Tous les articles par Damien Bancal

Entreprise, Securite informatique

Smartphone en Russie, bientôt la fin du monde ?

L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.

La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.

Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).

De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.

Cybersécurité, Entreprise, Facebook

Russie : des députés réclament le retour d’Instagram

Des députés russes demandent la fin du blocage du réseau social Instagram afin d’aider les petites entreprises locales.

Des députés Russes ont demandé au bureau du procureur général de vérifier à nouveau le réseau social Instagram afin de stopper le blocage de ce dernier pour violations de la législation russe. Les politiques souhaitent le retour du réseau social, indispensable pour un grand nombre de petites entreprises russes.

Plus tôt, le vice-président de la Douma d’État, Vladislav Davankov, a déclaré que le blocage d’Instagram avait provoqué l’utilisation massive de « services VPN douteux » et entraîné une baisse des revenus des petites et moyennes entreprises. Selon Davankov, c’était le seul réseau social à servir aussi de plate-forme de vente.

Rappelons qu’en mars 2022, le tribunal Tverskoy de Moscou a reconnu la société Meta (Facebook) comme entreprise extrémiste et a interdit les réseaux sociaux Instagram et Facebook en Russie.

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

Cybersécurité, Entreprise

Ransomwares : hausse de 42 % en France

Un rapport sur les menaces pour le deuxième trimestre 2022 révèle une forte augmentation des attaques de ransomware dans le monde, soit 24 % de plus qu’au premier trimestre 2022. Parmi les cibles « faciles » des pirates, les cabinets d’architectures.

Forte augmentation des attaques par ransomware

Après des mois de déclin, les attaques mondiales de ransomware ont augmenté de manière significative au cours du 2ème trimestre 2022, soit une hausse de 24 % par rapport au trimestre précédent. Les plus fortes augmentations trimestrielles du ratio de risque de ransomware ont été enregistrées en Argentine (+56 %), au Royaume-Uni (+55 %), au Brésil (+50 %), en France (+42 %) et en Inde (+37 %).

« Les consommateurs, mais surtout les entreprises, doivent rester sur leurs gardes et se préparer à rencontrer des ransomwares, car cette menace n’est pas prête de disparaître« , explique Jakub Kroustek, directeur de la recherche sur les malwares chez Avast. « La baisse des attaques de ransomware que nous avons observée au quatrième trimestre de l’année 2021 et au premier trimestre de l’année 2022 était due à l’arrestation par les forces de l’ordre de membres de groupes de ransomware, ainsi qu’à la guerre en Ukraine, qui a également entraîné des désaccords au sein du groupe de ransomware Conti, interrompant leurs opérations. Les choses ont radicalement changé au deuxième trimestre 2022. Les membres de Conti ont maintenant bifurqué pour créer de nouveaux groupes de ransomware, comme Black Basta et Karakurt, ou peuvent rejoindre d’autres groupes existants, comme Hive, BlackCat ou Quantum, ce qui provoque un regain d’activité.« 

Sur cette même période, pas moins de 291 fuites de données visant des cabinets d’architecture ont été référencées par le site spécialisé ZATAZ.

Autant dire que face à l’appétit grandissant des pirates, une assurance cyber sécurité n’est plus une option pour pouvoir se retourner en cas de cyber attaque et ne pas se retrouver avec une rupture de service.

Face aux ransomwares, l’assurance rassure et protège

Dès que l’on pense assurance, on pense remboursement, temps perdu avec l’expertise, etc. Mais une assurance, c’est avant tout prévoir et palier au pire. Elle permet d’anticiper les risques. Elle couvrira le danger, avant qu’il n’intervienne.

Voici quelques exemples des options que votre assurance cyber doit prendre en compte :

– Frais liés aux enquêtes techniques, aux experts informatiques, mais aussi aux potentiels frais administratifs : justice, etc. Une cyber attaque ransomware demandera de nombreuses recherches dont celle qui confirmera la non présence, cachée, des pirates et de leurs outils malveillants.

– Couverture en cas de pertes d’exploitation. Un ransomware imposera le blocage et la fermeture, le temps de l’enquête technique et administrative, de vos machines et outils de communication numériques.

– Restauration de vos données. La plupart du temps, après le colmatage de la porte d’entrée des pirates, une restauration des données permet de relancer les machines. – Conseils juridiques et d’experts.

– Être conforme face au Règlement Général de la Protection des Données (RGPD).

APT, Cybersécurité, Securite informatique

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

Cybersécurité, Entreprise, Mise à jour

70% des cyber-incidents dus à l’hameçonnage et aux vulnérabilités logicielles

Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.

Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.

Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.

cyberattaque, Entreprise

Piratage de la plateforme marketing Eskimi

Un pirate informatique propose à la vente plus de 25 millions de données clients de la plateforme marketing Eskimi.

Fin 2020, la plateforme AdTech Eskimi subissait une violation de données qui a exposé 26 millions d’enregistrements liées aux informations personnelles des utilisateurs de cette entreprise spécialisée dans le marketing digital.

Dans les données, 1,2 millions d’adresses électroniques uniques. Les données comprennent des noms d’utilisateur, des dates de naissance, des sexes et des mots de passe stockés sous forme de hachages MD5 non salés.

Pourquoi en parler deux ans plus tard ? Fin mai, un pirate a mis en vente la BDD. Deux mois plus tard, la base de données exfiltrée a été mise en accès libre dans plusieurs espaces du darkweb.

Entreprise, ID, Identité numérique

L’accès à certains sites réservé aux majeurs

L’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. Il est alors nécessaire de mettre en place un système de vérification de l’âge de l’internaute. La CNIl propose des pistes pour Jacky, Michelle et compagnie !

Ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles. Ils peuvent, par ailleurs, présenter des risques pour la vie privée. La CNIL rappelle qu’à défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. Ils doivent être réservés aux sites pour lesquels cela est nécessaire, le principe restant que l’accès aux sites web doit se faire par défaut sans contrôle d’identité ou d’âge.

