Archives de catégorie : Hacking

L’actualité lié au Hacking

Cybersécurité, Hacking, IA

Le cyber espionnage chinois bondit de 150 %

Un rapport met en évidence une augmentation spectaculaire des cyberattaques, notamment une hausse de 150 % des activités cyber chinoises et une explosion des manipulations assistées par l’intelligence artificielle. Le paysage de la cybersécurité se complexifie dangereusement.

La menace cybernétique mondiale ne cesse de croître, portée par des acteurs étatiques et cybercriminels de plus en plus sophistiqués. Le Global Threat Report 2025 de CrowdStrike dévoile des chiffres inquiétants : une augmentation de 442 % des attaques de vishing, une montée en flèche des cyberattaques chinoises et des intrusions sans malware qui défient les solutions de sécurité traditionnelles. Face à ces nouvelles menaces, les entreprises et les gouvernements doivent revoir leurs stratégies et adopter une approche plus proactive pour anticiper les cyberattaques de demain.

L’espionnage cyber chinois atteint des sommets

Les attaques cyber chinoises ont connu une augmentation de 150 %, avec une explosion de 300 % pour les secteurs critiques comme la finance, l’industrie et les médias. En 2024, sept nouveaux groupes de pirates chinois ont été identifiés, illustrant une montée en puissance agressive des opérations d’espionnage commanditées par Pékin. Ces attaques visent avant tout l’acquisition de données sensibles et l’infiltration de réseaux stratégiques.

Cette recrudescence s’inscrit dans une tendance globale où les États-nations exploitent des cyber opérations pour asseoir leur influence géopolitique. Ces actions sont souvent menées sous le couvert de sociétés écran ou via des groupes affiliés, compliquant leur détection et leur attribution. L’espionnage économique et industriel reste une priorité pour ces cyber opérateurs qui ciblent en priorité les innovations technologiques et les secrets commerciaux.

En 2024, sept nouveaux groupes d’attaquants liés à la Chine, contribuant à une hausse de 150 % des cyberattaques d’espionnage.

L’intelligence artificielle au service des cybercriminels

L’ingénierie sociale assistée par l’IA est désormais une arme incontournable pour les cybercriminels. Le rapport met en lumière une augmentation de 442 % des attaques de vishing, où des voix synthétiques convaincantes sont utilisées pour tromper les victimes et dérober des informations sensibles. Des groupes tels que CURLY SPIDER, CHATTY SPIDER et PLUMP SPIDER ont perfectionné ces techniques pour contourner les systèmes de détection et infiltrer des réseaux sécurisés.

L’Iran, de son côté, a exploité l’IA pour identifier des vulnérabilités et développer des exploits ciblant les infrastructures critiques. Cette utilisation offensive de l’intelligence artificielle permet aux attaquants de déployer des campagnes de piratage plus efficaces et difficiles à repérer. Par ailleurs, l’essor des intrusions sans malware complique la tâche des équipes de cybersécurité : désormais, 79 % des attaques initiales ne reposent plus sur des logiciels malveillants mais sur l’exploitation d’identifiants volés.

Exergue : Le vishing a explosé de 442 % en 2024, porté par l’ingénierie sociale assistée par l’intelligence artificielle.

Une cybersécurité sous pression

Les entreprises et institutions doivent faire face à une réduction drastique des délais d’intrusion. En 2024, le temps moyen pour compromettre un système est passé à 48 minutes, avec un record de 51 secondes. Cette rapidité rend la détection et la réponse d’autant plus complexes, nécessitant une approche unifiée et en temps réel.

Les attaques internes sont également en hausse, notamment sous l’impulsion du groupe FAMOUS CHOLLIMA, lié à la Corée du Nord. En 2024, ce groupe a été impliqué dans 304 incidents de cybersécurité, dont 40 % provenaient de cybercriminels infiltrés sous de fausses identités pour accéder aux systèmes. Par ailleurs, les intrusions dans le cloud ont augmenté de 26 % en un an, les cybercriminels exploitant des comptes légitimes pour masquer leur présence et éviter la détection.

Hacking

Un hacker exploite une faille dans Apple Vision Pro pour libérer des araignées virtuelles

Ryan Pickren, un chercheur en sécurité bien connu pour ses exploits précédents, a découvert une vulnérabilité significative dans le casque de réalité virtuelle Apple Vision Pro.

