Archives de catégorie : Logiciels

Actualités liées logiciels de sécurité informatique et protections numériques des entreprises et particuliers.

Apple, Cybersécurité, Mise à jour, Patch

AirPlay en péril : les failles « AirBorne » mettent en danger des milliards d’appareils Apple

Des chercheurs ont découvert 23 vulnérabilités dans AirPlay, menaçant potentiellement plus de deux milliards d’appareils Apple et tiers d’attaques informatiques sophistiquées.

La dernière alerte de cybersécurité en date concerne l’un des protocoles les plus utilisés de l’écosystème Apple : AirPlay. Conçu pour permettre la transmission fluide de contenu audio, vidéo ou d’affichage entre appareils Apple – ou vers des appareils tiers compatibles – AirPlay est aujourd’hui au centre d’un problème de sécurité d’envergure. Le 31 mars 2025, Apple a publié une série de correctifs critiques pour iOS, macOS, iPadOS, visionOS ainsi que pour les SDK audio et vidéo AirPlay. En cause : un ensemble de 23 vulnérabilités découvertes par les experts de la société Oligo Security, regroupées sous le nom évocateur de « AirBorne ».

Ces failles permettent notamment l’exécution de code à distance, les attaques Man-in-the-Middle (MitM), le déni de service, l’interaction non autorisée avec l’utilisateur et la lecture de fichiers locaux. Parmi les menaces les plus graves identifiées : deux failles de type « zéro clic », permettant de compromettre un appareil sans aucune interaction de l’utilisateur, et une autre contournant la validation manuelle d’une connexion AirPlay. Ces vulnérabilités peuvent être exploitées via une connexion directe entre appareils ou à travers un réseau Wi-Fi partagé, décuplant ainsi leur potentiel de propagation et de nuisance.

Un risque systémique pour l’écosystème Apple

L’une des forces d’Apple – la connectivité fluide entre ses appareils – devient ici une faiblesse structurelle. Un iPhone compromis par AirBorne pourrait, par exemple, infecter un Mac, une Apple TV ou même un téléviseur tiers connecté au même réseau domestique ou professionnel. Les conséquences sont multiples : espionnage discret via prise de contrôle des flux audiovisuels, déploiement de rançongiciels, compromission de chaînes d’approvisionnement ou sabotage de systèmes critiques dans des environnements sensibles comme les hôpitaux ou les entreprises technologiques.

Les chercheurs d’Oligo Security ont démontré que des haut-parleurs Bose ou des téléviseurs intelligents compatibles AirPlay peuvent aussi être visés. À travers une vidéo de preuve de concept, ils ont montré qu’il est possible d’afficher des images arbitraires sur un appareil tiers, soulignant le potentiel d’un contrôle complet à distance.

« AirPlay est omniprésent et vulnérable »

Selon Oligo, pas moins de 2,35 milliards d’appareils Apple dans le monde sont concernés. À ce chiffre déjà vertigineux s’ajoutent des dizaines de millions d’appareils tiers, comme les haut-parleurs connectés, les téléviseurs intelligents et les systèmes de divertissement embarqués prenant en charge CarPlay. En clair, la surface d’attaque dépasse largement les seuls produits Apple.

« Étant donné qu’AirPlay est pris en charge par un grand nombre d’appareils, il faudra des années pour que beaucoup d’entre eux soient corrigés, ou ils ne le seront jamais« , avertissent les chercheurs.

Cette prédiction fait froid dans le dos. Car si Apple a rapidement publié des correctifs pour ses propres appareils, les fabricants tiers devront adapter, tester et déployer leurs propres mises à jour pour les intégrer. Or, dans le monde de l’électronique grand public, où les mises à jour logicielles tardent souvent – voire sont complètement négligées – ce délai représente un danger concret et durable.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Des attaques potentiellement autonomes et persistantes

Les failles AirBorne sont d’autant plus préoccupantes qu’elles pourraient être utilisées pour créer un ver, c’est-à-dire un logiciel malveillant capable de se propager de manière autonome d’un appareil vulnérable à un autre. Cela rappelle les grands incidents informatiques comme WannaCry ou NotPetya, qui ont paralysé des réseaux entiers à l’échelle mondiale.

