également être conscients de ces risques potentiels et prendre des mesures pour protéger leurs données en utilisant des méthodes d’authentification supplémentaires, comme les codes PIN ou les mots de passe, en plus des empreintes digitales. (Arxviv)

Les pirates d’Evasive Panda utilisent des mises à jour d’applications légitimes pour diffuser des malwares

Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.

Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.

En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.

Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.

Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).

Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.

La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.

Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.

Cyber-assurance : découvrez la nouvelle obligation de dépôt de plainte sous 72h

La loi LOPMI, promulguée en janvier 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures si elles souhaitent être indemnisées par leur assurance. Cette nouvelle disposition, entrée en vigueur le lundi 24 avril, a des conséquences significatives et nécessite d’adopter les bons réflexes en cas de sinistre.

La loi LOPMI constitue une avancée majeure dans la lutte contre la cybercriminalité en France en permettant aux autorités d’avoir une meilleure visibilité sur les attaques subies par les professionnels et les entreprises. Elle apporte également des éclaircissements sur les conditions de prise en charge des risques liés à la cybersécurité, offrant ainsi un cadre législatif plus clair aux assureurs. Cependant, cette loi introduit également de nouvelles contraintes, notamment l’obligation de dépôt de plainte, qu’il est essentiel de comprendre afin d’agir de manière sereine et efficace en cas de cyberattaque.

Les changements apportés par la loi LOPMI sont les suivants : depuis le 24 avril 2023, tout professionnel ou entreprise victime d’une attaque doit déposer plainte dans un délai maximum de 72 heures à partir du moment où il a connaissance de l’incident. Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation dans le cadre d’un contrat d’assurance Cyber en vigueur. Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur. Cette disposition, d’ordre public, s’applique à tous les contrats d’assurance en cours, même si cette obligation n’est pas spécifiée dans les contrats.

Actions, réactions et garanties d’assistance

Il est important de noter que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises, ainsi que pour proposer des solutions initiales visant à limiter les conséquences de l’attaque et à constituer un dossier de recours. Toutefois, le dépôt de plainte reste obligatoire dans un délai de 72 heures.

Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et toutes les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et soit assuré par un contrat d’assurance français. Les particuliers victimes d’une attaque à titre personnel ne sont donc pas concernés par cette obligation. Toutefois, il est recommandé de déposer plainte afin de faciliter l’identification des suspects et de favoriser la reconnaissance du préjudice subi par la victime.

Toutes les formes de cyberattaques sont concernées par cette loi, notamment les attaques par logiciels malveillants tels que les ransomwares, les vols de données, les attaques par déni de service (DoS/DDoS), le phishing, la modification non sollicitée d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.

En cas de cyberattaque, il est essentiel de savoir comment réagir afin de réagir de manière efficace et de protéger au mieux son entreprise. Voici les consignes à suivre : éteindre les équipements et les accès réseau, déconnecter les sauvegardes ; informer les collaborateurs des consignes à suivre ; contacter immédiatement son assureur pour limiter au plus vite les conséquences de l’incident ; alerter les forces de l’ordre sans attendre ; il est important de noter que cette alerte ne dispense pas du dépôt de plainte, qui reste obligatoire ; déposer plainte dans un délai maximum de 72 heures à partir de la prise de connaissance de l’incident ; en cas de violation de données à caractère personnel, conformément à l’article 33 du RGPD, il convient de notifier l’incident à la CNIL dans un délai de 72 heures via le site dédié de la CNIL ; mettre en place le plan de gestion de crise, y compris les mesures de continuité d’activité prévues dans le Plan de continuité d’activité (PCA) ; déclarer le sinistre à l’assureur par courrier ; faire appel au service de veille ZATAZ pour effectuer des recherches dans le darkweb et le darknet afin de détecter toute fuite d’informations susceptible d’être entre les mains de groupes de pirates.

Déposer plainte, toujours !

Pour déposer plainte, il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête : conserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.) ; dresser une liste chronologique des actions entreprises après l’attaque ; fournir ou mettre à disposition le plus de preuves possible (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.). Ensuite, la victime doit porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72 heures à partir de la prise de connaissance de l’incident. Si l’entreprise est victime d’une cyberattaque à l’étranger, deux options s’offrent à elle : déposer plainte en France dans les 72 heures ou déposer plainte dans le pays où l’attaque s’est produite, également dans les 72 heures. Il est important de souligner que l’obligation de dépôt de plainte doit être respectée, à condition que l’attaque cybernétique constitue également une infraction dans ce pays.

Il est crucial de garder à l’esprit que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises.

En conclusion, avec l’obligation de dépôt de plainte sous 72 heures, la loi LOPMI renforce la protection des victimes de cyberattaques et contribue à une meilleure lutte contre la cybercriminalité. Il est primordial de bien comprendre cette obligation et de suivre les procédures recommandées en cas d’incident afin de maximiser les chances de récupérer les dommages subis et de garantir une indemnisation adéquate de la part de l’assureur. En adoptant une approche proactive et en restant vigilant face aux cybermenaces, les entreprises peuvent renforcer leur résilience et leur capacité à faire face aux attaques.

Il est également important de souligner que la prévention reste la meilleure stratégie contre les cyberattaques. Les entreprises doivent mettre en place des mesures de sécurité solides, telles que des pare-feu, des antivirus et des programmes de sensibilisation à la cybersécurité pour former leur personnel à reconnaître les menaces potentielles et à adopter des pratiques sécuritaires en ligne.

En définitive, la nouvelle obligation de dépôt de plainte sous 72 heures introduite par la loi LOPMI constitue une avancée significative dans la protection des victimes de cyberattaques et renforce la responsabilité des entreprises dans la sécurisation de leurs systèmes informatiques. En agissant rapidement et en suivant les procédures recommandées, les entreprises peuvent minimiser les dommages causés par les attaques et assurer une meilleure collaboration avec les autorités et les assureurs pour faire face à ces situations complexes.

Le décret français sur la réutilisation des équipements informatiques réformés et ses implications

Le 12 avril 2023, un tournant significatif a eu lieu en France en matière de gestion des déchets électroniques. Un décret a été adopté fixant les objectifs et les modalités de réutilisation des équipements informatiques réformés par l’État et les collectivités territoriales. Cette nouvelle réglementation a des implications considérables, à la fois pour les organisations privées et les autorités publiques du pays.

L’une des principales préoccupations liées à la réutilisation des équipements informatiques est la nécessité de garantir l’effacement sécurisé des données. Par exemple, si une entreprise publique met hors service un serveur contenant des informations sensibles sur les citoyens, il est crucial de s’assurer que ces données ne peuvent pas être récupérées après la réutilisation de cet équipement. Dans ce contexte, des entreprises spécialisées proposent des solutions. Assurez-vous qu’elles soient à la norme NIST 800-88.

Cette réglementation intervient à un moment où la conscience environnementale atteint un niveau sans précédent, notamment en ce qui concerne la gestion des déchets électroniques. Selon l’ONU et l’APCE, les déchets électroniques sont la catégorie de déchets connaissant la croissance la plus rapide à l’échelle mondiale, avec une valeur estimée à plus de 62,5 milliards de dollars par an. Des initiatives comme celle du gouvernement français sont donc de plus en plus importantes pour réduire l’impact environnemental de ces déchets.

Il est aussi à noter que la suppression sécurisée des données est un élément crucial de la protection contre les cyberattaques. En effet, si les données sensibles ne sont pas correctement effacées avant la réforme ou la réutilisation d’un équipement informatique, elles peuvent être récupérées par des acteurs malveillants, posant un risque significatif de violation de la sécurité. Par exemple, si un vieux disque dur contenant des informations sensibles n’est pas correctement effacé avant d’être vendu ou réutilisé, ces données pourraient tomber entre de mauvaises mains.

