Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Microsoft, Mise à jour

Microsoft : la prise en charge de Windows Server 2012 prend fin en octobre

Microsoft a rappelé aux utilisateurs et aux administrateurs système la fin du support de Windows Server 2012 et Windows Server 2012 R2, en octobre 2023.

Auparavant, la société Microsoft prolongeait la durée de vie de ces versions, mais tout prendra fin le 10 octobre 2023.

Rappelons qu’initialement le support universel de Windows Server 2012 s’est terminé en octobre 2018, mais Microsoft a décidé de prolonger la période de cinq ans dans le cadre d’un programme étendu spécial.

Ainsi, en octobre 2023, la société cessera de publier des correctifs et des mises à jour pour cette version du système d’exploitation du serveur.

Après le 10 octobre, ces versions du système d’exploitation ne recevront plus à la fois les correctifs et les mises à jour simples. Ils seront également privés de support technique, de correctifs pour divers bogues et d’autres mises à jour », écrit le géant de la technologie de Redmond.

Microsoft recommande aux administrateurs système utilisant Windows Server 2012 de mettre à niveau vers Windows Server 2022 ou d’acheter les mises à jour de sécurité étendues (ESU), qui prolongent la durée de vie jusqu’au 13 octobre 2026.

A noter que d’autres outils Microsoft, dont Windows 7, vont quitter le portefeuille sécuritaire de Microsoft.

Cybersécurité, Mise à jour

Failles UEFI de Qualcomm menacent les appareils Microsoft, Lenovo et Samsung

De nombreux appareils de géants de la technologie tels que Microsoft, Lenovo, Samsung, Etc. contiennent des vulnérabilités dues au micrologiciel UEFI présent dans les puces Qualcomm Snapdragon.

Le fabricant lui-même a déjà publié des correctifs, il ne reste donc plus qu’à les installer. Au total, selon Qualcomm, les correctifs couvrent plus d’une vingtaine de lacunes. Parmi eux se trouvent des erreurs dans les processus de connexion et de téléchargement.

Certains problèmes ont été signalés par des spécialistes de Binarly. Comme Alex Matrosov, le fondateur de Binarly, l’a expliqué à SecurityWeek, ses chercheurs ont réussi à identifier neuf problèmes de sécurité. Ils sont tombés dessus en étudiant le micrologiciel des ordinateurs portables Lenovo Thinkpad X13.

Au cours de l’étude, il s’est avéré que cinq des vulnérabilités identifiées affectent non seulement les ordinateurs portables de Lenovo, mais également d’autres appareils fonctionnant sur des puces Snapdragon. C’est la première fois que des lacunes sont trouvées dans le micrologiciel UEFI des ordinateurs fonctionnant sous Arm.

Ordinateurs portables impactés

En plus des ordinateurs portables de Lenovo, Microsoft Surface, Windows Dev Kit 2023 (Project Volterra), un certain nombre d’appareils Samsung sont affectés par des vulnérabilités. Selon l’avis de Qualcomm, le nombre de chipsets concernés est tout simplement colossal.

Dans un rapport de Lenovo, la société écrit que deux problèmes – débordement de tampon et lecture hors limites – sont liés au pilote DXE. Ces failles peuvent être exploitées par un attaquant local, ce qui en limite la portée. L’exploitation des vulnérabilités identifiées peut conduire à l’exécution de code arbitraire, d’où un niveau de danger élevé.

Qualcomm encourage tous les utilisateurs finaux concernés par ces problèmes à installer les correctifs appropriés.

Cybersécurité, Mise à jour

À partir du 10 janvier, Windows 7 ne recevra plus de correctifs pour les vulnérabilités critiques

Les versions de Windows 7 Professionnel et Entreprise à partir de demain ne recevront pas de correctifs pour les vulnérabilités critiques et dangereuses.

Le programme de support supplémentaire pour ces systèmes d’exploitation – Extended Security Update (ESU) – touche à sa fin. L’ESU était d’ailleurs la dernière opportunité pour les fans de l’ancien Windows 7. Rappelons que la sortie du système a eu lieu en octobre 2009. En janvier 2015, Microsoft a annoncé la fin du support de Windows 7, et début 2020, la période de support étendu (EOS) a pris fin.

Le 10 janvier 2023 sera également le dernier jour d’EOS pour Windows 8.1, sorti en novembre 2013. « La plupart des ordinateurs exécutant Windows 7 ne répondent pas aux spécifications matérielles requises pour passer à Windows 11. Alternativement, nous pouvons proposer aux propriétaires de tels appareils de passer à Windows 10, après avoir acheté au préalable une licence complète pour le système d’exploitation« , explique Microsoft.

Cependant, avant d’acheter Windows 10, veuillez noter que cette version du système d’exploitation ne sera plus prise en charge après le 14 octobre 2025.

Selon Statcounter GlobalStats , Windows 7 tourne actuellement sur 11% des PC dans le monde.

La part de Windows 8.1 est bien moindre – seulement 2,59%.

Les développeurs de navigateurs ont également annoncé la fin du support de Windows 7.

Par exemple, Microsoft Edge 109 sera la dernière version à être « amie » avec Windows 7 et Windows 8/8.1.

Et la version de Google Chrome 110 devrait sortir sans prise en charge de ces versions d’OS.

Chiffrement, cryptage, Cybersécurité

Promulgation de la loi Quantum Computing Cybersecurity Readiness Act

Le président américain Joe Biden met en place la loi Quantum Computing Cybersecurity Preparedness Act. Elle est censée protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique.

Alors que des scientifiques chinois ont annoncé le crack de mots de passe (RSA) grâce au calcul quantique, les Etats-Unis se préparent à s’armer d’une loi pour se protéger ! La loi, baptisée Quantum Computing Cybersecurity Preparedness Act (QCCRA), est conçue pour protéger les systèmes et les données du gouvernement fédéral contre la menace de violations de données utilisant la technologie quantique. Cette loi porte sur la migration des systèmes informatiques des agences exécutives vers la cryptographie post-quantique.

La cryptographie post-quantique est un chiffrement suffisamment puissant pour résister aux attaques des ordinateurs quantiques développés à l’avenir. La loi ne s’applique pas aux systèmes de sécurité nationale.

Une fois que les National Institutes of Standards and Technology (NIST) ont publié des normes de cryptographie post-quantique, l’OMB publiera des directives exigeant que chaque agence exécutive élabore un plan de migration des technologies de l’information de l’agence vers la cryptographie post-quantique.

Les ordinateurs quantiques peuvent casser les algorithmes cryptographiques existants. Les experts estiment que l’informatique quantique atteindra ce stade dans les 5 à 10 prochaines années, rendant potentiellement toutes les informations numériques vulnérables aux acteurs de la cybermenace avec les protocoles de cryptage existants.

La loi (H.R. 7535) oblige chaque agence de créer et de maintenir une liste à jour des technologies de l’information utilisées pouvant être vulnérables au déchiffrement par des ordinateurs quantiques. Elles doivent également créer un processus d’évaluation des progrès de la transition des systèmes informatiques vers la cryptographie post-quantique. Ces exigences doivent être remplies dans les six mois suivant l’adoption de la loi.

Des experts chinois cassent le cryptage RSA à l’aide d’ordinateurs quantiques

Un groupe de chercheurs chinois a surpris la communauté de la cybersécurité en affirmant qu’ils avaient réussi à casser le type de cryptage le plus répandu sur le Web, le RSA. Pour cela, les experts ont utilisé des ordinateurs quantiques, bien qu’il soit généralement admis qu’ils ne constituent pas actuellement une menace pour l’ algorithme RSA.

Le Financial Times écrit sur la percée des spécialistes chinois. Fin décembre, les chercheurs ont publié un article (PDF) détaillant une méthode de craquage de l’algorithme RSA à l’aide d’un ordinateur quantique équipé de seulement 372 qubits (bits quantiques).

Rappelons que RSA est au cœur d’une grande partie du chiffrement en ligne. Les rapports d’un piratage réussi ont alerté les spécialistes de la sécurité de l’information, car IBM a promis cette année de mettre à la disposition des clients l’ordinateur quantique le plus puissant, le système Osprey à 433 qubits.

Il n’est pas difficile d’imaginer ce qui attend RSA dans ce cas : il ne survivra tout simplement pas. Roger Grimes, l’un des vénérables experts dans le domaine de la cybersécurité, a noté qu’il s’agit d’un moment très important dans l’histoire de la sphère de la cybersécurité (si les affirmations des experts chinois s’avèrent vraies). « En fait, cela signifie que les autorités d’un pays pourront révéler les secrets d’autres pays. », souligne Grimes.

On comprend mieux le choix des Américains de se pencher, rapidement, sur la Quantum Computing Cybersecurity Preparedness Act.

Android, ios, Smartphone, Téléphonie

Espionnage : nouvelle méthode pour écouter sur Android

Un groupe de chercheurs a développé une attaque d’écoute pour les appareils Android qui peut reconnaître le sexe et l’identité d’un appelant, et même faire la distinction entre des propos privés.

L’attaque par canal latéral, baptisée EarSpy, vise à explorer de nouvelles possibilités d’écoute clandestine en capturant les lectures des capteurs de mouvement causées par la réverbération des haut-parleurs dans les appareils mobiles. Des chercheurs en sécurité de cinq universités américaines ont démontré comment des applications malveillantes peuvent également écouter sans avoir accès au microphone.

Comment ? Les smartphones modernes utilisent de puissants haut-parleurs stéréo qui produisent une bien meilleure qualité sonore et des vibrations plus fortes. De même, les appareils modernes utilisent des capteurs de mouvement et des gyroscopes plus sensibles, capables d’enregistrer même les plus petites résonances des haut-parleurs.

Identification à l’oreille !

L’identification du sexe de l’appelant sur le OnePlus 7T variait de 77,7 % à 98,7 %, la classification de l’identification de l’appelant variait de 63,0 % à 91,2 % et la reconnaissance vocale variait de 51,8 % à 56,4 %. Une chose qui peut réduire l’efficacité d’une attaque EarSpy est le volume que les utilisateurs choisissent pour leurs haut-parleurs. Un volume plus faible peut empêcher l’écoute clandestine par cette attaque de canal latéral.

La reconnaissance vocale – c’est-à-dire l’évaluation de ce qui a été dit – est encore trop imprécise à 56,42 % pour enregistrer complètement les conversations. Cependant, les chercheurs en sécurité supposent que cette tâche pourrait également être maîtrisée avec l’utilisation de meilleurs algorithmes – jusqu’à présent, ce sujet n’a fait qu’effleurer la surface.

Chiffrement, cyberattaque

Ransomware : 4 entreprises sur 10 ne récupèrent pas toutes leurs données

Plus de 4 entreprises sur 10 ne récupèrent pas toutes leurs données après le versement d’une rançon. Plus d’un tiers des entreprises ayant payé une rançon ont été visées une seconde fois par des cybercriminels.

En complément de son Rapport 2022 sur la gestion des cyber risques, Hiscox, assureur spécialiste de la protection cyber pour les petites et moyennes entreprises, a dévoilé un nouveau focus dédié aux ransomwares. Pour rappel, le business des assurances cyber s’est vue renforcée, en décembre, avec la possibilité pour les entreprises impactées par un ransomware (ou une cyber attaque) d’être remboursée par leur assureur. L’assureur Hiscox met en évidence les limites du paiement des rançons par les entreprises : 59% des entreprises ayant payé une rançon à des cybercriminels n’ont pas réussi à récupérer toutes leurs données.

Les statistiques montrent que le paiement des rançons ne résout pas tous les problèmes. Il n’est, par exemple, souvent pas possible de restaurer pleinement son système informatique ou d’éviter une fuite des données. Le rapport montre qu’il est plus efficace d’investir dans la mise en œuvre d’une cyber défense solide – en maintenant les logiciels à jours, en organisant des formations internes régulières, en sauvegardant fréquemment ses données – ainsi que dans la préparation d’une réponse appropriée en cas d’attaque, plutôt que de payer systématiquement les cybercriminels.

Un chiffre est particulièrement éloquent : plus d’un quart (26%) des entreprises qui ont payé une rançon dans l’espoir de récupérer leurs données l’ont fait parce qu’elles n’avaient pas de sauvegardes.

