Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Cybersécurité, double authentification

Google Authenticator prend en charge la sauvegarde

L’application d’authentification à deux facteurs Google Authenticator synchronise désormais les codes à usage unique 2FA qu’elle génère avec les comptes d’utilisateurs Google.

Auparavant, les codes à usage unique Authenticator étaient stockés localement sur un seul appareil, et leur perte pouvait empêcher de se connecter à n’importe quel service configuré avec Authenticator.

Pour bénéficier de la nouvelle fonctionnalité de synchronisation, vous devez mettre à jour votre application. Lorsque vous vous connectez à votre compte Google sur Google Authenticator, les codes sont automatiquement enregistrés et restaurés sur tout nouvel appareil. Ils peuvent également être transférés manuellement vers un autre appareil. Comment vous allez vous en rendre compte ? D’abord le logo d’authenticator a changé.

Ensuite, un petit nuage rouge et une virgule apparaissent dans l’application, à côté de votre compte Google.

Le géant américain affirme que cette mesure ne compromet pas la sécurité. « Nous avons lancé Google Authenticator en 2010 comme moyen gratuit et facile pour les sites d’ajouter des 2FA (Double authentification, ce qui améliore la sécurité de l’utilisateur lors de la connexion. Dans cette mise à jour, nous apportons une solution à ce problème, en rendant les codes à usage unique plus sûrs en les stockant en toute sécurité dans les comptes des utilisateurs de Google« .

L’application Authenticator était à l’origine un projet open-source, mais le code a été fermé par la suite, et les forks open-source officielles des applications Android, iOS et BlackBerry n’ont pas été mises à jour depuis des années. Il existe des alternatives à Authenticator, comme Authy et Duo.

En 2022, Google a annoncé l’introduction d’un support de connexion sans mot de passe avec Passkeys pour Android et Chrome. Les développeurs Android pourront mettre en œuvre la prise en charge de l’accès sans mot de passe à l’aide de l’API WebAuthn et la tester dans le navigateur Chrome Canary ou dans le programme bêta Google Play Sequence.

Bitcoin, Cybersécurité

Loi anti-blanchiment via les crypto-monnaies

Un projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies est retardé en raison d’un manque de soutien.

Le projet de loi américain visant à lutter contre le blanchiment d’argent via les crypto-monnaies, qui avait été initié par les sénateurs Elizabeth Warren et Roger Marshall, subit un retard en raison d’un manque de soutien. Cette loi, présentée pour la première fois en décembre, vise à imposer la procédure KYC à l’industrie de la cryptographie, ce qui affecterait les fournisseurs de portefeuilles hors ligne, les mineurs, les validateurs et les autres participants indépendants au réseau.

Bien qu’une version révisée du projet de loi ait été promise en février, elle n’a pas encore été rendue publique, et la date de présentation de la mise à jour n’a pas été annoncée. Les législateurs auront ainsi plus de temps pour évaluer l’impact potentiel de cette loi sur l’industrie. Alors que certains passionnés de crypto-monnaie critiquent la proposition de Warren, la qualifiant de dure et entravant le développement de l’industrie, ses partisans affirment qu’elle fournira des règles claires pour protéger les consommateurs et empêcher les activités illégales utilisant des crypto-monnaies.

Armée anti-crypto-monnaie !

En mars, Elizabeth Warren avait appelé à la création d’une « coalition anti-crypto-monnaie » pour protéger la sécurité des investisseurs, mais cette initiative a été critiquée pour restreindre la liberté économique.

Pendant ce temps, un chercheur aurait trouvé des portefeuilles de bitcoins appartenant aux services de sécurité russes. Ce passionné de bitcoins non identifié a étudié la blockchain bitcoin et a découvert des centaines de portefeuilles qui, selon lui, appartiennent aux services secrets russes.

Le chercheur a utilisé la fonction de documentation des transactions de la blockchain bitcoin pour identifier 986 portefeuilles contrôlés par la Direction du renseignement militaire extérieur (GRU), le Service de renseignement extérieur (SVR) et le Service fédéral de sécurité (FSB). Dans des rapports rédigés en russe, il indique que ces portefeuilles sont impliqués dans des cyberattaques !

