Archives de catégorie : Mise à jour

Cybersécurité, Mise à jour, Securite informatique

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

APT, Cybersécurité, Mise à jour

L’activité Emotet a repris après une interruption de trois mois

Des experts ont remarqué que le code malveillant Emotet a repris son activité de spammeurs après une « accalmie » de trois mois.

Emotet, le retour. Après une pause de trois mois, l’outil malveillant refait surface via des vagues de spams dont il a le secret. Jusqu’à présent, les spécialistes de la sécurité de l’information n’ont trouvé aucune charge utile supplémentaire. Il semble que le logiciel malveillant collecte simplement des données pour de futures campagnes de spam.

La reprise de l’activité malveillante a été signalée par les analystes de la sociétés Cofense et du groupe Cryptolaemus. Cette team a été fondée en 2018 pour combattre Emotet.

Les chercheurs ont rappelé que la dernière campagne de spam Emotet avait été observée en novembre 2022. Un spamming de deux semaines.

Cette fois, au lieu d’utiliser des courriels de réponse à d’autres messages, comme lors de la campagne précédente, les pirates utilisent des e-mails qui imitent diverses factures. Des archives ZIP contenant intentionnellement des documents Word « gonflés » de plus de 500 Mo sont jointes à ces courriers électroniques. Les documents sont délibérément remplis de données inutilisées pour rendre les fichiers plus volumineux et plus difficiles à analyser pour les antivirus.

En fait, ces documents contiennent de nombreuses macros qui téléchargent le chargeur Emotet en tant que DLL à partir de sites compromis (principalement des blogs WordPress piratés). Après le téléchargement, le logiciel malveillant est enregistré dans un dossier avec un nom aléatoire. Un DLL gonflé pour perturber, une fois encore, les logiciels d’analyse.

Selon VirusTotal, jusqu’à présent, seul un fournisseur de solutions de sécurité sur 64 a détecté le piège !

Bitcoin, Cybersécurité, double authentification, Mise à jour, nft

Porsche stoppe son projet NFT

Porsche stoppe la production d’une nouvelle collection de NFT suite aux risques de piratage informatique et de détournement de ses créations.

La marque de voitures de prestiges, Porsche, souhaitait mettre en circulation des NFT, les Non-Fungible Tokens. Suite à de nombreuses inquiétudes, le projet est mis à l’arrêt. Les craintes de piratage informatique et escroquerie numérique font que la marque préfère travailler sur un système plus sécurisé avant de se lancer dans l’aventure des NFT.

Les NFT (Non-Fungible Tokens) sont des actifs numériques stockés sur une blockchain qui fournissent la preuve de l’authenticité et de la propriété d’un élément.

Le marché de revente NFT OpenSea, où il était moins cher d’acheter des objets de collection Porsche que d’obtenir un original, a provoqué la colère des investisseurs. Cela dévalué immédiatement les actifs originaux des créations du constructeur automobile.

Porsche a annoncé qu’elle interromprait le processus de diffusion de ses NFT et réduirait les expéditions jusqu’à ce qu’elle sache comment lancer correctement les NFT.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

Cybersécurité, Mise à jour

À partir du 10 janvier, Windows 7 ne recevra plus de correctifs pour les vulnérabilités critiques

Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.

Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.

Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.

Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.

Selon Statcounter GlobalStats , Windows 7 tourne actuellement sur 11% des PC dans le monde.

La part de Windows 8.1 est bien moindre – seulement 2,59%.

Les développeurs de navigateurs ont également annoncé la fin du support de Windows 7.

Par exemple, Microsoft Edge 109 sera la dernière version à être « amie » avec Windows 7 et Windows 8/8.1.

Et la version de Google Chrome 110 devrait sortir sans prise en charge de ces versions d’OS.

Cybersécurité, Mise à jour

Patch Day : 62 CVE, dont 9 sont jugées critiques et 53 importantes

Ce mois-ci, Microsoft a corrigé quatre vulnérabilités de type « zero-day », les quatre étant exploitées dans la nature, bien que l’une d’entre elles ait été divulguée avant que les correctifs ne soient disponibles. Pour rappel, un 0Day est une vulnérabilité qui n’est pas publique, mais exploitée par des pirates.