Outre la perte de données, une part significative des entreprises ayant payé les rançons a été confrontée à d’autres problèmes :
43 % ont dû reconstruire leurs systèmes, alors même qu’elles avaient reçu la clé de déchiffrement
36 % ont subi une autre attaque par la suite
29 % ont vu leurs données divulguées
Dans 19 % des cas, le pirate a ensuite exigé plus d’argent
Dans 15 % des cas, la clé de déchiffrement n’a pas fonctionné
Plus d’un quart (26 %) a estimé que l’attaque avait eu un impact financier important, menaçant la solvabilité et la viabilité de leur entreprise.

cyberattaque, Cybersécurité

Défendre la liberté numérique en temps de cyberguerre

Au vu du contexte en Ukraine et de l’invasion Russe, nous sommes témoins en temps réel d’une cyberguerre totale qui se déroule sous nos yeux. Aujourd’hui en Europe, la cybersécurité et la liberté numérique sont, au sens propre, des questions de vie ou de mort… le champion des echecs Garry Kasparov donne son avis !

On me demande souvent, depuis l’invasion lancée par Poutine en Ukraine, comment j’avais compris qu’il allait lancer une guerre. La réponse est simple : je ne suis pas devin, je ne tire pas les cartes mais j’écoute attentivement ce que dit Poutine. Les dictateurs peuvent affabuler et mentir à leur guise sur le passé, mais ils sont plutôt honnêtes quand il est question de leurs plans d’avenir. Il y a quelques années durant un dîner chez l’auteur de l’article « Pourquoi j’aurais dû écouter Garry Kasparov quand il parlait de Poutine », j’avais expliqué que Poutine n’abandonnerait pas ses projets pour l’Ukraine, à moins qu’il ne soit arrêté avant. D’ailleurs, lorsque Poutine a nié l’existence de l’Ukraine en tant que pays, j’ai aussitôt tiré la sonnette d’alarme. Il s’agissait là clairement d’un appel à la guerre.

Pourquoi la Russie perd la cyberguerre

Nous savons que le Kremlin a lancé des dizaines de cyberattaques contre des cibles ukrainiennes depuis le début de cette nouvelle invasion, le 24 février. Mais malgré tous les plans et toutes les stratégies de Poutine, la Russie perd la cyberguerre en Ukraine. Pourquoi ?

L’une des raisons de cet échec est la force du peuple ukrainien : tout comme l’armée ukrainienne a gagné la bataille de Kiev et continue à lutter contre l’armée de conscrits de Poutine en rendant coup pour coup, les spécialistes ukrainiens en cybersécurité défendent le pays des attaques du Kremlin.

Cet échec russe s’explique également par le fait que les systèmes russes et ukrainiens étaient si imbriqués que chaque attaque contre l’Ukraine pouvait se retourner contre la Russie. Un détail que ZATAZ avait indiqué, en premier, dés le mois de février 2022, démontrant la faiblesse des russes sur les réseaux sociaux.

Enfin, cette guerre nous a montré la grande vulnérabilité des systèmes russes. Des individus ou des groupes tels que les Anonymous n’ont eu aucune difficulté à pirater des sites du gouvernement russe.

Nous pouvons en tirer une leçon importante : la guerre en Ukraine nous a montré que les forces de la démocratie sont plus fortes, plus perfectionnées et plus avancées que les forces de l’autoritarisme. Nous devons, à juste titre, nous inquiéter de ce mal, mais nous ne devons pas en avoir peur.

La guerre et la cyberguerre peuvent nous sembler abstraites, mais elles nous aident à nous rappeler l’importance de la cybersécurité dans notre vie quotidienne. En effet, nous avons tous fait l’expérience de cybermenaces. Vous avez déjà reçu un spam, vu de fausses informations débitées dans des commentaires Facebook ou Twitter par des bots ou aidé une personne âgée à éviter les pièges d’une tentative de phishing ? Alors, vous savez que la cybercriminalité ne cesse d’augmenter. Nos vies se passent de plus en plus en ligne. Les outils de l’autoritarisme et de l’exploitation sont de plus en plus perfectionnés. Nous avons donc besoin de technologies qui évoluent sans cesse pour protéger la démocratie et notre confidentialité en ligne. La meilleure défense contre les cyberattaques, c’est un bon moyen de dissuasion.

La liberté numérique diffère d’une nation à l’autre

La révolution numérique a vécu une accélération sans précèdent. La pandémie de COVID-19 nous a tous forcé, ainsi que les gouvernements et les pays, à nous adapter à une vie virtuelle et hybride. Dans la plupart des pays démocratiques, cette transition numérique a exposé les utilisateurs à plus d’escroqueries en ligne et à un risque plus grand de piratage. Mais dans des endroits où est encore en place le rideau de fer de l’autoritarisme, comme la Russie de Poutine ou le Myanmar de la junte militaire, la pandémie a offert l’occasion au totalitarisme de réprimer davantage les citoyens et de limiter encore leur liberté numérique.

Ces citoyens du monde entier, privés d’un accès libre à Internet, doivent trouver des moyens créatifs, peu fiables et risqués pour contourner les pares-feux et la censure de leurs gouvernements. Cependant, ce dont nous sommes témoins aujourd’hui en Russie est du jamais vu. La coupure d’Internet en Russie par Poutine est un exemple historique d’une nation entière qui disparait du réseau Internet mondial. Les utilisateurs en Russie seront donc plus vulnérables aux malwares que jamais auparavant. Cependant, il nous reste encore à découvrir toutes les conséquences que ce changement cataclysmique aura sur Internet.

Cybersécurité, Entreprise

Nouvelles formes d’attaques visant les entreprises et les instances publiques

L’entreprise japonaise TrendMicro estime que les acteurs de la menace vont intensifier les attaques à destination des installations soutenant le travail hybride, des chaînes d’approvisionnement logicielles et du cloud.

Le constat établi par les équipes de recherches dans leur rapport de prospective 2023, intitulé ‘Future/Tense’ ne laisse peu de place à un avenir sans piratage. « Le travail hybride est désormais répandu au sein des entreprises. Pour les acteurs de la menace cela représente une ouverture vers les systèmes informatiques et les données des organisations » commente Nicolas Arpagian, Director Cybersecurity Strategy de l’entreprise japonaise Trend Micro.

En 2023, ils cibleront les VPN non patchés, les appareils SOHO connectés, les infrastructures cloud privées, exploiteront des versions évolutives de rançongiciels et continueront la revente de données. Pour faire face à ces risques, les organisations privées et publiques devront renforcer leur capacité de détection et de supervision de leurs environnements numérisés ».

D’après les prédictions, les VPN représentent une cible particulièrement attrayante, car ils offrent un accès sur plusieurs réseaux d’entreprise. Les routeurs domestiques seront également pointés du doigt car ils sont souvent laissés sans correctif et non gérés par l’informatique centrale.

Tendances en 2023

Une menace croissante sur les chaînes d’approvisionnement venant des fournisseurs de services gérés (MSP), qui seront sélectionnés/ciblés parce qu’ils offrent un accès à un grand volume de clients en aval, maximisant ainsi le retour sur investissement des rançongiciels, des vols de données et autres attaques.

Les techniques « Living off the cloud » pourraient s’imposer comme la signature de groupes attaquant l’infrastructure cloud afin de les isoler/les protéger des outils de sécurité conventionnels. Ils pourraient, par exemple, utiliser les solutions de sauvegarde d’une victime pour télécharger les données volées vers une destination de stockage frauduleuse.

Les menaces liées aux voitures connectées, avec notamment le risque de ciblage des API cloud qui se trouvent entre les cartes SIM embarquées (eSIM) et les serveurs d’applications dorsales. Les API pourraient notamment servir d’accès aux véhicules. L’industrie des voitures connectées pourrait également être touchée par des logiciels malveillants dissimulés dans des référentiels de logiciels libres.

Les groupes de rançongiciel-as-a-service (RaaS) dont l’activité pour être révisée en fonction de l’impact de la double extorsion. Certains pourraient se concentrer sur le cloud, tandis que d’autres pourraient renoncer complètement aux rançongiciels et tenter de monétiser d’autres formes d’extorsion, comme le vol de données.

L’ingénierie sociale sera dynamisée par les offres de services de compromission de la messagerie professionnelle (BEC) et la montée en puissance des attaques BEC fondées sur les technologies deepfakes.

Toutefois, l’année 2023 devrait mettre en avant le fait que les entreprises seront mieux armées grâce à la mise en œuvre d’une stratégie permettant d’atténuer ces risques émergents de manière proactive. Pour cela, le choix d’une approche ‘Zero Trust’ construite selon le principe fondateur ‘ne jamais faire confiance, toujours vérifier’, pour minimiser les dommages sans sacrifier la productivité des utilisateurs. La formation des collaborateurs pour transformer un maillon faible de la chaîne de sécurité en une ligne de défense efficace.

La consolidation sur une plateforme de sécurité unique pour gérer la surveillance de la surface d’attaque ainsi que la détection et la réponse aux menaces. Cela permettra aux entreprises de mieux détecter les activités suspectes sur l’ensemble de leurs réseaux, de réduire la charge de travail des équipes de sécurité et de maintenir les défenseurs en alerte.

Des « stress tests » sur les infrastructures informatiques afin de s’assurer de la préparation aux attaques dans différents scénarios, en particulier ceux où une première intrusion n’a pu être empêchée. Une nomenclature logicielle (SBOM) pour chaque application, afin d’accélérer et d’améliorer la gestion des vulnérabilités en offrant une visibilité sur le code développé en interne, acheté auprès de sources commerciales sûres et construit à partir de sources tierces.

Cybersécurité

Patch Tuesday décembre 2022

Microsoft publie un total de 54 correctifs, concernant une très large gamme de produits, dont le système d’exploitation Windows. 19 correctifs sont disponibles pour corriger des vulnérabilités d’élévation de privilèges.

Microsoft a publié 54 nouveaux correctifs, dont 2 pour des failles 0Day. Les vulnérabilités et exploitations en cours concernent Microsoft Windows et des composants Windows, Azure et le système d’exploitation en temps réel Azure ainsi que pour Microsoft Dynamics, Exchange Server, Office et des composants Office, SysInternals, Visual Studio, SharePoint Server, Network Policy Server (NPS), Windows BitLocker, Microsoft Edge (basé sur Chromium), le noyau Linux et des logiciels Open Source. 

De son côté Adobe a publié trois correctifs pour corriger 37 CVE, toutes classées comme Importantes. Les produits Adobe suivants ont fait l’objet de mises à jour : Experience Manager (32 bugs), Adobe Illustrator et Adobe Campaign Classic. Les failles les plus sévères sont les scripts intersite (XSS) Adobe Experience Manager (AEM) et les fuites de mémoire Adobe Illustrator.

Le correctif pour Adobe Campaign Classic résout une faille facilitant l’élévation de privilèges. Actuellement aucune faille n’est connue publiquement ou ne fait l’objet d’attaques. À noter que Adobe attribue une priorité de niveau 3 au déploiement de ces mises à jour.

Microsoft a corrigé plusieurs failles dans ses logiciels, y compris des vulnérabilités permettant : déni de service (DoS), élévation de privilèges (EoP), divulgation d’informations, exécution de code à distance (RCE), contournement des fonctions de sécurité, et usurpation.

Les vulnérabilités corrigées par Microsoft en décembre 2022

Type de vulnérabilité

Quantité

Niveau de sévérité

Vulnérabilité d’élévation de privilèges 

19

Important

19

Vulnérabilité d’exécution de code à distance

24 

Important :
Critique :

7
7

Vulnérabilité de divulgation d’informations 

Important :

3

Vulnérabilité de contournement de fonctions 

Modérée :
Important :

1
1

Vulnérabilité de déni de service 

Modérée :
Important :

1
2

Vulnérabilité d’usurpation

2

Modérée :

2

Défense en profondeur  

Aucune 

Au total, Microsoft a résolu 54 vulnérabilités : 2 CVE le 5 décembre, 51 nouvelles CVE le 13 décembre et une mise à jour de défense en profondeur Microsoft (ADV220005). Une vulnérabilité 0Day est indiquée comme étant activement exploitée, tandis qu’une seconde a été divulguée publiquement au moment de la publication de ce papier. 

