Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
backdoor, Cybersécurité, Entreprise

Failles de sécurité dans les appareils NAS D-Link

Un chercheur en cybersécurité met au jour des failles de sécurité inquiétantes dans de nombreux appareils NAS D-Link. Ces vulnérabilités, actuellement non prises en charge par le fabricant, incluent des injections de commandes et des portes dérobées codées en dur.

Le problème a été identifié dans le script /cgi-bin/nas_sharing.cgi, spécifiquement dans son composant HTTP GET Request Handler. Ces failles de sécurité ont été répertoriées sous l’identifiant CVE-2024-3273.

Risques pour les utilisateurs

Le compte vulnérable, nommé « messagebus », possède un mot de passe vide, ce qui permet l’injection de commandes via le paramètre « system ». Si un attaquant parvient à exploiter ces deux failles, il peut potentiellement exécuter du code à distance sur l’appareil. Cette exploitation pourrait conduire à un accès non autorisé à des données sensibles, à la modification des paramètres système, voire à un déni de service (DoS).

Appareils concernés par les failles

Les appareils NAS D-Link suivants sont affectés par la vulnérabilité CVE-2024-3273 :

DNS-320L version 1.11, version 1.03.0904.2013, version 1.01.0702.2013
DNS-325 version 1.01
DNS-327L version 1.09, version 1.00.0409.2013
DNS-340L version 1.08

Une analyse du réseau a révélé plus de 92 000 stockages réseau D-Link vulnérables, soulignant ainsi l’ampleur du problème. Étant donné que D-Link a cessé de prendre en charge ces NAS, il est recommandé aux utilisateurs de remplacer les équipements obsolètes par des modèles plus récents et pris en charge. Cette mesure est essentielle pour garantir la sécurité des données et des systèmes. (Netsecfish)

Cloud, Entreprise

Législation européenne sur le cloud : Un changement favorable aux fournisseurs américains

Dans un revirement surprenant, il semble que l’Europe n’exige finalement pas que les fournisseurs de cloud soient exemptés des lois non européennes. Cette évolution est une bonne nouvelle pour les entreprises américaines cherchant à offrir plus facilement leurs services aux gouvernements.

Bien que la loi n’ait pas encore été finalisée, la dernière version, selon Reuters, ne précise plus que les règles de cybersécurité pour les contrats cloud doivent éviter les lois non européennes.

Cela marque un changement par rapport à une version précédente, qui exigeait que les entreprises américaines souhaitant fournir des services cloud à l’Europe ou à ses États membres établissent une coentreprise avec une entité européenne. Dans le cadre de cette collaboration, les données des clients européens devaient être stockées et traitées au sein de l’Union.

Ces principes ont été vivement critiqués, non seulement par les fournisseurs de cloud, mais aussi par les banques, les chambres de compensation, les assureurs et les start-ups, qui préféraient des exigences techniques à des règles politiques et de souveraineté générales.

Ce changement représente une évolution positive pour les fournisseurs de cloud américains. Précédemment soumises à la législation américaine, ces entreprises pouvaient, dans des cas exceptionnels, être contraintes de coopérer avec les enquêtes américaines. De plus, elles n’étaient peut-être pas autorisées à divulguer de telles informations à leurs clients européens.

Selon Reuters, la version adaptée est actuellement examinée par les états membres. La version finale devrait suivre ultérieurement.

article partenaire, Entreprise

PowerMail : La Réponse Française à la Souveraineté Numérique des Emails d’Entreprise

Dans un monde où la numérisation des échanges est devenue une norme, la souveraineté numérique s’affirme comme un enjeu stratégique majeur pour les entreprises françaises. À l’heure où la majorité des solutions de messagerie électronique sont dominées par de grandes entités américaines telles que Microsoft et Google, PowerMail se distingue par une proposition de valeur résolument tournée vers l’indépendance et la sécurité numérique. Fondée sur une approche 100% française, cette petite Société de Services en Ingénierie Informatique (SSII) s’impose comme un acteur clé de la souveraineté des données emails pour les entreprises en France.

Une Technologie Française Innovante

Au cœur de l’offre de PowerMail réside une solution et une infrastructure d’hébergement email révolutionnaire. Contrairement à ses concurrents qui se reposent sur des solutions existantes telles que Exchange ou des logiciels open-source comme Zimbra, PowerMail a développé sa propre technologie serveur POP/IMAP/SMTP. Cette innovation technologique permet à PowerMail de proposer une infrastructure à haute disponibilité, avec répartition de charge et tolérance de panne, assurant ainsi une continuité de service sans faille pour ses clients.

