Tous les articles par Damien Bancal

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Laisser un commentaire

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

Cybersécurité, santé

Le Royaume-Uni publie une stratégie pour protéger le National Health Service des cyberattaques

Laisser un commentaire

Le gouvernement britannique a publié mercredi sa nouvelle stratégie de cybersécurité pour le National Health Service, visant à rendre le secteur de la santé du pays « considérablement durci aux cyberattaques, au plus tard en 2030 ».

Le gouvernement britannique a publié une stratégie de cybersécurité visant à protéger le National Health Service (NHS) contre les cyberattaques d’ici 2030. Cette stratégie a été élaborée suite aux incidents de WannaCry en 2017 et d’Advanced l’année dernière, qui ont mis en évidence les risques que les attaques peuvent poser sur la fourniture de soins de santé.

Bien que la stratégie indique que le NHS est mieux protégé contre les attaques non ciblées, elle souligne qu’il reste des défis importants nécessitant des améliorations continues de la cybersécurité dans le secteur. Les incidents liés aux rançongiciels constituent désormais la majorité des réunions de gestion de crise du gouvernement britannique « Cobra ».

La stratégie vise à façonner un objectif commun à travers les soins de santé et sociaux contre les risques les plus critiques. Toutefois, le NHS n’étant pas un organisme unique, mais un ensemble décentralisé de plusieurs systèmes de santé publics fournis par des milliers d’organisations de santé et de services sociaux distincts, chaque organisation doit assumer la responsabilité de sa propre cybersécurité. Pour aider les organisations de santé et de protection sociale, le gouvernement a mis en place un centre d’opérations de cybersécurité (CSOC) surveillant les systèmes locaux dans tout le pays pour détecter les premiers signes de cyber-vulnérabilités et inscrivant plus de 1,67 million d’appareils sur Microsoft Defender pour Endpoint.

Cartographier les fournisseurs

En outre, la stratégie prévoit la cartographie des fournisseurs les plus critiques d’ici 2024 et le développement d’un cadre pour soutenir les centres d’opérations de sécurité locaux. Les difficultés auxquelles le gouvernement est confronté dans la protection du NHS découlent de la complexité du secteur, composé de systèmes interdépendants avec des risques et des besoins différents.

La stratégie reconnaît que la cybermenace la plus importante à laquelle le secteur est confronté est le rançongiciel, mais elle met également en garde contre d’autres menaces moins répandues, telles que les acteurs étatiques cherchant à accéder à des informations sensibles, ou des personnes travaillant dans ou à proximité du secteur de la santé et de la protection sociale cherchant à abuser de leur accès privilégié.

Après l’attaque contre le fournisseur de logiciels Advanced l’année dernière, le département de la santé a commencé à analyser la chaîne d’approvisionnement critique, un processus qui comprenait l’essai d’outils d’assurance, l’élaboration d’un plan d’engagement et l’élaboration de critères de criticité. Le NHS développe actuellement un nouveau produit pour cartographier ses fournisseurs les plus critiques d’ici 2024.

Dans une déclaration conjointe publiée parallèlement à la stratégie, le CISO et le directeur exécutif des National Cyber Operations au NHS ont déclaré que chaque organisation de santé et de protection sociale doit assumer la responsabilité de sa propre cybersécurité, avec les équipes de sécurité nationale définissant la direction et fournissant un support central.

Bien que la stratégie soit ambitieuse, il reste encore du travail à faire pour renforcer la cybersécurité dans le secteur de la santé. La publication de cette stratégie est une étape importante dans la protection du NHS contre les cyberattaques, mais cela nécessitera une collaboration continue entre le gouvernement et les organisations de santé et de protection sociale pour renforcer la résilience de l’ensemble du secteur.

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Laisser un commentaire

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

Cybersécurité, Patch

Patch Tuesday mars 2023

Le Mardi des Correctifs de Microsoft (Patch Tuesday) résout plusieurs vulnérabilités critiques, dont certaines doivent être traitées en priorité et sont activement exploitées, y compris celles liées aux correctifs des vulnérabilités TPM2.0.

Sur les 101 vulnérabilités résolues, 9 sont considérées comme des failles critiques, dont deux zero-day exploitées activement. Le premier 0Day, CVE-2023-23397, est une faille critique dans le serveur Microsoft Exchange. Un attaquant distant authentifié peut l’exploiter en envoyant un simple e-mail se faisant passer pour la victime, permettant ainsi d’accéder à d’autres services utilisant le hachage Net-NTLMv2.

Le second 0Day, CVE-2023-24880, est une vulnérabilité permettant de contourner les fonctions de sécurité. Ces vulnérabilités sont couramment utilisées par les attaquants ou les logiciels malveillants pour esquiver la protection « mark of the web », qui ouvre un document/fichier en mode lecture seule. Un attaquant exploite actuellement cette vulnérabilité pour distribuer des fichiers MSI (Microsoft Installer) malveillants.

En plus de ces vulnérabilités, Microsoft a également résolu trois failles critiques d’exécution de code à distance sans authentification, affectant les protocoles HTTP, ICMP et RPC. Toutes ces vulnérabilités sont classées avec un score CVSSvs de 9,8, indiquant un risque d’exploitation significativement élevé. Par ailleurs, Microsoft a fourni deux correctifs critiques pour les spécifications de la bibliothèque de référence TPM2.0 dans les pilotes tiers. La technologie Trusted Platform Module (TPM) est conçue pour offrir des fonctions matérielles liées à la sécurité et est principalement utilisée pour évaluer l’intégrité du système.

CVE-2023-23397 est une vulnérabilité EoP dans Microsoft Outlook qui a été exploitée dans la nature. Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle.

En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’e-mail malveillant. Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d’un utilisateur et mener une attaque de type relais NTLM afin de s’authentifier à nouveau en tant qu’utilisateur. « Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu’elle a pu être exploitée dans la nature contre des cibles ukrainiennes. Les équipes de recherche de Microsoft ont également été créditées de la découverte de cette faille. » confirme la société Tenable.

CVE-2023-24880 est un contournement de la fonction SmartScreen intégrée à Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis internet. Cette faille a été exploitée dans la nature et divulguée publiquement avant qu’un correctif ne soit disponible.

Un attaquant peut créer un fichier spécialement conçu pour exploiter cette faille, ce qui permet de contourner les fonctions de sécurité MOTW, telles que Microsoft Office Protected View.

Cette faille a été attribuée à des chercheurs de Microsoft (Bill Demirkapi) et du Threat Analysis Group de Google (Benoît Sevens et Vlad Stolyarov).

Mardi des Correctifs

Le Patch Tuesday, également appelé Mardi des Correctifs, est un concept introduit par Microsoft en 2003 pour simplifier et rationaliser le processus de mise à jour des logiciels. Il s’agit d’un calendrier régulier, où Microsoft publie des mises à jour de sécurité pour ses produits le deuxième mardi de chaque mois. L’objectif principal de cette initiative est de fournir un calendrier prévisible et fiable pour les administrateurs système et les utilisateurs, afin qu’ils puissent planifier et appliquer ces mises à jour de manière efficace.

La mission du Patch Tuesday est de protéger les utilisateurs et les organisations contre les vulnérabilités et les menaces de sécurité qui pourraient affecter les logiciels et les systèmes Microsoft. Les mises à jour de sécurité comprennent généralement des correctifs pour les failles de sécurité découvertes, des améliorations de la performance et de la stabilité, ainsi que des mises à jour des fonctionnalités des produits.

En adoptant ce calendrier régulier, Microsoft a réussi à réduire l’impact des mises à jour de sécurité sur les entreprises et les utilisateurs finaux, en facilitant la planification et la gestion des correctifs. Cependant, si une vulnérabilité critique est identifiée et exploitée activement, Microsoft peut publier des correctifs de sécurité hors cycle, appelés « correctifs d’urgence » ou « out-of-band patches », pour protéger les utilisateurs et les systèmes concernés.

Entreprise

5 choses à savoir pour bien choisir son système de vidéo surveillance

Le système de vidéo surveillance est composé de caméras, d’enregistreurs et de moniteurs. Avec les nombreux modèles qui sont disponibles sur le marché, il n’est pas toujours évident de trouver celui qui correspond entièrement à vos besoins. Découvrez dans ce billet cinq choses que vous devez savoir pour bien choisir votre système de vidéo surveillance.

L’usage que vous voulez en faire

L’une des choses qu’il est important de savoir pour bien choisir votre système de vidéo surveillance est l’usage que vous voulez en faire et l’endroit où vous souhaitez l’installer.

En effet, le système de vidéosurveillance intègre une ou plusieurs caméras qui sont installées à des endroits stratégiques pour dissuader les vols, les effractions et les vandalismes. Parmi les endroits possibles où vous pourrez installer votre système, figure le jardin, le portail, les pièces intérieurs renfermant des objets de valeur, etc. D’ailleurs, pour installer ce système à votre domicile, il vous suffira de recourir aux services de cette entreprise de vidéosurveillance à Strasbourg, reconnue pour la qualité de ses prestations.

