Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

backdoor, Cybersécurité, Fuite de données

Fuite de données : le gouvernement Suisse s’inquiète !

Le gouvernement suisse a récemment averti la population que des données opérationnelles gouvernementales pourraient avoir été compromises lors d’une attaque visant une société informatique. Cette attaque, revendiquée par le groupe de rançongiciels Play, a visé Xplain, une société suisse fournissant des services à plusieurs agences fédérales du pays.

Selon le gouvernement suisse, les données opérationnelles de l’administration fédérale pourraient également avoir été affectées par cette attaque de rançongiciels. Des données volées ont été publiées sur le darknet, suscitant des inquiétudes quant à la sécurité des informations sensibles. Les agences gouvernementales concernées sont actuellement en train de déterminer l’ampleur de l’impact et les unités spécifiques touchées. Bien que des détails plus précis sur les types de données volées et leur contenu n’aient pas été divulgués, il est crucial de comprendre si des informations personnelles de citoyens ou d’employés gouvernementaux ont été compromises.

Suite à cette attaque de rançongiciels, Xplain a immédiatement informé le Centre national de cybersécurité (NCSC) et a signalé l’infraction pénale à la police cantonale de Berne. Le NCSC travaille en étroite collaboration avec Xplain et les procureurs pour résoudre cette affaire et assurer la sécurité des données gouvernementales. Jusqu’à présent, aucune preuve n’indique que les pirates ont tenté d’accéder aux systèmes fédéraux pendant leur attaque contre Xplain.

Concentration des risques et leçons à tirer

Les autorités suisses ont critiqué la décision d’autoriser plusieurs agences gouvernementales à utiliser le même fournisseur informatique, soulignant qu’une certaine concentration des risques est compensée par une meilleure rentabilité. Cependant, ils soulignent également que le nombre limité d’entreprises capables de fournir les services requis rend difficile l’adoption d’une approche plus diversifiée. Il est crucial de noter que l’utilisation de plusieurs fournisseurs entraîne des interfaces et des échanges de données supplémentaires, augmentant potentiellement le risque d’incidents de sécurité. Cette situation souligne l’importance de mettre en place des mesures de sécurité robustes et de revoir les politiques de gestion des fournisseurs pour réduire les vulnérabilités potentielles.

L’attaque de rançongiciels en Suisse non liée à une récente attaque DDoS contre le parlement

En plus de l’attaque de rançongiciels qui a compromis des données gouvernementales en Suisse, le gouvernement a également tenu à clarifier que cette attaque n’était pas liée à une récente attaque par déni de service distribué (DDoS) contre le parlement du pays. Les autorités suisses ont attribué cette attaque DDoS au groupe de piratage NoName, qui a émergé après l’invasion de l’Ukraine par la Russie et a ciblé les gouvernements de plusieurs pays européens avec des centaines d’attaques DDoS.

Confirmation de l’attaque DDoS contre les sites web gouvernementaux

Dans une déclaration distincte, le gouvernement suisse a confirmé que plusieurs sites web de l’administration fédérale ont été mis hors ligne en raison de l’attaque DDoS. Cependant, les spécialistes de l’administration fédérale ont rapidement détecté cette attaque et sont en train de prendre des mesures pour rétablir l’accessibilité des sites web et des applications affectés dans les plus brefs délais. Il est crucial de garantir la disponibilité et la sécurité des systèmes gouvernementaux pour maintenir les services essentiels et préserver la confiance des citoyens.

Cybersécurité, Mise à jour, Patch

Les dernières mises à jour de sécurité de Microsoft : protégez-vous contre les vulnérabilités

Microsoft a récemment publié ses mises à jour mensuelles. Le lot de correctifs de juin 2023 résout un total de 78 failles, dont 38 pouvant potentiellement entraîner l’exécution de code à distance. Parmi ces failles, Microsoft en a identifié six comme étant critiques, pouvant causer des attaques de déni de service (DoS), des élévations de privilèges, et l’exécution arbitraire de code à distance.

La répartition des vulnérabilités corrigées se présente comme suit : 17 failles d’élévation de privilèges, 3 contournements de systèmes de protection, 32 vulnérabilités d’exécution de code à distance (RCE), 5 problèmes de divulgation d’informations, 10 attaques de déni de service (DoS), 10 tentatives de spoofing, et une faille spécifique à la version Chromium d’Edge.

Heureusement, cette fois-ci, aucune vulnérabilité zero-day n’a été signalée, ce qui permet aux administrateurs système de déployer les correctifs à leur propre rythme. Cependant, il est essentiel de souligner deux vulnérabilités particulièrement dangereuses qui nécessitent une attention immédiate :

CVE-2023-29357 : Cette faille concerne une élévation de privilèges dans Microsoft SharePoint Server. Selon Microsoft, cette vulnérabilité est exploitée dans des attaques, mais aucune information détaillée sur son exploitation n’a été divulguée.

CVE-2023-32031 : Cette vulnérabilité permet l’exécution de code à distance dans Microsoft Exchange Server. Un attaquant non authentifié peut exploiter cette faille pour exécuter un code malveillant dans le contexte du compte du serveur.

Les mises à jour de sécurité de Microsoft jouent un rôle crucial dans la protection des utilisateurs contre les vulnérabilités et les attaques potentielles. En installant rapidement ces correctifs, vous pouvez renforcer la sécurité de votre système et réduire les risques liés à l’exécution de code à distance, aux élévations de privilèges et aux autres formes d’attaques. Assurez-vous de rester à jour avec les dernières mises à jour de sécurité et de suivre les recommandations de Microsoft pour maintenir un environnement informatique sûr.

Cybersécurité, Securite informatique

Nouvelle technique d’attaque utilisant OpenAI ChatGPT pour distribuer des packages malveillants

Les chercheurs ont récemment découvert une nouvelle technique d’attaque qui exploite les capacités du modèle de langage OpenAI ChatGPT. Cette technique permet aux attaquants de distribuer des packages malveillants dans les environnements de développement. Dans un avis conjoint publié aujourd’hui, les chercheurs ont alerté sur cette nouvelle menace et ont souligné l’importance de prendre des mesures pour atténuer les risques.

Selon les auteurs du rapport technique, ChatGPT a été observé en train de générer des URL, des liens et même des bibliothèques et des fonctions de code qui n’existent pas réellement. Ce phénomène, connu sous le nom d’hallucinations des grands modèles de langage, a été documenté auparavant et pourrait résulter de données d’apprentissage obsolètes. Ces hallucinations ou recommandations erronées peuvent être exploitées par les attaquants pour tromper les utilisateurs.

L’hallucination du package AI

La nouvelle technique de distribution de packages malveillants, baptisée « l’hallucination du package AI« , repose sur l’interaction entre les attaquants et ChatGPT. Les attaquants posent une question à ChatGPT en demandant un package pour résoudre un problème d’encodage, et en réponse, ils obtiennent plusieurs recommandations de package, y compris certains qui ne sont pas publiés dans des référentiels légitimes. Les attaquants remplacent ensuite ces packages inexistants par leurs propres packages malveillants, incitant ainsi les utilisateurs futurs à faire confiance aux recommandations de ChatGPT.

Atténuation des risques et meilleures pratiques

La détection des packages malveillants issus de l’IA peut être difficile car les attaquants utilisent des techniques d’obscurcissement et créent des packages de chevaux de Troie fonctionnels. Cependant, il existe des mesures que les développeurs peuvent prendre pour atténuer les risques. Tout d’abord, il est essentiel d’examiner attentivement les bibliothèques proposées par ChatGPT, en tenant compte de facteurs tels que la date de création, le nombre de téléchargements, les commentaires et les notes jointes. Une certaine prudence et un certain scepticisme à l’égard des packages suspects sont également importants pour assurer la sécurité des logiciels.

Les opportunités de l’IA générative et les risques associés

L’intelligence artificielle (IA), en particulier l’IA générative, représente une avancée majeure dans le domaine de la science et de la technologie. Elle offre des opportunités passionnantes dans de nombreux domaines, tels que la création de contenu, le design, la musique, la recherche médicale et bien d’autres. Cependant, cette avancée technologique soulève également des inquiétudes quant à son utilisation potentielle à des fins malveillantes.

L’IA générative est capable de créer du contenu de manière autonome, imitant et produisant des résultats indiscernables de ceux créés par des humains. Cela ouvre de nouvelles perspectives créatives et permet des avancées significatives dans de nombreux domaines. Cependant, cette même capacité peut être exploitée par des individus mal intentionnés pour des activités telles que la manipulation de l’opinion publique, la production de contrefaçons, la falsification de documents, voire la création de faux médias.

Il est donc impératif de sécuriser l’IA contre le vol, la falsification, la manipulation et autres attaques. Les chercheurs et les entreprises du secteur ont pris conscience de ces enjeux et travaillent activement pour développer des solutions de sécurité pour l’IA générative.

Le Secure AI Framework (SAIF) de Google pour la protection de l’IA

Le 8 juin 2023, Google a présenté le Secure AI Framework (SAIF), un cadre conceptuel conçu pour protéger les technologies d’IA contre les attaques malveillantes. SAIF s’appuie sur l’expérience de Google dans le développement de modèles de cybersécurité éprouvés, tels que le cadre collaboratif de niveaux de chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et BeyondCorp, une architecture de confiance zéro.

SAIF repose sur six principes fondamentaux pour sécuriser l’IA générative

Étendre des bases de sécurité solides à l’écosystème de l’IA : Cela inclut l’utilisation de protections d’infrastructure par défaut, telles que les techniques de prévention des injections SQL, pour renforcer la sécurité des systèmes d’IA générative.

Développer la détection et la réponse : Il est essentiel de surveiller attentivement les entrées et les sorties des systèmes d’IA générative afin de détecter les anomalies potentielles. En utilisant les renseignements sur les menaces, il est possible de prévoir et de contrer les attaques.

Automatiser la protection : Face aux menaces existantes et émergentes, l’automatisation joue un rôle crucial pour garantir la sécurité de l’IA générative. En automatisant les processus de protection, il est possible de réagir rapidement aux attaques.

Harmoniser les contrôles au niveau de la plateforme : Pour assurer une sécurité cohérente dans toute l’organisation, il est nécessaire de mettre en place des contrôles de sécurité standardisés au niveau de la plateforme.

Adapter les contrôles : Il est important d’ajuster les mesures d’atténuation pour sécuriser l’IA générative. Cela comprend l’utilisation de techniques telles que l’apprentissage par renforcement basé sur les incidents et les commentaires des utilisateurs, la mise à jour des ensembles de données de formation, le réglage des modèles pour une réponse stratégique aux attaques et l’utilisation de commandes de drapeaux rouges.

