Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, Entreprise

Environ 35 % des vulnérabilités ICS identifiées ne sont toujours pas corrigées

Les fournisseurs de systèmes de contrôle industriels (ICS) n’ont pas encore corrigé environ 35 % des vulnérabilités découvertes au second semestre 2022.

Le rapport de vulnérabilité ICS SynSaber a analysé 926 problèmes informatiques avec des identifiants CVE qui ont été signalés par les conseillers ICS de la Cybersecurity and Infrastructure Protection Agency (CISA) des États-Unis au cours du second semestre 2022.

On découvre que les entreprises ICS sont non seulement aux prises avec une augmentation des CVE publiés (36 % de plus qu’au premier semestre 2022), mais aussi avec les fournisseurs de produits qui sont souvent lents à fournir toutes les mises à jour nécessaires.

Dans le même temps, Il est souligné que dans certains cas, les retards sont dus au fait que les fournisseurs d’équipement d’origine (OEM) ont des processus de test, d’approbation et de correction stricts.

Dans le même temps, même si des correctifs sont disponibles, les propriétaires de ressources ICS peuvent rencontrer des difficultés pour mettre à jour les systèmes en temps opportun. « Les opérateurs doivent tenir compte de l’interopérabilité et des limites de garantie pour les changements à l’échelle de l’environnement en plus d’attendre le prochain cycle de maintenance », déclare l’étude.

Le rapport a également indiqué que, d’autre part, 22% des vulnérabilités CVE identifiées au second semestre 2022 devraient être prioritaires pour les correctifs, contre 41% au cours des six mois précédents. Cela est en partie dû à la probabilité d’exploitation : environ 11 % des CVE introduits au second semestre 2022 nécessitent une interaction locale et une interaction de l’utilisateur pour une exploitation réussie, et 25 % nécessitent une interaction de l’utilisateur quelle que soit la disponibilité du réseau.

Il convient de noter que Nozomi Networks a précédemment déclaré dans un rapport que les industries et l’énergie étaient les plus vulnérables aux attaques de cybercriminalité au second semestre 2022, suivies de l’eau et de l’assainissement, de la santé et des transports.

Banque, Cybersécurité

Big brother veut protéger les transactions bancaires en Russie

La plus grande banque de Russie, Sberbank, prévoit d’introduire massivement le paiement par biométrie dans tout le pays, selon une annonce récente. Les terminaux seront remplacés par de nouveaux dispositifs dotés de caméras spéciales, ouvrant ainsi la voie à aux paiements biométriques.

Les citoyens russes pourront effectuer des achats en utilisant simplement ces appareils équipés de caméras spéciales. En regardant la caméra, ils pourront effectuer des paiements biométriques sans avoir à sortir leur carte de crédit ou leur téléphone. Cette méthode s’annonce comme simplifiant considérablement les transactions quotidiennes des clients de Sberbank. Au total, 2 millions de terminaux répartis dans les régions de la Fédération de Russie seront modifiés.

Sergey Shubochkin, directeur général de la division acquisition de Sberbank, a souligné l’importance de cette initiative. En déployant activement ces nouveaux terminaux en 2023, Sberbank permettra aux citoyens russes de bénéficier de la biométrie pour effectuer une variété d’achats. Les clients auront la possibilité de choisir le paiement biométrique lorsqu’ils passeront à la caisse. Une fois sélectionné, le système de reconnaissance faciale se mettra en marche, permettant un traitement instantané des paiements.

Les nouveaux dispositifs, dotés de caméras pour la lecture des codes QR et les paiements basés sur les données biométriques, seront installés dans les chaînes de magasins. Plusieurs milliers de terminaux équipés de caméras pour les paiements biométriques seront lancés sur le marché d’ici l’automne 2023.

La biométrie permettra aussi de s’assurer de l’identité de l’utilisateur, de le suivre… au doigt et à l’oeil !

2,7 millions de cyber attaques bloquées !

Pendant ce temps, la Banque centrale de la Fédération de Russie annonce que les banques du pays auraient repoussé 2,7 millions de cyberattaques au premier trimestre 2023. Les spécialistes de la sécurité de l’information de la Banque centrale de la Fédération de Russie notent que les cybercriminels et les escrocs ont réussi à effectuer 252 100 opérations sans le consentement des clients, à la suite desquelles 4,5 milliards de roubles de citoyens russes ont été volés. Le chef de la cybersécurité de la Banque centrale de Russie, Vadim Uvarov, indique que les malveillant ont volé la plus grande partie de l’argent par le biais de transferts via les services bancaires en ligne.

+81 de cyber attaques au Royaume-Uni

Au Royaume-Uni, la société Bridewell a interrogé plus de 100 DSI d’institutions financières britanniques pour son nouveau rapport Cybersecurity in Critical National Infrastructure Organizations: Financial Services. Il a constaté que le nombre d’attaques contre le secteur financier britannique a augmenté de 81% depuis le début du conflit armé ukrainien, ce qui est la deuxième plus forte augmentation pour les secteurs des infrastructures critiques (CNI) et la preuve des cyber-risques croissants associés à la géopolitique.