Amis geeks arachnophobes, voici le produit high-tech fait pour vous. Soit vous n’aurez plus jamais peur des araignées, soit vous allez mourir d’un arrêt cardiaque. Une faille, initialement classée par Apple comme un problème de déni de service (DoS), permettait en réalité de créer des objets 3D animés et sonores sans l’autorisation de l’utilisateur, ce qui pouvait remplir une pièce de centaines d’araignées virtuelles et de chauves-souris hurlantes.

La vulnérabilité, identifiée sous le code CVE-2024-27812, réside dans le traitement de contenu web par VisionOS, le système d’exploitation du casque Vision Pro. Bien que VisionOS soit conçu pour restreindre les applications non autorisées, Ryan Pickren, un chercheur en sécurité bien connu pour ses exploits précédents, a découvert que la fonctionnalité ARKit Quick Look, utilisée pour afficher des objets 3D dans Safari, n’était pas correctement sécurisée. Cela permettait à un site web malveillant de générer des objets 3D animés qui persistent même après la fermeture de Safari.

Démonstration de l’attaque

Pickren a démontré cette faille en créant un scénario où des araignées et des chauves-souris virtuelles envahissent la pièce, visibles à travers le casque Vision Pro. Ces objets restent en place jusqu’à ce qu’ils soient supprimés manuellement, rendant l’expérience utilisateur extrêmement perturbante et stressante. Apple a pris connaissance de cette vulnérabilité et a publié des correctifs dans la version 1.2 de VisionOS.

Chiffrement, cryptage, Cybersécurité, Hacking

Le lecteur flash le plus sécurisé au monde piraté

Des hackers ont réussi à pirater le lecteur flash le plus sécurisé au monde, l’IronKey S200.

IronKey S200, un lecteur flash qui se veut le plus sécurisé au monde. Il utilise un système de protection des données avancé et s’auto détruit irrévocablement si vous entrez 10 fois le mauvais mot de passe.

L’éditeur de Wired a proposé le piratage de l’appareil à la startup Unciphered, spécialisée dans la récupération de portefeuilles cryptographiques et de périphériques matériels. L’équipe a passé 8 mois à développer une méthode de piratage et a finalement réussi.

Après une expérience réussie, la startup s’est tournée vers Stefan Thomas, devenu célèbre pour avoir oublié le mot de passe de son IronKey, où 7002 BTC sont stockés depuis 12 ans. Stefan a refusé l’offre de piratage, affirmant que deux équipes de hackers travaillaient sur le problème depuis longtemps.

Aujourd’hui, la valeur des bitcoins dans le portefeuille de Stefan est d’environ 235 millions de dollars. Il ne lui reste plus que 2 tentatives de mot de passe sur les 10 alloués par l’IronKey.

Le Trésor américain envisage de déclarer les cryptomixers centres de blanchiment d’argent et appelle à des mesures restrictives , affirmant que leurs principaux clients sont des terroristes.

Hacking

La directive NIS 2, bientôt dans vos écrans

Octobre 2024, les pays membres de l’Union Européenne auront voté leur loi respective se calant sur la Directive NIS 2, la Network and Information Security.

On l’a connait sous le nom de Network and Information Security (NIS) ou encore, dans sa version francophone, la SRI, pour Sécurité des Réseaux et de l’Information. En raison de la transformation digitale en cours, notre monde bénéficie d’une connectivité améliorée et d’une plus grande agilité des entreprises. Cependant, cette dépendance accrue à la technologie digitale expose les entreprises, en particulier dans des secteurs critiques tels que les transports, l’énergie, les soins de santé ou la finance, à des vulnérabilités accrues face aux cybermenaces de plus en plus sophistiquées.

Face à ce défi, le Conseil de l’Union européenne (UE) a adopté la directive NIS2 comme un bouclier contre les cybermenaces, en élargissant son champ d’application et en définissant des mesures de sécurité et des exigences en matière de notification des incidents, applicables dans l’ensemble de l’UE. De plus, elle encourage la coopération entre les États membres pour favoriser le partage d’informations sur les menaces et les bonnes pratiques de sécurité. La directive NIS2 est une nouvelle version de la directive NIS de 2016, et les États membres ont jusqu’au 18 octobre 2024 pour transposer ses exigences réglementaires en droit national.