Le contrôle de l’âge de l’internaute, dans un objectif de protection de la jeunesse, est compatible avec le règlement général sur la protection des données (RGPD), à condition de présenter des garanties suffisantes pour minimiser les atteintes à la vie privée et éviter que le contrôle de l’âge soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant leur site. En outre, il convient d’éviter que les données soient captées par un tiers pour des usages malveillants (vol de données biométriques, hameçonnage, usurpation, chantage…).

Les solutions existantes

Dans sa position, la CNIL analyse les solutions existantes et précise les conditions à respecter pour garantir leur sécurité.

Elle rappelle notamment qu’il est possible d’utiliser la carte bancaire : si certains mineurs ont une carte bancaire (ou peuvent s’en procurer une) pour accéder à un site, la vérification par carte bancaire n’en demeure pas moins efficace dans la plupart des cas pour protéger les plus jeunes et s’appuie sur une technologie éprouvée, qui peut aussi être utilisée pour contrôler l’accès à des sites gratuits. L’analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur, sans reconnaissance faciale biométrique, permet également de bloquer l’accès des plus jeunes et d’autoriser l’accès des personnes ayant nettement plus de 18 ans ; elle présente en revanche des risques d’erreur pour les personnes proches de l’âge de 18 ans.

Dans les deux cas, ces solutions doivent être opérées par des tiers présentant un niveau de sécurité et de fiabilité suffisant, pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. D’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre.

Une annonce intéressante au moment d’actions « punitives » de Google. La firme alerte des blogs et sites web de contenus pour adultes à faire disparaitre. Un système tellement précis et efficace (#blague) que le géant américain impose à des sites web, comme celui de votre serviteur ou encore ZATAZ, de faire disparaitre des articles contenant les mots « sites pour adultes » sous peine d’être interdit de supports publicitaires.

Nous allons voir, en combien de temps, cet article va tomber dans la moulinette « censure » de Google.

Cybersécurité, Espionnae

Faille dans Google Chrome utilisée par un logiciel espion pour smartphone

Une vulnérabilité de type « zero-day » dans Google Chrome (CVE-2022-2294) découverte lorsqu’elle a été exploitée à l’encontre de journaliste basé au Moyen-Orient.

Le logiciel espion Candiru, provenant d’une entreprise Israélienne, aurait été diffusé à partir d’une faille exploitant le navigateur de Google, Chrome. C’est l’équipe Cyber d’Avast Threat Intelligence qui a découvert la cyber attaque au Liban. Des journalistes figuraient parmi les parties visées, et que d’autres cibles en Turquie, au Yémen et en Palestine.

Google a corrigée la faille le 4 juillet 2022.

Selon le fonctionnement du malware et des tactiques utilisées pour mener l’attaque, les chercheurs l’ont attribué au fournisseur de logiciels espions Candiru, basé à Tel Aviv et connu pour vendre des logiciels d’espionnage à des clients gouvernementaux. Lors de cette attaque, un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations recueillies comprennent la langue de la victime, le fuseau horaire, les informations inscrites sur l’écran, le type d’appareil, les plugins de navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc.

Si les données collectées correspondent à ce que les attaquants recherchent, l’opération de type « zero-day » est transmise à l’appareil de la victime via un canal crypté. Une fois que les attaquants sont entrés sur la machine, une charge malveillante connue sous le nom de DevilsTongue est envoyée pour tenter d’augmenter la portée du malware afin d’obtenir un accès complet à l’appareil de la victime.

DevilsTongue est un logiciel espion avancé, capable d’enregistrer la webcam et le microphone de la victime, d’enregistrer les touches, d’exfiltrer la messagerie de la victime, son historique de navigation, ses mots de passe, sa géolocalisation, et bien plus encore.

Au Liban, les attaquants semblent avoir compromis un site web utilisé par les employés d’une agence de presse. Nous ne pouvons pas dire avec certitude ce que les attaquants ont pu chercher, mais souvent, la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner eux ainsi que les dossiers sur lesquels ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu’ils ont partagées avec la presse. Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse.

Google ayant rapidement corrigé la vulnérabilité le 4 juillet, les utilisateurs de Chrome doivent simplement cliquer sur le bouton lorsque le navigateur les invite à « redémarrer pour terminer l’application de la mise à jour. La même procédure doit être suivie par les utilisateurs de la plupart des autres navigateurs basés sur Chromium, y compris Avast Secure Browser. Les utilisateurs de Safari doivent passer à la version 15.6.

Cybersécurité, Entreprise

Outil open-source pour corréler les activités suspectes

Detectree, un nouvel outil open-source pour corréler les activités suspectes en cas de cyberattaque.

En cas de cyberincident, chaque minute compte. Il faut agir vite pour circonscrire l’attaque et minimiser les dommages. Pourtant, de nombreuses entreprises éprouvent encore des difficultés à délimiter les activités malveillantes et à évaluer leur impact.

Un nouvel outil open-source vient changer la donne : Detectree. Detectree a été conçu pour augmenter la visibilité sur les activités suspectes détectées. Développé par WithSecure™ (anciennement F-Secure Business), cet outil répond aux besoins des équipes de cyberdéfense (également appelées équipes bleues / Blue team).

Il est essentiel de pouvoir établir des corrélations entre les différents événements suspects enregistrés sur un endpoint. La visibilité est toujours une priorité, mais elle devient un impératif vital en cas d’incident. Une attaque est une course contre la montre. Plus vous avez besoin de temps pour établir des corrélations entre les différentes données enregistrées, plus vous tardez à remédier au problème. Face à une attaque, ce temps perdu est un véritable gaspillage.

Par exemple, lorsqu’un analyste recherche la cause d’un processus suspect, il doit généralement examiner les données des logs et reconstituer manuellement la chaîne des événements. Plus la chaîne est longue, plus elle devient difficile à analyser. Or, dans les grandes entreprises, les Blue Teams peuvent être confrontées à des volumes d’alertes colossaux : environ 11 000 par jour selon une récente étude*. Ces équipes peuvent donc facilement se retrouver submergées.

