Damien Bancal, expert reconnu en cybersécurité
Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles.
Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe.
Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Le Global Online Safety Survey s’intéresse aux perceptions de la sécurité en ligne du point de vue des parents et des enfants. 59% des jeunes utilisateurs confrontés à un risque en ligne.
Cette édition 2023 du Global Online Safety Survey nous apprend notamment que 59% des personnes interrogées en France ont été confrontées à un risque en ligne au cours de l’année écoulée (contre 69% au niveau global). Parmi les risques les plus fréquemment encourus, arrivent en tête la désinformation et ce que l’on nomme les risques personnels : la cyberintimidation, les discours de haine et les menaces de violence.
Les parents sous-estiment la réalité des menaces encourues par leurs enfants en ligne
Cette édition met également en lumière la différence entre la réalité des menaces subies par les enfants et adolescents et la perception de celles-ci par leurs parents. En effet, si 74 % des adolescents au niveau global ont déclaré avoir été confrontés à un risque en ligne, leurs parents étaient 62 % à penser que leur enfant y avait été confronté, soit une différence de 12 points.
Les écarts les plus importants concernent les discours haineux : 32% des adolescents français y ont été exposés (vs 39% au global) mais seulement 22% des parents ont indiqué que leurs enfants avaient vécu une telle expérience (vs 29% au global). Suivent ensuite de près les menaces de violence, l’exposition à des contenus sur le suicide et l’automutilation, ainsi que la cyberintimidation et les abus. Côté désinformation, 46% des enfants et adolescents français y ont été exposés (vs 52% au global) alors que seuls 36% des parents ont indiqué que leur enfant y avait été confronté (vs 45%).
Des outils et des ressources pour protéger les plus jeunes
Si les parents peuvent sembler sous-estimer la réalité de l’exposition de leurs enfants à ces risques, ils ne minimisent pas du tout l’importance de la sécurité et du recours à des outils de sécurité qu’ils jugent efficaces : c’est pourquoi ils sont 75% en France à déclarer en utiliser au moins un (vs 81% à l’échelle mondiale). Plus précisément, les parents d’enfants plus jeunes, âgés de 6 à 12 ans, sont beaucoup plus susceptibles que les parents d’adolescents d’utiliser des outils de sécurité basés sur la plateforme et utilisent 4,4 outils par rapport aux parents d’adolescents (3,5). (Microsoft)
Les plateformes de virtualisation, dans la ligne de mire des hackers. La virtualisation est un élément essentiel de l’architecture informatique de nombreuses organisations. Selon Gartner, 97 % des entreprises de taille moyenne géreront un environnement hybride d’ici 2025.
La preuve de concept pour l’exploit du serveur ESXi a été publiée en juin 2021. Le patch existait. Que pensez-vous qu’il arriva 18 mois plus tard ? Une cyber attaque qui a mis au tapis des centaines d’entreprises, dont la Mairie de Biarritz. Les cybercriminels ont travaillé sur cette vulnérabilité durant tout ce temps pour en tirer un exploit en cette fin janvier 2023. Un test malheureusement assez réussi, il faut bien l’admettre. Il est probable que des campagnes similaires continuent d’être lancées, répondant aux tentatives de déchiffrement comme celle publiée par la CISA, la Cybersecurity and infrastructure security agency.
Jusqu’à présent, nous avons vu plusieurs centaines de serveurs ESXi exploités et chiffrés. Il suffit d’utiliser le moteur de recherche cyber Shodan pour en apercevoir les quelques effets. Des serveurs connectés, sans la moindre rustine protégeant les machines de la faille annoncée en 2021.
Nous pouvons nous attendre à de nouvelles violations, dans lesquelles les hackers auront préalablement infiltré le réseau afin d’exploiter la même vulnérabilité sur les installations ESXi non corrigées. L’objectif sera alors de causer des dégâts encore plus grands. La demande de rançon devrait également augmenter en parallèle. Des cybercriminels ont tenté le coup, d’une manière assez grossières il faut bien l’avouer, et ont réclamé quelques rançons.
Les attaques actuelles montrent une fois de plus la nécessité de rester diligent et vigilant quant à la mise à jour de l’infrastructure critique d’une organisation, même s’il ne s’agit pas d’un simple clic. Une bonne gestion des actifs aurait ainsi signalé la version obsolète. Les outils qui surveillent la configuration sécurisée d’un ESXi vérifient toute connexion Internet publique non protégée de ce serveur et tout port ouvert sur celui-ci.
