Tous les articles par Damien Bancal

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

Cybersécurité, Entreprise

Les faux avis positifs, de faux amis pour les distributeurs et commerçants

69 % des consommateurs français estiment que c’est aux professionnels du secteur de la distribution que revient le soin de mettre en place des règles pour lutter contre les faux avis. Ceci alors que la directive Omnibus est entrée en vigueur le 28 mai 2022, renforçant l’arsenal des mesures contre ces avis tronqués.

C’est dans ce contexte qu’Amazon vient d’attaquer pénalement un courtier italien en faux avis en octobre 2022 : une première en Europe. Selon l’accusation, le courtier mettait en relation des vendeurs et des clients d’Amazon, publiant des avis notés cinq étoiles en échange du remboursement intégral du produit en faveur du client.

Ce procédé est non seulement illégal mais aussi contreproductif. La présence de faux avis positifs engendre une perte de confiance en la marque selon 38 % des personnes sondées par Bazaarvoice. Les consommateurs peuvent se détourner complètement des produits d’une marque s’ils détectent ne serait-ce qu’un avis frauduleux, qu’il soit positif ou négatif (23 %).

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.

cyberattaque, DDoS

Les attaques DDoS restent l’un des principaux types d’incidents identifiés en 2022

Selon le dernier Data Breach Investigations Report (DBIR) publié par Verizon, en 2022 les attaques DDoS restent l’un des principaux types d’incidents identifiés avec les attaques par botnets. Mirai, Emotet, LemonDuck sont autant de noms qui, hors contexte, pourraient faire sourire, mais qui, dans le monde de la cybersécurité, donnent du fil à retordre aux équipes informatiques des organisations du monde entier, et ce avec des méthodes d’attaques somme toute très simples.

Les cybercriminels se sont non seulement banalisés – aujourd’hui n’importe qui peut s’improviser hacker, grâce aux outils disponibles sur le darkweb – mais ils ont également amélioré leurs méthodes d’attaque, pour la plupart établies de longue date, en y apportant de nouvelles modifications et stratégies. C’est le cas des botnets, qui existent depuis les années 1980.

En effet, un rapide historique de ces réseaux de bots informatiques – des programmes connectés à internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches –, met en évidence la manière dont, en l’espace de 20 ans, les pirates ont modifié leur façon de les utiliser.

Les premiers du genre ont été déployés sur des ordinateurs de type serveur. Par la suite, les attaquants ont commencé à créer des botnets capables de mener des attaques par déni de service distribué (DDoS) en compromettant des ordinateurs personnels (PC) ; ils continuent d’ailleurs aujourd’hui à les utiliser afin de créer des botnets et lancer des attaques DDoS.

« À l’heure actuelle, les botnets de l’internet des objets (IoT) sont monnaie courante, les cybercriminels lançant généralement des attaques DDoS par l’intermédiaire de dispositifs IoT, via une infrastructure commune de commande et de contrôle (C2). Ces botnets ont vu leur popularité monter en flèche après la fuite du code source du botnet IoT Mirai en 2016. » confirme Philippe Alcoy, de chez NETSCOUT.

La stratégie malveillante évolue

Cependant, les acteurs malveillants ont à nouveau modifié leur stratégie en augmentant la taille des botnets IoT et en intégrant des serveurs puissants dans des botnets plus importants. Les serveurs sont utilisés pour lancer des attaques DDoS ciblées contre des actifs de grande valeur. Toutefois, il est intéressant de remarquer que les attaquants font évoluer leur stratégie pour créer de puissants botnets Mirai.

De nouveaux botnets Mirai de type serveur sont désormais créés et utilisés pour lancer des attaques DDoS directes à fort impact. Ainsi, malgré un coût beaucoup plus élevé pour une organisation malveillante, les cybercriminels privilégieront une attaque DDoS directe par botnet, pour s’assurer de dommages de très grande envergure, comme l’ont démontrés deux des attaques de plus de 2,5 Tbps détectées au deuxième semestre 2021.

Si ce type d’attaque est coûteux, il est accessible à toute personne ayant les moyens de le provoquer, ce qui en fait un outil redoutable. Explication en vidéo.

Si différentes tendances fluctuent à travers le monde, les attaques DDoS par botnet ne doivent surtout pas être minimisées. Elles constituent bel et bien une menace de taille pour les entités gouvernementales, les établissements de santé et les entreprises, et ce sans distinction. De plus, si on remarque une sophistication des techniques d’attaque, il est intéressant de noter que les profils des acteurs malveillants sont variés et parfois loin de la professionnalisation ; d’où la nécessité d’anticiper tout type de menace afin de mieux s’en prémunir.

Cybersécurité, Mise à jour

Patch Day : 62 CVE, dont 9 sont jugées critiques et 53 importantes

Ce mois-ci, Microsoft a corrigé quatre vulnérabilités de type « zero-day », les quatre étant exploitées dans la nature, bien que l’une d’entre elles ait été divulguée avant que les correctifs ne soient disponibles. Pour rappel, un 0Day est une vulnérabilité qui n’est pas publique, mais exploitée par des pirates.

CVE-2022-41073 est une vulnérabilité d’élévation de privilège dans Windows Print Spooler. Les vulnérabilités de Print Spooler ont gagné en notoriété suite à la divulgation des failles PrintNightmare en juin (CVE-2021-1675) et juillet (CVE-2021-34527). Bien que plusieurs vulnérabilités liées à Print Spooler aient été divulguées par des chercheurs en sécurité depuis l’année dernière, il semble que CVE-2022-41073 soit la première vulnérabilité de Print Spooler depuis PrintNightmare à être exploitée dans la nature par des attaquants. Nous avons longtemps mis en garde contre le fait qu’une fois la boîte de Pandore ouverte avec PrintNightmare, les failles de Windows Print Spooler reviendraient hanter les entreprises, et si l’on se base sur le succès que les groupes de ransomware et d’autres acteurs de la menace ont eu avec PrintNightmare, une attention continue sur la nature omniprésente de Windows Print Spooler en fait l’une des cibles les plus attrayantes pour l’escalade des privilèges et l’exécution de code à distance. Sa découverte a été attribuée au Microsoft Threat Intelligence Center.

CVE-2022-41128 est une vulnérabilité d’exécution de code à distance dans les langages de script de Windows. Plus précisément, elle affecte le langage de script JScript9 de Microsoft. L’exploitation nécessite une interaction avec l’utilisateur, de sorte qu’un attaquant devrait convaincre une victime exécutant une version vulnérable de Windows de visiter un partage de serveur ou un site Web spécialement conçu, par le biais d’un type d’ingénierie sociale. Selon Microsoft, cette faille a été exploitée dans la nature et divulguée par Clément Lecigne du Threat Analysis Group de Google.

CVE-2022-41125 est une vulnérabilité d’élévation de privilège dans l’API de chiffrement de Windows : Next Generation (CNG) Key Isolation Service, un service d’isolation de clés privées hébergé dans le processus Local Security Authority (LSA). L’exploitation de cette vulnérabilité pourrait accorder à un attaquant des privilèges SYSTEM. Elle a été exploitée dans la nature par des attaquants et est attribuée à la fois au Microsoft Threat Intelligence Center et au Microsoft’s Security Response Center.

CVE-2022-41091 est l’une des deux vulnérabilités de contournement de la fonctionnalité de sécurité dans Windows Mark of the Web (MoTW). MoTW est une fonctionnalité conçue pour signaler les fichiers qui ont été téléchargés depuis Internet, en invitant les utilisateurs à afficher une bannière d’avertissement de sécurité, leur demandant de confirmer que le document est fiable en sélectionnant Enable content. Bien qu’elle n’ait pas été attribuée à un chercheur en particulier, cette vulnérabilité a récemment été découverte comme étant exploitée dans la nature par le groupe de ransomware Magniber sous forme de fausses mises à jour logicielles, selon des chercheurs de HP. L’autre contournement de la fonction de sécurité dans MoTW, CVE-2022-41049, a été révélé à Microsoft par le chercheur Will Dormann.

« Heureusement, souligne Satnam Narang, de chez Tenable, Microsoft a corrigé les deux CVE-2022-41040 et CVE-2022-41082, également connus sous le nom de ProxyNotShell, lors du Patch Tuesday de ce mois-ci. Cela fait plus d’un mois que ces failles ont été divulguées. Bien que l’impact de ProxyNotShell soit limité en raison de l’exigence d’authentification, le fait qu’elle ait été exploitée dans la nature et que les attaquants soient capables d’obtenir des informations d’identification valides en font des failles importantes à corriger.« 

APT, backdoor, Cybersécurité

SandStrike cible les utilisateurs d’Android avec une application VPN piégée

Au cours du troisième trimestre 2022, des chercheurs ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron.

Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.

  • La mise à niveau d’outils avancés et sophistiqués

Les experts ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.

Cybersécurité, Piratage

Pharos veut tisser un lien avec ses contributeurs

L’exceptionnel travail de la plateforme Pharos, elle permet d’alerter les autorités de cas de pédopornographie, apologie du terrorisme, violence, etc. va permettre de tisser un lien plus étroit avec ses contributeurs.

La plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements, plus connu sous le nom de PHAROS, permet depuis 2009 de signaler des contenus et comportements en ligne illicites. Un amendement à la loi vient de valider le fait que PHAROS va pouvoir communiquer de manière plus efficace et proche de ses contributeurs.

« Le présent amendement vise à entretenir la démarche citoyenne de signalement à travers la mise en place de bilans semestriels, qui seront communiqués par mail à la communauté de contributeurs de Pharos et publiés sur le site internet-signalement.gouv.fr. » indique le Député (5e circonscription des Côtes d’Armor) Eric Bothorel.

Informer les utilisateurs/contributeurs de son activité entretient le lien. C’est désormais dans la loi, avec l’amendement adopté en commission des lois.

En 2021, PHAROS a reçu 365 000 signalements (290 000 en 2020).

Cybersécurité, Entreprise

Vos anciens employés sont-ils partis avec vos données ?

Seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent pas accéder aux actifs numériques de leur entreprise.

Une récente enquête sur le comportement des petites et moyennes entreprises en temps de crise montre que les réductions de personnel peuvent entraîner des risques supplémentaires en matière de cybersécurité. Preuve en est, seuls 40% des dirigeants d’entreprises françaises sont sûrs que leurs anciens employés n’ont pas accès aux données stockées dans le cloud de l’entreprise, et seulement 39% d’entre eux sont certains qu’ils ne peuvent plus utiliser les comptes de l’entreprise. En comparaison à la moyenne globale, s’élevant respectivement à 51% et 53% (des chiffres toujours insuffisants), la France fait figure de mauvaise élève.

Si les études ont montré que les entreprises se sont attachées à fidéliser leurs équipes au maximum pendant la pandémie, il n’en reste pas moins que nombre d’entre elles risquent encore de devoir recourir à des suppressions de postes afin de réduire les coûts en temps de crise. Kaspersky a interrogé plus de 1 300 dirigeants de petites et moyennes entreprises pour connaître les stratégies privilégiées pour maintenir les activités à flot, et quels risques cyber ces mesures pourraient entraîner.

Parmi les personnes interrogées, plus de la moitié des répondants et 6 Français sur 10 ont dit être incapable d’affirmer avec certitude que leurs ex-employés n’ont pas accès aux actifs numériques de l’entreprise. Sur la base de ces données, il apparaît que les réductions de personnel peuvent faire courir des risques supplémentaires à la sécurité des données de l’entreprise et à ses moyens d’existence. L’utilisation abusive de ces données par d’anciens employés dans le cadre d’un nouvel emploi ou pour se faire de l’argent est une préoccupation majeure pour les dirigeants d’entreprises. Les résultats de l’enquête suggèrent que la plupart d’entre eux s’inquiètent de voir d’anciens collaborateurs partager les données internes de l’entreprise avec de nouveaux employeurs (63% à l’international, 66% en France), ou qu’ils fassent usage de données corporate comme les bases de données de leurs prospects existants pour se lancer à leur compte (60%).

Dans l’ensemble, 31% des responsables interrogés considèrent les réductions d’effectifs comme une mesure à considérer pour réduire les coûts en cas de crise. Les chefs d’entreprise français sont moins disposés à envisager des réductions d’effectifs que la moyenne globale, avec seulement 20% des répondants estimant qu’il s’agit là d’une possibilité.

Les mesures de réduction des coûts les plus pratiquées en France incluent la diminution des dépenses marketing (41%) et des dépenses liées aux véhicules (34%), suivie par la diminution des coûts attribués à la formation du personnel (24 %). Quant à la cybersécurité, 14% des dirigeants de PME françaises sont susceptibles de réduire les sommes allouées à ce poste de dépense, c’est plus que la moyenne, et très au-dessus, par exemple, des 5% obtenus au Royaume-Uni !

« Tout accès non autorisé peut devenir un réel problème pour toutes les entreprises, car cela peut affecter la compétitivité d’une société lorsque les données de celles-ci sont transférées à un concurrent, vendues ou supprimées » explique Bertrand Trastour, directeur général de Kaspersky France. « Ce problème se complique lorsque les employés utilisent des services non professionnels (« shadow IT ») qui ne sont pas directement déployés ou contrôlés par les départements informatiques de l’entreprise. Si l’utilisation de ces services n’est pas maîtrisée après le licenciement d’un employé, il est fort probable que l’ex-employé ait toujours accès aux informations partagées via ces applications.« 

Sécurité de votre entreprise

Gardez le contrôle du nombre de personnes ayant accès aux données critiques de l’entreprise, en réduisant la quantité de données accessibles à l’ensemble des employés. Il est plus probable que les incidents adviennent dans des entreprises où trop d’employés manipulent des informations confidentielles qui peuvent être vendues ou utilisées d’une manière ou d’une autre.

Mettez en place une politique d’accès aux actifs de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et pensez à supprimer l’accès si un employé quitte l’entreprise. Utilisez un logiciel de sécurité d’accès au cloud pour gérer et surveiller l’activité des employés dans les services de cloud de votre entreprise, et vous aider à appliquer les politiques de sécurité.

Effectuez des sauvegardes régulières des données essentielles de l’entreprise pour garantir leur sécurité en cas d’urgence.

Effectuez une veille régulière des données essentielles de l’entreprise ayant pu fuite, comme la veille proposée par le service veille ZATAZ.

Donnez des directives claires quant à l’utilisation des services et des ressources externes. Les employés doivent savoir quels outils ils doivent ou ne doivent pas utiliser et pourquoi. Lors du passage à un nouveau logiciel de travail, il faut mettre en place une procédure pour que les services informatiques et les autres responsables puissent le valider en amont.

Encouragez les employés à avoir des mots de passe forts pour tous les services numériques qu’ils utilisent, et à en changer régulièrement.

Rappelez régulièrement au personnel l’importance de respecter les règles de base en matière de cybersécurité (gestion sécurisée des comptes, des mots de passe, des e-mails et bonnes pratiques en ligne). Un programme de formation complet permettra à vos travailleurs non seulement d’acquérir les connaissances nécessaires mais aussi de les mettre en pratique.

cyberattaque, Social engineering, Téléphonie

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

Hacking

MyOpenVDP : approche responsable de la divulgation de vulnérabilités

YesWeHack, plateforme européenne de Bug Bounty, lance MyOpenVDP, une solution de Programme de divulgation volontaire de vulnérabilités clé en main sous forme d’outil open-source. Mission; favoriser une approche responsable de la divulgation de failles.

« Notre initiative est le reflet de notre décennie d’expertise en matière de sécurité en Europe, de nos investissements à long terme et de notre engagement profond envers l’approche CVD (Coordinated Vulnerability Disclosure), l’éthique, la transparence et le respect des lois européennes« , déclare Guillaume Vassault-Houlière, CEO et cofondateur de YesWeHack.

Alors que plusieurs organismes publics internationaux ont reconnu l’intérêt et la nécessité d’une manière plus transparente de signaler les vulnérabilités, la CVD n’est pas encore largement généralisée alors qu’elle offre un canal indispensable pour un dialogue régulier et de confiance avec la communauté de hackers éthiques.

CVD / VDP, kesako ?

Un internaute trouve une faille dans un site web ? Comment faire pour alerter, de manière propre et efficace ? Et surtout, sans risque d’être pris pour un vulgaire mais dangereux pirate par l’entreprise alertée ? Une application Web pour divulguer les vulnérabilités (VDP = Programme de divulgation volontaire) en toute sécurité est une solution, celle proposée par YWH. (il existe aussi l’ANSSI, les CERTs, Etc.)

Étant donné que la divulgation sauvage ou le fait de ne pas signaler une vulnérabilité en raison d’un défaut de moyens de communication met les utilisateurs en danger et peut avoir un impact sur la réputation des fournisseurs, le CVD est le moyen de transformer ces risques en opportunités et d’instaurer la confiance.

Le système permet de protéger la communication, chiffrement (pgp) obligatoire et l’unique récepteur de l’information est l’entreprise.

MyOpenVDP peut évoluer vers une version payante offrant une personnalisation complète et facile ainsi qu’une intégration dans la plateforme YesWeHack, parfaitement adaptée aux processus et outils d’une organisation DevSecOps.

Cybersécurité, Entreprise

Les incidents de cybersécurité en troisième position des types de crise les plus difficiles à surmonter pour les PME françaises

Une récente enquête menée à l’international auprès de 1 307 dirigeants d’entreprises comptant entre 1 et 999 employés révèle que les incidents de cybersécurité engendrent presque les mêmes difficultés qu’une chute brutale des ventes. 13% des personnes interrogées dans les petites et moyennes entreprises considèrent que les cyberattaques sont les crises les plus difficiles à surmonter. En France, ils sont 11% à le penser, plaçant les risques cyber à la troisième position des aléas les plus durs à appréhender. Les résultats de la recherche suggèrent également que la probabilité d’être confronté à un incident de cybersécurité augmente avec le nombre d’employés travaillant dans l’entreprise.

Les petites et moyennes entreprises contribuent grandement à l’économie mondiale : selon l’Organisation mondiale du commerce, les PME représentent plus de 90 % de la totalité des entreprises. Cependant comme l’a montré la pandémie, ces entreprises peuvent être particulièrement vulnérables aux répercussions des crises.

Afin de mieux comprendre quels cas de figure représentent le plus de risques pour les PME, des dirigeants d’entreprises comptant entre 1 et 999 employés, issus de 13 pays différents ont été interrogés par un spécialiste de la cybersécurité . Bien que les données agrégées indiquent que les incidents relatifs à la cybersécurité constituent le deuxième type de crise le plus grave au niveau mondial (3e en France), derrière la chute brutale des ventes, ces deux types de crises sont jugées comme ayant une gravité égale, selon les dirigeants d’entreprises moyennes (50 à 999 employés) interrogées. Les problèmes liés aux loyers et à l’introduction de nouvelles réglementations sont cependant moins difficiles à gérer pour les PME.

Inquiétudes pour les PME françaises

En France, si les incidents de cybersécurité sont perçus comme critiques et complexes à maîtriser (11%), ils ne sont qu’en troisième position derrière les départs massifs d’employés (13%) et les désastres environnementaux (12%). Si l’on se concentre uniquement sur les moyennes entreprises, les incidents de cybersécurité arrivent en deuxième place (16%), après les démissions massives (20%).

Ces préoccupations en matière de sécurité informatique sont loin d’être infondées, d’autant plus que la probabilité d’être confronté à un problème de cybersécurité augmente à mesure que l’entreprise se développe. Alors que seulement 8% des organisations comptant 1 à 8 employés ont déclaré avoir été confrontées à une faille de sécurité informatique (3% en France), cette part passe à 30 % pour les entreprises comptant plus de 501 travailleurs (23% en France, mais ce chiffre monte à 33% pour le segment des entreprises comptant entre 250 et 500 employés).

« Aujourd’hui, les incidents de cybersécurité peuvent arriver aux entreprises de toutes tailles et affecter leurs opérations de manière significative, ainsi que leur rentabilité et leur réputation » commente Konstantin Sapronov, de chez Kaspersky. « Cependant, comme le montre notre rapport analytique sur la réponse aux incidents, dans la plupart des cas, les auteurs des attaques utilisent des lacunes évidentes dans la sécurité numérique d’une organisation pour accéder à son infrastructure et voler des fonds ou des données. Ce fait suggère que les mesures de protection de base, que même les petites entreprises peuvent facilement adopter, comme la mise en place d’une politique de mots de passe rigoureuse, des mises à jour régulières et la sensibilisation des employés à la sécurité, peuvent, si elles ne sont pas négligées, contribuer de manière significative à la cyber-résistance de l’entreprise« .

En France, on constate que les petites et les moyennes entreprises sont tout autant visées par les cyberattaques. Cependant, les petites entreprises ne considèrent pas le risque cyber avec autant de sérieux, ce qui dénote un énorme besoin de sensibilisation quant à l’importance de la cybersécurité pour les petites entreprises.

Recommandation pour que votre entreprise reste protégée même en temps de crise

  • Mettez en place une politique de mots de passe forte, en exigeant que le mot de passe d’un compte utilisateur standard comporte au moins huit lettres, un chiffre, des lettres majuscules et minuscules et un caractère spécial. Veillez à ce que ces mots de passe soient modifiés en cas de suspicion de piratage. La Commission Informatique et des Libertés (CNIL) vient de publier ses recommandations sur le sujet.

  • N’ignorez pas les mises à jour. Celles-ci apportent généralement de nouvelles fonctionnalités et des améliorations de l’interface, mais elles permettent également de combler des lacunes en matière de sécurité.

  • En plus de la mise à jour de tous les appareils, une autre étape importante consiste à mettre en place des sauvegardes hors ligne de vos données afin de pouvoir y accéder rapidement si l’un des fichiers de votre entreprise se retrouve crypté. Vos solutions de sécurité doivent être capables d’identifier et de bloquer les logiciels malveillants inconnus avant qu’ils ne soient exécutés, et doivent disposer d’une fonction qui déclenche la création automatique de copies de sauvegarde en cas d’attaque

Cybersécurité, IOT

Wipers et botnets IoT dominent le paysage des menaces

La guerre entre la Russie et l’Ukraine, la multiplication des équipements connectés et les botnets IoT ont eu le plus fort impact sur les menaces visant les systèmes de contrôle des processus industriels (ICS).