Ce que l’on sait, c’est que le dénonciateur a pris le contrôle d’au moins quelques portefeuilles BTC qui, selon lui, appartiennent aux services secrets russes, peut-être par le biais d’un piratage ou (si l’on en croit le dénonciateur) par l’intermédiaire de sources internes. À l’appui de l’enquête du mystérieux internaute, les analystes de Chainalysis signalent qu’au moins trois des portefeuilles cités ont déjà été liés à la Russie.

Deux d’entre eux auraient été impliqués dans l’attaque Solarwinds, tandis que le troisième a payé pour des serveurs utilisés dans une campagne de désinformation pour les élections de la Douma d’État russe de 2016.

A noter aucune information sur ce « sujet » sur le portail de Chainalysis. Le communiqué de presse relatant cette histoire aurait été envoyé à Coindesk !

Cybersécurité, double authentification

Un système pour craquer les mots de passe à base de RTX 4090

Mettez vingt-quatre cartes graphiques RTX 4090 en parallèle et regardez le matériel cracker les mots de passe plus vite que la lumière !

L’ancien pirate informatique, Kevin Mitnick (Alias le Condor) est aujourd’hui un spécialiste de la sécurité informatique. Il travaille pour la société KnowBe4. Dernièrement, sur Twitter, Mitnick a affiché à quoi ressemble sa nouvelle plate-forme de craquage de mots de passe.

L’ancien hacker, qui a passé environ cinq ans en prison dans les années 90, est depuis longtemps un spécialiste de la sécurité de l’information, un consultant et un conférencier recherché.

Le directeur exécutif de Mitnick Security Consulting explique que cette machine se compose de quatre serveurs, le tout pris en charge par vingt-quatre cartes graphiques RTX 4090 basées sur Ada Lovelace et six autres RTX 2080 basées sur Turing. L’histoire ne dit pas combien de temps et d’énergie vont devoir être exploités pour craquer des mots de passe, hashés par exemple, en sha256.

A noter qu’utiliser des RTX 4090 dans un centre de données serait une violation du contrat de licence du pilote de NVidia. Nvidia a interdit, en 2018, l’utilisation de ses cartes graphiques GeForce et Titan dans les centres de données, obligeant les organisations à débourser pour des équipements plus chers, comme ses puces Tesla V100.

Cybersécurité

Contrôler ChatGPT avant qu’il ne vous contrôle !

OpenAI, créateur de chatGPT, a annoncé qu’il sera désormais possible de ne pas conserver les entretiens et de ne pas les utiliser comme données de formation. On vous montre ce que sait l’IA sur vous et comment détruire vos informations personnelles.

Cependant, même si cela ne sera pas tout à fait anonyme, la CTO Mira Murati a déclaré à l’agence Reuters que l’entreprise donnera une plus grande priorité au respect de la vie privée. La rapide percée de l’outil ChatGPT a suscité des inquiétudes en Italie concernant le traitement des données par l’entreprise américaine. En réponse, OpenAI a déclaré qu’elle travaille en collaboration avec les régulateurs européens.

À partir de cette semaine, il sera possible de désactiver les paramètres « historique des discussions et formation » de ChatGPT. Cela signifie que l’outil ne conservera pas les déclarations antérieures et ne les utilisera pas à des fins de formation. Toutefois, les conversations ne seront pas tout à fait anonymes car elles seront conservées pendant 30 jours pour des contrôles d’abus avant d’être totalement supprimées.

Contrôler et effacer ses datas ChatGPT

Les Data Controls sont des paramètres de ChatGPT qui permettent aux utilisateurs de désactiver l’historique des conversations et de choisir si leurs conversations seront utilisées pour l’entraînement des modèles. Les utilisateurs peuvent également exporter leurs données ChatGPT et supprimer leur compte de manière permanente. Pour désactiver l’historique des conversations et l’entraînement des modèles, les utilisateurs doivent accéder à ChatGPT > Data Controls comme DataSecurityBreach.fr vous le montre ci-dessous. Les conversations récentes ne seront pas utilisées pour améliorer les modèles et n’apparaîtront pas dans l’historique des conversations, mais seront conservées pendant 30 jours pour des contrôles d’abus avant d’être supprimées.