Detectree a été conçu pour simplifier le travail d’investigation en structurant les données des logs. Cet outil met en évidence les relations entre l’activité suspecte détectée et tous les processus, destinations réseau, fichiers et clés de registre liés à cette activité. Plutôt que de trier manuellement les données représentées sous forme de texte pour reconstituer la chaîne d’événements, les équipes peuvent observer directement les corrélations, ainsi que la nature de ces dernières. (Interactions, relations parent-enfant, injections de processus).

En s’appuyant sur la visualisation, les équipes peuvent rapidement cerner le contexte propre à une détection, et partager ces données avec les parties concernées de manière simple et intuitive. Elles ont ainsi la certitude que ces informations seront accessibles à tous ceux qui en ont besoin.

Même les Blue Teams les plus expérimentées et les plus compétentes ont besoin d’outils performants pour travailler efficacement. Certaines tâches sont complexes et particulièrement chronophages pour les équipes de sécurité. Detectree est un outil simple, qui apporte une réponse à ces problèmes.

Entreprise

Découvrez nos conseils pour réduire le bruit des ventilateurs Mac

Vous constatez que votre Mac est relativement bruyant quand vous travaillez depuis quelque temps mais vous ne savez pas quoi faire ? Vous aimeriez des conseils pour réduire le bruit des ventilateurs Mac ? Les ventilateurs Mac sont indispensables pour éviter une surchauffe de votre appareil mais peuvent vite devenir bruyants justement quand ils tournent à plein régime pour refroidir votre ordinateur. Heureusement, il existe des solutions pour éviter que vos ventilateurs ne fassent trop de bruit. Découvrez nos conseils pour réduire le bruit des ventilateurs Mac et offrez-vous un environnement de travail plus silencieux.

Utiliser son Mac sur une surface plane

Premier conseil, si vous souhaitez éviter que vos ventilateurs ne fassent trop de bruit, vous devez utiliser votre Mac sur une surface plane. En effet, l’air pourra circuler de la meilleure des manières avec votre appareil installé sur une surface plane et vos ventilateurs auront moins de travail pour refroidir votre Mac. S’il peut par exemple être très agréable de regarder une série dans son lit, les aérations ont dans cette configuration toutes les chances d’être obstruées. Vos ventilateurs vont ainsi se mettre à tourner plus vite pour tenter de refroidir correctement votre Mac. S’il existe plusieurs solutions pour réduire le bruit des ventilateurs Mac, l’utilisation sur une surface plane est la plus évidente à mettre en place. Sachez qu’il existe de nombreux types de supports plats qui sont spécialement conçus pour vous permettre de profiter de votre Mac depuis un sofa ou votre lit de manière optimale.

Mettre son Mac dans des bonnes conditions

Ensuite, au-delà du support, notez qu’il existe des conditions optimales pour que votre Mac n’ait pas besoin de refroidir trop intensément tout le temps. Ainsi, nous vous conseillons par exemple d’utiliser votre appareil uniquement dans des conditions modérées avec des températures ne dépassant pas 35 degrés. Il en est de même pour les températures trop basses. Si vous devez travailler tout de même dans des conditions extrêmes, offrez des pauses à votre Mac pour lui permettre de refroidir naturellement. De plus, évitez les endroits poussiéreux pour installer votre poste de travail afin de ne pas avoir de poussière qui entre dans vos aérations. Prenez aussi soin de votre Mac autant que possible et veillez à ce que la configuration soit optimale.

Faire de la place sur votre Mac

Enfin, si vos ventilateurs font du bruit en permanence, nous vous conseillons tout simplement de libérer de la place sur votre disque. Prenez alors le temps de regarder les applications que vous avez téléchargées et qui prennent beaucoup de ressources. Supprimez quelques fichiers qui n’ont pas spécialement d’intérêt pour vous. Désactivez les logiciels qui vous prennent le plus de mémoire. Notez que nous vous conseillons d’installer un outil de nettoyage sur votre Mac pour que celui-ci soit facilement nettoyé en permanence. Quand vous allez avoir fait du ménage sur votre Mac, vous avez toutes les chances pour qu’il chauffe beaucoup moins lors de l’utilisation. Ainsi, vos ventilateurs Mac vont faire moins de bruit puisqu’ils auront moins de travail pour refroidir votre appareil.

Et vous, quels sont vos conseils pour réduire le bruit des ventilateurs Mac ?

cyberattaque, Cybersécurité

Piratage de la police de Shanghai

Des pirates affirment avoir volé les données personnelles de plus d’un milliard de personnes domiciliées en Chine suite au piratage d’une base de données de la police de Shanghai. Possible ?

Lors d’une fuite de données de cette ampleur il est pratiquement impossible de vérifier la véracité de chaque entrée. Toutefois, sur la base d’un échantillon de données, les premiers rapports indiquent que la fuite est plutôt crédible. On ne sait toujours pas si les données proviennent d’une seule base de données, de bases de données liées ou de bases de données sans rapport entre elles, ce qui signifie que le nombre de citoyens concernés pourrait bien être inférieur au nombre de données communiquées.

 Le prix relativement faible proposé par les pirates pourrait sembler significatif, sauf que de nombreux pirates, depuis le lancement de la guerre lancée par la Russie à l’encontre de son voisin l’Ukraine, fait ressortir des fuites et des failles  gardées secrètes depuis des semaines, certaines mêmes depuis des mois. Les pirates ont besoin de liquidité. Les Sécurité du système d’information (SI) non maitrisés deviennent de vraies mines d’or pour les pirates !

Les données sont proposées pour 10 bitcoins (200 000 dollars), ce qui laisse penser que le pirate cherche peut-être à vendre les données à plusieurs acheteurs et donc de manière non exclusive. Certains pirates que j’ai pu rencontrer me disaient « nous préférons vendre à un petit montant 10 fois aujourd’hui, qu’espérer une grosse somme demain« . Effectivement, 10 fois 200 000 aujourd’hui et mieux qu’espérer tomber sur le bon acheteur à 2 millions demain !