Renforcer la posture et la résilience des entreprises

Cette initiative fait partie d’un effort plus large de l’UE visant à renforcer la posture et la résilience des entreprises face aux risques cybernétiques. En plus de la directive NIS2, l’UE a également introduit la loi sur la cyber-résilience (CRA), qui s’applique aux produits matériels et logiciels comportant des éléments numériques. Cette loi vise à améliorer la sécurité des produits dès les phases de conception et de développement, puis tout au long de leur cycle de vie, ainsi qu’à créer un cadre de cybersécurité cohérent et à améliorer la transparence des critères de sécurité.

Le Royaume-Uni a également adopté le Telecommunications Security Act (TSA) pour renforcer la sécurité et la résilience des réseaux et services de communications électroniques sur son territoire, témoignant ainsi d’un meilleur alignement des normes de cybersécurité entre le Royaume-Uni et l’UE.

Il est essentiel de se préparer à la mise en œuvre de la directive NIS2 pour garantir un environnement numérique plus sûr et résilient dans l’ensemble de l’UE. Les implications de la directive NIS2 peuvent inclure la nécessité de se conformer aux mesures de sécurité et d’exigences de notification des incidents, ainsi que la participation à la coopération entre les États membres pour le partage d’informations sur les menaces et les bonnes pratiques de sécurité.

Un monde numérique en pleine transformation

L’impact de la directive NIS2 sur le paysage numérique en Europe est significatif. La directive clarifie certaines ambigüités et élargit son champ d’application pour inclure de nouveaux secteurs d’activité tels que les fournisseurs d’infrastructures numériques. Elle divise également les entités en deux catégories : « essentielles » et « importantes ». Selon cette réglementation, toute entité opérant dans un ou plusieurs des secteurs spécifiés, dont l’effectif est supérieur à 50 collaborateurs et qui réalise un chiffre d’affaires supérieur à 10 millions d’euros, relèvera automatiquement de son champ d’application en tant qu’entité essentielle ou importante. On estime que le nombre d’entités qui seront incluses dans le champ d’application de NIS2 pourrait être multiplié par dix par rapport à NIS.

La directive NIS2 introduit également un processus de notification d’incidents de sécurité plus précis. Les entreprises sont tenues de soumettre un rapport d’alerte dans les 24 heures suivant la connaissance d’un incident, suivi d’une évaluation initiale dans les 72 heures et d’un rapport final dans un délai d’un mois.

En outre, la nouvelle directive impose des sanctions financières plus sévères en cas de non-conformité, pouvant aller jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires mondial annuel de l’entreprise, le montant le plus élevé étant retenu.

Bien que les entités essentielles et importantes soient assujetties aux mêmes dispositions, les entreprises classées comme importantes bénéficieront d’une application relativement moins contraignante. La directive NIS2 s’appuie sur les meilleures pratiques de cybersécurité, notamment l’évaluation continue des risques et des vulnérabilités à chaque étape du cycle de vie opérationnel, la maîtrise proactive des risques identifiés grâce à des mesures pertinentes de prévention, de détection et de réponse aux menaces, la définition de procédures efficaces de gestion de crise pour assurer la continuité des activités en cas d’incident, et le partage rapide, ouvert et transparent des informations sur les vulnérabilités et incidents avec les autorités de surveillance nationales et toutes les parties potentiellement impactées, directement ou indirectement.

Renforcer et sécuriser

Les principes clés de NIS2 visent à renforcer la sécurité des réseaux et de l’information. Cette directive adopte une approche inclusive des risques en considérant les menaces potentielles de sources diverses telles que les cambriolages, les incendies, les catastrophes naturelles, les pannes d’électricité, les télécommunications et les cyberattaques. Pour évaluer les risques, les entités doivent dresser l’inventaire de leurs ressources, services et vulnérabilités potentielles. Les politiques de sécurité des systèmes d’information doivent être élaborées en se basant sur des lignes directrices nationales ou supranationales et sur des principes d’évaluation des risques spécifiques à chaque secteur d’activité. L’ENISA est chargée de l’élaboration et de la promotion de ces recommandations.

Les mesures de prévention, de détection et de riposte aux incidents doivent être prises en compte après une évaluation exhaustive des risques. Il est nécessaire d’assurer l’application des mesures de sécurité de base telles que le déploiement de correctifs et de mises à jour de sécurité dans des délais raisonnables, un contrôle des accès et la formation des collaborateurs aux bonnes pratiques de sécurité. Les entreprises peuvent se conformer aux exigences de NIS2 et aux meilleures pratiques stipulées par le NIST en utilisant des solutions de sécurité conformes au framework de cybersécurité (CSF). Il est également recommandé d’utiliser des technologies innovantes, y compris l’intelligence artificielle, pour améliorer la détection et la prévention des cyberattaques.