Principales vulnérabilités Microsoft corrigées CVE-2022-44698 | Vulnérabilité de contournement des fonctions de sécurité dans Windows SmartScreen. Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 5,4/10. 

Elle est classée comme modérée et semble être liée à la vulnérabilité de contournement des fonctions de sécurité de la fonctionnalité Windows Mark of the Web (CVE-2022-41091) du mois dernier. En résumé, il est possible de créer un fichier malveillant pour contourner le mécanisme de défense Mark of the Web (MOTW). Cette opération supprime la fonction MOTW du fichier afin que cette dernière ne soit pas reconnue, et autorise les utilisateurs à ouvrir des fichiers sans déclencher l’avertissement. In fine ceci entraîne une perte d’intégrité et de disponibilité des fonctionnalités de sécurité, telle que la Vue protégée (Protected View) dans Microsoft Office, fonction qui repose sur le marquage MOTW. Vu le nombre croissant d’attaques par Phishing, la correction de cette vulnérabilité est fortement recommandée. Évaluation d’exploitabilité : Exploitation détectée

CVE-2022-44713 | Vulnérabilité d’usurpation dans Microsoft Outlook pour Mac

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,5/10. 

Classée importante, cette vulnérabilité d’usurpation retient notre attention car elle est en lien avec les clients de messagerie. Elle permet à un attaquant d’apparaître comme un utilisateur de confiance. L’utilisateur cible recevra donc un message électronique signé, comme s’il provenait d’un utilisateur légitime. Si cette faille est associée à la vulnérabilité de contournement de sécurité dans Windows SmartScreen (CVE-2022-44698) susmentionnée, le résultat peut être très destructeur.

Évaluation d’exploitabilité : Exploitation moins probable  

Zoom sur les vulnérabilités Microsoft critiques 

CVE-2022-41127 | Vulnérabilité d’exécution de code à distance dans Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site) 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte Microsoft Dynamics NAV et Microsoft Dynamics 365 Business Central (sur site). Susceptible d’entraîner un changement de portée, cette faille de sécurité permet à un attaquant authentifié d’exécuter du code sur le serveur hôte (système d’exploitation sous-jacent) dans le cadre du compte de service Dynamics configuré pour être utilisé. Si Dynamics NAV a ouvert un port, cela permet de se connecter au protocole TCP de Windows Communication Foundation (WCF). En tant qu’utilisateur authentifié, l’attaquant peut alors tenter d’activer du code malveillant au niveau du compte du serveur via un appel réseau. À noter que toute fuite vers l’hôte doit être prise très au sérieux.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau. 

Évaluation d’exploitabilité : Exploitation moins probable  

CVE-2022-44690 et CVE-2022-44693 | Vulnérabilités d’exécution de code à distance dans Microsoft SharePoint Server 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Critique, elle affecte Microsoft SharePoint Server avec un attaquant authentifié qui a des permissions sur les listes et peut donc exécuter du code distant sur le serveur SharePoint.

Ces deux vulnérabilités affectent les versions suivantes de Microsoft SharePoint : 

Microsoft SharePoint Enterprise Server 2013 Service Pack 1 et 2016, et Microsoft SharePoint Foundation 2013 Service Pack 1, Microsoft SharePoint Server 2019, Microsoft SharePoint Server Subscription Edition

Remarque : les clients qui exécutent SharePoint Server 2013 Service Pack 1 peuvent installer la mise à jour cumulative ou de sécurité qui est la même mise à jour que pour Foundation Server 2013. 

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité. 

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation moins probable 

CVE-2022-41076 | Vulnérabilité d’exécution de code à distance dans PowerShell 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,5/10. 

Cette vulnérabilité critique affecte PowerShell avec un utilisateur authentifié qui, quel que soit son niveau de privilège, peut intervenir sur la configuration de session distante PowerShell et exécuter des commandes non approuvées sur le système cible. Il est important de préciser que, généralement, suite à la violation initiale, les attaquants utilisent les outils disponibles sur le système pour garder de la réserve ou de l’avance sur un réseau. PowerShell étant l’un des outils les plus adaptés qu’ils puissent trouver, nous recommandons vivement de tester et de corriger cette faille.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.

Évaluation d’exploitabilité : Exploitation plus probable. 

CVE-2022-44670 et CVE-2022-44676 | Vulnérabilités d’exécution de code à distance dans le protocole Secure Socket Tunneling Protocol (SSTP) de Windows

Ces deux vulnérabilités affichent un score de sévérité CVSSv3.1 de 8,1/10. 

Ces vulnérabilités critiques affectent le protocole Secure Socket Tunneling Protocol (SSTP) de Windows avec, selon Microsoft, un attaquant qui doit gagner une situation de course afin de pouvoir exploiter ces failles. Un attaquant non authentifié peut envoyer une requête de connexion malveillante à un serveur d’accès à distance (RAS), ce qui peut entraîner une exécution de code à distance sur la machine hébergeant le serveur RAS. Si vous ne disposez pas de ce service, nous recommandons de désactiver l’option. Sinon, testez et déployez ces correctifs immédiatement.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel et une mise à jour.

Évaluation d’exploitabilité : Exploitation improbable

CVE-2022-41089 | Vulnérabilité d’exécution de code à distance dans l’infrastructure de développement .NET 

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. 

Cette mise à jour corrige une faille de sécurité lorsque le mode restreint est déclenché pour l’analyse de fichiers XPS. Les documents XPS utilisent des éléments structurels ou sémantiques tels que des structures de table, des storyboards ou des liens hypertexte. Cette vulnérabilité peut entraîner un mauvais affichage sur les lecteurs WPF, qui pourraient autoriser l’exécution de code à distance sur un système affecté. 

Il existe aussi une solution de contournement pour ce problème.

L’impact potentiel de cette exploitation est ÉLEVÉ en termes de confidentialité, d’intégrité et de disponibilité.  

Une solution complète est disponible auprès du fournisseur qui a publié un correctif officiel ou une mise à niveau.  

Évaluation d’exploitabilité: Exploitation moins probable

Trois vulnérabilités de déni de service (DoS) sont corrigées ce mois-ci. La vulnérabilité DoS qui concerne Windows Hyper-V (CVE-2022-44682) affecte la fonctionnalité de l’hôte Hyper-V. Microsoft n’a pas fourni beaucoup de détails, mais il n’est jamais bon qu’un système d’exploitation invité puisse influencer de manière négative l’OS hôte.

19 correctifs ont été publiés pour corriger des vulnérabilités d’élévation de privilèges (EoP), dont des correctifs pour des failles du spooler d’impression, dans le prolongement de la vulnérabilité PrintNightmare. La vulnérabilité d’élévation de privilèges dans le noyau DirectX Graphics Kernel (CVE-2022-44710) est mentionnée comme étant divulguée publiquement.

La vulnérabilité de contournement des fonctions de sécurité dans l’agent Azure Network Watcher Agent (CVE-2022-44699) est une autre faille importante du mois. En effet, elle permet à un attaquant de mettre un terme à la capture de paquets depuis l’agent Network Watcher, ce qui peut entraîner l’absence de logs. Toute entreprise utilisant une extension VM pour la collecte de logs doit considérer cette faille comme étant critique.

La faille d’émulation de Microsoft Edge (basé sur Chromium) est corrigée pour empêcher un attaquant de modifier le contenu de la zone de remplissage automatique des données de formulaire.

Ce mois-ci voit aussi la publication d’un nouvel avis de sécurité (ADV220005) qui fournit des recommandations supplémentaires sur des pilotes tiers certifiés par le programme de développement matériel Microsoft Windows.

Synthèse de la publication Microsoft

Les notes de publication du mois concernent de nombreuses gammes de produits Microsoft et de nombreux produits/versions Microsoft, y compris mais sans s’y limiter, l’infrastructurev.NET, Azure, Client Server Run-time Subsystem (CSRSS), le pilote Microsoft Bluetooth Driver, Microsoft Dynamics, Microsoft Edge (basé sur Chromium), le composant graphique Microsoft (Microsoft Graphics Component), Microsoft Office, Microsoft Office OneNote, Microsoft Office SharePoint, Microsoft Office Visio, la bibliothèque de codecs Microsoft Windows, Windows Hyper-V, SysInternals, les certificats Windows, les contacts Windows, Windows DirectX, Windows Error Reporting, Windows Fax Compose Form, Windows HTTP Print Provider, Windows Kernel, Windows PowerShell, Windows Print Spooler Components, Windows Projected File System, Windows Secure Socket Tunneling Protocol (SSTP), Windows SmartScreen, Windows Subsystem pour Linux et Windows Terminal. 

Les téléchargements concernent Cumulative Update (mise à jour cumulative), Monthly Rollup (déploiement mensuel), Security Only (sécurité uniquement) et Security Update (mise à jour de sécurité). (Saeed Abassi, Manager, Vulnerability Signatures, Qualys Lab).

backdoor, Cybersécurité, VPN

24 vulnérabilités découvertes dans le service VPN de Google

L’entreprise américaine Google a engagé le groupe NCC, basé au Royaume-Uni, pour effectuer un audit de sécurité de son service VPN Google One. 24 failles ont été découvertes.

C’est le temps de la promo, c’est le temps de montrer ses biscottos ! Le VPN de Google One est un service de sécurité et de confidentialité des connexions pour les utilisateurs finaux, mis en œuvre par différents clients pour les systèmes d’exploitation les plus utilisés, qui fournissent à la fois une liaison chiffrée et une dissociation des adresses IP.

Sur la base des résultats de l’audit effectué par la société anglaise NCC Group, à la demande de Google, il a été découvert 24 vulnérabilités dans les applications de bureau et mobiles, les bibliothèques et l’architecture VPN, notamment la conception et l’architecture de sécurité, le code de la bibliothèque VPN, la sécurité des applications Windows, l’application MacOS, l’application Android et l’application iOS.

C’est probablement tout ce qu’il y a à savoir sur la sécurité des produits de Google.

Cybersécurité, Entreprise

Les Services en Data Center, essentiel pour sa cybersécurité

Les normes cybersécurité n’ont jamais été aussi nombreuses et poussées. FinTechs, RegTechs, deux normes dédiées à la cybersécurité des données de votre entreprises. Imposant les règles les plus élevées afin de rendre disponible et sécuritaire les applications critiques.

Certification de protection des données (ISO 27001), certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, certification Tier IV (capable de fournir une disponibilité des services à hauteur de 99,995%). Bref, n’en demandez pas plus. Les outils pour protéger vos sauvegardes, vos outils de production, vos clients existent et ils sont indispensables dans votre stratégie cyber sécurité. Être accompagné en toute confiance, comment l’explique par exemple la société EBRC. Leurs services affichent, par exemple, un chiffre fou. Depuis la création de cet opérateur, en 2000, les centres de données n’ont jamais subi la moindre interruption.

ISO 27001, rappel !

Cette norme internationale vise la sécurité des systèmes d’information. Créée en octobre 2005, mise à jour huit ans plus tard, en 2013, se traduit par le petit nom de « Technologies de l’information, techniques de sécurité, systèmes de gestion de sécurité de l’information et exigences ». Dans son cadre, le SMSI, le système de management de la sécurité de l’information. Un recensement des mesures de sécurité, dans un périmètre concret et défini. Mission, trouver le juste milieu, pas trop sévère, mais ne pas être laxiste non plus. Les entreprises peuvent se baser sur les quatre piliers : établir, implémenter, maintenir, améliorer. Un plan de bataille en quelque sorte.

Par établir, qu’a donc besoin l’entreprise ? Dans quel périmètre. Quel niveau de sécurité ? Il va falloir évaluer les risques.

Ensuite, identifier les menaces, les actifs, les failles, les responsabilités, définir la probabilité des risques, estimer.

Traiter les risques, sans oublier les problématiques résiduelles. C’est d’ailleurs dans cette partie que la réflexion sur le transfert des responsabilités techniques est à prévoir (cloud, assurance, etc.)

