Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

Chiffrement, Cybersécurité

Ransomware : la rançon moyenne est de 925 162 dollars

Le montant moyen des paiements de rançons suit à une cyberattaque approche rapidement le million de dollars alors que la crise des rançongiciels continue de faire des ravages dans les organisations de toutes tailles à travers le monde.

Les rançons ne cessent d’augmenter à la fois en ce qui concerne les demandes que les paiements. Parmi les cas de réponse aux incidents en 2021, qui se trouvaient principalement aux États-Unis, la rançon moyenne demandée était d’environ 2,2 millions de dollars. Cela représente une augmentation d’environ 144 % par rapport à la demande moyenne de 900 000 $ des cas traités en 2020 par les consultants de l’Unit 42. Le paiement moyen des dossiers traités par les experts de l’Unit 42 ont grimpé à 541 010 $, soit 78 % de plus que l’année précédente.

Il semble que personne ne soit à l’abri des attaques de ransomwares comme le montre le blog ZATAZ. Les organisations dans presque tous les pays et secteurs ont été ciblées en 2021. L’analyse des sites de fuite de ransomwares a identifié la région des Amériques comme la plus touchée – 60 % des victimes recensées sont identifiés dans cette région, tandis que 31 % des victimes sont attribuées à l’Europe, au Moyen-Orient et à l’Afrique (EMEA) et 9% à l’Asie-Pacifique. Les services professionnels et juridiques, suivis de la construction, ont été les secteurs les plus ciblés, avec respectivement 1 100 et 600 victimes recensées sur les sites de fuite.

Les effets à long terme d’une attaque par rançongiciel peuvent représenter un défi pour les organisations. Parmi les entreprises touchées par les ransomwares, une majorité (58 %) des décideurs informatiques déclarent que leur l’organisation a payé la rançon, 14 % déclarant que leur organisation a payé plus d’une fois. Sans parler de celle qui ne souhaite pas que cela se sache et son prêt à menacer les lanceurs d’alertes.

Le rapport indique que, bien que 41 % des entreprises touchées par une attaque par ransomware aient pu récupérer en moins d’un mois, 58% ont pris plus d’un mois. 29% des entreprises interrogées attaquées par des ransomwares ont pris plus de trois mois, et 9 % ont dit qu’il leur a fallu plus de cinq à six mois pour revenir à la normale.

Les tactiques employées par ces cybercriminels reflètent la sophistication croissante et maturité du paysage des rançongiciels.

Multi-extorsion en hausse

Techniques de multi-extorsion où non seulement les attaquants chiffrent les dossiers d’une organisation, mais pratiquent aussi le « name and shame » (chantage aux victimes et/ou menacer de lancer d’autres attaques (par exemple, l’attaque DDoS) pour inciter les victimes à payer plus rapidement. En 2021, les noms et preuve de compromis pour 2 566 victimes ont été affichés publiquement sur sites de fuite de ransomware, marquant une augmentation de 85% par rapport à 2020.
​​​​
La prolifération des RaaS (Ransomware as a Services) avec la mise à disposition de « kits » et services de soutien aux cybercriminels qui réduisent leurs barrières techniques et leur permettent d’accélérer et multiplier leurs attaques.

Les principaux gangs de rançongiciels ont rapidement exploité la vulnérabilité CVE-2021-44228, communément appelée Log4Shell.

Il est fort probable que tant que les organisations ne parviendront pas à appliquer les correctifs connus pour ces vulnérabilités critiques, les attaquants continueront à les exploiter à leur avantage.

cyberattaque, Cybersécurité

Penser comme un attaquant pour contrer les nouvelles attaques DDoS

Le télétravail a considérablement changé les modes de fonctionnement en entreprise. En effet, selon l’Insee, 22 % des salariés français télétravaillent au moins une fois par semaine. Cette pratique élargit les modes de communications entre collaborateurs, rendant les environnements numériques de travail accessibles depuis n’importe quel appareil connecté, professionnel comme personnel. Cette accessibilité augmente la surface d’attaque et donc les possibilités de corruption des cybercriminels. Ces derniers s’appuient en effet désormais sur cette informatique de périphérie pour s’immiscer insidieusement dans les réseaux, soulignant ainsi la nécessité d’adapter les approches de protection des réseaux à ces nouvelles pratiques.