« La valeur des données personnelles varie également d’un citoyen à l’autre, en grande partie en fonction de la possibilité de monétiser les données par le biais de l’usurpation d’identité ou de fraude, les nations occidentales telles que le Royaume-Uni et les États-Unis exigeant généralement un prix plus élevé. »  explique Toby Lewis, Global Head of Threat Analysis de Dartrace.

Il est intéressant de noter que les organes de censure chinois s’empressent de mettre fin à toute discussion sur cette fuite qui pourrait discréditer le gouvernement, dans la mesure où ce dernier est considéré comme la source présumée de la fuite. Cela peut être une indication de la véracité de l’affirmation, mais il peut s’agir simplement d’une tentative d’étouffer des rumeurs potentiellement dommageables.

cyberattaque, Cybersécurité, Mise à jour

Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners

cyberattaque, Cybersécurité

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.

Cybersécurité

Quelles sont les cybermenaces les plus courantes pour les environnements industriels ?

Face à la prolifération des cybermenaces, aucune entreprise n’est à l’abri, indépendamment de sa taille et de son domaine d’activité. Si les secteurs numériques, tels que le commerce électronique, ont longtemps constitué des cibles privilégiées, le monde de l’industrie est à son tour dans le collimateur des criminels.

L’une des principales raisons réside dans l’obsolescence ou la faiblesse de processus de cybersécurité qui n’ont été pas renforcés, voire mis à jour depuis longtemps. Il n’est pas rare que les systèmes en place continuent d’utiliser les mêmes protocoles de sécurité que lors de leur lancement, de sorte que les attaques peuvent rapidement et facilement interférer avec les opérations. On croit à tort que les cyberattaques sont de plus en plus sophistiquées ou complexes ; en réalité, les criminels s’appuient sur des tactiques bien établies et recherchent les opportunités les plus évidentes et les plus rapidement accessibles.

Pour renforcer leur posture de sécurité, les dirigeants doivent donner la priorité à leurs systèmes de cybersécurité et, avant toute chose, savoir où se trouvent les menaces les plus courantes au sein de leur entreprise.

Protéger les processus stratégiques

En matière de cybersécurité, les criminels sont plus véloces que les entreprises. Les criminels ne se contentent généralement pas de provoquer des perturbations temporaires ; ils attaquent là où ils savent que les dommages seront les plus importants, à savoir les processus essentiels au bon fonctionnement de l’entreprise.

Lorsqu’ils sont parvenus à toucher ces processus stratégiques, les hackers peuvent déclencher une réaction en chaîne à de nombreux autres niveaux de l’entreprise, notamment logistique, amplifiant ainsi la portée de leur attaque.

Prenons l’exemple de l’industrie des hydrocarbures : une attaque conçue pour mettre hors service un serveur qui contrôle des pompes à pétrole peut entraîner un arrêt immédiat de la production. En ciblant le cœur de son modèle industriel, cette agression paralyse littéralement le bon fonctionnement de l’entreprise.

Protéger les employés

Dans le monde moderne où nombre d’entreprises fonctionnent selon une approche fragmentée, les cybercriminels disposent de multiples points d’entrée pour lancer leurs offensives. Généralement peu sophistiquées ni même ciblées, ces attaques ont plutôt tendance à « ratisser » aussi largement que possible avant de se focaliser sur un individu ou un objectif spécifique. Le plus souvent, une erreur commise de façon involontaire par un employé ou un équipement non protégé constitue la meilleure porte d’entrée.

Des techniques éprouvées, telles que l’hameçonnage, sont encore abondamment utilisées, car il suffit aux cybercriminels de déterminer le « maillon faible » et de l’attaquer rapidement. Dans de nombreux cas, il s’agira d’un employé qui clique sans réfléchir sur un lien dans un courriel, ou qui utilise à domicile un ordinateur non sécurisé. Ces tentatives se révèlent peu risquées et peu coûteuses pour les attaquants, lesquels peuvent lancer des attaques d’ampleur quasi illimitée dans le monde entier.

En deux mots, pour protéger une entreprise, il est essentiel de bien protéger ses employés. L’une des bonnes pratiques consiste à encourager les collaborateurs à observer des mesures de sécurité élémentaires et à les former régulièrement à l’hygiène numérique. En dépit de leur simplicité évidente, ces initiatives de façon significative contribuent à limiter les risques de cyberattaque.

Protéger le service informatique

Plus une entreprise s’en remet à la technologie, plus la surface d’attaque à protéger sera étendue. L’intégration de nouveaux logiciels ou de nouveaux équipements au sein des processus stratégiques doit s’accompagner d’une réflexion en amont afin de protéger au mieux la technologie. Les entreprises qui adoptent de nouveaux systèmes sans prendre la peine de les sécuriser correctement offrent des opportunités en or aux cybercriminels.

En fait, compte tenu de leur dépendance croissante vis-à-vis des processus numériques, les entreprises doivent traiter les risques numériques de la même façon que les risques juridiques. Toutes les entreprises mesurent les menaces juridiques auxquelles elles sont exposées, et c’est pour éviter tout problème de cet ordre qu’elles se reposent sur des experts en droit. Un état d’esprit similaire doit animer l’approche de la cybersécurité.

Aucune entreprise ne signera un partenariat, un accord de fusion, ni même un contrat standard sans l’avoir soumis à un avocat, et c’est exactement ce qui doit se passer avec les nouvelles technologies. Pour limiter les risques de cyberattaque, les entreprises doivent prendre contact avec des experts et des professionnels de la cybersécurité avant d’adopter une nouvelle technologie, comme ils solliciteraient leurs avocats avant de parapher un nouveau contrat. Cette approche doit s’inscrire au cœur de la culture des entreprises afin de renforcer leur hygiène numérique.

Compliquer la tâche des pirates

Une cybersécurité efficace repose sur un concept a priori simple : faire en sorte qu’il soit incroyablement difficile et coûteux pour les cybercriminels de tenter une attaque.

Le simple fait d’intégrer d’emblée une approche renforcée de la sécurité dans les systèmes informatiques a un effet dissuasif important.