Selon le dernier rapport de sécurité OT et IoT de Nozomi Networks Labs, les malwares de type « wipers », l’activité des botnets IoT et la guerre entre la Russie et l’Ukraine ont eu un fort impact sur le paysage des menaces au premier semestre 2022.

Depuis le début de l’invasion de l’Ukraine par la Russie en février 2022, les chercheurs ont observé l’activité de plusieurs types d’acteurs malveillants, notamment des hacktivistes, des APT étatiques et des cybercriminels. Ils ont également été témoins de l’usage intensif de wipers, ainsi que de l’apparition d’un variant d’Industroyer, nommé Industroyer2, conçu dans le but de détourner le protocole IEC-104, couramment utilisé dans les environnements industriels. Comme le montre le blog ZATAZ, spécialiste de l’actualité liée à la lutte contre la cybercriminalité, les assauts des pirates informatiques Russes et Ukrainiens ont évolué de manière significative.

Toujours au premier semestre 2022, l’activité des botnets IoT s’est intensifiée et complexifiée. Nozomi Networks Labs a mis en place une série de honeypots destinés à attirer ces robots malveillants et à en capter l’activité afin d’en savoir plus sur la manière dont ils ciblent l’Internet des objets. Les analystes de Nozomi Networks Labs ont ainsi exprimé des préoccupations croissantes autour de la sécurité des mots de passe codés « en dur » et des interfaces Internet servant à l’identification des utilisateurs. De janvier à juin 2022, les honeypots de Nozomi Networks ont permis les découvertes suivantes :

Mars 2022 a été le mois le plus actif, au cours duquel ont été collectées près de 5000 adresses IP distinctes de cyberattaquants. Les plus nombreuses de ces adresses IP se situaient en Chine et aux Etats-Unis. Les identifiants root et admin sont les plus fréquemment ciblés et exploités selon diverses méthodes par des acteurs malveillants afin d’accéder à l’ensemble des commandes et comptes utilisateurs.

En matière de vulnérabilité, les secteurs de la fabrication et de l’énergie demeurent les plus exposés, suivis par la santé et le commerce.
La CISA a rendu publiques 560 CVE, un nombre en recul de 14 % comparé au second semestre 2021.
Le nombre de fabricants touchés a augmenté de 27 %.
Le nombre de produits touchés est lui aussi en hausse, de 19 % par rapport au second semestre 2021.

« Cette année, le paysage des cybermenaces s’est complexifié, commente Roya Gordonde chez Nozomi Networks. « De nombreux facteurs, notamment la multiplication des équipements connectés, la sophistication des acteurs malveillants ou encore l’évolution des motifs des attaques accentuent le risque de piratages de données ou de cyberattaques physiques. Heureusement, les défenses de sécurité évoluent elles aussi. Des solutions sont disponibles dès à présent pour apporter aux infrastructures critiques la visibilité réseau, la détection dynamique des menaces et les informations de veille exploitables nécessaires pour réduire leurs risques et renforcer leur résilience. »

Chiffrement, Cybersécurité

Vulnérabilité à pirate pour Microsoft Office 365 Message Encryption

Une faille dans l’outil Microsoft Office 365 Message Encryption peut permettre à des hackers malveillants d’accéder à vos courriels. Il n’existe, pour le moment, encore aucun correctif.

Microsoft Office 365 Message Encryption (OME) permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.

En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME.

« Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d’e-mails volés lors de violations de données, soit en s’introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure, qui a découvert le problème.

Les pirates peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode.

Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème.

Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème mais… aucun correctif n’a cependant été publié depuis !

Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure.

Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations.

Il n’existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. Bref, en attendant et quand cela est possible, il est recommandé d’éviter d’utiliser OME pour assurer la confidentialité des e-mails.

Cybersécurité, Entreprise

TOP 5 des attaques DNS : Le phishing toujours plébiscité par les hackers, les DDoS en forte hausse

Un commentaire

D’après le rapport IDC Global DNS Threat Report 2022, les attaques par phishing ont représenté 44% des attaques subies par les entreprises françaises tandis que les DDoS ont vu leur part croître de près de 11 points pour s’établir à 33%.

EfficientIP, entreprise hexagonale spécialisée dans l’automatisation du DDI (DNS, DHCP, IPAM), présente le Top 5 des attaques visant ou utilisant le DNS comme vecteur qui ont frappé les entreprises françaises en 2022. D’après le Global DNS Threat Report 2022, les hackers se sont ainsi concentrés sur les attaques par phishing, les malware basées sur le DNS, le DDoS, le DNS Hijacking et enfin l’abus des mauvaises configurations DNS au niveau du cloud. Parmi celles-ci, les attaques DDoS ont été en forte augmentation, boostées par le contexte de tensions internationales extrêmes.

Phishing

Aujourd’hui le phishing est la menace numéro 1 qui pèse sur le DNS. Ce mode opérationnel a représenté 44% des attaques subies par les entreprises françaises interrogées dans le cadre du DNS Threat Report. Les hackers se font passer pour un organisme connu (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme pour inciter les utilisateurs à cliquer sur des liens frauduleux. L’usage de liens trompeurs et corrompus est ainsi le principal vecteur d’attaque utilisé par les hackers pour compromettre les DNS.

DNS based malwares

En deuxième position, les attaques DNS basées sur des Malwares ont quant à elles progressé de 8 points par rapport à 2021 pour représenter 40% des tentatives de compromissions qui ont visé les entreprises françaises en 2022. Pour ces attaques, les hackers tentent d’installer des virus au niveau du serveur DNS pour atteindre plusieurs objectifs. Ils peuvent par exemple altérer les configurations TCP/IP pour rediriger les utilisateurs vers des noms de domaine frauduleux, ou alors s’appuyer sur cette porte d’entrée pour exfiltrer les données qui circulent via le DNS.

DDoS

En troisième place, les DDoS ont vu leur part exploser et prendre 11 points pour représenter 33% des attaques subies par les entreprises en 2022. Le but de ces attaques est toujours le même, à savoir rendre impossible le fonctionnement du DNS en le saturant de requêtes et ainsi empêcher les entreprises de fonctionner. Dans un climat international tendu, ces attaques visant plus à mettre hors service ont été largement privilégiées aux ransomwares ayant des visées plus pécuniaires pour les hackers.

DNS Hijacking

Quatrième, le DNS hijacking – aussi appelé « redirection DNS » ou « attaque DNS » représente quant à lui 25% des attaques qui ont frappé les entreprises françaises, soit 8 points de plus que l’an passé. Ces attaques visent principalement deux niveaux de l’ensemble du système : le registre qui contrôle la liste des noms de domaine, et le serveur DNS qui gère les enregistrements techniques. Dans les deux cas l’objectif est de détourner, d’une manière ou d’une autre, les fonctionnalités du serveur de domaine des entreprises, soit pour rediriger les utilisateurs vers des domaines frauduleux, soit pour exfiltrer des données.

Abus des mauvaises configurations cloud

Enfin, la cinquième attaque la plus représentée en France avec 22% est l’abus des mauvaises configurations au niveau du cloud. Ces attaques exploitent les failles les erreurs de configuration au niveau du DNS et qui permettent aux hackers de mettre en place des redirections frauduleuses. Il est important de noter que ces attaques touchent aussi bien des entreprises que les grands hyperscalers.

« Ces attaques, leur variété, leur nombre et l’impact qu’elles ont sur les entreprises, aussi bien financier qu’au niveau de la réputation, montrent que la sécurité du DNS doit devenir une priorité absolue des entreprises. Il s’agit d’un organe central et vital qui représente bien trop d’opportunités pour les hackers s’il est mal protégé, » détaille Ronan David, directeur de la stratégie et cofondateur d’EfficientIP. « L’intégration de solutions de sécurité au niveau du serveur de noms de domaine permet non seulement de protéger celui-ci, mais aussi de renforcer la protection de tous les utilisateurs et des outils de l’entreprise.« 

Cybersécurité, loi

Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities

Les Etats-Unis et l’Union européenne bientôt au diapason concernant le transfert des données personnelles ?

Le décret signé le 7 octobre dernier par le président américain, Joe Biden, concernant le transfert des données personnelles permet de renforcer les mesures garantissant la confidentialité et la protection des libertés civiles et des données personnelles de résidents européens transférées vers les États-Unis (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities).

Pour mémoire, le dispositif du Privacy Shield avait été invalidé en 2020 par la justice européenne (CJUE 16 juillet 2020 arrêt dit « Schrems II »), qui avait jugé que les atteintes portées à la vie privée des personnes dont les données personnelles sont traitées par les entreprises et opérateurs soumis à la législation américaine étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’Union européenne.

Il s’agissait ni plus ni moins de restaurer la confiance entre l’Union européenne et les Etats-Unis concernant leurs flux transfrontaliers de données personnelles. Ce décret devrait permettre à la Commission européenne d’initier la procédure menant à une décision d’adéquation, dont l’objectif à terme serait de reconnaître l’adéquation de la législation américaine avec les exigences de législation européenne en matière de protection des données personnelles. (Réactions de Corinne Khayat et Anne-Marie Pecoraro, Avocate associée au cabinet UGGC).

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

Cybersécurité

Données personnelles : Les Français exigent plus de transparence de la part des entreprises

Les Français exigent plus de transparence de la part des entreprises concernant l’utilisation de leurs données personnelles et admettent avoir besoin d’aide pour garantir leur confidentialité.

Une étude CISCO indique que 77 % des Français estiment que le traitement des données personnelles par une entreprise est révélateur de la façon dont elle considère et respecte ses clients.

55 % des Français déclarent ne pas être en mesure de protéger efficacement leurs données personnelles.

38 % des Français estiment que le gouvernement doit être l’acteur principal de la protection de leur vie privée.

Menée dans 12 pays dont la France, l’étude montre que près de huit consommateurs français sur dix font un lien direct entre le traitement des données personnelles par une entreprise et le respect de ses clients. Ainsi, la transparence apparaît comme la priorité absolue aux yeux des Français.

Pour accorder leur confiance à une entreprise, 32 % des Français exigent d’avoir un accès simplifié aux informations concernant l’utilisation de leurs données et 30 % déclarent ne vouloir en aucun cas que leurs informations personnelles puissent être commercialisées.

À l’international

L’érosion de la confiance auprès des entreprises qui ne respectent pas les données des consommateurs a des conséquences directes. Ainsi :

76 % des consommateurs dans le monde déclarent qu’ils n’achèteraient pas de produits/solutions à une entreprise à laquelle ils ne font pas confiance pour la gestion de leurs données.
37 % indiquent qu’ils ont changé de fournisseur en raison des pratiques en matière de confidentialité des données.
53 % disent qu’ils gèrent leurs paramètres de cookies à partir d’un site web avant de les accepter.
46 % des personnes possédant un appareil à commande vocale à domicile déclarent l’éteindre régulièrement pour protéger leur vie privée.
En France, il y a un fort besoin d’accompagnement et de clarté quant à l’utilisation des données personnelles par les entreprises. En effet, 59 % des Français avouent ne pas parvenir à lire complètement les conditions générales avant de les accepter. De plus, les Français aimeraient pouvoir faire confiance aux entreprises dans la personnalisation de leurs paramètres de confidentialité sous peine d’aller voir ailleurs… Ainsi, lorsqu’une entreprise ne peut pas répondre aux attentes de protection de leur vie privée, 25 % des consommateurs français déclarent changer de prestataire de services pour des raisons de confidentialité.

Des Français volontaires et à l’écoute mais qui restent à convaincre

55 % des Français déclarent ne pas être en mesure de protéger efficacement leurs données personnelles. Les raisons évoquées sont l’impossibilité de savoir ce que les entreprises font de leurs données (83 %) tandis que 45 % des Français se sentent obligés d’accepter la manière dont les données sont utilisées s’ils veulent disposer du service proposé par l’entreprise en question. Plus préoccupant, 43 % ont le sentiment que leurs données personnelles sont de toutes façons déjà accessibles. L’effort de transparence est ici une question majeure pour restaurer la confiance.

38 % des Français estiment que le gouvernement doit endosser le rôle de protecteur des données tandis que 21 % pensent que la garantie de la confidentialité incombe aux entreprises. Environ 1 Français sur 2 pense que les lois en matière de protection des données personnelles ont un impact positif. Autre fait intéressant, les consommateurs français ont une meilleure connaissance des lois relatives à la protection de la vie privée (52 %) que leurs voisins allemands (46 %), italiens (33 %) et espagnols (28 %). Cela laisse l’opportunité au gouvernement de proposer des nouvelles lois pour des Français plus que jamais à l’écoute.

Enfin, une lueur d’espoir existe concernant la réappropriation des données personnelles par les Français puisqu’ils sont 18 % à avoir déjà exercé leur droit d’accès qui consiste à demander à une entreprise de récupérer les données qu’elle détient sur eux. En effet, même si cette part est relativement faible par rapport à des pays comme l’Inde (59 %) ou l’Italie (26 %), on peut envisager que les Français seront davantage conscients des données récoltées par des tiers à mesure que cette pratique, encore inconnue il y a quelques années, prendra de l’ampleur. La sensibilisation aux recours possibles pour les Français souhaitant plus de visibilité sur leurs données sera donc un des principaux moteurs du regain de leur confiance.

cyberattaque, santé

Les cyberattaques entraîneraient une augmentation des décès dans les hôpitaux

Les cyberattaques contre les établissements médicaux entraîneraient, selon des chercheurs, une probabilité d’augmentation du taux de mortalité des patients.

L’étude, menée par le Ponemon Institute, un groupe de réflexion à Washington, a interrogé plus de 600 professionnels des technologies de l’information de plus de 100 établissements de santé. Les résultats de l’étude fournissent la preuve la plus concrète à ce jour que le piratage persistant des centres médicaux américains entraîne une détérioration de la qualité des soins aux patients et une augmentation de la probabilité de leur décès.

Les deux tiers des personnes interrogées qui ont subi des attaques de rançongiciels ont déclaré que ces attaques perturbaient les soins aux patients. 59 % des personnes interrogées ont signalé une augmentation de la durée de séjour des patients à l’hôpital, ce qui a entraîné une surcharge des ressources. Près d’un quart ont déclaré que les attaques avaient entraîné une augmentation du nombre de décès dans leurs établissements.

Lors d’une attaque par rançongiciel, les pirates accèdent aux réseaux informatiques d’une organisation, les bloquent et exigent un paiement. Ces dernières années, ces piratages sont devenus un véritable désastre pour le secteur de la santé. Les hôpitaux ne signalent pas toujours les cas dont ils ont été victimes. Cependant, depuis 2018, le nombre d’attaques documentées a augmenté chaque année depuis 2018, atteignant 297 l’année dernière, selon une étude de Recorded Future.

Au cours des trois dernières années, plus de la moitié des organisations de soins de santé de l’enquête ont été infectées par des logiciels malveillants au cours des trois dernières années, selon une étude de Ponemon.

Les établissements de soins de santé vont des chaînes d’hôpitaux géants aux petites cliniques privées avec seulement quelques employés et peu ou pas de professionnels de l’informatique ou de la cybersécurité. Les dernières cyberattaques de Centres hospitaliers, en France, ont remis sur la table cette problématique sécuritaire.

Les grands réseaux hospitaliers peuvent avoir des spécialistes de la sécurité de l’information plus qualifiés, mais ces hôpitaux sont également des cibles plus importantes. Une attaque peut ralentir les soins aux patients dans des centaines d’hôpitaux à travers le pays, comme cela s’est produit lors de l’attaque de 2020 contre les services de santé universels.

« Mais il est clair depuis longtemps que les cyberattaques persistantes contre les hôpitaux font des ravages sur les patients »  indique Korman, vice-président de la société de cybersécurité Claroty.

« Nous savons que les retards d’assistance affectent le taux de mortalité, et nous savons que les cyberattaques causent des retards« , a déclaré le le Ponemon Institute.

Cybersécurité, VPN

L’Inde rend difficile l’utilisation de VPN sur son territoire

Une nouvelle loi indienne impose aux opérateurs de VPN de garder les informations sur les utilisateurs sur une période de 60 mois.

Face à l’introduction de nouvelles réglementations relatives à l’utilisation des VPN en Inde, plusieurs opérateurs d’outil de réseau privé virtuel ont annoncé le retrait de leurs serveurs situés dans ce pays. L’Inde exige, dorénavant, la sauvegarde des informations personnelles des utilisateurs par tous les fournisseurs, et cela pendant au moins cinq ans. Autant dire que le problème est rapidement apparu pour les sociétés qui n’ont pas de journalisation (pas d’enregistrement de connexion, etc.) de leur service.

cyberattaque, Social engineering

Le phishing, au plus haut depuis 2020

Les attaques par hameçonnage vocal hybride (téléphone et email) ont progressé de 625 % depuis le premier trimestre 2021. Plus de 58% des attaques de phishing destinées à dérober des identifiants visaient Office 365.

Les attaques basées sur la réponse ciblant les boîtes emails des entreprises viennent d’atteindre un niveau record depuis 2020, représentant à elles seules 41 % de la totalité des escroqueries par e-mail ciblant les salariés ayant eu lieu au cours du deuxième trimestre de cette année. Tel est le principal enseignement du dernier rapport trimestriel de la société HelpSystems. Entre avril à juin 2022 des centaines de milliers d’attaques par phishing et sur les réseaux sociaux visant les entreprises et leurs collaborateurs ont été repérées.

Les fraudes 419 toujours très présentes

La fraude 419 (scam 419 / arnaque nigériane) consiste en une attaque d’ingénierie sociale reposant sur la réponse des victimes à travers un canal de communication choisi. Phishing, vishing/smishing (ciblage par appel vocal ou SMS) et la fraude 419 ou “arnaque nigériane”. L’arnaque à l’amour, la plus connue, ou autres fausses ventes et propositions commerciales piégées.

Les escroqueries par fraude 419 ont représenté 54 % de toutes les menaces par e-mail basées sur la réponse au deuxième trimestre enregistrant une hausse de 3,4 % en part des signalements jusqu’à présent en 2022, et constituant régulièrement la majorité de ces attaques. La compromission des e-mails professionnels (BEC), qui permet aux acteurs de la menace de se faire passer pour une source de confiance, comme un salarié de l’entreprise ou un sous-traitant, s’est également intensifiée au cours de cette période, contribuant à 16 % du volume global des attaques. Si la part des attaques parmi les autres menaces de la catégorie « Response-Based » a baissé par rapport au premier trimestre, les attaques par vishing hybride (hameçonnage vocal amorcé par e-mail) ont pour leur part également progressé, atteignant un niveau record sur six trimestres, soit un bond de 625 % en volume par rapport à Q1 2021.

« Les attaques basées sur la réponse représentent toujours une part significative du volume de phishing, ce qui montre que les techniques d’ingénierie sociale continuent de se révéler efficaces pour les criminels », commente John Wilson, chercheur principal de l’unité Recherche sur les menaces de HelpSystems. « Nous constatons d’ailleurs que ces derniers continuent à perfectionner les leurres 419, de vishing et de BEC ; ils ne se réinventent pas, mais s’appuient majoritairement sur les nouvelles variantes des menaces d’ingénierie sociale ayant fait leurs preuves par le passé. »

Le site ZATAZ révélait, fin septembre, plusieurs fraudes aux paiements de loyer ou encore à la feuille d’imposition utilisant cette technique.

Autres enseignements clés de ce rapport

Le phishing ne cesse de progresser avec des attaques en croissance de 6 % par rapport au premier trimestre 2022. Au deuxième trimestre, les attaques sur les réseaux sociaux ont augmenté de 20 % par rapport au premier trimestre, avec une moyenne de près de 95 attaques par entreprise et par mois. Avec un bond de plus de 100 % des attaques au cours des 12 derniers mois, les plateformes sociales représentant les outils les plus accessibles pour escroquer le plus grand nombre de victimes.

Au deuxième trimestre, le cheval de Troie Emotet a officiellement regagné son statut de principale charge utile après avoir progressé de 30 % pour représenter près de la moitié de toutes les attaques par malware. Le nouveau venu, Bumblebee, s’établit à la troisième place, et serait potentiellement lié aux anciens payloads très prisés que sont Trickbot et BazaLoader.

Les attaques par vol d’informations d’identification visant les comptes Office 365 ont atteint un niveau record sur six trimestres en termes de part et de volume au cours de la période analysée. Plus de 58% de tous les liens de phishing destinés à dérober des identifiants visaient ceux liés à Office 365 (+ 17,7 % sur l’année).

Cybersécurité, Mise à jour, Patch, Securite informatique

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

cyberattaque, Cybersécurité, Téléphonie

190 applications totalisant plus de 4,8 millions de téléchargements piégées

Des découvrent que plus de 190 applications totalisant plus de 4,8 millions de téléchargements ont distribué le cheval de Troie Harly, alors que ces dernières étaient disponibles dans les magasins d’applications officiels. Ces applications en apparence légitimes ont permis à des cybercriminels d’inscrire des utilisateurs peu méfiants à des services payants sans leur consentement.

Des chercheurs scrutent en permanence le paysage des menaces mobiles afin de tenir les utilisateurs informés des tendances les plus significatives. Ils ont récemment découvert une campagne malveillante œuvrant via le Google Play Store, comptabilisant au total plus de 4,8 millions de téléchargements d’applications infectées. Au cours des deux dernières années, les cyberpirates ont imité plus de 190 applications légitimes, aussi bien des lampes de poche que des mini-jeux, pour distribuer le cheval de Troie Harly et abonner les utilisateurs affectés à des services payants sans leur consentement.

Dès que l’utilisateur lance l’application malveillante, le cheval de Troie peut entamer sa collecte d’informations sur son appareil et son réseau mobile. Le téléphone de l’utilisateur bascule vers un autre réseau mobile, puis le cheval de Troie demande au serveur C&C de configurer la liste des abonnements auxquels il faut s’inscrire. Le trojan ouvre alors le lien de l’abonnement dans une fenêtre invisible, saisit le numéro de téléphone de l’utilisateur identifié plus tôt, appuie sur les boutons requis et saisit le code de confirmation provenant d’un SMS. Résultat : l’utilisateur souscrit à des abonnements payants sans s’en rendre compte.