De plus, 69 % des personnes interrogées ont indiqué avoir connu une augmentation des cybermenaces au cours de la dernière année civile, les services cloud (46 %), les travailleurs à distance (39 %) et les services VPN non sécurisés (37 %) étant les principaux vecteurs d’attaques.

Un tiers (33 %) des répondants ont cité les ransomwares comme un cyber-risque clé, ce qui n’est probablement pas surprenant étant donné qu’un cinquième des incidents signalés aux régulateurs britanniques en 2021 étaient liés à des ransomwares. L’enquête a également affiché que 94 % des entreprises du secteur financier britannique ont confiance en leurs systèmes de sécurité de l’information.

Cybersécurité, Fuite de données

Exploitation d’une faille zero-day dans MOVEit Transfer

Des hackers exploitent une nouvelle vulnérabilité zero-day affectant un outil populaire de transfert de fichiers, MOVEit Transfer, utilisé par des milliers de grandes entreprises.

MOVEit Transfer, un outil a été créé par Progress Software, a publié un avis sur une faille 0Day utilisé contre son logiciel et les usagers. « Il a été découvert une vulnérabilité dans MOVEit Transfer qui pourrait entraîner une élévation des privilèges et un accès non autorisé potentiel à l’environnement. Si vous êtes un client de MOVEit Transfer, il est extrêmement important que vous preniez des mesures immédiates telles que décrites afin de protéger votre environnement MOVEit Transfer, en attendant que notre équipe publie un correctif », a déclaré l’entreprise.

La société a exhorté les clients à désactiver tout le trafic HTTP et HTTPS vers leur environnement MOVEit Transfer. Elle a également indiqué que les clients devraient être vigilants quant aux téléchargements de fichiers inattendus et volumineux, ainsi qu’à la création de fichiers inattendus dans certains dossiers sur toutes leurs instances MOVEit Transfer, y compris les sauvegardes.
La société a déclaré que des correctifs pour la faille sont actuellement en cours de test et seront publiés dès que possible.

Caitlin Condon, directrice principale de la recherche sur les vulnérabilités chez Rapid7, a déclaré qu’au 31 mai 2023, il y avait environ 2 500 instances de MOVEit Transfer exposées sur Internet public, la majorité étant aux États-Unis.

Le chercheur en cybersécurité Kevin Beaumont a partagé des images d’au moins une instance connectée au Département de la Sécurité Intérieure des États-Unis. « Chaque instance en ligne est toujours vulnérable. Cela inclut certaines grandes banques, etc. – Les webshells ont commencé à être implantés il y a quelques semaines, plusieurs incidents se sont produits dans différentes organisations pendant cette période où des activités ont été détectées.« 

Condon a expliqué qu’il y avait des preuves que les hackers avaient déjà automatisé l’exploitation de la faille, et BleepingComputer a rapporté que les hackers ont déjà commencé à télécharger en masse des données provenant des entreprises affectées. L’attaque contre MOVEit serait la dernière en date visant un outil populaire de transfert de fichiers utilisé par de grandes organisations cette année.

En février 2023, des groupes de ransomwares, dont Cl0p, ont exploité une vulnérabilité affectant le produit de transfert de fichiers GoAnywhere MFT de Fortra. Les gouvernements de Toronto et de Tasmanie avaient été touchés par cet incident, aux côtés de géants de l’entreprise tels que Proctor & Gamble, Virgin et Hitachi. Une faille pourtant corrigée 1 an auparavant.

Le groupe de ransomwares derrière cette exploitation, Cl0p, était déjà responsable d’une attaque généralisée contre un autre outil de transfert de fichiers en 2021, Accellion. A l’époque, l’Université du Colorado, Kroger, Morgan Stanley et Shell avaient été impactés.

Cybersécurité, Piratage

Un botnet basé au Brésil cible les hispanophones

Un groupe de pirates présumés vivant au Brésil utilise un botnet jusqu’alors non identifié pour cibler les boîtes de réception des e-mails des hispanophones à travers les Amériques.

Ce botnet, baptisé « Horabot« , est utilisé dans le cadre d’une campagne qui a débuté en novembre 2020. Il infecte les machines victimes avec un cheval de Troie bancaire et un outil de spam. Les attaquants cherchent principalement à voler les informations d’identification et les données financières des victimes, ainsi qu’à envoyer des e-mails de phishing à tous les contacts validés présents dans la boîte aux lettres de la victime afin de propager l’infection. Un botnet est un groupe d’ordinateurs infectés par des logiciels malveillants, permettant à un pirate de les contrôler à distance.

Ce botnet est particulièrement remarquable car il permet aux pirates de prendre le contrôle de la boîte aux lettres Microsoft Outlook de la victime, d’exfiltrer les adresses e-mail de chaque contact et d’envoyer en masse des e-mails de phishing avec des pièces jointes HTML malveillantes, à partir des propres serveurs de messagerie de l’organisation. Les attaquants utilisent cette technique pour minimiser les risques de détection de leur infrastructure de phishing.