Afficher une certaine forme de visibilité et des capacités de détection, tout en accélérant la réactivité aux menaces constitue à cet égard un bon point de départ. Il convient dans cette optique de déployer de façon précoce des solutions de cybersécurité efficaces, avant de les améliorer de manière dynamique et continue. Un plan d’action élémentaire mis en place rapidement et actualisé régulièrement exercera un effet nettement plus dissuasif sur les agresseurs potentiels que vous l’imaginez à première vue. (Par Eduardo Di Monte, Cybersecurity Portfolio Strategic Growth Leader Rockwell Automation)

Chiffrement, Cybersécurité

Ransomware : la rançon moyenne est de 925 162 dollars

Le montant moyen des paiements de rançons suit à une cyberattaque approche rapidement le million de dollars alors que la crise des rançongiciels continue de faire des ravages dans les organisations de toutes tailles à travers le monde.

Les rançons ne cessent d’augmenter à la fois en ce qui concerne les demandes que les paiements. Parmi les cas de réponse aux incidents en 2021, qui se trouvaient principalement aux États-Unis, la rançon moyenne demandée était d’environ 2,2 millions de dollars. Cela représente une augmentation d’environ 144 % par rapport à la demande moyenne de 900 000 $ des cas traités en 2020 par les consultants de l’Unit 42. Le paiement moyen des dossiers traités par les experts de l’Unit 42 ont grimpé à 541 010 $, soit 78 % de plus que l’année précédente.

Il semble que personne ne soit à l’abri des attaques de ransomwares comme le montre le blog ZATAZ. Les organisations dans presque tous les pays et secteurs ont été ciblées en 2021. L’analyse des sites de fuite de ransomwares a identifié la région des Amériques comme la plus touchée – 60 % des victimes recensées sont identifiés dans cette région, tandis que 31 % des victimes sont attribuées à l’Europe, au Moyen-Orient et à l’Afrique (EMEA) et 9% à l’Asie-Pacifique. Les services professionnels et juridiques, suivis de la construction, ont été les secteurs les plus ciblés, avec respectivement 1 100 et 600 victimes recensées sur les sites de fuite.

Les effets à long terme d’une attaque par rançongiciel peuvent représenter un défi pour les organisations. Parmi les entreprises touchées par les ransomwares, une majorité (58 %) des décideurs informatiques déclarent que leur l’organisation a payé la rançon, 14 % déclarant que leur organisation a payé plus d’une fois. Sans parler de celle qui ne souhaite pas que cela se sache et son prêt à menacer les lanceurs d’alertes.

Le rapport indique que, bien que 41 % des entreprises touchées par une attaque par ransomware aient pu récupérer en moins d’un mois, 58% ont pris plus d’un mois. 29% des entreprises interrogées attaquées par des ransomwares ont pris plus de trois mois, et 9 % ont dit qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.

Les tactiques employées par ces cybercriminels reflètent la sophistication croissante et maturité du paysage des rançongiciels.

Multi-extorsion en hausse

Techniques de multi-extorsion où non seulement les attaquants chiffrent les dossiers d’une organisation, mais pratiquent aussi le « name and shame » (chantage aux victimes et/ou menacer de lancer d’autres attaques (par exemple, l’attaque DDoS) pour inciter les victimes à payer plus rapidement. En 2021, les noms et preuve de compromis pour 2 566 victimes ont été affichés publiquement sur sites de fuite de ransomware, marquant une augmentation de 85% par rapport à 2020.
​​​​
La prolifération des RaaS (Ransomware as a Services) avec la mise à disposition de « kits » et services de soutien aux cybercriminels qui réduisent leurs barrières techniques et leur permettent d’accélérer et multiplier leurs attaques.

Les principaux gangs de rançongiciels ont rapidement exploité la vulnérabilité CVE-2021-44228, communément appelée Log4Shell.

Il est fort probable que tant que les organisations ne parviendront pas à appliquer les correctifs connus pour ces vulnérabilités critiques, les attaquants continueront à les exploiter à leur avantage.

cyberattaque, Cybersécurité

Penser comme un attaquant pour contrer les nouvelles attaques DDoS

Le télétravail a considérablement changé les modes de fonctionnement en entreprise. En effet, selon l’Insee, 22 % des salariés français télétravaillent au moins une fois par semaine. Cette pratique élargit les modes de communications entre collaborateurs, rendant les environnements numériques de travail accessibles depuis n’importe quel appareil connecté, professionnel comme personnel. Cette accessibilité augmente la surface d’attaque et donc les possibilités de corruption des cybercriminels. Ces derniers s’appuient en effet désormais sur cette informatique de périphérie pour s’immiscer insidieusement dans les réseaux, soulignant ainsi la nécessité d’adapter les approches de protection des réseaux à ces nouvelles pratiques.

La part importante des salariés en télétravail nécessite des ajustements que l’informatique de périphérie est capable d’offrir. En revanche, cette dernière présente de nouvelles failles que les cybercriminels exploitent déjà dans les attaques par déni de service distribué (DDoS) : « L’adoption d’une architecture de périphérie – edge computing – qui rapproche le traitement et le stockage des données de leur source, permet entre autres aux entreprises d’accroître les performances de leur réseau, tout en réduisant la nécessité de renvoyer les données recueillies à la périphérie du réseau vers un datacenter. Ainsi, plus de la moitié des entreprises seraient susceptibles d’y recourir pour au moins six cas d’utilisation, d’ici fin 2023. Toutefois, si les entreprises se tournent de plus en plus vers la périphérie, les cyberattaquants s’y intéressent également de très près afin d’adapter leurs modes d’attaques aux pratiques en place. » explique Philippe Alcoy, de chez NETSCOUT

Par ailleurs, outre la lutte contre les attaques par déni de service distribué (DDoS) à la périphérie, il est également essentiel d’accorder une attention particulière aux attaques DDoS plus granulaires au niveau des applications, cibles de choix pour les cybercriminels qui peuvent bloquer les activités des utilisateurs par ce biais.

Il existe trois types d’attaques DDoS courantes de la couche applicative communément utilisées par les acteurs malveillants : Slowloris, Slow Post et les attaques par épuisement des tables d’état TCP.