Autre caractéristique notable de Harly, il peut confirmer des abonnements même lorsqu’ils requièrent une vérification par appel téléphonique. Dans ce cas de figure, le cheval de Troie peut émettre un appel via un numéro spécifique et confirmer l’abonnement.

Même si les magasins officiels sont surveillés de près, les modérateurs ne peuvent pas toujours intercepter les applications indésirables avant qu’elles ne soient publiées. Il est d’autant plus difficile de reconnaître que ces applications représentent une menace potentielle car elles font effectivement ce qui est proposé dans leur description. Les avis des utilisateurs peuvent aider, mais ils peuvent aussi être exagérés et pas toujours fiables. C’est pourquoi nous recommandons vivement aux utilisateurs d’installer une solution de sécurité vérifiée qui empêchera le téléchargement de programmes dangereux« , commente Tatyana Shishkova, experte en sécurité chez Kaspersky.

Entreprise, RFID

Le Kenya mise sur la technologie RFID allemande pour identifier les voitures

Un puce RFID collée sur le pare-brise permet d’identifier l’ensemble des véhicules au Kenya.

L’État africain du Kenya continue de s’appuyer sur une technologie Allemande exploitant le RFID. Depuis 2016, le Kenya a numérisé l’enregistrement et l’identification de ses véhicules. Depuis, toutes les nouvelles voitures et tous les nouveaux camions reçoivent un autocollant RFID à apposer sur le pare-brise lors de l’immatriculation. L’IDeSTIX est produit par l’entreprise allemande TÖNNJES. Aujourd’hui, la National Transport & Safety Authority (NTSA) du Kenya a de nouveau fait appel au leader international du marché de l’identification des véhicules : d’autres IDeSTIX doivent être livrés à l’État d’Afrique de l’Est d’ici fin 2023. À l’avenir, les autocollants disposeront en outre d’un code 2D et d’un numéro de série.

Identification sans contact et technologie de cryptage hautement sécurisée

Les produits de TÖNNJES servent à l’identification électronique des véhicules, ou EVI. « Le Kenya utilise l’IDeSTIX comme troisième plaque d’immatriculation », explique le directeur Jochen Betz. L’autocollant contient une puce RFID RAIN sur laquelle est enregistré un numéro d’identification unique et codé plusieurs fois. Celui-ci peut être associé aux informations correspondantes du véhicule dans la base de données NTSA. Seuls les lecteurs autorisés peuvent déchiffrer le numéro. » De cette manière, la police reconnaît immédiatement si les données de l’IDeSTIX correspondent aux autres plaques d’immatriculation du véhicule », explique Betz.

Plus de certitude dans le commerce de voitures d’occasion

Les autocollants RFID, également utilisés par les Philippines ou la société pétrolière saoudienne Saudi Aramco, sont personnalisés et munis d’un code OR lors de leur émission sur place. Celui qui a un smartphone sous la main peut le scanner et voir les caractéristiques telles que le numéro d’immatriculation, la couleur de la voiture, la marque et le modèle. « Les arnaques sont ainsi nettement plus difficiles, surtout lors de la vente de voitures d’occasion », explique Jochen Betz. Enlever simplement l’autocollant pour dissimuler un vol ne fonctionne pas, car il s’autodétruit lorsqu’on le retire.

cyberattaque, Cybersécurité

Cybersécurité dans le retail : comment se défendre ?

Tous les acteurs du retail sont aujourd’hui concernés par les cyberattaques. Qu’ils soient géants du e-commerce ou du commerce de proximité, ces acteurs détiennent une multitude de données sensibles, des noms et adresses aux habitudes de consommation, en passant par les numéros de cartes bancaires et autres informations personnelles identifiables – une mine d’or pour les cybercriminels. Mais, la bonne nouvelle, c’est qu’il existe des mesures pour renforcer leur sécurité.

Utiliser les nouvelles technologies

L’une des principales raisons pour lesquelles le secteur du retail est maintenant une cible privilégiée est la simplicité et la vulnérabilité de son infrastructure. Les systèmes de vente sont souvent créés en utilisant une combinaison de différentes technologies, certains dormants et d’autres en évolution perpétuelle. En général, cela signifie qu’ils utilisent à la fois une infrastructure existante et de nouvelles innovations numériques ou basées sur le cloud.

Le développement des technologies est en grande partie motivé par le désir et le besoin de fournir des expériences omnicanales aux consommateurs. Pour rester compétitifs, les détaillants doivent offrir une certaine flexibilité à leurs clients, impliquant ainsi de proposer différents moyens de paiement. Par conséquent, ils sont souvent réticents à l’idée de mettre à jour les systèmes. Après tout, aujourd’hui plus que jamais, chaque transaction compte, et les détaillants ne veulent pas être confrontés à des systèmes complexes ou à des obstacles qui pourraient empêcher ou ralentir les ventes.

Cependant, les commerçants ont tendance à vouloir améliorer leurs offres numériques et à entrer dans l’ère de l’e-commerce. La pandémie a certainement joué un rôle dans cette évolution, car de nombreux acteurs ont été contraints d’adopter des méthodes numériques pour poursuivre leurs activités. Mais si ces systèmes, anciens et nouveaux, répondent aux objectifs d’efficacité et d’évolutivité, ils présentent également de multiples failles potentiellement exploitables par les cybercriminels.

Retail : un champ d’activité d’envergure pour les cybercriminels

À quelle fréquence les cyberattaques affectent-elles réellement ce secteur ? Des études récentes font état d’une augmentation de la cybercriminalité, d’autant plus que de nombreux détaillants ont accéléré leur transformation numérique. En fait, les données montrent que 65% des entreprises ont signalé une hausse des cyberattaques depuis la pandémie. Ces attaques sont coûteuses autant d’un point de vue financier que de celui de la réputation.

Il existe également plusieurs autres raisons expliquant l’exposition de ce secteur aux attaques. Le turn-over y est traditionnellement plus élevé, mettant en exergue qu’en l’absence d’une gestion appropriée, le taux d’accès aux systèmes par des comptes privilégiés est également élevé.

La solution est simple : simplifier et renforcer la sécurité

Au vu des risques pris en matière de sécurité informatique il semble pertinent de mettre en place une plateforme de gestion des accès ou gestion des accès à privilège (PAM). En un mot, cela consiste à s’assurer que chaque brique a accès aux informations nécessaires pour effectuer ses tâches et non à l’intégralité des données de l’entreprise. Ceci dans l’objectif de protéger et de gérer au mieux la confidentialité.

De nombreux risques de cybersécurité inhérents au secteur sont liés à l’accès privilégié, et la mise en place d’un tel système permet d’ajouter rapidement et facilement une couche supplémentaire de protection. Ainsi, les attaques sont arrêtées avant qu’elles ne puissent causer des dommages ou se propager à l’ensemble de l’entreprise. En effet, le système PAM n’accorde jamais à ces utilisateurs un accès privilégié à toutes les parties du système.

Une solution PAM robuste sécurise également les composants machine-à-machine (M2M) au sein d’un système. Ainsi, même si un pirate prend d’une manière ou d’une autre le contrôle d’un appareil IoT dans un entrepôt automatisé, la solution PAM bloque l’accès à cet appareil. Par conséquent, le pirate ne peut pas l’utiliser comme point d’entrée. De plus, une solution PAM complète est capable de surveiller en temps réel toute l’activité des différentes sessions, et mettre automatiquement fin aux usages suspects ou simplement alerter l’administrateur.

Non seulement ce type de technologie renforce considérablement la sécurité, mais il permet à l’entreprise de rester en conformité. Le secteur du commerce est soumis à une grande variété de réglementations auxquelles les entreprises doivent se conformer (par exemple, PCI DSS, RGPD, NIST et SOX). En plus de la surveillance, le PAM enregistre également chaque session et la rend consultable, et accessible pour un audit potentiel. En outre, ces sessions enregistrées sont également utiles pour les audits de sécurité, ainsi que pour la formation des membres de l’équipe de sécurité.

La cybersécurité dans le secteur du commerce ne doit pas être compliquée mais intuitive, et les professionnels doivent faire des compromis entre les nouvelles et les anciennes technologies. Il est essentiel que nous commencions à discerner les risques, et à mettre en œuvre des technologies qui peuvent les limiter et combattre les menaces afin d’inverser la tendance. (par Etienne de la Fouchardière, expert Retail chez WALLIX)

Entreprise, loi

Recours collectif contre Playstation par des gamers Russes

Vingt-huit gamers Russes lancent une action collective devant les tribunaux, ils ne peuvent plus jouer !

Des utilisateurs Russes de PlayStation ont déposé un recours collectif pour un montant de 280 millions de roubles, soit un peu plus de 450 000€. 28 plaignants qui ne peuvent plus, depuis l’entrée en guerre de leur pays contre l’Ukraine, accéder et acheter sur le PlayStation Store. Les conditions d’utilisation des programmes Sony et la législation russe ne prévoient pas de refus de fournir un service « en rapport avec la politique intérieure et étrangère de l’État de localisation et de résidence des utilisateurs« , déclarent les plaignants. En mars 2022, Sony a suspendu les livraisons de jeux et d’appareils en Russie. Le jeu japonais a également fermé le PlayStation Store.

Cybersécurité, Mise à jour

40 000 informaticiens en moins, en Russie

Pour le premier semestre 2022, environ 40 000 informaticiens ont quitté la Russie.

Un second effet à la guerre lancée par Vladimir Poutine, en Ukraine, les emplois spécialisés disparaissent. Après les craintes visant les mises à jour de logiciels, le blocage des smartphones sous Android et iOS, voici venir la nouvelle crainte high-tech sur le territoire Russe.

La Russie a perdu (ou va perdre) 40 000 informaticiens. Des employés de centres de développement d’entreprises étrangères, dont les maisons « mères » ont décidé de fermer leurs bureaux en Russie. Une second trimestre qui va faire de gros dégâts, la Russie n’étant pas capable de remplacer ces personnels partis.

La seconde fuite de cerveau est celle des entreprises russes qui travaillaient sur les marchés étrangers. Les informaticiens Russes vivant à l’étranger sont censés rentrer dans leur pays avant la fin de l’année.

Entreprise, Securite informatique

Smartphone en Russie, bientôt la fin du monde ?

L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.

La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.

Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).

De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.

Cybersécurité, Entreprise, Facebook

Russie : des députés réclament le retour d’Instagram

Des députés russes demandent la fin du blocage du réseau social Instagram afin d’aider les petites entreprises locales.

Des députés Russes ont demandé au bureau du procureur général de vérifier à nouveau le réseau social Instagram afin de stopper le blocage de ce dernier pour violations de la législation russe. Les politiques souhaitent le retour du réseau social, indispensable pour un grand nombre de petites entreprises russes.

Plus tôt, le vice-président de la Douma d’État, Vladislav Davankov, a déclaré que le blocage d’Instagram avait provoqué l’utilisation massive de « services VPN douteux » et entraîné une baisse des revenus des petites et moyennes entreprises. Selon Davankov, c’était le seul réseau social à servir aussi de plate-forme de vente.

Rappelons qu’en mars 2022, le tribunal Tverskoy de Moscou a reconnu la société Meta (Facebook) comme entreprise extrémiste et a interdit les réseaux sociaux Instagram et Facebook en Russie.

Cybersécurité, Mise à jour, Patch

Patch Tuesday – Août 2022

Un mois d’août 2022 très chargé pour Microsoft avec 121 vulnérabilités dont 17 critiques corrigées.

En résumé ce mois, Microsoft a corrigé 121 vulnérabilités, dont 17 vulnérabilités classées Critiques, car facilitant une élévation de privilèges (EoP) et une exécution de code à distance (RCE). Correctifs disponibles pour 2 vulnérabilités Zero-Day, l’une étant activement exploitée lors d’attaques (CVE-2022-34713, CVE-2022-30134). Microsoft a également publié 20 mises à jour de sécurité pour Microsoft Edge (basé sur Chromium) afin de résoudre des vulnérabilités d’élévation de privilèges (EoP), d’exécution de code à distance (RCE) et de contournement de fonctions de sécurité, affichant une sévérité respectivement faible, modérée et importante.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges (EoP), de divulgation d’information, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation, ainsi que dans Microsoft Edge (basé sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Remarque : Les vulnérabilités dans Microsoft Edge sont présentes dans chacune des catégories : Élévation de privilèges / Faible, Exécution de code à distance / Modérée et Contournement de fonctions de sécurité / Importante

Principales vulnérabilités Microsoft corrigées

CVE-2022-34713 | Vulnérabilité d’exécution de code à distance dans l’outil de diagnostic du Support Windows (MSDT)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10.

En mai dernier, Microsoft a publié un article avec des recommandations pour une vulnérabilité dans l’outil MSDT et des mises à jour pour résoudre cette vulnérabilité. Cette vulnérabilité CVE est une variante connue publiquement sous le nom de Dogwalk.

Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-30134 | Vulnérabilité de divulgation d’informations dans Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,6/10.

Elle n’est exploitée que si l’utilisateur s’appuie sur une version affectée d’Exchange Server et accède à un serveur malveillant. L’attaquant doit au préalable avoir hébergé un serveur partagé ou un site Web malveillant. N’ayant aucun moyen de contraindre des utilisateurs de visiter ce serveur partagé ou ce site Web malveillant, l’attaquant devra convaincre ces derniers de se rendre sur le serveur partagé ou le site Web en question, généralement en les y invitant au moyen d’un message électronique ou dans le cadre d’une discussion en ligne.

Pour plus d’informations, reportez-vous à Exchange Server Support for Windows Extended Protection et/ou au blog sur Exchange.

Évaluation d’exploitabilité : Exploitation improbable

Corrections des vulnérabilités de contournement de fonctions de sécurité

Il existe des mises à jour de sécurité autonomes. Ces packages doivent être installés au dessus des mises à jour de sécurité classiques pour protéger pleinement contre cette vulnérabilité.

Cette actualisation exige une mise à jour de la pile de maintenance (SSU) pour des numéros KB spécifiques. Les packages ont une logique pré-requise intégrée qui garantit un certain ordre.

Les clients Microsoft doivent s’assurer d’avoir installé la toute dernière version de la mise à jour de la pile de maintenance avant d’installer ces mises à jour de sécurité autonomes. Pour plus d’informations, se reporter à ADV990001 | Latest Servicing Stack Updates .

Un attaquant parvenant à exploiter l’une de ces trois vulnérabilités pourrait contourner un Démarrage sécurisé.

CVE-2022-34301 | CERT/CC: CVE-2022-34301 – Contournement du chargeur de démarrage Eurosoft

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34302 | CERT/CC: CVE-2022-34302 – Contournement du chargeur de démarrage New Horizon Data Systems Inc.

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-34303 | CERT/CC: CVE-20220-34303 – Contournement du chargeur de démarrage Crypto Pro

Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-35794, CVE-2022-35794 | Vulnérabilité d’exécution de code à distance dans le protocole SSTP (Secure Socket Tunneling Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10.

Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-30133, CVE-2022-35744 | Vulnérabilité d’exécution de code à distance dans le protocole PPP (Point-to-Point Protocol) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. Une solution de contournement temporaire, avant d’installer les mises à jour corrigeant cette vulnérabilité, consiste à bloquer le trafic via ce port pour rendre la vulnérabilité inexploitable. Avertissement : Désactiver le Port 1723 peut affecter les communications sur votre réseau.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-34691 | Vulnérabilité d’élévation de privilèges sur les services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10.

Elle ne peut être exploitée qu’en communiquant via le port 1723. En guise de solution de contournement temporaire, un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges au niveau Système.

Pour savoir comment protéger votre domaine, reportez-vous aux modifications de l’authentification à base de certificat sur les contrôleurs de domaine Windows.

Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-33646 | Vulnérabilité d’élévation de privilèges sur l’agent de nœud d’Azure Batch

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,0/10.

Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit préparer l’environnement ciblé pour améliorer la fiabilité de l’exploit.

Évaluation d’exploitabilité : Exploitation plus probable

(Par Debra M. Fezza Reed, Ingénieur de l’équipe Recherche sur les vulnérabilités et les menaces, Lab Qualys.)

backdoor, Cybersécurité

Piratage de l’administration fédérale de l’aviation US ?

Un pirate informatique propose à la vente une base de données contenant les employés de l’administration fédérale de l’aviation US.

Le pirate est connu de la scène « leak » mondiale. Baptisé PS, ce blacknaute commercialise des dizaines de bases de données toutes aussi étonnantes les unes que les autres. Je n’en ferai pas la liste ici, mais la dernière en date a de quoi attirer l’œil.

Pour 250 euros « somme négociable« , le hacker propose la base de données des employés de l’administration fédérale de l’aviation américaine. « Un accès en direct » souligne-t-il tout en proposant un échantillon.

On y croise les identités, les numéros de téléphone, les adresses électroniques (@faa.gov), les adresses physiques, etc.

Le pirate a diffusé une capture écran, ci-dessous, affichant 79.757 personnes le 13 août 2022.

« L’accès en direct signifie que nous fournissons des informations d’identification à la base de données pour se connecter et vérifier la source et la date des données » explique ce vendeur.

Une seule copie, pour une seule vente.

Cybersécurité, Entreprise

Ransomwares : hausse de 42 % en France

Un rapport sur les menaces pour le deuxième trimestre 2022 révèle une forte augmentation des attaques de ransomware dans le monde, soit 24 % de plus qu’au premier trimestre 2022. Parmi les cibles « faciles » des pirates, les cabinets d’architectures.

Forte augmentation des attaques par ransomware

Après des mois de déclin, les attaques mondiales de ransomware ont augmenté de manière significative au cours du 2ème trimestre 2022, soit une hausse de 24 % par rapport au trimestre précédent. Les plus fortes augmentations trimestrielles du ratio de risque de ransomware ont été enregistrées en Argentine (+56 %), au Royaume-Uni (+55 %), au Brésil (+50 %), en France (+42 %) et en Inde (+37 %).

« Les consommateurs, mais surtout les entreprises, doivent rester sur leurs gardes et se préparer à rencontrer des ransomwares, car cette menace n’est pas prête de disparaître« , explique Jakub Kroustek, directeur de la recherche sur les malwares chez Avast. « La baisse des attaques de ransomware que nous avons observée au quatrième trimestre de l’année 2021 et au premier trimestre de l’année 2022 était due à l’arrestation par les forces de l’ordre de membres de groupes de ransomware, ainsi qu’à la guerre en Ukraine, qui a également entraîné des désaccords au sein du groupe de ransomware Conti, interrompant leurs opérations. Les choses ont radicalement changé au deuxième trimestre 2022. Les membres de Conti ont maintenant bifurqué pour créer de nouveaux groupes de ransomware, comme Black Basta et Karakurt, ou peuvent rejoindre d’autres groupes existants, comme Hive, BlackCat ou Quantum, ce qui provoque un regain d’activité.« 

Sur cette même période, pas moins de 291 fuites de données visant des cabinets d’architecture ont été référencées par le site spécialisé ZATAZ.

Autant dire que face à l’appétit grandissant des pirates, une assurance cyber sécurité n’est plus une option pour pouvoir se retourner en cas de cyber attaque et ne pas se retrouver avec une rupture de service.

Face aux ransomwares, l’assurance rassure et protège

Dès que l’on pense assurance, on pense remboursement, temps perdu avec l’expertise, etc. Mais une assurance, c’est avant tout prévoir et palier au pire. Elle permet d’anticiper les risques. Elle couvrira le danger, avant qu’il n’intervienne.

Voici quelques exemples des options que votre assurance cyber doit prendre en compte :

– Frais liés aux enquêtes techniques, aux experts informatiques, mais aussi aux potentiels frais administratifs : justice, etc. Une cyber attaque ransomware demandera de nombreuses recherches dont celle qui confirmera la non présence, cachée, des pirates et de leurs outils malveillants.

– Couverture en cas de pertes d’exploitation. Un ransomware imposera le blocage et la fermeture, le temps de l’enquête technique et administrative, de vos machines et outils de communication numériques.

– Restauration de vos données. La plupart du temps, après le colmatage de la porte d’entrée des pirates, une restauration des données permet de relancer les machines. – Conseils juridiques et d’experts.

– Être conforme face au Règlement Général de la Protection des Données (RGPD).

APT, Cybersécurité, Securite informatique

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

backdoor, Cybersécurité

Exploits zero day

Des chercheurs ont découvert deux nouveaux exploits zero day utilisés par le vendeur de logiciels espions islandais Candiru pour cibler, entre autres, des journalistes au Liban.

Le premier est un bogue dans WebRTC, qui a été exploité pour attaquer les utilisateurs de Google Chrome dans des attaques très ciblées de type « watering hole », mais qui a également affecté de nombreux autres navigateurs.

Un autre exploit a permis aux attaquants de s’échapper d’une sandbox dans laquelle ils avaient atterri après avoir exploité le premier zero-day. Le deuxième zéro day découvert par Avast a été exploité pour pénétrer dans le noyau de Windows.

Un autre zero-day décrit dans le dernier rapport en date d’AVAST est Follina, un bug d’exécution de code à distance dans Microsoft Office, qui a été largement exploité par des attaquants allant des cybercriminels aux groupes APT liés à la Russie et opérant en Ukraine.

Ce zero-day a également été exploité par Gadolinium/APT40, un groupe APT chinois connu, dans une attaque contre des cibles à Palau.

Cybersécurité, Entreprise, Mise à jour

70% des cyber-incidents dus à l’hameçonnage et aux vulnérabilités logicielles

Un rapport sur la réponses aux incidents révèle les tendances et les implications futures et propose des recommandations basées sur les données recueillies au cours d’une année entière d’enquêtes. 7 cas sur 10 de cyber attaques dus à l’hameçonnage et aux vulnérabilités logicielles.

Selon un nouveau rapport de Palo Alto Networks, l’utilisation intensive des vulnérabilités logicielles est le reflet du comportement opportuniste des acteurs de la menace, qui écument l’Internet à la recherche de failles et de points faibles à exploiter. Le rapport 2022 des équipes de l’Unit 42 offre un très large éventail d’informations extraites du travail sur la réponse aux incidents. S’appuyant sur un échantillon de plus de 600 cas de réponse aux incidents étudiés, le rapport a pour but d’aider les RSSI et les équipes de sécurité à comprendre les principaux risques de sécurité auxquels ils sont confrontés, et à déterminer les domaines auxquels affecter en priorité des ressources pour limiter ces risques.