Même si les serveurs ESXi sont utilisés en interne et ne sont toujours pas corrigés, il est désormais incontournable de mettre à jour l’installation. Une analyse de vulnérabilité interne, basée sur le réseau, peut aider à identifier toute instance oubliée sur des serveurs ESXi obsolètes.
Virtualisation
La virtualisation est au cœur de la stratégie de la plupart des organisations en matière de cloud computing, qu’il s’agisse de systèmes sur site, publics ou hybrides, l’hyperviseur constituant le pilier de l’informatique. Les acteurs malveillants savent que viser cette cible avec une seule flèche peut leur permettre d’élever leurs privilèges et de leur accorder l’accès à tout.
Si ces pirates parviennent à obtenir un accès, ils peuvent pousser les logiciels malveillants à s’infiltrer au niveau de l’hyperviseur et à provoquer une infection massive.
« Nous savons que les acteurs malveillants privilégient les vulnérabilités connues qui ont un impact sur des logiciels populaires, notamment Open Source, VMWare, ManageEngine, PrintNightmare et ProxyShell. Ils ciblent ces failles en sachant qu’ils peuvent abuser des droits d’administrateur pour traverser le réseau et causer des dommages, voire exiger une rançon pour les systèmes d’information et les données sensibles. Pour assurer la continuité des activités, il est impératif que les équipes de sécurité déterminent comment remédier aux vulnérabilités exploitées tout en minimisant l’impact sur l’organisation, au lieu de laisser les failles connues non traitées. » Bernard Montel, directeur technique EMEA chez Tenable.
Des variantes variables
Des chercheurs mettent en garde contre de nouvelles attaques de ransomware ESXiArgs dont la version actualisée rend difficile la restauration des machines virtuelles VMware ESXi.
La nouvelle variante a été découverte moins d’une semaine après que le CERT-FR et le CISA ont émis des avertissements concernant une campagne massive de logiciels malveillants basés sur ESXi et ciblant des milliers de serveurs VMware vulnérables à la vulnérabilité critique CVE-2021-21974. Le problème est lié à OpenSLP. Cependant, VMware n’a pas confirmé l’exploitation de CVE-2021-21974, mais a déclaré que le 0-day n’a pas été utilisé non plus.
De son côté, GreyNoise note que plusieurs vulnérabilités liées à OpenSLP ont été découvertes dans ESXi ces dernières années, et que n’importe laquelle d’entre elles aurait pu être exploitée dans les attaques ESXiArgs, notamment CVE-2020-3992 et CVE-2019-5544.
La nouvelle méthode de cryptage ESXiArgs a été mise en œuvre par les développeurs après que le CISA a publié un outil capable de récupérer les fichiers sans payer de rançon.
Le fait est que la version précédente du ransomware visait principalement les fichiers de configuration des VM et ne chiffrait pas les fichiers. L’utilitaire permet de récupérer des fichiers de configuration chiffrés à partir de fichiers non chiffrés. Dans les échantillons de la souche mise à jour, le paramètre size_step du script encrypt.sh avait une valeur de 1, chiffrant 1 Mo via un saut de données de 1 Mo.
Cette modification a permis au ransomware de crypter de gros morceaux de données dans les fichiers cibles, rendant impossible leur récupération. Une particularité des derniers incidents est la compromission des serveurs même avec des SLP désactivés. La porte dérobée vmtool.py, repérée précédemment, était également absente des systèmes infectés.
Les experts ont également remarqué que le ransomware ESXiArgs a cessé d’inclure des adresses BTC. Les victimes sont encouragées à contacter les opérateurs TOX et le montant de la rançon est de 2 bitcoins. Le malware de cryptage de fichiers est basé sur le code source de l’ancien groupe Babuk. Des informations avaient fuité en 2021. Un script CISA permet de retrouver, ses accés.
Toutefois, le large ciblage et la faible quantité de ransomware suggèrent (1) que la campagne n’est pas liée à des gangs de ransomware connus.