Dans le cas présent, un tel ver pourrait tirer parti de la connectivité sans fil entre les appareils pour s’infiltrer sans laisser de trace visible. Il suffirait qu’un utilisateur se connecte à un réseau Wi-Fi public ou mal sécurisé pour voir son téléphone ou son ordinateur portable compromis, devenant alors un vecteur d’infection pour tous les autres appareils compatibles AirPlay du réseau.

« Ce type de vulnérabilités peut avoir de graves conséquences« , écrivent les experts, soulignant que l’attaque peut débuter par un simple partage de contenu AirPlay entre deux appareils de confiance.

Des réponses à mettre en œuvre rapidement

Face à cette menace, la réponse ne peut pas se limiter à des correctifs techniques. Les chercheurs appellent les entreprises à mettre immédiatement à jour tous les appareils Apple qu’elles utilisent, y compris les terminaux personnels des employés, et à désactiver AirPlay lorsqu’il n’est pas indispensable.

Ils recommandent également de limiter l’accès à AirPlay par le biais de pare-feux ou de règles de sécurité réseau, en s’assurant que seuls des appareils connus et approuvés puissent établir une connexion. Ces mesures sont relativement simples à mettre en œuvre dans un environnement d’entreprise, mais beaucoup plus complexes dans le grand public, où la commodité prime souvent sur la sécurité.

Du côté d’Apple, la réponse a été rapide, mais reste partielle. En publiant des mises à jour pour iOS 18.4, macOS Sonoma 14.7.5, Ventura 13.7.5, Sequoia 15.4 et visionOS 2.4, l’entreprise a montré sa capacité à réagir efficacement. Toutefois, elle ne peut pas imposer aux fabricants tiers de patcher leurs produits, ni contraindre les utilisateurs à installer les mises à jour.

Cela pose la question de la gestion de la sécurité dans les écosystèmes interconnectés, où la responsabilité est répartie entre plusieurs acteurs : Apple, les fabricants tiers, les développeurs de logiciels, les fournisseurs d’accès et, bien sûr, les utilisateurs eux-mêmes.

La promesse d’AirPlay se heurte à la réalité des cybermenaces

Depuis son lancement, AirPlay a été présenté comme un symbole d’innovation, de simplicité et d’interopérabilité. Mais en 2025, cette vision est remise en question par une réalité plus sombre : celle de systèmes complexes, où chaque fonction peut devenir un vecteur de compromission.

À mesure que les objets connectés prolifèrent, que les voitures s’équipent de CarPlay, et que les foyers adoptent des téléviseurs toujours plus intelligents, la sécurité des protocoles comme AirPlay devient une priorité stratégique. Car si ces failles venaient à être exploitées à grande échelle, les conséquences pourraient être dramatiques pour les particuliers comme pour les organisations.

D’autant que la connectivité AirPlay est souvent active par défaut, exposant sans le savoir de nombreux utilisateurs à des risques qu’ils ne soupçonnent même pas. L’illusion de sécurité procurée par la marque Apple pourrait ainsi jouer contre elle, en incitant à un excès de confiance.

L’affaire AirBorne pose, en filigrane, la question fondamentale de la confiance dans les technologies que nous utilisons chaque jour. Quand un protocole aussi central et populaire qu’AirPlay se révèle vulnérable à des attaques sophistiquées, c’est l’ensemble de l’édifice numérique qui vacille.

Les prochaines semaines diront si les mises à jour d’Apple suffiront à juguler la menace ou si, comme le craignent certains experts, une vague d’attaques exploitant ces failles se prépare. Mais une chose est sûre : l’affaire AirBorne marquera un tournant dans la manière dont la sécurité des protocoles sans fil est perçue, tant par les ingénieurs que par le grand public.

En fin de compte, cette alerte pourrait-elle inciter les fabricants à repenser l’architecture de leurs systèmes et à accorder une priorité absolue à la sécurité dès la conception ?