Dans ce rapport, les secteurs de la finance et de l’immobilier figuraient parmi ceux qui recevaient les montants moyens de demandes de rançon les plus élevés : en moyenne, environ 8 millions et 5,2 millions de dollars, respectivement. Dans l’ensemble, les ransomware et la compromission des emails professionnels (BEC) ont été les deux principaux types d’incidents que l’équipe de réponse aux incidents a dû gérer au cours des 12 derniers mois. Ils représentent environ 70 % des cas de réponse aux incidents.

« A l’heure actuelle, la cybercriminalité est une activité dans laquelle il est facile de se lancer, en raison de son faible coût et de sa rentabilité souvent élevée. Dans ce contexte, des acteurs de la menace novices et non qualifiés peuvent très bien se lancer grâce à des outils tels que le hacking-as-a-service (piratage en tant que service), qui connaissent une popularité grandissante et sont disponibles sur le dark web, explique Wendi Whitmore, responsable de l’Unit 42. Les auteurs des attaques par ransomware ont en outre perfectionné leur organisation, en proposant un service client et des enquêtes de satisfaction lorsqu’ils interagissent avec les cybercriminels et les organisations victimes. »

Ransomware

Le nom d’une nouvelle victime des ransomware est publié sur les sites de fuite toutes les quatre heures. Il est vital pour les entreprises d’identifier très tôt l’activité des ransomwares. En général, les acteurs des ransomwares ne sont découverts qu’après le chiffrement des fichiers, l’entreprise victime recevant alors une demande de paiement de rançon. L’Unit 42 a constaté que le temps d’infiltration médian – c’est-à-dire le temps que les acteurs de la menace passent dans l’environnement ciblé avant d’être détectés – observé pour les attaques par ransomware était de 28 jours. Les demandes de rançon ont atteint jusqu’à 30 millions de dollars et le montant record des paiements effectivement réalisés par les victimes est de 8 millions de dollars, soit une augmentation constante par rapport aux conclusions du rapport 2022 de l’Unit 42 sur les ransomware. De plus en plus souvent, les entreprises touchées peuvent également s’attendre à ce que les acteurs de la menace utilisent la double extorsion, en menaçant de diffuser publiquement leurs informations sensibles si elles refusent de payer la rançon.

BEC (Compromission des emails professionnels)

Les cybercriminels ont utilisé toute une variété de techniques pour compromettre les emails des entreprises dans le cadre de fraude par courrier et de fraude électronique. Les formes d’ingénierie sociale, telles que le hameçonnage, sont un moyen facile et rentable de se procurer un accès secret, avec un faible risque d’être détecté. Selon le rapport, dans de nombreux cas, les cybercriminels se contentent de demander à leurs cibles involontaires de leur communiquer leurs informations d’identification, ce qu’elles font. Une fois l’accès obtenu, la durée médiane d’infiltration des attaques de type BEC est de 38 jours, et le montant moyen dérobé est de 286 000 dollars.

Les secteurs touchés

Les attaquants ciblent les secteurs d’activité lucratifs. Néanmoins, de nombreux attaquants sont des opportunistes et scrutent tout simplement l’Internet à la recherche de systèmes leur permettant d’exploiter des vulnérabilités connues. L’Unit 42 a identifié les secteurs les plus touchés parmi ses cas de réponse aux incidents : finance, services professionnels et juridiques, fabrication, soins de santé, haute technologie, commerce de gros et de détail. Les organisations de ces secteurs stockent, transmettent et traitent de gros volumes d’informations sensibles et monnayables qui attirent les acteurs de la menace.

backdoor, cyberattaque

Des pirates s’infiltrent dans plusieurs stations de radio ukrainiennes

La guerre de l’information n’est pas prête de s’arrêter entre hacktivistes Russes et hacktivistes Ukrainiens. Des pirates diffusent de faux messages via des radios ukrainiennes.

Les assaillants ont répandu la nouvelle indiquant la présence du président Vladimir Zelensky à l’hôpital, en soins intensifs. Plusieurs radios ont diffusé le message quelques minutes. « Le président Zelensky est dans un état très grave et ses fonctions sont exercées par le président de la Verkhovna Rada« .

Il s’est avéré que les « nouvelles » concernant l’état de santé grave de Zelensky étaient fausses. Les stations de radio ont par la suite démenti ces informations, citant des pirates anonymes qui ont piraté les ondes et répandu la désinformation.

En mars 2022, une fausse vidéo du président ukrainien avait été diffusée via une chaîne locale préalablement piratée. La deepfake annonçait la capitulation de l’Ukraine face à la Russie.

cyberattaque, Entreprise

Piratage de la plateforme marketing Eskimi

Un pirate informatique propose à la vente plus de 25 millions de données clients de la plateforme marketing Eskimi.

Fin 2020, la plateforme AdTech Eskimi subissait une violation de données qui a exposé 26 millions d’enregistrements liées aux informations personnelles des utilisateurs de cette entreprise spécialisée dans le marketing digital.

Dans les données, 1,2 millions d’adresses électroniques uniques. Les données comprennent des noms d’utilisateur, des dates de naissance, des sexes et des mots de passe stockés sous forme de hachages MD5 non salés.

Pourquoi en parler deux ans plus tard ? Fin mai, un pirate a mis en vente la BDD. Deux mois plus tard, la base de données exfiltrée a été mise en accès libre dans plusieurs espaces du darkweb.

Entreprise, ID, Identité numérique

L’accès à certains sites réservé aux majeurs

L’accès à certains sites ou services sur Internet est réservé aux majeurs, en particulier l’accès aux sites web à caractère pornographique. Il est alors nécessaire de mettre en place un système de vérification de l’âge de l’internaute. La CNIl propose des pistes pour Jacky, Michelle et compagnie !

Ces dispositifs, qui participent à la protection des mineurs, ne sont jamais parfaitement efficaces et des contournements sont possibles. Ils peuvent, par ailleurs, présenter des risques pour la vie privée. La CNIL rappelle qu’à défaut de pouvoir viser une efficacité absolue, il convient de choisir des dispositifs pertinents et sécurisés pour atteindre le meilleur résultat possible. Ils doivent être réservés aux sites pour lesquels cela est nécessaire, le principe restant que l’accès aux sites web doit se faire par défaut sans contrôle d’identité ou d’âge.

Le contrôle de l’âge de l’internaute, dans un objectif de protection de la jeunesse, est compatible avec le règlement général sur la protection des données (RGPD), à condition de présenter des garanties suffisantes pour minimiser les atteintes à la vie privée et éviter que le contrôle de l’âge soit l’occasion pour les éditeurs de récupérer des données supplémentaires sur les internautes consultant leur site. En outre, il convient d’éviter que les données soient captées par un tiers pour des usages malveillants (vol de données biométriques, hameçonnage, usurpation, chantage…).

Les solutions existantes

Dans sa position, la CNIL analyse les solutions existantes et précise les conditions à respecter pour garantir leur sécurité.

Elle rappelle notamment qu’il est possible d’utiliser la carte bancaire : si certains mineurs ont une carte bancaire (ou peuvent s’en procurer une) pour accéder à un site, la vérification par carte bancaire n’en demeure pas moins efficace dans la plupart des cas pour protéger les plus jeunes et s’appuie sur une technologie éprouvée, qui peut aussi être utilisée pour contrôler l’accès à des sites gratuits. L’analyse faciale des traits du visage par un système automatique accédant à la webcam de l’ordinateur, sans reconnaissance faciale biométrique, permet également de bloquer l’accès des plus jeunes et d’autoriser l’accès des personnes ayant nettement plus de 18 ans ; elle présente en revanche des risques d’erreur pour les personnes proches de l’âge de 18 ans.

Dans les deux cas, ces solutions doivent être opérées par des tiers présentant un niveau de sécurité et de fiabilité suffisant, pour éviter les vols de données et garantir la prise en compte des risques additionnels engendrés par leur utilisation. D’autres solutions sont possibles mais présentent certaines difficultés techniques ou une maturité moindre.

Une annonce intéressante au moment d’actions « punitives » de Google. La firme alerte des blogs et sites web de contenus pour adultes à faire disparaitre. Un système tellement précis et efficace (#blague) que le géant américain impose à des sites web, comme celui de votre serviteur ou encore ZATAZ, de faire disparaitre des articles contenant les mots « sites pour adultes » sous peine d’être interdit de supports publicitaires.

Nous allons voir, en combien de temps, cet article va tomber dans la moulinette « censure » de Google.

Cybersécurité, Espionnae

Faille dans Google Chrome utilisée par un logiciel espion pour smartphone

Une vulnérabilité de type « zero-day » dans Google Chrome (CVE-2022-2294) découverte lorsqu’elle a été exploitée à l’encontre de journaliste basé au Moyen-Orient.

Le logiciel espion Candiru, provenant d’une entreprise Israélienne, aurait été diffusé à partir d’une faille exploitant le navigateur de Google, Chrome. C’est l’équipe Cyber d’Avast Threat Intelligence qui a découvert la cyber attaque au Liban. Des journalistes figuraient parmi les parties visées, et que d’autres cibles en Turquie, au Yémen et en Palestine.

Google a corrigée la faille le 4 juillet 2022.

Selon le fonctionnement du malware et des tactiques utilisées pour mener l’attaque, les chercheurs l’ont attribué au fournisseur de logiciels espions Candiru, basé à Tel Aviv et connu pour vendre des logiciels d’espionnage à des clients gouvernementaux. Lors de cette attaque, un profil du navigateur de la victime, composé d’environ 50 points de données, est collecté et envoyé aux attaquants. Les informations recueillies comprennent la langue de la victime, le fuseau horaire, les informations inscrites sur l’écran, le type d’appareil, les plugins de navigateur, le référent, la mémoire de l’appareil, la fonctionnalité des cookies, etc.

Si les données collectées correspondent à ce que les attaquants recherchent, l’opération de type « zero-day » est transmise à l’appareil de la victime via un canal crypté. Une fois que les attaquants sont entrés sur la machine, une charge malveillante connue sous le nom de DevilsTongue est envoyée pour tenter d’augmenter la portée du malware afin d’obtenir un accès complet à l’appareil de la victime.

DevilsTongue est un logiciel espion avancé, capable d’enregistrer la webcam et le microphone de la victime, d’enregistrer les touches, d’exfiltrer la messagerie de la victime, son historique de navigation, ses mots de passe, sa géolocalisation, et bien plus encore.

Au Liban, les attaquants semblent avoir compromis un site web utilisé par les employés d’une agence de presse. Nous ne pouvons pas dire avec certitude ce que les attaquants ont pu chercher, mais souvent, la raison pour laquelle les attaquants s’en prennent aux journalistes est de les espionner eux ainsi que les dossiers sur lesquels ils travaillent directement, ou d’atteindre leurs sources et de recueillir des informations compromettantes et des données sensibles qu’ils ont partagées avec la presse. Une attaque comme celle-ci pourrait constituer une menace pour la liberté de la presse.

Google ayant rapidement corrigé la vulnérabilité le 4 juillet, les utilisateurs de Chrome doivent simplement cliquer sur le bouton lorsque le navigateur les invite à « redémarrer pour terminer l’application de la mise à jour. La même procédure doit être suivie par les utilisateurs de la plupart des autres navigateurs basés sur Chromium, y compris Avast Secure Browser. Les utilisateurs de Safari doivent passer à la version 15.6.

Cybersécurité, Entreprise

Outil open-source pour corréler les activités suspectes

Detectree, un nouvel outil open-source pour corréler les activités suspectes en cas de cyberattaque.

En cas de cyberincident, chaque minute compte. Il faut agir vite pour circonscrire l’attaque et minimiser les dommages. Pourtant, de nombreuses entreprises éprouvent encore des difficultés à délimiter les activités malveillantes et à évaluer leur impact.

Un nouvel outil open-source vient changer la donne : Detectree. Detectree a été conçu pour augmenter la visibilité sur les activités suspectes détectées. Développé par WithSecure™ (anciennement F-Secure Business), cet outil répond aux besoins des équipes de cyberdéfense (également appelées équipes bleues / Blue team).

Il est essentiel de pouvoir établir des corrélations entre les différents événements suspects enregistrés sur un endpoint. La visibilité est toujours une priorité, mais elle devient un impératif vital en cas d’incident. Une attaque est une course contre la montre. Plus vous avez besoin de temps pour établir des corrélations entre les différentes données enregistrées, plus vous tardez à remédier au problème. Face à une attaque, ce temps perdu est un véritable gaspillage.

Par exemple, lorsqu’un analyste recherche la cause d’un processus suspect, il doit généralement examiner les données des logs et reconstituer manuellement la chaîne des événements. Plus la chaîne est longue, plus elle devient difficile à analyser. Or, dans les grandes entreprises, les Blue Teams peuvent être confrontées à des volumes d’alertes colossaux : environ 11 000 par jour selon une récente étude*. Ces équipes peuvent donc facilement se retrouver submergées.

Detectree a été conçu pour simplifier le travail d’investigation en structurant les données des logs. Cet outil met en évidence les relations entre l’activité suspecte détectée et tous les processus, destinations réseau, fichiers et clés de registre liés à cette activité. Plutôt que de trier manuellement les données représentées sous forme de texte pour reconstituer la chaîne d’événements, les équipes peuvent observer directement les corrélations, ainsi que la nature de ces dernières. (Interactions, relations parent-enfant, injections de processus).

En s’appuyant sur la visualisation, les équipes peuvent rapidement cerner le contexte propre à une détection, et partager ces données avec les parties concernées de manière simple et intuitive. Elles ont ainsi la certitude que ces informations seront accessibles à tous ceux qui en ont besoin.

Même les Blue Teams les plus expérimentées et les plus compétentes ont besoin d’outils performants pour travailler efficacement. Certaines tâches sont complexes et particulièrement chronophages pour les équipes de sécurité. Detectree est un outil simple, qui apporte une réponse à ces problèmes.

Entreprise

Découvrez nos conseils pour réduire le bruit des ventilateurs Mac

Vous constatez que votre Mac est relativement bruyant quand vous travaillez depuis quelque temps mais vous ne savez pas quoi faire ? Vous aimeriez des conseils pour réduire le bruit des ventilateurs Mac ? Les ventilateurs Mac sont indispensables pour éviter une surchauffe de votre appareil mais peuvent vite devenir bruyants justement quand ils tournent à plein régime pour refroidir votre ordinateur. Heureusement, il existe des solutions pour éviter que vos ventilateurs ne fassent trop de bruit. Découvrez nos conseils pour réduire le bruit des ventilateurs Mac et offrez-vous un environnement de travail plus silencieux.

Utiliser son Mac sur une surface plane

Premier conseil, si vous souhaitez éviter que vos ventilateurs ne fassent trop de bruit, vous devez utiliser votre Mac sur une surface plane. En effet, l’air pourra circuler de la meilleure des manières avec votre appareil installé sur une surface plane et vos ventilateurs auront moins de travail pour refroidir votre Mac. S’il peut par exemple être très agréable de regarder une série dans son lit, les aérations ont dans cette configuration toutes les chances d’être obstruées. Vos ventilateurs vont ainsi se mettre à tourner plus vite pour tenter de refroidir correctement votre Mac. S’il existe plusieurs solutions pour réduire le bruit des ventilateurs Mac, l’utilisation sur une surface plane est la plus évidente à mettre en place. Sachez qu’il existe de nombreux types de supports plats qui sont spécialement conçus pour vous permettre de profiter de votre Mac depuis un sofa ou votre lit de manière optimale.

Mettre son Mac dans des bonnes conditions

Ensuite, au-delà du support, notez qu’il existe des conditions optimales pour que votre Mac n’ait pas besoin de refroidir trop intensément tout le temps. Ainsi, nous vous conseillons par exemple d’utiliser votre appareil uniquement dans des conditions modérées avec des températures ne dépassant pas 35 degrés. Il en est de même pour les températures trop basses. Si vous devez travailler tout de même dans des conditions extrêmes, offrez des pauses à votre Mac pour lui permettre de refroidir naturellement. De plus, évitez les endroits poussiéreux pour installer votre poste de travail afin de ne pas avoir de poussière qui entre dans vos aérations. Prenez aussi soin de votre Mac autant que possible et veillez à ce que la configuration soit optimale.

Faire de la place sur votre Mac

Enfin, si vos ventilateurs font du bruit en permanence, nous vous conseillons tout simplement de libérer de la place sur votre disque. Prenez alors le temps de regarder les applications que vous avez téléchargées et qui prennent beaucoup de ressources. Supprimez quelques fichiers qui n’ont pas spécialement d’intérêt pour vous. Désactivez les logiciels qui vous prennent le plus de mémoire. Notez que nous vous conseillons d’installer un outil de nettoyage sur votre Mac pour que celui-ci soit facilement nettoyé en permanence. Quand vous allez avoir fait du ménage sur votre Mac, vous avez toutes les chances pour qu’il chauffe beaucoup moins lors de l’utilisation. Ainsi, vos ventilateurs Mac vont faire moins de bruit puisqu’ils auront moins de travail pour refroidir votre appareil.

Et vous, quels sont vos conseils pour réduire le bruit des ventilateurs Mac ?

cyberattaque, Cybersécurité

Piratage de la police de Shanghai

Des pirates affirment avoir volé les données personnelles de plus d’un milliard de personnes domiciliées en Chine suite au piratage d’une base de données de la police de Shanghai. Possible ?

Lors d’une fuite de données de cette ampleur il est pratiquement impossible de vérifier la véracité de chaque entrée. Toutefois, sur la base d’un échantillon de données, les premiers rapports indiquent que la fuite est plutôt crédible. On ne sait toujours pas si les données proviennent d’une seule base de données, de bases de données liées ou de bases de données sans rapport entre elles, ce qui signifie que le nombre de citoyens concernés pourrait bien être inférieur au nombre de données communiquées.

 Le prix relativement faible proposé par les pirates pourrait sembler significatif, sauf que de nombreux pirates, depuis le lancement de la guerre lancée par la Russie à l’encontre de son voisin l’Ukraine, fait ressortir des fuites et des failles  gardées secrètes depuis des semaines, certaines mêmes depuis des mois. Les pirates ont besoin de liquidité. Les Sécurité du système d’information (SI) non maitrisés deviennent de vraies mines d’or pour les pirates !

Les données sont proposées pour 10 bitcoins (200 000 dollars), ce qui laisse penser que le pirate cherche peut-être à vendre les données à plusieurs acheteurs et donc de manière non exclusive. Certains pirates que j’ai pu rencontrer me disaient « nous préférons vendre à un petit montant 10 fois aujourd’hui, qu’espérer une grosse somme demain« . Effectivement, 10 fois 200 000 aujourd’hui et mieux qu’espérer tomber sur le bon acheteur à 2 millions demain !

« La valeur des données personnelles varie également d’un citoyen à l’autre, en grande partie en fonction de la possibilité de monétiser les données par le biais de l’usurpation d’identité ou de fraude, les nations occidentales telles que le Royaume-Uni et les États-Unis exigeant généralement un prix plus élevé. »  explique Toby Lewis, Global Head of Threat Analysis de Dartrace.

Il est intéressant de noter que les organes de censure chinois s’empressent de mettre fin à toute discussion sur cette fuite qui pourrait discréditer le gouvernement, dans la mesure où ce dernier est considéré comme la source présumée de la fuite. Cela peut être une indication de la véracité de l’affirmation, mais il peut s’agir simplement d’une tentative d’étouffer des rumeurs potentiellement dommageables.

cyberattaque, Cybersécurité, Mise à jour

Patch Tuesday Juillet 2022

Microsoft corrige 84 vulnérabilités dont 4 critiques, ainsi que 2 concernant Microsoft Edge (basé sur Chromium). Adobe publie 4 avis de sécurité et corrige 27 vulnérabilités dont 18 critiques.

Microsoft a corrigé en ce mois de juillet 2022 pas moins de 84 vulnérabilités. Quatre sont classées comme critiques car facilitant une exécution de code à distance (RCE).

La mise à jour cumulative de Windows dans le cadre du Patch Tuesday de ce mois comprend le correctif pour une vulnérabilité Zero-Day (CVE-2022-22047) activement exploitée. Le 06 juillet 2022, Microsoft a également publié deux mises à jour de sécurité pour Microsoft Edge (sur Chromium) .

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et de falsification ainsi que dans Microsoft Edge (sur Chromium).

De nombreuses vulnérabilités corrigées ce mois-ci sont associées à une exécution de code à distance, mais aucune exploitation active (en mode aveugle) n’est signalée, à l’exception de la CVE-2022-22047, une vulnérabilité d’élévation de privilèges dans le composant CSRSS de Windows.

Classement des vulnérabilités corrigées par Microsoft en juillet 2022

Déni de Service

5

Importante

5

Élévation de privilèges

50

Importante

50

Divulgation d’informations

11

Importante

11

Microsoft Edge (basé sur Chromium)

2

N/A

2

Exécution de code à distance

12

Critique

4

Importante

8

Contournement des fonctions de sécurité

4

Importante

4

Falsification

2

Importante

2

CVE-2022-22047 Vulnérabilité d’élévation de privilèges dans le composant CSRSS Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,8/10. Élévation de privilèges – Important – L’attaquant qui parvient à exploiter cette vulnérabilité peut obtenir des privilèges SYSTEM (Article 5015874). Évaluation d’exploitabilité : Exploitation détectée

Zoom sur les vulnérabilités Microsoft critiques et importantes

L’avis de sécurité du mois concerne de nombreuses familles de produits Microsoft, dont Azure, le navigateur, les mises à jour de sécurité étendue (ESU), Microsoft Dynamics, Microsoft Office, System Center et Windows. Au total 63 produits/versions Microsoft sont concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement) et Security Update (Mise à jour de sécurité).