Tout d’abord, Slowloris, une attaque de la couche applicative qui utilise des requêtes HTTP partielles pour ouvrir des connexions entre un seul ordinateur et un serveur web ciblé. Son objectif est de garder ces connexions ouvertes le plus longtemps possible afin de submerger et de ralentir la cible. Ensuite, avec l’attaque de type Slow Post, le cybercriminel envoie des en-têtes HTTP Post légitimes à un serveur web. Dans les en-têtes, les tailles du corps du message qui suivra sont correctement spécifiées. Cependant, le corps du message est envoyé à une vitesse très lente, avec pour but de ralentir le serveur. Enfin, les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pares-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques par déni de service distribué sont de plus en plus courantes et sophistiquées, surtout depuis les changements amenés par le travail en distanciel. Les réseaux, encore soumis à des zones d’ombres – en raison des multiples appareils, applications, accès et utilisateurs humains et machines qui y circulent – sont sujets à toujours plus de vulnérabilités. C’est pourquoi les équipes IT doivent rivaliser de précision et de réactivité afin de protéger au mieux la périphérie du réseau et ainsi garantir la disponibilité des applications critiques pour l’entreprise ; de même que les cybercriminels continuent de chercher à garder une longueur d’avance sur les entreprises, pour en dérober les informations et bloquer les accès, ces dernières doivent penser comme des attaquants et partir du principe qu’à chaque changement ou nouveauté, elles seront probablement ciblées. En anticipant ces potentielles attaques, elles seront ainsi plus à même de les contrer.

Cybersécurité, Mise à jour, Patch, Wordpress

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Bitcoin, Cybersécurité, nft

Cryptomonnaie : êtes-vous prêts pour vous faire arnaquer ?

Les escrocs sur la toile sont légion et font preuve de créativité pour tirer parti de l’engouement pour les jetons non fongibles (NFT) et les cryptomonnaies. Analysé de vols de NFT et cryptomonnaies via des comptes Twitter piratés.

Des escrocs spécialisés dans les cryptomonnaies mentionnent les utilisateurs dans les réponses de centaines de tweets afin de les conduire vers des sites de phishing. Ces derniers ressemblent aux sites légitimes des projets NFT, ce qui les rend difficile à distinguer par l’amateur moyen de cryptomonnaies. Plutôt que les noms d’utilisateur et les mots de passe traditionnels, les utilisateurs sont amenés à connecter leurs portefeuilles de cryptomonnaie. Ce faisant, les escrocs sont en mesure de transférer les cryptomonnaies comme l’Ethereum ($ETH) ou le Solana ($SOL), ainsi que tous les NFT détenus dans ces portefeuilles.

Les Airdrops et les NFT gratuits favorisent les arnaques aux cryptomonnaies

Airdrop est utilisé en tant qu’activité promotionnelle pour faciliter le démarrage d’un projet de cryptomonnaie. Le Bored Ape Yacht Club (BAYC) a annoncé au début de l’année un airdrop d’ApeCoin aux détenteurs de ses différents projets NFT tels que BAYC, Mutant Ape Yacht Club et Bored Ape Kennel Club. Les escrocs ont vu en cette annonce l’opportunité de tirer parti de l’intérêt suscité par cet Airdrop à venir et ont commencé à créer des campagnes en détournant des comptes Twitter vérifiés pour conduire les utilisateurs vers des sites de phishing.

Les escrocs mettent en garde contre les escrocs pour ajouter de la légitimité aux tweets

Les escrocs peuvent également apparaître comme de bons samaritains en invoquant la menace d’escrocs potentiels pour justifier le fait qu’ils « nettoient » ou « ferment » les commentaires ou les réponses à leurs tweets. Une fois qu’ils ont semé quelques-uns de ces faux tweets, ils tirent parti d’une fonction Twitter intégrée aux conversations qui permet de limiter les personnes qui peuvent répondre à leurs tweets, ce qui empêche les utilisateurs d’avertir les autres de la fraude potentielle qui les attend.

En France, les arnaques liées aux cryptomonnaies ont augmenté. Selon le médiateur de l’Autorité des Marchés Financiers (AMF), les cryptomonnaies seraient liées à un quart des arnaques signalées en 2021, contre 6 % l’année précédente. L’organisme précise avoir reçu 78 dossiers, présentant un préjudice allant de 169 euros à 337.000 euros. (Satnam Narang, Staff Research Engineer – Tenable)

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Cybersécurité, Phishing

2,4 milliards de dollars de pertes à cause du phishing en 2021 selon le FBI

Avec près de 40% des plaintes pour des escroqueries en ligne portant sur le phishing, le FBI révèle dans son Internet Crime Report annuel* que ce type d’attaque a atteint les 2,4 milliards de dollars de dommages en 2021. Les cybercriminels passent par les mails pour diriger les internautes sur de faux sites et les inciter à partager des informations personnelles ou professionnelles.

Si dans son rapport le FBI accorde une attention toute particulière aux mails professionnels des entreprises provenant des États-Unis ou qui y sont actives, le montant mondial total est par conséquent encore plus élevé car il s’agit d’un problème qui touche tous les internautes.

Ces risques peuvent alors être préjudiciables aux marques et sites qui vont voir leur image dégradée à cause d’une perte de confiance de la part de l’internaute après une mauvaise expérience.

Par conséquent, garantir aux utilisateurs qu’ils sont bien sur un site authentifié va, d’une part, les protéger dans leur démarche, mais également les rassurer. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateurs sans risque et de gagner en e-réputation en instaurant une réelle confiance avec les clients. 

Si des indices et un peu d’attention permettent de déjouer cette arnaque courante : vérification de l’orthographe, l’URL du site en question, site certifié d’un label ; un manque de vigilance peut vite arriver et engendrer le vol de ses données.

Cybersécurité

Microsoft corrige 75 vulnérabilités dont 8 critiques

Microsoft corrige 75 vulnérabilités dont 8 critiques.