En résumé, la nouvelle réglementation française sur la réutilisation des équipements informatiques réformés souligne la nécessité de garantir une suppression sécurisée et responsable des données, tout en minimisant l’impact environnemental des déchets électroniques. Des entreprises offrent une solution unique pour répondre à ces exigences, permettant aux organisations et aux autorités publiques de bénéficier d’une gestion des actifs informatiques complète et fiable. Ces efforts contribuent à la protection contre les cybermenaces, garantissant une meilleure sécurité pour les données et l’environnement.

C’est un grand pas en avant dans la gestion responsable des déchets électroniques. En effet, la réutilisation des équipements informatiques réformés présente des avantages significatifs, non seulement pour l’environnement mais aussi pour l’économie. En prolongeant la durée de vie utile des équipements informatiques, les organisations peuvent réduire les coûts associés à l’achat de nouveau matériel. De plus, la réutilisation des équipements informatiques peut créer des opportunités économiques, par exemple en fournissant du matériel informatique réformé à des prix réduits pour les écoles, les organismes à but non lucratif, ou les petites entreprises.

Il est clair que la mise en œuvre effective de cette réglementation nécessitera une coopération étroite entre le gouvernement, les entreprises privées, et les organisations à but non lucratif. Il est essentiel de développer des programmes de formation pour aider les organisations à comprendre et à respecter les nouvelles exigences en matière de suppression de données sécurisée. De plus, des efforts sont nécessaires pour sensibiliser le public à l’importance de la gestion responsable des déchets électroniques.

En conclusion, le décret du 12 avril 2023 marque une avancée significative dans la gestion responsable des équipements informatiques en France. Non seulement il souligne l’importance de la suppression sécurisée des données, mais il met également en évidence l’importance de la réutilisation des équipements informatiques dans la lutte contre la pollution électronique. Les organisations et les autorités publiques ont maintenant un rôle clé à jouer pour garantir le respect de ces nouvelles normes et pour promouvoir une économie plus durable et plus sécurisée.

La détection des menaces en cybersécurité : une clé pour la protection des données

La cybersécurité est devenue un élément essentiel de nos vies numériques. Avec l’explosion du nombre de données numériques produites et la multiplication des cyberattaques, la nécessité de protéger nos informations n’a jamais été aussi importante. Un aspect crucial de cette protection est la détection des menaces, un domaine complexe mais essentiel de la cybersécurité (1).

Qu’est-ce que la détection des menaces en cybersécurité ?

La détection des menaces est un processus qui consiste à surveiller les systèmes informatiques et les réseaux pour identifier les signes d’activités suspectes ou malveillantes qui pourraient indiquer une cyberattaque (2). Elle fait partie intégrante de la gestion des risques en cybersécurité et est souvent combinée à la prévention et à la réponse aux incidents pour former une approche globale de la protection des données.

Comment fonctionne la détection des menaces ?

La détection des menaces repose sur une combinaison de technologies, de processus et de personnes. Technologies : Des outils spécifiques, comme les systèmes de détection des cybermenaces et de prévention des intrusions (IDPS), les logiciels antivirus et les systèmes de gestion des informations et des événements de sécurité (SIEM), sont utilisés pour surveiller les réseaux et les systèmes, détecter les activités suspectes et signaler ou bloquer les attaques (3).

Processus : Les processus de détection des menaces comprennent la collecte et l’analyse de données de sécurité, l’évaluation des risques, la détection des anomalies et la réponse aux incidents. Les organisations peuvent utiliser des approches basées sur les signatures, qui recherchent des comportements connus malveillants, ou des approches basées sur le comportement, qui identifient les activités anormales qui pourraient indiquer une attaque (4).

Personnes : En fin de compte, les personnes sont un élément clé de la détection des menaces. Les analystes de sécurité surveillent les alertes, évaluent les risques, enquêtent sur les incidents et coordonnent la réponse aux incidents. Ils s’appuient sur leur expertise et leur jugement pour interpréter les données et prendre des décisions (5).

La détection des menaces à l’ère de l’IA

La détection des menaces évolue constamment pour faire face à la nature changeante des cyberattaques. Une tendance clé est l’utilisation de l’intelligence artificielle (IA) et du machine learning pour améliorer la détection. Ces technologies peuvent aider à analyser de grandes quantités de données, à identifier les modèles et les anomalies, et à prédire et à prévenir les attaques (6) comme le préconise l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Cependant, bien que la détection des menaces soit un élément clé de la cybersécurité, elle ne peut pas à elle seule garantir la sécurité. Elle doit être intégrée dans une approche globale de la cybersécurité qui comprend également la prévention, la protection, la réponse et la récupération.

La détection proactive des menaces

Dans le paysage en constante évolution des cybermenaces, une approche proactive de la détection est essentielle. Cela comprend l’utilisation de technologies de pointe, l’adoption de pratiques d’hygiène numérique solides, le maintien de la sensibilisation à la sécurité et la formation continue des employés à la cybersécurité.

La détection proactive des menaces implique également une veille continue sur les nouvelles vulnérabilités et les nouvelles formes de cyberattaques. Les organisations doivent s’efforcer de rester à jour sur les dernières menaces et de mettre à jour leurs systèmes et leurs processus en conséquence.

Les défis de la détection des menaces

La détection des menaces présente plusieurs défis. Premièrement, le volume de données à analyser peut être énorme, rendant difficile l’identification des activités suspectes. Deuxièmement, les cybercriminels deviennent de plus en plus sophistiqués, utilisant des techniques avancées pour éviter la détection.

De plus, les faux positifs peuvent être un problème, avec des systèmes qui signalent des activités normales comme suspectes, ce qui peut entraîner une surcharge d’alertes pour les équipes de sécurité. Enfin, le manque de compétences en cybersécurité peut également être un défi, avec une pénurie mondiale de professionnels qualifiés dans ce domaine (7).

La détection des menaces est une composante essentielle de la cybersécurité. Alors que les cybermenaces continuent d’évoluer, les organisations doivent rester vigilantes et proactives dans leur approche de la détection des menaces. Cela nécessite une combinaison de technologies avancées, de processus solides et de personnes qualifiées. Malgré les défis, une détection efficace des menaces peut grandement contribuer à protéger les organisations contre les cyberattaques.

  1. « Understanding Threat Detection in Cyber Security, » IT Governance Blog, 2021.
  2. « The Essential Guide to Threat Hunting, » SANS Institute, 2022.
  3. « Intrusion Detection System (IDS) and its Detailed Function – SOC/SIEM, » ScienceDirect, 2021.
  4. « Understanding the Basics of Threat Detection, » IBM Security Intelligence, 2022.
  5. « Human Factor in Cyber Security, » Journal of Cybersecurity, Oxford Academic, 2021.
  6. « How AI and Machine Learning Are Transforming Cybersecurity, » Forbes, 2022.
  7. « Cybersecurity Skills Shortage Soars, Nearing 3 Million, » Infosecurity Magazine, 2021.

Identité numérique européenne : Le futur de la vie privée en ligne

En 2024, tous les pays européens devront mettre à la disposition de leurs citoyens un Digital ID Wallet. Grace à ce portefeuille électronique, ils pourront, depuis leurs terminaux électroniques, stocker et gérer leur identité numérique, et partager leurs attributs personnels vérifiés. Utilisable partout en Europe, il placera les citoyens au centre du contrôle de leurs données personnelles et garantira un très haut niveau de sécurité.

