Archives de catégorie : Securite informatique

Securite informatique

9 millions de clients piratés chez AT&T

Le géant des télécommunications AT&T a informé environ 9 millions de clients que certaines de leurs données avaient été exposées en raison du piratage d’un fournisseur de marketing tiers en janvier 2023.

Le blog ZATAZ, référence mondiale dans les actualités liées au cybercrime, révélait, en janvier 2023 et février 2023, le cas de plusieurs fuites de données impactant des géants des télécom US. Dans le lot, Verizon et A&T.

Des représentants de la société américaine AT&T ont déclaré que l’ensemble de données divulgué datait de plusieurs années et était associé au droit de mettre à niveau les appareils. La société a souligné que la fuite n’affectait pas les propres systèmes d’AT&T.

C’est un fournisseur tiers, qui n’a pas été nommé, qui serait responsable de cette fuite d’informations impactant « d’environ 9 millions de comptes […] Un fournisseur que nous utilisons à des fins de marketing a subi un incident de sécurité. Les informations réseau appartenant aux clients ont été divulguées, telles que le nombre de lignes associées à un compte ou les détails du forfait de données sans fil. Les informations n’incluaient pas les informations de carte de crédit, les numéros de sécurité sociale, les mots de passe de compte ou d’autres informations sensibles« , a déclaré AT&T.

Cybersécurité, Securite informatique, Virus

SwiftSlicer, un nouveau virus pour détruire Windows ?

Des chercheurs identifient un nouveau logiciel malveillant de récupération de données du nom de SwiftSlicer capable de détruire Windows.

Voilà un code malveillant dès plus déplaisant. Son nom, SwiftSlicer. On peut traduire cette chose par « trancheur rapide ». Sa mission malveillante et d’écraser les fichiers importants utilisés par le système d’exploitation Windows.

SwiftSlicer utilise la stratégie de groupe Active Directory qui permet aux administrateurs de domaine d’exécuter des scripts et des commandes sur tous les appareils d’un réseau Windows.

Ce virus a été déployé pour supprimer (ou écraser) les fichiers critiques dans le répertoire système de Windows, en particulier les pilotes et la base de données Active Directory.

SwiftSlicer écrase les données en utilisant des blocs de 4096 octets remplis d’octets générés aléatoirement. Une fois le code de destruction des données terminé, le logiciel malveillant redémarre et remet les systèmes à zéro.

Cybersécurité, Mise à jour, Patch, Securite informatique

Une faille dans Python

Une vulnérabilité vieille de 15 ans dans le langage Python refait surface et risque d’affecter plus de 350 000 projets open source.

Une vieille faille dans un langage très couru, voilà qui n’arrange pas les affaires des codeurs et concepteurs de projets sous Python.
Un récent rapport de Trellix détaillant la présence d’une vulnérabilité de traversée de répertoire non corrigée vieille de 15 ans (CVE-2007-4559) dans le module tarfile de Python, une bibliothèque utilisée pour lire et écrire des fichiers archivés sur bande (tar), expose potentiellement plus de 350 000 dépôts open source qui l’utilisent dans leurs projets.

Cette situation rappelle les défis que pose l’intégration de code source ouvert dans les projets logiciels, en particulier ceux utilisés dans les environnements d’entreprise. « Alors que les retombées de la découverte de Log4Shell dans la bibliothèque Log4j remontent à près d’un an, les chercheurs continuent d’identifier des faiblesses dans la chaîne d’approvisionnement, ce qui souligne le besoin continu de ressources supplémentaires pour aider à identifier et à traiter les vulnérabilités dans certaines des bibliothèques et des logiciels les plus courants utilisés aujourd’hui par les organisations. » indique Satnam Narang, Senior Staff Research Engineer chez Tenable.

Des initiatives telles que les niveaux de la chaîne d’approvisionnement pour les artefacts logiciels (SLSA) et l’inventaire logiciels (SBOM), ainsi que des projets tels qu’Alpha-Omega sous l’égide de l’Open Source Security Foundation, sont conçus pour combler le fossé de la sécurité au sein de la communauté open source, car de nombreux développeurs sont souvent des contributeurs non rémunérés qui donnent de leur temps.

Il n’existe pas de solution unique pour résoudre le problème de la sécurité de la chaîne d’approvisionnement des logiciels, mais les propositions ci-dessus offrent la possibilité de contribuer à faire une différence significative.

Des rapports comme celui-ci ne seront certainement pas les derniers, c’est pourquoi la poursuite des initiatives est cruciale.