114 mesures de l’ISO 27001

Parmi les 114 mesures de l’ISO 27001, la réflexion sur une solution de contrôle des accès à privilèges et des autorisations pour les serveurs sur site et dans le cloud peuvent être largement réfléchis. Par exemple, un workflow granulaire permet aux utilisateurs de demander une élévation de leurs privilèges afin d’exécuter des commandes spécifiques qui exigent habituellement des droits complets d’administrateur.

L’édition 2022 de l’étude VMWare Global Incident Response Threat Report révèle que dans 25 % des attaques des mouvements latéraux sont détectés. Pour ce faire, les cybercriminels exploitent des outils tels que les scripts hôtes, le stockage de fichiers et la synchronisation.

Cloud Suite apporte aux entreprises de robustes capacités qui contribuent à limiter l’impact d’une attaque potentielle et à réduire grandement le risque de mouvements latéraux. Par exemple, les équipes informatiques peuvent consolider les identités entre les annuaires d’entreprise et les prestataires cloud (Active Directory, Azure AD, AWS, Google Cloud), simplifier l’authentification et appliquer des contrôles granulaires des autorisations afin de mettre en place des meilleures pratiques suivant le principe de moindre privilège, renforçant ainsi les postures de sécurité.

Bref, vous l’aurez compris, se pencher sur l’ISO 27001, certification de continuité de service et d’activité (ISO 22301), certification PCI DSS, ne se fait pas seul et sans l’approche et la connaissance d’expert du sujet.

Cybersécurité, Fuite de données

Tendances 2023 en matière d’identité numérique

Evolution législative, vérification de l’âge, digitalisation des échanges. Tendances 2023 en matière d’identité numérique.

Des évolutions législatives à l’échelle européenne : Le règlement européen eIDAS qui encadre l’identité numérique va évoluer en 2023. Désormais, un portefeuille numérique unique et sécurisé permettra de simplifier et homogénéiser les processus d’authentification des identités dans l’espace numérique européen.

Une généralisation du KYC : Initialement utilisé dans le secteur de la finance, le KYC s’étend à d’autres activités telles que les réseaux sociaux qui introduisent la vérification de l’âge des utilisateurs, les institutions publiques qui dématérialisent de plus en plus les procédures dans lesquelles il leur est nécessaire de vérifier l’identité des administrés ou encore certains secteurs du e-commerce.

Identité numérique en perpétuelle évolution

Une digitalisation des échanges toujours plus présente : La crise du COVID 19 a donné un coup d’accélérateur à la digitalisation des échanges. Cette tendance devrait se poursuivre en 2023 et amènera nécessairement des problématiques liées à l’identité.

La question de la fraude à l’identité : Pour lutter contre les arnaques aux comptes CPF, le gouvernement français a lancé France Connect +, une version plus sécurisée de sa plateforme. Avec la multiplication des opérations frauduleuses de tous types, la vérification poussée et en temps réel de l’identité devrait prendre de plus en plus d’ampleur. Une veille sur votre identité, vos données, votre entreprises doit devenir un reflexe. De nombreuses possibilités existent comme le service veille ZATAZ. Il permet de veiller, alerter, rassurer sur toutes fuites d’informations possibles pouvant vous concerner.

backdoor, Cybersécurité

Un groupe de pirates lié à la Corée du Nord vole des fichiers de valeur en s’appuyant sur Google Drive

Des chercheurs ont analysé une porte dérobée sophistiquée, jusqu’alors inconnue et utilisée par le groupe de pirates ScarCruft. Baptisée Dolphin la porte dérobée dispose d’un large éventail de fonctionnalités d’espionnage, notamment la surveillance des lecteurs et des appareils portables, l’exfiltration de fichiers de valeur, l’enregistrement des frappes de clavier, les captures d’écran et le vol d’identifiants dans les navigateurs. Ses fonctions sont réservées à des cibles sélectionnées sur lesquelles la porte dérobée est déployée, après une compromission initiale à l’aide de malwares moins avancés. Dolphin détourne des services de stockage dans le Cloud, spécifiquement Google Drive, pour les communications de commande et de contrôle.

ScarCruft, également connu sous le nom d’APT37 ou Reaper, est un groupe d’espionnage qui opère depuis au moins 2012. Il se concentre principalement sur la Corée du Sud, mais d’autres pays asiatiques ont également été visés. ScarCruft semble s’intéresser principalement aux organisations gouvernementales et militaires, ainsi qu’aux entreprises de différents secteurs liés aux intérêts de la Corée du Nord.

« Après avoir été déployé sur des cibles sélectionnées, le malware parcourt les lecteurs des systèmes compromis à la recherche de fichiers de valeur et les exfiltre vers Google Drive. La possibilité de modifier les paramètres des comptes Google et Gmail des victimes afin de réduire leur sécurité, vraisemblablement pour maintenir l’accès au comptes Gmail pour les auteurs de la menace, est une fonctionnalité inhabituelle présente dans les versions antérieures de la porte dérobée, » explique Filip Jurčacko, le chercheur chez ESET qui a analysé la porte dérobée Dolphin.

En 2021, ScarCruft a mené une attaque de type « watering-hole » contre un journal en ligne sud-coréen consacré à la Corée du Nord. L’attaque se composait de plusieurs éléments, dont l’exploitation d’une vulnérabilité Internet Explorer et un shellcode menant à une porte dérobée appelée BLUELIGHT.

Dans les études précédentes, la porte dérobée BLUELIGHT était décrite comme l’objectif final. Cependant, lors de l’analyse approfondie de l’attaque, une seconde porte dérobée plus sophistiquée déployée sur des victimes sélectionnées via cette première porte dérobée. « Nous avons nommé celle-ci Dolphin, d’après un chemin PDB trouvé dans l’exécutable » continue M. Jurčacko.

Depuis la découverte initiale de Dolphin en avril 2021, les chercheurs ont observé de multiples versions de cette porte dérobée, comprenant des améliorations et des techniques pour échapper à sa détection.

Tandis que la porte dérobée BLUELIGHT effectue une reconnaissance de base et une évaluation de la machine compromise après infection, Dolphin est plus sophistiquée et se déploie manuellement uniquement sur des cibles sélectionnées. Les deux portes dérobées sont capables d’exfiltrer des fichiers à partir d’un chemin spécifié dans une commande, mais Dolphin parcourt également activement les lecteurs et exfiltre automatiquement les fichiers ayant des extensions intéressantes.

La porte dérobée collecte des informations de base sur la machine ciblée, notamment la version du système d’exploitation, la version du malware, la liste des produits de sécurité installés, le nom de l’utilisateur et le nom de l’ordinateur. Par défaut, Dolphin parcourt tous les lecteurs fixes (disques durs) et non fixes (USB), crée des listes de dossiers, et exfiltre les fichiers selon leur extension. Dolphin recherche également les appareils portables, tels que les smartphones, via l’API Windows Portable Device. La porte dérobée vole les identifiants dans les navigateurs. Elle est également capable d’enregistrer les frappes et de faire des captures d’écran. Enfin, elle place ces données dans des archives ZIP chiffrées avant de les téléverser sur Google Drive.

backdoor, Cybersécurité

Les attaques répétées via Microsoft SQL Server ont augmenté de 56% en 2022

Les attaques exploitant Microsoft SQL Server ont augmenté de 56 % en septembre 2022 par rapport à la même période l’année dernière. Les agents malveillants continuent à utiliser une attaque fréquemment mise en œuvre, employant le SQL Server de Microsoft pour tenter d’accéder aux infrastructures informatiques des entreprises.

Des experts ont constaté une augmentation des attaques utilisant les processus de Microsoft SQL Server, un système de gestion de bases de données utilisé dans le monde entier, aussi bien par des multinationales que par des PME. En septembre 2022, le nombre de serveurs SQL touchés s’élevait à plus de 3 000 unités, soit une croissance de 56 % par rapport à la même période l’année précédente.

Le nombre d’attaques suivant ce procédé a progressivement augmenté au cours de l’année dernière, et a dépassé la barre des 3000 attaques tous les mois depuis avril 2022, à l’exception d’une légère baisse enregistrée en juillet et août.

« Malgré la popularité de Microsoft SQL Server, les entreprises n’accordent peut-être pas une importance suffisante à la protection contre les menaces qui peuvent cibler ce logiciel. Les attaques utilisant des jobs SQL Server malveillants ne sont pas une nouveauté, mais elles sont toujours utilisées par les cybercriminels pour accéder à l’infrastructure d’une entreprise« , indique Kaspersky.

Dans le nouveau rapport consacré aux incidents Managed Detection and Response les plus intéressants, les chercheurs décrivent une attaque employant des jobs Microsoft SQL Server, une séquence de commandes exécutées par l’agent du serveur.

Les pirates ont tenté de modifier la configuration du serveur afin d’accéder au shell pour exécuter un malware via PowerShell. Le serveur SQL corrompu tente d’exécuter des scripts PowerShell malveillants, générant une connexion à des adresses IP externes. Ce script PowerShell exécute le malware déguisé en fichier .png à partir de cette adresse IP externe en utilisant l’attribut « MsiMake », très similaire au fonctionnement du malware PurpleFox.

backdoor, Cybersécurité

Des pirates se font passer pour la chambre des Notaires de Paris

Une campagne d’hameçonnage conduite par le groupe cybercriminel Emotet a exploité l’image de la chambre des Notaires de Paris.

Pour cette campagne d’attaques, le groupe s’est fait passer pour la Chambre des Notaires de Paris et a incité le destinataire de l’email à télécharger un document en pièce jointe. Un grand classique ! La pièce jointe ayant pour but final de permettre l’infiltration de l’ordinateur de la cible.

D’après les chercheurs de Proofpoint ce type de courriers piégés Emotet ont ciblé de nombreux pays, dont les Etats Unis, le Royaume Uni, le Japon, l’Allemagne, l’Italie, la France, le Mexique et le Brésil.

Le groupe Emotet (ou TA542), pourtant démantelé par la police en janvier 2021, a refait surface en novembre 2022. Après une pause, le groupe a testé de nouvelles techniques et procédures pour piéger leurs victimes. Il s’est récemment tristement illustré en volant les informations des cartes de crédit sur Google Chrome, via des campagnes de spam qui incitent les utilisateurs à cliquer sur des fichiers ou des liens infectés.

Emotet sert aussi à des campagnes d’infiltrations qui auront pour missions des demandes de rançons aprés l’exfiltrations de données sensibles. Des affiliés du groupe LockBit 3.0 auraient exploité, dernièrement, cet outil pirate pour lancer des ransomwares.

backdoor, cyberattaque

Black Basta aurait des liens avec les pirates de FIN7

Des recherches sur le ransomware Black Basta démontreraient des preuves reliant le groupe de rançongiciels aux pirates informatiques FIN7, un groupe de hackers malveillants connu sous le nom de Carbanak.

Le ransomware Black Basta, apparu en avril 2022, a attaqué plus de 90 entreprises et organisations en septembre 2022. La rapidité et le volume des attaques prouvent que les acteurs à l’origine de Black Basta sont bien organisés et disposent de ressources importantes.

Pourtant, rien n’indique que ce ransomware ait tenté de recruter des affiliés ou de faire sa promotion en tant que RaaS sur les forums habituels du darknet. Cette posture a donné lieu à de nombreuses spéculations sur son origine, son identité et son fonctionnement.

Les chercheurs de la société SentinelLabs auraient remarqué des chevauchements entre des cas apparemment différents – estime qu’il est très probable que ce ransomware ait des liens avec FIN7. Plus précisément il semblerait que le développeur de ces outils d’évasion EDR est, ou ait été, un développeur de FIN7.

Les personnes à l’origine de Black Basta développent et maintiennent leur propre boîte à outils et excluent les affiliés ou ne collaborent qu’avec un ensemble limité d’affiliés de confiance, de la même manière que d’autres groupes de ransomware « privés » tels qu’avaient pu le faire Conti ou encore Evilcorp.

Ce qui n’a pas empêché ces deux entités malveillantes de disparaitre. Pour rappel, des membres du groupe CONTI feront cession aprés l’invasion Russe en Ukraine.