Louer un appartement, acheter une voiture, ouvrir un compte en banque, contracter un prêt bancaire, donner son consentement pour un acte médical, s’inscrire dans une université… Des démarches aujourd’hui dématérialisées qui nécessitent de renseigner des dizaines de formulaires, de prouver son identité, de s’authentifier sur une multitude de services numériques (site e-commerce, services publics…) et parfois de transmettre des captures de justificatifs papier par email, sans sécurité particulière, lors de la transmission puis du stockage, et contenant souvent beaucoup plus d’informations que nécessaire. Autant d’opérations complexes et chronophages pour tous les usagers, notamment ceux pour qui la protection des droits et données personnelles et la maitrise des outils numériques et solutions de sécurité ne coulent pas de source.

C’est pourquoi l’Union européenne, dans sa politique de la « Décennie numérique« , a notamment demandé aux États membres de proposer un Digital ID Wallet. Elle souhaite offrir à tous les citoyens les moyens de stocker et gérer leurs identité numérique, identifiants et attributs personnels depuis un portefeuille électronique hébergé sur leurs terminaux personnels (smartphone, tablette, portable).

Disponible à partir de 2024, ce portefeuille électronique pourra contenir les éléments vérifiés de la carte d’identité nationale biométrique (empreintes digitales, photographies, informations textuelles), des attributs personnels authentifiés et certifiés (permis de conduire, acte de naissance, carte bancaire, justificatif de domicile, fiche d’imposition, diplômes, feuilles de paie, documents de santé…).

Reprendre le contrôle de ses données personnelles

En deux décennies, nos usages se sont profondément numérisés. Les données personnelles qui permettent d’identifier tout ou partie d’une personne – données d’état civil, adresse email ou postale, mots de passe, fiches d’impôt, salaire, facture EDF, sans oublier la transmission de données personnelles qui ne sont pas encore numérisées, telles que diplômes, factures et justificatifs en tout genre – sont communiquées à des tiers (services publics, entreprises privées) et stockées dans d’immenses et innombrables bases de données. Une centralisation de données personnelles qui présente des risques de cyberattaques, des risques d’utilisation peu scrupuleuse de données personnelles à des fins commerciales mais aussi des problématiques énergétiques de stockage.

En demandant aux États membres de proposer à leurs résidents un tel portefeuille numérique, l’UE permet à chaque citoyen de reprendre le contrôle et l’utilisation de son identité. Ainsi, il pourra, grâce aux technologies du wallet, circonscrire le partage de ses données aux seules nécessaires à la délivrance du service. Il pourra par exemple donner accès à son revenu d’imposition sans être contraint, comme c’est le cas actuellement, de délivrer l’intégralité de sa feuille d’impôts. Le citoyen pourra aussi récupérer ses données créées et vérifiées par des tiers sous forme d’attestations (Qualified Electronic Attribute Attestation – QEAA), les stocker dans son wallet, et les communiquer lorsque nécessaire. Via ce dispositif « zero knowledge proof », il pourra par exemple prouver sa majorité sans pour autant fournir sa date de naissance, car l’utilisation de son wallet garantira que l’information a été vérifiée par ailleurs.

Faire des citoyens les maîtres de leurs données d’identité

A l’heure actuelle, toutes les données personnelles de chaque citoyen sont stockées dans des bases de données privées et publiques. Elles seront, grâce à ce wallet, décentralisées et gérées individuellement par chaque citoyen européen. En devenant souverain de ses données, il pourra donc consciemment choisir de les partager sans peur et en toute sécurité. Il reprendra ainsi le contrôle de sa vie numérique, maitrisera ses données personnelles et la manière dont elles circuleront.

Prévu pour 2024, ce wallet sera fourni aux citoyens par leurs pays de domiciliation. Proposé par chaque État membre, il pourra être délivré par des établissements publics ou privés. Simple d’utilisation et interopérable, ce wallet devra répondre à des normes et spécifications techniques garantissant un haut niveau de sécurité. Si aucune obligation d’utilisation de ce portefeuille électronique européen n’est exigée, l’UE mise sur la fluidité et la simplicité d’un tel dispositif pour convertir tous les européens. (Par Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow)

Une vulnérabilité corrigée dans le plug-in Advanced Custom Fields pour WordPress

Une faille de sécurité a été identifiée dans le plug-in Advanced Custom Fields pour WordPress, permettant l’insertion de code malveillant sur approximativement deux millions de sites web. Cela pourrait causer des préjudices aux sites eux-mêmes et à leurs utilisateurs.

Cette faille concerne spécifiquement les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains. Ces outils offrent aux administrateurs de sites WordPress une plus grande maîtrise sur leur contenu et leurs données.

Patchstack a révélé le 5 février qu’une attaque XSS (cross-site scripting) pouvait être menée via ces plug-ins. En termes simples, une attaque XSS consiste pour un agresseur à insérer du code, généralement dans une zone de texte sur un site web. Ce code est ensuite exécuté par le site. Bien que ce type d’attaque soit moins fréquent qu’il y a une décennie, il existe toujours des exceptions.

En exploitant cette faille, il serait possible d’exécuter du JavaScript à l’insu des visiteurs du site. Cela pourrait conduire au vol de données des visiteurs ou à la prise de contrôle du site entier, si l’utilisateur affecté est un administrateur du site.

Un correctif a été publié début avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui a identifié la faille, ont été autorisés à partager publiquement leurs découvertes. Pour remédier à la situation, les utilisateurs d’Advanced Custom Fields doivent mettre à jour leur version vers la 6.1.6 ou une version ultérieure. Cette vulnérabilité a été enregistrée sous le code CVE-2023-30777.

Les banques russes mécontentes des nouvelles règles liées au VPN

Les banques russes sont mécontentes des nouvelles règles imposées par le gouvernement de Poutine, selon lesquelles les informations sur les services VPN doivent être transmises par courrier électronique.

Saviez-vous que Poutine se met de plus en plus de monde à dos dans son pays ? Dernier exemple en date, et pas des moindres, les banques russes. Ces dernières sont mécontentes des nouvelles exigences de la Banque centrale de la Fédération de Russie concernant le transfert d’informations sur l’utilisation des services VPN.

Les institutions financières ont une attitude négative envers les nouvelles exigences du régulateur local, l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Pourquoi ? Les informations liées aux VPN utilisés doivent être transmises à Roskomnadzor via un canal non sécurisé par courriel.

Selon les nouvelles exigences, les institutions financières russes sont tenues de fournir à Roskomnadzor des informations sur les services VPN utilisés pour automatiser les processus technologiques d’ici le 2 juin 2023. Ceci est fait dans le but « d’éliminer les risques du fonctionnement des systèmes d’information de l’industrie » écrivent les fonctionnaires.

Envoyer des informations sensibles, par courriel !

Il ne faut pas être une lumière pour comprendre et savoir que la transmission d’informations aussi sensibles par courrier électronique comporte d’énormes risques de fuite de données. Si ces informations tombent entre les mains de cybercriminels, ils disposeront de données sur toutes les adresses IP des services VPN exploités dans des bureaux bancaires, par exemple. De quoi lancée des attaques DDoS contre le siège social d’une banque russe particulière, mais également contre ses succursales. De quoi couper les clients des services bancaires pendant une longue période.

Le Roskomnadzor (en russe : Роскомнадзор) est l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Son nom complet est « Service fédéral de supervision dans le domaine des communications, des technologies de l’information et des médias de masse ». Il a été créé en 2008 et est subordonné au gouvernement russe.

Les principales responsabilités du Roskomnadzor incluent la régulation des médias, la censure de l’internet, la protection des données personnelles, la surveillance des télécommunications et la délivrance de licences pour les activités de médias et de communication. Le Roskomnadzor est également chargé de faire respecter les lois sur la protection des droits des consommateurs et de la concurrence loyale dans le domaine des communications.