Il est important de noter que cela n’empêchera pas les add-ons non autorisés ou les logiciels malveillants sur votre ordinateur de stocker votre historique. Les utilisateurs peuvent également exporter leurs conversations en accédant à Paramètres > Data Controls > Exporter données et peuvent supprimer leur compte en accédant à Paramètres > Data Controls > Supprimer compte. Si l’utilisateur choisit de supprimer son compte, comme Datasecuritybreach.fr vous le montre ci-dessous, cela est irréversible et toutes les données associées à ce compte seront également supprimées.

OpenAI utilise les données personnelles des utilisateurs pour améliorer ses modèles de langage naturel en les entraînant sur un corpus de texte large, qui comprend du contenu disponible publiquement, sous licence et généré par des examinateurs humains. OpenAI n’utilise pas les données à des fins publicitaires ou pour créer des profils de personnes, mais uniquement pour améliorer ses modèles.

Si l’historique est désactivé, les nouvelles conversations seront supprimées dans les 30 jours et ne seront pas utilisées pour l’entraînement des modèles, mais les conversations existantes seront toujours sauvegardées et pourront être utilisées pour l’entraînement des modèles si l’utilisateur ne choisit pas de les exclure. Si l’historique est désactivé, les conversations ne seront pas récupérables une fois qu’elles sont fermées.

Il n’y a pas de limite au nombre de conversations que les utilisateurs peuvent avoir avec l’historique et l’entraînement désactivés, et cela s’applique aux abonnements gratuits et Plus. OpenAI honorera également les demandes précédentes d’exclusion de l’entraînement des modèles.

OpenAI travaille sur une nouvelle offre appelée ChatGPT Business, qui permettra aux professionnels de désactiver l’entraînement des modèles par défaut. En attendant, les utilisateurs peuvent remplir un formulaire pour demander l’exclusion de leurs données de l’entraînement des modèles. OpenAI prévoit de lancer ChatGPT Business dans les mois à venir pour les entreprises qui souhaitent gérer leurs utilisateurs finaux.

Dernier point que DataSecurityBreach.fr souhaite mettre en avant. Prudence aux courriels qui pourraient usurper ChatGPT. Le courrier électronique ressemble à la capture écran ci-dessous, provient de l’adresse tm.openai.com et OpenAI n’envoie aucune archive sans votre demande explicite. Cela vous éviter de fournir vos identifiants de connexions dans un phishing bien ficelé et ciblé !

Cybersécurité, Mise à jour, Securite informatique

Données clients dans des routeurs vendus d’occasion

Une étude affiche une inquiétante mauvaise habitude dans la revente de matériel informatique. 22% des routeurs de seconde main affichent encore des données sur les clients !

Une étude présentée ce 24 avril 2023 affiche des chiffres qui laissent perplexe sur la compréhension de certains utilisateurs professionnels de matériels informatiques. Le laboratoire ESET Research découvre que les routeurs d’occasion détiennent de nombreux secrets d’entreprises. Plus de 56 % des routeurs réseaux achetés à des fournisseurs de matériel d’occasion contenaient un trésor de données sensibles, notamment des identifiants, des configurations VPN, des clés cryptographiques, etc. Entre de mauvaises mains, ces données suffisent pour débuter une cyberattaque pouvant conduire à une atteinte à la sécurité des données, mettant en danger l’entreprise, ses partenaires et ses clients.

Cette étude montre que les entreprises ne suivent pas des protocoles de sécurité suffisant lors de la mise au rebut de leur matériel. Après avoir examiné les données de configuration de 16 appareils distincts, 9 routeurs contenaient encore des données d’entreprise sensibles.

Des données clients toujours présentes

22 % contenaient des données sur les clients ; 33 % exposaient des données permettant à des tiers de se connecter au réseau ; 44 % disposaient d’identifiants pour se connecter à d’autres réseaux en tant que tiers de confiance ; 89 % contenaient des détails de connexion pour des applications spécifiques ; 89 % contenaient des clés d’authentification de routeur à routeur ; 100 % contenaient un ou plusieurs identifiants de VPN ou IPsec, ou des hash de mots de passe root ; 100 % disposaient de données suffisantes pour identifier l’ancien propriétaire/exploitant avec certitude.