Les modèles de caméra disponibles sur le marché

Pour bien choisir votre système de vidéo surveillance, vous devez prendre connaissance des différents modèles de caméra disponibles sur le marché. On peut citer par exemple les caméras IP filaires ou sans fil, les caméras avec détection de mouvement et les caméras d’extérieur.

Les caméras filaires présentent un très bon signal qui ne s’interfère pas, ni avec des murs trop épais ni avec des structures en métal. Par contre, les caméras de surveillance sans fil transmettent non seulement l’image et le son via un réseau wifi, mais ils possèdent aussi une portée assez limitée.

Les caméras avec détection de mouvement quant à elles, sauvegardent les images lors de la détection d’un mouvement le jour comme la nuit. La détection peut se faire numériquement soit via infrarouge.

En ce qui concerne les caméras d’extérieur, elles sont très résistantes par rapport aux caméras d’intérieur. Cela est dû aux normes d’étanchéité qui sont spécifiées sur le dispositif notamment IP 65 et IP 66.

Le support d’enregistrement

L’autre critère dont vous devez tenir compte pour bien choisir votre système de vidéo surveillance est le support d’enregistrement. En réalité, les caméras ont la possibilité d’enregistrer les images de différentes façons. Cela peut se faire sur micro-SD, sur disque dur ou sur le Cloud. À vous de choisir le support d’enregistrement qui vous convient le mieux.

La résolution de l’image

La résolution est un critère à ne pas négliger lors du choix de votre système de vidéo surveillance. En réalité, un système de vidéo surveillance optimal doit avoir à priori deux résolutions. La première résolution est pour la visualisation en direct et la seconde est réservée aux enregistrements.

La qualité des images et la taille des caméras

Pour être certain d’avoir un bon système de vidéo surveillance, vous devez vérifier la qualité des images des caméras et le nombre de lignes TV dont elles disposent. En réalité, la bonne qualité est garantie à partir de 500 lignes. Aussi, il serait préférable de miser sur une caméra de petite taille puisqu’elle est discrète.

Banque, Bitcoin, Cybersécurité

Évolution inquiétante des outils pirates

En février 2022, les experts en sécurité de l’information ont détecté l’arrivée du banquier pirate Xenomorph. Armé pour usurper, par superposition, les applications de 56 banques, le malware a rapidement été propagé grâce à des droppers publiés sur Google Play.

Au fil des mois, les pirates ont réécrit le code malveillant, lui donnant une plus grande modularité et flexibilité. La troisième version, découverte par des experts néerlandais, est distribuée via des reconditionnements d’applications Android légitimes créées au moyen du service Zombinder, et est installée dans le système en tant que protection Play Protect.

Les avantages de Xenomorph v.3 sont annoncés sur un site spécialement créé. L’outil est loué, un service MaaS (Malware-as-a-Service, malware as a service).

Les nouvelles fonctions de Xenomorph v.3

Après la mise à jour, l’outil pirate s’est doté d’un nouveau module construit sur le framework ATS, qui nécessite l’accès au service d’accessibilité Android (Accessibility Service).

Les fonctions implémentées dans les scripts permettent d’automatiser le processus de retrait d’argent des comptes des victimes : voler des comptes, vérifier le solde, initialiser des virements bancaires et réussir des transactions frauduleuses (grâce à l’enregistrement du contenu d’applications d’authentification tierces).

Le cheval de Troie dispose également d’un module pour voler les cookies d’Android CookieManager. Il ouvre une fenêtre WebView avec une URL de service légitime et JavaScript activé pour inviter l’utilisateur à saisir ses informations d’identification.

En cas de succès, l’opérateur du logiciel malveillant pourra détourner les cookies de session de la victime et prendre le contrôle de ses comptes.

Le Xenomorph mis à jour est capable d’attaquer les clients de 400 banques – principalement dans les pays européens, la Turquie, les États-Unis, l’Australie et le Canada. Les experts en sécurité recommandent de rester vigilant lors de l’utilisation d’applications bancaires, de garder les systèmes et les applications à jour et de ne pas télécharger d’applications à partir de sources inconnues.

Pendant ce temps

Les cybercriminels à l’origine des attaques du rançongiciel IceFire sont également passés à Linux.

Spécialement à ces fins, les attaquants ont développé un chiffreur approprié, qui a été remarqué par des chercheurs de SentinelLabs.

Selon les experts, lors des nouvelles attaques, les opérateurs IceFire ont déjà réussi à pirater les réseaux de plusieurs organisations de médias et de divertissement. Selon le rapport , la campagne a été lancée à la mi-février 2022. Une fois que les attaquants ont pénétré le réseau de la victime, ils déploient une nouvelle variante du logiciel malveillant qui chiffre les systèmes Linux.

Le groupe Qilin (ransomware) possède une version linux de son outil pirate.

Au lancement, IceFire traite certains fichiers en leur ajoutant l’extension « .ifire ». Fait intéressant, une fois le processus de cryptage terminé, le logiciel malveillant essaie de brouiller les pistes et de supprimer son binaire du système. IceFire ne chiffre pas tous les fichiers, excluant spécifiquement un certain nombre de chemins. Ceci est fait pour que les composants critiques du système ne soient pas affectés.

Les opérateurs IceFire opèrent depuis mars 2022 , cependant, leur activité a souvent été spasmodique. Le ransomware exploite une vulnérabilité de désérialisation dans le logiciel IBM Aspera Faspex (CVE-2022-47986). La tendance des ransomwares Linux s’est accélérée. En 2022 de nombreux groupes se sont penchés sur Linux, comme BlackBasta, Hive (HS), Qilin, Vice Society.

APT, Cybersécurité, Mise à jour

L’activité Emotet a repris après une interruption de trois mois

Des experts ont remarqué que le code malveillant Emotet a repris son activité de spammeurs après une « accalmie » de trois mois.

Emotet, le retour. Après une pause de trois mois, l’outil malveillant refait surface via des vagues de spams dont il a le secret. Jusqu’à présent, les spécialistes de la sécurité de l’information n’ont trouvé aucune charge utile supplémentaire. Il semble que le logiciel malveillant collecte simplement des données pour de futures campagnes de spam.

La reprise de l’activité malveillante a été signalée par les analystes de la sociétés Cofense et du groupe Cryptolaemus. Cette team a été fondée en 2018 pour combattre Emotet.

Les chercheurs ont rappelé que la dernière campagne de spam Emotet avait été observée en novembre 2022. Un spamming de deux semaines.

Cette fois, au lieu d’utiliser des courriels de réponse à d’autres messages, comme lors de la campagne précédente, les pirates utilisent des e-mails qui imitent diverses factures. Des archives ZIP contenant intentionnellement des documents Word « gonflés » de plus de 500 Mo sont jointes à ces courriers électroniques. Les documents sont délibérément remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser pour les antivirus.

En fait, ces documents contiennent de nombreuses macros qui téléchargent le chargeur Emotet en tant que DLL à partir de sites compromis (principalement des blogs WordPress piratés). Après le téléchargement, le logiciel malveillant est enregistré dans un dossier avec un nom aléatoire. Un DLL gonflé pour perturber, une fois encore, les logiciels d’analyse.

Selon VirusTotal, jusqu’à présent, seul un fournisseur de solutions de sécurité sur 64 a détecté le piège !

cyberattaque, Justice, Sécurité

Le développeur de NetWire arrêté

En Croatie, le développeur de NetWire RAT, Mario Žanko, a été arrêté et l’infrastructure du malware a été saisie par les autorités.

Mario Žanko, 40 ans, est un informaticien recherché par le FBI depuis des années. Il faut dire aussi que son logiciel pas comme les autres a permis d’orchestrer des dizaines de milliers de piratages de part le monde. L’outil en question, un cheval de Troie baptisé NetWire RAT (Remote Access Trojan). Des centaines de pirates utilisent cet outil d’espionnage comme vous pourrez le lire plus bas.

L’opération internationale, à laquelle ont participé le FBI et les forces de l’ordre de nombreux pays, dont la Croatie, la Suisse et l’Australie, a conduit à l’arrestation du créateur du malware. Les autorités ont saisi son site web (World Wired Labs) ainsi que du serveur d’hébergement.

Vendu comme outil pour entreprise

En 2012, Netwire était vendu, comme je vous le montre dans ma capture écran datant de cette époque, comme un logiciel d’entreprise, ayant pour mission d’augmenter la productivité de la société acquéreuse. « NetWire fournit une collection intégrée d’utilitaires d’administration au sein d’une interface centralisée pour la gestion à distance des serveurs, postes de travail, ordinateurs de bureau et ordinateurs portables Windows, Linux et Solaris. Une interface intuitive et simple offre un accès simplifié aux versions personnalisées des utilitaires d’administration, dont beaucoup ont été considérablement améliorés pour offrir des performances supérieures, des fonctionnalités supplémentaires et une facilité d’utilisation. » dixit le service marketing de l’époque.