Dans le cadre de ses fonctions, le Roskomnadzor a souvent été critiqué pour sa censure d’Internet et la suppression de contenus en ligne. Il a également bloqué l’accès à plusieurs sites web, y compris des plateformes de médias sociaux et des services de messagerie, en raison de préoccupations liées à la sécurité nationale, à la désinformation ou à la violation des lois russes.

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

Vulnérabilités : trois 0day à corriger d’urgence

Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.

Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).

Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.

Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.

Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.

CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.

CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .

CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.

Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.

Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

Des entreprises tardent à corriger la vulnérabilité GoAnywhere MFT même après les attaques du rançongiciel Cl0p

Des dizaines d’organisations sont toujours exposées à des cyberattaques via une vulnérabilité largement exploitée dans GoAnywhere MFT, un outil Web qui aide les organisations à transférer des fichiers.

Depuis février 2023, les groupes de rançongiciels Cl0p et Blackcat ont cyber attaqués des dizaines de grandes entreprises et gouvernements du monde via une vulnérabilité zero-day GoAnywhere (CVE-2023-0669).

Les gouvernements de Toronto et de Tasmanie ont été touchés par l’incident aux côtés de géants comme Proctor & Gamble, Virgin et Hitachi comme avait pu vous le révéler le blog dédié à l’actualité de la cybersécurité ZATAZ, à l’époque.

Un correctif pour la vulnérabilité avait été publié en février, ce qui n’a pas empêché Cl0p de compromettre plus de 130 organisations.

Il y a quelques jours, une société de cybersécurité a pris son abonnement chez Shodan est a regardé les machines encore connectées. Plus de 2 mois après la divulgation de ce 0Day, 179 hôtes affichaient encore des panneaux d’administration GoAnywhere MFT ! 30% d’entre eux montraient qu’ils n’étaient pas encore mis à jour.

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.

L’indice mondial de risque cybernétique a connu une amélioration

Pas de quoi faire la fête, mais il semble que les entreprises se préparent mieux aux cyber attaques.

D’après le Cyber Risk Index (CRI) semestriel de Trend Micro, une entreprise de cybersécurité, les organisations sont mieux préparées aux attaques et le niveau de risque cybernétique a baissé de « élevé » à « modéré ». Toutefois, malgré cette amélioration, les organisations continuent de craindre les cyberattaques, 78 % d’entre elles craignant de subir une attaque réussie cette année encore.

Selon Jon Clay, le VP of Threat Intelligence chez Trend Micro, l’indice mondial de risque cybernétique a connu une amélioration de +0,01, ce qui est une première depuis le lancement de l’enquête il y a trois ans, indiquant que les organisations prennent des mesures pour améliorer leur préparation contre les cybermenaces. Cependant, Clay souligne que des efforts supplémentaires sont nécessaires, notamment en ce qui concerne la formation du personnel, qui représente un risque majeur pour les organisations.

Bien que le niveau de menace ait diminué en Europe et dans la zone APAC, il en est autrement en Amérique du Nord et du Sud. En Europe, le score du CRI s’est amélioré de +0,12 au S2 2022, mais malgré cette baisse de la menace, la majorité des organisations européennes restent pessimistes quant à leurs prévisions. En effet, 78 % des participants à l’enquête estiment qu’il est « probable », voire « très probable », qu’ils subissent une cyberattaque réussie cette année. Les cinq principales menaces redoutées par les entreprises sont le détournement de clics, le vol de données de connexion, le rançongiciel, les botnets et la crypto-extraction.

Le personnel est identifié comme le principal risque pour l’infrastructure des entreprises, apparaissant deux fois dans le top cinq des risques. Cette situation n’est pas surprenante selon Trend Micro, car le travail hybride est de plus en plus courant. Les autres risques identifiés par les entreprises sont l’informatique dans le nuage et les fournisseurs, les employés mobiles, les appareils et applications IoT, ainsi que les ordinateurs de bureau et portables.

Espionnage via Bluetooth

Google et Apple travaillent ensemble pour protéger les personnes de la surveillance via des appareils Bluetooth.

Depuis plusieurs années maintenant, divers trackers Bluetooth comme l’Apple AirTag suscitent de nombreuses polémiques sur les abus. Aujourd’hui, Google et Apple ont décidé de s’associer pour développer une spécification qui rendra plus difficile l’espionnage des appareils exploitant le Bluetooth.

Les deux géants de la technologie ont déclaré qu’ils étaient disposés à prendre en compte les points de vue d’autres organisations dans le domaine. L’intérêt de ce projet a été exprimé par des sociétés telles que Samsung, Tile, Chipolo, eufy Security et Pebblebee.

Apple et Google ont soumis un projet de spécification via l’Internet Engineering Task Force (IETF). Toutes les parties intéressées peuvent examiner et commenter l’initiative dans un délai de trois mois.

Après cette période, Apple et Google devraient fournir des commentaires et publier la première implémentation de la spécification (vraisemblablement d’ici la fin de l’année 2023), qui sera prise en charge dans les futures versions des systèmes d’exploitation mobiles iOS et Android.

Rappelons que les balises intelligentes Apple AirTag ont longtemps montré du doigt. Par exemple, au début de l’année 2022, des avertissements ont été émis concernant les Apple AirTags modifiés qui présentent un risque pour la confidentialité.

Et fin 2022, deux Américaines ont poursuivi Apple pour surveillance via AirTag. Elles affirmaient que le matériel permettait de traquer et de terroriser des cibles. Les victimes ont exigé une compensation et une action décisive de la part d’Apple en termes de sécurité. « L’ex-petit ami de l’une des victimes a attaché un AirTag au passage de roue de sa voiture et a découvert où elle se cachait. Et l’ex-mari de l’autre requérante la suivit, cachant l’étiquette dans le sac à dos des enfants.« 

Des balises intelligentes Apple AirTag transformées en espionnes

L’AirTag, un appareil utile lorsque vous devez retrouver un bien perdu (clé, Etc), mais aussi un traqueur dangereux. Des balises Apple AirTag modifiées qui pourraient constituer une menace pour la vie privée des utilisateurs.

Il existe de nombreuses façons de modifier le tracker d’Apple : éteindre le haut-parleur, mettre le tag dans une coque différente, etc. Certains de ces AirTags modifiés ressemblent exactement à l’original, tandis que d’autres ne ressemblent même pas de loin à un appareil standard.

Si le tag n’émet aucun son, les utilisateurs d’appareils mobiles Android ne pourront pas détecter un tel tracker. Même les propriétaires d’iPhone peuvent avoir du mal à trouver un AirTag modifié. Les experts estimaient il y a peu qu’Apple devrait faire un peu plus pour protéger les utilisateurs contre l’utilisation abusive des balises intelligentes. Par exemple, Cupertino devrait travailler avec Google sur des méthodes de suivi plus sécurisées pour iOS et Android. De plus, cela ne ferait pas de mal de rendre les trackers plus difficiles à modifier et de permettre aux propriétaires d’appareils mobiles de signaler les AirTags qui sont mal utilisés. Rappelons qu’en septembre 2021, un bug avait été découvert dans les balises intelligentes d’Apple permettant de les transformer en cheval de Troie physique.

Apple a également publié une application pour les utilisateurs d’Android qui vous permet de scanner AirTag à proximité.

Lors de la sortie des balises au printemps 2021, Apple parlait d’une « protection contre les harceleurs » intégrée au tracker. Une notification sonore qui informent les utilisateurs d’iPhone et de MacBook si un AirTag inconnu « se bloque » pendant une longue période dans la portée Bluetooth, environ 9 mètres.

UFC Que Choisir contre Twitter: la victoire historique des consommateurs !

UFC Que Choisir vient de remporter une grande victoire contre le géant des réseaux sociaux, Twitter Inc. La Cour d’appel de Paris a confirmé une décision antérieure qui a établi que 24 clauses des conditions d’utilisation de Twitter étaient illicites.