Selon la télémétrie de Project Sonar, près de 19 000 serveurs ESXi restent vulnérables à CVE-2021-21974. Il a été observé d’autres incidents visant des serveurs ESXi non associés à la campagne ESXiArgs, qui peuvent également exploiter CVE-2021-21974.
Il s’agit, par exemple, d’un nouveau type de ransomware, RansomExx2, écrit en Rust.
La société BlackBerry indique que les hackers malveillants lanceraient une attaque toutes les minutes. Seulement ?
Le dernier rapport de la société Blackberry revient, dans son Global Threat Intelligence Report, sur ses dernières constatations de cyber attaques à l’encontre de ses clients.
L’équipe Threat Research and Intelligence a constaté qu’entre le 1er septembre et le 30 novembre 2022 (quatrième trimestre), 1 757 248 cyberattaques utilisant des logiciels malveillants, soit 62 échantillons uniques par heure, ou un nouvel échantillon par minute, ont été bloquées.
Les outils les plus couramment utilisés dans les attaques comprennent : la reprise d’activité du botnet Emotet (après une période de dormance de quatre mois), la forte présence de la menace de phishing Qakbot qui détourne des fils d’emails existants pour convaincre les victimes de leur légitimité, et l’augmentation des téléchargeurs d’informations comme GuLoader.
Un nombre qui vous semble important ? Un exemple de chiffres fourni par le Service Veille ZATAZ : plusieurs Centres Hospitaliers Français subissent plus d’un million de cyber attaques par mois. Uniquement des botnets qui viennent tapoter à la portes des CHU/CHR. Des tentatives malveillantes bloquées par les équipes informatiques. Côté courriels piégés, plusieurs dizaines de milliers bloqués, par mois.
MacOS, tout aussi ciblé
MacOS n’est pas « immunisé » contre les attaques. On pense souvent à tort que macOS est une plateforme « sûre », car moins utilisée dans les systèmes d’entreprise. Cependant, cela pourrait bercer les responsables informatiques d’un faux sentiment de sécurité. BlackBerry explore les menaces pernicieuses ciblant macOS et notamment les codes malveillants qui sont parfois même explicitement téléchargés par les utilisateurs.
Au quatrième trimestre, l’application malveillante la plus répandue sur macOS était Dock2Master, qui collecte les données des utilisateurs à partir de ses propres publicités subreptices. Les chercheurs de BlackBerry ont constaté que 34 % des entreprises clientes utilisant macOS avaient Dock2Master sur leur réseau.
RedLine a été la menace voleuse d’information la plus active et la plus répandue au cours de ce dernier trimestre. Les modèles de travail post-pandémie ont nécessité que les entreprises gèrent les employés en télétravail ou en mode hybride, exposant les informations d’identification des entreprises à un risque d’attaque par des acteurs malveillants plus élevé que jamais.
RedLine est capable de voler les informations d’identification de nombreuses cibles – notamment celles des navigateurs, des porte-monnaie virtuels, des logiciels FTP et VPN, et de les vendre sur le marché noir.
Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.
Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.
SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.
Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.
SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.
Porsche stoppe la production d’une nouvelle collection de NFT suite aux risques de piratage informatique et de détournement de ses créations.
La marque de voitures de prestiges, Porsche, souhaitait mettre en circulation des NFT, les Non-Fungible Tokens. Suite à de nombreuses inquiétudes, le projet est mis à l’arrêt. Les craintes de piratage informatique et escroquerie numérique font que la marque préfère travailler sur un système plus sécurisé avant de se lancer dans l’aventure des NFT.
Les NFT (Non-Fungible Tokens) sont des actifs numériques stockés sur une blockchain qui fournissent la preuve de l’authenticité et de la propriété d’un élément.
Le marché de revente NFT OpenSea, où il était moins cher d’acheter des objets de collection Porsche que d’obtenir un original, a provoqué la colère des investisseurs. Cela dévalué immédiatement les actifs originaux des créations du constructeur automobile.
Porsche a annoncé qu’elle interromprait le processus de diffusion de ses NFT et réduirait les expéditions jusqu’à ce qu’elle sache comment lancer correctement les NFT.