Chetan Raghuprasad, chercheur sur les menaces chez Cisco Talos, a déclaré à Recorded Future News : « Il s’agit d’une technique d’ingénierie sociale efficace qui aide à compromettre les victimes, car les e-mails semblent être envoyés à partir d’une adresse e-mail connue et sont délivrés via un serveur de messagerie légitime d’organisations légitimes. Ces adresses e-mail ou serveurs de messagerie sont généralement inscrits sur la liste blanche et passent par les vérifications SPF (Sender Policy Framework) sur les serveurs de messagerie de l’organisation du destinataire. De plus, il devient difficile pour les défenseurs de suivre l’infrastructure de phishing de l’attaquant et de bloquer ces e-mails.« 

Des pirates situés au Brésil

Le domaine utilisé pour héberger les outils des attaquants et les données exfiltrées était associé à une personne basée dans ce pays.

Le nom de domaine ressemblait au domaine légitime de l’agence fiscale mexicaine, une tactique que l’attaquant a probablement adoptée pour dissimuler le trafic malveillant.

La campagne vise principalement des personnes au Mexique, mais des infections ont également été observées en Uruguay, au Brésil, au Venezuela, en Argentine, au Guatemala et au Panama.

Les courriels de phishing analysés par les chercheurs indiquent que le groupe cible des organisations de divers secteurs d’activité, notamment la comptabilité, la construction, l’ingénierie, l’investissement et la distribution en gros.

Le malware bancaire utilisé dans le cadre de cette campagne vise à collecter les identifiants de connexion des victimes pour divers comptes en ligne, ainsi que des informations sur leur système d’exploitation et même des frappes au clavier.

Les chercheurs ont également constaté que le cheval de Troie est capable de voler des codes de sécurité à usage unique ou des jetons logiciels souvent utilisés par les applications bancaires en ligne pour vérifier les utilisateurs.

En plus de cibler les boîtes de réception Outlook, cet outil de spam compromet également les comptes de messagerie Web Yahoo et Gmail, permettant aux attaquants de prendre le contrôle de ces boîtes aux lettres, d’exfiltrer les adresses e-mail des contacts et d’envoyer du spam.

Une cyber attaque réfléchie

L’infrastructure utilisée par les pirates a été enregistrée en novembre 2020, ce qui suggère une date possible de début de la campagne.

L’attaque commence généralement par un e-mail de phishing en espagnol sur le thème de l’impôt sur le revenu. L’e-mail prétend être une notification de reçu fiscal et incite les victimes à ouvrir la pièce jointe HTML malveillante.

Une fois ouverte, la pièce jointe HTML redirige la victime vers une autre page HTML malveillante. Les victimes sont ensuite invitées à cliquer sur un lien intégré qui télécharge un fichier RAR.

Lorsque le fichier RAR est ouvert, plusieurs fichiers sont téléchargés, ce qui provoque le redémarrage de la machine après 10 secondes. Au moins l’un de ces fichiers malveillants est rendu légitime en utilisant l’icône Internet Explorer.

Les charges utiles utilisées par les attaquants dans cette campagne sont conçues pour voler des informations sensibles, échapper à la détection et diffuser des e-mails de phishing supplémentaires aux contacts de la victime.

« Le cheval de Troie bancaire cible des informations sensibles telles que les identifiants de connexion et les codes de sécurité des transactions financières, enregistre les frappes au clavier et manipule les données du presse-papiers de la machine victime. Le cheval de Troie possède également des capacités d’anti-analyse et d’anti-détection pour échapper aux environnements de bac à sable et virtuels.« 

Les chercheurs ont noté que le module bancaire de ce cheval de Troie utilise des techniques similaires à celles des chevaux de Troie bancaires brésiliens signalés précédemment par d’autres chercheurs en sécurité chez ESET et Check Point.

En outre, ce cheval de Troie possède des capacités de gestion de bureau à distance, permettant aux pirates de créer et de supprimer des répertoires, de télécharger des fichiers, et bien plus encore.

backdoor, Cybersécurité

Kimsuky, le code malveillant made un Corée du Nord

Les États-Unis et la Corée du Sud avertissent sur les méthodes d’espionnage du groupe de piratage nord-coréen Kimsuky, alias Thallium.

Dans un récent avertissement conjoint, les agences de renseignement des États-Unis et de la Corée du Sud ont décrit les méthodes d’espionnage employées par Kimsuky, un groupe de piratage nord-coréen notoire. Ce groupe cible principalement les groupes de réflexion, les universités et les médias dans le but de recueillir des renseignements. Selon l’avis publié jeudi, les pirates de Kimsuky utilisent des tactiques d’usurpation d’identité, se faisant passer pour des sources fiables afin de gagner la confiance de leurs cibles et d’obtenir des informations sur les événements géopolitiques, les stratégies de politique étrangère et les efforts diplomatiques des pays considérés comme une menace pour le régime nord-coréen.