24 clauses des conditions d’utilisation, 29 clauses de la politique de confidentialité et 7 clauses de son règlement sont illégales. Twitter vient de découvrir la décision de la Cour d’appel de Parus concernant une série de plainte à l’encontre du réseau sociaux au petit oiseau bleu. Bilan, cette décision a des implications importantes pour les droits des internautes sur les réseaux sociaux.

La Cour a d’abord considéré que les règles du droit de la consommation s’appliquent aux conditions d’utilisation de Twitter, malgré le caractère apparemment gratuit du service. La Cour a souligné que la fourniture de données de l’utilisateur est la contrepartie du service rendu et que, par conséquent, le contrat a un caractère onéreux. Cette décision renforce la célèbre formule « Si c’est gratuit, c’est toi le produit !« .

Consentement des utilisateurs

En outre, la Cour a rejeté deux clauses importantes relatives au consentement des utilisateurs, qui ont été jugées non écrites. Ces clauses ont été rejetées car elles n’étaient pas clairement exposées au moment de la souscription du contrat.

« Chacun saura désormais que les clauses qui ne figurent pas dans l’écrit que le consommateur accepte ou qui sont reprises dans un autre document auquel il n’est pas fait expressément référence ne sont pas valables. » souligne Alexandre Lazarègue, Avocat spécialisé en droit du numérique.

La Cour a également sanctionné les clauses qui permettaient à Twitter de modifier les services et les conditions générales de manière unilatérale. Cela a des implications importantes pour les utilisateurs, car cela signifie que Twitter ne peut pas changer les termes du contrat sans l’accord explicite de l’utilisateur, quitte à en boquer son évolution.

Il paraissait pourtant légitime que, si une partie ne doit pas pouvoir modifier unilatéralement l’esprit général d’un contrat, elle puisse faire évoluer celui-ci sans qu’un consommateur puisse, à lui seul, bloquer toute évolution.

Utilisation du service et les contenus publiés

En outre, plusieurs clauses du contrat prévoyaient que l’utilisation du service et les contenus publiés se trouvaient sous la responsabilité de l’utilisateur. Le tribunal a considéré que ces clauses étaient illicites. « S’il est logique que Twitter assure la sécurité des données qu’elle collecte, et qu’elle endosse la responsabilité d’un éventuel piratage, il n’apparaissait pas abusif que l’auteur d’un contenu en soit responsable et que twitter en tant que simple hébergeur en soit déchargé. » explique Alexandre Lazarègue.

Enfin, la Cour a également souligné que la suppression d’un compte Twitter pour violation de de son règlement éthique doit faire l’objet d’un débat contradictoire et de mises en garde préalables. Les utilisateurs de Twitter, y compris tels que Donald Trump et les influenceurs sur le grill, devront désormais savoir précisément sur quel fondement leur compte est supprimé et avoir la possibilité de contester cette décision à l’amiable.

En somme, cette décision est une grande victoire pour les consommateurs et les internautes, car elle renforce leurs droits et leurs protections sur les réseaux sociaux. Elle rappelle également aux grandes entreprises que leurs pratiques commerciales doivent être transparentes et justes envers les utilisateurs.

Visa, les pirates et ma CB

Visa a annoncé la suspension d’une expérience de trois ans au cours de laquelle les résidents de l’Inde pouvaient régler des achats en ligne en un seul clic, sans fournir de code CVV, ni de mot de passe à usage unique.

Voilà une expérience qui semble avoir coûté quelques millions de dollars à Visa, le fournisseur de cartes bancaires éponymes. La publication locale India Times suggère que cette décision est due aussi à la position sévère de la banque centrale du pays, qui prévoit de renforcer les règles relatives aux paiements numériques.

Il faut dire aussi que permettre de payer par carte bancaire sur Internet, sans fournir la moindre authentification semble être dès plus dangereux en cas de perte, de vol ou de piratage de la carte bancaire. « Visa travaille sur une forme améliorée de produit d’authentification de réseau conformément aux recommandations de la Banque de réserve de l’Inde », a déclaré Visa dans un communiqué. Les titulaires de cartes Visa peuvent continuer à les utiliser avec une authentification supplémentaire pour garantir la sécurité des paiements. »

Le programme Visa Single Click a été lancé en Inde en 2019. À l’époque, la limite de paiement sans authentification supplémentaire était de deux mille roupies (22€), puis a été portée à cinq mille (55€). Les principaux géants des télécommunications, ainsi que des détaillants, des services de livraison et d’autres grandes entreprises ont adhéré à cette option. Dans le même temps, le service a été très populaire en Inde, avec 250 000 personnes s’inscrivant dans les 45 premiers jours suivant son lancement.

Toutefois, selon les représentants de la Banque centrale, seule une procédure de débit impliquant du plastique physique peut être considérée comme sûre. Dans ce cas, il est acceptable d’abaisser le seuil de sécurité. Les paiements numériques, en revanche, suscitent de vives inquiétudes au sein de la principale institution financière du pays, qui exige donc le maintien de l’authentification à deux facteurs.

Visa surveille les cardeurs

Pendant ce temps, il faut savoir que Visa disposerait d’un service de renseignement distinct qui recueille des données sur les actions et les tactiques des fraudeurs, notamment sur les marchés noirs du web. C’est ce qu’a révélé Michael Jabbara, responsable de la lutte contre la fraude chez Visa en tant que vice-président, dans une interview accordée à Benzinga. « L’entreprise a mis en place plusieurs couches de sécurité, érigées pour protéger tout élément et tout membre de notre écosystème. explique le spécialiste de chez Visa. Cela dit, nous savons qu’il n’existe pas de stratégie unique qui permette de protéger les utilisateurs contre les fraudeurs et les cardeurs, qui sont très ingénieux et persistants. Nous avons donc plusieurs tactiques défensives, dont l’une est l’analyse des sites fantômes« .

Il explique que Visa surveille de près l’évolution des différentes familles de logiciels malveillants et de ransomwares, les personnes qui les utilisent et la manière dont ils sont introduits dans des organisations spécifiques du secteur financier. « Nous examinons les types de données vendues sur le darknet, les données personnelles, les numéros de carte, et nous suivons les grandes tendances. »

Parmi les enquêtes et questions, le Service Veille ZATAZ expliquait que les recherches pouvaient se tourner sur de nombreuses questions comme « Y a-t-il une banque en particulier qui devient soudainement le leader du nombre de cartes vendues sur le darknet ? » ;  « Pourquoi cela se produit-il ?« .

Il a ajouté que le service de renseignement enquêtait sur toute fuite de données sérieuse survenant dans le monde entier. Des spécialistes analysent des échantillons de code utilisés dans ces attaques, les intègrent dans leur bibliothèque et les analysent ensuite. Visa se concentre également sur des familles de logiciels malveillants spécifiques ciblant les vendeurs et les bourses de crypto-monnaies.

Marketing de la malveillance

« Il y a un niveau de sophistication assez large en termes de personnes » explique le chercheur. Vous avez des gens qui sont les stéréotypes du petit pirate de 16 ans, dans le sous-sol de leurs parents. Ils sont capables d’acheter un script sur le dark web et de générer toute une série d’attaques par force brute qui aura pour mission de deviner le numéro de carte, la date d’expiration et le CVV2 en générant des centaines de milliers de transactions de test en quelques minutes.

« Ensuite, les groupes de criminels« . Ils sont organisés. Ils profitent de rançongiciels, de logiciels malveillants, d’attaques et de défaillances. « Certains ont été arrêtés il n’y a pas si longtemps après que les enquêteurs sur la fraude Visa les ont retrouvés.« 

Vient enfin les organisations soutenues par un État « Ils sont bien financés et bien organisés. Ils mènent des attaques à grande échelle contre des institutions financières. Vous pouvez penser au piratage Swift qui s’est produit il y a plusieurs années avec la banque centrale du Bangladesh, par exemple« .