Seulement, l’outil va très vite être détourné. Il va devenir le cheval de Troie le moins cher du marché, et le plus utilisé. Les licences allaient de 10$ à 1200 dollars par mois, les pirates avaient en main un outil particulièrement efficace. Le mandat d’arrêt contre l’auteur du Netwire RAT a été émis le 3 mars 2023.

Quelques jour plus tard, dans le cadre d’une opération internationale coordonnée, le développeur a été arrêté en Croatie. Le FBI a confisqué le nom de domaine, la police suisse a saisi le serveur hébergeant le site.

La presse Croate a révélé que son auteur, Mario Žanko (40 ans), originaire de Sinja, passera les prochains jours en garde à vue à Remiteče, afin de ne pas influencer les potentiels témoins. Les enquêteurs ont trouvé plus de 650 000 dollars américains, et 268 615 euros sur des comptes bancaires.

L’enquête a débuté à l’automne 2020. Le FBI a acheté une licence NetWire et tiré les ficelles durant trois mois pour remonter à l’auteur. Pas bien compliqué, son adresse Gmail était accessible depuis 2012.

Des pirates Nigérians adeptes de Netwire

Cela peut paraître drôle et moins pathétique que ce à quoi nous sommes habitués. Mais des pirates nigérians ont été actifs dans des attaques visant des entreprises de transport en Amérique du Nord, en Europe et au Moyen-Orient. Les détails concernant les attaquants ont été révélés par les chercheurs de Proofpoint, qui ont étudié en profondeur les formes et les méthodes du groupe TA2541 pendant plusieurs années. Selon les experts, les pirates ciblent exclusivement les industries de l’aérospatiale, de l’aviation, de la défense, de la fabrication et du transport. Le groupe est actif depuis au moins 2017 et a utilisé des sujets liés à l’aviation, aux transports et aux voyages pour infecter des cibles avec divers chevaux de Troie d’accès à distance (RAT), dont Netwire.

Toujours la même méthode : des courriels de phishing contenant des pièces jointes Word activées par macro pour déployer des charges utiles malveillantes. Ils ont une tactique et s’y tiennent, et apparemment cela fonctionne puisque le groupe se comporte de la même manière depuis 5 ans.

Toutefois, dans les attaques récentes, le groupe a commencé à utiliser fréquemment des liens vers des services nuagiques (cloud), notamment Google Drive, OneDrive, GitHub, Pastetext et Sharetext. Les URL de Google Drive récemment découvertes ont conduit à un fichier VBS malveillant conçu pour recevoir des charges utiles provenant d’autres plateformes. Les attaques utilisent également des scripts PowerShell et Windows Management Instrumentation (WMI) pour interroger les produits de sécurité que l’attaquant tente de désactiver. TA2541 recueille également des informations sur le système avant d’installer des RAT et envoie généralement plus de 10 000 messages à la fois pendant l’attaque.

Les experts estiment que le groupe n’est pas très compétent, car il utilise des familles de logiciels malveillants populaires de 2017 accessibles au public. Mais récemment, les attaquants ont privilégié AsyncRAT, NetWire, Parallax et WSH RAT aux côtés de Revenge RAT, vjw0rm, Luminosity Link, njRAT.

L’objectif ultime des attaquants reste inconnu à l’heure actuelle.

Securite informatique

9 millions de clients piratés chez AT&T

Le géant des télécommunications AT&T a informé environ 9 millions de clients que certaines de leurs données avaient été exposées en raison du piratage d’un fournisseur de marketing tiers en janvier 2023.

Le blog ZATAZ, référence mondiale dans les actualités liées au cybercrime, révélait, en janvier 2023 et février 2023, le cas de plusieurs fuites de données impactant des géants des télécom US. Dans le lot, Verizon et A&T.

Des représentants de la société américaine AT&T ont déclaré que l’ensemble de données divulgué datait de plusieurs années et était associé au droit de mettre à niveau les appareils. La société a souligné que la fuite n’affectait pas les propres systèmes d’AT&T.

C’est un fournisseur tiers, qui n’a pas été nommé, qui serait responsable de cette fuite d’informations impactant « d’environ 9 millions de comptes […] Un fournisseur que nous utilisons à des fins de marketing a subi un incident de sécurité. Les informations réseau appartenant aux clients ont été divulguées, telles que le nombre de lignes associées à un compte ou les détails du forfait de données sans fil. Les informations n’incluaient pas les informations de carte de crédit, les numéros de sécurité sociale, les mots de passe de compte ou d’autres informations sensibles« , a déclaré AT&T.

backdoor, Cybersécurité

Piratage : emplois via LinkedIn, attention danger !

Des hackers nord-coréens visent des spécialistes de la cybersécurité en leur proposant des emplois via LinkedIn.

Des experts ont remarqué que les pirates nord-coréens ont concentré leur attention sur les spécialistes de la sécurité de l’information. Les attaquants tentent d’infecter les chercheurs avec des logiciels malveillants dans l’espoir d’infiltrer les réseaux des entreprises pour lesquelles les cibles travaillent.

La première campagne date de juin 2022. Elle ciblait une entreprise technologique américaine. Ensuite, les pirates ont tenté d’infecter la cible avec trois nouvelles familles de logiciels malveillants (Touchmove, Sideshow et Touchshift).

Peu de temps après, il y a eu une série d’attaques contre les médias américains et européens par le groupe UNC2970. Une cyber attaque reliée par la société Mandiant à la Corée du Nord. Pour ces attaques, l’UNC2970 a utilisé des courriers électronique d’hameçonnage déguisés en offres d’emploi dans le but de contraindre leurs cibles à installer le logiciel malveillant.

Changement de tactique

Les chercheurs affirment que l’UNC2970 a récemment changé de tactique et est désormais passé de l’utilisation de phishing à l’utilisation de faux comptes LinkedIn prétendument détenus par les Ressources Humaines (RH). De tels récits imitent soigneusement l’identité de personnes réelles afin de tromper les victimes et d’augmenter les chances de succès de l’attaque.

Après avoir contacté la victime et lui avoir fait une « offre d’emploi intéressante », les attaquants tentent de transférer la conversation sur WhatsApp, puis utilisent soit le messager lui-même, soit un courriel pour livrer le logiciel piégé. Mandiant a appelée l’outil malveillant Plankwalk.

Plankwalk et d’autres logiciels malveillants du groupe utilisent principalement des macros dans Microsoft Word. Lorsque le document est ouvert et que les macros sont activées, la machine cible télécharge et exécute la charge utile malveillante à partir des serveurs des pirates (principalement des sites WordPress piratés).

En conséquence, une archive ZIP est livrée à la machine cible, qui contient, entre autres, une version malveillante de l’application de bureau à distance TightVNC (LIDSHIFT). L’un des documents utilisés usurpe l’identité du journal New York Times.

Etonnante méthode, donc, de penser que des spécialistes de la cybersécurité vont cliquer sur des fichiers inconnus ! (Mendiant)

Cybersécurité

Un centre hospitalier belge obligé de fermer ses urgences

Nouvelle attaque, même conséquence. Des pirates informatiques ont réussi à perturber les urgences d’un centre hospitalier belge.

Samedi 11 mars 2023, branle-bas de combat pour le Centre Hospitalier universitaire Saint-Pierre. L’établissement de santé basé à Bruxelles s’est retrouvé alerté d’une cyberattaque en cours.

Bilan de cette malveillance, qui ressemble fort à celle vécue par le centre hospitalier de Brest ou encore la Ville de Lille, fermeture de services.

Le centre hospitalier Saint-Pierre a du bloquer, quelques heures, ses urgences avant de relancer ses services aux usagers.

Selon la clinique, aucune donnée n’a été volée ou divulguée jusqu’à présent. Blocage à la sauce DDoS ? Ransomware ?

Cybersécurité, Entreprise

Cybersécurité et crise de l’eau

L’Agence américaine de protection de l’environnement (EPA) demande aux États d’inclure la cybersécurité dans leurs audits des systèmes publics de distribution d’eau, une mesure destinée à faire face à une vague d’attaques dans ce secteur.

De plus en plus d’entreprises, spécialisée dans l’eau et sa gestion, seraient ciblées par des cyberattaques aux USA. Bilan, dans un mémorandum publié vendredi, les responsables de l’Agence américaine de protection de l’environnement (EPA) indiquent que plusieurs systèmes publics de distribution d’eau n’ont pas adopté les meilleures pratiques en matière de cybersécurité, ce qui les expose à de dangereuses attaques numériques.

« Les cyberattaques contre les infrastructures critiques, y compris les systèmes d’eau potable, sont en augmentation, et les systèmes publics d’eau sont vulnérables. Les cyberattaques peuvent contaminer l’eau potable, ce qui menace la santé publique« , a déclaré Radhika Fox, administratrice adjointe de l’EPA.

L’EPA a mis en garde contre l’augmentation des cyberattaques visant les installations de distribution d’eau (des pirates « basics », des cybercriminels d’État ou encore d’employés mécontents).