CVE-2022-30221 | Vulnérabilité d’exécution de code à distance dans le composant graphique de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour l’exploiter, l’attaquant doit d’abord convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant exécutera du code sur le système de l’utilisateur ciblé. Seuls Windows 7 Service Pack 1 et Windows Server 2008 R2 Service Pack 1 sont affectés par cette vulnérabilité si RDP 8.0 ou RDP 8.1 est installé. Si aucune de ces deux versions de RDP n’est installée sur Windows 7 SP1 ou Windows Server 2008 R2 SP1, vous n’êtes pas concernés par cette vulnérabilité. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22029 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données en mode permanent ou intermittent. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22038 | Vulnérabilité d’exécution de code à distance au niveau du runtime d’appel de procédure à distance (RPC)

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit s’investir dans des tentatives d’exploitation répétées dans le temps en envoyant des données de manière permanente ou intermittenteÉvaluation d’exploitabilité : Exploitation moins probable

CVE-2022-22039 | Vulnérabilité d’exécution de code à distance dans le système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. Pour que l’exploitation de cette vulnérabilité réussisse, l’attaquant doit gagner une situation de course. Cette vulnérabilité peut être exploitée sur le réseau en lançant un appel malveillant et non authentifié auprès d’un service NFS pour déclencher une exécution de code à distance (RCE). Évaluation d’exploitabilité : Exploitation moins probable

Autres vulnérabilités Microsoft majeures

Début juillet, Microsoft a publié des correctifs pour les vulnérabilités CVE-2022-2294 et CVE-2022-2295 dans Microsoft Edge (sur Chromium). La vulnérabilité attribuée à chacune de ces CVE est présente dans le logiciel Open Source (OSS) Chromium utilisé par Microsoft Edge. Elle est décrite dans le guide des mises à jour de sécurité pour signaler que la toute dernière version de Microsoft Edge (sur Chromium) n’est plus vulnérable. Pour plus d’information cf Security Update Guide Supports CVEs Assigned by Industry Partners

cyberattaque, Cybersécurité

Les pirates russes APT29 utilisent les services de stockage en ligne, DropBox et Google Drive

Dans le monde entier, des entreprises font confiance à des services de stockage tels que DropBox et Google Drive pour leurs opérations quotidiennes. Cette confiance est pourtant mise à mal par des acteurs malveillants qui, comme le montrent les dernières recherches, redoublent d’ingéniosité pour exploiter la situation au profit d’attaques extrêmement difficiles à détecter et à prévenir.

Les dernières campagnes orchestrées au moyen d’une menace persistante avancée (APT), que l’Unit 42 connait et suit sous le nom de Cloaked Ursa (également appelée APT29, Nobelium ou Cozy Bear) ont donné à voir un niveau de sophistication inédit ainsi que des capacités à s’immiscer rapidement dans des services populaires de stockage sur le cloud afin d’échapper à la détection.

Ce groupe n’en est d’ailleurs pas à son coup d’essai dans le détournement de services cloud légitimes et fiables. Au fil de leurs recherches, les spécialistes ont découvert que leurs deux campagnes les plus récentes exploitaient pour la première fois les services de stockage Google Drive.

La réplication des données opérée sur le cloud Google Drive, à laquelle s’ajoute la confiance de millions de clients à travers le monde, rend les opérations de ce malware particulièrement inquiétantes. En effet, lorsque l’utilisation de services fiables est associée au chiffrement, comme c’est le cas ici, il devient bien plus difficile pour les entreprises de détecter les activités malveillantes en lien avec la campagne.

Cloaked Ursa

Depuis longtemps, le secteur de la cybersécurité considère la menace Cloaked Ursa comme affiliée au gouvernement russe. Ce lien expliquerait notamment la mission historique du groupe, qui remonte aux campagnes de malware lancées en 2008 contre la Tchétchénie et d’anciens pays du bloc soviétique. Un autre des faits d’armes plus récents attribués au groupe est le piratage du Comité national démocrate (DNC) des États-Unis, en 2016, de même que la cyberattaque SolarWinds de 2020 qui a compromis toute une chaîne d’approvisionnement.

Plus précis quant à l’identification des auteurs de l’attaque, les États-Unis comme le Royaume-Uni ont publiquement pointé du doigt le Service des renseignements extérieurs de la Fédération de Russie (SVR), c’est-à-dire les activités d’espionnage. Les dernières campagnes de cet acteur ont servi à faire croire qu’un rendez-vous se préparait avec un ambassadeur. L’Unit 42 pense que ces campagnes ciblaient des missions diplomatiques occidentales qui se sont déroulées entre mai et juin 2022. Les leurres inclus dans ces campagnes suggèrent qu’une ambassade étrangère au Portugal, ainsi qu’une ambassade étrangère au Brésil, ont été prises pour cible. Dans les deux cas, les documents de phishing contenaient un fichier HTML malveillant (EnvyScout) utilisé pour entreposer d’autres fichiers similaires dans le réseau ciblé, notamment un payload Cobalt Strike.

Cybersécurité

Quelles sont les cybermenaces les plus courantes pour les environnements industriels ?

Face à la prolifération des cybermenaces, aucune entreprise n’est à l’abri, indépendamment de sa taille et de son domaine d’activité. Si les secteurs numériques, tels que le commerce électronique, ont longtemps constitué des cibles privilégiées, le monde de l’industrie est à son tour dans le collimateur des criminels.

L’une des principales raisons réside dans l’obsolescence ou la faiblesse de processus de cybersécurité qui n’ont été pas renforcés, voire mis à jour depuis longtemps. Il n’est pas rare que les systèmes en place continuent d’utiliser les mêmes protocoles de sécurité que lors de leur lancement, de sorte que les attaques peuvent rapidement et facilement interférer avec les opérations. On croit à tort que les cyberattaques sont de plus en plus sophistiquées ou complexes ; en réalité, les criminels s’appuient sur des tactiques bien établies et recherchent les opportunités les plus évidentes et les plus rapidement accessibles.

Pour renforcer leur posture de sécurité, les dirigeants doivent donner la priorité à leurs systèmes de cybersécurité et, avant toute chose, savoir où se trouvent les menaces les plus courantes au sein de leur entreprise.

Protéger les processus stratégiques

En matière de cybersécurité, les criminels sont plus véloces que les entreprises. Les criminels ne se contentent généralement pas de provoquer des perturbations temporaires ; ils attaquent là où ils savent que les dommages seront les plus importants, à savoir les processus essentiels au bon fonctionnement de l’entreprise.

Lorsqu’ils sont parvenus à toucher ces processus stratégiques, les hackers peuvent déclencher une réaction en chaîne à de nombreux autres niveaux de l’entreprise, notamment logistique, amplifiant ainsi la portée de leur attaque.

Prenons l’exemple de l’industrie des hydrocarbures : une attaque conçue pour mettre hors service un serveur qui contrôle des pompes à pétrole peut entraîner un arrêt immédiat de la production. En ciblant le cœur de son modèle industriel, cette agression paralyse littéralement le bon fonctionnement de l’entreprise.

Protéger les employés

Dans le monde moderne où nombre d’entreprises fonctionnent selon une approche fragmentée, les cybercriminels disposent de multiples points d’entrée pour lancer leurs offensives. Généralement peu sophistiquées ni même ciblées, ces attaques ont plutôt tendance à « ratisser » aussi largement que possible avant de se focaliser sur un individu ou un objectif spécifique. Le plus souvent, une erreur commise de façon involontaire par un employé ou un équipement non protégé constitue la meilleure porte d’entrée.

Des techniques éprouvées, telles que l’hameçonnage, sont encore abondamment utilisées, car il suffit aux cybercriminels de déterminer le « maillon faible » et de l’attaquer rapidement. Dans de nombreux cas, il s’agira d’un employé qui clique sans réfléchir sur un lien dans un courriel, ou qui utilise à domicile un ordinateur non sécurisé. Ces tentatives se révèlent peu risquées et peu coûteuses pour les attaquants, lesquels peuvent lancer des attaques d’ampleur quasi illimitée dans le monde entier.

En deux mots, pour protéger une entreprise, il est essentiel de bien protéger ses employés. L’une des bonnes pratiques consiste à encourager les collaborateurs à observer des mesures de sécurité élémentaires et à les former régulièrement à l’hygiène numérique. En dépit de leur simplicité évidente, ces initiatives de façon significative contribuent à limiter les risques de cyberattaque.

Protéger le service informatique

Plus une entreprise s’en remet à la technologie, plus la surface d’attaque à protéger sera étendue. L’intégration de nouveaux logiciels ou de nouveaux équipements au sein des processus stratégiques doit s’accompagner d’une réflexion en amont afin de protéger au mieux la technologie. Les entreprises qui adoptent de nouveaux systèmes sans prendre la peine de les sécuriser correctement offrent des opportunités en or aux cybercriminels.

En fait, compte tenu de leur dépendance croissante vis-à-vis des processus numériques, les entreprises doivent traiter les risques numériques de la même façon que les risques juridiques. Toutes les entreprises mesurent les menaces juridiques auxquelles elles sont exposées, et c’est pour éviter tout problème de cet ordre qu’elles se reposent sur des experts en droit. Un état d’esprit similaire doit animer l’approche de la cybersécurité.

Aucune entreprise ne signera un partenariat, un accord de fusion, ni même un contrat standard sans l’avoir soumis à un avocat, et c’est exactement ce qui doit se passer avec les nouvelles technologies. Pour limiter les risques de cyberattaque, les entreprises doivent prendre contact avec des experts et des professionnels de la cybersécurité avant d’adopter une nouvelle technologie, comme ils solliciteraient leurs avocats avant de parapher un nouveau contrat. Cette approche doit s’inscrire au cœur de la culture des entreprises afin de renforcer leur hygiène numérique.

Compliquer la tâche des pirates

Une cybersécurité efficace repose sur un concept a priori simple : faire en sorte qu’il soit incroyablement difficile et coûteux pour les cybercriminels de tenter une attaque.

Le simple fait d’intégrer d’emblée une approche renforcée de la sécurité dans les systèmes informatiques a un effet dissuasif important.

Afficher une certaine forme de visibilité et des capacités de détection, tout en accélérant la réactivité aux menaces constitue à cet égard un bon point de départ. Il convient dans cette optique de déployer de façon précoce des solutions de cybersécurité efficaces, avant de les améliorer de manière dynamique et continue. Un plan d’action élémentaire mis en place rapidement et actualisé régulièrement exercera un effet nettement plus dissuasif sur les agresseurs potentiels que vous l’imaginez à première vue. (Par Eduardo Di Monte, Cybersecurity Portfolio Strategic Growth Leader Rockwell Automation)

Chiffrement, Cybersécurité

Ransomware : la rançon moyenne est de 925 162 dollars

Le montant moyen des paiements de rançons suit à une cyberattaque approche rapidement le million de dollars alors que la crise des rançongiciels continue de faire des ravages dans les organisations de toutes tailles à travers le monde.

Les rançons ne cessent d’augmenter à la fois en ce qui concerne les demandes que les paiements. Parmi les cas de réponse aux incidents en 2021, qui se trouvaient principalement aux États-Unis, la rançon moyenne demandée était d’environ 2,2 millions de dollars. Cela représente une augmentation d’environ 144 % par rapport à la demande moyenne de 900 000 $ des cas traités en 2020 par les consultants de l’Unit 42. Le paiement moyen des dossiers traités par les experts de l’Unit 42 ont grimpé à 541 010 $, soit 78 % de plus que l’année précédente.

Il semble que personne ne soit à l’abri des attaques de ransomwares comme le montre le blog ZATAZ. Les organisations dans presque tous les pays et secteurs ont été ciblées en 2021. L’analyse des sites de fuite de ransomwares a identifié la région des Amériques comme la plus touchée – 60 % des victimes recensées sont identifiés dans cette région, tandis que 31 % des victimes sont attribuées à l’Europe, au Moyen-Orient et à l’Afrique (EMEA) et 9% à l’Asie-Pacifique. Les services professionnels et juridiques, suivis de la construction, ont été les secteurs les plus ciblés, avec respectivement 1 100 et 600 victimes recensées sur les sites de fuite.

Les effets à long terme d’une attaque par rançongiciel peuvent représenter un défi pour les organisations. Parmi les entreprises touchées par les ransomwares, une majorité (58 %) des décideurs informatiques déclarent que leur l’organisation a payé la rançon, 14 % déclarant que leur organisation a payé plus d’une fois. Sans parler de celle qui ne souhaite pas que cela se sache et son prêt à menacer les lanceurs d’alertes.

Le rapport indique que, bien que 41 % des entreprises touchées par une attaque par ransomware aient pu récupérer en moins d’un mois, 58% ont pris plus d’un mois. 29% des entreprises interrogées attaquées par des ransomwares ont pris plus de trois mois, et 9 % ont dit qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.

Les tactiques employées par ces cybercriminels reflètent la sophistication croissante et maturité du paysage des rançongiciels.

Multi-extorsion en hausse

Techniques de multi-extorsion où non seulement les attaquants chiffrent les dossiers d’une organisation, mais pratiquent aussi le « name and shame » (chantage aux victimes et/ou menacer de lancer d’autres attaques (par exemple, l’attaque DDoS) pour inciter les victimes à payer plus rapidement. En 2021, les noms et preuve de compromis pour 2 566 victimes ont été affichés publiquement sur sites de fuite de ransomware, marquant une augmentation de 85% par rapport à 2020.
​​​​
La prolifération des RaaS (Ransomware as a Services) avec la mise à disposition de « kits » et services de soutien aux cybercriminels qui réduisent leurs barrières techniques et leur permettent d’accélérer et multiplier leurs attaques.

Les principaux gangs de rançongiciels ont rapidement exploité la vulnérabilité CVE-2021-44228, communément appelée Log4Shell.

Il est fort probable que tant que les organisations ne parviendront pas à appliquer les correctifs connus pour ces vulnérabilités critiques, les attaquants continueront à les exploiter à leur avantage.

cyberattaque, Cybersécurité

Penser comme un attaquant pour contrer les nouvelles attaques DDoS

Le télétravail a considérablement changé les modes de fonctionnement en entreprise. En effet, selon l’Insee, 22 % des salariés français télétravaillent au moins une fois par semaine. Cette pratique élargit les modes de communications entre collaborateurs, rendant les environnements numériques de travail accessibles depuis n’importe quel appareil connecté, professionnel comme personnel. Cette accessibilité augmente la surface d’attaque et donc les possibilités de corruption des cybercriminels. Ces derniers s’appuient en effet désormais sur cette informatique de périphérie pour s’immiscer insidieusement dans les réseaux, soulignant ainsi la nécessité d’adapter les approches de protection des réseaux à ces nouvelles pratiques.

La part importante des salariés en télétravail nécessite des ajustements que l’informatique de périphérie est capable d’offrir. En revanche, cette dernière présente de nouvelles failles que les cybercriminels exploitent déjà dans les attaques par déni de service distribué (DDoS) : « L’adoption d’une architecture de périphérie – edge computing – qui rapproche le traitement et le stockage des données de leur source, permet entre autres aux entreprises d’accroître les performances de leur réseau, tout en réduisant la nécessité de renvoyer les données recueillies à la périphérie du réseau vers un datacenter. Ainsi, plus de la moitié des entreprises seraient susceptibles d’y recourir pour au moins six cas d’utilisation, d’ici fin 2023. Toutefois, si les entreprises se tournent de plus en plus vers la périphérie, les cyberattaquants s’y intéressent également de très près afin d’adapter leurs modes d’attaques aux pratiques en place. » explique Philippe Alcoy, de chez NETSCOUT

Par ailleurs, outre la lutte contre les attaques par déni de service distribué (DDoS) à la périphérie, il est également essentiel d’accorder une attention particulière aux attaques DDoS plus granulaires au niveau des applications, cibles de choix pour les cybercriminels qui peuvent bloquer les activités des utilisateurs par ce biais.

Il existe trois types d’attaques DDoS courantes de la couche applicative communément utilisées par les acteurs malveillants : Slowloris, Slow Post et les attaques par épuisement des tables d’état TCP.

Tout d’abord, Slowloris, une attaque de la couche applicative qui utilise des requêtes HTTP partielles pour ouvrir des connexions entre un seul ordinateur et un serveur web ciblé. Son objectif est de garder ces connexions ouvertes le plus longtemps possible afin de submerger et de ralentir la cible. Ensuite, avec l’attaque de type Slow Post, le cybercriminel envoie des en-têtes HTTP Post légitimes à un serveur web. Dans les en-têtes, les tailles du corps du message qui suivra sont correctement spécifiées. Cependant, le corps du message est envoyé à une vitesse très lente, avec pour but de ralentir le serveur. Enfin, les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pares-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques par déni de service distribué sont de plus en plus courantes et sophistiquées, surtout depuis les changements amenés par le travail en distanciel. Les réseaux, encore soumis à des zones d’ombres – en raison des multiples appareils, applications, accès et utilisateurs humains et machines qui y circulent – sont sujets à toujours plus de vulnérabilités. C’est pourquoi les équipes IT doivent rivaliser de précision et de réactivité afin de protéger au mieux la périphérie du réseau et ainsi garantir la disponibilité des applications critiques pour l’entreprise ; de même que les cybercriminels continuent de chercher à garder une longueur d’avance sur les entreprises, pour en dérober les informations et bloquer les accès, ces dernières doivent penser comme des attaquants et partir du principe qu’à chaque changement ou nouveauté, elles seront probablement ciblées. En anticipant ces potentielles attaques, elles seront ainsi plus à même de les contrer.

Cybersécurité, Mise à jour, Patch, Wordpress

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Bitcoin, Cybersécurité, nft

Cryptomonnaie : êtes-vous prêts pour vous faire arnaquer ?

Les escrocs sur la toile sont légion et font preuve de créativité pour tirer parti de l’engouement pour les jetons non fongibles (NFT) et les cryptomonnaies. Analysé de vols de NFT et cryptomonnaies via des comptes Twitter piratés.

Des escrocs spécialisés dans les cryptomonnaies mentionnent les utilisateurs dans les réponses de centaines de tweets afin de les conduire vers des sites de phishing. Ces derniers ressemblent aux sites légitimes des projets NFT, ce qui les rend difficile à distinguer par l’amateur moyen de cryptomonnaies. Plutôt que les noms d’utilisateur et les mots de passe traditionnels, les utilisateurs sont amenés à connecter leurs portefeuilles de cryptomonnaie. Ce faisant, les escrocs sont en mesure de transférer les cryptomonnaies comme l’Ethereum ($ETH) ou le Solana ($SOL), ainsi que tous les NFT détenus dans ces portefeuilles.

Les Airdrops et les NFT gratuits favorisent les arnaques aux cryptomonnaies

Airdrop est utilisé en tant qu’activité promotionnelle pour faciliter le démarrage d’un projet de cryptomonnaie. Le Bored Ape Yacht Club (BAYC) a annoncé au début de l’année un airdrop d’ApeCoin aux détenteurs de ses différents projets NFT tels que BAYC, Mutant Ape Yacht Club et Bored Ape Kennel Club. Les escrocs ont vu en cette annonce l’opportunité de tirer parti de l’intérêt suscité par cet Airdrop à venir et ont commencé à créer des campagnes en détournant des comptes Twitter vérifiés pour conduire les utilisateurs vers des sites de phishing.

Les escrocs mettent en garde contre les escrocs pour ajouter de la légitimité aux tweets

Les escrocs peuvent également apparaître comme de bons samaritains en invoquant la menace d’escrocs potentiels pour justifier le fait qu’ils « nettoient » ou « ferment » les commentaires ou les réponses à leurs tweets. Une fois qu’ils ont semé quelques-uns de ces faux tweets, ils tirent parti d’une fonction Twitter intégrée aux conversations qui permet de limiter les personnes qui peuvent répondre à leurs tweets, ce qui empêche les utilisateurs d’avertir les autres de la fraude potentielle qui les attend.

En France, les arnaques liées aux cryptomonnaies ont augmenté. Selon le médiateur de l’Autorité des Marchés Financiers (AMF), les cryptomonnaies seraient liées à un quart des arnaques signalées en 2021, contre 6 % l’année précédente. L’organisme précise avoir reçu 78 dossiers, présentant un préjudice allant de 169 euros à 337.000 euros. (Satnam Narang, Staff Research Engineer – Tenable)

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Cybersécurité, Phishing

2,4 milliards de dollars de pertes à cause du phishing en 2021 selon le FBI

Avec près de 40% des plaintes pour des escroqueries en ligne portant sur le phishing, le FBI révèle dans son Internet Crime Report annuel* que ce type d’attaque a atteint les 2,4 milliards de dollars de dommages en 2021. Les cybercriminels passent par les mails pour diriger les internautes sur de faux sites et les inciter à partager des informations personnelles ou professionnelles.

Si dans son rapport le FBI accorde une attention toute particulière aux mails professionnels des entreprises provenant des États-Unis ou qui y sont actives, le montant mondial total est par conséquent encore plus élevé car il s’agit d’un problème qui touche tous les internautes.

Ces risques peuvent alors être préjudiciables aux marques et sites qui vont voir leur image dégradée à cause d’une perte de confiance de la part de l’internaute après une mauvaise expérience.

Par conséquent, garantir aux utilisateurs qu’ils sont bien sur un site authentifié va, d’une part, les protéger dans leur démarche, mais également les rassurer. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateurs sans risque et de gagner en e-réputation en instaurant une réelle confiance avec les clients. 

Si des indices et un peu d’attention permettent de déjouer cette arnaque courante : vérification de l’orthographe, l’URL du site en question, site certifié d’un label ; un manque de vigilance peut vite arriver et engendrer le vol de ses données.

Cybersécurité

Microsoft corrige 75 vulnérabilités dont 8 critiques

Microsoft corrige 75 vulnérabilités dont 8 critiques.

Dans le cadre du Patch Tuesday de mai, Microsoft a corrigé 75 vulnérabilités dont 8 sont classées comme critiques, pouvant entraîner une RCE ou une élévation de privilèges et a publié un avis de sécurité (ADV220001) pour Azure en réponse à CVE-2022-29972, une vulnérabilité d’exécution de code à distance (RCE) Zero-Day. Le Patch Tuesday du mois comprend aussi des correctifs pour deux autres vulnérabilités 0Day, l’une connue pour être activement exploitée (CVE-2022-26925), l’autre pour être publiquement exposée (CVE-2022-22713). Microsoft a corrigé divers problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité du mois-ci concerne de nombreux produits Microsoft, dont Azure, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU), Exchange Server, Microsoft Office et Windows. Au total, ce sont 97 produits/versions Microsoft concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement), Security Update (Mise à jour de sécurité) et ServicingStackUpdate (Pile de maintenance du système d’exploitation).