Contextualiser les risques des systèmes d’IA : Il est essentiel de comprendre les risques associés aux systèmes d’IA générative dans le contexte des processus métier environnants. Cela nécessite des évaluations complètes des risques pour déterminer comment les organisations utiliseront l’IA de manière sécurisée. Google s’est engagé à publier plusieurs outils open source pour aider à mettre en œuvre les éléments du SAIF et renforcer la sécurité de l’IA générative. De plus, la société étendra ses programmes de recherche de bogues pour encourager la communauté à contribuer à la sécurité et à la fiabilité de l’IA.

article partenaire, Cybersécurité

La cybersécurité des e-mails entrants : un enjeu crucial pour protéger les entreprises

Dans notre ère numérique, les e-mails sont devenus un moyen de communication essentiel pour les entreprises. Cependant, ils constituent également l’une des principales portes d’entrée pour les cybercriminels. En effet, selon les experts en sécurité informatique, près de 9 attaques d’entreprises sur 10 commencent par un e-mail malveillant. Il est donc impératif de comprendre les dangers liés aux e-mails entrants et de mettre en place des mesures de protection efficaces pour préserver la sécurité des entreprises.

Les e-mails entrants représentent une menace sérieuse pour la sécurité des entreprises. Les cybercriminels utilisent diverses techniques pour tromper les destinataires et les inciter à ouvrir des pièces jointes infectées ou à cliquer sur des liens malveillants. Les conséquences de ces attaques peuvent être dévastatrices : vol de données sensibles, interruption des activités commerciales, atteinte à la réputation et pertes financières importantes. Un « Cyberscore » pour courriel pourrait être une idée, comme celle proposée par LetzRelay d’AlSego. Cette dernière annonce proposer un Cyberscore & Sécurité des e-mails Internet.

Parmi les exemples concrets d’attaques basées sur des e-mails, on peut citer le célèbre cas du rançongiciel « WannaCry » en 2017. Cette attaque mondiale a touché des milliers d’organisations, dont des hôpitaux et des entreprises, en exploitant une vulnérabilité présente dans les e-mails et en demandant des rançons pour le déchiffrement des fichiers.

Méthodes de protection

Pour se protéger contre les attaques basées sur les e-mails, les entreprises doivent mettre en place des mesures de sécurité robustes.

Sensibilisation des employés : L’éducation et la sensibilisation des employés sont essentielles pour les aider à identifier les e-mails suspects et à éviter les pièges. Des programmes de formation réguliers sur les bonnes pratiques de sécurité informatique doivent être mis en place.

Filtres anti-spam et anti-phishing : L’utilisation de filtres avancés peut aider à détecter les e-mails indésirables et à bloquer les messages malveillants avant qu’ils n’atteignent la boîte de réception des employés.

Authentification des e-mails : La mise en place de protocoles d’authentification tels que SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Domain-based Message Authentication, Reporting, and Conformance) peut aider à vérifier l’origine des e-mails et à réduire les risques d’usurpation d’identité.

Solutions de sécurité avancées : Les entreprises doivent investir dans des solutions de sécurité avancées telles que les passerelles sécurisées de messagerie et les systèmes de détection des intrusions pour détecter et bloquer les menaces en temps réel. Les Cyberscores seront des indicateurs instantanés précis offrant une information immédiate sur les courriels reçus.

La cybersécurité des e-mails entrants est un enjeu critique pour les entreprises. Les attaques basées sur les e-mails représentent une menace majeure, pouvant entraîner des conséquences graves pour la sécurité et la stabilité des organisations. En sensibilisant les employés, en utilisant des filtres anti-spam et anti-phishing, en mettant en place des protocoles d’authentification et en adoptant des solutions de sécurité avancées, les entreprises peuvent renforcer leur cybersécurité et réduire les risques liés aux e-mails entrants.

Il est également important de rester informé des dernières tendances en matière de cyberattaques et de se tenir au courant des meilleures pratiques de sécurité. Les entreprises peuvent s’appuyer sur des ressources spécialisées et des partenaires de confiance pour les aider à mettre en place des mesures de protection adéquates.

Enfin, il convient de souligner que la responsabilité de la sécurité des e-mails entrants incombe à tous les acteurs, des employés aux gestionnaires informatiques en passant par les dirigeants d’entreprise. En travaillant ensemble et en adoptant une approche proactive, il est possible de réduire considérablement les risques et de préserver la sécurité des entreprises.

Références :
« WannaCry ransomware attack » – US-CERT
« How to Protect Your Business From Phishing Attacks » – Security Intelligence
« Implementing DMARC to Prevent Email Spoofing » – National Cybersecurity and Communications Integration Center (NCCIC)

Argent, Banque, Cybersécurité

Le logiciel pirate Vidar utilisait contre les vendeurs en ligne

Des hackers malveillants exploitent le logiciel pirate stealer Vidar pour piéger les administrateurs de boutiques en ligne en se faisant passer pour des clients mécontents !

Depuis quelques jours a été détecté une nouvelle campagne malveillante au cours de laquelle des cybercriminels envoient des plaintes aux administrateurs de boutiques en ligne. Des courriels et via les formulaires de contact du site web. Les courriers électroniques sont prétendument rédigés par des clients de ces boutiques en ligne. Ils reprochent que les boutiques ont débité de leur compte bancaire de l’argent alors que la commande, qui n’a jamais été passé, a échoué. Les pirates espèrent ainsi piéger les services après-ventes des boutiques et infiltrer leur informatique afin de voler des informations sensibles.

Les vendeurs en ligne sont une cible attrayante pour les pirates, car l’accès à leurs données d’identification leur donne la possibilité de s’introduire dans la partie serveur des sites de commerce électronique, ouvrant ainsi la voie à une gamme d’attaques considérablement élargie. Par exemple, une fois que les cybercriminels ont accès à la partie serveur de la boutique en ligne, ils peuvent injecter des scripts JavaScript malveillants pour voler les données des cartes bancaires et les informations personnelles des acheteurs au moment de la validation de la commande (appelées attaques MageCart). Ils peuvent aussi modifier prix et produits.

Voici un exemple d’un des e-mails malveillants propagés dans le cadre de cette campagne malveillante : « Je vous écris pour exprimer ma profonde préoccupation et ma déception concernant une récente transaction que j’ai effectuée sur votre site web. Le 14 mai 2023, j’ai passé une commande d’une valeur de plus de 550 euros dans votre magasin. Cependant, un problème important nécessitant votre attention immédiate est survenu. Juste après avoir effectué mon achat, j’ai remarqué un message d’erreur sur votre page web indiquant que le paiement n’a pas pu être effectué et que les fonds n’ont pas été débités de ma carte bancaire. À ma grande surprise, après avoir vérifié mon compte bancaire, j’ai découvert que le paiement avait bel et bien été effectué et que le même montant avait été débité. Je vous exhorte vivement à résoudre ce problème dans les plus brefs délais et à le corriger rapidement. Il est important que vous analysiez la cause de cet écart et que vous preniez des mesures immédiates pour rembourser le montant déduit. À titre de preuve d’achat, je joins ci-dessous une copie de mon relevé bancaire où le débit est clairement visible. Cela devrait constituer une preuve irréfutable du paiement et souligner l’urgence d’un remboursement complet. J’apprécierais sincèrement vos actions immédiates. Voici le lien hypertexte vers ma déclaration : bit[.]ly/xxxx« 

Comme tout bon phishing, le texte de cet hameçonnage est rédigé de manière à créer un sentiment d’urgence, exigeant du vendeur un remboursement immédiat et une enquête sur la cause première du problème. Il s’agit d’une technique classique d’ingénierie sociale.

Autre détail, personne ne doit accepter le lien bit[.]ly dans le cadre professionnel. Je vous montrer d’ailleurs, dans une vidéo, comment connaître l’url caché derriere ce raccourcisseur d’adresse web.

Cybersécurité, Entreprise

Environ 35 % des vulnérabilités ICS identifiées ne sont toujours pas corrigées

Les fournisseurs de systèmes de contrôle industriels (ICS) n’ont pas encore corrigé environ 35 % des vulnérabilités découvertes au second semestre 2022.

Le rapport de vulnérabilité ICS SynSaber a analysé 926 problèmes informatiques avec des identifiants CVE qui ont été signalés par les conseillers ICS de la Cybersecurity and Infrastructure Protection Agency (CISA) des États-Unis au cours du second semestre 2022.

On découvre que les entreprises ICS sont non seulement aux prises avec une augmentation des CVE publiés (36 % de plus qu’au premier semestre 2022), mais aussi avec les fournisseurs de produits qui sont souvent lents à fournir toutes les mises à jour nécessaires.

Dans le même temps, Il est souligné que dans certains cas, les retards sont dus au fait que les fournisseurs d’équipement d’origine (OEM) ont des processus de test, d’approbation et de correction stricts.

Dans le même temps, même si des correctifs sont disponibles, les propriétaires de ressources ICS peuvent rencontrer des difficultés pour mettre à jour les systèmes en temps opportun. « Les opérateurs doivent tenir compte de l’interopérabilité et des limites de garantie pour les changements à l’échelle de l’environnement en plus d’attendre le prochain cycle de maintenance », déclare l’étude.

Le rapport a également indiqué que, d’autre part, 22% des vulnérabilités CVE identifiées au second semestre 2022 devraient être prioritaires pour les correctifs, contre 41% au cours des six mois précédents. Cela est en partie dû à la probabilité d’exploitation : environ 11 % des CVE introduits au second semestre 2022 nécessitent une interaction locale et une interaction de l’utilisateur pour une exploitation réussie, et 25 % nécessitent une interaction de l’utilisateur quelle que soit la disponibilité du réseau.

Il convient de noter que Nozomi Networks a précédemment déclaré dans un rapport que les industries et l’énergie étaient les plus vulnérables aux attaques de cybercriminalité au second semestre 2022, suivies de l’eau et de l’assainissement, de la santé et des transports.

Banque, Cybersécurité

Big brother veut protéger les transactions bancaires en Russie

La plus grande banque de Russie, Sberbank, prévoit d’introduire massivement le paiement par biométrie dans tout le pays, selon une annonce récente. Les terminaux seront remplacés par de nouveaux dispositifs dotés de caméras spéciales, ouvrant ainsi la voie à aux paiements biométriques.

Les citoyens russes pourront effectuer des achats en utilisant simplement ces appareils équipés de caméras spéciales. En regardant la caméra, ils pourront effectuer des paiements biométriques sans avoir à sortir leur carte de crédit ou leur téléphone. Cette méthode s’annonce comme simplifiant considérablement les transactions quotidiennes des clients de Sberbank. Au total, 2 millions de terminaux répartis dans les régions de la Fédération de Russie seront modifiés.