Piratage de SWIFT : l’attaque qui a permis de détourner 81 millions de dollars

Le piratage de SWIFT est une attaque informatique qui a eu lieu en février 2016. SWIFT, pour Society for Worldwide Interbank Financial Telecommunication, est un réseau utilisé par les banques du monde entier pour transférer des fonds entre elles.

Le piratage a commencé lorsque des cybercriminels ont réussi à pénétrer dans le système de sécurité d’une banque bangladaise, la Banque du Bangladesh. Les pirates ont ensuite utilisé cette brèche pour accéder au système SWIFT de la banque, leur permettant de transférer de l’argent vers des comptes bancaires appartenant à des complices dans le monde entier.

Les pirates ont réussi à transférer près de 81 millions de dollars de la Banque du Bangladesh vers des comptes bancaires aux Philippines, à Hong Kong et au Sri Lanka. Les transactions ont été approuvées par la Banque centrale des Philippines, mais certaines d’entre elles ont été bloquées par d’autres banques, qui ont été alertées par des erreurs de frappe dans les ordres de transfert.

L’enquête sur l’attaque a révélé que les pirates avaient utilisé des logiciels malveillants pour accéder au système SWIFT et masquer leurs traces. Les pirates ont également utilisé des techniques de phishing pour obtenir les identifiants et mots de passe nécessaires pour accéder au système.

Après l’attaque, SWIFT a émis des avertissements à l’ensemble de ses membres, les exhortant à renforcer leur sécurité et à mettre en place des mesures de sécurité supplémentaires pour prévenir de telles attaques à l’avenir. Les enquêteurs ont également découvert que d’autres banques avaient été ciblées par des attaques similaires, mais que leurs défenses informatiques avaient empêché les pirates d’accéder à leur système SWIFT.

L’attaque contre la Banque du Bangladesh a mis en évidence les vulnérabilités du système SWIFT et la nécessité pour les banques d’investir dans des systèmes de sécurité plus avancés pour protéger leurs actifs et leurs clients.

350 000 comptes en banque de chômeurs gelés suite à une fraude informatique

Des chômeurs de l’État de Californie, dont les allocations ont été volées à la suite de fraudes informatiques poursuivent Bank of America.

Selon le portail CourtHouse News, l’action en justice découle du fait que l’institution financière n’a pas protégé les cartes de débit à partir desquelles les allocations ont été volées.

Bank of America avait conclu un contrat exclusif avec le département californien de la promotion de l’emploi pour le paiement des prestations par carte de débit. Or, pendant plusieurs mois, de nombreux bénéficiaires ont constaté que leur compte était soudainement débité sans avertissement. La banque a ainsi été contrainte de geler 350 000 comptes liés au programme d’aide aux chômeurs américains en novembre dernier. Seuls 8 % d’entre eux ont finalement repris vie.

L’action en justice reproche à Bank of America de ne pas s’être conformée aux normes de sécurité du secteur et d’avoir émis des cartes de débit à bande magnétique, obsolètes et facilement accessibles aux fraudeurs, au lieu de puces de sécurité. Par ailleurs, les chômeurs qui ont perdu leurs fonds se sont plaints du peu d’intérêt manifesté par le personnel de la banque pour enquêter sur la perte. Dans certains cas, ils ont été ignorés pendant un mois, passant d’un service à l’autre et refusant d’être reçus personnellement.

Cela va directement à l’encontre des accords que Bank of America a conclus avec l’État de Californie, qui stipulent que toute demande de fonds perdus doit être résolue dans les dix jours et que les Américains qui ont perdu des prestations en raison d’une fraude n’en sont pas responsables.

L’essentiel de la réclamation consiste à exiger l’émission de cartes avec des puces de sécurité et le recouvrement intégral de tous les fonds volés par les fraudeurs. La banque elle-même n’a pour l’instant publié qu’une longue déclaration indiquant que les fraudeurs ont réussi à voler des milliards de dollars appartenant aux Californiens et qu’elle travaille en étroite collaboration avec le gouvernement de l’État pour résoudre le problème. (CN)

Google Authenticator prend en charge la sauvegarde

L’application d’authentification à deux facteurs Google Authenticator synchronise désormais les codes à usage unique 2FA qu’elle génère avec les comptes d’utilisateurs Google.

Auparavant, les codes à usage unique Authenticator étaient stockés localement sur un seul appareil, et leur perte pouvait empêcher de se connecter à n’importe quel service configuré avec Authenticator.

Pour bénéficier de la nouvelle fonctionnalité de synchronisation, vous devez mettre à jour votre application. Lorsque vous vous connectez à votre compte Google sur Google Authenticator, les codes sont automatiquement enregistrés et restaurés sur tout nouvel appareil. Ils peuvent également être transférés manuellement vers un autre appareil. Comment vous allez vous en rendre compte ? D’abord le logo d’authenticator a changé.

Ensuite, un petit nuage rouge et une virgule apparaissent dans l’application, à côté de votre compte Google.

Le géant américain affirme que cette mesure ne compromet pas la sécurité. « Nous avons lancé Google Authenticator en 2010 comme moyen gratuit et facile pour les sites d’ajouter des 2FA (Double authentification, ce qui améliore la sécurité de l’utilisateur lors de la connexion. Dans cette mise à jour, nous apportons une solution à ce problème, en rendant les codes à usage unique plus sûrs en les stockant en toute sécurité dans les comptes des utilisateurs de Google« .

L’application Authenticator était à l’origine un projet open-source, mais le code a été fermé par la suite, et les forks open-source officielles des applications Android, iOS et BlackBerry n’ont pas été mises à jour depuis des années. Il existe des alternatives à Authenticator, comme Authy et Duo.

En 2022, Google a annoncé l’introduction d’un support de connexion sans mot de passe avec Passkeys pour Android et Chrome. Les développeurs Android pourront mettre en œuvre la prise en charge de l’accès sans mot de passe à l’aide de l’API WebAuthn et la tester dans le navigateur Chrome Canary ou dans le programme bêta Google Play Sequence.

Loi anti-blanchiment via les crypto-monnaies

Un projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies est retardé en raison d’un manque de soutien.

Le projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies, qui avait été initié par les sénateurs Elizabeth Warren et Roger Marshall, subit un retard en raison d’un manque de soutien. Cette loi, présentée pour la première fois en décembre, vise à imposer la procédure KYC à l’industrie de la cryptographie, ce qui affecterait les fournisseurs de portefeuilles hors ligne, les mineurs, les validateurs et les autres participants indépendants au réseau.

Bien qu’une version révisée du projet de loi ait été promise en février, elle n’a pas encore été rendue publique, et la date de présentation de la mise à jour n’a pas été annoncée. Les législateurs auront ainsi plus de temps pour évaluer l’impact potentiel de cette loi sur l’industrie. Alors que certains passionnés de crypto-monnaie critiquent la proposition de Warren, la qualifiant de dure et entravant le développement de l’industrie, ses partisans affirment qu’elle fournira des règles claires pour protéger les consommateurs et empêcher les activités illégales utilisant des crypto-monnaies.

Armée anti-crypto-monnaie !

En mars, Elizabeth Warren avait appelé à la création d’une « coalition anti-crypto-monnaie » pour protéger la sécurité des investisseurs, mais cette initiative a été critiquée pour restreindre la liberté économique.

Pendant ce temps, un chercheur aurait trouvé des portefeuilles de bitcoins appartenant aux services de sécurité russes. Ce passionné de bitcoins non identifié a étudié la blockchain bitcoin et a découvert des centaines de portefeuilles qui, selon lui, appartiennent aux services secrets russes.