L’Engagement pour la Souveraineté Numérique

L’engagement de PowerMail pour la souveraineté numérique est total. En choisissant de localiser ses infrastructures exclusivement en France, l’entreprise garantit à ses clients que leurs données sont hébergées dans le respect des normes et lois françaises, offrant ainsi un niveau de confidentialité et de sécurité sans précédent. Cette démarche s’inscrit dans une volonté de promouvoir une alternative crédible et souveraine face aux géants technologiques américains, dont les pratiques en matière de gestion des données suscitent régulièrement des interrogations.

Une Proximité Client Inégalée

PowerMail tire également sa force de sa taille humaine. En tant que petite SSII, elle cultive une proximité avec ses clients qui se traduit par un service personnalisé et réactif. Cette approche client-centric permet à PowerMail de répondre précisément aux besoins spécifiques de chaque entreprise, allant de grandes multinationales telles que TotalEnergies à des collectivités locales, qui ont choisi PowerMail pour la gestion sécurisée de leurs emails.

PowerMail : Une Référence en Devenir

Avec 14 années d’existence et un portefeuille de clients impressionnant, PowerMail s’établit petit à petit comme une référence dans le secteur de l’hébergement email pour les entreprises françaises. Loin de se satisfaire du statut de « Petit Poucet » face aux géants technologiques, PowerMail prouve que l’expertise française peut offrir des solutions performantes et sécurisées, respectueuses de la souveraineté numérique.

En conclusion, à une époque où la souveraineté des données est devenue une préoccupation centrale pour les entreprises françaises, PowerMail se positionne comme une alternative de choix. Son engagement envers une technologie française innovante, la sécurité des données et une relation client de qualité fait de PowerMail un acteur incontournable pour les entreprises en quête de solutions d’emailing souveraines et sécurisées.

Cybersécurité, Mise à jour, Patch

Le FBI publie une alerte pour inciter les fabricants à éliminer les SQLi

La CISA et le FBI publient une alerte Secure by Design pour inciter les fabricants à éliminer les vulnérabilités d’injection SQL.

La CISA et le Federal Bureau of Investigation (FBI) ont publié une alerte conjointe Secure by Design, demandant l’élimination des vulnérabilités d’injection SQL dans les logiciels.

Cette alerte a été conçue en réponse à une exploitation récente et très médiatisée de défauts d’injection SQL (SQLi) dans une application de transfert de fichiers gérée qui a touché des milliers d’organisations, la faille MOVEit exploitée par les pirates, maîtres chanteurs CL0P.

Malgré une connaissance et une documentation généralisées des vulnérabilités SQLi au cours des deux dernières décennies, ainsi que la disponibilité de mesures d’atténuation efficaces, les fabricants de logiciels continuent de développer des produits présentant ce défaut, ce qui met de nombreux clients en danger.

La CISA et le FBI exhortent responsables des entreprises de fabrication de technologies à organiser un examen formel de leur code afin de déterminer sa vulnérabilité aux compromissions SQLi. S’ils sont jugés vulnérables, les dirigeants doivent s’assurer que les développeurs de logiciels de leur organisation commencent immédiatement à mettre en œuvre des mesures d’atténuation pour éliminer toute cette classe de défauts de tous les produits logiciels actuels et futurs.

Cybersécurité, Securite informatique

Protection en temps réel

Google s’apprête à mettre à jour sa fonctionnalité de navigation sécurisée afin de renforcer une protection en temps réel contre les logiciels malveillants et le phishing à tous les utilisateurs de Chrome.

Depuis son lancement en 2005, la navigation sécurisée de Google a constamment évolué pour mieux protéger ses utilisateurs contre les menaces en ligne comme le phishing, les logiciels malveillants et les programmes indésirables. Grâce à l’utilisation de l’intelligence artificielle, Google a introduit un mode de protection améliorée pour ceux qui recherchent une sécurité proactive, permettant une analyse en profondeur des fichiers téléchargés.

La version standard actuelle de Safe Browsing vérifie les sites, les téléchargements et les extensions contre une liste locale d’URL malveillantes mise à jour toutes les 30 à 60 minutes. Avec cette mise à jour, Google prévoit de passer à une vérification des sites en temps réel, une mesure qui vise à contrer les sites malveillants éphémères, apparus et disparus en moins de dix minutes.

L’impact global de la navigation sécurisée

La navigation sécurisée protège déjà plus de 5 milliards d’appareils à travers le monde, offrant des avertissements sur plus de 3 millions de menaces potentielles chaque jour. Avec la vérification en temps réel des sites, Google espère augmenter l’efficacité de sa protection contre les attaques de phishing de 25 %.