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

Cybersécurité, Logiciels

La sécurité des applications ne se limite pas à leur code

Les applications d’entreprise sont devenues des cibles privilégiées des pirates informatiques. Pourtant, sécuriser leur code ne suffit plus : l’humain et les usages non contrôlés, notamment liés à l’IA, représentent des menaces tout aussi critiques.

À l’heure où l’intelligence artificielle générative s’immisce dans les processus métiers, les entreprises doivent repenser leur approche de la cybersécurité. Si l’audit de code reste un pilier technique essentiel, il ne peut à lui seul garantir la sécurité des applications. La sensibilisation des collaborateurs et la gestion du Shadow IT, amplifié par l’usage non encadré de l’IA, sont devenues des enjeux majeurs pour prévenir les risques cyber.

Le Shadow IT et l’IA générative : une combinaison à haut risque

Le Shadow IT, ou informatique fantôme, désigne l’utilisation par les employés de logiciels ou services non approuvés par la direction des systèmes d’information. Avec l’essor de l’IA générative, ce phénomène prend une nouvelle dimension. Selon une étude récente, 68 % des employés utilisent des outils comme ChatGPT sans en informer leur DSI, exposant ainsi l’entreprise à des risques accrus de fuite de données et de non-conformité réglementaire.

L’utilisation non encadrée de ces outils peut entraîner la divulgation involontaire d’informations sensibles, la violation de normes telles que le RGPD, et la fragmentation du système d’information. Les entreprises doivent donc mettre en place des politiques claires et des outils de surveillance pour détecter et gérer ces usages non autorisés.

Face à ces menaces, l’audit de code source s’impose comme une démarche essentielle pour identifier et corriger les vulnérabilités des applications. En analysant le code, les entreprises peuvent détecter des failles de sécurité, améliorer la maintenabilité et s’assurer de la conformité aux bonnes pratiques de développement.

Des exemples de démarches d’audit de code source montrent que cette pratique permet non seulement de renforcer la sécurité, mais aussi d’optimiser les performances et la scalabilité des applications. En intégrant l’audit de code dès les premières phases de développement, les entreprises adoptent une approche proactive de la cybersécurité.

La sensibilisation des collaborateurs : un bouclier du quotidien

Cependant, la sécurité ne repose pas uniquement sur des mesures techniques. Les collaborateurs jouent un rôle crucial dans la protection des systèmes d’information. Une erreur humaine, comme l’ouverture d’un e-mail de phishing ou l’utilisation d’un mot de passe faible, peut compromettre l’ensemble du réseau.

Pour renforcer la vigilance des employés, des formations proposées par le groupe Inside permettent de sensibiliser aux bonnes pratiques en matière de cybersécurité. Ces programmes abordent des thématiques telles que la gestion des mots de passe, la reconnaissance des tentatives de phishing, et les comportements à adopter en cas de suspicion d’incident.

La combinaison d’audits de code réguliers et de formations continues des collaborateurs constitue une stratégie efficace pour renforcer la sécurité des applications. En intégrant ces deux dimensions, les entreprises peuvent anticiper les menaces, réagir rapidement en cas d’incident, et instaurer une culture de la cybersécurité à tous les niveaux.

Cette approche intégrée nécessite une collaboration étroite entre les équipes techniques et les départements métiers. En favorisant la communication et en mettant en place des processus clairs, les entreprises peuvent réduire les risques liés au Shadow IT et à l’utilisation non encadrée de l’IA.

La sécurité des applications ne peut plus se limiter à une simple analyse du code. Dans un environnement numérique en constante évolution, les entreprises doivent adopter une approche globale, combinant mesures techniques et sensibilisation des collaborateurs. En intégrant ces deux dimensions, elles pourront mieux anticiper les menaces et protéger efficacement leurs actifs numériques.

Apple, Cybersécurité, Mise à jour

Crash de Docker et faille SIP sur macOS : mise à jour critique indispensable

Les utilisateurs macOS de Docker rencontrent un crash critique bloquant le lancement de l’application. Une signature de fichiers incorrecte en est la cause, mais une mise à jour est déjà disponible.