Parmi les attaques repérées : arrêt des processus de traitement de l’eau, verrouillage des réseaux de systèmes de contrôle (ransomwares) ou encore désactivation des communications utilisées pour surveiller et contrôler l’infrastructure du système de distribution, comme les stations de pompage. (CSIS)

Apple, Bitcoin, Cybersécurité

Un pirate utilise Final Cut Pro pour installer des crypto mineurs

Vous utilisez une version piratée de Final Cut Pro ? Votre ordinateur Apple est peut-être manipulé par des hackers malveillants qui minent des cryptomonnaies via votre machine.

Selon un rapport diffusé par la société Jamf, un pirate informatique utilise des versions piratées du logiciel de montage vidéo Final Cut Pro pour installer un outil de crypto minage sur les appareils Apple.

Jaron Bradley, directeur principal des détections MacOS de la société basée à Minneapolis, a déclaré que les logiciels malveillants déguisés ou intégrés à l’intérieur d’applications piratées sont un problème depuis les premiers jours du piratage de logiciels. « Les pirates y voient une opportunité facile lorsqu’ils n’ont pas à convaincre les utilisateurs d’exécuter leur logiciel malveillant, mais plutôt que les utilisateurs viennent à eux, prêts à installer quelque chose qu’ils savent illégal« .

Parmi les outils repérés, XMRig. Ce logiciel peut être utilisé légitimement pour miner de la crypto-monnaie sur ses propres appareils, il a été adapté par les pirates.

Les versions piégées ont été récupérés via torrent. Le diffuseur est connu pour être un professionnel de la diffusion de copies d’outils Apple.
macOS Ventura bloque la tentative malveillante. (jamf)

cyberattaque, Cybersécurité

Medusa ransomware, le groupe de pirates aux dents longues

Le jeune groupe de hackers Medusa, spécialise de la prise d’otage d’entreprise, montre un appétit et des cibles de hauts niveaux !

Voilà qui est inquiétant, et étonnant. Le jeune groupe de pirates informatiques du nom de Medusa est apparu « publiquement » début janvier 2023.

Ce groupe de malveillants affiche déjà plus de 25 entreprises victimes, menacées et/ou dont les informations internes, sensibles ont été diffusées dans le darkweb et sur des messageries sécurisées.

Parmi les victimes, L’Institut des Technologie de l’Espace du Pakistan, l’Autorité des aéroports du Kenya, la Banque d’Afrique, l’entreprise indonésienne PetroChina, le Casino Eureka de Las Vegas, ou encore, Tonga Communication et, ce 7 mars, l’école publique de Minneapolis.

Les demandes de rançons peuvent dépasser plusieurs centaines de milliers de dollars. Ils diffusent les informations exfiltrées en cas de non paiement aprés un compte à rebours pouvant atteindre une dizaine de jours.

Pour la casino de Las Vegas, par exemple, plus de 12 ans de données internes, dont l’analyse des joueurs !

Les pirates informatiques de Medusa filment leurs infiltrations et les diffusent sur le web.

Entreprise

Connectivité et sécurité : deux défis auxquels font face les entreprises

La connectivité se définit comme la possibilité, pour un système, d’être connecté (par un réseau informatique, téléphonique, etc.). Aujourd’hui, le nombre d’appareils connectés est en constante évolution. Des systèmes de sécurité automatisés aux ordinateurs, le monde est indéniablement connecté et numérique. La question légitime qui se pose dès lors à toute entreprise : comment allier sécurité et connectivité ? Est-ce compatible ?

Connectivité : indispensable pour les entreprises

« Nous vivons une révolution technologique, même s’il est parfois difficile d’en mesurer l’ampleur », a déclaré M.Hyppönen (Chief Research Officer chez F-Secure)  lors de la conférence sur la cybersécurité SPHERE du 1er juin 2022. « L’internet est la meilleure -et la pire- chose qui soit arrivée à notre époque ». Mikko Hyppönen, expert en cybersécurité, estime que les générations à venir seront également dépendantes de la connectivité. « Plus une nation est avancée, plus elle est vulnérable », a-t-il ajouté.

La connectivité fait partie du quotidien de nombreuses entreprises, ce fait est acquis pour tout le monde. Mais si elle leur permet d’accroître leur efficacité, elle présente aussi des risques en termes de sécurité. Pour relever le double défi soulevé par ces questions de sécurité et de connectivité, les entreprises font appel à des solutions souvent complexes, dont le déploiement nécessite l’intervention de professionnels. Mais elles n’ont guère le choix, vu leur dépendance à l’égard de la connectivité.

Connectivité : risques liés à la cybersécurité 

Si la connectivité pour une entreprise se présente comme une solution optimisant les capacités et la productivité des salariés, il est évident que cela a des conséquences sur la sécurité. Le premier risque étant le piratage. En effet, la façon dont les appareils connectés sont gérés et protégés, aura une incidence sur les risques cyber. Chaque terminal connecté à internet est une porte d’entrée dans le système pour les cybercriminels. Bien souvent, les entreprises possèdent des installations intégrant des caméras, des alarmes WI-FI et autres. Tous ces objets connectés stockent des données sensibles, qu’ils vont transmettre de façon continue. C’est la même chose pour les imprimantes et les ordinateurs, qui représentent d’éventuels points d’accès aux informations de l’entreprise.

Ainsi, plus l’entreprise possède de terminaux, plus les surfaces d’attaques potentielles augmentent : le risque de vol de données sensibles s’intensifie. D’autant plus qu’il est souvent difficile de récupérer les données volées, dans le cas des ransomwares notamment. De plus, les pirates ne sont pas en reste pour faire évoluer leurs tactiques et redoublent d’ingéniosité. Il peut donc être pertinent d’apprendre sur le thème de la cybersécurité, et de former ainsi les employés des entreprises. Sensibilisés à cette question cruciale, ils respecteront davantage les mesures élémentaires de cybersécurité, comme l’utilisation de mots de passe différents et complexes pour chaque service par exemple.

Connectivité et sécurité : vers une solution globale
Aujourd’hui, alors que les entreprises cherchent à relever conjointement ces deux défis que sont la connectivité et la sécurité, le terme SD WAN (Software-Defined WAN) fait le buzz. Avec les solutions actuelles, le réseau demeure rigide, statique, et la sécurité est beaucoup trop fragmentée entre divers domaines. La connectivité et la sécurité vont ralentir l’activité au lieu de favoriser l’innovation et l’agilité. Le SD WAN représente une solution efficace alliant connectivité et sécurité pour les entreprises, à l’aide d’une architecture virtuelle permettant davantage de réactivité, de prévisibilité et d’agilité à moindres coûts tout en surveillant la performance de l’ensemble des réseaux et applications en temps réel.
Chaque solution SD WAN comportent de multiples avantages pour les entreprises tels que :
  • Des coûts réduits ;
  • Des performances plus intéressantes ;
  • Une meilleure agilité ;
  • Une gestion simplifiée ;
  • Une augmentation de la continuité du WAN.
Pour qu’une entreprise puisse profiter de tous les avantages du SD WAN, il faut répondre à l’ensemble des contraintes de ses réseaux en termes de fiabilité, de sécurité, d’accessibilité et de performance.
Cybersécurité

Failles de sécurité sur le site Booking.com

Des chercheurs ont identifié des vulnérabilités chez Booking.com qui auraient pu permettre à des acteurs malveillants dusurper des comptes dutilisateurs, dexfiltrer des données de comptes privées, dannuler ou deffectuer des réservations, ainsi que dautres actions à la place de lutilisateur.

De nombreuses failles de sécurité ont été découvertes par des chercheurs sur le site Booking.com. Ces failles, décelées dans limplémentation du protocole Open Authorization (OAuth) utilisé par Booking.com, étaient susceptibles daffecter les utilisateurs se connectant au site depuis leur compte Facebook. Les erreurs de configuration de la fonctionnalité OAuth auraient ainsi pu mener à des usurpations massives de comptes clients (ATO), mais également à la compromission des serveurs, avec notamment les conséquences suivantes :

●      Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO)

●      Fuite dinformations personnelles (PII) et autres données sensibles stockées en interne par les sites

●      Exécution dactions à la place de lutilisateur, par exemple une réservation ou une annulation, ou encore la réservation dun moyen de transport

Lanalyse des vulnérabilités a été conduite et remise par Salt Labs, le laboratoire de recherche de Salt Security à lorigine de la découverte, qui met par ailleurs à disposition du public un forum sur la sécurité des API.

Connexion via un compte de réseau social

Cest au sein de la fonctionnalité de connexion via un compte de réseau social, utilisée par booking.com et implémentée au moyen du protocole standard nommé « OAuth », que les chercheurs ont identifié les failles. Populaire sur les sites et services web, OAuth permet aux utilisateurs de se connecter à dautres sites via leurs comptes de réseaux sociaux, le tout en un clic, ce qui représente un gain de temps par rapport à la méthode « classique » consistant à sinscrire et à sauthentifier avec un identifiant et un mot de passe.

Si OAuth offre lavantage dune expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables. Cest le constat établi par les chercheurs de Salt Labs après avoir manipulé la séquence OAuth sur le site Booking.com, ce qui leur a permis de pirater des sessions et dusurper des comptes dans le but de subtiliser des données et dagir à la place des utilisateurs.