La part importante des salariés en télétravail nécessite des ajustements que l’informatique de périphérie est capable d’offrir. En revanche, cette dernière présente de nouvelles failles que les cybercriminels exploitent déjà dans les attaques par déni de service distribué (DDoS) : « L’adoption d’une architecture de périphérie – edge computing – qui rapproche le traitement et le stockage des données de leur source, permet entre autres aux entreprises d’accroître les performances de leur réseau, tout en réduisant la nécessité de renvoyer les données recueillies à la périphérie du réseau vers un datacenter. Ainsi, plus de la moitié des entreprises seraient susceptibles d’y recourir pour au moins six cas d’utilisation, d’ici fin 2023. Toutefois, si les entreprises se tournent de plus en plus vers la périphérie, les cyberattaquants s’y intéressent également de très près afin d’adapter leurs modes d’attaques aux pratiques en place. » explique Philippe Alcoy, de chez NETSCOUT

Par ailleurs, outre la lutte contre les attaques par déni de service distribué (DDoS) à la périphérie, il est également essentiel d’accorder une attention particulière aux attaques DDoS plus granulaires au niveau des applications, cibles de choix pour les cybercriminels qui peuvent bloquer les activités des utilisateurs par ce biais.

Il existe trois types d’attaques DDoS courantes de la couche applicative communément utilisées par les acteurs malveillants : Slowloris, Slow Post et les attaques par épuisement des tables d’état TCP.

Tout d’abord, Slowloris, une attaque de la couche applicative qui utilise des requêtes HTTP partielles pour ouvrir des connexions entre un seul ordinateur et un serveur web ciblé. Son objectif est de garder ces connexions ouvertes le plus longtemps possible afin de submerger et de ralentir la cible. Ensuite, avec l’attaque de type Slow Post, le cybercriminel envoie des en-têtes HTTP Post légitimes à un serveur web. Dans les en-têtes, les tailles du corps du message qui suivra sont correctement spécifiées. Cependant, le corps du message est envoyé à une vitesse très lente, avec pour but de ralentir le serveur. Enfin, les attaques par épuisement des tables d’état TCP cherchent à consommer les tables d’état de connexion présentes dans de nombreux composants d’infrastructure tels que les répartiteurs de charge, les pares-feux et les serveurs d’application eux-mêmes. Ces attaques peuvent même détruire des dispositifs de grande capacité permettant de maintenir l’état de millions de connexions.

Les attaques par déni de service distribué sont de plus en plus courantes et sophistiquées, surtout depuis les changements amenés par le travail en distanciel. Les réseaux, encore soumis à des zones d’ombres – en raison des multiples appareils, applications, accès et utilisateurs humains et machines qui y circulent – sont sujets à toujours plus de vulnérabilités. C’est pourquoi les équipes IT doivent rivaliser de précision et de réactivité afin de protéger au mieux la périphérie du réseau et ainsi garantir la disponibilité des applications critiques pour l’entreprise ; de même que les cybercriminels continuent de chercher à garder une longueur d’avance sur les entreprises, pour en dérober les informations et bloquer les accès, ces dernières doivent penser comme des attaquants et partir du principe qu’à chaque changement ou nouveauté, elles seront probablement ciblées. En anticipant ces potentielles attaques, elles seront ainsi plus à même de les contrer.

Cybersécurité, Mise à jour, Patch, Wordpress

WordPress force la mise à jour en corrigeant une faille critique

Il y a quelques jours, le géant de l’Internet WordPress imposait une mise à jour d’un plugin populaire Ninja Forms. Une action salvatrice qui pose cependant question.

Le populaire plugin WordPress Ninja Forms souffrait, il y a encore quelques jours, d’une vulnérabilité critique. Une faille activement utilisée par les pirates informatiques.

Cet exploit malveillant permettait d’injecter du code arbitraire dans un site. L’espace web ainsi piégé pouvait permettre l’infiltration des machines des visiteurs, etc.

La vulnérabilité a été corrigée dans sa version 3.6.11.

Jusqu’ici, rien de bien nouveau ? Une faille et sa correction rapide.