Sergey Shubochkin, directeur général de la division acquisition de Sberbank, a souligné l’importance de cette initiative. En déployant activement ces nouveaux terminaux en 2023, Sberbank permettra aux citoyens russes de bénéficier de la biométrie pour effectuer une variété d’achats. Les clients auront la possibilité de choisir le paiement biométrique lorsqu’ils passeront à la caisse. Une fois sélectionné, le système de reconnaissance faciale se mettra en marche, permettant un traitement instantané des paiements.

Les nouveaux dispositifs, dotés de caméras pour la lecture des codes QR et les paiements basés sur les données biométriques, seront installés dans les chaînes de magasins. Plusieurs milliers de terminaux équipés de caméras pour les paiements biométriques seront lancés sur le marché d’ici l’automne 2023.

La biométrie permettra aussi de s’assurer de l’identité de l’utilisateur, de le suivre… au doigt et à l’oeil !

2,7 millions de cyber attaques bloquées !

Pendant ce temps, la Banque centrale de la Fédération de Russie annonce que les banques du pays auraient repoussé 2,7 millions de cyberattaques au premier trimestre 2023. Les spécialistes de la sécurité de l’information de la Banque centrale de la Fédération de Russie notent que les cybercriminels et les escrocs ont réussi à effectuer 252 100 opérations sans le consentement des clients, à la suite desquelles 4,5 milliards de roubles de citoyens russes ont été volés. Le chef de la cybersécurité de la Banque centrale de Russie, Vadim Uvarov, indique que les malveillant ont volé la plus grande partie de l’argent par le biais de transferts via les services bancaires en ligne.

+81 de cyber attaques au Royaume-Uni

Au Royaume-Uni, la société Bridewell a interrogé plus de 100 DSI d’institutions financières britanniques pour son nouveau rapport Cybersecurity in Critical National Infrastructure Organizations: Financial Services. Il a constaté que le nombre d’attaques contre le secteur financier britannique a augmenté de 81% depuis le début du conflit armé ukrainien, ce qui est la deuxième plus forte augmentation pour les secteurs des infrastructures critiques (CNI) et la preuve des cyber-risques croissants associés à la géopolitique.

De plus, 69 % des personnes interrogées ont indiqué avoir connu une augmentation des cybermenaces au cours de la dernière année civile, les services cloud (46 %), les travailleurs à distance (39 %) et les services VPN non sécurisés (37 %) étant les principaux vecteurs d’attaques.

Un tiers (33 %) des répondants ont cité les ransomwares comme un cyber-risque clé, ce qui n’est probablement pas surprenant étant donné qu’un cinquième des incidents signalés aux régulateurs britanniques en 2021 étaient liés à des ransomwares. L’enquête a également affiché que 94 % des entreprises du secteur financier britannique ont confiance en leurs systèmes de sécurité de l’information.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.

Cybersécurité, Piratage

Un botnet basé au Brésil cible les hispanophones

Un groupe de pirates présumés vivant au Brésil utilise un botnet jusqu’alors non identifié pour cibler les boîtes de réception des e-mails des hispanophones à travers les Amériques.

Ce botnet, baptisé « Horabot« , est utilisé dans le cadre d’une campagne qui a débuté en novembre 2020. Il infecte les machines victimes avec un cheval de Troie bancaire et un outil de spam. Les attaquants cherchent principalement à voler les informations d’identification et les données financières des victimes, ainsi qu’à envoyer des e-mails de phishing à tous les contacts validés présents dans la boîte aux lettres de la victime afin de propager l’infection. Un botnet est un groupe d’ordinateurs infectés par des logiciels malveillants, permettant à un pirate de les contrôler à distance.

Ce botnet est particulièrement remarquable car il permet aux pirates de prendre le contrôle de la boîte aux lettres Microsoft Outlook de la victime, d’exfiltrer les adresses e-mail de chaque contact et d’envoyer en masse des e-mails de phishing avec des pièces jointes HTML malveillantes, à partir des propres serveurs de messagerie de l’organisation. Les attaquants utilisent cette technique pour minimiser les risques de détection de leur infrastructure de phishing.

Chetan Raghuprasad, chercheur sur les menaces chez Cisco Talos, a déclaré à Recorded Future News : « Il s’agit d’une technique d’ingénierie sociale efficace qui aide à compromettre les victimes, car les e-mails semblent être envoyés à partir d’une adresse e-mail connue et sont délivrés via un serveur de messagerie légitime d’organisations légitimes. Ces adresses e-mail ou serveurs de messagerie sont généralement inscrits sur la liste blanche et passent par les vérifications SPF (Sender Policy Framework) sur les serveurs de messagerie de l’organisation du destinataire. De plus, il devient difficile pour les défenseurs de suivre l’infrastructure de phishing de l’attaquant et de bloquer ces e-mails.« 

Des pirates situés au Brésil

Le domaine utilisé pour héberger les outils des attaquants et les données exfiltrées était associé à une personne basée dans ce pays.

Le nom de domaine ressemblait au domaine légitime de l’agence fiscale mexicaine, une tactique que l’attaquant a probablement adoptée pour dissimuler le trafic malveillant.

La campagne vise principalement des personnes au Mexique, mais des infections ont également été observées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama.

Les courriels de phishing analysés par les chercheurs indiquent que le groupe cible des organisations de divers secteurs d’activité, notamment la comptabilité, la construction, l’ingénierie, l’investissement et la distribution en gros.

Le malware bancaire utilisé dans le cadre de cette campagne vise à collecter les identifiants de connexion des victimes pour divers comptes en ligne, ainsi que des informations sur leur système d’exploitation et même des frappes au clavier.

Les chercheurs ont également constaté que le cheval de Troie est capable de voler des codes de sécurité à usage unique ou des jetons logiciels souvent utilisés par les applications bancaires en ligne pour vérifier les utilisateurs.

En plus de cibler les boîtes de réception Outlook, cet outil de spam compromet également les comptes de messagerie Web Yahoo et Gmail, permettant aux attaquants de prendre le contrôle de ces boîtes aux lettres, d’exfiltrer les adresses e-mail des contacts et d’envoyer du spam.

Une cyber attaque réfléchie

L’infrastructure utilisée par les pirates a été enregistrée en novembre 2020, ce qui suggère une date possible de début de la campagne.

L’attaque commence généralement par un e-mail de phishing en espagnol sur le thème de l’impôt sur le revenu. L’e-mail prétend être une notification de reçu fiscal et incite les victimes à ouvrir la pièce jointe HTML malveillante.

Une fois ouverte, la pièce jointe HTML redirige la victime vers une autre page HTML malveillante. Les victimes sont ensuite invitées à cliquer sur un lien intégré qui télécharge un fichier RAR.

Lorsque le fichier RAR est ouvert, plusieurs fichiers sont téléchargés, ce qui provoque le redémarrage de la machine après 10 secondes. Au moins l’un de ces fichiers malveillants est rendu légitime en utilisant l’icône Internet Explorer.

Les charges utiles utilisées par les attaquants dans cette campagne sont conçues pour voler des informations sensibles, échapper à la détection et diffuser des e-mails de phishing supplémentaires aux contacts de la victime.

« Le cheval de Troie bancaire cible des informations sensibles telles que les identifiants de connexion et les codes de sécurité des transactions financières, enregistre les frappes au clavier et manipule les données du presse-papiers de la machine victime. Le cheval de Troie possède également des capacités d’anti-analyse et d’anti-détection pour échapper aux environnements de bac à sable et virtuels.« 

Les chercheurs ont noté que le module bancaire de ce cheval de Troie utilise des techniques similaires à celles des chevaux de Troie bancaires brésiliens signalés précédemment par d’autres chercheurs en sécurité chez ESET et Check Point.

En outre, ce cheval de Troie possède des capacités de gestion de bureau à distance, permettant aux pirates de créer et de supprimer des répertoires, de télécharger des fichiers, et bien plus encore.

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.

Cybersécurité, Sécurité, Smartphone

La Russie veut 2 millions de téléphones dotés d’un système d’exploitation Aurora local à l’usage des fonctionnaires

Le géant russe des télécommunications, Rostelecom, a annoncé son projet de fournir aux responsables gouvernementaux russes des téléphones portables équipés du système d’exploitation Aurora, une alternative nationale aux logiciels occidentaux.

Selon Kirill Menchov, vice-président senior de Rostelecom, le gouvernement russe est en pourparlers avec la société pour l’acquisition potentielle de jusqu’à 2 millions d’appareils mobiles fonctionnant sur le système d’exploitation Aurora au cours des trois prochaines années. Cette annonce intervient le même jour où le Service fédéral de sécurité (FSB) russe a accusé les services de renseignement américains d’avoir piraté « des milliers de téléphones Apple » dans le but d’espionner des diplomates russes.

Depuis longtemps, la Russie accuse les États-Unis de mener une « surveillance mondiale« , tout comme les Américains accusent la Russie de faire de même avec un espionnage étatique à peine voilé. Selon les médias russes, en mars dernier, l’administration présidentielle russe a demandé à ses employés de remplacer leurs iPhones par des smartphones d’autres marques fonctionnant sur un système d’exploitation différent.

Une histoire de gros sous !

Le Kremlin aurait également annoncé à cette époque qu’il achèterait de nouveaux téléphones sécurisés pour ses employés afin de faciliter la transition loin des technologies américaines. L’année dernière, le gouvernement russe avait également recommandé à ses employés de cesser d’utiliser des services étrangers tels que Zoom et WhatsApp pour les communications officielles, les incitant plutôt à se tourner vers des plates-formes nationales telles que VK pour la messagerie et TrueConf pour la visioconférence.

Dans un communiqué, le FSB a affirmé qu’Apple ne protégeait pas la confidentialité des données des utilisateurs et coopérait avec les services de renseignement américains pour espionner les Russes, une accusation démentie par Apple.

Le système d’exploitation russe Aurora, basé sur Linux, a été développé par Rostelecom en 2016, principalement pour une utilisation commerciale et gouvernementale. En 2020, le président russe Vladimir Poutine a demandé son extension aux établissements de santé et d’éducation.

Selon le site Web d’Aurora, ce système d’exploitation donne aux utilisateurs un contrôle total sur le traitement des données et se conforme aux directives de sécurité du gouvernement russe.

Les efforts de la Russie pour promouvoir sa technologie nationale reflètent également l’impact des sanctions imposées à Moscou en raison de la guerre en Ukraine, qui ont entraîné un exode massif des entreprises technologiques du pays.