CVE-2022-21978 | Vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,2/10. Pour que l’exploitation de cette vulnérabilité fonctionne, l’attaquant doit être identifié sur le serveur Exchange en tant que membre d’un groupe ayant des privilèges élevés. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-22012 et CVE-2022-29130 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows LDAP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce sur un serveur vulnérable. Si l’exploitation réussit, le code malveillant de l’attaquant peut alors être exécuté dans le cadre d’un compte SYSTEM. Cette vulnérabilité est uniquement exploitable si la politique LDAP MaxReceiveBuffer est configurée avec une valeur supérieure à celle par défaut. Les systèmes configurés avec la valeur par défaut de cette politique ne devraient pas être affectés. Pour plus d’informations, consulter : politiques LDAP de Microsoft. Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-22017 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter ces vulnérabilités, l’attaquant doit convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant peut exécuter du code sur le système de la victime dans le contexte de l’utilisateur ciblé. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26913 | Vulnérabilité de contournement de la fonction de sécurité dans l’authentification Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,4/10. L’attaquant qui parvient à exploiter cette vulnérabilité pourra lancer une attaque Man-in-the-Middle (MITM) et déchiffrer et lire ou bien modifier le trafic TLS entre le client et le serveur. La disponibilité de la machine attaquée n’est aucunement impactée. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-26923 | Vulnérabilité d’élévation de privilèges sur les Services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges. 
Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26937 | Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Cette vulnérabilité peut être exploitée sur le réseau en passant un appel malveillant non authentifié auprès du service de système de fichiers réseau (NFS) afin de déclencher une exécution de code à distance (RCE). Cette vulnérabilité n’est pas exploitable dans NFSV4.1. Avant de mettre à jour votre version de Windows qui protège contre cette vulnérabilité, il est possible d’atténuer une attaque en désactivant les versions NFSV2 et NFSV3. Mais comme votre écosystème peut s’en trouver affecté, cette procédure ne doit être activée que sous la forme d’une atténuation temporaire. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29108 | Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir la permission de créer des pages. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29133 | Vulnérabilité d’élévation de privilèges dans le noyau Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Dans ce cas, une attaque pourra être lancée avec succès depuis un environnement d’exécution AppContainer à faibles privilèges. L’attaquant peut obtenir des privilèges élevés puis exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. Évaluation d’exploitabilité : Exploitation moins probable .

Cybersécurité, Entreprise

Plus de la moitié des fuites de données découle de cyberattaques

Plus de la moitié des fuites de données découle de cyberattaques
Dans son dernier rapport d’activité, la CNIL révèle qu’en 2021 près de 6 notifications de fuite de données sur 10 découlaient de cyberattaques, notamment de ransomware, et non plus de mauvaises manipulations informatiques. Une hausse considérable par rapport à 2020. En cause, des fonctions cryptographiques obsolètes rendant les sites internet vulnérables, des moyens encore insuffisants aux regards des enjeux actuels en matière de cybersécurité, ou encore des mots de passe pas assez sécurisés.
Les techniques d’attaques ne cessent d’évoluer et aujourd’hui, si d’après le rapport les secteurs de l’action sociale et de la santé restent les cibles premières des cyberattaquants, la CNIL rappelle que toutes les entreprises peuvent être visées, peu importe le secteur.
Dans ce contexte, Laurent Maréchal, Technology Architect EMEA chez Skyhigh Security commente : « Ces dernières années ont été marquées par la migration des entreprises dans le cloud pour y stocker leurs données et applications métier, motivées par la nécessité d’agilité, d’adaptation, de flexibilité et d’innovation. Le cloud permet en effet d’adapter rapidement les capacités d’infrastructures technologiques aux besoins de l’entreprise.’« 
Néanmoins, de nouveaux risques de sécurité ont émergé avec l’usage de ces nouveaux environnements. En effet, cette migration a été relativement spontanée dans de nombreuses entreprises, et la question de la sécurité informatique n’a pas nécessairement été en tête des priorités. Combiné à l’usage du BYOD (l’utilisation de matériels personnels dans un cadre professionnel) ou du Shadow IT (l’utilisation d’applications non approuvées par un service IT), la surface d’exposition aux cyberattaques a considérablement augmenté. Et cela n’a pas échappé aux cybercriminels, qui tirent profit de la situation.
Les données constituent aujourd’hui une valeur importante pour de nombreuses entreprises, et la protection de l’information est devenue capitale comme peut le montrer le Service Veille ZATAZ.
Il existe aujourd’hui des solutions au niveau technologique qui peuvent améliorer considérablement la sécurité informatique. L’authentification multifactorielle ou l’approche « Zero Trust » selon laquelle la confiance n’est pas automatiquement accordée aux utilisateurs, mais où elle est gagnée en fonction des habitudes de connexion et des comportements, permettent de renforcer la sécurité. Mais pour protéger les données, il ne suffit pas de construire des périmètres et de garantir les accès par des politiques statiques.
« En effet, aujourd’hui, les données sont constamment créées, partagées et déplacées au sein de l’entreprise. Protéger la façon dont les données sont utilisées est un élément essentiel dans la réussite d’un projet Cloud, avec non pas un modèle de fermeture, mais d’ouverture maitrisée. » termine Laurent Maréchal.
Cybersécurité

WithSecure France, anciennement F-secure, étoffe son offre de services pour les professionnels

F-Secure corporation a scindé ses opérations, en mars 2022, en deux activités distinctes : F-Secure pour les solutions destinées au grand public et WithSecure™ pour les solutions destinées au monde professionnel. Cette nouvelle marque, développée en étroite collaboration avec les employés, les partenaires revendeurs et les clients, inaugure une nouvelle ère pour les services et solutions de sécurité destinés aux entreprises.

En effet, WithSecure™ apporte de nouvelles briques à sa division Business Unit Solutions, avec des services spécialisés, axés vers des services managés (comme pour la détection et la réponse aux incidents) ainsi que vers des services de consulting et d’accompagnement. Certains n’étaient disponibles que dans quelques pays d’Europe, et sont désormais déployés sur l’ensemble du territoire français avec une équipe dédiée pour accompagner ces changements.

La solution Countercept déjà existante est désormais enrichie par les services :

– CSPM (Cloud Security Posture Management), qui fournit une assistance pour la configuration des services Cloud. Ce service a pour but d’aider à réduire les vulnérabilités liées aux mauvaises configurations, aux permissions trop importantes et au non-respect des bonnes pratiques. La posture de sécurité Cloud s’ne retrouve renforcée.

– ASM (Attack Surface Management), dont la fonction est d’analyser la surface d’attaque externe à une entreprise. C’est un service entièrement managé qui offre une visibilité immédiate sur l’état des services, données et assets exposés sans avoir besoin d’un service interne dédié à cette tâche. Cela donne une vision du point de vue du Hacker afin d’anticiper une potentielle attaque.

Pour en savoir plus sur cette solution cybersécurité.

À propos de WithSecure™

WithSecure™ est le partenaire européen de référence en matière de cybersécurité depuis plus de 30 ans. Nous accompagnons les fournisseurs de services informatiques, les MSSP et des multinationales, qui nous font confiance, à travers des modèles commerciaux flexibles et adaptés au marché. Nous leur fournissons une cybersécurité axée sur les résultats, pour les protéger en toutes circonstances et garantir le bon fonctionnement de leurs activités. Notre protection basée sur l’IA sécurise les endpoints et protège les environnements cloud. Nos outils intelligents de détection et de réponse sont pilotés par des experts qui identifient les risques, assurent une recherche proactive des menaces et neutralisent les attaques en temps réel. Un service de consulting expert est également disponible pour les entreprises qui souhaitent renforcer leur résilience. WithSecure™, anciennement F-Secure Corporation, a été fondée en 1988 et est cotée au NASDAQ OMX Helsinki Ltd.

Cybersécurité

Département de l’Aude : cyberattaque durant 3 mois !

Une nouvelle cyberattaque détectée à l’encontre d’un Département français. Durant trois mois, des pirates ont peut-être pu accéder aux données internes ! Cela vient confirmer l’importance de la cyber prévention à tous les niveaux.

Suite à une attaque informatique du 30 septembre au 15 novembre 2021, un accès illégal au serveur de messagerie a entraîné la perte de la confidentialité des données du Département de l’Ord. Par conséquent, toute personne ayant communiqué par e-mail ou ayant fait l’objet d’e-mails du département pourrait se faire voler des informations. On peut dire que dans ce contexte, la protection de l’identité numérique est très importante.

Si des indices et un peu d’attention peuvent stopper cette arnaque courante de l’hameçonnage (phishing) : correcteur orthographique aux abonnés absents, URL de sites usurpateurs, etc ; le manque de vigilance peut vite arriver et conduire au vol de vos données. Une bonne protection antivirus offre également la possibilité de protéger les postes de travail sans obliger les utilisateurs à les gérer.

Le phishing, largement utilisé par les cybercriminels, implique de fausses informations qui encouragent le partage de données personnelles. Ces risques peuvent être préjudiciables aux marques et aux sites Web, car les internautes perdent confiance après une mauvaise expérience, ce qui se traduit par une image ternie.

Ainsi, assurer aux utilisateurs qu’ils se trouvent bien sur le site qu’ils recherchent les protégera dans leur démarche tout en les rassurant. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateur sans risque et d’acquérir une réputation numérique en instaurant une véritable confiance avec les clients.

Ce n’est pas le premier Département français à subir une cyberattaque. En 2018, le Département du Nord se retrouvé ponctionné de plusieurs centaines de milliers d’euros suite à une fraude aux présidents (fraude aux faux virement. Le Département de l’Ardèche, en avril 2022, se retrouvait avec des données exfiltrées par des pirates informatiques du groupe LockBit 2.0.

Cybersécurité

Quelle est la sécurité des services de stockage en ligne ?

Une nouvelle étude affiche des résultats peu rassurants sur l’état des lieux de la cyber protection en 2022.

La société Acronis, spécialiste de la cybersécurité, vient de dévoiler ses résultats concernant sa nouvelle étude sur l’état des lieux de la cyber protection en 2022. 6 200 responsables et utilisateurs informatiques de 22 pays, dont la France, ont été interrogés. Les résultats exposent certaines des lacunes les plus critiques apparaissant dans les pratiques de cyber protection aujourd’hui.

En 2021, 80 % des entreprises utilisaient jusqu’à 10 solutions différentes pour la protection des données et la cybersécurité – pourtant, plus de la moitié d’entre elles ont subi des temps d’arrêt dus à la perte de données. Cette année : 78 % des organisations gèrent jusqu’à 10 solutions différentes, tandis que 76 % d’entre elles subissent des temps d’arrêt dus à la perte de données – soit une augmentation de 25 % par rapport à 2021. Plus inquiétant encore, la réflexion sur le meilleur stockage en ligne en terme de sécurité ne semble pas une priorité.

Les organisations traitent encore la cyber protection comme un élément « utile » et non comme une « nécessitée » : la moitié des organisations au niveau mondial allouent moins de 10% de leur budget informatique global à la sécurité informatique. Seules 23 % des entreprises dans le monde investissent plus de 15 % de leur budget informatique global dans la sécurité.

Comme l’explique l’étude, un tiers des responsables informatiques ne font que des sauvegardes hebdomadaires, tandis que 25 % font des sauvegardes mensuelles. L’utilisation des meilleures pratiques de sauvegarde est en baisse dans l’ensemble de l’entreprise – seulement 15 % des équipes informatiques des organisations y adhèrent.

86 % des entreprises sont préoccupées par la menace d’une augmentation des cyberattaques à caractère politique, causée par la détérioration du climat géopolitique avec, entre autre, la guerre déclarée par la Russie à l’Ukraine.

43% des utilisateurs effectuent les mises à jour une semaine ou plus après la publication d’une mise à jour – parmi eux, 7% mettent plus d’un mois (!) pour effectuer les mises à jour recommandées. Une grosse baisse du temps de réponse par rapport à 2021. 66% des utilisateurs ne sauraient ou ne pourraient pas dire si leurs données ont été modifiées.

Hacking

Les satellites Viasat attaqués par un essuie-glace

Le 24 février 2022, l’armée Russe envahissait l’Ukraine. Une attaque terrestre, aérienne, maritime et numérique. Parmi les dommages collatéraux, une cyberattaque à l’encontre des communications gérées par les satellites Viasat.

Souvenez-vous, le 24 février 2022, alors que l’armée Russe envahissait l’Ukraine, des milliers de clients et utilisateurs de communication passant par les satellites ViaSat se retrouvaient sourds et muets. Un essuie-glace russe était passé par là. Un Wiper, baptisé AcidRain par la société américaine SentinelOne, aurait fait le grand ménage dans l’informatique satellitaire.

Ce code malveillant aurait de grande similitude avec un cousin du nom de VPNFilter. Ce « virus » aurait infecté plus de 500 000 modems sur le sol de l’Oncle Sam. Lors de la cyber attaque de « pluie acide », des milliers de modems Viasat sont tombés en panne en Ukraine, mais aussi dans toute l’Europe, dont la France.

Viasat explique que les pirates, qui seraient Russes, sont passé par un outil VPN mal configuré. AcidRain n’avait plus qu’à être lancé. Il a écrasé les informations de chaque modem, les rendant inutilisables. Le merdier n’a pas été corrigé rapidement. En France, NordNet, l’une des victimes collatérales, expliquait ne pas pouvoir agir dans un temps raisonnable. Le manque de pièce ne permettant pas de remplacer les modems. Il faut dire aussi qu’aucune mise à jour en ligne n’était possible. Il faut remplacer physiquement le matériel.

AcidRain est le septième wiper découvert depuis la guerre en Ukraine.

Cyber-attaque, DDoS, Securite informatique

Plus de 9 millions d’attaques DDoS en 2021

Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !

La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.

Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.

« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »

Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.

Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.

Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.

Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.

Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.

Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.

Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).

L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).

Justice, Mise à jour, Téléphonie

Starlink interdit en France ?

Des associations environnementales françaises font interdire dans l’hexagone le service Starlink d’Elon Musk.

L’affaire pourrait prêter à sourire, mais démontre que les lobbyings de tous poils sont aux aguets dés qu’il s’agit de faire interdire des avancés technologiques qui ne vont pas dans leur sens. Alors que de nombreux français, en zones blanches (sans possibilités de connexion) ne peuvent exploiter le numérique, des services tels que ceux proposés par l’entreprise d’Elon Musk permettent de ne plus être hors du XXIe siècle.

Le 5 avril, le Conseil d’Etat a retoqué une décision de l’ARCEP (le gendarme des fréquences radios en France) datant de janvier 2021 qui permettait à Starlink de proposer ses accès Internet par Satellite. Le Conseil d’État a reproché à l’Arcep de ne pas avoir mis en place « une consultation du public » afin de faire jouer la concurrence. Bilan, il est reproché, non pas des ondes qui pourraient détruire la nature. Il est expliqué que cet accord était « susceptible d’avoir une incidence importante sur le marché de la fourniture d’accès à internet à haut débit, et d’affecter les utilisateurs« .

Les associations Priartem et Agir pour l’environnement vont demander, sept mois plus tard, l’annulation de l’autorisation ARCEP/Starlink. Ils vont mettre en avant un défaut de mise en concurrence pour faire couper Starlink. Les associations s’y prendront à trois fois. Après un refus, en septembre 2021, remise sur le tapis en décembre 2021, puis en mars 2022. La troisième sera la bonne ! Ces associations sont spécialisées dans « la prévention des risques liés aux technologies électromagnétiques ». Elles vont gagner en mettant en avant « Une incidence importante sur le marché de la fourniture d’accès à internet à haut débit […] sans avoir préalablement procédé à une consultation du public. »

Couper, pas couper ?

Couper Starlink Internet Services Limited, en France. Cela va surtout le rendre un peu plus lent. Les informations vont être routées, prendre d’autres chemins, sans passer par les vertes prairies locales. Le hic va surtout être pour les utilisateurs d’aujourd’hui. Vont-ils encore avoir le droit d’utiliser leur matériel et, dorénavant, les fréquences interdites ? J’imagine déjà la tête de nos amis frontaliers en Suisse, Belgique, … passant par la bande fréquence « Made in France » (0,95-12,70 GHz de haut en bas et 14,00-14,5 GHz de bas en haut). Le document du Conseil D’Etat semble préciser que l’interdiction vise les liaisons entre un satellite et le sol, et pas un satellite vers les paraboles Starlink au sol. Bref, c’est capillotractée.

Je suis impatient de voir venir des propositions alternatives françaises pour sortir du noir les zones blanches, avec l’aide de ces associations ! En attendant, Arianespace a signé un contrat avec Amazon pour envoyer vers l’infini et haut delà les satellites Kuiper. Mission, diffuser de l’Internet à haut débit d’ici à 2030.

Cybersécurité

Cyber risque

Près de 90% des entreprises considèrent que le risque cyber a augmenté ces deux dernières années

Au cœur des préoccupations des entreprises, la cybersécurité est devenue en quelques mois un sujet clé, notamment dans un contexte de généralisation du travail à distance et de multiplication des attaques. Entreprises publiques ou privées, toutes les organisations sont désormais concernées. Ainsi, en tant que spécialiste de la transformation digitale des organisations, le cabinet de conseil mc2i s’est intéressé aux pratiques et inquiétudes des organisations au travers d’une étude menée en partenariat avec IDC (International Data Corporation). Si l’étude montre une nette tendance à la hausse des investissements, elle montre aussi que la gestion des cybermenaces reste complexe pour des organisations. Des efforts restent à faire sur l’identification des risques ainsi que sur les moyens de protection à mettre en œuvre.

L’augmentation du risque cyber impacte les dépenses de cybersécurité pour 75% des entreprises

Conscientes que le risque d’attaque cyber a augmenté depuis 2 ans, les entreprises sont désormais 88% à considérer que les cybermenaces peuvent impacter leur activité. Parmi celles-ci, les ¾ considèrent que l’augmentation du risque a des conséquences directes sur les dépenses en cybersécurité. En effet, 70% des répondants ont augmenté leurs dépenses de cybersécurité en 2021. Une accélération notable, puisqu’elles n’étaient que 45% à les avoir augmentées en 2020.

Cette tendance va se poursuivre en 2022 puisque selon les estimations, les dépenses consacrées à la sécurité IT atteindront 4,7 Md d’€ cette année (contre 4,3 Md en 2021).

« Les entreprises du secteur privé comme les organisations publiques sont conscientes qu’elles peuvent à tout moment être victimes de cyberattaques. En particulier, au cours des deux prochaines années, elles vont concentrer leurs efforts sur la lutte contre les attaques ciblées telles que les ransomwares. Cela passera par des investissements technologiques, notamment en matière d’automatisation et d’intelligence artificielle/Machine Learning, mais également en matière d’accompagnement via le recours à des services de sécurité IT. » explique Eddye Dibar, Senior Research Analyst chez IDC.

Plus d’une entreprise sur 2 vont augmenter leurs investissements dédiés à la sensibilisation des collaborateurs

Parmi les failles identifiées, c’est le comportement des collaborateurs qui inquiète le plus les responsables de la sécurité IT. Une réalité exacerbée dans un contexte post Covid puisque 2/3 des organisations jugent que le travail hybride entraîne une hausse des cybermenaces, (connexions internet vulnérables, hotspots wifi publics…). Alors que seules 43% des entreprises ont plus de 3/4 de leurs salariés sensibilisés à la cybersécurité, elles sont 55% à vouloir augmenter leurs dépenses en sensibilisation des salariés, considérée comme une priorité pour les 2 prochaines années par 64% des répondants.

« Une diversité de compétences alliant maîtrise technique, compréhension des enjeux métiers, capacité relationnelle, qualité pédagogique et appétence juridique est nécessaire pour répondre à la sensibilisation et à la formation des collaborateurs qui sera encore en 2022 l’un des investissements majeurs. Les entreprises cherchent des solutions pour sensibiliser et former rapidement de nombreuses personnes avec des méthodes et des approches innovantes telles que le recours à des formations immersives et ludiques. » affirme Nosing Doeuk, Directeur et associé chez mc2i.

Une prise de conscience qui amène une réflexion sur la mise en place d’une gouvernance et de moyens de protection contre les cybermenaces

Face aux cybermenaces, l’étude révèle que les entreprises françaises sont encore peu mâtures en matière de gouvernance et de gestion du risque cyber. En effet, plus de 3 ans après l’entrée en vigueur du RGPD, seules 4 entreprises sur 10 ont mis en place une entité chargée de la gouvernance des données, et seules 5% d’entre-elles considèrent qu’elles ont une très bonne capacité à adapter leur politique de conformité en fonction de la sensibilité de ces données. En matière de détection et de gestion des cyberattaques, le constat est également préoccupant puisque 40% des répondants n’ont pas encore de politique de détection des cyberattaques et 38% n’ont pas de process pour y répondre en cas de survenance.

Néanmoins, l’augmentation du risque amène une prise de conscience de la part des entreprises qui ont pour la majorité entamé une réflexion sur le renforcement de cette gouvernance. Pour cela, près de la moitié d’entre-elles prévoient d’avoir recours à une prestation de conseil ou d’audit afin de se faire accompagner. Par ailleurs, la souveraineté des données est aujourd’hui un enjeu pour 77% des répondants. Parmi ceux-ci, 50% déclarent d’ailleurs gérer désormais leurs données en interne, ou être en cours de rapatriement.

« Le contexte de tensions géopolitiques et commerciales fait apparaître une préoccupation nouvelle autour de la souveraineté numérique. C’est dans ce contexte de hausse de l’exposition à la menace que mc2i adapte constamment son offre d’accompagnement à la cybersécurité qui se veut différenciante par la constitution d’équipes pluridisciplinaires alliant maîtrise technique et fonctionnelle, pour répondre efficacement à des besoins désormais protéiformes. » complète Nosing Doeuk.

Face au risque cyber, l’assurance peine à convaincre

Alors que 41% des organisations ont déjà une police d’assurance associée à la gestion des cyber risques, près d’un tiers des répondants (26%) ne trouve pas de contrat adapté à ses besoins. La multiplication de clauses particulières (48%) et les prix trop élevés par rapport aux risques encourus (42%) sont les premiers freins évoqués par les entreprises.