Entreprise, Securite informatique

Smartphone en Russie, bientôt la fin du monde ?

L’association des développeurs de produits high-tech russe s’inquiète d’une probable fin d’utilisation d’Android et iOS Apple en Russie.

La présidente de l’Association des développeurs de produits logiciels nationaux, Natalya Kasperskaya, vient de lancer une alerte qui fait résonnance pour les anciens consommateurs de produits Huawei, interdits par l’Oncle Sam.

Natalya s’inquiète des risques de déconnexion de tous les smartphones en Fédération de Russie sous Android et iOS (Apple).

De son côté, l’éditeur Russe de solutions de cybersécurité Kaspersky est convaincu que la probabilité d’un tel scénario doit être évaluée comme une cybermenace. Comme alternative aux smartphones, Kaspersky a suggéré d’utiliser un ordinateur portable, un téléphone d’ancienne génération (avec bouton à la NOKIA) ou, dans les cas extrêmes, le courrier ordinaire.

APT, Cybersécurité, Securite informatique

Macros bloquées par défaut

Microsoft bloque désormais les macros VBA par défaut dans les applications Office.

Les macros sont un vecteur d’infection populaire depuis des décennies. Elles ont été utilisées par les menaces décrites dans le rapport sur les menaces du deuxième trimestre 2022, notamment les chevaux de Troie d’accès à distance comme Nerbian RAT, un nouveau RAT écrit en Go apparu au deuxième trimestre 2022, et par le groupe APT Confucius pour déposer d’autres logiciels malveillants sur les ordinateurs des victimes.

Nous avons déjà remarqué que les acteurs de la menace commencent à préparer des vecteurs d’infection alternatifs, maintenant que les macros sont bloquées par défaut. Par exemple, IcedID et Emotet ont déjà commencé à utiliser des fichiers LNK, des images ISO ou IMG, et d’autres astuces supportées par la plateforme Windows comme alternative aux maldocs pour diffuser leurs campagnes.

Microsoft était revenue sur ce blocage à la suite d’une série de gens pas contents. Début août, retour du blocage, définitivement.

cyberattaque, Mise à jour, Securite informatique

Managed Detection & Response pour entreprise

L’entreprise F-Secure, nouvellement baptisée WithSecure, renforce les solutions cybersécurité à destination des entreprises hexagonales. Rencontre avec Benoit Meulin, consultant. Depuis maintenant 2 années chez WithSecure, après de nombreuses années passées dans la cyber, il a en charge du portfolio de la BU Solution créé, cette année, par le spécialiste des solutions de protection numérique.

Les besoins pour protéger les entreprises se sont accentués ?

Ces besoins sont en constante évolution et la pression ne cesse d’augmenter sur les entreprises. L’accélération est très importante. Nous avons fait le choix de mettre en place une organisation spécifique afin de suivre cette accélération et toujours mieux protéger nos clients.

WithSecure propose de nouveaux services. Pouvez-vous nous les présenter ?

Nous disposions d’une offre de Managed Detection & Response (MDR) bien implantée en France qui s’appelle COUNTERCEPT. Nous avons décidé de soutenir cette offre de protection par une offre de gestion de la surface d’attaque (EASM : Enterprise Attack Surface Management) qui permet aux clients de mieux appréhender et maîtriser leur surface d’attaque externe et donc de la réduire. Nous proposons également dans le prolongement de ces offres des accompagnements à la préparation des incidents cyber ainsi que des services d’Incident Response.

Quelles seraient les priorités à mettre en place, pour une entreprise souhaitant prendre à bras-le-corps sa cybersécurité ?

Il me semble que la première marche à passer est celle du choix d’un partenaire pour accompagner ce gain en maturité. Commencer par la mise en place d’un MDR permet d’acheter du temps et de la sérénité pour démarrer des chantiers plus structurant autour des aspects de gouvernance et gestion de risque, qui sont les piliers d’une démarche efficace et qui permet à terme de faire les bons choix stratégiques. Je le dis souvent mais mon client idéal est celui qui trois années après avoir souscrit à notre offre MDR nous dit qu’il n’a plus besoin de nous car il est à un niveau de maturité suffisant pour assurer sa propre défense.

Que faut-il craindre, demain, des pirates ?