« La Russie a besoin de son propre écosystème mobile, car les sanctions peuvent affecter tous les développements occidentaux« , a déclaré Menshov aux médias russes l’année dernière. « Les systèmes d’exploitation américains ont déjà restreint l’accès aux applications mobiles russes critiques, désactivé la possibilité d’effectuer des paiements avec des cartes bancaires russes et interrompu la monétisation.« 

Cependant, Aurora « est complètement indépendante de toute influence étrangère et est prête à évoluer« , a-t-il ajouté.

Selon Rostelecom, le système Aurora est actuellement utilisé par le gouvernement russe ainsi que par diverses entreprises liées à l’État, telles que le service postal national, la compagnie ferroviaire publique et des sociétés énergétiques.

Depuis son lancement en 2016, plus de 500 000 appareils fonctionnant sous le système Aurora ont été produits en Russie, selon Menchov. Le coût de développement d’Aurora devrait atteindre environ 6 milliards de dollars d’ici 2030.

Les initiatives visant à promouvoir la technologie nationale en Russie reflètent la volonté du pays de réduire sa dépendance aux produits et services occidentaux, en particulier après les sanctions imposées en raison du conflit en Ukraine. Les autorités russes sont de plus en plus préoccupées par la sécurité des données et la confidentialité des communications, et cherchent à développer des solutions domestiques pour garantir leur souveraineté numérique.

Alors que le gouvernement russe cherche à renforcer l’utilisation du système d’exploitation Aurora, cette décision pourrait avoir des conséquences sur l’industrie des télécommunications et de la technologie en Russie, ainsi que sur les relations avec les sociétés étrangères. Il reste à voir comment cette transition vers un écosystème mobile national se déroulera et quels seront les défis et les opportunités qui en découleront.

backdoor, Cybersécurité

32 modules complémentaires malveillants frappent 75 millions d’appareils depuis le Chrome Web Store

Google a supprimé 32 extensions malveillantes du Chrome Web Store qui usurpaient les résultats de recherche et montraient des publicités intrusives aux utilisateurs. Le nombre total de téléchargements de ces addons est de 75 millions.

Pour confondre les gens, les auteurs des extensions Chrome leur ont ajouté des fonctionnalités légitimes. Dans le même temps, la charge malveillante se cachait dans le code obscurci.

Palant, un chercheur en cybersécurité, a étudié un addon appelé PDF Toolbox (deux millions de téléchargements depuis la boutique officielle) et est arrivé à la conclusion qu’il contenait du code déguisé en wrapper d’API d’extension légitime.

Comme Palant l’a expliqué , le code malveillant a permis au domaine serasearchtop[.]com d’injecter du code JavaScript arbitraire dans n’importe quel site visité par l’utilisateur cible.

En d’autres termes, toute une gamme d’actions était ouverte aux attaquants : de l’injection de publicité dans les pages Web au vol d’informations confidentielles.

Palant a précisé que le but de cet add-on (PDF Toolbox) restait un mystère pour lui, puisqu’il était incapable d’attendre une activité malveillante de sa part.

Néanmoins, l’expert a remarqué que l’extension a commencé à fonctionner 24 heures après l’installation, ce qui indique indirectement une fonctionnalité suspecte.

Des dizaines de millions de téléchargements !

Il y a quelques jours, Palant a publié un nouveau post indiquant qu’il avait pu identifier le même code dans 18 autres extensions Chrome avec un total de 55 millions de téléchargements.

Parmi eux se trouvaient : Autoskip pour Youtube – 9 millions d’utilisateurs actifs ; Soundboost – 6,9 millions d’utilisateurs actifs ; Bloc Crystal Ad – 6,8 millions d’utilisateurs actifs ; VPN dynamique – 5,6 millions d’utilisateurs actifs ; Clipboard Helper – 3,5 millions d’utilisateurs actifs ; Maxi Refresher – 3,5 millions d’utilisateurs actifs.

Au moment de la rédaction du message de Palant, tous les modules complémentaires mentionnés sont distribués gratuitement via le Chrome Web Store officiel.

Après un certain temps, le spécialiste a également identifié deux autres variantes de code suspect : l’une était déguisée en Mozilla WebExtension API Polyfill, l’autre était la bibliothèque Day.js.

Les deux codes ont implémenté le même mécanisme d’injection de code JavaScript, où le domaine serasearchtop[.]com a été utilisé.

Un certain nombre d’utilisateurs de ces extensions se sont plaints de redirections et de piratage de recherche. La société tchèque d’antivirus Avast a également signalé la découverte de modules complémentaires malveillants, avec un total de 75 millions de téléchargements. Selon le rapport des experts , ces extensions ont également intercepté et modifié les résultats de recherche.

backdoor, Cybersécurité

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.

Bitcoin, Cybersécurité, loi

Les autorités japonaises renforcent le contrôle du blanchiment d’argent via les cryptomonnaies

Le parlement japonais met en place des mesures plus strictes contre le blanchiment d’argent par le biais des cryptomonnaies. Les nouvelles procédures AML (Anti-Money Laundering) entrent en vigueur ce 1er juin 2023.

Selon le média local Kyodo News, ces nouvelles procédures AML permettront à la législation japonaise de rattraper les principales nations mondiales en la matière. Les parlementaires ont commencé à modifier les mesures existantes contre le blanchiment d’argent en décembre dernier. À l’époque, le Groupe d’action financière internationale (FATF) avait déclaré que les procédures en vigueur au Japon étaient insuffisantes.

L’une des principales innovations sera la « règle de transfert« , qui permettra un meilleur suivi des transactions en cryptomonnaies. Tout établissement financier effectuant une transaction d’un montant supérieur à 3 000 dollars devra transmettre des informations sur la transaction au régulateur. La liste des données doit inclure les noms et adresses de l’expéditeur et du destinataire, ainsi que toutes les informations concernant les comptes.

article partenaire, loi, RGPD

La Protection des Données et le RGPD : Un Renforcement Incontournable de la Confidentialité en France et en Europe

Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.

Le RGPD : Une Révolution pour la Protection des Données

Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.

Exemples de Protection des Données en France

En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.

Impacts du RGPD dans l’Union européenne

Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.

Les Avantages du RGPD pour les Individus

Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.

Les Défis et les Perspectives Futures

Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.

Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.

Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.

Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.

Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.

backdoor, Cybersécurité

Le virus qui fait disjoncter les réseaux électriques

Un nouveau malware potentiellement lié à la Russie serait capable de causer des dommages physiques aux réseaux électriques. En décembre 2021, un utilisateur russe a téléchargé ce logiciel malveillant sur le service d’analyse antivirus de Google, VirusTotal.

Baptisé CosmicEnergy par Mandiant, ce malware présente des similitudes avec Industroyer, utilisé par la Russie pour attaquer l’infrastructure énergétique de l’Ukraine en 2016 et 2022. Les chercheurs ont également découvert un commentaire dans le code du malware le reliant à un projet nommé « Solar Polygon » organisé par Rostelecom, la plus grande entreprise de télécommunications russe, dans le but de former des spécialistes de la cybersécurité.

En septembre 2022, Les autorités Russes avaient annoncé une dépense de 1,9 milliard de roubles (22 millions d’euros) pour la création et le développement en Russie du « National cyber training ground » pour la formation et l’éducation de spécialistes dans le domaine de la sécurité de l’information. Le projet est mis en œuvre par Rostelecom. Dans le cadre du cyberpolygone, des scénarios étaient annoncés pour les secteurs bancaire, pétrolier et énergétique, et il est prévu d’étendre le polygone aux réseaux de raffinage du pétrole et de communication dorsale.

Bien que les chercheurs n’aient pas encore suffisamment de preuves pour déterminer l’origine et les intentions précises de CosmicEnergy, cette découverte est préoccupante, car les pirates pourraient réutiliser ce logiciel malveillant pour cibler les infrastructures critiques existantes.

CosmicEnergy vise un protocole de communication couramment utilisé dans l’industrie de l’énergie électrique en Europe, au Moyen-Orient et en Asie. Ce protocole facilite l’échange de données entre les centres de contrôle et les appareils, y compris les unités terminales distantes (RTU) essentielles à l’exploitation et au contrôle des systèmes de transmission et de distribution électriques.

Le malware dispose de deux outils de perturbation, PieHop (écrit en Python) et LightWork (écrit en C++), utilisés pour mener des attaques. Bien que l’échantillon de PieHop analysé contienne des erreurs, celles-ci pourraient être corrigées facilement par les pirates s’ils décidaient de le déployer.

CosmicEnergy fait partie d’une lignée de malwares industriels tels qu’Industroyer, Triton et Incontroller, qui exploitent des protocoles non sécurisés de l’industrie. Ces logiciels malveillants peuvent être réutilisés et cibler plusieurs victimes, profitant des faiblesses de conception des environnements industriels. De plus, la disponibilité de projets open source implémentant ces protocoles facilite la tâche des pirates.

La découverte de ce malware présente une menace immédiate pour les organisations concernées, car les environnements industriels non sécurisés sont peu susceptibles d’être corrigés rapidement, soulignent les chercheurs. (Mandiant)

Cybersécurité, Microsoft, Mise à jour

Microsoft propose d’isoler les applications pour une meilleure sécurité

Alors que l’on entend surtout parler de ChatGPT dans les outils Microsoft, une autre fonctionnalité plus intéressante apparait dans Windows 11 : l’isolation des applications Win32.

Actuellement en phase de test dans une version d’aperçu, cette nouvelle fonction permettra aux utilisateurs d’exécuter des applications Win32 dans un environnement isolé, offrant ainsi une protection accrue et une sécurité renforcée pour le système d’exploitation. En créant une sorte de bac à sable, les applications Win32 ne pourront pas affecter le reste du système en cas de compromission ou d’attaque. Cette initiative fait partie de la mise à jour majeure de Windows 11, baptisée « Moment 3 », qui apporte également un support natif pour des formats de compression populaires tels que 7-Zip, RAR et GZ. Les utilisateurs des versions de prévisualisation peuvent déjà profiter de cette nouvelle fonctionnalité, qui promet d’améliorer l’expérience de sécurité et de confidentialité sur Windows 11.

Biométrie, Téléphonie

BrutePrint : une faille expose les smartphones Android à des attaques par force brute des empreintes digitales

Des chercheurs de l’Université du Zhejiang et de Tencent Labs ont découvert un nouveau vecteur d’attaque baptisé BrutePrint. Il exploite la faiblesse des mécanismes de sécurité des empreintes digitales sur les smartphones Android.

Cette vulnérabilité permet à un attaquant de mener des tentatives d’authentification par force brute afin de prendre le contrôle d’un appareil mobile. En exploitant les vulnérabilités Cancel-After-Match-Fail (CAMF) et Match-After-Lock (MAL), les chercheurs ont pu contourner les limites de tentatives d’authentification infructueuses imposées par les smartphones Android modernes.