Mais ce n’est pas la chose la plus intéressante et/ou inquiétante. Cette mise à jour forcée pour tous les utilisateurs montre aussi que WordPress aura été capable de prendre la main sur plus de 730 000 sites sans l’accord des administrateurs.

Et ce n’est pas la première fois. La faille d’un autre plugin, celui d’UpdraftPlus, avait été corrigée de la même façon avec l’injection du code corrigé sans l’accord des webmasters.

La question est de savoir maintenant s’il faut faire confiance dans un système qui, à tout moment, peut forcer des modifications et déployer du code dans des centaines de milliers de sites web de part le monde ?

A noter que j’ai repéré, dans un espace du darknet, une vente d’un 0day concernant un exploit pirate visant WordPress 5.9.0. « Cet exploit python permet l’exécution de code à distance, fonctionne avec les installations par défaut et ne devrait pas nécessiter d’authentification ou d’interaction avec l’utilisateur. » explique le pirate. Mise à prix de ce tour de passe-passe : 0.35 BTC. Un peu plus de 6 600 euros au moment de l’écriture de cet article.

Bitcoin, Cybersécurité, nft

Cryptomonnaie : êtes-vous prêts pour vous faire arnaquer ?

Les escrocs sur la toile sont légion et font preuve de créativité pour tirer parti de l’engouement pour les jetons non fongibles (NFT) et les cryptomonnaies. Analysé de vols de NFT et cryptomonnaies via des comptes Twitter piratés.

Des escrocs spécialisés dans les cryptomonnaies mentionnent les utilisateurs dans les réponses de centaines de tweets afin de les conduire vers des sites de phishing. Ces derniers ressemblent aux sites légitimes des projets NFT, ce qui les rend difficile à distinguer par l’amateur moyen de cryptomonnaies. Plutôt que les noms d’utilisateur et les mots de passe traditionnels, les utilisateurs sont amenés à connecter leurs portefeuilles de cryptomonnaie. Ce faisant, les escrocs sont en mesure de transférer les cryptomonnaies comme l’Ethereum ($ETH) ou le Solana ($SOL), ainsi que tous les NFT détenus dans ces portefeuilles.

Les Airdrops et les NFT gratuits favorisent les arnaques aux cryptomonnaies

Airdrop est utilisé en tant qu’activité promotionnelle pour faciliter le démarrage d’un projet de cryptomonnaie. Le Bored Ape Yacht Club (BAYC) a annoncé au début de l’année un airdrop d’ApeCoin aux détenteurs de ses différents projets NFT tels que BAYC, Mutant Ape Yacht Club et Bored Ape Kennel Club. Les escrocs ont vu en cette annonce l’opportunité de tirer parti de l’intérêt suscité par cet Airdrop à venir et ont commencé à créer des campagnes en détournant des comptes Twitter vérifiés pour conduire les utilisateurs vers des sites de phishing.

Les escrocs mettent en garde contre les escrocs pour ajouter de la légitimité aux tweets

Les escrocs peuvent également apparaître comme de bons samaritains en invoquant la menace d’escrocs potentiels pour justifier le fait qu’ils « nettoient » ou « ferment » les commentaires ou les réponses à leurs tweets. Une fois qu’ils ont semé quelques-uns de ces faux tweets, ils tirent parti d’une fonction Twitter intégrée aux conversations qui permet de limiter les personnes qui peuvent répondre à leurs tweets, ce qui empêche les utilisateurs d’avertir les autres de la fraude potentielle qui les attend.

En France, les arnaques liées aux cryptomonnaies ont augmenté. Selon le médiateur de l’Autorité des Marchés Financiers (AMF), les cryptomonnaies seraient liées à un quart des arnaques signalées en 2021, contre 6 % l’année précédente. L’organisme précise avoir reçu 78 dossiers, présentant un préjudice allant de 169 euros à 337.000 euros. (Satnam Narang, Staff Research Engineer – Tenable)

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Cybersécurité, Phishing

2,4 milliards de dollars de pertes à cause du phishing en 2021 selon le FBI

Avec près de 40% des plaintes pour des escroqueries en ligne portant sur le phishing, le FBI révèle dans son Internet Crime Report annuel* que ce type d’attaque a atteint les 2,4 milliards de dollars de dommages en 2021. Les cybercriminels passent par les mails pour diriger les internautes sur de faux sites et les inciter à partager des informations personnelles ou professionnelles.