Le chercheur a utilisé la fonction de documentation des transactions de la blockchain bitcoin pour identifier 986 portefeuilles contrôlés par la Direction du renseignement militaire extérieur (GRU), le Service de renseignement extérieur (SVR) et le Service fédéral de sécurité (FSB). Dans des rapports rédigés en russe, il indique que ces portefeuilles sont impliqués dans des cyberattaques !

Ce que l’on sait, c’est que le dénonciateur a pris le contrôle d’au moins quelques portefeuilles BTC qui, selon lui, appartiennent aux services secrets russes, peut-être par le biais d’un piratage ou (si l’on en croit le dénonciateur) par l’intermédiaire de sources internes. À l’appui de l’enquête du mystérieux internaute, les analystes de Chainalysis signalent qu’au moins trois des portefeuilles cités ont déjà été liés à la Russie.

Deux d’entre eux auraient été impliqués dans l’attaque Solarwinds, tandis que le troisième a payé pour des serveurs utilisés dans une campagne de désinformation pour les élections de la Douma d’État russe de 2016.

A noter aucune information sur ce « sujet » sur le portail de Chainalysis. Le communiqué de presse relatant cette histoire aurait été envoyé à Coindesk !

Un système pour craquer les mots de passe à base de RTX 4090

Mettez vingt-quatre cartes graphiques RTX 4090 en parallèle et regardez le matériel cracker les mots de passe plus vite que la lumière !

L’ancien pirate informatique, Kevin Mitnick (Alias le Condor) est aujourd’hui un spécialiste de la sécurité informatique. Il travaille pour la société KnowBe4. Dernièrement, sur Twitter, Mitnick a affiché à quoi ressemble sa nouvelle plate-forme de craquage de mots de passe.

L’ancien hacker, qui a passé environ cinq ans en prison dans les années 90, est depuis longtemps un spécialiste de la sécurité de l’information, un consultant et un conférencier recherché.

Le directeur exécutif de Mitnick Security Consulting explique que cette machine se compose de quatre serveurs, le tout pris en charge par vingt-quatre cartes graphiques RTX 4090 basées sur Ada Lovelace et six autres RTX 2080 basées sur Turing. L’histoire ne dit pas combien de temps et d’énergie vont devoir être exploités pour craquer des mots de passe, hashés par exemple, en sha256.

A noter qu’utiliser des RTX 4090 dans un centre de données serait une violation du contrat de licence du pilote de NVidia. Nvidia a interdit, en 2018, l’utilisation de ses cartes graphiques GeForce et Titan dans les centres de données, obligeant les organisations à débourser pour des équipements plus chers, comme ses puces Tesla V100.

Contrôler ChatGPT avant qu’il ne vous contrôle !

OpenAI, créateur de chatGPT, a annoncé qu’il sera désormais possible de ne pas conserver les entretiens et de ne pas les utiliser comme données de formation. On vous montre ce que sait l’IA sur vous et comment détruire vos informations personnelles.

Cependant, même si cela ne sera pas tout à fait anonyme, la CTO Mira Murati a déclaré à l’agence Reuters que l’entreprise donnera une plus grande priorité au respect de la vie privée. La rapide percée de l’outil ChatGPT a suscité des inquiétudes en Italie concernant le traitement des données par l’entreprise américaine. En réponse, OpenAI a déclaré qu’elle travaille en collaboration avec les régulateurs européens.

À partir de cette semaine, il sera possible de désactiver les paramètres « historique des discussions et formation » de ChatGPT. Cela signifie que l’outil ne conservera pas les déclarations antérieures et ne les utilisera pas à des fins de formation. Toutefois, les conversations ne seront pas tout à fait anonymes car elles seront conservées pendant 30 jours pour des contrôles d’abus avant d’être totalement supprimées.

Contrôler et effacer ses datas ChatGPT

Les Data Controls sont des paramètres de ChatGPT qui permettent aux utilisateurs de désactiver l’historique des conversations et de choisir si leurs conversations seront utilisées pour l’entraînement des modèles. Les utilisateurs peuvent également exporter leurs données ChatGPT et supprimer leur compte de manière permanente. Pour désactiver l’historique des conversations et l’entraînement des modèles, les utilisateurs doivent accéder à ChatGPT > Data Controls comme DataSecurityBreach.fr vous le montre ci-dessous. Les conversations récentes ne seront pas utilisées pour améliorer les modèles et n’apparaîtront pas dans l’historique des conversations, mais seront conservées pendant 30 jours pour des contrôles d’abus avant d’être supprimées.

Il est important de noter que cela n’empêchera pas les add-ons non autorisés ou les logiciels malveillants sur votre ordinateur de stocker votre historique. Les utilisateurs peuvent également exporter leurs conversations en accédant à Paramètres > Data Controls > Exporter données et peuvent supprimer leur compte en accédant à Paramètres > Data Controls > Supprimer compte. Si l’utilisateur choisit de supprimer son compte, comme Datasecuritybreach.fr vous le montre ci-dessous, cela est irréversible et toutes les données associées à ce compte seront également supprimées.

OpenAI utilise les données personnelles des utilisateurs pour améliorer ses modèles de langage naturel en les entraînant sur un corpus de texte large, qui comprend du contenu disponible publiquement, sous licence et généré par des examinateurs humains. OpenAI n’utilise pas les données à des fins publicitaires ou pour créer des profils de personnes, mais uniquement pour améliorer ses modèles.

Si l’historique est désactivé, les nouvelles conversations seront supprimées dans les 30 jours et ne seront pas utilisées pour l’entraînement des modèles, mais les conversations existantes seront toujours sauvegardées et pourront être utilisées pour l’entraînement des modèles si l’utilisateur ne choisit pas de les exclure. Si l’historique est désactivé, les conversations ne seront pas récupérables une fois qu’elles sont fermées.

Il n’y a pas de limite au nombre de conversations que les utilisateurs peuvent avoir avec l’historique et l’entraînement désactivés, et cela s’applique aux abonnements gratuits et Plus. OpenAI honorera également les demandes précédentes d’exclusion de l’entraînement des modèles.

OpenAI travaille sur une nouvelle offre appelée ChatGPT Business, qui permettra aux professionnels de désactiver l’entraînement des modèles par défaut. En attendant, les utilisateurs peuvent remplir un formulaire pour demander l’exclusion de leurs données de l’entraînement des modèles. OpenAI prévoit de lancer ChatGPT Business dans les mois à venir pour les entreprises qui souhaitent gérer leurs utilisateurs finaux.

Dernier point que DataSecurityBreach.fr souhaite mettre en avant. Prudence aux courriels qui pourraient usurper ChatGPT. Le courrier électronique ressemble à la capture écran ci-dessous, provient de l’adresse tm.openai.com et OpenAI n’envoie aucune archive sans votre demande explicite. Cela vous éviter de fournir vos identifiants de connexions dans un phishing bien ficelé et ciblé !

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

OTP : sécuriser ses données par un tour de clé

Dans un monde de plus en plus connecté, la sécurité des données est devenue une priorité pour toutes les entreprises. Les cyberattaques sont de plus en plus sophistiquées et fréquentes, ce qui peut compromettre les informations personnelles et sensibles de l’entreprise. C’est pourquoi la solution One Time Password (OTP) est devenue une véritable nécessité pour les sociétés.

Tout d’abord, qu’est-ce que l’OTP et le MFA ? L’OTP est une solution d’authentification forte qui permet de générer un code unique pour chaque connexion. Le code est envoyé à l’utilisateur via SMS ou une application mobile et doit être utilisé en plus du mot de passe pour accéder à un portail ou une application. Le MFA (Authentification Multi Facteurs) est une méthode d’authentification qui combine deux ou plusieurs couches de sécurité pour renforcer l’authentification.