Cybersécurité, Entreprise

Marchandises pirates ont été dopées par la pandémie

Les contrefaçons et les marchandises pirates ont été dopées par la pandémie, selon un nouveau rapport d’Europol. Les réseaux criminels se sont rapidement saisis des nouvelles perspectives commerciales et adaptés à la demande de produits générées par la pandémie. Les produits cosmétiques, les aliments, les produits pharmaceutiques, les pesticides et les jouets contrefaits constituent tous une menace grave pour la santé des consommateurs. Les contrefacteurs s’appuient à présent fortement sur le domaine numérique pour trouver des composants et distribuer des produits (tangibles et non tangibles) aux consommateurs par l’intermédiaire de plateformes en ligne, de médias sociaux et de services de messagerie instantanée. La plupart des marchandises de contrefaçon distribuées dans l’UE sont produites en dehors de l’UE.

La dernière évaluation menée à l’échelle de l’UE sur la menace posée par les atteintes à la propriété intellectuelle (Intellectual Property Crime Threat Assessment), réalisée conjointement par Europol et l’Office de l’Union européenne pour la propriété intellectuelle (EUIPO), révèle que la distribution de marchandises de contrefaçon a connu un succès florissant pendant la pandémie de COVID-19. La crise sanitaire a ouvert de nouvelles perspectives pour le commerce de contrefaçons et de marchandises pirates, et les criminels ont adapté leurs modèles commerciaux à la nouvelle demande mondiale.

Ce rapport, fondé sur des données à l’échelle de l’UE et sur les informations opérationnelles d’Europol, confirme que la contrefaçon et le piratage continuent de constituer une menace grave pour la santé et la sécurité des consommateurs, ainsi que pour l’économie européenne. Les importations de produits de contrefaçon et de marchandises pirates ont atteint 119 milliards d’EUR en 2019, soit 5,8 % de l’ensemble des marchandises entrant dans l’UE, selon les dernières données de l’OCDE et de l’EUIPO.

Outre les catégories des vêtements et autres produits de luxe contrefaits saisis, le commerce de produits susceptibles de nuire à la santé humaine, tels que les médicaments, les aliments, les boissons, les cosmétiques et les jouets de contrefaçon, se développe.

La découverte de produits pharmaceutiques de contrefaçon (de divers types de médicaments à des équipements de protection individuelle ou des masques chirurgicaux) est en constante augmentation ces dernières années. Autrefois distribués sur des marchés physiques, ils le sont à présent presque entièrement par la vente en ligne, ce qui suscite des préoccupations en matière de santé publique. Ces produits illicites proviennent toujours en grande partie de l’extérieur de l’UE, mais ils peuvent également être produits dans des laboratoires illégaux situés dans l’UE, qui sont difficiles à détecter et peuvent être mis en place avec relativement peu de moyens.

La production de denrées alimentaires illicites, et en particulier de boissons, est devenue plus professionnelle et plus complexe, certains contrefacteurs contrôlant l’ensemble de la chaîne d’approvisionnement et de distribution. Les violations d’indications géographiques protégées continuent également d’être largement signalées.

Le rapport présente par ailleurs certaines tendances majeures dans divers secteurs de production principalement ciblés par les contrefacteurs. Les vêtements, les accessoires et les articles de luxe figurent toujours parmi les catégories de produits les plus contrefaites, et sont vendus à la fois en ligne et dans le commerce traditionnel. Ils représentent une très large part des quelque 66 millions d’articles de contrefaçon saisis par les autorités dans l’UE en 2020.

Fonctionnement des réseaux criminels

Le rapport souligne que la distribution de produits de contrefaçon repose principalement sur des plateformes numériques, tendance qui s’est accélérée avec la pandémie et la consommation en ligne généralisée. Les marchandises de contrefaçon sont proposées sur les marchés en ligne, via des services de diffusion en continu en direct, des vidéos et de la publicité sur les plateformes de médias sociaux, et sur les services de messagerie instantanée. Les distributeurs ciblent généralement leurs clients par le biais de réductions trompeuses ou de produits de marque à bas prix.

La contrefaçon est une activité très lucrative pour les réseaux criminels, lesquels récoltent d’importants bénéfices tout en courant relativement peu de risques.

La criminalité liée à la PI fait partie des priorités de l’UE dans la lutte contre la grande criminalité organisée pour la période 2022-2025, dans le cadre de la plateforme pluridisciplinaire européenne contre les menaces criminelles (EMPACT).

Le rapport souligne que, bien que la majorité des contrefaçons sur le marché de l’UE soient produites en dehors de l’Europe, principalement en Chine et dans d’autres régions d’Asie, la fabrication au sein de l’UE est une tendance qui prend de l’ampleur. L’augmentation des importations dans l’UE de matériaux d’emballage et de produits semi-finis contrefaits met clairement en évidence la présence d’installations de fabrication illégales dans l’UE. Les réseaux basés en Europe se livrant à des actes de criminalité liée à la PI distribuent les articles de contrefaçon importés et gèrent dans certains cas des installations modernes d’assemblage de produits semi-finis.

M. Christian Archambeau, Directeur exécutif de l’EUIPO, explique : « Cette nouvelle évaluation de la menace apporte un nouvel éclairage sur l’étendue et les tendances de la contrefaçon et du piratage au sein de l’UE, et souligne les graves préjudices qui peuvent être causés à la santé des consommateurs ainsi que l’incidence sur les entreprises légitimes, en particulier en ces temps difficiles de reprise après la pandémie de COVID-19. Les criminels ont démontré leur capacité à s’adapter aux nouvelles opportunités offertes par la pandémie, et nous devons continuer à soutenir, à travers notre collaboration étroite avec Europol, les efforts déployés par les autorités répressives dans la lutte contre la criminalité liée à la PI« .

Pour Mme Catherine De Bolle, Directrice exécutive d’Europol : « La pandémie de COVID-19 a offert aux criminels de nouveaux débouchés commerciaux pour la distribution de produits contrefaits et de qualité inférieure. Au mieux, ces produits ne fonctionneront pas aussi bien que les produits authentiques. Au pire, ils peuvent présenter des défaillances aux conséquences catastrophiques. Les saisies réalisées par les autorités répressives indiquent que ces marchandises sont de plus en plus produites au sein de l’UE, tandis que la pandémie de COVID-19 a encore renforcé le recours des criminels au domaine numérique pour s’approvisionner en produits illégaux et les distribuer. Ce rapport fait le point sur l’étendue de ce phénomène criminel et appelle une réaction axée sur des actions transfrontalières concertées tandis que nous entrons dans la période de reprise économique post-COVID. Les contrefacteurs sans scrupules doivent être les seuls à payer un prix élevé.« 

Autres marchandises de contrefaçon sur le marché

Les téléphones portables ainsi que leurs accessoires et composants figurent également parmi les principales catégories de marchandises contrefaites saisies et sont vendus en grande quantité lors d’événements tels que le Black Friday et le Cyber Monday. Dernièrement, les contrefacteurs ont profité de la pénurie mondiale de puces à semi-conducteurs.

Dans le cas des parfums et des cosmétiques, la production illicite concerne des produits de consommation courante, tels que le shampoing, le dentifrice ou les détergents.

Le commerce de pesticides illicites reste une activité extrêmement lucrative présentant un risque faible, soutenue par une demande élevée et des sanctions minimes à l’égard des contrevenants.

La COVID-19 a également entraîné une augmentation de l’offre de contenus numériques illicites, souvent liés à d’autres activités cybercriminelles. Le piratage prend désormais essentiellement la forme d’une délinquance informatique, et les sites web qui distribuent illégalement des contenus audiovisuels sont hébergés sur des serveurs situés en Europe, en Asie et au Moyen-Orient. (rapport)

Hacking

Conférence cybersécurité : fuites et sécurisation

La société Barracuda organise une conférence en ligne dédiée à la  cybersécurité. Parmi les discussions, les fuite de données de ces derniers mois.

Et si vous vous mettiez dans la peau d’un pirate informatique, pour mieux les comprendre et donc mieux les contrer ! Les sociétés CVC-IT et Barracuda vous proposent d’assister à un conférence dédiée à la Cybersécurité. Ca se déroulera en ligne, le 29 Mars 2022, à 11H.

Le rendez-vous sera co-animée par Damien Bancal, spécialiste en cyber intelligence depuis plus de 30 ans et Alhan Douville de la société Barracuda.

Vous pourrez découvrir les fuites de données qui ont touché Internet, ces derniers mois et des cas concrets de sécurisation des données.

Cette conférence en ligne est gratuite. Pour vous inscrire -> ICI

cyberattaque

Patch Tuesday mars 2022

92 vulnérabilités dont 3 critiques chez Microsoft et 3 avis de sécurité et 6 vulnérabilités dont 5 critiques pour Adobe.

Ce mois, Microsoft a corrigé 92 vulnérabilités (dont 21 pour Microsoft Edge), 3 étant classées comme critiques car susceptibles de provoquer une vulnérabilité par exécution de code à distance (RCE). Ce Patch Tuesday comprend aussi des correctifs pour 3 vulnérabilités Zero-Day divulguées publiquement. Au moment de la publication de cet article, aucune des vulnérabilités figurant dans la liste publiée ce mois-ci n’est exploitée en mode aveugle.

Microsoft a corrigé différents problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), avec élévation de privilèges, de divulgation d’information, par exécution de code à distance (RCE), avec contournement des fonctions de sécurité et d’usurpation concernant notamment Edge–Chromium.

Vulnérabilités Microsoft importantes corrigées

L’avis de sécurité de ce mois concerne différents produits Microsoft, dont .NET et Visual Studio, Azure Site Recovery, Defender, Edge (basé sur Chromium), MS Exchange Server, HEIF Image Extension, HEVC Video Extension, Intune, les applications Microsoft 365, Office, Paint 3D, le service Bureau à distance (Remote Desktop), le serveur SMB et le système d’exploitation Windows.

CVE-2022-21990 et CVE-2022-23285 – Vulnérabilité par exécution de code à distance (RCE) sur le client Bureau à distance 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. S’il se connecte au service Bureau à distance, l’attaquant qui contrôle un serveur Bureau à distance peut lancer une exécution de code à distance (RCE) sur la machine cliente RDP lorsqu’un utilisateur ciblé se connecte au serveur rendu malveillant depuis un client de bureau à distance vulnérable. 

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-23277 – Vulnérabilité par exécution de code à distance (RCE) sur le serveur Microsoft Exchange

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. L’attaquant qui exploite cette vulnérabilité peut cibler les comptes serveur via une exécution de code à distance (RCE) ou arbitraire. En tant qu’utilisateur authentifié, il peut tenter de déclencher du code malveillant au niveau du compte du serveur via un appel réseau.

Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-24469 – Vulnérabilité avec élévation de privilèges pour Azure Site Recovery

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,1/10. Un attaquant peut appeler les API Azure Site Recovery fournies par le serveur de configuration et accéder dans la foulée aux données de configuration, y compris aux certificats associés aux systèmes protégés. À l’aide de ces API, l’attaquant peut également modifier/supprimer des données de configuration et ainsi impacter les opérations de récupération d’un site.

Évaluation d’exploitabilité :Exploitation moins probable.

CVE-2022-24508 – Vulnérabilité par exécution de code à distance (RCE) sur le client/serveur Windows SMBv3 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. En plus de publier une mise à jour pour cette vulnérabilité, Microsoft fournit une solution de contournement qui peut être utile selon votre situation. Dans tous les cas, Microsoft recommande fortement d’installer les mises à jour concernant cette vulnérabilité dès qu’elles seront disponibles, y compris si vous prévoyez de conserver cette solution de contournement. En effet, cette vulnérabilité est présente au sein d’une nouvelle fonctionnalité ajoutée à Windows 10 version 2004 ainsi que dans des versions plus récemment supportées de Windows. Les versions plus anciennes de Windows ne sont pas concernées.

Évaluation d’exploitabilité : Exploitation plus probable.

Vulnérabilités Adobe importantes corrigées 

Adobe a publié des mises à jour pour corriger 6 CVE affectant After Effects, Illustrator et Photoshop. Parmi ces 6 vulnérabilités, 5 sont classées critiques.

APSB22-14 : Mise à jour de sécurité disponible pour Adobe Photoshop

Cette mise à jour corrige une vulnérabilité classée comme importante. En cas d’exploitation réussie, une fuite de mémoire pourrait affecter l’utilisateur ciblé.

APSB22-15 : Mise à jour de sécurité disponible pour Adobe Illustrator.

Cette mise à jour corrige une vulnérabilité critique pouvant entraîner l’exécution de code arbitraire.

APSB22-17 : Mise à jour de sécurité disponible pour Adobe After Effects

Cette mise à jour corrige des vulnérabilités de sécurité classées comme critiques. En cas d’exploitation réussie, une exécution de code arbitraire pourrait affecter l’utilisateur concerné.

Social engineering

Comment créer un questionnaire en ligne efficace ?

Vous souhaitez créer un questionnaire mais ne savez pas par où débuter ? Différentes étapes sont importantes dans le cheminement de l’élaboration d’un questionnaire. Dans cet article, nous vous donnons quelques conseils pour en créer un efficace autant pour vous que pour vos participants !

Les étapes à suivre pour réaliser un questionnaire

  • Les objectifs du questionnaire

Avant de rédiger les questions destinées à vos futurs participants, faites le point sur les objectifs du questionnaire. Il est aussi essentiel de déterminer à qui le questionnaire sera distribué. Pour cela, déterminez le type de personnes dont vous avez besoin. Si vous le souhaitez, vous pouvez établir une liste d’informations qui vous permet de cibler les bonnes personnes : âge, nationalité, sexe, études/travail, etc. Ces informations sont demandées au début du questionnaire et vous permettent de faire une étude statistique plus poussée sur vos participants.

  • Type de questionnaire

Sous quelle forme souhaitez-vous proposer ce questionnaire ? Quiz, sondage… Réfléchissez à la manière dont les personnes vont répondre et donc quel type de questionnaire est le plus adapté à vos objectifs.
Pour cibler au mieux le type de réponse que vous souhaitez de la part des candidats, prenez également le temps de réfléchir sur les options qui s’offrent à vous : réponse libre, réponse à choix multiples, notation…

  • L’élaboration

Vous avez désormais fait le plus dur, les objectifs sont notés. Vous pouvez désormais créer votre questionnaire en ligne : voir sur ce site. Choisissez quel format de questionnaire vous souhaitez et lancez-vous !

  • Distribuez votre questionnaire

Votre questionnaire est terminé, c’est le moment de le distribuer. N’hésitez pas à le partager sur les réseaux sociaux via son lien. Aussi, vos connaissances peuvent vous aider à le distribuer ou à trouver des candidats.

  • Analyse des résultats

Après avoir récolté les résultats obtenus, vous pouvez passer à l’analyse des graphiques. C’est la dernière étape qui vous permet de vérifier vos hypothèses de départ si vous en aviez, ou de comparer les objectifs aux résultats.

Nos conseils pour un questionnaire efficace

  • Allez droit au but

Si cela est possible, évitez les questionnaires trop longs. Les utilisateurs risquent de quitter le questionnaire sans avoir terminé. Si des questions vous semblent superflues ou douteuses, retirez-les ou trouvez un moyen de mieux les intégrer. Le but est que les personnes questionnées restent jusqu’au bout et répondent au maximum des questions !

La barre de progression est par exemple une idée astucieuse pour que le participant voit les étapes restantes avant de la fin. En effet, pour montrer l’avancée du processus afin que la personne se situe dans le questionnaire, vous pouvez insérer cette barre.

  • Employez la bonne formulation

Le but est de rester neutre : ne laissez pas paraître votre opinion dans le questionnaire. Vous récoltez des réponses et les personnes interrogées ne doivent pas être influencées. C’est pourquoi il est important de bien réfléchir aux formulations employées pour garder un ton formel.
Attention également à ne pas être ambigu dans vos demandes pour que la personne comprenne bien la question et réponde le plus sincèrement possible. Évitez les questions trop personnelles ou complexes.

Cybersécurité, Justice

Les CNIL Européennes montrent les dents face à Google

Les Commissions Informatiques et des Libertés Européennes considèrent que les données collectées par Google sont encore trop mal protégées face à l’espionnage. La France et l’Autriche menacent de nouvelles sanctions contre le géant américain.

Les données utilisées par Google et sa maison mère Alphabet ne seraient pas suffisament protégées, selon plusieurs CNIL Européennes. Pour la France, la Commission Informatique et des Libertés menacent d’interdiction Google Analytics. Enfin pourrions-nous dire. Depuis des années, l’exploitation des informations collectées est illégale. Google Analytics permet d’analyser le comportement des internautes sur internet et la CNIL s’inquiète de la possibilité d’interception par les services secrets américains.

Saisie de plaintes par l’association NOYB, la CNIL, en coopération avec ses homologues européens, a analysé les conditions dans lesquelles les données collectées grâce à cet outil sont transférées vers les États-Unis. La CNIL estime que ces transferts sont illégaux. La Commission estime que les données ne sont pas suffisamment encadrées. Si Google a adopté des mesures supplémentaires pour encadrer les transferts de données dans le cadre de la fonctionnalité Google Analytics, celles-ci ne suffisent pas à exclure la possibilité d’accès (violation des articles 44 et suivants du RGPD) des services de renseignements américains à ces données.

En Autriche, la CNIL locale a déterminé de son côté que Google Analytics violait, lui aussi, le règlement général sur la protection des données. Google Analytics communique les adresses IP des visiteurs de site web aux États-Unis. Les adresses IP représentent des données personnelles car elles permettent de suivre et retrouver une personne.

Autant dire que le défit n’est pas du côté de Google, mais des millions de webmasteurs, administrateurs de site web, utilisateurs de l’outil. Pour continuer à utiliser Google Analytics, tout en se conformant aux exigences du GDPR, la société Cloudflare propose la solution Zaraz (à une lettre prêt sur un clavier, cela fait zataz, comme le blog de référence en cybersécurité zataz.com). L’outil se veut un intermédiaire entre le navigateur et le serveur tiers.

Si l’on reprend l’exemple de Google Analytics, lors de la connexion à un site web, Zaraz chargera les outils dans le cloud en utilisant la plateforme Workers de la société américaine. En procédant ainsi, il n’y aura absolument aucune communication entre le navigateur et le point d’accès de Google. Les IP européennes sont ainsi bloquées en dehors de l’UE.

Par défaut, Zaraz ne sauvegarderait aucune information sur l’utilisateur final, à l’exception de la journalisation des erreurs. A noter que cet outil gère aussi d’autres traceurs comme ceux de Google Ads, Bing, Facebook pixel, Linkedin, etc.

Cybersécurité, Patch

Espionnage : Apple décide de modifier ses AirTag

Le géant américain Apple va modifier ses traceurs AirTag afin d’empêcher les possibilités de cyber espionnage.

Fin novembre 2021, des cas de cybersurveillances avait été découverts au Canada. Des voleurs avaient détourné des AirTags d’Apple pour suivre à la trace des voitures qu’ils souhaitaient voler.

En décembre de la même année, la police locale s’était retrouvée à gérer cinq cas de vol dont le dispositif de repérage d’Apple avait été exploité pour suivre des véhicules. Bref, les pirates n’ont pas perdu de temps avec ce matériel sorti au printemps 2021.

La grosse pomme vient d’annoncer l’actualisation de son traceur AirTag. Mission annoncée, rendre l’object connecté plus sûre.

Dorénavant, les utilisateurs recevront une notification si un AirTag se trouve dans leur entourage depuis un certains temps. Le son du gadget sera aussi augmenté histoire de le repérer plus facilement.

A noter que les autorités peuvent demander à Apple l’identité du propriétaire d’un tracker Apple découvert.

APT, cyberattaque

Echapper aux espions : comment éviter de devenir une victime ?

Nous pensons de manière générale qu’il est impossible de se protéger complètement des logiciels de surveillance professionnels. Les utilisateurs peuvent néanmoins prendre certaines mesures pour que les attaquants ne puissent pas les cibler aisément.

Pegasus, Chrysaor, Phantom et bien d’autres sont des logiciels dits de « surveillance légale », développés par des entreprises privées et largement déployés par le biais de divers exploits, dont plusieurs zero-days zero-click sur iOS. La version la plus ancienne de Pegasus a été identifiée par des chercheurs en 2016. Depuis lors, plus de 30 000 militants des droits de l’homme, journalistes et avocats à travers le monde pourraient avoir été ciblés à l’aide de Pegasus.

Conseils

Tout d’abord, il est important de redémarrer quotidiennement les appareils mobiles. Les redémarrages aident à « nettoyer » l’appareil, pour ainsi dire, ce qui signifie que les attaquants devront continuellement réinstaller Pegasus sur l’appareil, ce qui rend beaucoup plus probable la détection de l’infection par les solutions de sécurité.

Maintenez l’appareil mobile à jour et installez les derniers correctifs dès qu’ils sont disponibles. En fait, de nombreux kits d’exploitation ciblent des vulnérabilités déjà corrigées, mais ils restent dangereux pour les personnes qui utilisent des téléphones plus anciens et reportent les mises à jour.

Ne cliquez jamais sur les liens reçus par messages. Il s’agit d’un conseil simple mais efficace. Certains clients de Pegasus comptent davantage sur les exploits à 1 clic que sur ceux à zéro clic. Ceux-ci arrivent sous la forme d’un message, parfois par SMS, mais peuvent aussi se propager via d’autres messageries ou même par e-mail. Si vous recevez un SMS intéressant (ou par tout autre biais) avec un lien, ouvrez-le sur un ordinateur de bureau, de préférence en utilisant TOR Browser, ou mieux encore en utilisant un système d’exploitation non persistant sécurisé tel que Tails.

En outre, n’oubliez pas d’utiliser un autre navigateur web pour la recherche sur Internet. Certains exploits ne fonctionnent pas aussi bien sur les navigateurs alternatifs comme Firefox Focus par rapport aux navigateurs plus traditionnels comme Safari ou Google Chrome.

Utilisez systématiquement un VPN ; il est ainsi plus difficile pour les attaquants de cibler les utilisateurs en fonction de leur trafic internet. Lorsque vous souscrivez à un abonnement VPN, il y a quelques éléments à prendre en compte : recherchez des services établis qui existent depuis un certain temps, qui peuvent accepter le paiement avec des crypto-monnaies et qui ne vous demandent pas de fournir des informations d’enregistrement.