Enfin, il est important de prévoir un plan détaillé pour une réaction immédiate face à des incidents inévitables. Les entreprises doivent disposer d’une architecture hautement disponible, avec des processus automatisés de failover et des sauvegardes hors site de toutes les données critiques, ainsi que d’une connectivité fiable, sécurisée et efficace entre les sites en utilisant la technologie SD-WAN pour assurer la continuité de leurs activités. La directive NIS2 souligne également l’importance d’un échange d’informations couvrant plusieurs domaines tels que les cybermenaces, les incidents, les vulnérabilités, les outils et méthodes en place, les tactiques, techniques et procédures, les exercices de simulation de gestion de crises, la formation et les processus permettant de renforcer le niveau de confiance.

La sécurité des tiers et de la chaîne d’approvisionnement est cruciale pour garantir la posture de sécurité d’une entreprise, comme l’ont récemment démontré les exploits exploitant la vulnérabilité Log4j. Pour se conformer à la directive NIS2, les entreprises doivent prendre en compte les recommandations formulées lors des discussions sur le Cybersecurity Framework (CSF) 2.0 et adhérer à des normes de sécurité de l’information éprouvées, telles que l’ISO 27001.

Les professionnels qui utilisent le cadre de CSF 2.0 soulignent l’importance de différencier les chaînes d’approvisionnement selon le type de fournisseur (éditeurs de logiciels, constructeurs, etc.). Cette approche permet d’adapter les mesures de sécurité à chaque profil, notamment face à la prolifération d’appareils IoT, de processus basés sur des logiciels (SaaS, bibliothèques open source, etc.) et d’éditeurs fournissant des logiciels grand public (applications, sites Web, etc.).

Les phases du cycle de vie du système d’information

La sécurité des réseaux et des systèmes d’information doit être prise en compte à toutes les phases du cycle de vie du système d’information, de l’achat à la maintenance. La directive NIS2 insiste sur l’identification, le traitement et la divulgation en temps opportun des vulnérabilités, conformément aux normes internationales telles que l’annexe A.14 de la norme ISO 27001, ISO/IEC 30111 et ISO/IEC 29147. L’utilisation d’un framework tel que le CSF du NIST permet d’améliorer les pratiques de sécurité et de garantir une approche globale et résiliente.

L’intégration d’une plateforme de sécurité avec le système de gestion de la sécurité des informations est essentielle pour simplifier et automatiser les processus de sécurité. Cette intégration permet aux entreprises d’avoir une gestion cohérente et intégrale des risques liés à la sécurité de l’information.

La directive NIS2 exige une évaluation régulière des mesures de gestion des risques de cybersécurité. L’utilisation d’un cadre comme PolicyOps permet de simplifier ce processus d’évaluation et de gestion des politiques et procédures de sécurité de l’entreprise. PolicyOps automatise l’évaluation des politiques de sécurité, permet un suivi de la conformité et assure que la gestion des risques est conforme aux normes de sécurité en vigueur, y compris la directive NIS2.

La directive encourage également l’application pleine et entière des principes de protection des données et de la vie privée, tels que l’utilisation de pseudonymes et le chiffrement, pour sécuriser les données à caractère personnel. Pour certains fournisseurs, l’utilisation d’un chiffrement de bout en bout peut être obligatoire.

Hacking, virtualisation

Cyber attaque à l’encontre des plateformes de virtualisation

Les plateformes de virtualisation, dans la ligne de mire des hackers. La virtualisation est un élément essentiel de l’architecture informatique de nombreuses organisations. Selon Gartner, 97 % des entreprises de taille moyenne géreront un environnement hybride d’ici 2025.

La preuve de concept pour l’exploit du serveur ESXi a été publiée en juin 2021. Le patch existait. Que pensez-vous qu’il arriva 18 mois plus tard ? Une cyber attaque qui a mis au tapis des centaines d’entreprises, dont la Mairie de Biarritz. Les cybercriminels ont travaillé sur cette vulnérabilité durant tout ce temps pour en tirer un exploit en cette fin janvier 2023. Un test malheureusement assez réussi, il faut bien l’admettre. Il est probable que des campagnes similaires continuent d’être lancées, répondant aux tentatives de déchiffrement comme celle publiée par la CISA, la Cybersecurity and infrastructure security agency.