Les données découvertes sur les équipements entrent dans ces catégories : informations de tiers de confiance ; Données sur les clients ; Données d’applications spécifiques ; Informations complètes sur le routage central ou encore données d’usurpation d’opérateurs de confiance.

Nous pourrions attendre à ce que les entreprises de taille moyenne et les grandes entreprises disposent d’un ensemble de protocoles de sécurité stricts pour mettre les appareils hors service « mais nous avons constaté le contraire » confirme ESET. Les organisations doivent être beaucoup plus conscientes de ce qui reste sur les appareils qu’elles mettent hors service « Les appareils d’occasion que nous avons obtenus contenaient un schéma numérique détaillé de l’entreprise concernée, notamment des informations réseau essentielles, des données d’applications, des identifiants de l’entreprise et des informations sur les partenaires, les fournisseurs et les clients.« 

Cybersécurité, Entreprise

OTP : sécuriser ses données par un tour de clé

Dans un monde de plus en plus connecté, la sécurité des données est devenue une priorité pour toutes les entreprises. Les cyberattaques sont de plus en plus sophistiquées et fréquentes, ce qui peut compromettre les informations personnelles et sensibles de l’entreprise. C’est pourquoi la solution One Time Password (OTP) est devenue une véritable nécessité pour les sociétés.

Tout d’abord, qu’est-ce que l’OTP et le MFA ? L’OTP est une solution d’authentification forte qui permet de générer un code unique pour chaque connexion. Le code est envoyé à l’utilisateur via SMS ou une application mobile et doit être utilisé en plus du mot de passe pour accéder à un portail ou une application. Le MFA (Authentification Multi Facteurs) est une méthode d’authentification qui combine deux ou plusieurs couches de sécurité pour renforcer l’authentification.

L’OTP est devenue une solution nécessaire pour les entreprises en 2023 pour plusieurs raisons. Tout d’abord, l’utilisation d’un mot de passe unique pour chaque utilisateur n’est pas suffisante pour garantir la sécurité des données. Les mots de passe peuvent être facilement piratés ou volés, ce qui peut entraîner des conséquences désastreuses pour l’entreprise. En utilisant l’OTP, les entreprises peuvent ajouter une couche de sécurité supplémentaire pour empêcher les cybercriminels d’accéder aux données sensibles de l’entreprise.

De plus, l’OTP est facile à mettre en place et à utiliser pour les utilisateurs. Les codes sont générés en temps réel et sont envoyés directement au téléphone de l’utilisateur via SMS ou une application mobile. Cela signifie qu’il n’est pas nécessaire de mémoriser plusieurs mots de passe ou d’installer des logiciels supplémentaires pour utiliser l’OTP.

Enfin, l’OTP est une solution rentable pour les entreprises. Contrairement à d’autres solutions d’authentification forte, comme les clés de sécurité, l’OTP ne nécessite pas d’investissement en matériel ou en infrastructure. Cela rend l’OTP accessible aux entreprises de toutes tailles, quelle que soit leur capacité financière.

OTP utilisé dans différents scénarios d’authentification forte

Par exemple, les entreprises peuvent l’utiliser pour accéder à des portails d’entreprise, des applications sensibles ou des réseaux privés. Les utilisateurs peuvent également utiliser l’OTP pour effectuer des transactions financières en ligne, ce qui peut aider à réduire le risque de fraude.

Cependant, comme pour toute solution de sécurité, il est important de prendre des précautions supplémentaires pour garantir la sécurité des données. Les entreprises doivent s’assurer que l’OTP est correctement configuré et que les codes sont envoyés de manière sécurisée aux utilisateurs. Les entreprises doivent également former les utilisateurs à l’utilisation de l’OTP et à la manière de protéger leur téléphone contre les attaques malveillantes.

Il convient également de noter que l’OTP n’est qu’une des nombreuses solutions de sécurité disponibles pour les entreprises. D’autres solutions d’authentification forte, telles que les clés de sécurité, les certificats numériques et la biométrie, peuvent également être utilisées pour renforcer la sécurité des données. Il est important pour les entreprises de choisir la solution de sécurité qui convient le mieux à leurs besoins.