Nous avons en face de nous une R&D motivée par des sujets aussi bien géopolitiques que financiers. Ces innovations couvrent bien des domaines, de la technique à la stratégie. Nous avons vu évoluer les approches des cybercriminels pour augmenter leurs chances de gain financier lors des attaques, par de la méthode et de la technologie : voler de la donnée (commerciale, R&D etc…) avant de la rendre inaccessible et demander une rançon par exemple. Les supports disponibles pour attaquer une organisation sont de plus en plus nombreux (applications, mobiles, cloud etc…) et une fois de plus, la créativité des attaquants ne doit en aucun cas être sous-estimée. Nous monitorons les évolutions des attaques constamment pour être au plus près de la menace.

Bref, être pro actifs devient indispensable, que ce soit à l’extérieur, mais aussi et surtout à l’intérieur de l’entreprise ?

Je ne serais pas de ces gens qui disent que la faiblesse est entre la chaise et le clavier. L’intérieur de l’entreprise est un des rideaux de défense qui doit être pris en compte, aussi bien au niveau des postes des utilisateurs que des utilisateurs eux-mêmes. Cela passe par des couches de protections technologiques comme par des mesures de sensibilisation et de formation des collaborateurs. Que l’attaquant soit interne ou externe, il finira par essayer de se faire passer pour quelqu’un de légitime sur le réseau et il faudra s’assurer qu’on l’attrape à ce moment là.

cyberattaque, Securite informatique

Augmentation de 550% du vishing, arnaque téléphonique

Les attaques par hameçonnage vocal (vishing ou voice phishing) auraient augmenté de près de 550 % au cours des douze derniers mois, selon le dernier rapport trimestriel sur les tendances en matière de menaces. Une hausse peu étonnante à la vue des méthodes pirates mises en place pour passer outre la double authentification.

Au cours du premier trimestre 2022, les sociétés Agara/Phishlabs ont détecté des centaines de milliers d’attaques phishing en provenance des réseaux sociaux, messageries électroniques ciblant un large éventail d’entreprises et de marques. Ce rapport analyse les principales tendances du paysage des menaces actuel.

Les attaques par vishing dépassent la compromission des e-mails

Depuis le troisième trimestre 2021, les attaques par vishing ont dépassé la compromission des e-mails professionnels, se positionnant comme deuxième source de menaces pesant sur les systèmes de messagerie électronique. À la fin de l’année, ces dernières représentaient plus d’une menace sur quatre, et cette tendance s’est poursuivie au premier trimestre 2022.

« Les campagnes de vishing hybride continuent de générer des chiffres stupéfiants, puisqu’elles constituent 26,1 % du volume total des attaques enregistrées jusqu’à présent en 2022 », indique John LaCour, de chez HelpSystems. « On assiste à une multiplication des acteurs de la menace qui délaissent les campagnes de phishing vocal standards pour lancer des attaques par e-mail malveillant en plusieurs étapes. Au cours de ces attaques, les hackers se servent d’un numéro de rappel inséré dans le corps de l’e-mail comme appât, puis s’appuient sur l’ingénierie sociale et l’usurpation d’identité pour inciter la victime à appeler et à interagir avec un faux représentant. »

Un chiffre qui pourrait étonner, mais qui pourtant montre l’évolution des pirates. Le blog ZATAZ, référence en matière des actualités liées à la lutte contre le cybercrime, révélait en 2021, une méthode pirate baptisée la méthode du « ALLO » qui consiste à appeler les victimes, par téléphone, pour leur soutirer les informations que les pirates informatiques ne possèdent pas déjà !

Autres enseignements de ce rapport

Les attaques par usurpation d’identité sur les réseaux sociaux sont en hausse. Depuis le deuxième trimestre 2021, le volume des usurpations d’identité ciblant les marques a bondi de 339 % et celui des usurpations d’identité de dirigeants de 273 %. D’après les résultats, les marques constituent des cibles faciles pour les cyber criminels, surtout lorsqu’elles sont associées à des opérations de contrefaçon de produits vendus au détail. Cependant, pour certaines attaques ciblées, des comptes sociaux de dirigeants sont utilisés pour renforcer le réalisme.

Les escroqueries par e-mail dont l’objectif est le vol d’identifiants restent le type de menaces par messagerie électronique le plus courant signalé par les collaborateurs, à hauteur de près de 59 % de tous les typologies de menaces rencontrées. Les vols d’identités ont augmenté de 6,9 % en volume par rapport au quatrième trimestre 2021.

Le paysage des malware est en constante évolution

Qbot a été une fois de plus le malware le plus usité par les acteurs de la menace pour servir leurs attaques par ransomware, mais Emotet a refait surface au premier trimestre prenant la première place du podium.