Jusqu’à présent, nous avons vu plusieurs centaines de serveurs ESXi exploités et chiffrés. Il suffit d’utiliser le moteur de recherche cyber Shodan pour en apercevoir les quelques effets. Des serveurs connectés, sans la moindre rustine protégeant les machines de la faille annoncée en 2021.

Nous pouvons nous attendre à de nouvelles violations, dans lesquelles les hackers auront préalablement infiltré le réseau afin d’exploiter la même vulnérabilité sur les installations ESXi non corrigées. L’objectif sera alors de causer des dégâts encore plus grands. La demande de rançon devrait également augmenter en parallèle. Des cybercriminels ont tenté le coup, d’une manière assez grossières il faut bien l’avouer, et ont réclamé quelques rançons.

Les attaques actuelles montrent une fois de plus la nécessité de rester diligent et vigilant quant à la mise à jour de l’infrastructure critique d’une organisation, même s’il ne s’agit pas d’un simple clic. Une bonne gestion des actifs aurait ainsi signalé la version obsolète. Les outils qui surveillent la configuration sécurisée d’un ESXi vérifient toute connexion Internet publique non protégée de ce serveur et tout port ouvert sur celui-ci.

Même si les serveurs ESXi sont utilisés en interne et ne sont toujours pas corrigés, il est désormais incontournable de mettre à jour l’installation. Une analyse de vulnérabilité interne, basée sur le réseau, peut aider à identifier toute instance oubliée sur des serveurs ESXi obsolètes.

Virtualisation

La virtualisation est au cœur de la stratégie de la plupart des organisations en matière de cloud computing, qu’il s’agisse de systèmes sur site, publics ou hybrides, l’hyperviseur constituant le pilier de l’informatique. Les acteurs malveillants savent que viser cette cible avec une seule flèche peut leur permettre d’élever leurs privilèges et de leur accorder l’accès à tout.

Si ces pirates parviennent à obtenir un accès, ils peuvent pousser les logiciels malveillants à s’infiltrer au niveau de l’hyperviseur et à provoquer une infection massive.

« Nous savons que les acteurs malveillants privilégient les vulnérabilités connues qui ont un impact sur des logiciels populaires, notamment Open Source, VMWare, ManageEngine, PrintNightmare et ProxyShell. Ils ciblent ces failles en sachant qu’ils peuvent abuser des droits d’administrateur pour traverser le réseau et causer des dommages, voire exiger une rançon pour les systèmes d’information et les données sensibles. Pour assurer la continuité des activités, il est impératif que les équipes de sécurité déterminent comment remédier aux vulnérabilités exploitées tout en minimisant l’impact sur l’organisation, au lieu de laisser les failles connues non traitées. » Bernard Montel, directeur technique EMEA chez Tenable.

Des variantes variables

Des chercheurs mettent en garde contre de nouvelles attaques de ransomware ESXiArgs dont la version actualisée rend difficile la restauration des machines virtuelles VMware ESXi.

La nouvelle variante a été découverte moins d’une semaine après que le CERT-FR et le CISA ont émis des avertissements concernant une campagne massive de logiciels malveillants basés sur ESXi et ciblant des milliers de serveurs VMware vulnérables à la vulnérabilité critique CVE-2021-21974. Le problème est lié à OpenSLP. Cependant, VMware n’a pas confirmé l’exploitation de CVE-2021-21974, mais a déclaré que le 0-day n’a pas été utilisé non plus.

De son côté, GreyNoise note que plusieurs vulnérabilités liées à OpenSLP ont été découvertes dans ESXi ces dernières années, et que n’importe laquelle d’entre elles aurait pu être exploitée dans les attaques ESXiArgs, notamment CVE-2020-3992 et CVE-2019-5544.

La nouvelle méthode de cryptage ESXiArgs a été mise en œuvre par les développeurs après que le CISA a publié un outil capable de récupérer les fichiers sans payer de rançon.

Le fait est que la version précédente du ransomware visait principalement les fichiers de configuration des VM et ne chiffrait pas les fichiers. L’utilitaire permet de récupérer des fichiers de configuration chiffrés à partir de fichiers non chiffrés. Dans les échantillons de la souche mise à jour, le paramètre size_step du script encrypt.sh avait une valeur de 1, chiffrant 1 Mo via un saut de données de 1 Mo.

Cette modification a permis au ransomware de crypter de gros morceaux de données dans les fichiers cibles, rendant impossible leur récupération. Une particularité des derniers incidents est la compromission des serveurs même avec des SLP désactivés. La porte dérobée vmtool.py, repérée précédemment, était également absente des systèmes infectés.