Ces informations leur permettent également de créer des e-mails de phishing plus crédibles et plus percutants.

Il convient de noter que ce n’est pas la première fois que les États-Unis et leurs alliés mettent en garde contre les activités de Kimsuky, connu également sous les noms de TA406 et Thallium. Le groupe est actif depuis 2012 et cible principalement les diplomates, les organisations non gouvernementales, les groupes de réflexion et les experts en questions liées à la péninsule coréenne.

Kimsuky est contrôlé par le Bureau général de reconnaissance

Les agences de renseignement et les chercheurs en cybersécurité affirment que Kimsuky est contrôlé par le Bureau général de reconnaissance (RGB), l’organisation de renseignement militaire nord-coréenne, qui a été sanctionné par le Conseil de sécurité des Nations unies.

En réponse aux récentes activités de la Corée du Nord, la Corée du Sud a imposé de nouvelles sanctions aux membres présumés de Kimsuky, les accusant d’être impliqués dans le récent échec de lancement d’un satellite espion par la Corée du Nord. Selon le ministère sud-coréen, Kimsuky aurait participé, directement ou indirectement, au développement de satellites nord-coréens en volant des technologies avancées liées au développement d’armes, aux satellites et à l’espace.

La Corée du Nord a rejeté les critiques émanant des États-Unis et d’autres pays concernant son programme spatial, affirmant son droit souverain à l’exploration spatiale.

Les pirates de Kimsuky utilisent souvent des attaques de harponnage pour obtenir un premier accès à leurs cibles. Ils se font passer pour de vrais journalistes, universitaires ou chercheurs de groupes de réflexion ayant des liens crédibles avec les cercles politiques nord-coréens. Leur objectif est de s’introduire illégalement dans les documents, les recherches et les communications privées de leurs victimes.

Les renseignements obtenus grâce à ces opérations seraient d’une importance capitale pour la Corée du Nord

Les campagnes d’usurpation d’identité, telles que celles menées par Kimsuk y, sont dangereuses car certaines cibles peuvent sous-estimer la menace posée par ces attaques. Soit elles ne considèrent pas leurs recherches et leurs communications comme sensibles, soit elles ne sont pas conscientes de la manière dont ces efforts alimentent la stratégie plus large du régime nord-coréen en matière de cyberespionnage, a souligné l’avis.

Les opérations de harponnage de Kimsuky commencent généralement par une recherche et une préparation approfondies. Les pirates utilisent des informations disponibles publiquement pour identifier des cibles potentielles, puis adaptent leurs personnages en ligne afin de paraître plus réalistes et attrayants pour leurs victimes. Ils créent également des adresses e-mail qui ressemblent à celles de personnes réelles ou à des services Internet et sites de médias courants.

Les agences de renseignement qui ont publié le rapport estiment que la sensibilisation accrue à de telles campagnes et une connaissance de base en matière de cybersécurité pourraient réduire l’efficacité des opérations de harponnage menées par Kimsuky.

Les États-Unis encouragent les victimes à signaler les activités suspectes, y compris celles liées aux présumés pirates nord-coréens. Dans ce contexte, le programme de récompenses pour la justice du Département d’État peut accorder une récompense pouvant atteindre 5 millions de dollars en échange d’informations pertinentes.

La menace persistante posée par les activités de piratage d’État de Kimsuky souligne l’importance de la coopération internationale en matière de cybersécurité et de la vigilance continue des gouvernements, des institutions académiques et des médias. Alors que les groupes de piratage étatiques continuent d’évoluer et de perfectionner leurs techniques, il est essentiel de renforcer les mesures de protection et de sensibilisation pour faire face à cette menace croissante dans le cyberespace.

Kimsuky alias TA406 / Thallium

Ce groupe nord-coréen de menaces persistantes avancées (APT), est aussi connu sous le nom de TA406. En mars 2023 une nouvelle campagne de spearphishing ciblant des experts de la péninsule coréenne, selon les avertissements émis par les agences gouvernementales allemandes et sud-coréennes. La campagne utilise deux méthodes d’attaque : l’infection des téléphones Android via une application malveillante sur Google Play et l’utilisation d’une extension malveillante du navigateur web Chromium. A l’époque, l’avis conjoint publié par l’Agence allemande de protection constitutionnelle et le Service national de renseignement de la République de Corée décrivait une campagne très ciblée axée sur des victimes connues. Les agences de renseignement sud-coréennes estiment que cette attaque visait principalement les experts de la péninsule coréenne et de la Corée du Nord. Cependant, étant donné que les techniques utilisées peuvent être universellement appliquées, elles pouvaient également être utilisées par des groupes de réflexion en affaires étrangères et en sécurité du monde entier, ainsi que par des individus non spécifiés.

Comme lors de précédentes campagnes, Kimsuky utilise des attaques de spearphishing pour obtenir un accès initial en se faisant passer pour des administrateurs de portails et des connaissances. Dans certains cas, les e-mails incitent à l’installation d’une extension malveillante sur les navigateurs basés sur Chromium, qui est automatiquement activée. Lorsque les victimes ouvrent Gmail, le programme vole leurs e-mails, qui sont envoyés à un serveur appartenant aux attaquants.