Installez une application de sécurité qui vérifie et prévient si l’appareil est soumis à un « jailbreak ». L’espionnage de votre téléphone peut débuter ainsi. Pour persister sur un appareil, les attaquants utilisant Pegasus auront souvent recours au jailbreak de l’appareil ciblé. Si un utilisateur a installé une solution de sécurité, il peut alors être alerté de l’attaque.

Si vous êtes un utilisateur iOS, déclenchez souvent des sysdiagnose et enregistrez-les dans des sauvegardes externes. Des analyses approfondies de l’objet malveillant peuvent vous aider à déterminer ultérieurement si vous avez été ciblé. Les experts de Kaspersky recommandent également aux utilisateurs iOS à risque de désactiver FaceTime et iMessage. Comme ils sont activés par défaut, il s’agit d’un mécanisme d’infection de premier plan pour les chaînes de zéro-clics et ce, depuis de nombreuses années.

En général, les attaques Pegasus sont très ciblées – ce qui signifie qu’elles n’infectent pas les gens en masse mais plutôt des catégories spécifiques. De nombreux journalistes, avocats et militants des droits de l’homme ont été identifiés comme des cibles de ces cyberattaques sophistiquées, mais ils ne sont pas toujours les plus équipés pour se défendre. C’est pourquoi, nous faisons de notre mieux pour fournir les meilleures techniques de protection contre les logiciels malveillants, les hackeurs et les menaces sophistiquées telles que celles-ci, afin de continuer à construire un monde plus sûr.

Troubler les assaillants

Changez d’appareil – si vous étiez sur iOS, essayez de passer à Android pendant un certain temps. Si vous étiez sur Android, passez à iOS. Cela pourrait dérouter les attaquants pendant un certain temps ; par exemple, certains acteurs malveillants sont connus pour avoir acheté des systèmes d’exploitation qui ne fonctionnent que sur certaines marques de téléphone et d’OS.

Procurez-vous un appareil secondaire, fonctionnant de préférence sous GrapheneOS, pour les communications sécurisées. Utilisez une carte SIM prépayée dans celui-ci, ou, ne vous connectez que par Wi-Fi et TOR en mode avion.

Évitez les messageries où vous devez fournir votre numéro de téléphone à vos contacts. Une fois qu’un attaquant a votre numéro de téléphone, il peut facilement vous cibler à travers plusieurs messageries différentes par ce biais – iMessage, WhatsApp, Signal, Telegram, ils sont tous liés à votre numéro de téléphone. Une nouvelle alternative pourrait être Session, qui achemine automatiquement vos messages à travers un réseau de type Onion et ne repose pas sur les numéros de téléphone.

« La sécurité n’est jamais une solution instantanée unique devenant une preuve fiable à 100 % ; considérez-la comme un cours d’eau qui coule et où vous devez ajuster votre navigation en fonction de la vitesse, des courants et des obstacles. » confirme Costin Raiu, responsable de l’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky.

Cybersécurité, Social engineering

Suivre un avion sur le web, une violation de la vie privée ?

Le jet privé d’Elon Musk a été suivi par un jeune programmeur pendant plus d’un an. Il évoque les voyages du fondateur de Tesla sur Twitter devant un public de plusieurs centaines de milliers de personnes. Musk a d’abord essayé de soudoyer l’étudiant, en lui proposant 5 000 dollars, puis l’a carrément bloqué sur les médias sociaux. Mais ça n’a pas aidé.

La chose la plus importante ici est de relier une personne spécifique à un avion spécifique. Et à l’avenir, il suffit de configurer le robot pour collecter des données sur le début du mouvement d’un avion particulier. Des données supplémentaires seront nécessaires pour s’assurer que Musk est physiquement à bord. Et ils seront probablement plus largement sécurisés. Le plan de vol comprendra les personnes qui volent. »

Sur le moteur de recherche le plus populaire qui suit les avions en temps réel, comme Flightradar24, plane finder, flight aware, tous les jets d’affaires sont « secrets ». En d’autres termes, les propriétaires d’avions paient des services pour que leur numéro de vol et leur type d’avion restent cachés. Et ils demandent généralement que les photos de l’avion soient également retirées. Il existe cependant des abonnements platine où chacun peut facilement retracer d’où il est parti, où il est allé.

Ce type d’information n’est soumis à aucune restriction universelle. Comme ces informations sont diffusées, elles ne sont pas secrètes, de sorte qu’il n’y a pas d’incidents dans les airs ou en mer. Et la seule chose que l’on puisse dire ici est qu’il s’agit d’une violation de la vie privée.

cyberattaque, Securite informatique

326 millions de dollars volés en deux clics !

La plateforme cryptographique Wormhole qui permet d’envoyer des cryptos vers d’autres blockchains se voit voler 326 millions de dollars.

Un pirate informatique a trouvé un exploit qui lui a permis de libérer 120 000 ETH sans aucun investissement.

La plateforme a déjà offert au hacker une prime de 10 millions de dollars. Il semble que s’il accepte l’offre, il s’agirait d’un versement de prime record dans l’histoire.

En utilisant l’exploit, le pirate a volé 120 000 jetons Ether enveloppés sur la blockchain Solana. Sur ces 120 000 jetons, il en a converti 80 000 en Ethereum et laissé le reste sur la blockchain Solana.

Le pirate n’a pas encore répondu à la proposition de la société. La société d’analyse de blockchain Elliptic lui offre une prime de 10 millions de dollars dans le cadre d’un « accord whitehat ».

Mais vu qu’il a déjà récupéré une partie de la somme, et vendue le reste, 10 millions de dollars ne semblent pas l’intéresser ! (voir ici, et encore ici)

L’attaque Wormhole est désormais la deuxième plus grande cyberattaque contre les services DeFi, la plus importante a visé au mois d’août 2021 Poly Network, avec plus de 600 millions de dollars.

cyberattaque, Cybersécurité

Un ransomware attaque un partenaire d’Apple et de Tesla

Les pirates du groupe CONTI met à mal l’un des principaux contractants d’Apple et de Tesla. Preuve une fois de plus que sécurité, éducation et règles de sauvegardes sont indispensables pour la continuité de service.

L’un des plus puissants groupes de ransomware, le groupe Conti (plus de 300 victimes à son actif) a pris en otage et chiffré la société Delta Electronics. Une entreprise à l’envergure internationale. Delta Electronics est l’un des sous-traitant d’Apple et de Tesla. Delta développe une large gamme de solutions électroniques avec un chiffre d’affaires annuel de plus de 7,7 milliards de dollars (2016).

Basée à Taïwan, l’entreprise emploie plus de 83 000 personnes dans le monde. Le site web de l’entreprise est resté plusieurs jours en « Maintenance du système« . Pas moins de 1 500 serveurs et 12 000 PC (65 000 PC au total sur le réseau) ont été bloqués. Les pirates ont demandé une rançon de 15 millions de dollars.

Autant dire qu’un cloud sécurisé ne fait pas de mal dans une telle situation pour remettre en place l’ensemble de son infrastructure, sans perte de productivité et de contacts avec ses partenaires, clients, etc…

Cybersécurité

Comment éviter les piratages informatiques et les mauvaises intentions ?

Comme tout le monde, vous utilisez de plus en plus Internet dans votre entreprise ou dans votre vie privée et vous cherchez forcément à vous protéger des piratages ? Vous aimeriez mettre en place un maximum d’actions pour limiter les mauvaises intentions sur vos comptes sur Internet ? Entre solutions antivirus et logiciels adaptés, il existe de nombreuses options pour sécuriser vos comptes et données sur Internet. Découvrez comment éviter les piratages informations et les mauvaises intentions sur le web.

Utiliser des logiciels adaptés pour transmettre ses données

Tout d’abord, nous vous conseillons d’utiliser des logiciels adaptés afin de sécuriser vos transmissions de données. En effet, pour contrer les piratages, il existe aujourd’hui de nombreux logiciels qui se sont développés dans le but de sécuriser au maximum vos transferts ou stockages de données. Ainsi, vous pouvez par exemple rendre vos transmissions de données plus sûres en entreprise grâce aux solutions logiciels.

Vous pourrez alors transmettre et stocker vos notes de frais, documents comptables, informations sur vos clients ou encore documents personnels de façon beaucoup plus sécurisés. De plus, ces logiciels sont de véritables gestionnaires de vos documents et vont vous permettre de vous organiser au mieux et de gagner du temps. Tous vos documents seront stockés au même endroit et vous pourrez les consulter ou les partager en temps réel avec vos collaborateurs tout en bénéficiant de la sécurité mise en place par le logiciel dédié.

Installer un antivirus sur tous les postes de travail

Ensuite, il est évident qu’il est indispensable d’installer un bon antivirus sur tous les postes de travail que vous possédez. Pour votre ordinateur personnel ou pour les appareils de votre société, vous protégez des éventuelles intrusions dans votre PC est essentiel si vous souhaitez éviter au maximum les piratages informatiques ou les virus malveillants.
Il existe pour cela différentes solutions antivirus que vous pouvez acheter directement en ligne et qui vous protègeront efficacement. En fonction de vos besoins et de votre budget, nous vous conseillons de bien prendre le temps de comparer les différents logiciels antivirus disponibles sur le marché afin de trouver celui qui vous convient le mieux.

Quelques gestes simples pour limiter les risques de piratage

Ensuite, il existe quelques gestes simples qui permettent de limiter les risques de piratage de vos comptes sur Internet. Pensez par exemple à créer des mots de passe compliqués et à ne pas utiliser les mêmes sur tous les sites. Nous vous conseillons pour cela d’avoir recours à un gestionnaire de mots de passe. Ensuite, prendre le temps de maintenir tous vos logiciels et applications à jour vous permettra de limiter les risques de piratage.
Ne négligez donc pas de faire toutes les mises à jour qui vous sont régulièrement conseillées. Enfin, nous vous recommandons vivement de faire régulièrement des sauvegardes de vos documents si vous en gardez sur votre poste de travail. Malgré toutes les précautions, vous pouvez toujours avoir votre ordinateur endommagé par un virus et vous pourrez alors retrouver vos documents si vous les avez enregistrés ailleurs.

Et vous, quels sont vos conseils pour éviter les piratages informatiques et les mauvaises intentions sur Internet ?

Cybersécurité, Linux

Une vulnérabilité sévère affecte toutes les distributions Linux

Des chercheurs annoncent la découverte d’une vulnérabilité par corruption de mémoire dans le composant pkexec de polkit, un utilitaire SUID accordant des privilèges racine aux utilisateurs et qui est installé par défaut sur les principales distributions Linux.

Le directeur du Lab Qualys déclare : « Nous continuons de dire que chaque nouvelle vulnérabilité sévère est un « coup de semonce », mais, dans les faits la communauté ne réagit pas. Pourtant, à l’ère des vulnérabilités Log4Shell, SolarWinds, MSFT Exchange, etc., il est essentiel que ces dernières soient rapportées de manière responsable et que, face à tel niveau de sévérité, elles soient corrigées et atténuées sans délai. »

Vu l’ampleur de la surface d’attaque de cette vulnérabilité à la fois sur des systèmes d’exploitation Linux et non Linux, Qualys recommande aux utilisateurs d’appliquer immédiatement les correctifs disponibles pour cette vulnérabilité. Les clients Qualys actifs peuvent rechercher la CVE-2021-4034 dans la base de connaissances des vulnérabilités pour localiser tous les identifiants QID et les actifs sensibles à cette vulnérabilité.

Divulgation de cette vulnérabilité pas à pas: 

  • Information technique :
    • Polkit (anciennement PolicyKit) est un programme qui permet de contrôler les privilèges système sur les systèmes d’exploitation de type Unix.
    • Il permet aux processus non privilégiés de communiquer de manière organisée avec les processus privilégiés.
    • polkit peut aussi être utilisé pour exécuter des commandes avec des privilèges élevés à l’aide de la commande pkexec suivi de la commande à exécuter (avec une permission racine).
  • Impact :
    • Connue de toute la communauté depuis plus de 12 ans, cette vulnérabilité affecte toutes les versions de pkexec depuis sa toute première version qui remonte à mai 2009.
    • S’il exploite cette vulnérabilité dans sa configuration par défaut, un utilisateur dépourvu de privilèges peut obtenir des privilèges racine complets sur un serveur vulnérable.
    • Cette vulnérabilité est extrêmement grave car elle affecte toutes les principales distributions Linux et qu’elle est facilement exploitable, raison pour laquelle l’équipe de chercheurs Qualys ne publie pas l’exploit associé.
    • Les chercheurs en sécurité Qualys ont pu, de manière indépendante, vérifier cette vulnérabilité, développer un exploit et obtenir des privilèges racine complets sur des installations par défaut de Ubuntu, Debian, Fedora et CentOS. D’autres distributions Linux sont vulnérables de la même manière et probablement exploitables.
Cybersécurité

Scanning Make Easy

Scanning Make Easy : la collection de scripts NMAP de la cybersécurité britannique.

Le National Cyber Security Center du Royaume-Uni a partagé publiquement une collection de scripts NMAP permettant d’analyser les réseaux à la recherche de vulnérabilités. Mission, aider les professionnels de l’informatique à combler les lacunes en matière de sécurité.

Une initiative baptisée SME (Scanning Make Easy).

Argent, Communiqué de presse

Comment choisir son forfait haut débit mobile ?

Le haut débit mobile désigne la connexion Internet de meilleure qualité fournie par les opérateurs de téléphonie mobile. En termes clairs, plus la connexion haut débit est rapide, plus la connectivité et la communication sont fluides et intéressantes. Découvrez ici comment choisir le forfait haut débit idéal à votre style de vie.

Consulter les offres disponibles

En fonction de votre disponibilité et de vos besoins, il faudra opter entre différentes offres. À titre illustratif, les personnes qui n’utilisent pas la télévision et le téléphone fixe à la maison peuvent opter pour une offre Internet seule. Les étudiants et apprenants chercheurs peuvent opter pour les offres plus adaptées à leurs besoins. À cet effet, plusieurs offres très haut débit sont disponibles auprès des opérateurs.

Évaluer vos besoins

Étant donné les diverses propositions de forfaits hauts débits disponibles sur le marché, il est impératif de faire le point de vos besoins avant de faire un choix. Ainsi, il faudra prendre en compte certains détails comme le débit de navigation, la consommation de données, les équipements.

Le débit de navigation

Le débit ou la vitesse de votre connexion mobile désigne la vitesse à laquelle les données sont transférées. Avec la génération du haut débit, cette vitesse est généralement exprimée en Mégabits par seconde (Mb/s) ou en Gigabits par seconde (Gb/s) pour les connexions ultrarapides via le réseau fibre optique. Plus cette vitesse est élevée, moins il vous faudra du temps pour télécharger un fichier, pour afficher des sites web et profiter d’une bonne qualité des chaines TV sur votre box.

 La consommation de données

Pour déterminer votre consommation de données, il faudra quantifier votre consommation en Internet fixe et mobile en Mo (Méga Octet) ou en Go (Giga Octet). Faites le point du nombre d’appareils qui devront se connecter à Internet simultanément. Le forfait illimité de haut débit est l’une des meilleures options pour les familles nombreuses.

Les équipements 

Vous pourrez aussi avoir besoin de louer des équipements de connexion auprès de votre fournisseur. Mais si vous disposez déjà d’équipement comme un routeur à la maison, il ne sera plus nécessaire d’en louer.

Déterminez la durée de votre engagement

Les fournisseurs d’accès Internet proposent souvent différentes durées d’engagement. Il serait donc préférable d’opter pour des forfaits de courte durée pour bénéficier à tout moment d’un nouveau forfait plus intéressant. Vous pourrez toujours souscrire une meilleure offre chez un concurrent. Cependant, il existe quelques conditions qui encadrent la résiliation de l’engagement auprès de votre fournisseur. Vous pourrez aussi payer des frais de résiliation.

Demander des avis

Pour ne pas faire un mauvais choix, il serait judicieux de consulter les avis de vos proches ou voisins. N’hésitez donc pas à leur poser des questions par rapport à leur connexion haut débit, la qualité des services de leurs fournisseurs Internet et d’autres renseignements utiles. Aussi, vous pouvez consulter des sites web et plateformes adaptés pour avoir des avis sur les différents forfaits haut débit, les avantages et inconvénients de chaque fournisseur d’accès mobile. Par ailleurs, certains fournisseurs proposent des tests d’éligibilité sur leur site. Cela vous permet d’avoir leurs prix et caractéristiques en fonction de votre habitation.

Cybersécurité, Securite informatique

Cybersécurité : les pirates Russes loucheraient sur le Canada

Le Centre Canadien pour la cybersécurité s’inquiète d’une augmentation d’activités de cybermenace qui pourraient être parrainées par de pirates Russes.

Mais que recherchent les pirates informatiques Russes sur le sol Canadiens ? Le froid ? Non, ils ont ! Les magnifiques étendues naturelles ? Non, ils ont aussi ! A première vue, selon le Centre Canadien pour la cybersécurité (L’ANSSI de nos cousins du Grand-Nord), ils loucheraient sur les infrastructures essentielles du Canada.

Parmi ces piratages, et ils ne sont pas que Russes à se pencher sur le Canada, infiltrer pour voler des données ; rançonner à coup de ransomware et réclamer une rançon ; jouer avec les cours de l’Energie en tentant de bloquer la production. « Le Centre canadien pour la cybersécurité (CCC) encourage la communauté canadienne de la cybersécurité, surtout les responsables de la défense des réseaux des IE, à prendre des mesures proactives de surveillance et d’atténuation sur les réseaux.« 

Le CCC rappel aussi que se doter « d’un plan d’intervention en cas de cyber incident, d’un plan de continuité des activités et d’un plan de communication, et se préparer à les appliquer » ne doit plus être une option.

Parmi les dernières victimes repérées par Data Security Breach, la société Medical Pharmacies, un leader en matière de gestion des médicaments, de services pharmaceutiques spécialisés et de fourniture de matériel et d’équipement médicaux à l’industrie canadienne des soins de santé. Le groupe de pirates Snatch a volé pour plus de 100 GB d’informations internes et diffusé plus de 260 Mo.

cyberattaque, Mise à jour

Patch Tuesday Janvier 2022

Microsoft a corrigé 126 vulnérabilités dont 9 sont classées comme critiques. Au moment de la publication de cette analyse aucune des 126 vulnérabilités n’est exploitée de manière active. Microsoft a  dans ses logiciels, dont des vulnérabilités exploitées par exécution de code à distance (RCE), des failles de sécurité facilitant une élévation de privilèges, l‘usurpation d’identité et de déni de service (DoS).

Vulnérabilités Microsoft critiques corrigées 

CVE-2022-21907 – Vulnérabilité par exécution de code à distance dans la pile du protocole HTTP 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Elle affecte les serveurs Windows configurés comme serveurs Web. Pour exploiter cette vulnérabilité, un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce vers un serveur vulnérable en s’appuyant sur la pile du protocole HTTP pour traiter des paquets. Cette vulnérabilité est connue pour se propager sous la forme de vers. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-21849 – Vulnérabilité par exécution de code à distance dans le composant IKE Extension de Windows 

Affichant un score de sévérité CVSSv3.1 de 9,8/10, cette vulnérabilité affecte les systèmes fonctionnant avec la version 2 du composant IKE (Internet Key Exchange). Même si pour l’instant peu d’informations sont disponibles sur cette vulnérabilité, un attaquant à distance peut déclencher plusieurs vulnérabilités lorsque le service IPSec est exécuté sur le système Windows, sans besoin d’être identifié. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21846 – Vulnérabilité par exécution de code à distance sur Microsoft Exchange Server 

Cette vulnérabilité a été découverte et signalée à Microsoft par la NSA (National Security Agency). Elle affiche un score de sévérité CVSSv3.1 de 9,0/10. L’attaque associée à cette vulnérabilité se limite au niveau protocolaire à une topologie logiquement adjacente. Elle ne peut donc tout simplement pas être lancée sur Internet et doit plutôt s’appuyer sur un élément spécifiquement lié à la cible, par exemple un même réseau physique partagé (Bluetooth ou IEEE 802.11 notamment), un réseau logique (par ex. un sous-réseau IP local) ou depuis un domaine administratif sécurisé ou limité (par exemple MPLS, un VPN sécurisé vers une zone administrative du réseau). De nombreuses attaques exigeant des configurations de type Man-in-the-middle ou tributaires d’un ancrage dans un autre environnement fonctionnent de la sorte. Évaluation d’exploitabilité : Exploitation plus probable

CVE-2022-21837 – Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,3/10. Un attaquant peut exploiter cette vulnérabilité pour accéder au domaine puis exécuter du code à distance sur le serveur SharePoint pour s’élever lui-même au rang d’administrateur SharePoint. Évaluation d’exploitabilité : Exploitation moins probable

CVE-2022-21840 – Vulnérabilité par exécution de code à distance dans Microsoft Office 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Elle ne peut être exploitée que si l’utilisateur ciblé ouvre un fichier malveillant.

Dans un scénario d’attaque par email, l’attaquant exploitera la vulnérabilité en envoyant un fichier malveillant spécifique sur la messagerie de la cible avant de le convaincre de l’ouvrir. 

L’attaquant peut aussi héberger un site Web (ou utiliser un site Web compromis qui accepte ou héberge du contenu fourni par un utilisateur) qui contient un fichier malveillant personnalisé pour exploiter une vulnérabilité dans le cas d’une d’attaque via le Web. Évaluation d’exploitabilité :Exploitation moins probable

Adobe Patch Tuesday – Janvier 2022 

Adobe a publié des mises à jour pour corriger 41 CVE affectant Adobe Acrobat et Reader, Bridge, Illustrator, InCopy et InDesign. Parmi ces 41 vulnérabilités, 22 sont considérées comme critiques. Adobe a publié des mises à jour de sécurité pour Adobe Acrobat et Reader pour Windows et macOS qui permettent de corriger de nombreuses vulnérabilités critiques, importantes et modérées. L’exploitation réussie de ces vulnérabilités pourrait entraîner l’exécution de code arbitraire, une fuite de mémoire, un déni de service de type applicatif ainsi qu’un contournement des fonctions de sécurité et une élévation de privilèges.