La nouvelle fonctionnalité, qui sera lancée d’abord pour Android, intègre des méthodes de cryptage et de préservation de la confidentialité pour que vos visites sur le web restent anonymes, même vis-à-vis de Google. Cette confidentialité est assurée par une nouvelle API utilisant Fastly Oblivious HTTP (OHTTP), qui masque les URL visitées et mélange les données des utilisateurs pour une sécurité renforcée.

Le fonctionnement technique de la protection de la confidentialité

Les URL, partiellement hachées, sont envoyées à la navigation sécurisée via un serveur OHTTP qui cache les adresses IP et mélange les hachages avec ceux d’autres utilisateurs. Ce processus est renforcé par le cryptage des préfixes de hachage avant leur transmission, garantissant que seuls les serveurs de vérification d’URL de Google peuvent les décrypter.

Le serveur de confidentialité, crucial pour la préservation de l’anonymat des utilisateurs, est géré indépendamment par Fastly. Cette gestion assure que Google n’a accès à aucune donnée d’identification personnelle, comme les adresses IP ou les agents utilisateurs, lors des vérifications de sécurité.

Cette mise à jour de la navigation sécurisée par Google marque un tournant significatif dans la lutte contre les menaces en ligne, offrant une protection en temps réel tout en préservant la confidentialité des utilisateurs. C’est une évolution prometteuse pour la sécurité sur internet, renforçant la position de Chrome comme navigateur de choix pour des millions d’utilisateurs à travers le monde.

backdoor, Cybersécurité, ransomware

Le ransomware : le plus actif des rançongiciel change de ton

Stop, le plus discret et pourtant le plus actif des rançongiciels au monde. Le code malveillant vient de connaître une mise à jour qui le rend encore plus agressif.

Stop, un code malveillant de la famille des ransomwares. Ce rançongiciel fait de très gros dégâts depuis 2018. Cet outil de prise d’otage est discret, et pourtant, il est le plus actif au monde.

STOP est distribué principalement via des offres groupées publicitaires et des sites suspects. Ces ressources font la publicité pour de faux cracks de logiciels, comme exemple pour Cubase, Photoshop, des antivirus et des logiciels gratuits. Logiciels groupés qui sont en réalité des offres groupées. Elles installent divers programmes indésirables et logiciels malveillants sur les machines des utilisateurs. L’un de ces logiciels malveillants est STOP.

Stop chiffre les fichiers, leur ajoute une nouvelle extension et place une demande de rançon sur la machine infectée (490$, puis le double après 72 heures). En 2019, Bleeping Computer proposait un outil pour se reprendre la main sur Stop.

Mais malheureusement, il existe actuellement près de 850 variantes de STOP connues des chercheur. Chiffre qui ne facilite pas la lutte contre ce microbe.

Parmi les extensions repérées : .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .CAROTE, .DJVU, .COHAROS., .NOOD.

Nouvelle variante

Les chercheurs ont découvert une nouvelle variante du ransomware STOP qui utilise un mécanisme d’exécution en plusieurs étapes pour contourner les mesures de sécurité. Elle fait d’autant plus de dégâts que les victimes ne vont pas se plaindre. Ce malware attaque principalement les fans de contenus piratés, les visiteurs de sites suspects.

Depuis son introduction en 2018, le blog ZATAZ alertait de sa présence excessive dans les ordinateurs d’internautes, le ransomware est resté pratiquement inchangé et de nouvelles versions sont principalement publiées pour résoudre des problèmes critiques. Cependant, les experts de SonicWall ont découvert une nouvelle version de STOP, qui pourrait toucher un grand nombre de personnes.

Le malware télécharge d’abord un fichier DLL supposément sans rapport (msim32.dll), peut-être comme un faux-positif. Il implémente également une série de longues boucles temporisées qui peuvent aider à contourner les protections basées sur le temps. STOP utilise ensuite des appels d’API dynamiques sur la pile pour allouer l’espace mémoire requis pour les autorisations de lecture/écriture et d’exécution, ce qui rend la détection encore plus difficile. Le malware utilise des appels API pour diverses opérations, notamment l’obtention d’instantanés des processus en cours d’exécution afin de comprendre dans quel environnement il s’exécute. À l’étape suivante, le ransomware intercepte les processus légitimes et y injecte sa charge utile pour s’exécuter silencieusement en mémoire. Cela se fait via une série d’appels API soigneusement conçus qui manipulent la mémoire du processus et contrôlent le flux.