Depuis le 7 janvier, de nombreux utilisateurs de Docker sur macOS se plaignent d’un blocage inattendu de l’application. En tentant de lancer Docker, un message d’erreur signalant un code malveillant s’affiche, provoquant la panique chez certains utilisateurs. Une enquête approfondie a révélé que ces avertissements du système sont infondés, la cause réelle étant une signature incorrecte de certains fichiers du bundle Docker. Heureusement, une solution est déjà disponible avec la mise à jour vers la version 4.37.2. Toutefois, la mise en place de ce correctif n’est pas encore étendue à tous les utilisateurs. Retour sur cette crise technique et les étapes pour y remédier.

Origine du problème et conséquences

Les premiers signalements concernant le crash de Docker sur macOS sont apparus le 7 janvier 2025. Le problème a immédiatement attiré l’attention en raison de l’impact sur les flux de travail des développeurs utilisant Docker pour la gestion de conteneurs. Lors du lancement de l’application, un message d’alerte s’affichait indiquant un code potentiellement malveillant. Cette notification, générée par macOS, a rapidement été identifiée comme une fausse alerte, liée à des anomalies dans le système de certificat de macOS.

L’analyse a mis en lumière une signature incorrecte de certains fichiers du bundle Docker. Ce dysfonctionnement a perturbé les vérifications de sécurité effectuées par le système d’exploitation, interprétant ces fichiers comme potentiellement dangereux. À en juger par les informations disponibles, cette situation a entraîné un blocage complète de l’application chez de nombreux utilisateurs.

En réponse à cet incident, Docker Inc. a rapidement publié une mise à jour (4.37.2) incluant un correctif pour cette anomalie. Les utilisateurs peuvent résoudre le problème en installant cette nouvelle version. Pour les versions précédentes, des correctifs ont également été déployés sur les branches 4.32 à 4.36.

Cependant, la résolution n’est pas encore totale. La page d’état de Docker indique que certains utilisateurs n’ont pas encore effectué la mise à jour, ce qui complique l’évaluation globale de l’efficacité des correctifs.

Procédures de correction et solutions alternatives

Pour ceux qui rencontrent toujours des problèmes après la mise à jour, Docker a proposé des solutions supplémentaires. Les administrateurs systèmes peuvent utiliser un script MDM spécial pour corriger les erreurs persistantes. Ce script permet de réinitialiser certains composants de Docker et de réinstaller les binaires correctement signés.

Pour une résolution manuelle, les étapes suivantes sont nécessaires :

  1. Arrêter l’application Docker, ainsi que les services vmetd et socket.
  2. Supprimer les anciens binaires de vmetd et socket.
  3. Installer les versions corrigées de ces fichiers.
  4. Redémarrer Docker pour finaliser la procédure.

Ces opérations peuvent s’avérer chronophages pour les équipes techniques gérant un parc informatique important. D’où l’importance de privilégier la mise à jour automatique avec les fichiers signés.

Malgré ces efforts, il reste des doutes sur la stabilité globale du service. Certains utilisateurs rapportent encore des dysfonctionnements mineurs, laissant penser que le problème n’est pas entièrement résolu. À mesure que davantage d’utilisateurs adoptent les correctifs, l’impact des problèmes résiduels devrait diminuer.

Une vulnérabilité SIP révélée en parallèle

Parallèlement à cet incident, une autre menace sécuritaire a été mise en évidence sur macOS. Microsoft a découvert une vulnérabilité critique, identifiée sous le nom de CVE-2024-44243, qui permet à des attaquants locaux de contourner la protection d’intégrité du système (SIP).

SIP, ou System Integrity Protection, est un mécanisme conçu pour empêcher les programmes malveillants d’accéder à certains répertoires ou de modifier des fichiers systèmes critiques. Cette protection restreint les privilèges du compte root et limite l’accès à certains composants aux seuls processus signés par Apple.