Si dans son rapport le FBI accorde une attention toute particulière aux mails professionnels des entreprises provenant des États-Unis ou qui y sont actives, le montant mondial total est par conséquent encore plus élevé car il s’agit d’un problème qui touche tous les internautes.

Ces risques peuvent alors être préjudiciables aux marques et sites qui vont voir leur image dégradée à cause d’une perte de confiance de la part de l’internaute après une mauvaise expérience.

Par conséquent, garantir aux utilisateurs qu’ils sont bien sur un site authentifié va, d’une part, les protéger dans leur démarche, mais également les rassurer. Une manière complémentaire pour les entreprises de renforcer la relation client à travers une expérience consommateurs sans risque et de gagner en e-réputation en instaurant une réelle confiance avec les clients. 

Si des indices et un peu d’attention permettent de déjouer cette arnaque courante : vérification de l’orthographe, l’URL du site en question, site certifié d’un label ; un manque de vigilance peut vite arriver et engendrer le vol de ses données.

Cybersécurité

Microsoft corrige 75 vulnérabilités dont 8 critiques

Microsoft corrige 75 vulnérabilités dont 8 critiques.

Dans le cadre du Patch Tuesday de mai, Microsoft a corrigé 75 vulnérabilités dont 8 sont classées comme critiques, pouvant entraîner une RCE ou une élévation de privilèges et a publié un avis de sécurité (ADV220001) pour Azure en réponse à CVE-2022-29972, une vulnérabilité d’exécution de code à distance (RCE) Zero-Day. Le Patch Tuesday du mois comprend aussi des correctifs pour deux autres vulnérabilités 0Day, l’une connue pour être activement exploitée (CVE-2022-26925), l’autre pour être publiquement exposée (CVE-2022-22713). Microsoft a corrigé divers problèmes dans ses logiciels, y compris des vulnérabilités de déni de service (DoS), d’élévation de privilèges, de divulgation d’informations, d’exécution de code à distance (RCE), de contournement des fonctions de sécurité et d’usurpation.

Principales vulnérabilités Microsoft corrigées

L’avis de sécurité du mois-ci concerne de nombreux produits Microsoft, dont Azure, les outils pour développeurs (Developer Tools), les mises à jour de sécurité étendue (ESU), Exchange Server, Microsoft Office et Windows. Au total, ce sont 97 produits/versions Microsoft concernés. Les téléchargements concernent Monthly Rollup (Déploiement mensuel), Security Only (Sécurité uniquement), Security Update (Mise à jour de sécurité) et ServicingStackUpdate (Pile de maintenance du système d’exploitation).

CVE-2022-21978 | Vulnérabilité d’élévation de privilèges dans Microsoft Exchange Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,2/10. Pour que l’exploitation de cette vulnérabilité fonctionne, l’attaquant doit être identifié sur le serveur Exchange en tant que membre d’un groupe ayant des privilèges élevés. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-22012 et CVE-2022-29130 | Vulnérabilité d’exécution de code à distance (RCE) dans le protocole Windows LDAP

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Un attaquant non authentifié peut envoyer une requête fabriquée de toute pièce sur un serveur vulnérable. Si l’exploitation réussit, le code malveillant de l’attaquant peut alors être exécuté dans le cadre d’un compte SYSTEM. Cette vulnérabilité est uniquement exploitable si la politique LDAP MaxReceiveBuffer est configurée avec une valeur supérieure à celle par défaut. Les systèmes configurés avec la valeur par défaut de cette politique ne devraient pas être affectés. Pour plus d’informations, consulter : politiques LDAP de Microsoft. Évaluation d’exploitabilité : Exploitation moins probable.

CVE-2022-22017 | Vulnérabilité d’exécution de code à distance sur le client Bureau à distance

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter ces vulnérabilités, l’attaquant doit convaincre l’utilisateur ciblé de se connecter à un serveur RDP malveillant. Au moment de la connexion, le serveur malveillant peut exécuter du code sur le système de la victime dans le contexte de l’utilisateur ciblé. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26913 | Vulnérabilité de contournement de la fonction de sécurité dans l’authentification Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 7,4/10. L’attaquant qui parvient à exploiter cette vulnérabilité pourra lancer une attaque Man-in-the-Middle (MITM) et déchiffrer et lire ou bien modifier le trafic TLS entre le client et le serveur. La disponibilité de la machine attaquée n’est aucunement impactée. Évaluation d’exploitabilité : Exploitation moins probable .