CVE-2022-41073 est une vulnérabilité d’élévation de privilège dans Windows Print Spooler. Les vulnérabilités de Print Spooler ont gagné en notoriété suite à la divulgation des failles PrintNightmare en juin (CVE-2021-1675) et juillet (CVE-2021-34527). Bien que plusieurs vulnérabilités liées à Print Spooler aient été divulguées par des chercheurs en sécurité depuis l’année dernière, il semble que CVE-2022-41073 soit la première vulnérabilité de Print Spooler depuis PrintNightmare à être exploitée dans la nature par des attaquants. Nous avons longtemps mis en garde contre le fait qu’une fois la boîte de Pandore ouverte avec PrintNightmare, les failles de Windows Print Spooler reviendraient hanter les entreprises, et si l’on se base sur le succès que les groupes de ransomware et d’autres acteurs de la menace ont eu avec PrintNightmare, une attention continue sur la nature omniprésente de Windows Print Spooler en fait l’une des cibles les plus attrayantes pour l’escalade des privilèges et l’exécution de code à distance. Sa découverte a été attribuée au Microsoft Threat Intelligence Center.

CVE-2022-41128 est une vulnérabilité d’exécution de code à distance dans les langages de script de Windows. Plus précisément, elle affecte le langage de script JScript9 de Microsoft. L’exploitation nécessite une interaction avec l’utilisateur, de sorte qu’un attaquant devrait convaincre une victime exécutant une version vulnérable de Windows de visiter un partage de serveur ou un site Web spécialement conçu, par le biais d’un type d’ingénierie sociale. Selon Microsoft, cette faille a été exploitée dans la nature et divulguée par Clément Lecigne du Threat Analysis Group de Google.

CVE-2022-41125 est une vulnérabilité d’élévation de privilège dans l’API de chiffrement de Windows : Next Generation (CNG) Key Isolation Service, un service d’isolation de clés privées hébergé dans le processus Local Security Authority (LSA). L’exploitation de cette vulnérabilité pourrait accorder à un attaquant des privilèges SYSTEM. Elle a été exploitée dans la nature par des attaquants et est attribuée à la fois au Microsoft Threat Intelligence Center et au Microsoft’s Security Response Center.

CVE-2022-41091 est l’une des deux vulnérabilités de contournement de la fonctionnalité de sécurité dans Windows Mark of the Web (MoTW). MoTW est une fonctionnalité conçue pour signaler les fichiers qui ont été téléchargés depuis Internet, en invitant les utilisateurs à afficher une bannière d’avertissement de sécurité, leur demandant de confirmer que le document est fiable en sélectionnant Enable content. Bien qu’elle n’ait pas été attribuée à un chercheur en particulier, cette vulnérabilité a récemment été découverte comme étant exploitée dans la nature par le groupe de ransomware Magniber sous forme de fausses mises à jour logicielles, selon des chercheurs de HP. L’autre contournement de la fonction de sécurité dans MoTW, CVE-2022-41049, a été révélé à Microsoft par le chercheur Will Dormann.

« Heureusement, souligne Satnam Narang, de chez Tenable, Microsoft a corrigé les deux CVE-2022-41040 et CVE-2022-41082, également connus sous le nom de ProxyNotShell, lors du Patch Tuesday de ce mois-ci. Cela fait plus d’un mois que ces failles ont été divulguées. Bien que l’impact de ProxyNotShell soit limité en raison de l’exigence d’authentification, le fait qu’elle ait été exploitée dans la nature et que les attaquants soient capables d’obtenir des informations d’identification valides en font des failles importantes à corriger.« 

Cybersécurité, Mise à jour, Patch, Securite informatique

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

Cybersécurité, Mise à jour

40 000 informaticiens en moins, en Russie

Pour le premier semestre 2022, environ 40 000 informaticiens ont quitté la Russie.

Un second effet à la guerre lancée par Vladimir Poutine, en Ukraine, les emplois spécialisés disparaissent. Après les craintes visant les mises à jour de logiciels, le blocage des smartphones sous Android et iOS, voici venir la nouvelle crainte high-tech sur le territoire Russe.

La Russie a perdu (ou va perdre) 40 000 informaticiens. Des employés de centres de développement d’entreprises étrangères, dont les maisons « mères » ont décidé de fermer leurs bureaux en Russie. Une second trimestre qui va faire de gros dégâts, la Russie n’étant pas capable de remplacer ces personnels partis.

La seconde fuite de cerveau est celle des entreprises russes qui travaillaient sur les marchés étrangers. Les informaticiens Russes vivant à l’étranger sont censés rentrer dans leur pays avant la fin de l’année.