Une fois la charge utile finale exécutée, une série d’actions sont effectuées visant à la sécuriser dans le système, à modifier l’ACL (afin que les utilisateurs n’aient pas la possibilité de supprimer des fichiers importants et des répertoires de logiciels malveillants) et également à créer une tâche planifiée pour exécuter la charge utile toutes les cinq minutes.

backdoor, Cybersécurité, Mise à jour

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Un groupe de chercheurs a développé une nouvelle attaque appelée GhostRace capable de provoquer des fuites de données sur les processeurs modernes de chez Intel, AMD, ARM et IBM.

Les experts d’IBM et de l’Université libre d’Amsterdam décrivent GhostRace (CVE-2024-2193) comme une condition de concurrence spéculative (SRC). Cette attaque vous permet d’extraire de la mémoire des informations potentiellement sensibles, telles que des mots de passe et des clés de chiffrement. Cependant, pour mener à bien l’attaque, un accès physique ou privilégié à la machine cible sera nécessaire, ce qui signifie qu’exploiter ce problème en pratique est une tâche très difficile.

Le rapport d’expert indique qu’une condition de concurrence critique se produit lorsque plusieurs threads tentent simultanément d’accéder à une ressource partagée, ce qui peut conduire à des vulnérabilités pouvant être exploitées de diverses manières, notamment l’exécution de code arbitraire, le contournement de sécurité et l’extraction de données.

Pour éviter que de telles situations ne se produisent, les systèmes d’exploitation modernes utilisent des primitives de synchronisation, mais l’analyse des chercheurs a montré que les conditions de concurrence peuvent être combinées avec une exécution particuliére.

« Notre principale conclusion est que toutes les primitives de synchronisation courantes implémentées à l’aide de branches conditionnelles peuvent être contournées microarchitecturalement sur des chemins spéculatifs à l’aide de l’ attaque Spectre v1 (CVE-2017-5753), provoquant une condition de concurrence spéculative dans toutes les zones critiques sans race (SRC). ce qui permettra aux attaquants d’extraire des informations du logiciel cible« , ont expliqué les chercheurs dans un article de blog .

GhostRace : la menace fantôme pour Intel, AMD, ARM et IBM

Afin de mener une attaque et de « gagner » la course, l’exécution du processus victime doit être interrompue au bon moment et maintenue afin que l’attaquant puisse effectuer ce que les chercheurs appellent un SCUAF (Speculative Concurrent Use-After-Free). ) attaque.

Pour cela, les scientifiques ont utilisé une nouvelle technique d’attaque appelée Inter-Process Interrupt (IPI) Storming, qui consiste à faire déborder le cœur du processeur du processus cible. En conséquence, ils ont démontré une attaque SCUAF sur le noyau Linux, qui a entraîné une fuite d’informations de la mémoire du noyau à une vitesse de 12 kilo-octets par seconde.

Bien que l’étude se soit concentrée sur les architectures x86 et Linux, les experts ont déclaré que les produits d’autres fabricants, ainsi que les logiciels autres que Linux, étaient sensibles à l’attaque.

« En général, tout logiciel est vulnérable au SRC, par exemple un système d’exploitation, un hyperviseur, etc., qui implémente des primitives de synchronisation via des branches conditionnelles sans aucune instruction de sérialisation et s’exécute sur n’importe quelle microarchitecture (par exemple, x86, ARM, RISC). -V, etc.), ce qui permet d’exécuter des branches conditionnelles de manière spéculative« , expliquent les chercheurs.

Les ingénieurs d’Intel, AMD, Arm et IBM ont été informés du problème GhostRace fin 2023 et ont, à leur tour, signalé la vulnérabilité aux fabricants de systèmes d’exploitation et d’hyperviseurs.

AMD a publié cette semaine un avis informant ses clients que les conseils précédents sur la protection contre les attaques Spectre devraient également aider à prévenir les attaques GhostRace.

Les développeurs de l’ hyperviseur Xen ont également émis un avertissement correspondant et développé un mécanisme de protection. Bien qu’ils aient confirmé que techniquement toutes les versions de Xen sont affectées par le problème GhostRace, le projet n’utilise pas de gadgets vulnérables à GhostRace, et l’équipe de sécurité de Xen ne pense pas qu’il y ait un besoin urgent de prendre des mesures, donc les mesures de protection sont désactivés par défaut.

Les développeurs Linux ont implémenté une fonctionnalité de limitation de débit IPI qui devrait protéger contre le problème associé IPI Storming (Inter-Process Interrupt Storming) (CVE-2024-26602), mais n’ont pas encore pris de mesures supplémentaires en raison de problèmes de performances potentiels.