CVE-2022-26923 | Vulnérabilité d’élévation de privilèges sur les Services de domaine Active Directory

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Un utilisateur authentifié peut manipuler des attributs sur des comptes informatiques qu’il possède ou administre et obtenir ainsi un certificat auprès des Services de certificats Active Directory, ce qui pourrait entraîner une élévation de privilèges. 
Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-26937 | Vulnérabilité d’exécution de code à distance (RCE) au sein du système de fichiers réseau (NFS) de Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 9,8/10. Cette vulnérabilité peut être exploitée sur le réseau en passant un appel malveillant non authentifié auprès du service de système de fichiers réseau (NFS) afin de déclencher une exécution de code à distance (RCE). Cette vulnérabilité n’est pas exploitable dans NFSV4.1. Avant de mettre à jour votre version de Windows qui protège contre cette vulnérabilité, il est possible d’atténuer une attaque en désactivant les versions NFSV2 et NFSV3. Mais comme votre écosystème peut s’en trouver affecté, cette procédure ne doit être activée que sous la forme d’une atténuation temporaire. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29108 | Vulnérabilité par exécution de code à distance sur Microsoft SharePoint Server

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Pour exploiter cette vulnérabilité, un attaquant doit être authentifié et avoir la permission de créer des pages. Évaluation d’exploitabilité : Exploitation plus probable.

CVE-2022-29133 | Vulnérabilité d’élévation de privilèges dans le noyau Windows

Cette vulnérabilité affiche un score de sévérité CVSSv3.1 de 8,8/10. Dans ce cas, une attaque pourra être lancée avec succès depuis un environnement d’exécution AppContainer à faibles privilèges. L’attaquant peut obtenir des privilèges élevés puis exécuter du code ou accéder à des ressources à un niveau d’intégrité supérieur à celui de l’environnement d’exécution AppContainer. Évaluation d’exploitabilité : Exploitation moins probable .

Cybersécurité, Entreprise

Plus de la moitié des fuites de données découle de cyberattaques

Plus de la moitié des fuites de données découle de cyberattaques
Dans son dernier rapport d’activité, la CNIL révèle qu’en 2021 près de 6 notifications de fuite de données sur 10 découlaient de cyberattaques, notamment de ransomware, et non plus de mauvaises manipulations informatiques. Une hausse considérable par rapport à 2020. En cause, des fonctions cryptographiques obsolètes rendant les sites internet vulnérables, des moyens encore insuffisants aux regards des enjeux actuels en matière de cybersécurité, ou encore des mots de passe pas assez sécurisés.
Les techniques d’attaques ne cessent d’évoluer et aujourd’hui, si d’après le rapport les secteurs de l’action sociale et de la santé restent les cibles premières des cyberattaquants, la CNIL rappelle que toutes les entreprises peuvent être visées, peu importe le secteur.
Dans ce contexte, Laurent Maréchal, Technology Architect EMEA chez Skyhigh Security commente : « Ces dernières années ont été marquées par la migration des entreprises dans le cloud pour y stocker leurs données et applications métier, motivées par la nécessité d’agilité, d’adaptation, de flexibilité et d’innovation. Le cloud permet en effet d’adapter rapidement les capacités d’infrastructures technologiques aux besoins de l’entreprise.’« 
Néanmoins, de nouveaux risques de sécurité ont émergé avec l’usage de ces nouveaux environnements. En effet, cette migration a été relativement spontanée dans de nombreuses entreprises, et la question de la sécurité informatique n’a pas nécessairement été en tête des priorités. Combiné à l’usage du BYOD (l’utilisation de matériels personnels dans un cadre professionnel) ou du Shadow IT (l’utilisation d’applications non approuvées par un service IT), la surface d’exposition aux cyberattaques a considérablement augmenté. Et cela n’a pas échappé aux cybercriminels, qui tirent profit de la situation.
Les données constituent aujourd’hui une valeur importante pour de nombreuses entreprises, et la protection de l’information est devenue capitale comme peut le montrer le Service Veille ZATAZ.
Il existe aujourd’hui des solutions au niveau technologique qui peuvent améliorer considérablement la sécurité informatique. L’authentification multifactorielle ou l’approche « Zero Trust » selon laquelle la confiance n’est pas automatiquement accordée aux utilisateurs, mais où elle est gagnée en fonction des habitudes de connexion et des comportements, permettent de renforcer la sécurité. Mais pour protéger les données, il ne suffit pas de construire des périmètres et de garantir les accès par des politiques statiques.
« En effet, aujourd’hui, les données sont constamment créées, partagées et déplacées au sein de l’entreprise. Protéger la façon dont les données sont utilisées est un élément essentiel dans la réussite d’un projet Cloud, avec non pas un modèle de fermeture, mais d’ouverture maitrisée. » termine Laurent Maréchal.
Bitcoin, Cybersécurité