Les détails techniques de BrutePrint ont été publiés sur la plateforme Arxiv par les auteurs de l’étude. Ils ont identifié des lacunes dans la sécurité des données biométriques au niveau de l’interface périphérique série (Serial Peripheral Interface, SPI) des capteurs d’empreintes digitales. Cette vulnérabilité permet une attaque de l’homme du milieu et l’accès aux images d’empreintes digitales. Les chercheurs ont testé leur vecteur sur dix modèles de smartphones populaires et ont pu mener un nombre illimité de tentatives d’authentification sur Android OS et HarmonyOS (Huawei). Dans le cas d’iOS, ils ont réussi à éliminer seulement dix tentatives supplémentaires.

Il est important de souligner que l’exécution de BrutePrint nécessite un accès physique à l’appareil ciblé. De plus, l’attaquant doit avoir accès à une base de données d’empreintes digitales, ce qui peut être obtenu pour un coût modeste d’environ 15 $.

Les résultats des tests ont révélé que tous les smartphones expérimentés étaient vulnérables à au moins l’un des bugs décrits. Les appareils Android permettaient un nombre illimité de tentatives de sélection d’empreintes digitales, tandis que les appareils Apple étaient légèrement plus fiables dans leur limitation des tentatives.

Cette découverte met en évidence la nécessité de renforcer la sécurité des données biométriques et des mécanismes d’authentification sur les smartphones Android. Les fabricants et les développeurs doivent prendre des mesures pour corriger ces vulnérabilités et améliorer la protection des empreintes digitales, qui sont de plus en plus utilisées comme moyen d’authentification. Les utilisateurs doivent également être conscients de ces risques potentiels et prendre des mesures pour protéger leurs données en utilisant des méthodes d’authentification supplémentaires, comme les codes PIN ou les mots de passe, en plus des empreintes digitales. (Arxviv)

backdoor, Cybersécurité

Les pirates d’Evasive Panda utilisent des mises à jour d’applications légitimes pour diffuser des malwares

Le groupe Evasive Panda, opérant dans la sphère sinophone, utilise des mises à jour d’applications légitimes pour diffuser des malwares. Des utilisateurs d’une ONG internationale en Chine continentale ont été visés par ces malwares, distribués via des mises à jour de logiciels développés par des entreprises chinoises. Cette activité a été attribuée avec une quasi-certitude au groupe Evasive Panda, qui utilise la porte dérobée MgBot à des fins de cyberespionnage.

Des chercheurs ont découvert une campagne menée par Evasive Panda, au cours de laquelle des canaux de mise à jour d’applications légitimes chinoises ont été détournés pour distribuer le programme d’installation du malware MgBot, la principale porte dérobée de cyber espionnage utilisée par le groupe. Les utilisateurs chinois des provinces de Gansu, Guangdong et Jiangsu ont été ciblés par cette activité malveillante, qui a débuté en 2020 selon la télémétrie d’ESET. La plupart des victimes sont des membres d’une organisation non gouvernementale internationale.

En janvier 2022, il a été découvert que lors des mises à jour d’une application chinoise légitime, la porte dérobée MgBot d’Evasive Panda était également téléchargée. Des actions malveillantes similaires s’étaient déjà produites en 2020 avec plusieurs autres applications légitimes développées par des entreprises chinoises.

Evasive Panda utilise la porte dérobée personnalisée MgBot, qui a connu peu d’évolutions depuis sa découverte en 2014. À notre connaissance, aucun autre groupe n’a utilisé cette porte dérobée. Par conséquent, nous attribuons avec quasi-certitude cette activité à Evasive Panda. Au cours de notre enquête, nous avons découvert que lors des mises à jour automatiques, plusieurs composants logiciels d’applications légitimes téléchargeaient également les programmes d’installation de la porte dérobée MgBot à partir d’URL et d’adresses IP légitimes.

Lors de l’analyse des méthodes utilisées par les attaquants pour diffuser des malwares via des mises à jour légitimes, les chercheurs d’ESET ont identifié deux scénarios distincts : des compromissions de la chaîne d’approvisionnement et des attaques « adversary-in-the-middle » (AitM).

Étant donné le caractère ciblé des attaques, nous supposons que les pirates ont compromis les serveurs de mise à jour de QQ afin d’introduire un mécanisme permettant d’identifier les utilisateurs ciblés, de diffuser le malware, de filtrer les utilisateurs non ciblés et de leur fournir des mises à jour légitimes. Nous avons en effet enregistré des cas où des mises à jour légitimes ont été téléchargées via ces protocoles détournés. D’autre part, les attaques de type AitM ne seraient possibles que si les attaquants étaient en mesure de compromettre des appareils vulnérables tels que des routeurs ou des passerelles, et d’accéder à l’infrastructure des fournisseurs d’accès Internet.

La conception modulaire de MgBot lui permet d’étendre ses fonctionnalités en recevant et en déployant des modules sur les machines compromises. Cette porte dérobée est capable d’enregistrer les frappes au clavier, de voler des fichiers, des identifiants, ainsi que des contenus provenant des applications de messagerie QQ et WeChat de Tencent. Elle est également capable de capturer des flux audio et de copier le texte du presse-papiers.

Evasive Panda, également connu sous les noms de BRONZE HIGHLAND et Daggerfly, est un groupe de pirates sinophones actif depuis au moins 2012. Les recherches d’ESET ont révélé que ce groupe mène des opérations de cyberespionnage ciblant des individus en Chine continentale, à Hong Kong, à Macao et au Nigéria. Une victime de cette campagne se trouvait au Nigéria et a été infectée via le logiciel chinois Mail Master de NetEase.

Assurance cyber sécurité, Entreprise, loi

Cyber-assurance : découvrez la nouvelle obligation de dépôt de plainte sous 72h

La loi LOPMI, promulguée en janvier 2023, impose désormais une obligation légale aux victimes de cyberattaques de déposer plainte dans un délai de 72 heures si elles souhaitent être indemnisées par leur assurance. Cette nouvelle disposition, entrée en vigueur le lundi 24 avril, a des conséquences significatives et nécessite d’adopter les bons réflexes en cas de sinistre.

La loi LOPMI constitue une avancée majeure dans la lutte contre la cybercriminalité en France en permettant aux autorités d’avoir une meilleure visibilité sur les attaques subies par les professionnels et les entreprises. Elle apporte également des éclaircissements sur les conditions de prise en charge des risques liés à la cybersécurité, offrant ainsi un cadre législatif plus clair aux assureurs. Cependant, cette loi introduit également de nouvelles contraintes, notamment l’obligation de dépôt de plainte, qu’il est essentiel de comprendre afin d’agir de manière sereine et efficace en cas de cyberattaque.

Les changements apportés par la loi LOPMI sont les suivants : depuis le 24 avril 2023, tout professionnel ou entreprise victime d’une attaque doit déposer plainte dans un délai maximum de 72 heures à partir du moment où il a connaissance de l’incident. Ce dépôt de plainte est obligatoire pour pouvoir prétendre à une éventuelle indemnisation dans le cadre d’un contrat d’assurance Cyber en vigueur. Si la plainte n’est pas déposée dans ce délai, le professionnel ou l’entreprise ne pourra pas être indemnisé par son assureur. Cette disposition, d’ordre public, s’applique à tous les contrats d’assurance en cours, même si cette obligation n’est pas spécifiée dans les contrats.

Actions, réactions et garanties d’assistance

Il est important de noter que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises, ainsi que pour proposer des solutions initiales visant à limiter les conséquences de l’attaque et à constituer un dossier de recours. Toutefois, le dépôt de plainte reste obligatoire dans un délai de 72 heures.

Cette obligation concerne toutes les personnes morales (entreprises, associations, administrations publiques) et toutes les personnes physiques (professions libérales, travailleurs indépendants, etc.) qui subissent une cyberattaque dans le cadre de leurs activités professionnelles. Il est nécessaire que le professionnel ou l’entreprise soit immatriculé en France et soit assuré par un contrat d’assurance français. Les particuliers victimes d’une attaque à titre personnel ne sont donc pas concernés par cette obligation. Toutefois, il est recommandé de déposer plainte afin de faciliter l’identification des suspects et de favoriser la reconnaissance du préjudice subi par la victime.

Toutes les formes de cyberattaques sont concernées par cette loi, notamment les attaques par logiciels malveillants tels que les ransomwares, les vols de données, les attaques par déni de service (DoS/DDoS), le phishing, la modification non sollicitée d’un site Internet, les interceptions de communication, l’exploitation de vulnérabilités logicielles, etc.

En cas de cyberattaque, il est essentiel de savoir comment réagir afin de réagir de manière efficace et de protéger au mieux son entreprise. Voici les consignes à suivre : éteindre les équipements et les accès réseau, déconnecter les sauvegardes ; informer les collaborateurs des consignes à suivre ; contacter immédiatement son assureur pour limiter au plus vite les conséquences de l’incident ; alerter les forces de l’ordre sans attendre ; il est important de noter que cette alerte ne dispense pas du dépôt de plainte, qui reste obligatoire ; déposer plainte dans un délai maximum de 72 heures à partir de la prise de connaissance de l’incident ; en cas de violation de données à caractère personnel, conformément à l’article 33 du RGPD, il convient de notifier l’incident à la CNIL dans un délai de 72 heures via le site dédié de la CNIL ; mettre en place le plan de gestion de crise, y compris les mesures de continuité d’activité prévues dans le Plan de continuité d’activité (PCA) ; déclarer le sinistre à l’assureur par courrier ; faire appel au service de veille ZATAZ pour effectuer des recherches dans le darkweb et le darknet afin de détecter toute fuite d’informations susceptible d’être entre les mains de groupes de pirates.

Déposer plainte, toujours !

Pour déposer plainte, il est nécessaire de préparer sa plainte en documentant tous les éléments utiles à l’enquête : conserver toutes les traces visibles de l’attaque (photos, captures d’écran, etc.) ; dresser une liste chronologique des actions entreprises après l’attaque ; fournir ou mettre à disposition le plus de preuves possible (fichiers, photos, images, vidéos, clés USB, CD/DVD, disque dur, etc.). Ensuite, la victime doit porter plainte dans une brigade de gendarmerie ou un commissariat dans un délai de 72 heures à partir de la prise de connaissance de l’incident. Si l’entreprise est victime d’une cyberattaque à l’étranger, deux options s’offrent à elle : déposer plainte en France dans les 72 heures ou déposer plainte dans le pays où l’attaque s’est produite, également dans les 72 heures. Il est important de souligner que l’obligation de dépôt de plainte doit être respectée, à condition que l’attaque cybernétique constitue également une infraction dans ce pays.