Parmi les outils « maison », WindefCheck.exe. Ecrit avec Visual Basic, la fonctionnalité principale repérée est d’afficher une fausse interface graphique de sécurité Windows et une icône de barre d’état système avec un état système « sain », même si Windows Defender et d’autres fonctionnalités du système sont désactivés.

Bilan, l’image permet de leurrer les utilisateurs de la machine infiltrée. Ces derniers ne voyant aucune alerte de sécurité concernant leur ordinateur.

Cybersécurité, Entreprise

Les faux avis positifs, de faux amis pour les distributeurs et commerçants

69 % des consommateurs français estiment que c’est aux professionnels du secteur de la distribution que revient le soin de mettre en place des règles pour lutter contre les faux avis. Ceci alors que la directive Omnibus est entrée en vigueur le 28 mai 2022, renforçant l’arsenal des mesures contre ces avis tronqués.

C’est dans ce contexte qu’Amazon vient d’attaquer pénalement un courtier italien en faux avis en octobre 2022 : une première en Europe. Selon l’accusation, le courtier mettait en relation des vendeurs et des clients d’Amazon, publiant des avis notés cinq étoiles en échange du remboursement intégral du produit en faveur du client.

Ce procédé est non seulement illégal mais aussi contreproductif. La présence de faux avis positifs engendre une perte de confiance en la marque selon 38 % des personnes sondées par Bazaarvoice. Les consommateurs peuvent se détourner complètement des produits d’une marque s’ils détectent ne serait-ce qu’un avis frauduleux, qu’il soit positif ou négatif (23 %).

Cybersécurité, Entreprise

Augmentation des fausses applications Cloud

Un rapport sur les menaces révèle les nouvelles sources principales de renvois vers de fausses pages de connexion, ainsi que l’augmentation des fausses applications cloud tierces exploitées pour tromper les utilisateurs.

Une nouvelle étude explique comment la prédominance des applications cloud a changé la façon dont les cybercriminels livrent les attaques de phishing pour voler des données.

Le rapport « Netskope Cloud and Threat Report: Phishing » détaille les tendances relatives aux méthodes de diffusion du phishing, telles que les fausses pages de connexion et applications cloud tierces conçues pour imiter les versions légitimes. Il analyse également les cibles de ce type attaques ainsi que l’hébergement des contenus frauduleux.

Bien que l’email reste le principal moyen d’acheminer des liens de phishing vers de fausses pages de connexion dans le but de voler des noms d’utilisateur, des mots de passe ou encore des codes d’authentification multifacteur, le rapport révèle que les utilisateurs cliquent plus fréquemment sur des liens de phishing provenant d’autres canaux, notamment des sites internet et des blogs, des médias sociaux et des résultats de moteurs de recherche. Le rapport décrit également l’augmentation du nombre de fausses applications cloud tierces conçues pour inciter les utilisateurs à autoriser l’accès à leurs données et à leurs ressources dans le cloud.

Les nombreuses origines du phishing

Traditionnellement considérée comme la principale menace de phishing, seules 11 % des tentatives d’attaques proviennent de services de messagerie web, tels que Gmail, Microsoft Live et Yahoo. Les sites internet et les blogs, en particulier ceux hébergés sur des services gratuits, sont les sources les plus courantes en matière de phishing, avec 26 %. Le rapport a identifié deux techniques principales : l’utilisation de liens malveillants par le biais de spams sur des sites web et des blogs légitimes, et l’exploitation de sites internet et de blogs créés spécifiquement pour promouvoir le contenu frauduleux.

Les renvois de moteurs de recherche vers des pages de phishing sont également devenus courants, car les cybercriminels exploitent les vides de données. Ainsi, ils créent des pages centrées sur des termes de recherche peu courants et sur lesquelles ils peuvent facilement s’imposer dans les premiers résultats pour ces termes. Parmi les exemples identifiés par le Threat Labs de Netskope dans l’exploitation de cette technique, figurent le mode d’emploi de fonctionnalités spécifiques de logiciels connus, les réponses à des questionnaires pour des cours en ligne ou encore les manuels d’utilisation de divers produits pour les entreprises et les particuliers.

« Les employés des entreprises ont été formés à repérer les messages de phishing dans les emails et les SMS. Les cybercriminels ont donc adapté leurs méthodes et incitent les utilisateurs à cliquer sur des liens de phishing dans des endroits moins attendus,  explique Ray Canzanese, de chez Netskope. Même si nous ne pensons pas forcément à la possibilité d’une attaque de phishing en surfant sur internet ou sur notre moteur de recherche préféré, nous devons tous faire preuve du même niveau de vigilance et de scepticisme qu’avec les emails entrants. Cela suppose de ne jamais saisir d’informations d’identification ou de données sensibles dans une page après avoir cliqué sur un lien. Il faut toujours se rendre directement sur les pages de connexion.« 

La montée en puissance des fausses applications cloud tierces

Le rapport révèle une autre méthode de phishing importante, qui consiste à inciter les utilisateurs à autoriser l’accès à leurs données et leurs ressources dans le cloud par le biais de fausses applications cloud tierces. Cette tendance est particulièrement inquiétante car l’accès aux applications tierces est omniprésent et constitue une surface d’attaque considérable. En moyenne, les utilisateurs finaux des entreprises ont accordé à plus de 440 applications tierces l’accès à leurs données et applications Google, avec une entreprise ayant jusqu’à 12 300 plugins différents accédant aux données, soit une moyenne de 16 plugins par utilisateur. Tout aussi alarmant, plus de 44 % de toutes les applications tierces accédant à Google Drive ont accès soit à des données sensibles, soit à toutes les données de Google Drive d’un utilisateur, ce qui incite les cybercriminels à créer de fausses applications tierces pour le cloud.

La nouvelle génération d’attaques de phishing est à nos portes. Avec la prédominance des applications cloud et l’évolution de la nature de leur utilisation, des extensions Chrome ou d’applications, les utilisateurs sont invités à autoriser l’accès dans ce qui est devenu un vecteur d’attaque négligé.

Cette nouvelle tendance des fausses applications tierces est un phénomène que nous surveillons et suivons de près pour nos clients. Nous nous attendons à ce que ces types d’attaques augmentent au fil du temps. Les entreprises doivent donc s’assurer que les nouvelles voies exploitées, telles que les autorisations OAuth, sont limitées ou verrouillées. Les employés doivent également être conscients de ces attaques et examiner minutieusement les demandes d’autorisation de la même manière qu’ils examinent les emails et les SMS.

Les employés continuent à cliquer et à être victimes de liens malveillants

Il est largement admis qu’il suffit d’un seul clic pour compromettre gravement une organisation. Alors que la sensibilisation et la formation des entreprises au phishing ne cessent de gagner en importance, le rapport révèle qu’en moyenne 8 utilisateurs sur 1 000 dans l’entreprise ont cliqué sur un lien de phishing ou ont tenté d’accéder d’une autre manière à un contenu de phishing.

Les utilisateurs sont attirés par de faux sites internet conçus pour imiter les pages de connexion légitimes. Les cybercriminels hébergent principalement ces sites internet sur des serveurs de contenu (22 %), suivis par des domaines nouvellement enregistrés (17 %). Une fois que les utilisateurs ont entré des informations personnelles sur un faux site, ou lui ont accordé l’accès à leurs données, les cybercriminels sont en mesure de collecter les noms d’utilisateur, les mots de passe et les codes d’authentification multifacteur.

La situation géographique joue un rôle dans le taux d’accès au phishing. L’Afrique et le Moyen-Orient présentent le pourcentage le plus élevé d’utilisateurs accédant à des contenus de phishing; en Afrique ce taux est supérieur de plus de 33 % à la moyenne, et il est plus de deux fois supérieur à la moyenne au Moyen-Orient. Les cybercriminels utilisent fréquemment la peur, l’incertitude et le doute (FUD) pour mettre au point des appâts de phishing et tentent également de tirer parti des grands sujets d’actualité. Au Moyen-Orient en particulier, ils semblent réussir à concevoir des leurres qui tirent parti des problèmes politiques, sociaux et économiques de la région.

Cybersécurité, Mise à jour

Patch Day : 62 CVE, dont 9 sont jugées critiques et 53 importantes

Ce mois-ci, Microsoft a corrigé quatre vulnérabilités de type « zero-day », les quatre étant exploitées dans la nature, bien que l’une d’entre elles ait été divulguée avant que les correctifs ne soient disponibles. Pour rappel, un 0Day est une vulnérabilité qui n’est pas publique, mais exploitée par des pirates.

CVE-2022-41073 est une vulnérabilité d’élévation de privilège dans Windows Print Spooler. Les vulnérabilités de Print Spooler ont gagné en notoriété suite à la divulgation des failles PrintNightmare en juin (CVE-2021-1675) et juillet (CVE-2021-34527). Bien que plusieurs vulnérabilités liées à Print Spooler aient été divulguées par des chercheurs en sécurité depuis l’année dernière, il semble que CVE-2022-41073 soit la première vulnérabilité de Print Spooler depuis PrintNightmare à être exploitée dans la nature par des attaquants. Nous avons longtemps mis en garde contre le fait qu’une fois la boîte de Pandore ouverte avec PrintNightmare, les failles de Windows Print Spooler reviendraient hanter les entreprises, et si l’on se base sur le succès que les groupes de ransomware et d’autres acteurs de la menace ont eu avec PrintNightmare, une attention continue sur la nature omniprésente de Windows Print Spooler en fait l’une des cibles les plus attrayantes pour l’escalade des privilèges et l’exécution de code à distance. Sa découverte a été attribuée au Microsoft Threat Intelligence Center.

CVE-2022-41128 est une vulnérabilité d’exécution de code à distance dans les langages de script de Windows. Plus précisément, elle affecte le langage de script JScript9 de Microsoft. L’exploitation nécessite une interaction avec l’utilisateur, de sorte qu’un attaquant devrait convaincre une victime exécutant une version vulnérable de Windows de visiter un partage de serveur ou un site Web spécialement conçu, par le biais d’un type d’ingénierie sociale. Selon Microsoft, cette faille a été exploitée dans la nature et divulguée par Clément Lecigne du Threat Analysis Group de Google.

CVE-2022-41125 est une vulnérabilité d’élévation de privilège dans l’API de chiffrement de Windows : Next Generation (CNG) Key Isolation Service, un service d’isolation de clés privées hébergé dans le processus Local Security Authority (LSA). L’exploitation de cette vulnérabilité pourrait accorder à un attaquant des privilèges SYSTEM. Elle a été exploitée dans la nature par des attaquants et est attribuée à la fois au Microsoft Threat Intelligence Center et au Microsoft’s Security Response Center.

CVE-2022-41091 est l’une des deux vulnérabilités de contournement de la fonctionnalité de sécurité dans Windows Mark of the Web (MoTW). MoTW est une fonctionnalité conçue pour signaler les fichiers qui ont été téléchargés depuis Internet, en invitant les utilisateurs à afficher une bannière d’avertissement de sécurité, leur demandant de confirmer que le document est fiable en sélectionnant Enable content. Bien qu’elle n’ait pas été attribuée à un chercheur en particulier, cette vulnérabilité a récemment été découverte comme étant exploitée dans la nature par le groupe de ransomware Magniber sous forme de fausses mises à jour logicielles, selon des chercheurs de HP. L’autre contournement de la fonction de sécurité dans MoTW, CVE-2022-41049, a été révélé à Microsoft par le chercheur Will Dormann.

« Heureusement, souligne Satnam Narang, de chez Tenable, Microsoft a corrigé les deux CVE-2022-41040 et CVE-2022-41082, également connus sous le nom de ProxyNotShell, lors du Patch Tuesday de ce mois-ci. Cela fait plus d’un mois que ces failles ont été divulguées. Bien que l’impact de ProxyNotShell soit limité en raison de l’exigence d’authentification, le fait qu’elle ait été exploitée dans la nature et que les attaquants soient capables d’obtenir des informations d’identification valides en font des failles importantes à corriger.« 

APT, backdoor, Cybersécurité

SandStrike cible les utilisateurs d’Android avec une application VPN piégée

Au cours du troisième trimestre 2022, des chercheurs ont fait la découverte d’une campagne d’espionnage sur Android jusqu’alors inconnue, baptisée SandStrike. Cette dernière cible une minorité religieuse persanophone, les Baháʼí, en distribuant une application VPN qui contient un logiciel espion très sophistiqué.