Dans le cadre du Patch Tuesday de mai, Microsoft a corrigé 75 vulnérabilités dont 8 sont classées comme critiques, pouvant entraîner une RCE ou une élévation de privilèges et a publié un avis de sécurité (ADV220001) pour Azure en réponse à CVE-2022-29972, une vulnérabilité d’exécution de code à distance (RCE) Zero-Day. Le Patch Tuesday du mois comprend aussi des correctifs pour deux autres vulnérabilités 0Day, l’une connue pour être activement exploitée (CVE-2022-26925), l’autre pour être publiquement exposée (CVE-2022-22713). Microsoft a corrigé divers problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité du mois-ci concerne de nombreux produits Microsoft, dont Azure, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU), Exchange Server, Microsoft Office et Windows. Au total, ce sont 97 produits/versions Microsoft concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement), Security Update (Mise à jour de sécurité) et ServicingStackUpdate (Pile de maintenance du système d’exploitation).

CVE-2022-21978 | Vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,2/10. Pour que l’exploitation de cette vulnérabilité fonctionne, l’attaquant doit être identifié sur le serveur Exchange en tant que membre d’un groupe ayant des privilèges élevés. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-22012 et CVE-2022-29130 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows LDAP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce sur un serveur vulnérable. Si l’exploitation réussit, le code malveillant de l’attaquant peut alors être exécuté dans le cadre d’un compte SYSTEM. Cette vulnérabilité est uniquement exploitable si la politique LDAP MaxReceiveBuffer est configurée avec une valeur supérieure à celle par défaut. Les systèmes configurés avec la valeur par défaut de cette politique ne devraient pas être affectés. Pour plus d’informations, consulter : politiques LDAP de Microsoft. Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-22017 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter ces vulnérabilités, l’attaquant doit convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant peut exécuter du code sur le système de la victime dans le contexte de l’utilisateur ciblé. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26913 | Vulnérabilité de contournement de la fonction de sécurité dans l’authentification Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,4/10. L’attaquant qui parvient à exploiter cette vulnérabilité pourra lancer une attaque Man-in-the-Middle (MITM) et déchiffrer et lire ou bien modifier le trafic TLS entre le client et le serveur. La disponibilité de la machine attaquée n’est aucunement impactée. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-26923 | Vulnérabilité d’élévation de privilèges sur les Services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges. 
Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26937 | Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Cette vulnérabilité peut être exploitée sur le réseau en passant un appel malveillant non authentifié auprès du service de système de fichiers réseau (NFS) afin de déclencher une exécution de code à distance (RCE). Cette vulnérabilité n’est pas exploitable dans NFSV4.1. Avant de mettre à jour votre version de Windows qui protège contre cette vulnérabilité, il est possible d’atténuer une attaque en désactivant les versions NFSV2 et NFSV3. Mais comme votre écosystème peut s’en trouver affecté, cette procédure ne doit être activée que sous la forme d’une atténuation temporaire. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29108 | Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir la permission de créer des pages. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29133 | Vulnérabilité d’élévation de privilèges dans le noyau Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Dans ce cas, une attaque pourra être lancée avec succès depuis un environnement d’exécution AppContainer à faibles privilèges. L’attaquant peut obtenir des privilèges élevés puis exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. Évaluation d’exploitabilité : Exploitation moins probable .

Cybersécurité, Entreprise

Plus de la moitié des fuites de données découle de cyberattaques

Plus de la moitié des fuites de données découle de cyberattaques
Dans son dernier rapport d’activité, la CNIL révèle qu’en 2021 près de 6 notifications de fuite de données sur 10 découlaient de cyberattaques, notamment de ransomware, et non plus de mauvaises manipulations informatiques. Une hausse considérable par rapport à 2020. En cause, des fonctions cryptographiques obsolètes rendant les sites internet vulnérables, des moyens encore insuffisants aux regards des enjeux actuels en matière de cybersécurité, ou encore des mots de passe pas assez sécurisés.
Les techniques d’attaques ne cessent d’évoluer et aujourd’hui, si d’après le rapport les secteurs de l’action sociale et de la santé restent les cibles premières des cyberattaquants, la CNIL rappelle que toutes les entreprises peuvent être visées, peu importe le secteur.
Dans ce contexte, Laurent Maréchal, Technology Architect EMEA chez Skyhigh Security commente : « Ces dernières années ont été marquées par la migration des entreprises dans le cloud pour y stocker leurs données et applications métier, motivées par la nécessité d’agilité, d’adaptation, de flexibilité et d’innovation. Le cloud permet en effet d’adapter rapidement les capacités d’infrastructures technologiques aux besoins de l’entreprise.’« 
Néanmoins, de nouveaux risques de sécurité ont émergé avec l’usage de ces nouveaux environnements. En effet, cette migration a été relativement spontanée dans de nombreuses entreprises, et la question de la sécurité informatique n’a pas nécessairement été en tête des priorités. Combiné à l’usage du BYOD (l’utilisation de matériels personnels dans un cadre professionnel) ou du Shadow IT (l’utilisation d’applications non approuvées par un service IT), la surface d’exposition aux cyberattaques a considérablement augmenté. Et cela n’a pas échappé aux cybercriminels, qui tirent profit de la situation.
Les données constituent aujourd’hui une valeur importante pour de nombreuses entreprises, et la protection de l’information est devenue capitale comme peut le montrer le Service Veille ZATAZ.
Il existe aujourd’hui des solutions au niveau technologique qui peuvent améliorer considérablement la sécurité informatique. L’authentification multifactorielle ou l’approche « Zero Trust » selon laquelle la confiance n’est pas automatiquement accordée aux utilisateurs, mais où elle est gagnée en fonction des habitudes de connexion et des comportements, permettent de renforcer la sécurité. Mais pour protéger les données, il ne suffit pas de construire des périmètres et de garantir les accès par des politiques statiques.
« En effet, aujourd’hui, les données sont constamment créées, partagées et déplacées au sein de l’entreprise. Protéger la façon dont les données sont utilisées est un élément essentiel dans la réussite d’un projet Cloud, avec non pas un modèle de fermeture, mais d’ouverture maitrisée. » termine Laurent Maréchal.
Cybersécurité

WithSecure France, anciennement F-secure, étoffe son offre de services pour les professionnels

F-Secure corporation a scindé ses opérations, en mars 2022, en deux activités distinctes : F-Secure pour les solutions destinées au grand public et WithSecure™ pour les solutions destinées au monde professionnel. Cette nouvelle marque, développée en étroite collaboration avec les employés, les partenaires revendeurs et les clients, inaugure une nouvelle ère pour les services et solutions de sécurité destinés aux entreprises.