Il est crucial de garder à l’esprit que les garanties d’assistance peuvent être mobilisées sans attendre le dépôt de plainte afin d’aider à identifier les failles de sécurité et les données personnelles ou confidentielles compromises.

En conclusion, avec l’obligation de dépôt de plainte sous 72 heures, la loi LOPMI renforce la protection des victimes de cyberattaques et contribue à une meilleure lutte contre la cybercriminalité. Il est primordial de bien comprendre cette obligation et de suivre les procédures recommandées en cas d’incident afin de maximiser les chances de récupérer les dommages subis et de garantir une indemnisation adéquate de la part de l’assureur. En adoptant une approche proactive et en restant vigilant face aux cybermenaces, les entreprises peuvent renforcer leur résilience et leur capacité à faire face aux attaques.

Il est également important de souligner que la prévention reste la meilleure stratégie contre les cyberattaques. Les entreprises doivent mettre en place des mesures de sécurité solides, telles que des pare-feu, des antivirus et des programmes de sensibilisation à la cybersécurité pour former leur personnel à reconnaître les menaces potentielles et à adopter des pratiques sécuritaires en ligne.

En définitive, la nouvelle obligation de dépôt de plainte sous 72 heures introduite par la loi LOPMI constitue une avancée significative dans la protection des victimes de cyberattaques et renforce la responsabilité des entreprises dans la sécurisation de leurs systèmes informatiques. En agissant rapidement et en suivant les procédures recommandées, les entreprises peuvent minimiser les dommages causés par les attaques et assurer une meilleure collaboration avec les autorités et les assureurs pour faire face à ces situations complexes.

Cybersécurité, Entreprise, loi

Le décret français sur la réutilisation des équipements informatiques réformés et ses implications

Le 12 avril 2023, un tournant significatif a eu lieu en France en matière de gestion des déchets électroniques. Un décret a été adopté fixant les objectifs et les modalités de réutilisation des équipements informatiques réformés par l’État et les collectivités territoriales. Cette nouvelle réglementation a des implications considérables, à la fois pour les organisations privées et les autorités publiques du pays.

L’une des principales préoccupations liées à la réutilisation des équipements informatiques est la nécessité de garantir l’effacement sécurisé des données. Par exemple, si une entreprise publique met hors service un serveur contenant des informations sensibles sur les citoyens, il est crucial de s’assurer que ces données ne peuvent pas être récupérées après la réutilisation de cet équipement. Dans ce contexte, des entreprises spécialisées proposent des solutions. Assurez-vous qu’elles soient à la norme NIST 800-88.

Cette réglementation intervient à un moment où la conscience environnementale atteint un niveau sans précédent, notamment en ce qui concerne la gestion des déchets électroniques. Selon l’ONU et l’APCE, les déchets électroniques sont la catégorie de déchets connaissant la croissance la plus rapide à l’échelle mondiale, avec une valeur estimée à plus de 62,5 milliards de dollars par an. Des initiatives comme celle du gouvernement français sont donc de plus en plus importantes pour réduire l’impact environnemental de ces déchets.

Il est aussi à noter que la suppression sécurisée des données est un élément crucial de la protection contre les cyberattaques. En effet, si les données sensibles ne sont pas correctement effacées avant la réforme ou la réutilisation d’un équipement informatique, elles peuvent être récupérées par des acteurs malveillants, posant un risque significatif de violation de la sécurité. Par exemple, si un vieux disque dur contenant des informations sensibles n’est pas correctement effacé avant d’être vendu ou réutilisé, ces données pourraient tomber entre de mauvaises mains.

En résumé, la nouvelle réglementation française sur la réutilisation des équipements informatiques réformés souligne la nécessité de garantir une suppression sécurisée et responsable des données, tout en minimisant l’impact environnemental des déchets électroniques. Des entreprises offrent une solution unique pour répondre à ces exigences, permettant aux organisations et aux autorités publiques de bénéficier d’une gestion des actifs informatiques complète et fiable. Ces efforts contribuent à la protection contre les cybermenaces, garantissant une meilleure sécurité pour les données et l’environnement.

C’est un grand pas en avant dans la gestion responsable des déchets électroniques. En effet, la réutilisation des équipements informatiques réformés présente des avantages significatifs, non seulement pour l’environnement mais aussi pour l’économie. En prolongeant la durée de vie utile des équipements informatiques, les organisations peuvent réduire les coûts associés à l’achat de nouveau matériel. De plus, la réutilisation des équipements informatiques peut créer des opportunités économiques, par exemple en fournissant du matériel informatique réformé à des prix réduits pour les écoles, les organismes à but non lucratif, ou les petites entreprises.

Il est clair que la mise en œuvre effective de cette réglementation nécessitera une coopération étroite entre le gouvernement, les entreprises privées, et les organisations à but non lucratif. Il est essentiel de développer des programmes de formation pour aider les organisations à comprendre et à respecter les nouvelles exigences en matière de suppression de données sécurisée. De plus, des efforts sont nécessaires pour sensibiliser le public à l’importance de la gestion responsable des déchets électroniques.

En conclusion, le décret du 12 avril 2023 marque une avancée significative dans la gestion responsable des équipements informatiques en France. Non seulement il souligne l’importance de la suppression sécurisée des données, mais il met également en évidence l’importance de la réutilisation des équipements informatiques dans la lutte contre la pollution électronique. Les organisations et les autorités publiques ont maintenant un rôle clé à jouer pour garantir le respect de ces nouvelles normes et pour promouvoir une économie plus durable et plus sécurisée.

article partenaire, Cybersécurité, Entreprise

La détection des menaces en cybersécurité : une clé pour la protection des données

La cybersécurité est devenue un élément essentiel de nos vies numériques. Avec l’explosion du nombre de données numériques produites et la multiplication des cyberattaques, la nécessité de protéger nos informations n’a jamais été aussi importante. Un aspect crucial de cette protection est la détection des menaces, un domaine complexe mais essentiel de la cybersécurité (1).

Qu’est-ce que la détection des menaces en cybersécurité ?

La détection des menaces est un processus qui consiste à surveiller les systèmes informatiques et les réseaux pour identifier les signes d’activités suspectes ou malveillantes qui pourraient indiquer une cyberattaque (2). Elle fait partie intégrante de la gestion des risques en cybersécurité et est souvent combinée à la prévention et à la réponse aux incidents pour former une approche globale de la protection des données.

Comment fonctionne la détection des menaces ?

La détection des menaces repose sur une combinaison de technologies, de processus et de personnes. Technologies : Des outils spécifiques, comme les systèmes de détection des cybermenaces et de prévention des intrusions (IDPS), les logiciels antivirus et les systèmes de gestion des informations et des événements de sécurité (SIEM), sont utilisés pour surveiller les réseaux et les systèmes, détecter les activités suspectes et signaler ou bloquer les attaques (3).

Processus : Les processus de détection des menaces comprennent la collecte et l’analyse de données de sécurité, l’évaluation des risques, la détection des anomalies et la réponse aux incidents. Les organisations peuvent utiliser des approches basées sur les signatures, qui recherchent des comportements connus malveillants, ou des approches basées sur le comportement, qui identifient les activités anormales qui pourraient indiquer une attaque (4).

Personnes : En fin de compte, les personnes sont un élément clé de la détection des menaces. Les analystes de sécurité surveillent les alertes, évaluent les risques, enquêtent sur les incidents et coordonnent la réponse aux incidents. Ils s’appuient sur leur expertise et leur jugement pour interpréter les données et prendre des décisions (5).

La détection des menaces à l’ère de l’IA

La détection des menaces évolue constamment pour faire face à la nature changeante des cyberattaques. Une tendance clé est l’utilisation de l’intelligence artificielle (IA) et du machine learning pour améliorer la détection. Ces technologies peuvent aider à analyser de grandes quantités de données, à identifier les modèles et les anomalies, et à prédire et à prévenir les attaques (6) comme le préconise l’Agence nationale de la sécurité des systèmes d’information (ANSSI).

Cependant, bien que la détection des menaces soit un élément clé de la cybersécurité, elle ne peut pas à elle seule garantir la sécurité. Elle doit être intégrée dans une approche globale de la cybersécurité qui comprend également la prévention, la protection, la réponse et la récupération.

La détection proactive des menaces

Dans le paysage en constante évolution des cybermenaces, une approche proactive de la détection est essentielle. Cela comprend l’utilisation de technologies de pointe, l’adoption de pratiques d’hygiène numérique solides, le maintien de la sensibilisation à la sécurité et la formation continue des employés à la cybersécurité.

La détection proactive des menaces implique également une veille continue sur les nouvelles vulnérabilités et les nouvelles formes de cyberattaques. Les organisations doivent s’efforcer de rester à jour sur les dernières menaces et de mettre à jour leurs systèmes et leurs processus en conséquence.

Les défis de la détection des menaces

La détection des menaces présente plusieurs défis. Premièrement, le volume de données à analyser peut être énorme, rendant difficile l’identification des activités suspectes. Deuxièmement, les cybercriminels deviennent de plus en plus sophistiqués, utilisant des techniques avancées pour éviter la détection.

De plus, les faux positifs peuvent être un problème, avec des systèmes qui signalent des activités normales comme suspectes, ce qui peut entraîner une surcharge d’alertes pour les équipes de sécurité. Enfin, le manque de compétences en cybersécurité peut également être un défi, avec une pénurie mondiale de professionnels qualifiés dans ce domaine (7).

La détection des menaces est une composante essentielle de la cybersécurité. Alors que les cybermenaces continuent d’évoluer, les organisations doivent rester vigilantes et proactives dans leur approche de la détection des menaces. Cela nécessite une combinaison de technologies avancées, de processus solides et de personnes qualifiées. Malgré les défis, une détection efficace des menaces peut grandement contribuer à protéger les organisations contre les cyberattaques.

  1. « Understanding Threat Detection in Cyber Security, » IT Governance Blog, 2021.
  2. « The Essential Guide to Threat Hunting, » SANS Institute, 2022.
  3. « Intrusion Detection System (IDS) and its Detailed Function – SOC/SIEM, » ScienceDirect, 2021.
  4. « Understanding the Basics of Threat Detection, » IBM Security Intelligence, 2022.
  5. « Human Factor in Cyber Security, » Journal of Cybersecurity, Oxford Academic, 2021.
  6. « How AI and Machine Learning Are Transforming Cybersecurity, » Forbes, 2022.
  7. « Cybersecurity Skills Shortage Soars, Nearing 3 Million, » Infosecurity Magazine, 2021.
famille, ID, Identité numérique, loi, Particuliers

Identité numérique européenne : Le futur de la vie privée en ligne

En 2024, tous les pays européens devront mettre à la disposition de leurs citoyens un Digital ID Wallet. Grace à ce portefeuille électronique, ils pourront, depuis leurs terminaux électroniques, stocker et gérer leur identité numérique, et partager leurs attributs personnels vérifiés. Utilisable partout en Europe, il placera les citoyens au centre du contrôle de leurs données personnelles et garantira un très haut niveau de sécurité.