C’est à l’occasion d’une intervention pour répondre à un incident lié à Black Basta que des experts ont découvert des outils et échantillons de logiciels malveillants sur les machines de la victime, y compris le logiciel malveillant GootLoader, l’outil des red teams Brute Ratel C4 et un ancien échantillon de logiciel malveillant PlugX. Le logiciel malveillant PlugX s’est démarqué car cette variante infecte tous les périphériques multimédias USB amovibles connectés tels que les lecteurs de disquettes, les clés USB ou les lecteurs flash et tous les systèmes supplémentaires auxquels l’USB est ensuite branché.
Ce logiciel malveillant PlugX masque également les fichiers dans un périphérique USB à l’aide d’une technique nouvelle qui fonctionne même sur les systèmes d’exploitation Windows (SE) les plus récents. Cela signifie que les fichiers malveillants ne peuvent être consultés que sur un système d’exploitation (*nix) de type Unix ou en montant le périphérique USB dans un outil d’analyse forensique.
L’Unit 42 a également découvert une variante similaire de PlugX dans VirusTotal qui infecte les périphériques USB et copie tous les fichiers Adobe PDF et Microsoft Word de l’hôte. Il place ces copies dans un dossier caché sur le périphérique USB créé par le logiciel malveillant. Il n’est pas rare que plusieurs échantillons de logiciels malveillants soient découverts au cours d’une enquête, comme cela s’est produit dans ce cas précis avec GootLoader, Brute Ratel C4 et PlugX. De nombreux acteurs de la menace compromettent les cibles et peuvent coexister simultanément sur la machine affectée.
PlugX
Parce que l’Unit 42 ne peut pas dire de manière concluante si ces échantillons de logiciels malveillants ont été laissés par un groupe ou plusieurs, nous ne pouvons pas attribuer ces outils au groupe de rançongiciels Black Basta. Cependant, la version de Brute Ratel C4 utilisée dans ce cas est la même que celle rapportée par Trend Micro, qui impliquait également le groupe de rançongiciels Black Basta.
PlugX est utilisé par plusieurs groupes de cybercriminels, notamment certains en lien avec la Chine. Il existe depuis plus d’une décennie et a été observé dans certaines cyberattaques très médiatisées, y compris aux Etats-Unis lors de la cyberattaque contre l’Office Gouvernementale de la gestion du personnel en 2015 (OPM/Wired).
Historiquement, une infection PlugX commence par détourner une application logicielle connue et fiable, signée numériquement pour charger une charge utile cryptée créée par l’acteur. Cette technique est utilisée depuis 2010 et est répertoriée dans les techniques MITRE ATT&CK en tant que Hijack execution flow DLL-Side loading ID : T1574.002 Sub-technique T1574.
Dans ce cas, les acteurs de la menace ont décidé de détourner un outil de débogage open source populaire et gratuit pour Windows appelé x64dbg, qui est utilisé par la communauté d’analyse des logiciels malveillants.
La technique utilisée par le logiciel malveillant PlugX pour masquer des fichiers dans un périphérique USB consiste à utiliser un certain caractère Unicode. Cela empêche l’Explorateur Windows et le shell de commande (cmd.exe) d’afficher la structure de répertoire USB et tous les fichiers, les cachant à la victime.
La CNIL a condamné TikTok à une amende de 5 millions d’euros pour avoir enfreint les lois sur les cookies.
Le populaire service d’hébergement de vidéos TikTok a été condamné à une amende de 5 millions d’euros par la Commission Nationale Informatique et des Libertés (CNIL) pour avoir enfreint les règles de consentement aux cookies, ce qui en fait la dernière plate-forme à faire face à des sanctions similaires après Amazon, Google, Meta et Microsoft.
« Les utilisateurs de ‘TikTok ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de manière suffisamment précise des objectifs des différents cookies« , déclare la CNIL.
Le régulateur a déclaré avoir effectué plusieurs audits entre mai 2020 et juin 2022, constatant que la société appartenant à la société Chinoise ByteDance n’offrait pas une option simple pour refuser tous les cookies au lieu d’un seul clic pour les accepter.
L’option de « refuser tous » les cookies a été introduite par TikTok en février 2022. La CNIL a sanctionné, en ce début d’année, Microsoft et Appel pour des manquements aux règles liées au RGPD.
Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.
Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.
Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.
Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.
Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.
Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.
A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.
De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.
Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.
Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.
Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.
Ordinateurs portables impactés
En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.
Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.
Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.
Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.
Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.
Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.
Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.