La sécurité des données : une préoccupation croissante

Dans l’ensemble, la sécurité des données est une préoccupation croissante pour toutes les entreprises en 2023. Les cyberattaques sont de plus en plus sophistiquées et fréquentes, ce qui peut mettre en danger les informations sensibles de l’entreprise. En utilisant une solution d’authentification forte telle que l’OTP, les entreprises peuvent ajouter une couche de sécurité supplémentaire pour protéger leurs données et empêcher les cybercriminels d’accéder aux informations sensibles.

En conclusion, la solution One Time Password (OTP) est devenue une nécessité pour les entreprises en 2023 pour garantir la sécurité des données et protéger les informations sensibles de l’entreprise contre les cyberattaques. L’OTP est une solution facile à mettre en place et à utiliser pour les utilisateurs, tout en étant rentable pour les entreprises. Cependant, il est important de prendre des précautions supplémentaires pour garantir la sécurité des données, notamment en formant les utilisateurs à l’utilisation de l’OTP et en configurant correctement la solution.

La MFA, brique cyber indispensable

Les attaques informatiques sont de plus en plus sophistiquées et les mots de passe ne suffisent plus à protéger les comptes en ligne. La MFA est une méthode de sécurité qui nécessite deux ou plusieurs formes d’identification avant d’autoriser l’accès à un compte, comme un mot de passe et un code envoyé par SMS. La MFA est également connue sous d’autres noms tels que : Authentification à deux facteurs (2FA) ; Authentification à plusieurs facteurs (MFA) ; Authentification forte (Strong Authentication) ; Authentification multi-étapes (Multi-Step Authentication) ; Authentification multi-niveaux (Multi-Level Authentication) ; Authentification renforcée (Enhanced Authentication) ; Authentification de sécurité (Security Authentication) ou encore Authentification de confiance (Trust Authentication).

Autant de termes qui indiquent la même idée. Voici, d’ailleurs, quelques exemples concrets pour une entreprise :

Accès aux données sensibles : Pour les entreprises qui stockent des données sensibles telles que des informations financières ou des données personnelles, la MFA est essentielle pour protéger ces informations contre les cyberattaques. La MFA peut empêcher les pirates informatiques d’accéder aux données même s’ils ont réussi à trouver le mot de passe.

Connexions à distance : Avec le travail à distance qui devient de plus en plus courant, les employés accèdent souvent aux réseaux d’entreprise depuis des endroits différents. La MFA peut aider à protéger ces connexions contre les attaques par force brute et les tentatives de phishing, qui sont de plus en plus fréquentes.

Services Cloud : Les entreprises qui utilisent des services cloud pour stocker et partager des fichiers doivent être particulièrement vigilantes en matière de sécurité. La MFA peut aider à protéger ces services contre les accès non autorisés, en garantissant que seules les personnes autorisées peuvent accéder aux fichiers stockés dans le cloud.

Cybersécurité, Entreprise

Les équipes de sécurité mettent en moyenne 145 heures jours pour résoudre une alerte cybersécurité

Selon le nouveau Cloud Threat Report, les équipes de sécurité mettent en moyenne 145 heures, soit environ six jours, pour résoudre une alerte de cybersécurité.

Les chercheurs du groupe Unit 42 ont analysé plus de 210 000 comptes cloud de 1 300 organisations dans le monde pour parvenir à cette conclusion. À mesure que les organisations adoptent le cloud, elles sont confrontées à des risques de sécurité croissants, car toute configuration erronée peut être exploitée par des cybercriminels. Dans son rapport, Palo Alto Networks met en garde contre les dangers de l’authentification insuffisante, des correctifs inadéquats et des logiciels open source malveillants.

Les chercheurs ont également constaté que 76 % des organisations n’utilisent pas d’authentification multi-facteur pour les utilisateurs ayant des droits de contrôle et que 58 % n’ont pas d’authentification multi-facteur pour les gestionnaires d’accès administrateur. Unit 42 a également observé que 63 % du code de base en production présentent des failles critiques non corrigées, tandis que seulement 5 % des règles de sécurité sont responsables de 80 % des alertes dans la plupart des environnements cloud.