Alors que près de la moitié des sites d’hameçonnage s’appuient sur un outil ou un service gratuit, le premier trimestre 2022 a été le premier de cinq trimestres consécutifs où les services payants ou compromis (52 %) ont dépassé les solutions gratuites pour les mises en scène des sites de phishing.

« Comme la diversité des canaux numériques utilisés par les entreprises pour conduire leurs activités et communiquer avec les consommateurs se développe, les hackers disposent de multiples vecteurs pour conduire leurs exactions », ajoute John LaCour. « La plupart des attaques ne démarrent pas de zéro ; elles reposent sur la refonte de tactiques traditionnelles et l’intégration de multiples plateformes. Pour continuer à se protéger, les entreprises ne doivent plus uniquement se concentrer sur une protection périmétrique mais augmenter leur visibilité sur différents canaux externes, afin de recueillir des renseignements et de surveiller les menaces de manière proactive. En outre, les équipes de sécurité doivent investir dans des partenariats qui garantiront la prévention rapide et complète des attaques avant qu’elles n’entraînent des préjudices financiers et des atteintes à la réputation. »

Cyber-attaque, DDoS, Securite informatique

Plus de 9 millions d’attaques DDoS en 2021

Pirates, services DDoS-for-Hire et autres armées de botnets de classe serveur ont facilité le lancement d’attaques de plus en plus sophistiquées. Plus de 9 millions de cyberattaques de type DDoS en 2021 !

La nouvelle étude semestrielle Threat Intelligence Report de la société Netscout affiche une année 2021 très « hard » du côté de la cyber. Au cours du second semestre 2021, les cybercriminels ont lancé environ 4,4 millions d’attaques par déni de service distribué (DDoS), portant à 9,75 millions le nombre total d’attaques de ce type effectuées au cours de l’année. Bien qu’en baisse de 3 % par rapport au record établi au plus fort de la crise sanitaire, ces attaques se poursuivent à un rythme supérieur à 14 % aux niveaux pré pandémiques.

Le second semestre 2021 a été marqué par la mise en place d’armées de botnets de très grande puissance et par un rééquilibrage entre les attaques volumétriques et les attaques par voie directe sans usurpation ; créant des procédures opérationnelles plus sophistiquées pour les attaquants, qui ont pu ajouter de nouvelles tactiques, techniques et méthodes à leur arsenal.

« S’il est tentant de considérer la baisse du nombre total d’attaques comme un recul de l’activité des cybercriminels, nous avons constaté une activité sensiblement plus importante par rapport aux niveaux antérieurs à la pandémie, a déclaré Richard Hummel, responsable des renseignements sur les menaces de NETSCOUT. En réalité, les attaquants innovent et utilisent en permanence de nouvelles techniques, telles que les botnets de type serveur, les services DDoS-for-Hire et le lancement accru d’attaques par voie directe, qui contribuent à la transformation permanente du paysage des menaces. »

Hausse des extorsions DDoS et des ransomwares — Trois campagnes DDoS de grande ampleur ont eu lieu simultanément, établissant un nouveau record. Des gangs de ransomware, parmi lesquels Avaddon, REvil, BlackCat, AvosLocker et Suncrypt, ont été identifiés alors qu’ils utilisaient le DDoS pour extorquer leurs victimes. Forts de ce succès, certains groupes de ransomwares exploitent des opérateurs d’extorsion DDoS se faisant passer pour des affiliés — c’est le cas par exemple d’une campagne d’extorsion DDoS signée par REvil.

Les services Voix sur IP, à leur tour victimes d’extorsions DDoS — Des campagnes d’extorsion DDoS ont été menées à travers le monde par un imitateur de REvil contre plusieurs prestataires de services de téléphonie sur Internet (VoIP). L’un d’eux a fait état d’une perte de comprise entre 9 et 12 millions de dollars à cause des attaques DDoS.

Les services DDoS-for-Hire simplifient le processus d’attaque — NETSCOUT a examiné 19 services DDoS-for-Hire, ainsi que les moyens qu’ils utilisent pour éliminer les exigences techniques et le coût de lancement d’offensives DDoS de grande envergure. Ensemble, ils proposent plus de 200 types d’attaques.

Les attaques ont progressé de 7 % dans la région APAC, mais reculé dans les autres régions — Dans un contexte géopolitique tendu en Chine, à Hong Kong et à Taïwan, la région APAC a connu la plus forte augmentation du nombre d’attaques en variation annuelle par rapport aux autres régions du monde.