En plus de leur article de blog et de leur livre blanc, les chercheurs ont déjà publié un exploit PoC pour GhostRace, des scripts conçus pour analyser le noyau Linux à la recherche de gadgets SCUAF et une liste de gadgets problématiques déjà identifiés. (pdf)

Cyber-attaque, Cybersécurité, Securite informatique

Des traducteurs logiciels malveillants mis en place dans une cyberattaque

Une récente analyse révèle que des applications de traduction compromises sont utilisées pour cibler les Tibétains dans une campagne de cyber espionnage initiée en septembre 2023.

Selon l’entreprise spécialisée en cybersécurité ESET, les pirates responsables seraient affiliés au groupe Evasive Panda, un groupe de hackers malveillants liés au gouvernement chinois. Ils viseraient des individus tibétains résidant en Inde, à Taiwan, à Hong Kong, en Australie et aux États-Unis.

La campagne inclut la corruption de logiciels pour Windows et macOS, ainsi que la compromission du site d’un organisateur du Monlam Festival, un événement religieux annuel se déroulant en Inde. Les assaillants ont injecté du code malicieux sur ce site, créant ainsi une attaque par empoisonnement d’eau, ciblant des groupes spécifiques via des plateformes populaires.

L’attaque était vraisemblablement planifiée pour coïncider avec le festival de Monlam en janvier et février 2024, afin de compromettre les visiteurs du site devenu un vecteur d’attaque. La chaîne d’approvisionnement d’un développeur d’applications de traduction en tibétain a également été corrompue.

Evasive Panda a recouru à divers outils malveillants déjà utilisés dans des attaques en Asie de l’Est, dont MgBot, une porte dérobée pour Windows utilisée par le groupe depuis au moins 2012 pour dérober des données et enregistrer les frappes clavier. En avril, ce malware a été utilisé contre une entreprise de télécommunications en Afrique.

MgBot cible principalement les applications chinoises populaires comme QQ, WeChat, QQBrowser et Foxmail. Il a été identifié une porte dérobée inédite nommée « Nightdoor », employée depuis 2020, notamment contre une cible de premier plan au Vietnam.

La campagne a été découverte en janvier, suite à la détection de code malicieux sur un site géré par le Kagyu International Monlam Trust, promouvant le bouddhisme tibétain. La compromission semble viser à exploiter l’intérêt pour le festival de Bodhgaya. En parallèle, une entreprise indienne développant un logiciel de traduction tibétain a été corrompue, infectant les systèmes Windows et macOS avec des téléchargeurs malveillants.

Un site d’information tibétain, Tibetpost, a également été compromis pour diffuser ces logiciels malveillants. L’utilisation de MgBot a permis d’attribuer ces attaques à Evasive Panda, un groupe actif depuis 2012 et réalisant des attaques alignées sur les intérêts géopolitiques de la Chine.

Android, Cybersécurité, Logiciels, Mise à jour

Correctifs importants pour Android

Google a publié de nouveaux correctifs pour Android, éliminant un total de 38 failles.

Début mars 2024, Google a mis en place 38 correctifs corrigeant son outil Android. Deux vulnérabilités affectant le composant Système ont été classées comme critiques. Ces derniers portent les identifiants CVE-2024-0039 et CVE-2024-23717.

Tout d’abord, ils sont dangereux pour les utilisateurs d’Android 12, 12L, 13 et 14. Grâce à CVE-2024-0039, les attaquants peuvent exécuter du code malveillant à distance, et CVE-2024-23717 permet une élévation des droits dans le système d’exploitation.

Dans l’avis officiel, Google indique que « La plus dangereuse des vulnérabilités corrigées réside dans le composant système. Cela peut conduire à l’exécution de code à distance sans qu’il soit nécessaire d’obtenir des droits supplémentaires sur le système. »

Les développeurs ont corrigé les deux failles critiques avec la publication de la première partie des mises à jour Android de mars. 11 lacunes supplémentaires ont été corrigées. Huit vulnérabilités sont contenues dans le composant Framework, et trois autres dans le même système. Tous ces problèmes comportent un degré de risque élevé et peuvent conduire à une élévation de privilèges, à une divulgation d’informations et à une interruption de service (DoS).

La deuxième partie de l’ensemble de correctifs – niveau de correctif de sécurité 2024-03-05 – comble 25 trous dans les composants AMLogic, Arm, MediaTek et Qualcomm. De plus, Google a signalé avoir éliminé plus de 50 vulnérabilités dans les smartphones Pixel.

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.