Dès lors quil se connecte via Facebook, nimporte quel utilisateur de Booking.com est donc susceptible den faire les frais. Etant donné la popularité de loption « Se connecter avec Facebook », le nombre de victimes potentielles se compte rapidement en millions. Mais la liste des utilisateurs à risque ne sarrête pas là : le site Kayak.com (détenu par la même société, Booking Holdings Inc.) permet en effet à ses utilisateurs de se connecter à laide de leurs identifiants Booking.com, les exposant logiquement aux mêmes manœuvres.

Après cette découverte, les chercheurs de Salt Labs ont suivi un protocole strict visant à transmettre leurs conclusions à Booking.com. Résultat de cette action coordonnée : les failles ont été rapidement corrigées, et rien nindique à ce jour quelles ont été exploitées.

« OAuth sest rapidement imposé comme la norme dans le secteur, et des centaines de milliers de services lutilisent chaque jour à travers le monde », déclare Yaniv Balmas, VP Recherche, Salt Security. « En conséquence de quoi les erreurs de configuration dOAuth peuvent avoir des répercussions majeures sur les entreprises et les clients en raison de lexposition de données précieuses. Aucun site web nest infaillible, et leur rapide expansion cache à de nombreuses organisations la multitude de risques de sécurité qui affaiblissent leurs plateformes. »

backdoor, Cybersécurité

La Bulgarie, le pays le plus e.secure ?

Une étude de l’Union Européenne indique que 22% des entreprises de plus de 10 employés ont connu des incidents de cyber sécurité.

En 2021, dans l’Union Européenne, 22,2% des entreprises (comptant au moins 10 salariés et indépendants) de l’économie marchande ont connu des incidents de cyber sécurité des TIC entraînant différents types de conséquences, telles que l’indisponibilité des services Technologies de l’Information et de la Communication (TIC), destruction, modification de données ou divulgation d’informations confidentielles.

La conséquence la plus fréquemment signalée était l’indisponibilité des services TIC en raison de pannes matérielles ou logicielles (18,7%). L’indisponibilité des services TIC en raison d’attaques provenant de l’extérieur (par exemple, les attaques de rançongiciels, les attaques par déni de service) était beaucoup moins fréquente (3,5%).

Les entreprises de l’UE ont également signalé la destruction ou la corruption de données, causées par deux types d’incidents : en raison de pannes matérielles ou logicielles (3,9%) ou en raison d’une infection par un logiciel malveillant, ou d’une intrusion non autorisée (2,1%).

La conséquence la moins fréquente des incidents de sécurité des TIC était la divulgation de données confidentielles, liée à deux raisons différentes : intrusion, pharming, attaque de type hameçonnage, actions intentionnelles d’employés malveillants (1,1%) et actions non intentionnelles (erreurs d’employés – 1,0 %).

Les entreprises finlandaises enregistrent la plus forte incidence de problèmes de sécurité des TIC

Parmi les pays de l’UE, les pourcentages les plus élevés d’entreprises ayant enregistré des incidents de sécurité TIC entraînant l’indisponibilité des services TIC, la destruction ou la corruption de données ou la divulgation de données confidentielles se trouvaient en Finlande, avec plus des deux cinquièmes (43,8 %), suivie par la Pays-Bas et Pologne (30,1 % et 29,7 %), Tchéquie (29,3 %) et Danemark (26,4 %).

À l’autre extrémité de l’échelle, les parts les plus faibles se trouvaient en Bulgarie (11,0%), au Portugal (11,5%), en Slovaquie (12,3%), en Hongrie (13,4%) et à Chypre (14,3%).

Les TIC, ou Technologies de l’Information et de la Communication, sont des outils et des techniques utilisés pour collecter, traiter, stocker et transmettre des informations. Les TIC englobent un large éventail de technologies, notamment les ordinateurs, les réseaux de communication, les logiciels, Internet, les smartphones, les réseaux sociaux, les applications mobiles, les services en ligne, les médias sociaux, les jeux vidéo, la télévision interactive et la réalité virtuelle. Les TIC ont un impact majeur sur la vie professionnelle et personnelle des individus, ainsi que sur les organisations et la société dans son ensemble.

Justice

4 étapes pour appliquer le RGPD à son entreprise

L’arrivée du Règlement Général sur la Protection des Données en mai 2018 a bouleversé le quotidien de beaucoup entreprises. Et pour cause, ces quinze dernières années ont été émaillées de nombreux scandales en matière de vol de données. On pense par exemple, le scandale Facebook-Cambridge Analytica (en 2018) avec près de 87 millions d’utilisateurs visés par un vol de données.

La réglementation sur la protection des données a pour objet de garantir la sécurité des données personnelles des individus et plus largement protéger de la vie privée des personnes. Pour cela, le RGPD impose un certain nombre d’obligations aux acteurs de l’économie.

Quelles sont les 4 étapes clés pour se mettre en conformité au RGPD ?

1 – Collectez un minimum de données personnelles

L’un des principes fondateurs du RGPD (article 5) relève du bon sens : moins vous collectez de données plus vous réduisez les risques. Il consiste à s’interroger sur la question suivante : “Ai-je vraiment besoin de collecter ces données ?”.

En effet, le temps où vous collectiez des données pour peut-être vous en servir ultérieurement est révolu. Vous avez l’obligation de ne collecter que les données strictement nécessaires à votre activité (principe de minimisation des données).

Ce principe est directement lié à une seconde obligation : celle de déterminer les raisons pour lesquelles vous collectez des données. Vous devez indiquer la finalité dans un document appelé “registre de traitements” (étape n°3), c’est-à-dire l’objectif de la collecte et l’utilisation des données.

Par exemple : vous livrer votre produit à vos clients, ce dernier renseigne son nom, numéro de téléphone, adresse e-mail, adresse de livraison et informations bancaires. Vous n’avez pas besoin de connaitre le lieu de naissance (principe de minimisation) pour livrer le produit (finalité).

2 – Cartographiez vos données personnelles

Les données personnelles se baladent absolument partout. Faire l’inventaire de ces données est une étape clé. Pour ce faire, partez de vos outils CRM, éditeurs de mailings, boîtes mails etc. et notez les grandes catégories de données.

Pour rappel, une donnée personnelle est toute information directe ou indirectement permettant d’identifier une personne (article 4 RGPD). Les données relatives aux personnes morales ne sont pas protégées par le RGPD. Exemple de données personnelles :

  • Le nom et prénom d’une personne, son numéro de téléphone ou encore sa photo sont des données personnelles : elles l’identifient directement et personnellement.
  • La date de naissance, le métier ou encore la situation familiale d’une personne sont des données personnelles dès lors qu’elles concernent une personne identifiée, même indirectement.

Par exemple, une entreprise qui collecte les dates de naissance de ses clients pour affiner son discours commercial traite des données personnelles dans la mesure où il suffit de recouper les dates de naissance avec le fichier client pour identifier un individu en particulier.

Dès lors, toutes les données qui permettent de remonter à une personne physique, même indirectement, sont des données à caractère personnel.

Munissez-vous d’un logiciel RGPD tel que Leto qui met à disposition une brique technologique permettant d’identifier automatiquement toutes les catégories de données personnelles collectées dans les outils de votre entreprise. Faire appel à ce type de solution vous permet de gagner beaucoup de temps.

3 – Documentez ce que vous faites des données personnelles

Cette dernière étape a deux fonctions majeures :

  • Elle permet d’informer vos interlocuteurs de ce que vous faites de leurs données personnelles. Pour ce faire, munissez-vous d’une politique de confidentialité détaillant les données collectées, ce que vous en faites et comment ils peuvent former une demande de suppression, modification ou copie de leurs données.
  • Surtout, documentez l’ensemble des utilisations (appelées “traitements”) opérées sur ces données dans un registre de traitements. Ce registre vous permet à la fois pour montrer pâte blanche à vos partenaires lors d’audit mais également à justifier de votre conformité en cas de contrôle par la CNIL.
  • Lorsque vous travaillez pour le compte d’autres entreprises, vous avez le statut de sous-traitant au regard du RGPD. À ce titre, certaines obligations vous incombent et notamment, de proposer à vos clients un contrat sous-traitant qui respecte les exigences de l’article 28 RGPD. C’est LE document qui prouve à vos partenaires que vous agissez de manière conforme au RGPD.

Politique de confidentialité, registre de traitements et contrats sous-traitants : voilà les documents dont vous avez besoin pour prouver votre conformité auprès des autorités, de vos partenaires et de vos clients.

La construction de ces documents est souvent proposée par des cabinets d’avocats pour un prix très élevé alors que des solutions moins couteuses et plus rapides existent. Ayez plutôt recours à une solution SaaS comme Leto dont la plateforme permet de générer automatiquement votre registre de traitements, registre sous-traitants et vous guide dans la construction de toute votre documentation.