Dans une autre attaque, les acteurs de Kimsuky ajoutaient une application malveillante à la console Google Play pour des « tests internes » et donnaient la permission à une personne ciblée d’y accéder. Après avoir obtenu les identifiants de connexion lors d’une attaque de spearphishing, ils téléchargaient l’application via le compte de la victime, qui est ensuite synchronisée sur leur smartphone Android. Selon l’avis, les acteurs ont volé à la fois des e-mails et des données stockées dans le cloud.

Une alerte d’octobre 2020 de l’Agence américaine de cybersécurité et d’infrastructure décrivait déjà Kimsuky comme étant « probablement chargé par le régime nord-coréen d’une mission mondiale de collecte de renseignements ». Dans certains cas, les pirates se faisaient passer pour des journalistes sud-coréens pour accéder à leurs cibles.

Cybersécurité, Sécurité, Smartphone

La Russie veut 2 millions de téléphones dotés d’un système d’exploitation Aurora local à l’usage des fonctionnaires

Le géant russe des télécommunications, Rostelecom, a annoncé son projet de fournir aux responsables gouvernementaux russes des téléphones portables équipés du système d’exploitation Aurora, une alternative nationale aux logiciels occidentaux.

Selon Kirill Menchov, vice-président senior de Rostelecom, le gouvernement russe est en pourparlers avec la société pour l’acquisition potentielle de jusqu’à 2 millions d’appareils mobiles fonctionnant sur le système d’exploitation Aurora au cours des trois prochaines années. Cette annonce intervient le même jour où le Service fédéral de sécurité (FSB) russe a accusé les services de renseignement américains d’avoir piraté « des milliers de téléphones Apple » dans le but d’espionner des diplomates russes.

Depuis longtemps, la Russie accuse les États-Unis de mener une « surveillance mondiale« , tout comme les Américains accusent la Russie de faire de même avec un espionnage étatique à peine voilé. Selon les médias russes, en mars dernier, l’administration présidentielle russe a demandé à ses employés de remplacer leurs iPhones par des smartphones d’autres marques fonctionnant sur un système d’exploitation différent.

Une histoire de gros sous !

Le Kremlin aurait également annoncé à cette époque qu’il achèterait de nouveaux téléphones sécurisés pour ses employés afin de faciliter la transition loin des technologies américaines. L’année dernière, le gouvernement russe avait également recommandé à ses employés de cesser d’utiliser des services étrangers tels que Zoom et WhatsApp pour les communications officielles, les incitant plutôt à se tourner vers des plates-formes nationales telles que VK pour la messagerie et TrueConf pour la visioconférence.

Dans un communiqué, le FSB a affirmé qu’Apple ne protégeait pas la confidentialité des données des utilisateurs et coopérait avec les services de renseignement américains pour espionner les Russes, une accusation démentie par Apple.

Le système d’exploitation russe Aurora, basé sur Linux, a été développé par Rostelecom en 2016, principalement pour une utilisation commerciale et gouvernementale. En 2020, le président russe Vladimir Poutine a demandé son extension aux établissements de santé et d’éducation.

Selon le site Web d’Aurora, ce système d’exploitation donne aux utilisateurs un contrôle total sur le traitement des données et se conforme aux directives de sécurité du gouvernement russe.

Les efforts de la Russie pour promouvoir sa technologie nationale reflètent également l’impact des sanctions imposées à Moscou en raison de la guerre en Ukraine, qui ont entraîné un exode massif des entreprises technologiques du pays.

« La Russie a besoin de son propre écosystème mobile, car les sanctions peuvent affecter tous les développements occidentaux« , a déclaré Menshov aux médias russes l’année dernière. « Les systèmes d’exploitation américains ont déjà restreint l’accès aux applications mobiles russes critiques, désactivé la possibilité d’effectuer des paiements avec des cartes bancaires russes et interrompu la monétisation.« 

Cependant, Aurora « est complètement indépendante de toute influence étrangère et est prête à évoluer« , a-t-il ajouté.

Selon Rostelecom, le système Aurora est actuellement utilisé par le gouvernement russe ainsi que par diverses entreprises liées à l’État, telles que le service postal national, la compagnie ferroviaire publique et des sociétés énergétiques.

Depuis son lancement en 2016, plus de 500 000 appareils fonctionnant sous le système Aurora ont été produits en Russie, selon Menchov. Le coût de développement d’Aurora devrait atteindre environ 6 milliards de dollars d’ici 2030.

Les initiatives visant à promouvoir la technologie nationale en Russie reflètent la volonté du pays de réduire sa dépendance aux produits et services occidentaux, en particulier après les sanctions imposées en raison du conflit en Ukraine. Les autorités russes sont de plus en plus préoccupées par la sécurité des données et la confidentialité des communications, et cherchent à développer des solutions domestiques pour garantir leur souveraineté numérique.