En effet, WithSecure™ apporte de nouvelles briques à sa division Business Unit Solutions, avec des services spécialisés, axés vers des services managés (comme pour la détection et la réponse aux incidents) ainsi que vers des services de consulting et d’accompagnement. Certains n’étaient disponibles que dans quelques pays d’Europe, et sont désormais déployés sur l’ensemble du territoire français avec une équipe dédiée pour accompagner ces changements.

La solution Countercept déjà existante est désormais enrichie par les services :

– CSPM (Cloud Security Posture Management), qui fournit une assistance pour la configuration des services Cloud. Ce service a pour but d’aider à réduire les vulnérabilités liées aux mauvaises configurations, aux permissions trop importantes et au non-respect des bonnes pratiques. La posture de sécurité Cloud s’ne retrouve renforcée.

– ASM (Attack Surface Management), dont la fonction est d’analyser la surface d’attaque externe à une entreprise. C’est un service entièrement managé qui offre une visibilité immédiate sur l’état des services, données et assets exposés sans avoir besoin d’un service interne dédié à cette tâche. Cela donne une vision du point de vue du Hacker afin d’anticiper une potentielle attaque.

Pour en savoir plus sur cette solution cybersécurité.

À propos de WithSecure™

WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l’IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience. WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.

Cybersécurité

Département de l’Aude : cyberattaque durant 3 mois !

Une nouvelle cyberattaque détectée à l’encontre d’un Département français. Durant trois mois, des pirates ont peut-être pu accéder aux données internes ! Cela vient confirmer l’importance de la cyber prévention à tous les niveaux.

Suite à une attaque informatique du 30 septembre au 15 novembre 2021, un accès illégal au serveur de messagerie a entraîné la perte de la confidentialité des données du Département de l’Ord. Par conséquent, toute personne ayant communiqué par e-mail ou ayant fait l’objet d’e-mails du département pourrait se faire voler des informations. On peut dire que dans ce contexte, la protection de l’identité numérique est très importante.

Si des indices et un peu d’attention peuvent stopper cette arnaque courante de l’hameçonnage (phishing) : correcteur orthographique aux abonnés absents, URL de sites usurpateurs, etc ; le manque de vigilance peut vite arriver et conduire au vol de vos données. Une bonne protection antivirus offre également la possibilité de protéger les postes de travail sans obliger les utilisateurs à les gérer.

Le phishing, largement utilisé par les cybercriminels, implique de fausses informations qui encouragent le partage de données personnelles. Ces risques peuvent être préjudiciables aux marques et aux sites Web, car les internautes perdent confiance après une mauvaise expérience, ce qui se traduit par une image ternie.

Ainsi, assurer aux utilisateurs qu’ils se trouvent bien sur le site qu’ils recherchent les protégera dans leur démarche tout en les rassurant. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateur sans risque et d’acquérir une réputation numérique en instaurant une véritable confiance avec les clients.

Ce n’est pas le premier Département français à subir une cyberattaque. En 2018, le Département du Nord se retrouvé ponctionné de plusieurs centaines de milliers d’euros suite à une fraude aux présidents (fraude aux faux virement. Le Département de l’Ardèche, en avril 2022, se retrouvait avec des données exfiltrées par des pirates informatiques du groupe LockBit 2.0.

Cybersécurité

Quelle est la sécurité des services de stockage en ligne ?

Une nouvelle étude affiche des résultats peu rassurants sur l’état des lieux de la cyber protection en 2022.

La société Acronis, spécialiste de la cybersécurité, vient de dévoiler ses résultats concernant sa nouvelle étude sur l’état des lieux de la cyber protection en 2022. 6 200 responsables et utilisateurs informatiques de 22 pays, dont la France, ont été interrogés. Les résultats exposent certaines des lacunes les plus critiques apparaissant dans les pratiques de cyber protection aujourd’hui.

En 2021, 80 % des entreprises utilisaient jusqu’à 10 solutions différentes pour la protection des données et la cybersécurité – pourtant, plus de la moitié d’entre elles ont subi des temps d’arrêt dus à la perte de données. Cette année : 78 % des organisations gèrent jusqu’à 10 solutions différentes, tandis que 76 % d’entre elles subissent des temps d’arrêt dus à la perte de données – soit une augmentation de 25 % par rapport à 2021. Plus inquiétant encore, la réflexion sur le meilleur stockage en ligne en terme de sécurité ne semble pas une priorité.

Les organisations traitent encore la cyber protection comme un élément « utile » et non comme une « nécessitée » : la moitié des organisations au niveau mondial allouent moins de 10% de leur budget informatique global à la sécurité informatique. Seules 23 % des entreprises dans le monde investissent plus de 15 % de leur budget informatique global dans la sécurité.

Comme l’explique l’étude, un tiers des responsables informatiques ne font que des sauvegardes hebdomadaires, tandis que 25 % font des sauvegardes mensuelles. L’utilisation des meilleures pratiques de sauvegarde est en baisse dans l’ensemble de l’entreprise – seulement 15 % des équipes informatiques des organisations y adhèrent.

86 % des entreprises sont préoccupées par la menace d’une augmentation des cyberattaques à caractère politique, causée par la détérioration du climat géopolitique avec, entre autre, la guerre déclarée par la Russie à l’Ukraine.

43% des utilisateurs effectuent les mises à jour une semaine ou plus après la publication d’une mise à jour – parmi eux, 7% mettent plus d’un mois (!) pour effectuer les mises à jour recommandées. Une grosse baisse du temps de réponse par rapport à 2021. 66% des utilisateurs ne sauraient ou ne pourraient pas dire si leurs données ont été modifiées.