4 – Sensibilisez vos collaborateurs avec Leto

Chaque collaborateur de votre entreprise est amené à collecter et manipuler des données personnelles. La protection des données est donc l’affaire de tous. Penser que ce sujet ne concerne qu’une personne dans votre entreprise est un piège dès lors tout collaborateur peut être une cible de cyber-attaques.

Sensibiliser ses collaborateurs pour qu’ils acquièrent les bons réflexes est un gain de temps immense en matière de conformité. La sensibilisation des équipes est d’ailleurs une des missions obligatoire du délégué à la protection des données (DPO).

Qu’elle soit l’expression d’une obligation légale ou d’une volonté de montée en maturité sur ces sujets, la sensibilisation est votre meilleur outil.

Basé sur son expérience user, le logiciel Leto propose un module de sensibilisation des collaborateurs avec une banque de plus 100 questions pensées pour représenter des cas concrets pour chaque métier (Marketing, RH, Finance, Tech, Data, IT etc.). Vous avez également la possibilité de créer vos propres questions directement depuis l’outil et de lancer des campagnes auprès de vos équipes via votre outil de messagerie interne préféré. Le résultat de ces campagnes vous permet d’identifier les sujets les moins maitrisés, les personnes les moins à l’aise avec ces sujets tout en ayant la documentation associée à chaque question.

Contrairement aux idées reçues, la conformité au RGPD est un levier puissant de développement de votre activité. Aujourd’hui, des solutions SaaS vous permettent d’y parvenir simplement et rapidement.

Cybersécurité, Entreprise

Confusions et approximations : l’approche bancale des dirigeants en matière de renseignement cyber

Dans un monde en proie aux bouleversements géopolitiques, environnementaux et économiques, il n’a jamais été aussi essentiel pour les entreprises de connaître la nature des menaces de cybersécurité. Pourtant, les dirigeants doivent souvent prendre des décisions cruciales sans vision claire du paysage des menaces et du risque encouru par leur organisation.

L’incompréhension du langage lié à la cybersécurité par les cadres dirigeants ainsi que d’autres freins majeurs nourrissent leurs lacunes en la matière

Les dirigeants français se trouvent souvent démunis face au jargon et aux termes techniques spécifiques. 46% d’entre eux admettent que le vocabulaire de base de la cybersécurité les laissent confus, des termes tels que « malware », « phishing » et « ransomware ». Les termes plus techniques tels que “Exploits Zero Day” (39,5%), YARA (44,5%) et “Suricata rules” (48,5%) ont pourtant suscité des niveaux de confusion similaires. Les dirigeants français se trouvent particulièrement en difficulté face à ce jargon, leur confusion est bien plus élevée que la moyenne européenne sur tous les termes sondés.

Parmi les autres freins majeurs soulevés par les dirigeants français, les restrictions budgétaires sont largement évoquées par 52% d’entre eux, suivies de près par le manque de formation (51,5%) mais également le manque d’outils (37,5%) et le manque de temps (35,5%).

Et pourtant, de nombreux cadres dirigeants français (46%) admettent que la cybercriminalité est devenue la plus grande menace auquelle leur entreprise est confrontée largement devant les aléas économiques tels que la hausse de l’inflation (37%) les catastrophes naturelles (36,5%) ou encore la concurrence (30%).

De nombreux responsables français (42%) se dirigent vers le dark web pour recueillir de la threat intelligence afin d’en discuter en réunion. Autant dire qu’ils ne voient que la partie la plus « visible ». Le Service Veille ZATAZ, par exemple, surveille pas moins de 300 000 espaces pirates.

Comprendre la menace

Parmi les sources d’informations utilisées, les dirigeants français déclarent tout de même en majorité se tourner vers des sources publiques (open source, réseaux sociaux, blogs sur la cybersécurité) (55%), mais aussi, vers des sources internes (48,5%), des sources privées de renseignement sur la menace (47%) et des sources de fournisseurs externes (35,5%).

Certains cadres dirigeants, bien conscients qu’ils ont besoin d’aide pour comprendre les menaces de cybersécurité auxquelles leurs entreprises sont confrontées chaque jour, cherchent de l’aide auprès d’experts

Selon les dirigeants français interrogés, les RSSI sont les plus susceptibles de présenter des informations sur les menaces lors des réunions de leur conseil d’administration (53,5%), suivis par les responsables informatiques (49,5%), les fournisseurs externes de cybersécurité (45%), les résumés exécutifs écrits non techniques (40,5%) et enfin, les partenaires (34%).

L’utilisation de ressources accessibles au public et l’augmentation du budget alloué aux formations contribuent à la sensibilisation. Toutefois, la réalité est que sans une expertise solide pour identifier, analyser et recouper les cybermenaces, les organisations ne s’arment qu’à moitié contre elles.

Au cœur d’une stratégie optimale, on trouve un interprète ou un partenaire capable non seulement de parler le langage du cybercrime, mais aussi de comprendre comment la confidentialité et l’anonymat qui protègent les criminels peuvent être utilisés contre eux pour établir un rapport et extraire des renseignements essentiels.

Vous lisez Data Security Breach, vous êtes déjà sur la bonne voie 🙂

Cybersécurité, Entreprise

10 améliorations cyber lorsque vos employés retournent au bureau

Selon les résultats d’un sondage, 77 % des décideurs informatiques aux États-Unis et au Canada pensent que leurs entreprises seront probablement confrontées à une violation de données au cours des trois prochaines années.

Les répondants à l’enquête ont classé la sécurité des données comme l’élément qui a le plus changé la donne en 2023, alors que les entreprises continuent de renforcer leur préparation à la cybersécurité : 68 % des responsables interrogés déclarent que leur entreprise a une division de cybersécurité et 18 % supplémentaires déclarent qu’ils sont en train d’en créer une. Seuls 6 % des répondants ont déclaré ne pas avoir de division de cybersécurité.

« L’augmentation des incidents de violation de données en Amérique du Nord est troublante et doit être priorisée alors que les employés continuent de retourner en personne à leur siège social« , explique Kuljit Chahal, responsable de la pratique, Sécurité des données chez Adastra North America.

« Pendant la pandémie, de nombreux employés ont été embauchés virtuellement et, en combinaison avec de longues absences des bureaux, les introductions et la re-familiarisation avec les protocoles de sécurité seront essentielles« , ajoute Chahal.

La sensibilisation des employés aux meilleures pratiques en matière de sécurité des données est essentielle. Selon le rapport Verizon Data Breach Investigations 2022, 82 % des violations de données sont causées par une erreur humaine et les entreprises de toutes tailles sont à risque.

Dans notre rôle d’experts en sécurité des données, nous avons constaté que certaines entreprises, en particulier les plus petites, peuvent être bercées par un faux sentiment de sécurité en pensant que les auteurs ne s’en soucieront pas – ce n’est absolument pas le cas.

Les résultats de cette enquête devraient rappeler que les entreprises de toutes tailles doivent investir dans la protection, les ressources et l’éducation en matière de sécurité des données, en particulier lorsque nous reprenons les activités au bureau.

Le coût d’une violation peut être important et bien supérieur à ce que coûtera un audit d’une entreprise de sécurité des données. Selon Statista, le coût moyen d’une violation de données aux États-Unis est passé à 9,4 millions de dollars en 2022, contre 9 millions de dollars l’année précédente.

10 améliorations de la sécurité des données

Menaces internes – rééducation des employés sur les systèmes et les protocoles

La divulgation non autorisée de données n’est pas toujours le résultat d’acteurs malveillants. Souvent, les données sont accidentellement partagées ou perdues par les employés. Tenez vos employés informés grâce à une formation sur la cybersécurité. Les employés qui passent régulièrement des tests de phishing peuvent être moins susceptibles d’interagir avec des acteurs malveillants par e-mail ou par SMS.

Connaissez votre inventaire

Un inventaire des actifs logiciels, matériels et de données est essentiel. Avoir le contrôle des actifs avec accès à votre environnement d’entreprise commence par un inventaire. Les inventaires peuvent faire partie du programme global de gestion des vulnérabilités pour maintenir tous les actifs à jour, y compris les systèmes d’exploitation et les logiciels.

De plus, un inventaire ou un catalogue de données identifie les données sensibles, ce qui permet de placer des contrôles de sécurité appropriés tels que le cryptage, les restrictions d’accès et la surveillance sur les données les plus importantes.

Supprimer les données redondantes

La réduction de votre empreinte globale de données peut être un moyen efficace de réduire les risques. Les données qui résident dans plusieurs emplacements peuvent ne pas bénéficier d’une protection égale dans chaque environnement. Comprendre quelles données sont nécessaires et ce qui peut être archivé aide à garder le contrôle sur les actifs de données.

Systèmes de détection précoce

La détection d’anomalies et d’activités suspectes peut résoudre les problèmes avant qu’ils ne deviennent une violation. Les systèmes XDR (détection et réponse étendues) et EDR (détection et réponse des terminaux) actuels incluent des réponses automatisées aux attaques courantes.

Par exemple, supposons qu’un employé télécharge une pièce jointe malveillante. Dans ce cas, le système EDR peut empêcher l’exécution du malware caché à l’intérieur et alerter le personnel de sécurité.