Louer un appartement, acheter une voiture, ouvrir un compte en banque, contracter un prêt bancaire, donner son consentement pour un acte médical, s’inscrire dans une université… Des démarches aujourd’hui dématérialisées qui nécessitent de renseigner des dizaines de formulaires, de prouver son identité, de s’authentifier sur une multitude de services numériques (site e-commerce, services publics…) et parfois de transmettre des captures de justificatifs papier par email, sans sécurité particulière, lors de la transmission puis du stockage, et contenant souvent beaucoup plus d’informations que nécessaire. Autant d’opérations complexes et chronophages pour tous les usagers, notamment ceux pour qui la protection des droits et données personnelles et la maitrise des outils numériques et solutions de sécurité ne coulent pas de source.

C’est pourquoi l’Union européenne, dans sa politique de la « Décennie numérique« , a notamment demandé aux États membres de proposer un Digital ID Wallet. Elle souhaite offrir à tous les citoyens les moyens de stocker et gérer leurs identité numérique, identifiants et attributs personnels depuis un portefeuille électronique hébergé sur leurs terminaux personnels (smartphone, tablette, portable).

Disponible à partir de 2024, ce portefeuille électronique pourra contenir les éléments vérifiés de la carte d’identité nationale biométrique (empreintes digitales, photographies, informations textuelles), des attributs personnels authentifiés et certifiés (permis de conduire, acte de naissance, carte bancaire, justificatif de domicile, fiche d’imposition, diplômes, feuilles de paie, documents de santé…).

Reprendre le contrôle de ses données personnelles

En deux décennies, nos usages se sont profondément numérisés. Les données personnelles qui permettent d’identifier tout ou partie d’une personne – données d’état civil, adresse email ou postale, mots de passe, fiches d’impôt, salaire, facture EDF, sans oublier la transmission de données personnelles qui ne sont pas encore numérisées, telles que diplômes, factures et justificatifs en tout genre – sont communiquées à des tiers (services publics, entreprises privées) et stockées dans d’immenses et innombrables bases de données. Une centralisation de données personnelles qui présente des risques de cyberattaques, des risques d’utilisation peu scrupuleuse de données personnelles à des fins commerciales mais aussi des problématiques énergétiques de stockage.

En demandant aux États membres de proposer à leurs résidents un tel portefeuille numérique, l’UE permet à chaque citoyen de reprendre le contrôle et l’utilisation de son identité. Ainsi, il pourra, grâce aux technologies du wallet, circonscrire le partage de ses données aux seules nécessaires à la délivrance du service. Il pourra par exemple donner accès à son revenu d’imposition sans être contraint, comme c’est le cas actuellement, de délivrer l’intégralité de sa feuille d’impôts. Le citoyen pourra aussi récupérer ses données créées et vérifiées par des tiers sous forme d’attestations (Qualified Electronic Attribute Attestation – QEAA), les stocker dans son wallet, et les communiquer lorsque nécessaire. Via ce dispositif « zero knowledge proof », il pourra par exemple prouver sa majorité sans pour autant fournir sa date de naissance, car l’utilisation de son wallet garantira que l’information a été vérifiée par ailleurs.

Faire des citoyens les maîtres de leurs données d’identité

A l’heure actuelle, toutes les données personnelles de chaque citoyen sont stockées dans des bases de données privées et publiques. Elles seront, grâce à ce wallet, décentralisées et gérées individuellement par chaque citoyen européen. En devenant souverain de ses données, il pourra donc consciemment choisir de les partager sans peur et en toute sécurité. Il reprendra ainsi le contrôle de sa vie numérique, maitrisera ses données personnelles et la manière dont elles circuleront.

Prévu pour 2024, ce wallet sera fourni aux citoyens par leurs pays de domiciliation. Proposé par chaque État membre, il pourra être délivré par des établissements publics ou privés. Simple d’utilisation et interopérable, ce wallet devra répondre à des normes et spécifications techniques garantissant un haut niveau de sécurité. Si aucune obligation d’utilisation de ce portefeuille électronique européen n’est exigée, l’UE mise sur la fluidité et la simplicité d’un tel dispositif pour convertir tous les européens. (Par Stéphane Mavel, en charge de la stratégie Identité Numérique d’IDnow)

Cybersécurité, Mise à jour, Patch, Wordpress

Une vulnérabilité corrigée dans le plug-in Advanced Custom Fields pour WordPress

Une faille de sécurité a été identifiée dans le plug-in Advanced Custom Fields pour WordPress, permettant l’insertion de code malveillant sur approximativement deux millions de sites web. Cela pourrait causer des préjudices aux sites eux-mêmes et à leurs utilisateurs.

Cette faille concerne spécifiquement les plug-ins Advanced Custom Fields et Advanced Custom Fields Pro, développés par Delicious Brains. Ces outils offrent aux administrateurs de sites WordPress une plus grande maîtrise sur leur contenu et leurs données.

Patchstack a révélé le 5 février qu’une attaque XSS (cross-site scripting) pouvait être menée via ces plug-ins. En termes simples, une attaque XSS consiste pour un agresseur à insérer du code, généralement dans une zone de texte sur un site web. Ce code est ensuite exécuté par le site. Bien que ce type d’attaque soit moins fréquent qu’il y a une décennie, il existe toujours des exceptions.

En exploitant cette faille, il serait possible d’exécuter du JavaScript à l’insu des visiteurs du site. Cela pourrait conduire au vol de données des visiteurs ou à la prise de contrôle du site entier, si l’utilisateur affecté est un administrateur du site.

Un correctif a été publié début avril pour résoudre ce problème. Depuis le 5 mai, Patchstack et Rafie Muhammad, le chercheur de Patchstack qui a identifié la faille, ont été autorisés à partager publiquement leurs découvertes. Pour remédier à la situation, les utilisateurs d’Advanced Custom Fields doivent mettre à jour leur version vers la 6.1.6 ou une version ultérieure. Cette vulnérabilité a été enregistrée sous le code CVE-2023-30777.

Banque, Cybersécurité

Les banques russes mécontentes des nouvelles règles liées au VPN

Les banques russes sont mécontentes des nouvelles règles imposées par le gouvernement de Poutine, selon lesquelles les informations sur les services VPN doivent être transmises par courrier électronique.

Saviez-vous que Poutine se met de plus en plus de monde à dos dans son pays ? Dernier exemple en date, et pas des moindres, les banques russes. Ces dernières sont mécontentes des nouvelles exigences de la Banque centrale de la Fédération de Russie concernant le transfert d’informations sur l’utilisation des services VPN.

Les institutions financières ont une attitude négative envers les nouvelles exigences du régulateur local, l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Pourquoi ? Les informations liées aux VPN utilisés doivent être transmises à Roskomnadzor via un canal non sécurisé par courriel.

Selon les nouvelles exigences, les institutions financières russes sont tenues de fournir à Roskomnadzor des informations sur les services VPN utilisés pour automatiser les processus technologiques d’ici le 2 juin 2023. Ceci est fait dans le but « d’éliminer les risques du fonctionnement des systèmes d’information de l’industrie » écrivent les fonctionnaires.

Envoyer des informations sensibles, par courriel !

Il ne faut pas être une lumière pour comprendre et savoir que la transmission d’informations aussi sensibles par courrier électronique comporte d’énormes risques de fuite de données. Si ces informations tombent entre les mains de cybercriminels, ils disposeront de données sur toutes les adresses IP des services VPN exploités dans des bureaux bancaires, par exemple. De quoi lancée des attaques DDoS contre le siège social d’une banque russe particulière, mais également contre ses succursales. De quoi couper les clients des services bancaires pendant une longue période.

Le Roskomnadzor (en russe : Роскомнадзор) est l’autorité fédérale russe chargée de la supervision et du contrôle des médias, des communications et des technologies de l’information. Son nom complet est « Service fédéral de supervision dans le domaine des communications, des technologies de l’information et des médias de masse ». Il a été créé en 2008 et est subordonné au gouvernement russe.

Les principales responsabilités du Roskomnadzor incluent la régulation des médias, la censure de l’internet, la protection des données personnelles, la surveillance des télécommunications et la délivrance de licences pour les activités de médias et de communication. Le Roskomnadzor est également chargé de faire respecter les lois sur la protection des droits des consommateurs et de la concurrence loyale dans le domaine des communications.

Dans le cadre de ses fonctions, le Roskomnadzor a souvent été critiqué pour sa censure d’Internet et la suppression de contenus en ligne. Il a également bloqué l’accès à plusieurs sites web, y compris des plateformes de médias sociaux et des services de messagerie, en raison de préoccupations liées à la sécurité nationale, à la désinformation ou à la violation des lois russes.

APT, backdoor, Cybersécurité

Le FBI a annoncé avoir neutralisé un virus du FSB

Le Bureau fédéral d’enquête des États-Unis annonce la neutralisation d’un code malveillant du nom de Snake. Le malware serait une arme numérique du FSB, le service de sécurité russe.

Dernièrement, une l’alerte lancée dans un blackmarket russe de la tentative du service de renseignement russe FSB d’intercepter des informations du pirate auteur de stealer (logiciel voleur de données), Titan Stealer, affichait les nombreux fronts cyber de ce service de renseignement russe.

Le Département de la Justice explique comment le FBI venait de mettre fin à la vie de Snake, un présumé code malveillant exploité par le FSB. Selon le Bureau Fédéral d’Investigation, Snake aurait exploité un réseau P2P pour les basses besognes de ses exploitants. Selon le communiqué officiel de l’agence, la gestion de ce réseau était assurée par le « Centre 16 » du Service fédéral de sécurité russe (FSB). Snake est connu sous un autre nom, Turla.

Le FBI estime que cette division a utilisé différentes versions du malware Snake pendant près de 20 ans pour voler des documents confidentiels provenant de centaines de systèmes informatiques dans au moins 50 pays membres de l’OTAN.

Lors de l’opération baptisée Medusa [le même nom qu’un groupe de pirates utilisateurs de ransomwares], le malware a été désactivé sur les appareils compromis faisant partie du réseau unifié à l’aide de l’outil Perseus développé par le FBI. Le processus impliquait un contact physique avec les ordinateurs infectés. Des appareils provenant d’autres pays ont également été découverts dans le réseau, et les autorités américaines ont envoyé toutes les recommandations nécessaires à leur égard.