Les experts ont également remarqué que le ransomware ESXiArgs a cessé d’inclure des adresses BTC. Les victimes sont encouragées à contacter les opérateurs TOX et le montant de la rançon est de 2 bitcoins. Le malware de cryptage de fichiers est basé sur le code source de l’ancien groupe Babuk. Des informations avaient fuité en 2021. Un script CISA permet de retrouver, ses accés.

Toutefois, le large ciblage et la faible quantité de ransomware suggèrent (1) que la campagne n’est pas liée à des gangs de ransomware connus.

Selon la télémétrie de Project Sonar, près de 19 000 serveurs ESXi restent vulnérables à CVE-2021-21974. Il a été observé d’autres incidents visant des serveurs ESXi non associés à la campagne ESXiArgs, qui peuvent également exploiter CVE-2021-21974.

Il s’agit, par exemple, d’un nouveau type de ransomware, RansomExx2, écrit en Rust.

Hacking

MyOpenVDP : approche responsable de la divulgation de vulnérabilités

YesWeHack, plateforme européenne de Bug Bounty, lance MyOpenVDP, une solution de Programme de divulgation volontaire de vulnérabilités clé en main sous forme d’outil open-source. Mission; favoriser une approche responsable de la divulgation de failles.

« Notre initiative est le reflet de notre décennie d’expertise en matière de sécurité en Europe, de nos investissements à long terme et de notre engagement profond envers l’approche CVD (Coordinated Vulnerability Disclosure), l’éthique, la transparence et le respect des lois européennes« , déclare Guillaume Vassault-Houlière, CEO et cofondateur de YesWeHack.

Alors que plusieurs organismes publics internationaux ont reconnu l’intérêt et la nécessité d’une manière plus transparente de signaler les vulnérabilités, la CVD n’est pas encore largement généralisée alors qu’elle offre un canal indispensable pour un dialogue régulier et de confiance avec la communauté de hackers éthiques.

CVD / VDP, kesako ?

Un internaute trouve une faille dans un site web ? Comment faire pour alerter, de manière propre et efficace ? Et surtout, sans risque d’être pris pour un vulgaire mais dangereux pirate par l’entreprise alertée ? Une application Web pour divulguer les vulnérabilités (VDP = Programme de divulgation volontaire) en toute sécurité est une solution, celle proposée par YWH. (il existe aussi l’ANSSI, les CERTs, Etc.)

Étant donné que la divulgation sauvage ou le fait de ne pas signaler une vulnérabilité en raison d’un défaut de moyens de communication met les utilisateurs en danger et peut avoir un impact sur la réputation des fournisseurs, le CVD est le moyen de transformer ces risques en opportunités et d’instaurer la confiance.

Le système permet de protéger la communication, chiffrement (pgp) obligatoire et l’unique récepteur de l’information est l’entreprise.

MyOpenVDP peut évoluer vers une version payante offrant une personnalisation complète et facile ainsi qu’une intégration dans la plateforme YesWeHack, parfaitement adaptée aux processus et outils d’une organisation DevSecOps.

Hacking

Les satellites Viasat attaqués par un essuie-glace

Le 24 février 2022, l’armée Russe envahissait l’Ukraine. Une attaque terrestre, aérienne, maritime et numérique. Parmi les dommages collatéraux, une cyberattaque à l’encontre des communications gérées par les satellites Viasat.

Souvenez-vous, le 24 février 2022, alors que l’armée Russe envahissait l’Ukraine, des milliers de clients et utilisateurs de communication passant par les satellites ViaSat se retrouvaient sourds et muets. Un essuie-glace russe était passé par là. Un Wiper, baptisé AcidRain par la société américaine SentinelOne, aurait fait le grand ménage dans l’informatique satellitaire.

Ce code malveillant aurait de grande similitude avec un cousin du nom de VPNFilter. Ce « virus » aurait infecté plus de 500 000 modems sur le sol de l’Oncle Sam. Lors de la cyber attaque de « pluie acide », des milliers de modems Viasat sont tombés en panne en Ukraine, mais aussi dans toute l’Europe, dont la France.