Pour inciter leurs victimes potentielles à télécharger les extensions dissimulant les logiciels espions, les acteurs de la menace ont créé des comptes Facebook et Instagram comptabilisant plus de 1000 abonnés, et ont conçu des infographies attrayantes sur le thème de cette religion, constituant ainsi un piège efficace pour ses adeptes. De plus, la plupart de ces profils malveillants contiennent un lien vers un canal Telegram également créé par les cyberpirates.

Sur ce canal, l’acteur à l’origine de SandStrike a distribué une application VPN en apparence inoffensive permettant d’accéder à des sites interdits dans certaines régions comme, par exemple, des ressources relatives à la religion. Pour rendre cette application pleinement fonctionnelle, les criminels ont mis en place leur propre infrastructure VPN.

Mais contrairement aux apparences, le VPN contient un logiciel espion actif, avec des fonctionnalités permettant aux agents malveillants de collecter et de voler des données sensibles: le spyware leur permet de traquer l’activité en ligne des personnes ciblées, de consulter leurs historiques d’appels et leurs listes de contact.

Tout au long du troisième trimestre de 2022, les acteurs APT ont continuellement modifié leurs tactiques, affiné leurs outils et développé de nouvelles techniques. Les découvertes les plus significatives sont les suivantes :

  • Une nouvelle plateforme de logiciels malveillants sophistiqués ciblant les entreprises de télécommunication, les fournisseurs d’accès à Internet et les universités.

En collaboration avec SentinelOne, les chercheurs de Kaspersky ont analysé une plateforme de logiciels malveillants sophistiqués jusqu’alors inconnue, baptisée Metatron.

Metatron cible principalement les entreprises de télécommunications, les fournisseurs de services Internet et les universités des pays d’Afrique et du Moyen-Orient. Metatron est conçue pour contourner les solutions de sécurité natives tout en déployant des plateformes de logiciels malveillants directement dans la mémoire des appareils infectés.

  • La mise à niveau d’outils avancés et sophistiqués

Les experts ont repéré Lazarus utiliser le cluster DeathNote pour faire de nouvelles victimes en Corée du Sud. L’acteur a probablement utilisé une compromission web stratégique, employant une chaîne d’infection similaire à celle que les chercheurs de Kaspersky avaient précédemment signalée, compromettant un dispositif de sécurité des terminaux. Autre élément, les chercheurs de Kaspersky ont observé que le malware et les schémas d’infection ont également été mis à jour. L’acteur a utilisé un logiciel malveillant qui n’avait jamais été observé auparavant, avec une fonctionnalité minimale pour exécuter les commandes du serveur C2. Grâce à l’implémentation de cette porte dérobée, l’opérateur a pu se cacher dans l’environnement numérique de la victime pendant un mois et recueillir des informations sur le système.

  • Le cyber-espionnage reste la finalité principale des campagnes APT

Au troisième trimestre 2022, les chercheurs de Kaspersky ont détecté de nombreuses campagnes APT, prenant essentiellement pour cible les institutions gouvernementales. Les récentes investigations montrent que cette année, à partir de février, HotCousin a tenté de compromettre des ministères des affaires étrangères en Europe, en Asie, en Afrique et en Amérique du Sud.

Cybersécurité, Piratage

Pharos veut tisser un lien avec ses contributeurs

L’exceptionnel travail de la plateforme Pharos, elle permet d’alerter les autorités de cas de pédopornographie, apologie du terrorisme, violence, etc. va permettre de tisser un lien plus étroit avec ses contributeurs.

La plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements, plus connu sous le nom de PHAROS, permet depuis 2009 de signaler des contenus et comportements en ligne illicites. Un amendement à la loi vient de valider le fait que PHAROS va pouvoir communiquer de manière plus efficace et proche de ses contributeurs.

« Le présent amendement vise à entretenir la démarche citoyenne de signalement à travers la mise en place de bilans semestriels, qui seront communiqués par mail à la communauté de contributeurs de Pharos et publiés sur le site internet-signalement.gouv.fr. » indique le Député (5e circonscription des Côtes d’Armor) Eric Bothorel.

Informer les utilisateurs/contributeurs de son activité entretient le lien. C’est désormais dans la loi, avec l’amendement adopté en commission des lois.

En 2021, PHAROS a reçu 365 000 signalements (290 000 en 2020).

Cybersécurité, Entreprise

Vos anciens employés sont-ils partis avec vos données ?

Seuls 40% des dirigeants de PME en France sont certains que leurs anciens employés ne peuvent pas accéder aux actifs numériques de leur entreprise.

Une récente enquête sur le comportement des petites et moyennes entreprises en temps de crise montre que les réductions de personnel peuvent entraîner des risques supplémentaires en matière de cybersécurité. Preuve en est, seuls 40% des dirigeants d’entreprises françaises sont sûrs que leurs anciens employés n’ont pas accès aux données stockées dans le cloud de l’entreprise, et seulement 39% d’entre eux sont certains qu’ils ne peuvent plus utiliser les comptes de l’entreprise. En comparaison à la moyenne globale, s’élevant respectivement à 51% et 53% (des chiffres toujours insuffisants), la France fait figure de mauvaise élève.

Si les études ont montré que les entreprises se sont attachées à fidéliser leurs équipes au maximum pendant la pandémie, il n’en reste pas moins que nombre d’entre elles risquent encore de devoir recourir à des suppressions de postes afin de réduire les coûts en temps de crise. Kaspersky a interrogé plus de 1 300 dirigeants de petites et moyennes entreprises pour connaître les stratégies privilégiées pour maintenir les activités à flot, et quels risques cyber ces mesures pourraient entraîner.

Parmi les personnes interrogées, plus de la moitié des répondants et 6 Français sur 10 ont dit être incapable d’affirmer avec certitude que leurs ex-employés n’ont pas accès aux actifs numériques de l’entreprise. Sur la base de ces données, il apparaît que les réductions de personnel peuvent faire courir des risques supplémentaires à la sécurité des données de l’entreprise et à ses moyens d’existence. L’utilisation abusive de ces données par d’anciens employés dans le cadre d’un nouvel emploi ou pour se faire de l’argent est une préoccupation majeure pour les dirigeants d’entreprises. Les résultats de l’enquête suggèrent que la plupart d’entre eux s’inquiètent de voir d’anciens collaborateurs partager les données internes de l’entreprise avec de nouveaux employeurs (63% à l’international, 66% en France), ou qu’ils fassent usage de données corporate comme les bases de données de leurs prospects existants pour se lancer à leur compte (60%).

Dans l’ensemble, 31% des responsables interrogés considèrent les réductions d’effectifs comme une mesure à considérer pour réduire les coûts en cas de crise. Les chefs d’entreprise français sont moins disposés à envisager des réductions d’effectifs que la moyenne globale, avec seulement 20% des répondants estimant qu’il s’agit là d’une possibilité.

Les mesures de réduction des coûts les plus pratiquées en France incluent la diminution des dépenses marketing (41%) et des dépenses liées aux véhicules (34%), suivie par la diminution des coûts attribués à la formation du personnel (24 %). Quant à la cybersécurité, 14% des dirigeants de PME françaises sont susceptibles de réduire les sommes allouées à ce poste de dépense, c’est plus que la moyenne, et très au-dessus, par exemple, des 5% obtenus au Royaume-Uni !

« Tout accès non autorisé peut devenir un réel problème pour toutes les entreprises, car cela peut affecter la compétitivité d’une société lorsque les données de celles-ci sont transférées à un concurrent, vendues ou supprimées » explique Bertrand Trastour, directeur général de Kaspersky France. « Ce problème se complique lorsque les employés utilisent des services non professionnels (« shadow IT ») qui ne sont pas directement déployés ou contrôlés par les départements informatiques de l’entreprise. Si l’utilisation de ces services n’est pas maîtrisée après le licenciement d’un employé, il est fort probable que l’ex-employé ait toujours accès aux informations partagées via ces applications.« 

Sécurité de votre entreprise

Gardez le contrôle du nombre de personnes ayant accès aux données critiques de l’entreprise, en réduisant la quantité de données accessibles à l’ensemble des employés. Il est plus probable que les incidents adviennent dans des entreprises où trop d’employés manipulent des informations confidentielles qui peuvent être vendues ou utilisées d’une manière ou d’une autre.

Mettez en place une politique d’accès aux actifs de l’entreprise, notamment aux boîtes mail, aux dossiers partagés et aux documents en ligne. Tenez-la à jour et pensez à supprimer l’accès si un employé quitte l’entreprise. Utilisez un logiciel de sécurité d’accès au cloud pour gérer et surveiller l’activité des employés dans les services de cloud de votre entreprise, et vous aider à appliquer les politiques de sécurité.

Effectuez des sauvegardes régulières des données essentielles de l’entreprise pour garantir leur sécurité en cas d’urgence.

Effectuez une veille régulière des données essentielles de l’entreprise ayant pu fuite, comme la veille proposée par le service veille ZATAZ.

Donnez des directives claires quant à l’utilisation des services et des ressources externes. Les employés doivent savoir quels outils ils doivent ou ne doivent pas utiliser et pourquoi. Lors du passage à un nouveau logiciel de travail, il faut mettre en place une procédure pour que les services informatiques et les autres responsables puissent le valider en amont.

Encouragez les employés à avoir des mots de passe forts pour tous les services numériques qu’ils utilisent, et à en changer régulièrement.

Rappelez régulièrement au personnel l’importance de respecter les règles de base en matière de cybersécurité (gestion sécurisée des comptes, des mots de passe, des e-mails et bonnes pratiques en ligne). Un programme de formation complet permettra à vos travailleurs non seulement d’acquérir les connaissances nécessaires mais aussi de les mettre en pratique.

cyberattaque, Social engineering, Téléphonie

Une nouvelle version d’un logiciel espion visant les citoyens iraniens, Furball, caché dans une application de traduction

Une nouvelle version du malware Android FurBall utilisée dans une campagne « Domestic Kitten » impacte les citoyens iraniens. Et cela dure depuis 2016 !

Des chercheurs ont récemment identifié une nouvelle version du malware Android FurBall. Cette version est utilisée dans une campagne nommée Domestic Kitten. Le groupe de pirates APT-C-50 opère des actions de surveillance visant des smartphones de citoyens iraniens. Depuis juin 2021, le malware est diffusé sous couvert d’une application de traduction par l’intermédiaire d’une copie d’un site web iranien fournissant des articles, des revues et des livres traduits. La campagne Domestic Kitten remonte au moins à 2016 et est toujours active.

Cette version de FurBall possède les mêmes fonctionnalités de surveillance que les versions précédentes. Comme la fonctionnalité de cette variante n’a pas changé, l’objectif principal de cette mise à jour semble être d’échapper aux logiciels de sécurité. Ces modifications n’ont cependant eu aucun effet sur les solutions ESET, qui ont détecté cette menace sous le nom de Android/Spy.Agent.BWS. FurBall,. Ce malware Android utilisé depuis le début de ces campagnes, a été créé à partir du stalkerware commercial KidLogger.

L’échantillon analysé par l’éditeur d’antivirus ESET ne demande qu’une seule permission intrusive ; celle d’accéder aux contacts. La raison pourrait être son objectif d’éviter d’être détecté, mais d’un autre côté, nous pensons également qu’il pourrait s’agir de la phase préliminaire d’une attaque d’hameçonnage ciblé menée par SMS. Si l’auteur de la menace élargit les autorisations de l’application, il pourrait être également possible d’exfiltrer d’autres types de données à partir des téléphones concernés, comme les SMS, la géolocalisation de l’appareil, les appels téléphoniques et bien plus encore.

Cette application Android malveillante est diffusée via un faux site web imitant un site légitime qui propose des articles et des livres traduits de l’anglais au persan (download maghaleh). D’après les coordonnées du site web légitime, ce service est proposé depuis l’Iran, ce qui nous amène à penser avec quasi-certitude que le faux site web cible des citoyens iraniens. « Le but est de proposer une application Android à télécharger après avoir cliqué sur un bouton qui indique en persan « Télécharger l’application ». Le bouton porte le logo Google Play, mais cette application n’est pas disponible dans Google Play Store. Elle est téléchargée directement depuis le serveur de l’attaquant « déclare Luká tefanko, chercheur chez ESET.