Ces systèmes de détection peuvent être surveillés par le personnel de cybersécurité interne ou surveillés par des sociétés de sécurité tierces qui peuvent alerter la direction des incidents au fur et à mesure qu’ils se produisent.

Une veille du web malveillant (darkweb, Etc.) est un outil indispensable. Le service veille ZATAZ a, par exemple, détecté pas moins d’un milliards de données volés par des pirates entre le 1er janvier 2023 et le 13 février 2023. Rien que les fuites Twitter et Deezer additionnent 500 millions d’informations d’usagers.

Sauvegardes de données

Disposer d’un plan de sauvegarde des données robuste et immuable peut aider une organisation à se remettre rapidement d’un incident. La fréquence de la sauvegarde des données dépend du risque que l’organisation est prête à prendre. « Pouvons-nous nous permettre de perdre une semaine de données ou une journée de données ?« 

Limiter l’accès du personnel

L’utilisation du principe du moindre privilège réduit le risque global en autorisant uniquement l’accès aux données et aux services nécessaires à l’exécution de tâches spécifiques. L’établissement de processus de provisionnement et de déprovisionnement de l’accès des utilisateurs avec des approbations, des pistes d’audit, des rapports et des attestations régulières peut limiter ce à quoi un attaquant peut être en mesure d’accéder en cas d’informations d’identification compromises.

Il n’est pas rare que les utilisateurs finaux disposent d’un accès administratif illimité à leurs ordinateurs portables. Cela permet aux utilisateurs d’installer des logiciels non autorisés ou d’être plus facilement la cible d’attaques de logiciels malveillants.

Engagez une entreprise tierce pour effectuer un audit de sécurité – connaissez vos vulnérabilités

Une évaluation externe de la posture de sécurité de votre organisation, basée sur des cadres de cybersécurité établis tels que NIST ou CIS , peut fournir une image plus claire des forces et des faiblesses et une feuille de route pour remédier à vos plus grandes vulnérabilités.

Établissez de nouveaux mots de passe avec une authentification à deux facteurs

Traditionnellement, les utilisateurs sont authentifiés par l’une des trois méthodes suivantes :

Ce que vous savez (mot de passe)
Ce que vous avez (carte d’accès ou code d’accès à usage unique)
Ce que vous êtes (biométrie)
L’ajout d’un deuxième facteur à l’authentification par mot de passe omniprésent ajoute une autre couche de sécurité pour l’accès.

Mettez à jour vos programmes informatiques avec les dernières fonctionnalités de sécurité

La plupart des violations de données se produisent parce qu’une vulnérabilité connue a été exploitée. La mise en place d’un programme de gestion des vulnérabilités qui analyse régulièrement les actifs logiciels et applique des correctifs est l’une des activités de sécurité les plus cruciales qu’une entreprise puisse effectuer.

Sécurité physique

Au fur et à mesure que les employés retourneront au bureau, il y aura des employés qui reviendront au bureau pour la première fois. Il peut être nécessaire de renforcer les politiques de bureau propre et de revoir les contrôles d’accès physique, y compris l’accès aux zones sécurisées, pour s’assurer que les actifs ne sont pas volés ou perdus.

Les employés travaillant à domicile qui possèdent des actifs de l’entreprise doivent être régulièrement formés à la sécurité de ces actifs lorsqu’ils sont à la maison, comme ils le feraient au bureau.

Cybersécurité, famille

Le risque cyber pour les enfants sous-estimé par les parents

Le Global Online Safety Survey s’intéresse aux perceptions de la sécurité en ligne du point de vue des parents et des enfants. 59% des jeunes utilisateurs confrontés à un risque en ligne.

Cette édition 2023 du Global Online Safety Survey nous apprend notamment que 59% des personnes interrogées en France ont été confrontées à un risque en ligne au cours de l’année écoulée (contre 69% au niveau global). Parmi les risques les plus fréquemment encourus, arrivent en tête la désinformation et ce que l’on nomme les risques personnels : la cyberintimidation, les discours de haine et les menaces de violence.

Les parents sous-estiment la réalité des menaces encourues par leurs enfants en ligne

Cette édition met également en lumière la différence entre la réalité des menaces subies par les enfants et adolescents et la perception de celles-ci par leurs parents. En effet, si 74 % des adolescents au niveau global ont déclaré avoir été confrontés à un risque en ligne, leurs parents étaient 62 % à penser que leur enfant y avait été confronté, soit une différence de 12 points.

Les écarts les plus importants concernent les discours haineux : 32% des adolescents français y ont été exposés (vs 39% au global) mais seulement 22% des parents ont indiqué que leurs enfants avaient vécu une telle expérience (vs 29% au global). Suivent ensuite de près les menaces de violence, l’exposition à des contenus sur le suicide et l’automutilation, ainsi que la cyberintimidation et les abus. Côté désinformation, 46% des enfants et adolescents français y ont été exposés (vs 52% au global) alors que seuls 36% des parents ont indiqué que leur enfant y avait été confronté (vs 45%).

Des outils et des ressources pour protéger les plus jeunes

Si les parents peuvent sembler sous-estimer la réalité de l’exposition de leurs enfants à ces risques, ils ne minimisent pas du tout l’importance de la sécurité et du recours à des outils de sécurité qu’ils jugent efficaces : c’est pourquoi ils sont 75% en France à déclarer en utiliser au moins un (vs 81% à l’échelle mondiale). Plus précisément, les parents d’enfants plus jeunes, âgés de 6 à 12 ans, sont beaucoup plus susceptibles que les parents d’adolescents d’utiliser des outils de sécurité basés sur la plateforme et utilisent 4,4 outils par rapport aux parents d’adolescents (3,5). (Microsoft)

Hacking, virtualisation

Cyber attaque à l’encontre des plateformes de virtualisation

Les plateformes de virtualisation, dans la ligne de mire des hackers. La virtualisation est un élément essentiel de l’architecture informatique de nombreuses organisations. Selon Gartner, 97 % des entreprises de taille moyenne géreront un environnement hybride d’ici 2025.

La preuve de concept pour l’exploit du serveur ESXi a été publiée en juin 2021. Le patch existait. Que pensez-vous qu’il arriva 18 mois plus tard ? Une cyber attaque qui a mis au tapis des centaines d’entreprises, dont la Mairie de Biarritz. Les cybercriminels ont travaillé sur cette vulnérabilité durant tout ce temps pour en tirer un exploit en cette fin janvier 2023. Un test malheureusement assez réussi, il faut bien l’admettre. Il est probable que des campagnes similaires continuent d’être lancées, répondant aux tentatives de déchiffrement comme celle publiée par la CISA, la Cybersecurity and infrastructure security agency.

Jusqu’à présent, nous avons vu plusieurs centaines de serveurs ESXi exploités et chiffrés. Il suffit d’utiliser le moteur de recherche cyber Shodan pour en apercevoir les quelques effets. Des serveurs connectés, sans la moindre rustine protégeant les machines de la faille annoncée en 2021.

Nous pouvons nous attendre à de nouvelles violations, dans lesquelles les hackers auront préalablement infiltré le réseau afin d’exploiter la même vulnérabilité sur les installations ESXi non corrigées. L’objectif sera alors de causer des dégâts encore plus grands. La demande de rançon devrait également augmenter en parallèle. Des cybercriminels ont tenté le coup, d’une manière assez grossières il faut bien l’avouer, et ont réclamé quelques rançons.

Les attaques actuelles montrent une fois de plus la nécessité de rester diligent et vigilant quant à la mise à jour de l’infrastructure critique d’une organisation, même s’il ne s’agit pas d’un simple clic. Une bonne gestion des actifs aurait ainsi signalé la version obsolète. Les outils qui surveillent la configuration sécurisée d’un ESXi vérifient toute connexion Internet publique non protégée de ce serveur et tout port ouvert sur celui-ci.

Même si les serveurs ESXi sont utilisés en interne et ne sont toujours pas corrigés, il est désormais incontournable de mettre à jour l’installation. Une analyse de vulnérabilité interne, basée sur le réseau, peut aider à identifier toute instance oubliée sur des serveurs ESXi obsolètes.

Virtualisation

La virtualisation est au cœur de la stratégie de la plupart des organisations en matière de cloud computing, qu’il s’agisse de systèmes sur site, publics ou hybrides, l’hyperviseur constituant le pilier de l’informatique. Les acteurs malveillants savent que viser cette cible avec une seule flèche peut leur permettre d’élever leurs privilèges et de leur accorder l’accès à tout.

Si ces pirates parviennent à obtenir un accès, ils peuvent pousser les logiciels malveillants à s’infiltrer au niveau de l’hyperviseur et à provoquer une infection massive.