Alors que le gouvernement russe cherche à renforcer l’utilisation du système d’exploitation Aurora, cette décision pourrait avoir des conséquences sur l’industrie des télécommunications et de la technologie en Russie, ainsi que sur les relations avec les sociétés étrangères. Il reste à voir comment cette transition vers un écosystème mobile national se déroulera et quels seront les défis et les opportunités qui en découleront.

backdoor, Cybersécurité

32 modules complémentaires malveillants frappent 75 millions d’appareils depuis le Chrome Web Store

Google a supprimé 32 extensions malveillantes du Chrome Web Store qui usurpaient les résultats de recherche et montraient des publicités intrusives aux utilisateurs. Le nombre total de téléchargements de ces addons est de 75 millions.

Pour confondre les gens, les auteurs des extensions Chrome leur ont ajouté des fonctionnalités légitimes. Dans le même temps, la charge malveillante se cachait dans le code obscurci.

Palant, un chercheur en cybersécurité, a étudié un addon appelé PDF Toolbox (deux millions de téléchargements depuis la boutique officielle) et est arrivé à la conclusion qu’il contenait du code déguisé en wrapper d’API d’extension légitime.

Comme Palant l’a expliqué , le code malveillant a permis au domaine serasearchtop[.]com d’injecter du code JavaScript arbitraire dans n’importe quel site visité par l’utilisateur cible.

En d’autres termes, toute une gamme d’actions était ouverte aux attaquants : de l’injection de publicité dans les pages Web au vol d’informations confidentielles.

Palant a précisé que le but de cet add-on (PDF Toolbox) restait un mystère pour lui, puisqu’il était incapable d’attendre une activité malveillante de sa part.

Néanmoins, l’expert a remarqué que l’extension a commencé à fonctionner 24 heures après l’installation, ce qui indique indirectement une fonctionnalité suspecte.

Des dizaines de millions de téléchargements !

Il y a quelques jours, Palant a publié un nouveau post indiquant qu’il avait pu identifier le même code dans 18 autres extensions Chrome avec un total de 55 millions de téléchargements.

Parmi eux se trouvaient : Autoskip pour Youtube – 9 millions d’utilisateurs actifs ; Soundboost – 6,9 millions d’utilisateurs actifs ; Bloc Crystal Ad – 6,8 millions d’utilisateurs actifs ; VPN dynamique – 5,6 millions d’utilisateurs actifs ; Clipboard Helper – 3,5 millions d’utilisateurs actifs ; Maxi Refresher – 3,5 millions d’utilisateurs actifs.

Au moment de la rédaction du message de Palant, tous les modules complémentaires mentionnés sont distribués gratuitement via le Chrome Web Store officiel.

Après un certain temps, le spécialiste a également identifié deux autres variantes de code suspect : l’une était déguisée en Mozilla WebExtension API Polyfill, l’autre était la bibliothèque Day.js.

Les deux codes ont implémenté le même mécanisme d’injection de code JavaScript, où le domaine serasearchtop[.]com a été utilisé.

Un certain nombre d’utilisateurs de ces extensions se sont plaints de redirections et de piratage de recherche. La société tchèque d’antivirus Avast a également signalé la découverte de modules complémentaires malveillants, avec un total de 75 millions de téléchargements. Selon le rapport des experts , ces extensions ont également intercepté et modifié les résultats de recherche.

backdoor, Cybersécurité

L’outil « Terminator » dévoilé : une menace sournoise pour les antivirus ?

Un programme universel prétendument « légal » cache une attaque pirate de type BYOVD et cible les systèmes de sécurité. Il est vendu 300 $.

Sur le forum Ramp, une plate-forme spécialisée dans la malveillance numérique, une découverte inquiétante a été faite : l’outil « Terminator » promu par un individu se faisant appeler Spyboy, se présente comme une solution universelle et « légale » pour désactiver n’importe quel antivirus ou solution EDR. Cependant, il a été révélé que ce programme miracle dissimule une attaque BYOVD (Bring Your Own Vulnerable Driver), mettant en évidence une faille de sécurité présente dans le pilote zam64.sys de Zemana.

Cette vulnérabilité permet l’exécution de commandes en mode kernel, qui sont utilisées pour arrêter les processus des antivirus.

L’auteur de cette attaque sournoise a pris soin d’éviter toute responsabilité légale en ne vendant pas séparément le logiciel pour certaines solutions EDR, telles que Sophos et CrowdStrike. De plus, un avertissement préalable interdit explicitement l’utilisation de rançongiciels et de logiciels de blocage, exonérant ainsi l’auteur de toute responsabilité. C’est du moins ce qu’il pense !

Terminator ne coute que 300 $

L’outil « Terminator » propose 24 plates-formes différentes, et son prix est étonnamment abordable : 300 dollars chacune ou 3 000 dollars pour le package complet. Cette tarification agressive pourrait potentiellement attirer l’attention de cybercriminels mal intentionnés en quête d’un moyen efficace de contourner les systèmes de sécurité.