Les armées de botnets de classe serveur débarquent — Les cybercriminels ont non seulement augmenté le nombre de botnets connectés à l’Internet des objets (IoT), mais également enrôlé des serveurs de très forte puissance et des périphériques connectés de grande capacité, avec notamment les botnets GitMirai, Mēris et Dvinis.

Les attaques par voie directe gagnent en popularité — Les groupes de hackers ont submergé les entreprises par leurs attaques DDoS de type TCP Flood et UDP Flood, également connues sous le nom d’attaques par voie directe ou sans usurpation. Parallèlement, le recul de certaines attaques par amplification a fait baisser le nombre total d’agressions.

Les pirates ciblent principalement certaines activités — Les secteurs les plus touchés sont les éditeurs de logiciels (hausse de 606 %), les agences et courtiers d’assurance (+257 %), les fabricants d’ordinateurs (+162 %) et les collèges, universités et établissements d’enseignement professionnel (+102 %).

L’attaque DDoS la plus rapide en hausse de 107 % par rapport à l’année précédente — Regroupant les vecteurs DNS, d’amplification DNS, ICMP, TCP, ACK, TCP RST et TCP SYN, l’attaque multi vectorielle lancée contre une cible russe a atteint le débit de 453 millions de paquets par seconde (Mpps).

Cybersécurité, Securite informatique

Cloud Sécurisé, kesako ?

Vouloir accéder à ses données sauvegardées dans un cloud, partout dans le monde, est devenu une obligation pour les utilisateurs du numérique que nous sommes. Mais au fait, qu’est qu’un cloud sécurité ? Explication !

Pour comprendre l’importance d’un tel outil, nous sommes allés voir du côté de la société Pyxya. Cette entreprise est basée à Lyon. Elle s’est spécialisée dans des solutions fortes de WAN Hybride. L’intérêt d’allier cloud et sécurité apparait ici évident.

D’abord, l’aspect pratique. Allier cloud sécurité permet de mettre en relation, deux réseaux (WAN) géographiquement séparés.
Le trafic est acheminé par deux types de connexions distinctes. La première connexion passe par le classique Multiprotocol Label Switching. La seconde, par Internet. Le MPLS rend plus souple et rapide le routage, la communication et le transfert de vos données. Bref, indispensable pour l’interconnexion entre datacenters et succursales.

La force de la solution repérée chez Pyxya, permettre une totale sécurisation des données échangées car évoluant au cœur d’un réseau privé, en dehors d’une infrastructure publique, donc par nature ouverte comme Internet. pyxya, dans sa solution, propose une seconde connexion à large bande et via VPN.

Comme le rappel Pyxya, Le WAN hybride contribue aussi à la cloud sécurité. Parmi les avantages, en plus d’une amélioration de la gestion du trafic et la surveillance du trafic qui se trouve améliorée. Une sécurité optimisée qui peut-être renforcée par un SD-WAN hybride (en complément d’un réseau SD-WAN) et « profiter des avantages des deux solutions pour disposer d’un accès cloud sécurisé. » confirme l’entreprise lyonnaise. Une sécurisation des communications indispensable en cette période ou le télétravail a pris un essor exponentiel, et que l’accès à distance aux données de l’entreprise n’est plus une option.

cyberattaque, Securite informatique

326 millions de dollars volés en deux clics !

La plateforme cryptographique Wormhole qui permet d’envoyer des cryptos vers d’autres blockchains se voit voler 326 millions de dollars.

Un pirate informatique a trouvé un exploit qui lui a permis de libérer 120 000 ETH sans aucun investissement.

La plateforme a déjà offert au hacker une prime de 10 millions de dollars. Il semble que s’il accepte l’offre, il s’agirait d’un versement de prime record dans l’histoire.

En utilisant l’exploit, le pirate a volé 120 000 jetons Ether enveloppés sur la blockchain Solana. Sur ces 120 000 jetons, il en a converti 80 000 en Ethereum et laissé le reste sur la blockchain Solana.

Le pirate n’a pas encore répondu à la proposition de la société. La société d’analyse de blockchain Elliptic lui offre une prime de 10 millions de dollars dans le cadre d’un « accord whitehat ».

Mais vu qu’il a déjà récupéré une partie de la somme, et vendue le reste, 10 millions de dollars ne semblent pas l’intéresser ! (voir ici, et encore ici)

L’attaque Wormhole est désormais la deuxième plus grande cyberattaque contre les services DeFi, la plus importante a visé au mois d’août 2021 Poly Network, avec plus de 600 millions de dollars.