Quel wallet pour sécuriser ses Bitcoins ?

Le Bitcoin ne cesse de faire parler de lui, et non seulement de ceux qui s’intéressent de près à la bourse. La croissance de son cours a aidé le portefeuille de plus d’un investisseur, en leur faisant gagner des sommes importantes rapidement, ce qui a eu pour effet de créer un grand intérêt général. Mais une fois l’achat effectué, où doit-on ranger ses Bitcoins pour les conserver en sécurité ? Voici une comparaison des wallets pour devises virtuelles.

Quelles solutions sont-elles offertes ?

Pour acheter des devises virtuelles, il faut se rendre sur une plateforme spécialisée, en ligne. C’est aussi là que l’on peut rester informé sur le cours du Bitcoin et les autres cryptomonnaies. La transaction s’effectue sur la plateforme, puis les Bitcoins sont déposés dans le compte du client, sur celle-ci. Il est possible de les conserver à cet endroit, mais ce n’est certainement pas la solution la plus sécuritaire. Les cas de piratage ayant eu lieu sur ces plateformes sont bien connus et surtout bien réels. Et si les Bitcoins sont volés, le propriétaire n’a pas de recours contre la plateforme.

Il faut donc les retirer de ces plateformes de trading, dès que possible. Mais où peut-on déposer des devises virtuelles ? Dans un portefeuille électronique, bien sûr. Ceux-ci portent le nom anglais de « wallet » On distingue trois types différents qui sont les online, software et hardware wallet. Voici une brève description de chacun d’entre eux, pour aider les lecteurs à faire leur choix.

L’online wallet : la solution court terme

Cette option est celle que nous avons décrite précédemment. L’online wallet est celui que crée la plateforme, pour l’utilisateur, sur leur site web. C’est l’endroit où seront déposés les Bitcoins, suite à la transaction d’achat. C’est sans le moindre doute le wallet le moins sécurisé du marché. Il se doit d’exister afin de pouvoir procéder à l’achat, mais les Bitcoins devraient y passer le moins de temps possible, avant de se diriger vers un des deux portefeuilles suivants.

Le software wallet : la solution médiane

Le software wallet peut être installé en deux versions : une pour les ordinateurs et l’autre pour les smartphones. Ils permettent la sortie des portefeuilles de plateforme (online wallet), afin de sécuriser les Bitcoins sur un compte personnel qu’est le software wallet. Le problème de celui-ci est qu’il peut être piraté, dès que l’appareil se connecte à Internet. Alors, à moins qu’une personne n’utilise jamais ces appareils pour naviguer en ligne, les Bitcoins demeurent en danger, bien qu’ils le soient moins que dans la version online.

Le hardware wallet : la solution optimale

Vous l’aurez compris, en lisant les paragraphes précédents, la seule version sécuritaire des portefeuilles pour cryptomonnaies est le hardware wallet. Ces supports physiques sont séparés de tous les appareils électroniques ayant accès à Internet. Il est donc pratiquement impossible pour des hackers d’y avoir accès. Cependant, il faut s’assurer de conserver celui-ci dans un endroit sûr, car sa perte serait elle aussi dévastatrice. Prenez note qu’il existe tout de même un moyen de retrouver ses Bitcoins, alors que les clés sont conservées dans un espace physique sécurisé.