Cybersécurité, Entreprise

Les incidents de cybersécurité en troisième position des types de crise les plus difficiles à surmonter pour les PME françaises

Une récente enquête menée à l’international auprès de 1 307 dirigeants d’entreprises comptant entre 1 et 999 employés révèle que les incidents de cybersécurité engendrent presque les mêmes difficultés qu’une chute brutale des ventes. 13% des personnes interrogées dans les petites et moyennes entreprises considèrent que les cyberattaques sont les crises les plus difficiles à surmonter. En France, ils sont 11% à le penser, plaçant les risques cyber à la troisième position des aléas les plus durs à appréhender. Les résultats de la recherche suggèrent également que la probabilité d’être confronté à un incident de cybersécurité augmente avec le nombre d’employés travaillant dans l’entreprise.

Les petites et moyennes entreprises contribuent grandement à l’économie mondiale : selon l’Organisation mondiale du commerce, les PME représentent plus de 90 % de la totalité des entreprises. Cependant comme l’a montré la pandémie, ces entreprises peuvent être particulièrement vulnérables aux répercussions des crises.

Afin de mieux comprendre quels cas de figure représentent le plus de risques pour les PME, des dirigeants d’entreprises comptant entre 1 et 999 employés, issus de 13 pays différents ont été interrogés par un spécialiste de la cybersécurité . Bien que les données agrégées indiquent que les incidents relatifs à la cybersécurité constituent le deuxième type de crise le plus grave au niveau mondial (3e en France), derrière la chute brutale des ventes, ces deux types de crises sont jugées comme ayant une gravité égale, selon les dirigeants d’entreprises moyennes (50 à 999 employés) interrogées. Les problèmes liés aux loyers et à l’introduction de nouvelles réglementations sont cependant moins difficiles à gérer pour les PME.

Inquiétudes pour les PME françaises

En France, si les incidents de cybersécurité sont perçus comme critiques et complexes à maîtriser (11%), ils ne sont qu’en troisième position derrière les départs massifs d’employés (13%) et les désastres environnementaux (12%). Si l’on se concentre uniquement sur les moyennes entreprises, les incidents de cybersécurité arrivent en deuxième place (16%), après les démissions massives (20%).

Ces préoccupations en matière de sécurité informatique sont loin d’être infondées, d’autant plus que la probabilité d’être confronté à un problème de cybersécurité augmente à mesure que l’entreprise se développe. Alors que seulement 8% des organisations comptant 1 à 8 employés ont déclaré avoir été confrontées à une faille de sécurité informatique (3% en France), cette part passe à 30 % pour les entreprises comptant plus de 501 travailleurs (23% en France, mais ce chiffre monte à 33% pour le segment des entreprises comptant entre 250 et 500 employés).

« Aujourd’hui, les incidents de cybersécurité peuvent arriver aux entreprises de toutes tailles et affecter leurs opérations de manière significative, ainsi que leur rentabilité et leur réputation » commente Konstantin Sapronov, de chez Kaspersky. « Cependant, comme le montre notre rapport analytique sur la réponse aux incidents, dans la plupart des cas, les auteurs des attaques utilisent des lacunes évidentes dans la sécurité numérique d’une organisation pour accéder à son infrastructure et voler des fonds ou des données. Ce fait suggère que les mesures de protection de base, que même les petites entreprises peuvent facilement adopter, comme la mise en place d’une politique de mots de passe rigoureuse, des mises à jour régulières et la sensibilisation des employés à la sécurité, peuvent, si elles ne sont pas négligées, contribuer de manière significative à la cyber-résistance de l’entreprise« .

En France, on constate que les petites et les moyennes entreprises sont tout autant visées par les cyberattaques. Cependant, les petites entreprises ne considèrent pas le risque cyber avec autant de sérieux, ce qui dénote un énorme besoin de sensibilisation quant à l’importance de la cybersécurité pour les petites entreprises.

Recommandation pour que votre entreprise reste protégée même en temps de crise

  • Mettez en place une politique de mots de passe forte, en exigeant que le mot de passe d’un compte utilisateur standard comporte au moins huit lettres, un chiffre, des lettres majuscules et minuscules et un caractère spécial. Veillez à ce que ces mots de passe soient modifiés en cas de suspicion de piratage. La Commission Informatique et des Libertés (CNIL) vient de publier ses recommandations sur le sujet.

  • N’ignorez pas les mises à jour. Celles-ci apportent généralement de nouvelles fonctionnalités et des améliorations de l’interface, mais elles permettent également de combler des lacunes en matière de sécurité.

  • En plus de la mise à jour de tous les appareils, une autre étape importante consiste à mettre en place des sauvegardes hors ligne de vos données afin de pouvoir y accéder rapidement si l’un des fichiers de votre entreprise se retrouve crypté. Vos solutions de sécurité doivent être capables d’identifier et de bloquer les logiciels malveillants inconnus avant qu’ils ne soient exécutés, et doivent disposer d’une fonction qui déclenche la création automatique de copies de sauvegarde en cas d’attaque

Cybersécurité, IOT

Wipers et botnets IoT dominent le paysage des menaces

La guerre entre la Russie et l’Ukraine, la multiplication des équipements connectés et les botnets IoT ont eu le plus fort impact sur les menaces visant les systèmes de contrôle des processus industriels (ICS).

Selon le dernier rapport de sécurité OT et IoT de Nozomi Networks Labs, les malwares de type « wipers », l’activité des botnets IoT et la guerre entre la Russie et l’Ukraine ont eu un fort impact sur le paysage des menaces au premier semestre 2022.

Depuis le début de l’invasion de l’Ukraine par la Russie en février 2022, les chercheurs ont observé l’activité de plusieurs types d’acteurs malveillants, notamment des hacktivistes, des APT étatiques et des cybercriminels. Ils ont également été témoins de l’usage intensif de wipers, ainsi que de l’apparition d’un variant d’Industroyer, nommé Industroyer2, conçu dans le but de détourner le protocole IEC-104, couramment utilisé dans les environnements industriels. Comme le montre le blog ZATAZ, spécialiste de l’actualité liée à la lutte contre la cybercriminalité, les assauts des pirates informatiques Russes et Ukrainiens ont évolué de manière significative.

Toujours au premier semestre 2022, l’activité des botnets IoT s’est intensifiée et complexifiée. Nozomi Networks Labs a mis en place une série de honeypots destinés à attirer ces robots malveillants et à en capter l’activité afin d’en savoir plus sur la manière dont ils ciblent l’Internet des objets. Les analystes de Nozomi Networks Labs ont ainsi exprimé des préoccupations croissantes autour de la sécurité des mots de passe codés « en dur » et des interfaces Internet servant à l’identification des utilisateurs. De janvier à juin 2022, les honeypots de Nozomi Networks ont permis les découvertes suivantes :

Mars 2022 a été le mois le plus actif, au cours duquel ont été collectées près de 5000 adresses IP distinctes de cyberattaquants. Les plus nombreuses de ces adresses IP se situaient en Chine et aux Etats-Unis. Les identifiants root et admin sont les plus fréquemment ciblés et exploités selon diverses méthodes par des acteurs malveillants afin d’accéder à l’ensemble des commandes et comptes utilisateurs.

En matière de vulnérabilité, les secteurs de la fabrication et de l’énergie demeurent les plus exposés, suivis par la santé et le commerce.
La CISA a rendu publiques 560 CVE, un nombre en recul de 14 % comparé au second semestre 2021.
Le nombre de fabricants touchés a augmenté de 27 %.
Le nombre de produits touchés est lui aussi en hausse, de 19 % par rapport au second semestre 2021.

« Cette année, le paysage des cybermenaces s’est complexifié, commente Roya Gordonde chez Nozomi Networks. « De nombreux facteurs, notamment la multiplication des équipements connectés, la sophistication des acteurs malveillants ou encore l’évolution des motifs des attaques accentuent le risque de piratages de données ou de cyberattaques physiques. Heureusement, les défenses de sécurité évoluent elles aussi. Des solutions sont disponibles dès à présent pour apporter aux infrastructures critiques la visibilité réseau, la détection dynamique des menaces et les informations de veille exploitables nécessaires pour réduire leurs risques et renforcer leur résilience. »

Chiffrement, Cybersécurité

Vulnérabilité à pirate pour Microsoft Office 365 Message Encryption

Une faille dans l’outil Microsoft Office 365 Message Encryption peut permettre à des hackers malveillants d’accéder à vos courriels. Il n’existe, pour le moment, encore aucun correctif.

Microsoft Office 365 Message Encryption (OME) permet aux entreprises d’envoyer des e-mails chiffrés en interne et en externe. Cette solution utilise l’implémentation Electronic Codebook (ECB) – un mode de fonctionnement connu pour laisser fuiter certaines informations structurelles sur les messages.

En collectant suffisamment d’e-mails OME, des hackers peuvent déduire partiellement ou totalement le contenu des messages. Pour ce faire, ils doivent analyser l’emplacement et la fréquence des séquences répétées dans les messages individuels, puis faire correspondre ces séquences à celles trouvées dans d’autres e-mails et fichiers OME.

« Les hackers qui parviennent à mettre la main sur plusieurs messages peuvent utiliser les informations ECB fuitées pour déchiffrer le contenu de ces messages. Plus le hacker dispose d’un nombre important d’e-mails, plus ce processus est facile et précis. Ils peuvent mener cette opération soit en mettant la main sur des archives d’e-mails volés lors de violations de données, soit en s’introduisant sur un compte ou un serveur de messagerie, soit en accédant aux sauvegardes », explique Harry Sintonen, consultant et chercheur en sécurité chez WithSecure, qui a découvert le problème.

Les pirates peuvent mener une analyse tout en étant hors ligne, et donc compromettre des archives d’anciens messages. Malheureusement, les entreprises n’ont aucun moyen d’empêcher un hacker en possession des e-mails d’en compromettre le contenu en utilisant cette méthode.

Il n’est pas non plus nécessaire de connaître les clés de chiffrement pour effectuer l’analyse. Et l’utilisation d’un système BYOK (Bring Your Own Key) ne résout pas le problème.

Harry Sintonen a partagé ses recherches avec Microsoft en janvier 2022. Microsoft a reconnu le problème mais… aucun correctif n’a cependant été publié depuis !

Les entreprises peuvent choisir de renoncer à utiliser cette fonctionnalité mais le risque que des hackers accèdent à des e-mails existants déjà chiffrés avec OME demeure.

Toute entreprise dont le personnel utilisait OME pour chiffrer les e-mails est coincée. Pour celles qui sont soumises à des exigences de confidentialité dans le cadre de contrats ou de réglementations locales, cela peut créer des problèmes. Et il y a, évidemment, les risques liés au vol de données lui-même, ce qui en fait un souci majeur pour les organisations.

Il n’existe donc pas de correctif publié par Microsoft, et aucun mode de fonctionnement plus sécurisé n’est disponible pour les administrateurs de messagerie ou les utilisateurs. Bref, en attendant et quand cela est possible, il est recommandé d’éviter d’utiliser OME pour assurer la confidentialité des e-mails.

Cybersécurité, Entreprise

TOP 5 des attaques DNS : Le phishing toujours plébiscité par les hackers, les DDoS en forte hausse

Un commentaire

D’après le rapport IDC Global DNS Threat Report 2022, les attaques par phishing ont représenté 44% des attaques subies par les entreprises françaises tandis que les DDoS ont vu leur part croître de près de 11 points pour s’établir à 33%.

EfficientIP, entreprise hexagonale spécialisée dans l’automatisation du DDI (DNS, DHCP, IPAM), présente le Top 5 des attaques visant ou utilisant le DNS comme vecteur qui ont frappé les entreprises françaises en 2022. D’après le Global DNS Threat Report 2022, les hackers se sont ainsi concentrés sur les attaques par phishing, les malware basées sur le DNS, le DDoS, le DNS Hijacking et enfin l’abus des mauvaises configurations DNS au niveau du cloud. Parmi celles-ci, les attaques DDoS ont été en forte augmentation, boostées par le contexte de tensions internationales extrêmes.