Cependant, il est important de noter que pour lancer cette attaque, l’utilisateur malveillant doit disposer de privilèges d’administrateur sur l’ordinateur cible. De plus, il doit réussir à tromper la victime afin qu’elle autorise la demande de contrôle de compte d’utilisateur (UAC). Ces conditions rendent l’attaque plus difficile à exécuter, mais pas impossible pour les cybercriminels expérimentés.

Dans un article publié sur Reddit, l’expert a déclaré que « Terminator » se contente de détourner un pilote légitime et signé, zamguard64.sys ou zam64.sys, au niveau du noyau. Ce pilote est ensuite copié dans le répertoire C:\Windows\System32\ avec un nom aléatoire de 4 à 10 caractères. Une fois chargé avec les droits du noyau, le pilote modifié par « Terminator » est utilisé pour arrêter les processus antivirus au niveau de l’utilisateur.

L’ampleur de la menace posée par « Terminator » est préoccupante, d’autant plus que seuls quelques moteurs antivirus ont été capables de détecter cette menace lorsqu’elle a été soumise à l’analyse de VirusTotal.

Pour contrer cette attaque, des experts en sécurité recommandent l’utilisation de règles YARA et Sigma pour détecter le pilote vulnérable utilisé par « Terminator ». Les règles YARA et Sigma fournies par la communauté de la cybersécurité peuvent être consultées et utilisées pour renforcer la détection de cette menace. Elles sont disponibles sur les liens suivants :

YARA Rules : Lien vers les règles YARA. Sigma Rules : Lien vers les règles Sigma et Lien vers les noms des pilotes vulnérables.

La découverte de cet outil sur un forum de hackers russophones a suscité une inquiétude accrue au sein de la communauté de la cybersécurité. Bien que des entreprises comme CrowdStrike aient rapidement déclaré qu’il s’agissait simplement d’une autre implémentation du concept BYOVD, il est indéniable que « Terminator » représente une menace potentielle pour les systèmes de sécurité.

Les utilisateurs doivent rester vigilants et prendre des mesures de précaution pour se protéger contre de telles attaques. Il est essentiel de maintenir les systèmes d’exploitation et les logiciels de sécurité à jour, d’utiliser des mots de passe forts et de ne pas autoriser des demandes UAC douteuses. De plus, il est recommandé d’adopter une approche multicouche en matière de sécurité, en combinant des solutions antivirus, EDR et XDR pour une meilleure protection contre les menaces.

Bitcoin, Cybersécurité, loi

Les autorités japonaises renforcent le contrôle du blanchiment d’argent via les cryptomonnaies

Le parlement japonais met en place des mesures plus strictes contre le blanchiment d’argent par le biais des cryptomonnaies. Les nouvelles procédures AML (Anti-Money Laundering) entrent en vigueur ce 1er juin 2023.

Selon le média local Kyodo News, ces nouvelles procédures AML permettront à la législation japonaise de rattraper les principales nations mondiales en la matière. Les parlementaires ont commencé à modifier les mesures existantes contre le blanchiment d’argent en décembre dernier. À l’époque, le Groupe d’action financière internationale (FATF) avait déclaré que les procédures en vigueur au Japon étaient insuffisantes.

L’une des principales innovations sera la « règle de transfert« , qui permettra un meilleur suivi des transactions en cryptomonnaies. Tout établissement financier effectuant une transaction d’un montant supérieur à 3 000 dollars devra transmettre des informations sur la transaction au régulateur. La liste des données doit inclure les noms et adresses de l’expéditeur et du destinataire, ainsi que toutes les informations concernant les comptes.

article partenaire, loi, RGPD

La Protection des Données et le RGPD : Un Renforcement Incontournable de la Confidentialité en France et en Europe

Dans un monde de plus en plus connecté où les données personnelles sont omniprésentes, la protection de la vie privée est devenue un enjeu primordial. En réponse à cette préoccupation, l’Union européenne a mis en place le Règlement général sur la protection des données (RGPD) en 2018. En France et dans toute l’Europe, cette réglementation a introduit de nouvelles normes et devoirs pour les entreprises et les organisations en matière de collecte, de stockage et d’utilisation des données personnelles. Cet article explorera les aspects clés de la protection des données et du RGPD, en mettant en avant des exemples, des références et des sources en France et en Europe.

Le RGPD : Une Révolution pour la Protection des Données

Le RGPD a introduit un cadre juridique unifié pour la protection des données personnelles dans tous les États membres de l’Union européenne. Il donne aux individus un plus grand contrôle sur leurs données personnelles et impose des obligations strictes aux entreprises qui les traitent. Par exemple, les entreprises doivent obtenir un consentement explicite et spécifique des individus avant de collecter leurs données, et elles doivent également fournir des informations claires sur la manière dont ces données seront utilisées. Des entreprises de plus en plus amenées à faire appel à un cabinet de conseil rgpd afin de pouvoir répondre à toutes les attentes et obligations.