Palo Alto Networks conseille donc aux organisations de planifier des sauvegardes et de les stocker dans des emplacements isolés, ainsi que d’élaborer des plans stratégiques en cas d’incident. Les chercheurs prévoient également un glissement de la sécurité des terminaux vers des plates-formes protégeant directement les applications dans le cloud, connues sous le nom de Cloud-Native Application Protection Platforms (CNAPP). Selon le cabinet-conseil Gartner, la demande de solutions CNAPP a augmenté de 70 % en 2021-2022.

CNAPP, Kesako ?

Un CNAPP (Cloud-Native Application Protection Platform) est une plateforme de sécurité des applications dans le cloud. Les CNAPP sont conçues pour protéger les applications qui fonctionnent nativement dans des environnements de cloud computing, tels que les conteneurs et les microservices. Les plates-formes CNAPP sont également adaptées aux environnements de développement DevOps, où les applications sont fréquemment mises à jour et déployées rapidement. Les CNAPP fournissent des fonctionnalités telles que la gestion des identités et des accès, la détection et la réponse aux menaces, la conformité et la gouvernance, ainsi que la surveillance et la gestion des risques. L’utilisation de CNAPP est de plus en plus courante car elle permet de mieux sécuriser les applications dans le cloud, qui est devenu une cible de choix pour les cyberattaques en raison de l’augmentation de la migration des applications des entreprises vers le cloud.

cyberattaque, Cybersécurité

Une nouvelle vague de diffusion du malware Qbot cible les entreprises avec des PDF malveillants

Début avril, découverte d’une nouvelle diffusion massive des logiciels malveillants Qbot. Le pirate cible les entreprises via leurs employés via des PDF Piégés.

Des attaquants malveillants utilisent une méthode inédite pour diffuser Qbot, un cheval de Troie bancaire notoire qui s’attaque aux entreprises en leur volant des données sensibles telles que des mots de passe et des correspondances professionnelles. Les attaquants ont lancé une campagne de spams qui utilise des fichiers PDF piégés comme pièces jointes pour infiltrer les systèmes informatiques de l’entreprise. Des experts en cybersécurité ont détecté plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF dans plusieurs pays depuis le début d’avril.

Les attaquants utilisent des techniques d’ingénierie sociale avancées pour intercepter des échanges professionnels existants et y insérer des fichiers PDF malveillants. Les destinataires des courriels sont incités à ouvrir ces fichiers pour des raisons plausibles, telles que la consultation de la documentation associée ou le calcul des coûts d’un contrat. Une stratégie classique mais qui semble toujours porter ses fruits.

PDF piégé

Le contenu du fichier PDF partagé est une image qui imite une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant compromis.

Qbot permet aux pirates de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les experts recommandent aux entreprises d’être vigilantes et de vérifier attentivement les signaux d’alerte tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes suspectes et les erreurs grammaticales.

Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Cette interception permet aux pirates d’écrire des courriels aux contenus plausibles, car existant.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril. Les courriers sont écrits en anglais, en allemand, en italien et en français.

Cybersécurité

Faille Microsoft exploitée par des pirates informatiques

En février 2023, a été identifié une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. La faille a été exploitée par les pirates informatiques de Nokoyawa.

Les pirates rançonneurs du groupe Nokoyawa ont exploité, en février, un 0Day que Microsoft vient de corriger. La faille a été attribuée à la CVE-2023-28252. Les cybercriminels ont utilisé un exploit développé pour s’adapter à différentes versions du système d’exploitation Windows, y compris Windows 11, et ont tenté de déployer le ransomware Nokoyawa.

Bien que la plupart des vulnérabilités découvertes exploitées par des groupes APT, cette attaque a été menée par un groupe sophistiqué de cybercriminels qui ont utilisé des exploits similaires mais uniques du Common Log File System.

Le groupe de cybercriminels qui a mené cette attaque se distingue par l’utilisation d’exploits similaires mais uniques du Common Log File System (CLFS) – Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant divers secteurs, tels que le commerce de détail et de gros, l’énergie, l’industrie manufacturière, les soins de santé et le développement de logiciels. Bien que ces vulnérabilités soient souvent exploitées par des groupes APT, ce groupe de cybercriminels a prouvé qu’il était également capable d’utiliser des vulnérabilités zero-day pour mener des attaques par ransomware.

La CVE-2023-28252 a été repérée pour la première fois lors d’une attaque visant à déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n’étaient que des variantes revisitées du ransomware JSWorm, mais dans l’attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.

Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d’identification dans la base de données SAM (Security Account Manager).

Microsoft a corrigé la CVE-2023-28252 lors du Patch Tuesday d’avril 2023. Cette CVE a été la seule faille exploitée par des pirates. Sur les 97 CVE corrigées ce mois-ci, Microsoft a classé près de 90 % des vulnérabilités comme étant moins susceptibles d’être exploitées, tandis que seulement 9,3 % des failles ont été classées comme étant plus susceptibles d’être exploitées.

Le CVE-2023-28252 et le second 0day d’élévation de privilèges du CLFS exploité cette année, et du quatrième au cours des deux dernières années. Il s’agit également du deuxième 0Day CLFS divulgué à Microsoft par des chercheurs de Mandiant et DBAPPSecurity.

D’autres pirates exploitent des 0day, comme ce fût le cas, en février 2023, avec les pirates informatiques du groupe Cl0P. Plusieurs dizaines d’entreprises vont se faire piéger.

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24521

cyberattaque, Cybersécurité

Le Pentagone, la CIA, l’OSINT et les fuites

Le Pentagone est confronté à une fuite de données militaires sensibles, mettant en lumière la rivalité entre le Pentagone, la CIA, les espions et les pirates informatiques pour la collecte d’informations.

Le Pentagone est en train de se préparer à mener des campagnes de propagande sur Internet en utilisant des vidéos deepfake, selon des documents fédéraux de marchés publics. Le Commandement des opérations spéciales des États-Unis, qui est responsable de certaines des opérations militaires les plus secrètes du pays, veut affiner sa propagande offensive en espionnant apparemment son public cible via leurs appareils connectés à Internet. Le document mis à jour sur les marchés publics montre que l’armée américaine veut intensifier ces efforts de tromperie en ligne en utilisant des vidéos deepfake.

Le Pentagone a déjà utilisé des tactiques « d’opérations psychologiques » dans le passé, comme en décembre 2022, lorsqu’un réseau de faux comptes Twitter a été créé pour diffuser de fausses nouvelles douteuses. Bien que l’opération sur Twitter n’ait pas utilisé de deepfake, les entrepreneurs du Pentagone avaient utilisé des avatars créés à l’aide d’apprentissage automatique pour donner aux faux comptes une certaine dose de réalisme.

La fuite de données du Pentagone

Le Pentagone fait face à une fuite de données militaires sensibles qui pose un risque « très grave » pour la sécurité nationale des Etats-Unis. Cette fuite de documents classifiés américains, notamment liés à l’Ukraine et qui semblent authentiques pour la plupart, est considérée comme la plus importante depuis l’affaire Snowden en 2013 indique le New York Times. Les documents contiennent des analyses détaillées sur la guerre en Ukraine, qui donnent une idée de l’étendue de la pénétration américaine des plans militaires russes, mais aussi des interceptions de communications, parfois au détriment de pays alliés des États-Unis comme Israël et la Corée du Sud. Le Service Veille ZATAZ a pu retrouver certains documents sur les forums 4chan (documents ont été détruits depuis, NDR) ou encore sur Telegram.

Un flot régulier de photographies de documents classifiés a été découvert sur des réseaux sociaux, bien que certains aient pu circuler en ligne pendant des semaines avant d’attirer l’attention. Les autorités ont ouvert une enquête pour déterminer l’origine de cette fuite de données.

La CIA, l’OSINT et la concurrence avec le Pentagone

La stratégie nationale de renseignement de 2019 souligne que l’incapacité de suivre rapidement les évolutions technologiques et les normes de l’industrie peut affecter l’avantage concurrentiel des services de renseignements de l’Oncle sam (IC). Cependant, la stratégie ne fournit pas de définition précise de cet avantage concurrentiel. Il s’agit de la capacité de collecter et d’analyser des informations que personne d’autre ne peut obtenir ou traiter. Cette définition est issue de l’Executive Order 12333, qui régit la pratique du renseignement aux États-Unis.