« Le ministère de la Justice, en collaboration avec nos partenaires internationaux, a démantelé un réseau mondial d’ordinateurs infectés par des malwares utilisés par le gouvernement russe pendant près de deux décennies pour mener des cyber espionnages, y compris contre nos alliés de l’OTAN« , a déclaré le procureur général des États-Unis, Merrick Garland. Nous continuerons à renforcer notre défense collective contre les efforts de déstabilisation de la Russie, visant à compromettre la sécurité des États-Unis et de nos alliés ».

Le DOJ affirme que le gouvernement américain « contrôlait des agents du FSB » affectés à l’utilisation de Turla. Ces agents auraient mené des opérations quotidiennes en utilisant Snake à partir d’une institution du FSB à Ryazan. Le virus lui-même est qualifié de « logiciel malveillant à long terme le plus complexe du FSB pour le cyber espionnage ».

Snake permet à ses opérateurs de déployer à distance des outils malveillants supplémentaires pour étendre les fonctionnalités du logiciel afin de détecter et de voler des informations confidentielles et des documents stockés sur un appareil spécifique. Un voleur 2.0 comme Titan Stealer.

De plus, le réseau mondial d’ordinateurs compromis par Snake fonctionne comme un réseau P2P caché, utilisant des protocoles de communication spéciaux conçus pour rendre l’identification, la surveillance et la collecte de données difficiles pour les services de renseignement occidentaux et d’autres services de renseignement radio. Après le vol de données, une routage en cascade est utilisé pour les livrer aux opérateurs à Ryazan.

Cybersécurité, Microsoft, Mise à jour, Patch

Vulnérabilités : trois 0day à corriger d’urgence

Microsoft élimine trois 0days dans Windows, deux sont utilisés dans des cyber attaques.

Microsoft a publié de nombreux correctifs en ce mois de mai pour Windows. Au total, les développeurs ont corrigé 38 problèmes, dont trois vulnérabilités zero-day (0day).

Six vulnérabilités ont reçu le statut de critiques, car elles permettent l’exécution de code à distance.

Huit vulnérabilités d’escalade de privilèges. Quatre façons de contourner les fonctions de sécurité. 12 trous menant à l’exécution de code à distance. Huit problèmes de divulgation. Cinq vulnérabilités DoS. Une possibilité de spoofing.

Quant aux trois 0days que Microsoft a fermé ce mois-ci : deux d’entre eux sont déjà activement utilisés dans de véritables cyberattaques, et le reste attend dans les coulisses, puisque les détails techniques sont sur le Web.

CVE-2023-29336 est l’une des vulnérabilités exploitées. Provoque une élévation et affecte Win32k. Avec son aide, les pirates peuvent obtenir des privilèges de niveau SYSTEM dans le système d’exploitation.

CVE-2023-24932 est une autre vulnérabilité exploitable qui pourrait conduire à des contournements de sécurité. C’est ce 0day qui est utilisé pour installer le bootkit BlackLotus UEFI .

CVE-2023-29325 est le dernier 0day affectant Windows OLE qui pourrait conduire à l’exécution de code à distance. Il peut être utilisé avec un e-mail spécialement conçu.

Début 2023, les responsables ukrainiens du CERT-UA avaient signalé une vulnérabilité à l’équipe de réponse aux incidents de Microsoft après que des pirates basés en Russie avaient utilisé une vulnérabilité dans le service de messagerie Outlook de Microsoft (CVE-2023-23397). L’attaque aurait visé quelques organisations des secteurs gouvernemental, des transports, de l’énergie et militaire en Europe selon le CERT-UA.

Bien que le problème ait été corrigé en mars 2023, le chercheur d’Akamai, Ben Barnea, découvrait un moyen de contourner le correctif. Il permettrait à un pirate d’utiliser la vulnérabilité pour contraindre un client Outlook à se connecter à un serveur contrôlé par l’attaquant. Une vulnérabilité sans clic – ce qui signifie qu’elle peut être déclenchée sans interaction de l’utilisateur – et que toutes les versions de Windows étaient affectées. Faille corrigée ce mardi 9 mai via la CVE 29324.

backdoor, Cybersécurité, Téléphonie

Des millions de smartphone à petit prix infectés par du code malveillant

Selon des spécialistes présents lors de l’événement Black Hat Asia, des développeurs peu scrupuleux ont réussi à infecter des millions de smartphones Android avec des micrologiciels malveillants avant même que les appareils ne soient mis en vente.

Des experts ont souligné, lors du rendez-vous Black Hat Asia, que cela affectait principalement les modèles d’appareils Android moins chers. Le problème réside dans l’externalisation, qui permet aux acteurs de la chaîne de production, tels que les développeurs de micrologiciels, d’introduire clandestinement du code malveillant.

Les spécialistes de Trend Micro ont qualifié ce problème de « croissant » pour les utilisateurs et les entreprises. Fedor Yarochkin de Trend Micro explique la situation de la manière suivante : « Quel est le moyen le plus simple d’infecter des millions d’appareils mobiles ? Faites-le à l’usine. Cela peut être comparé à un arbre qui absorbe un liquide : si vous apportez l’infection à la racine, elle se propagera partout, y compris chaque branche et chaque feuille.« 

Selon Yarochkin, cette pré-installation de logiciels malveillants a commencé à se répandre après la baisse des prix des smartphones. La concurrence entre les développeurs de micrologiciels est devenue si intense qu’ils ne pouvaient plus demander des sommes importantes pour leurs produits.

Cependant, il n’y a rien de gratuit dans cette situation. Par conséquent, les développeurs ont commencé à introduire des plug-ins appelés « silencieux« . L’équipe de recherche de Trend Micro a étudié plus d’une douzaine d’images de micrologiciels et a découvert plus de 80 de ces plug-ins. Leur fonction est de voler des données et de fournir certaines informations, ce qui aide les développeurs à générer des revenus. Les logiciels malveillants préinstallés en usine transforment les appareils mobiles en proxy utilisés pour voler des SMS et accéder aux comptes de réseaux sociaux. Ils facilitent également la fraude au clic.

50 fournisseurs de téléphones montrés du doigt !

Les experts ont souligné qu’ils ont pu détecter des logiciels malveillants préinstallés sur les téléphones d’au moins dix fournisseurs, et il est présumé qu’environ 40 autres fabricants pourraient être confrontés à une situation similaire. L’équipe de Yarochkin recommande aux utilisateurs de choisir des smartphones Android de marques connues (donc plus chers) afin de ne pas être victimes de logiciels malveillants préinstallés.

Cette situation est principalement observée sur les modèles d’appareils Android moins chers. Les acteurs de la chaîne de production, tels que les développeurs de micrologiciels, exploitent l’externalisation pour introduire clandestinement du code malveillant. Ces logiciels malveillants préinstallés en usine transforment les smartphones en outils de vol de données, d’accès aux comptes de réseaux sociaux et de fraude au clic. ZATAZ vous alertait de cette situation concernant des claviers d’ordinateurs, ainsi que les boîtiers vidéos vendus sur des plateformes telles qu’Amazon ou AliBaba.

Bien qu’aucun appareil ne soit totalement immunisé contre les menaces, investir dans un smartphone de meilleure qualité peut réduire le risque d’infection par des logiciels malveillants préinstallés. Il est également important de prendre d’autres mesures de sécurité pour protéger son appareil. Les utilisateurs doivent être prudents lors du téléchargement et de l’installation d’applications, en vérifiant leur source et en lisant les avis des utilisateurs. Il est recommandé de garder son système d’exploitation et ses applications à jour en installant régulièrement les mises à jour de sécurité fournies par le fabricant. De plus, l’utilisation d’une solution antivirus fiable sur son appareil peut contribuer à détecter et à bloquer les logiciels malveillants.

cyberattaque, Cybersécurité

Des entreprises tardent à corriger la vulnérabilité GoAnywhere MFT même après les attaques du rançongiciel Cl0p

Des dizaines d’organisations sont toujours exposées à des cyberattaques via une vulnérabilité largement exploitée dans GoAnywhere MFT, un outil Web qui aide les organisations à transférer des fichiers.

Depuis février 2023, les groupes de rançongiciels Cl0p et Blackcat ont cyber attaqués des dizaines de grandes entreprises et gouvernements du monde via une vulnérabilité zero-day GoAnywhere (CVE-2023-0669).

Les gouvernements de Toronto et de Tasmanie ont été touchés par l’incident aux côtés de géants comme Proctor & Gamble, Virgin et Hitachi comme avait pu vous le révéler le blog dédié à l’actualité de la cybersécurité ZATAZ, à l’époque.

Un correctif pour la vulnérabilité avait été publié en février, ce qui n’a pas empêché Cl0p de compromettre plus de 130 organisations.

Il y a quelques jours, une société de cybersécurité a pris son abonnement chez Shodan est a regardé les machines encore connectées. Plus de 2 mois après la divulgation de ce 0Day, 179 hôtes affichaient encore des panneaux d’administration GoAnywhere MFT ! 30% d’entre eux montraient qu’ils n’étaient pas encore mis à jour.

Android, backdoor, Cybersécurité, Mise à jour

Fleckpe, le nouveau malware Android au 600 000 victimes

Un nouveau logiciel malveillant du nom de FleckPe aurait déjà infiltré plus de 620 000 appareils Android.

Des experts ont identifié un nouveau malware appelé Fleckpe. Il aurait infiltré plus de 620 000 appareils Android via le Google Play Store. Ce malware, se faisant passer pour un logiciel légitime, a pour objectif de générer des paiements non autorisés et d’inscrire les utilisateurs à des services payants.

Les contributeurs de Fleckpe gagnent de l’argent en prélevant un pourcentage des frais d’abonnement mensuels ou uniques des propriétaires d’Android qui ont été infectés.

Les experts de la société Kaspersky notent que le logiciel malveillant est actif depuis 2022, mais qu’il n’a été détecté que récemment. Les chercheurs ont identifié 11 applications transformées en cheval de Troie dans le Google Play Store se faisant passer pour des éditeurs d’images, des photothèques, des fonds d’écran, etc.

Toutes ces applications ont été supprimées de la boutique officielle. Cependant, les attaquants pourraient héberger d’autres programmes qui n’ont pas encore été détectés. Lorsque Fleckpe est lancé, il décode une charge utile cachée contenant du code malveillant et communique avec un serveur de commande et de contrôle (C&C) pour envoyer des données sur l’appareil infecté.

Les développeurs ont récemment modifié la bibliothèque native pour déplacer le code d’abonnement, laissant la charge utile pour interagir avec les notifications et modifier l’affichage des pages Web.