« Nous savons que les acteurs malveillants privilégient les vulnérabilités connues qui ont un impact sur des logiciels populaires, notamment Open Source, VMWare, ManageEngine, PrintNightmare et ProxyShell. Ils ciblent ces failles en sachant qu’ils peuvent abuser des droits d’administrateur pour traverser le réseau et causer des dommages, voire exiger une rançon pour les systèmes d’information et les données sensibles. Pour assurer la continuité des activités, il est impératif que les équipes de sécurité déterminent comment remédier aux vulnérabilités exploitées tout en minimisant l’impact sur l’organisation, au lieu de laisser les failles connues non traitées. » Bernard Montel, directeur technique EMEA chez Tenable.

Des variantes variables

Des chercheurs mettent en garde contre de nouvelles attaques de ransomware ESXiArgs dont la version actualisée rend difficile la restauration des machines virtuelles VMware ESXi.

La nouvelle variante a été découverte moins d’une semaine après que le CERT-FR et le CISA ont émis des avertissements concernant une campagne massive de logiciels malveillants basés sur ESXi et ciblant des milliers de serveurs VMware vulnérables à la vulnérabilité critique CVE-2021-21974. Le problème est lié à OpenSLP. Cependant, VMware n’a pas confirmé l’exploitation de CVE-2021-21974, mais a déclaré que le 0-day n’a pas été utilisé non plus.

De son côté, GreyNoise note que plusieurs vulnérabilités liées à OpenSLP ont été découvertes dans ESXi ces dernières années, et que n’importe laquelle d’entre elles aurait pu être exploitée dans les attaques ESXiArgs, notamment CVE-2020-3992 et CVE-2019-5544.

La nouvelle méthode de cryptage ESXiArgs a été mise en œuvre par les développeurs après que le CISA a publié un outil capable de récupérer les fichiers sans payer de rançon.

Le fait est que la version précédente du ransomware visait principalement les fichiers de configuration des VM et ne chiffrait pas les fichiers. L’utilitaire permet de récupérer des fichiers de configuration chiffrés à partir de fichiers non chiffrés. Dans les échantillons de la souche mise à jour, le paramètre size_step du script encrypt.sh avait une valeur de 1, chiffrant 1 Mo via un saut de données de 1 Mo.

Cette modification a permis au ransomware de crypter de gros morceaux de données dans les fichiers cibles, rendant impossible leur récupération. Une particularité des derniers incidents est la compromission des serveurs même avec des SLP désactivés. La porte dérobée vmtool.py, repérée précédemment, était également absente des systèmes infectés.

Les experts ont également remarqué que le ransomware ESXiArgs a cessé d’inclure des adresses BTC. Les victimes sont encouragées à contacter les opérateurs TOX et le montant de la rançon est de 2 bitcoins. Le malware de cryptage de fichiers est basé sur le code source de l’ancien groupe Babuk. Des informations avaient fuité en 2021. Un script CISA permet de retrouver, ses accés.

Toutefois, le large ciblage et la faible quantité de ransomware suggèrent (1) que la campagne n’est pas liée à des gangs de ransomware connus.

Selon la télémétrie de Project Sonar, près de 19 000 serveurs ESXi restent vulnérables à CVE-2021-21974. Il a été observé d’autres incidents visant des serveurs ESXi non associés à la campagne ESXiArgs, qui peuvent également exploiter CVE-2021-21974.

Il s’agit, par exemple, d’un nouveau type de ransomware, RansomExx2, écrit en Rust.

Cyber-attaque, Cybersécurité

Une cyber attaque toutes les 60 secondes

La société BlackBerry indique que les hackers malveillants lanceraient une attaque toutes les minutes. Seulement ?

Le dernier rapport de la société Blackberry revient, dans son Global Threat Intelligence Report, sur ses dernières constatations de cyber attaques à l’encontre de ses clients.

L’équipe Threat Research and Intelligence a constaté qu’entre le 1er septembre et le 30 novembre 2022 (quatrième trimestre), 1 757 248 cyberattaques utilisant des logiciels malveillants, soit 62 échantillons uniques par heure, ou un nouvel échantillon par minute, ont été bloquées.

Les outils les plus couramment utilisés dans les attaques comprennent : la reprise d’activité du botnet Emotet (après une période de dormance de quatre mois), la forte présence de la menace de phishing Qakbot qui détourne des fils d’emails existants pour convaincre les victimes de leur légitimité, et l’augmentation des téléchargeurs d’informations comme GuLoader.

Un nombre qui vous semble important ? Un exemple de chiffres fourni par le Service Veille ZATAZ : plusieurs Centres Hospitaliers Français subissent plus d’un million de cyber attaques par mois. Uniquement des botnets qui viennent tapoter à la portes des CHU/CHR. Des tentatives malveillantes bloquées par les équipes informatiques. Côté courriels piégés, plusieurs dizaines de milliers bloqués, par mois.

MacOS, tout aussi ciblé

MacOS n’est pas « immunisé » contre les attaques. On pense souvent à tort que macOS est une plateforme « sûre », car moins utilisée dans les systèmes d’entreprise. Cependant, cela pourrait bercer les responsables informatiques d’un faux sentiment de sécurité. BlackBerry explore les menaces pernicieuses ciblant macOS et notamment les codes malveillants qui sont parfois même explicitement téléchargés par les utilisateurs.

Au quatrième trimestre, l’application malveillante la plus répandue sur macOS était Dock2Master, qui collecte les données des utilisateurs à partir de ses propres publicités subreptices. Les chercheurs de BlackBerry ont constaté que 34 % des entreprises clientes utilisant macOS avaient Dock2Master sur leur réseau.

RedLine a été la menace voleuse d’information la plus active et la plus répandue au cours de ce dernier trimestre. Les modèles de travail post-pandémie ont nécessité que les entreprises gèrent les employés en télétravail ou en mode hybride, exposant les informations d’identification des entreprises à un risque d’attaque par des acteurs malveillants plus élevé que jamais.

RedLine est capable de voler les informations d’identification de nombreuses cibles – notamment celles des navigateurs, des porte-monnaie virtuels, des logiciels FTP et VPN, et de les vendre sur le marché noir.

Cybersécurité, Securite informatique, Virus

SwiftSlicer, un nouveau virus pour détruire Windows ?

Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.

Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.

SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.

Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.

SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.

Bitcoin, Cybersécurité, double authentification, Mise à jour, nft

Porsche stoppe son projet NFT

Porsche stoppe la production d’une nouvelle collection de NFT suite aux risques de piratage informatique et de détournement de ses créations.

La marque de voitures de prestiges, Porsche, souhaitait mettre en circulation des NFT, les Non-Fungible Tokens. Suite à de nombreuses inquiétudes, le projet est mis à l’arrêt. Les craintes de piratage informatique et escroquerie numérique font que la marque préfère travailler sur un système plus sécurisé avant de se lancer dans l’aventure des NFT.

Les NFT (Non-Fungible Tokens) sont des actifs numériques stockés sur une blockchain qui fournissent la preuve de l’authenticité et de la propriété d’un élément.

Le marché de revente NFT OpenSea, où il était moins cher d’acheter des objets de collection Porsche que d’obtenir un original, a provoqué la colère des investisseurs. Cela dévalué immédiatement les actifs originaux des créations du constructeur automobile.

Porsche a annoncé qu’elle interromprait le processus de diffusion de ses NFT et réduirait les expéditions jusqu’à ce qu’elle sache comment lancer correctement les NFT.

backdoor, Cybersécurité

Des logiciels malveillants PlugX chinois cachés dans vos périphériques USB ?

C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.

Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.

L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.

PlugX

Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.

PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).

Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.

Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.

La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.

Cybersécurité, Justice

TikTok s’étouffe en France avec ses cookies

La CNIL a condamné TikTok à une amende de 5 millions d’euros pour avoir enfreint les lois sur les cookies.

Le populaire service d’hébergement de vidéos TikTok a été condamné à une amende de 5 millions d’euros par la Commission Nationale Informatique et des Libertés (CNIL) pour avoir enfreint les règles de consentement aux cookies, ce qui en fait la dernière plate-forme à faire face à des sanctions similaires après Amazon, Google, Meta et Microsoft.

« Les utilisateurs de ‘TikTok ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise des objectifs des différents cookies« , déclare la CNIL.

Le régulateur a déclaré avoir effectué plusieurs audits entre mai 2020 et juin 2022, constatant que la société appartenant à la société Chinoise ByteDance n’offrait pas une option simple pour refuser tous les cookies au lieu d’un seul clic pour les accepter.

L’option de « refuser tous » les cookies a été introduite par TikTok en février 2022. La CNIL a sanctionné, en ce début d’année, Microsoft et Appel pour des manquements aux règles liées au RGPD.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

Cybersécurité, Mise à jour

À partir du 10 janvier, Windows 7 ne recevra plus de correctifs pour les vulnérabilités critiques

Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.

Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.

Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.

Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.

Selon Statcounter GlobalStats , Windows 7 tourne actuellement sur 11% des PC dans le monde.

La part de Windows 8.1 est bien moindre – seulement 2,59%.

Les développeurs de navigateurs ont également annoncé la fin du support de Windows 7.

Par exemple, Microsoft Edge 109 sera la dernière version à être « amie » avec Windows 7 et Windows 8/8.1.

Et la version de Google Chrome 110 devrait sortir sans prise en charge de ces versions d’OS.