Viasat explique que les pirates, qui seraient Russes, sont passé par un outil VPN mal configuré. AcidRain n’avait plus qu’à être lancé. Il a écrasé les informations de chaque modem, les rendant inutilisables. Le merdier n’a pas été corrigé rapidement. En France, NordNet, l’une des victimes collatérales, expliquait ne pas pouvoir agir dans un temps raisonnable. Le manque de pièce ne permettant pas de remplacer les modems. Il faut dire aussi qu’aucune mise à jour en ligne n’était possible. Il faut remplacer physiquement le matériel.

AcidRain est le septième wiper découvert depuis la guerre en Ukraine.

Hacking

Conférence cybersécurité : fuites et sécurisation

La société Barracuda organise une conférence en ligne dédiée à la  cybersécurité. Parmi les discussions, les fuite de données de ces derniers mois.

Et si vous vous mettiez dans la peau d’un pirate informatique, pour mieux les comprendre et donc mieux les contrer ! Les sociétés CVC-IT et Barracuda vous proposent d’assister à un conférence dédiée à la Cybersécurité. Ca se déroulera en ligne, le 29 Mars 2022, à 11H.

Le rendez-vous sera co-animée par Damien Bancal, spécialiste en cyber intelligence depuis plus de 30 ans et Alhan Douville de la société Barracuda.

Vous pourrez découvrir les fuites de données qui ont touché Internet, ces derniers mois et des cas concrets de sécurisation des données.

Cette conférence en ligne est gratuite. Pour vous inscrire -> ICI

Base de données, Fuite de données, Hacking

Journée mondiale du mot de passe : célébrons le moyen d’authentification le moins fiable du marché !

Ce jeudi 6 mai est la Journée mondiale du mot de passe, l’occasion depuis plusieurs années de rappeler les bonnes pratiques en matière de cybersécurité et de fiabilité des mots de passe, mais aussi plus largement de questionner leur pertinence globale, à l’heure où la fraude en ligne n’a jamais été aussi répandue.

 La société Nuance Communications est un acteur important dans les solutions de sécurité utilisant la biométrie.

 La Journée mondiale du mot de passe donne l’opportunité aux experts de la cybersécurité et de la lutte contre la fraude de réaffirmer que les codes PIN et mots de passe sont des outils archaïques, dépassés, qui ne correspondent plus à la réalité des usages et des besoins d’aujourd’hui. Les mots de passe se retrouvent vendus sur le dark web, exploités à des fins frauduleuses, et se retournent parfois contre leurs propriétaires, comme on a pu le constater récemment avec des pertes de millions d’euros en cryptomonnaies à cause d’oublis de mots de passe non réinitialisables.

Une récente étude[1] menée par Nuance révèle que 17% des Français utilisent deux ou trois mots de passe différents pour protéger tous leurs comptes utilisateurs, et 12% déclarent même utiliser le même mot de passe partout sans considération de son niveau de fiabilité ou de singularité ! De plus, 30% des répondants ont indiqué oublier leur mot de passe ou code PIN au moins une fois par mois, ce qui montre à quel point ce moyen d’authentification est volatile, peu intuitif et contraignant pour les utilisateurs. Ces derniers se retrouvent exposés à un risque élevé de fraude, et il est de la responsabilité des entreprises de s’attaquer à cette menace en renforçant la sécurité de leurs clients par le biais de solutions modernes. Le site ZATAZ révèle des centaines de fuites de données qui laissent perplexe concernant les utilisateurs et leurs mots de passe.

 « Cette même étude a par ailleurs montré que 18% des Français avaient été victimes de fraude au cours des 12 derniers mois, y perdant en moyenne 995 euros. Il est donc grand temps de tourner la page des mots de passe et codes PIN pour déployer des technologies plus sophistiquées et robustes telles que la biométrie et enfin offrir aux consommateurs le niveau de protection qu’ils méritent. La biométrie permet d’authentifier les individus instantanément en se basant sur les caractéristiques qui leurs sont propres et les rendent uniques. Fini le temps des authentifications basées sur un savoir (mot de passe ou autre information à retenir) trop facile à exploiter, les solutions biométriques sont actuellement le meilleur allié de la lutte contre la fraude et permettent de redonner de la sérénité aux consommateurs. » explique Simon Marchand, Chief Fraud Prevention Officer au sein de la division Sécurité et Biométrie de Nuance.

[1] Etude réalisée par OnePoll pour Nuance en avril 2021 auprès de 10 000 répondants dans les pays suivants : France, Royaume-Uni, Etats-Unis, Allemagne, Espagne, Australie, Italie, Suède, Belgique, Pays-Bas et Mexique. En France, le panel de l’étude est constitué de 1000 répondants.