L’EO 12333 énonce l’objectif principal de l’IC, qui consiste à fournir des informations précises et opportunes au président et au Conseil de sécurité nationale pour fonder les décisions concernant la conduite et le développement de la politique étrangère, de défense et économique, et la protection des intérêts nationaux des États-Unis contre les menaces étrangères à la sécurité. Cette collecte doit être conforme à la Constitution et à la loi applicable, respectueuse des principes sur lesquels les États-Unis ont été fondés et poursuivie d’une manière vigoureuse, innovante et responsable.

L’IC a commencé à s’intéresser à l’Open Source Intelligence (OSINT) pour combler une lacune que personne d’autre ne pouvait. Le Foreign Broadcast Information Service (FBIS), créé en 1941, était le moyen le plus rapide, le moins cher et le plus fiable d’obtenir des informations générales et des renseignements concernant un pays particulier. Cependant, au fil des décennies, la demande croissante de l’ensemble du gouvernement et du milieu universitaire, des scandales et des coupes budgétaires, ainsi qu’une portée de mission sinueuse et gonflante ont compliqué la mission de l’IC.

En 2023, le gouvernement américain a perdu le monopole qu’il avait autrefois sur la collecte et la transmission d’informations diffusées librement, rapidement et à moindre coût. Cependant, lorsqu’il s’agit de comprendre les plans et les intentions de l’adversaire, il n’y a pas d’alternative à l’infiltration humaine ou technique que seul l’IC est équipé et autorisé à effectuer. La directrice du renseignement national (DNI) a admis que les États-Unis avaient obtenu des détails extraordinaires sur les plans secrets du Kremlin pour une guerre qu’ils continuaient de nier avoir l’intention.

Un secret est quelque chose de concret qui peut être dérobé par un espion ou discerné par un capteur technique. Un mystère est une énigme abstraite dont personne ne peut être sûr de la réponse

Par conséquent, lorsque l’IC considère l’OSINT en tant que fonction principale, il doit adopter une approche « d’abord, ne pas nuire » à sa mission la plus unique et exclusive, compte tenu des coûts d’opportunité substantiels en jeu. Les décideurs peuvent aspirer à un IC capable de garder une longueur d’avance sur l’adversaire, tout en étant capable de « battre la presse ». Même s’il ne réussit que périodiquement, il vaut mieux poursuivre vigoureusement le premier que de réussir catastrophiquement le second.

Dans la communauté du renseignement américain, l’utilisation des sources ouvertes est vue différemment, mais le navire amiral concernant le renseignement de l’Oncle Sam est la CIA. Au sein de l’agence se trouve le Bureau de la gestion des données ouvertes, qui mise sur un développement massif de cette direction dans des conditions de réalités technologiques et cognitives changeantes.

Récemment, Randy Nixon, un ancien du service analytique de la CIA, a pris la tête de l’OROD, ce qui s’inscrit dans les préférences de l’équipe Biden – promouvoir la direction analytique du renseignement. De plus, Nixon était auparavant responsable du partenariat avec le secteur privé au sein de l’UCCI de la CIA et a dirigé, par exemple, le programme Digital Hammer.

Le Pentagone ne reste pas non plus immobile dans la lutte pour le leadership dans l’OSINT. L’Agence nationale de renseignement géospatial, qui relève du Pentagone, renforce activement les possibilités de renseignement géospatial et d’OSINT.

Cependant, les possibilités d’OSINT sont évaluées à la Maison Blanche et la CIA considère l’utilisation de l’OSINT en tant qu’outil efficace non seulement de collecte et d’analyse d’informations, mais aussi d’influence, y compris politique, comme prioritaire. La concurrence entre la CIA et le Pentagone dans ce domaine prometteur se poursuit, avec des développements massifs de part et d’autre.

Il est à noter que d’ici juin 2028, le Pentagone aura son propre cloud « souverain », le Joint Warfighter. Ce cloud sera conçu pour fournir un accès à des données non classifiées, secrètes et top secrètes au personnel militaire du monde entier. Il devrait servir de colonne vertébrale aux opérations de guerre modernes du Pentagone, qui s’appuieront fortement sur des avions sans pilote et des satellites de communication spatiale, mais auront toujours besoin d’un moyen de transmettre rapidement les renseignements de ces plates-formes aux troupes au sol. Google, Oracle, Microsoft et Amazon se partagent un contrat de 9 milliards de dollars du Pentagone pour construire son réseau de cloud computing.