Exemples de Protection des Données en France

En France, le RGPD a eu un impact significatif sur la manière dont les entreprises et les organismes traitent les données personnelles. Des exemples concrets illustrent les avancées réalisées en matière de protection des données. Par exemple, les banques françaises ont dû adapter leurs pratiques pour se conformer au RGPD. Elles ont renforcé la sécurité des données des clients, mis en place des protocoles de notification en cas de violation de données et offert des options plus transparentes en matière de consentement.

Impacts du RGPD dans l’Union européenne

Le RGPD a également eu un impact considérable au-delà des frontières françaises. Dans toute l’Union européenne, il a incité les entreprises à repenser leur approche de la protection des données et à mettre en place des mesures plus rigoureuses. Des géants technologiques tels que Google et Facebook ont dû apporter des modifications à leurs politiques de confidentialité pour se conformer aux nouvelles réglementations. De plus, les autorités de protection des données dans toute l’Europe ont été renforcées, disposant désormais de pouvoirs accrus pour enquêter sur les violations et infliger des amendes dissuasives en cas de non-conformité.

Les Avantages du RGPD pour les Individus

Le RGPD accorde aux individus un certain nombre de droits essentiels pour protéger leurs données personnelles. Ces droits incluent le droit d’accéder à leurs données, le droit de les rectifier en cas d’inexactitude, le droit à l’effacement (ou droit à l’oubli), et le droit à la portabilité des données. Ces droits donnent aux individus une plus grande autonomie et transparence dans le contrôle de leurs informations personnelles.

Les Défis et les Perspectives Futures

Bien que le RGPD ait apporté des améliorations significatives en matière de protection des Données en France et en Europe, il reste des défis à relever et des perspectives futures à envisager. L’un des défis majeurs réside dans la mise en conformité des petites et moyennes entreprises (PME) qui peuvent rencontrer des difficultés en raison des ressources limitées. Il est essentiel de fournir un soutien et des ressources adéquates pour aider ces entreprises à se conformer aux exigences du RGPD.

Par ailleurs, avec l’évolution rapide des technologies et des pratiques de collecte de données, de nouveaux enjeux émergent. Par exemple, les questions liées à l’intelligence artificielle et à l’utilisation de données massives (big data) soulèvent des préoccupations quant à la protection de la vie privée. Les autorités de protection des données devront rester à l’avant-garde de ces développements technologiques pour garantir une protection adéquate des données personnelles. La NIS 2, mise à jour de la directive européenne NIS a été votée en janvier 2023. Elle affiche de nouvelles motivations sécuritaires. La directive NIS2 (Network and Information Systems) a pour objectif principal de renforcer la sécurité des réseaux et des systèmes d’information au sein de l’Union européenne. Elle cherche à protéger les infrastructures critiques, telles que les réseaux électriques, les services de santé, les transports et les services financiers, contre les cyberattaques. NIS2 vise également à garantir la résilience des services numériques et à promouvoir une culture de la cybersécurité.

Dans une perspective future, il est essentiel de renforcer la coopération internationale en matière de protection des données. Les échanges de données transfrontaliers nécessitent une harmonisation des réglementations et des mécanismes de coopération entre les autorités de protection des données de différents pays. De plus, il convient de promouvoir l’éducation et la sensibilisation du public sur les enjeux liés à la protection des données et à la vie privée, afin que les individus soient mieux informés de leurs droits et des mesures de sécurité à prendre. C’est pour cela que la NIS 2 impose des obligations de notification des incidents de sécurité, obligeant les entreprises à signaler toute violation de sécurité significative aux autorités compétentes. Ce qu’elle devait, normalement, déjà faire avec le RGPD. Elle prévoit également des exigences en matière de gestion des risques, de tests de pénétration et de plans de continuité d’activité, afin de garantir une préparation adéquate face aux cybermenaces.

Le RGPD a été une avancée majeure dans le domaine de la protection des données en France et en Europe. Il a renforcé les droits des individus et imposé des obligations claires aux entreprises et aux organisations. Des exemples concrets en France et dans toute l’Union européenne démontrent l’impact positif du RGPD sur la confidentialité des données personnelles. Cependant, les défis subsistent et les perspectives futures nécessitent une vigilance continue. La protection des données et la garantie de la vie privée restent des priorités essentielles dans notre société numérique. En soutenant les PME, en anticipant les nouveaux défis technologiques et en renforçant la coopération internationale, nous pourrons assurer une protection des données adéquate et durable pour tous.

Références
Règlement général sur la protection des données (RGPD) – Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016.
Commission nationale de l’informatique et des libertés (CNIL) – www.cnil.fr
European Data Protection Board (EDPB) – edpb.europa.eu
Les changements induits par le RGPD dans le domaine de la cybersécurité en Europe par l’Agence européenne pour la cybersécurité (ENISA)
Rapport sur les premières années de mise en œuvre du RGPD en Europe par l’EDPB
Article sur les droits des individus selon le RGPD en France publié par le site Legifrance.