Phishing

Aujourd’hui le phishing est la menace numéro 1 qui pèse sur le DNS. Ce mode opérationnel a représenté 44% des attaques subies par les entreprises françaises interrogées dans le cadre du DNS Threat Report. Les hackers se font passer pour un organisme connu (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme pour inciter les utilisateurs à cliquer sur des liens frauduleux. L’usage de liens trompeurs et corrompus est ainsi le principal vecteur d’attaque utilisé par les hackers pour compromettre les DNS.

DNS based malwares

En deuxième position, les attaques DNS basées sur des Malwares ont quant à elles progressé de 8 points par rapport à 2021 pour représenter 40% des tentatives de compromissions qui ont visé les entreprises françaises en 2022. Pour ces attaques, les hackers tentent d’installer des virus au niveau du serveur DNS pour atteindre plusieurs objectifs. Ils peuvent par exemple altérer les configurations TCP/IP pour rediriger les utilisateurs vers des noms de domaine frauduleux, ou alors s’appuyer sur cette porte d’entrée pour exfiltrer les données qui circulent via le DNS.

DDoS

En troisième place, les DDoS ont vu leur part exploser et prendre 11 points pour représenter 33% des attaques subies par les entreprises en 2022. Le but de ces attaques est toujours le même, à savoir rendre impossible le fonctionnement du DNS en le saturant de requêtes et ainsi empêcher les entreprises de fonctionner. Dans un climat international tendu, ces attaques visant plus à mettre hors service ont été largement privilégiées aux ransomwares ayant des visées plus pécuniaires pour les hackers.

DNS Hijacking

Quatrième, le DNS hijacking – aussi appelé « redirection DNS » ou « attaque DNS » représente quant à lui 25% des attaques qui ont frappé les entreprises françaises, soit 8 points de plus que l’an passé. Ces attaques visent principalement deux niveaux de l’ensemble du système : le registre qui contrôle la liste des noms de domaine, et le serveur DNS qui gère les enregistrements techniques. Dans les deux cas l’objectif est de détourner, d’une manière ou d’une autre, les fonctionnalités du serveur de domaine des entreprises, soit pour rediriger les utilisateurs vers des domaines frauduleux, soit pour exfiltrer des données.

Abus des mauvaises configurations cloud

Enfin, la cinquième attaque la plus représentée en France avec 22% est l’abus des mauvaises configurations au niveau du cloud. Ces attaques exploitent les failles les erreurs de configuration au niveau du DNS et qui permettent aux hackers de mettre en place des redirections frauduleuses. Il est important de noter que ces attaques touchent aussi bien des entreprises que les grands hyperscalers.

« Ces attaques, leur variété, leur nombre et l’impact qu’elles ont sur les entreprises, aussi bien financier qu’au niveau de la réputation, montrent que la sécurité du DNS doit devenir une priorité absolue des entreprises. Il s’agit d’un organe central et vital qui représente bien trop d’opportunités pour les hackers s’il est mal protégé, » détaille Ronan David, directeur de la stratégie et cofondateur d’EfficientIP. « L’intégration de solutions de sécurité au niveau du serveur de noms de domaine permet non seulement de protéger celui-ci, mais aussi de renforcer la protection de tous les utilisateurs et des outils de l’entreprise.« 

Cybersécurité, loi

Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities

Les Etats-Unis et l’Union européenne bientôt au diapason concernant le transfert des données personnelles ?

Le décret signé le 7 octobre dernier par le président américain, Joe Biden, concernant le transfert des données personnelles permet de renforcer les mesures garantissant la confidentialité et la protection des libertés civiles et des données personnelles de résidents européens transférées vers les États-Unis (Executive Order on Enhancing Safeguards for United States Signals Intelligence Activities).

Pour mémoire, le dispositif du Privacy Shield avait été invalidé en 2020 par la justice européenne (CJUE 16 juillet 2020 arrêt dit « Schrems II »), qui avait jugé que les atteintes portées à la vie privée des personnes dont les données personnelles sont traitées par les entreprises et opérateurs soumis à la législation américaine étaient disproportionnées au regard des exigences de la Charte des Droits Fondamentaux de l’Union européenne.

Il s’agissait ni plus ni moins de restaurer la confiance entre l’Union européenne et les Etats-Unis concernant leurs flux transfrontaliers de données personnelles. Ce décret devrait permettre à la Commission européenne d’initier la procédure menant à une décision d’adéquation, dont l’objectif à terme serait de reconnaître l’adéquation de la législation américaine avec les exigences de législation européenne en matière de protection des données personnelles. (Réactions de Corinne Khayat et Anne-Marie Pecoraro, Avocate associée au cabinet UGGC).

APT, backdoor, cyberattaque

Cyber attaque : campagne de cyber-espionnage du groupe POLONIUM contre des cibles basées en Israël

Des pirates s’intéressant uniquement à des cibles israéliennes, POLONIUM, ont attaqué plus d’une douzaine d’organisations dans différents secteurs, tels que l’ingénierie, les technologies de l’information, le droit ou encore les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM a ciblé plus d’une douzaine d’organisations en Israël depuis au moins septembre 2021, et les actions les plus récentes du groupe ont même été observées en septembre 2022. Les secteurs ciblés par ce groupe comprennent l’ingénierie, les technologies de l’information, le droit, les communications, le marketing et le branding, les médias, les assurances et les services sociaux.

POLONIUM est un groupe de cyber espionnage décrit par Microsoft pour la première fois en juin 2022. Selon Microsoft, le groupe est basé au Liban et coordonne ses activités avec d’autres acteurs affiliés au ministère iranien du Renseignement et de la Sécurité.

Selon ESET Research, POLONIUM est un acteur très actif qui dispose d’un vaste arsenal de malwares, et qui les modifie et en développe constamment de nouveaux. L’utilisation de services dans le Cloud tels que Dropbox, Mega et OneDrive pour les communications de commande et de contrôle (C&C) est une caractéristique commune à plusieurs des outils du groupe. Les renseignements et les signalements publics sur POLONIUM sont très rares et limités, probablement parce que les attaques du groupe sont très ciblées et que le vecteur d’infection initial n’est pas connu.

« Les nombreuses versions et modifications que POLONIUM a introduites dans ses outils personnalisés démontrent un effort continu visant le long terme pour espionner les cibles du groupe. ESET en déduit que ce groupe de pirates est intéressé par la collecte de données confidentielles auprès de ses cibles, et ne semble pas s’engager dans des actions de sabotage ou de ransomwares, » explique Matías Porolli, chercheur chez ESET qui a analysé la campagne.

La boîte à outils de POLONIUM se compose de sept portes dérobées personnalisées : CreepyDrive, qui détourne les services de OneDrive et Dropbox dans le Cloud pour les communications de C&C ; CreepySnail, qui exécute les commandes reçues depuis l’infrastructure des attaquants ; DeepCreep et MegaCreep, qui utilisent respectivement les services de stockage de fichiers Dropbox et Mega; et FlipCreep, TechnoCreep et PapaCreep, qui reçoivent des commandes depuis les serveurs des attaquants. Le groupe a également développé plusieurs modules personnalisés pour espionner ses cibles en prenant des captures d’écran, en enregistrant les frappes au clavier, en espionnant via la webcam, en ouvrant des shells inversés, en exfiltrant des fichiers, etc.

« La plupart des modules malveillants du groupe sont concis, avec des fonctionnalités limitées. Dans un cas, les attaquants ont utilisé un module pour effectuer des captures d’écran et dans un autre pour les transmettre au serveur de C&C. Dans le même ordre d’idée, ils aiment diviser le code de leurs portes dérobées, en répartissant la fonctionnalité malveillante dans plusieurs petites DLL. Espérant peut-être que les défenseurs ou les chercheurs n’observeront pas la chaîne d’attaque complète », termine Matias Porolli.

Cybersécurité

Données personnelles : Les Français exigent plus de transparence de la part des entreprises

Les Français exigent plus de transparence de la part des entreprises concernant l’utilisation de leurs données personnelles et admettent avoir besoin d’aide pour garantir leur confidentialité.

Une étude CISCO indique que 77 % des Français estiment que le traitement des données personnelles par une entreprise est révélateur de la façon dont elle considère et respecte ses clients.

55 % des Français déclarent ne pas être en mesure de protéger efficacement leurs données personnelles.

38 % des Français estiment que le gouvernement doit être l’acteur principal de la protection de leur vie privée.

Menée dans 12 pays dont la France, l’étude montre que près de huit consommateurs français sur dix font un lien direct entre le traitement des données personnelles par une entreprise et le respect de ses clients. Ainsi, la transparence apparaît comme la priorité absolue aux yeux des Français.

Pour accorder leur confiance à une entreprise, 32 % des Français exigent d’avoir un accès simplifié aux informations concernant l’utilisation de leurs données et 30 % déclarent ne vouloir en aucun cas que leurs informations personnelles puissent être commercialisées.

À l’international

L’érosion de la confiance auprès des entreprises qui ne respectent pas les données des consommateurs a des conséquences directes. Ainsi :

76 % des consommateurs dans le monde déclarent qu’ils n’achèteraient pas de produits/solutions à une entreprise à laquelle ils ne font pas confiance pour la gestion de leurs données.
37 % indiquent qu’ils ont changé de fournisseur en raison des pratiques en matière de confidentialité des données.
53 % disent qu’ils gèrent leurs paramètres de cookies à partir d’un site web avant de les accepter.
46 % des personnes possédant un appareil à commande vocale à domicile déclarent l’éteindre régulièrement pour protéger leur vie privée.
En France, il y a un fort besoin d’accompagnement et de clarté quant à l’utilisation des données personnelles par les entreprises. En effet, 59 % des Français avouent ne pas parvenir à lire complètement les conditions générales avant de les accepter. De plus, les Français aimeraient pouvoir faire confiance aux entreprises dans la personnalisation de leurs paramètres de confidentialité sous peine d’aller voir ailleurs… Ainsi, lorsqu’une entreprise ne peut pas répondre aux attentes de protection de leur vie privée, 25 % des consommateurs français déclarent changer de prestataire de services pour des raisons de confidentialité.

Des Français volontaires et à l’écoute mais qui restent à convaincre

55 % des Français déclarent ne pas être en mesure de protéger efficacement leurs données personnelles. Les raisons évoquées sont l’impossibilité de savoir ce que les entreprises font de leurs données (83 %) tandis que 45 % des Français se sentent obligés d’accepter la manière dont les données sont utilisées s’ils veulent disposer du service proposé par l’entreprise en question. Plus préoccupant, 43 % ont le sentiment que leurs données personnelles sont de toutes façons déjà accessibles. L’effort de transparence est ici une question majeure pour restaurer la confiance.

38 % des Français estiment que le gouvernement doit endosser le rôle de protecteur des données tandis que 21 % pensent que la garantie de la confidentialité incombe aux entreprises. Environ 1 Français sur 2 pense que les lois en matière de protection des données personnelles ont un impact positif. Autre fait intéressant, les consommateurs français ont une meilleure connaissance des lois relatives à la protection de la vie privée (52 %) que leurs voisins allemands (46 %), italiens (33 %) et espagnols (28 %). Cela laisse l’opportunité au gouvernement de proposer des nouvelles lois pour des Français plus que jamais à l’écoute.

Enfin, une lueur d’espoir existe concernant la réappropriation des données personnelles par les Français puisqu’ils sont 18 % à avoir déjà exercé leur droit d’accès qui consiste à demander à une entreprise de récupérer les données qu’elle détient sur eux. En effet, même si cette part est relativement faible par rapport à des pays comme l’Inde (59 %) ou l’Italie (26 %), on peut envisager que les Français seront davantage conscients des données récoltées par des tiers à mesure que cette pratique, encore inconnue il y a quelques années, prendra de l’ampleur. La sensibilisation aux recours possibles pour les Français souhaitant plus de visibilité sur leurs données sera donc un des principaux moteurs du regain de leur confiance.