L’OTP est devenue une solution nécessaire pour les entreprises en 2023 pour plusieurs raisons. Tout d’abord, l’utilisation d’un mot de passe unique pour chaque utilisateur n’est pas suffisante pour garantir la sécurité des données. Les mots de passe peuvent être facilement piratés ou volés, ce qui peut entraîner des conséquences désastreuses pour l’entreprise. En utilisant l’OTP, les entreprises peuvent ajouter une couche de sécurité supplémentaire pour empêcher les cybercriminels d’accéder aux données sensibles de l’entreprise.

De plus, l’OTP est facile à mettre en place et à utiliser pour les utilisateurs. Les codes sont générés en temps réel et sont envoyés directement au téléphone de l’utilisateur via SMS ou une application mobile. Cela signifie qu’il n’est pas nécessaire de mémoriser plusieurs mots de passe ou d’installer des logiciels supplémentaires pour utiliser l’OTP.

Enfin, l’OTP est une solution rentable pour les entreprises. Contrairement à d’autres solutions d’authentification forte, comme les clés de sécurité, l’OTP ne nécessite pas d’investissement en matériel ou en infrastructure. Cela rend l’OTP accessible aux entreprises de toutes tailles, quelle que soit leur capacité financière.

OTP utilisé dans différents scénarios d’authentification forte

Par exemple, les entreprises peuvent l’utiliser pour accéder à des portails d’entreprise, des applications sensibles ou des réseaux privés. Les utilisateurs peuvent également utiliser l’OTP pour effectuer des transactions financières en ligne, ce qui peut aider à réduire le risque de fraude.

Cependant, comme pour toute solution de sécurité, il est important de prendre des précautions supplémentaires pour garantir la sécurité des données. Les entreprises doivent s’assurer que l’OTP est correctement configuré et que les codes sont envoyés de manière sécurisée aux utilisateurs. Les entreprises doivent également former les utilisateurs à l’utilisation de l’OTP et à la manière de protéger leur téléphone contre les attaques malveillantes.

Il convient également de noter que l’OTP n’est qu’une des nombreuses solutions de sécurité disponibles pour les entreprises. D’autres solutions d’authentification forte, telles que les clés de sécurité, les certificats numériques et la biométrie, peuvent également être utilisées pour renforcer la sécurité des données. Il est important pour les entreprises de choisir la solution de sécurité qui convient le mieux à leurs besoins.

La sécurité des données : une préoccupation croissante

Dans l’ensemble, la sécurité des données est une préoccupation croissante pour toutes les entreprises en 2023. Les cyberattaques sont de plus en plus sophistiquées et fréquentes, ce qui peut mettre en danger les informations sensibles de l’entreprise. En utilisant une solution d’authentification forte telle que l’OTP, les entreprises peuvent ajouter une couche de sécurité supplémentaire pour protéger leurs données et empêcher les cybercriminels d’accéder aux informations sensibles.

En conclusion, la solution One Time Password (OTP) est devenue une nécessité pour les entreprises en 2023 pour garantir la sécurité des données et protéger les informations sensibles de l’entreprise contre les cyberattaques. L’OTP est une solution facile à mettre en place et à utiliser pour les utilisateurs, tout en étant rentable pour les entreprises. Cependant, il est important de prendre des précautions supplémentaires pour garantir la sécurité des données, notamment en formant les utilisateurs à l’utilisation de l’OTP et en configurant correctement la solution.

La MFA, brique cyber indispensable

Les attaques informatiques sont de plus en plus sophistiquées et les mots de passe ne suffisent plus à protéger les comptes en ligne. La MFA est une méthode de sécurité qui nécessite deux ou plusieurs formes d’identification avant d’autoriser l’accès à un compte, comme un mot de passe et un code envoyé par SMS. La MFA est également connue sous d’autres noms tels que : Authentification à deux facteurs (2FA) ; Authentification à plusieurs facteurs (MFA) ; Authentification forte (Strong Authentication) ; Authentification multi-étapes (Multi-Step Authentication) ; Authentification multi-niveaux (Multi-Level Authentication) ; Authentification renforcée (Enhanced Authentication) ; Authentification de sécurité (Security Authentication) ou encore Authentification de confiance (Trust Authentication).

Autant de termes qui indiquent la même idée. Voici, d’ailleurs, quelques exemples concrets pour une entreprise :

Accès aux données sensibles : Pour les entreprises qui stockent des données sensibles telles que des informations financières ou des données personnelles, la MFA est essentielle pour protéger ces informations contre les cyberattaques. La MFA peut empêcher les pirates informatiques d’accéder aux données même s’ils ont réussi à trouver le mot de passe.

Connexions à distance : Avec le travail à distance qui devient de plus en plus courant, les employés accèdent souvent aux réseaux d’entreprise depuis des endroits différents. La MFA peut aider à protéger ces connexions contre les attaques par force brute et les tentatives de phishing, qui sont de plus en plus fréquentes.

Services Cloud : Les entreprises qui utilisent des services cloud pour stocker et partager des fichiers doivent être particulièrement vigilantes en matière de sécurité. La MFA peut aider à protéger ces services contre les accès non autorisés, en garantissant que seules les personnes autorisées peuvent accéder aux fichiers stockés dans le cloud.

Les équipes de sécurité mettent en moyenne 145 heures jours pour résoudre une alerte cybersécurité

Selon le nouveau Cloud Threat Report, les équipes de sécurité mettent en moyenne 145 heures, soit environ six jours, pour résoudre une alerte de cybersécurité.

Les chercheurs du groupe Unit 42 ont analysé plus de 210 000 comptes cloud de 1 300 organisations dans le monde pour parvenir à cette conclusion. À mesure que les organisations adoptent le cloud, elles sont confrontées à des risques de sécurité croissants, car toute configuration erronée peut être exploitée par des cybercriminels. Dans son rapport, Palo Alto Networks met en garde contre les dangers de l’authentification insuffisante, des correctifs inadéquats et des logiciels open source malveillants.

Les chercheurs ont également constaté que 76 % des organisations n’utilisent pas d’authentification multi-facteur pour les utilisateurs ayant des droits de contrôle et que 58 % n’ont pas d’authentification multi-facteur pour les gestionnaires d’accès administrateur. Unit 42 a également observé que 63 % du code de base en production présentent des failles critiques non corrigées, tandis que seulement 5 % des règles de sécurité sont responsables de 80 % des alertes dans la plupart des environnements cloud.

Palo Alto Networks conseille donc aux organisations de planifier des sauvegardes et de les stocker dans des emplacements isolés, ainsi que d’élaborer des plans stratégiques en cas d’incident. Les chercheurs prévoient également un glissement de la sécurité des terminaux vers des plates-formes protégeant directement les applications dans le cloud, connues sous le nom de Cloud-Native Application Protection Platforms (CNAPP). Selon le cabinet-conseil Gartner, la demande de solutions CNAPP a augmenté de 70 % en 2021-2022.

CNAPP, Kesako ?

Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité des applications dans le cloud. Les CNAPP sont conçues pour protéger les applications qui fonctionnent nativement dans des environnements de cloud computing, tels que les conteneurs et les microservices. Les plates-formes CNAPP sont également adaptées aux environnements de développement DevOps, où les applications sont fréquemment mises à jour et déployées rapidement. Les CNAPP fournissent des fonctionnalités telles que la gestion des identités et des accès, la détection et la réponse aux menaces, la conformité et la gouvernance, ainsi que la surveillance et la gestion des risques. L’utilisation de CNAPP est de plus en plus courante car elle permet de mieux sécuriser les applications dans le cloud, qui est devenu une cible de choix pour les cyberattaques en raison de l’augmentation de la migration des applications des entreprises vers le cloud.