Hacking

Pirater le domicile pour pirater le bureau, le RGPD en question

En 2021, l’utilisation exponentielle d’appareils connectés, d’applications et de services web dans notre vie professionnelle et privée augmentera la surface d’attaque de la maison connectée au point de soulever de nouveaux risques majeurs pour les individus et leurs employeurs. Parmi ces risques des fuites d’informations qui rentrent dans le périmètre du RGDP, le Règlement Général de la Protection des Données.

Le RGPD, on en a énormément entendu parlé depuis mai 2018. Alors qu’auparavant, les entreprises regardaient ailleurs, il aura fallu suivre les règles imposées par l’Europe pour protéger les internautes, les clients, les employés, les élèves, les patients … bref toutes les informations que les individus ont pu laisser dans les mains d’entreprises privées et publiques. Les RGPD formations se retrouvent par dizaines. Seulement, les confinements imposés par la lutte contre la pandémie de COVID-19 ont rajouté une couche d’insécurité pour les données avec le télétravail. Rajoutant des cheveux gris sur bon nombre de têtes des DPO RGPD.

La menace qui pèse sur les foyers connectés ne date pas d’hier. Cependant, l’émergence de fonctionnalités accrues dans les appareils domestiques et professionnels, et le fait que ces appareils s’interconnectent plus que jamais, représente une nouveauté et les données personnelles et professionnelles sont en ligne de mire. À cela s’ajoute la croissance historique du recours au télétravail, entrainant un usage de ces appareils plus important que jamais. Suivre une formation RGPD pourrait être proposée aux salariés découvrant le télétravail.

Objectif des pirates Versus objectif RGPD

L’année 2020 a vu la pandémie faire passer les employés du bureau à la maison, transformant ainsi l’environnement domestique en un environnement de travail. Depuis le début de la crise Covid-19, la surveillance des appareils de la plateforme McAfee a montré, par exemple, une augmentation de 22 % du nombre de dispositifs domestiques connectés dans le monde. Plus de 70 % du trafic de ces appareils provenait de smartphones, d’ordinateurs portables ou fixes, et de télévisions, et plus de 29 % provenait d’appareils IoT tels que les dispositifs de streaming, les consoles de jeu, les vêtements et accessoires connectés, ainsi que les lampes intelligentes. Autant de nid à données.

Les cybercriminels se sont concentrés davantage sur la surface d’attaque à domicile avec une montée en flèche des messages de phishing sur les canaux de communication. Le nombre de liens de hameçonnages bloqués par l’éditeur a augmenté de plus de 21 % de mars à novembre 2020, avec une moyenne de plus de 400 liens par foyer. Cette augmentation est significative comme a pu le prouver le blog cybersécurité ZATAZ.COM et suggère qu’un flux de messages de phishing contenant des liens malveillants est entré dans les réseaux domestiques par les appareils aux mesures de sécurité les plus faibles.

Des millions d’employés sont individuellement devenus responsables de la sécurité informatique de leur employeur, évoluant dans un bureau à domicile équipés de dispositifs non protégés, de la cuisine au salon, en passant par la chambre à coucher. Nombre de ces appareils domestiques sont « orphelins » : leurs fabricants ne les prennent pas en charge correctement avec des mises à jour de sécurité pour faire face aux nouvelles menaces ou vulnérabilités. Cela contraste avec un environnement professionnel où les dispositifs sont renforcés par des mesures de sécurité à l’échelle de l’entreprise. Les collaborateurs travaillent désormais avec des équipements de qualité grand public qu’ils configurent eux-mêmes. Ils ne disposent pas de la gestion centrale, des mises à jour régulières des logiciels et du contrôle de sécurité de l’entreprise.

« C’est pourquoi nous pensons que les cybercriminels feront de la maison une surface d’attaque pour des campagnes visant non seulement les utilisateurs mais aussi les entreprises, souligne Fabien Rech, Vice-Président Europe du Sud, Benelux et Israël chez McAfee. Les pirates profiteront de l’absence de mises à jour régulières des logiciels, du manque de dispositifs de sécurité, de la faiblesse des politiques de protection de la vie privée, des exploits de vulnérabilités et de la vulnérabilité des utilisateurs à l’ingénierie sociale« .

En compromettant l’environnement domestique, ces acteurs malveillants lanceront une série d’attaques sur les appareils des entreprises et des consommateurs en 2021.