Cependant, la faille CVE-2024-44243 permet de désactiver cette protection en exploitant une vulnérabilité dans le démon Storage Kit, qui surveille l’état des disques. Une fois exploitée, cette faille permet à des attaquants de contourner SIP et d’installer des rootkits, compromettant ainsi gravement la sécurité du système.

Apple a corrigé cette faille avec la version macOS Sequoia 15.2, publiée en décembre. Il est donc essentiel pour les utilisateurs de s’assurer que leur système est à jour. Microsoft, quant à elle, a publié les détails techniques de cette vulnérabilité afin d’informer les administrateurs systèmes et d’accélérer la mise en œuvre des correctifs.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Cybersécurité, Entreprise, Microsoft, Patch

Massgrave : un crack ultime pour les licences Windows et Office ?

Le groupe de crackers Massgrave annonce avoir trouvé une méthode pour activer presque toutes les versions de Windows et Office, incluant des licences permanentes.

Le groupe de « pirate de logiciels » Massgrave (MassGravel) affirme avoir réalisé une avancée majeure dans le piratage des licences des logiciels Microsoft, permettant désormais d’activer quasiment toutes les versions de Windows et Office de manière permanente.

Selon leurs déclarations, cette nouvelle méthode fonctionne sur toutes les éditions clients et serveurs de Windows, y compris les mises à jour de sécurité étendues (ESU) et les clés de licence spécifiques à Microsoft (CSVLK). Massgrave promet ainsi une activation complète pour des versions allant de Windows Vista jusqu’à Windows 11 et Server 2025.

Cette méthode, encore en développement, pourrait également offrir un support prolongé pour Windows 10 à partir d’octobre 2025, date à laquelle le support officiel prendra fin. Les outils de Massgrave, disponibles en open source sur GitHub, illustrent une nouvelle étape dans la guerre entre Microsoft et les pirates, avec des implications majeures pour la cybersécurité.

Une fenêtre pirate pour Windows

Massgrave a récemment annoncé une méthode permettant d’activer « presque toutes les protections de licence des logiciels Windows et Office » de manière permanente. Leur nouvelle technique, basée sur une extension des solutions de contournement existantes, inclut des fonctionnalités avancées comme la prise en charge des mises à jour de sécurité étendues (ESU) et des licences en volume spécifiques (CSVLK), rendant la méthode compatible avec les dernières versions de Windows et Office. Autant dire que Microsoft pourrait voir d’un très mauvais œil cette annonce.

Depuis des années, l’activation des logiciels Microsoft nécessite une clé valide ou une licence officielle. Cependant, les solutions de contournement, souvent basées sur des lignes de commande PowerShell, permettent d’activer temporairement certaines versions. Massgrave franchit un nouveau cap en revendiquant une méthode capable d’activer définitivement Windows 8, Windows 10, et même Windows 11, ainsi que les dernières éditions d’Office, y compris Server 2025.

Les crackers annoncent également que leur outil offrira un support étendu (ESU) pour Windows 10, prévu pour octobre 2025. Cette fonctionnalité est particulièrement attirante pour les utilisateurs souhaitant prolonger la durée de vie de leurs systèmes après la fin du support officiel.

Le groupe a également souligné que leurs outils, disponibles en open source sous le projet Microsoft Activation Scripts (MAS) sur GitHub, illustrent un paradoxe intéressant : malgré la visibilité de ces projets, Microsoft n’a pris aucune mesure significative pour les bloquer. Il est même rapporté que certains ingénieurs du support Microsoft auraient utilisé les solutions de Massgrave dans des situations de dépannage. (Sic!)

La disponibilité des outils sur GitHub pose des questions sur la politique de tolérance de Microsoft envers ce type de pratiques. Alors que l’entreprise pourrait engager des actions pour limiter leur diffusion, elle semble, jusqu’à présent, adopter une posture passive. Cette situation alimente un débat sur la manière dont les grandes entreprises technologiques gèrent le piratage de leurs propres produits.

Massgrave précise que leur nouvelle méthode est encore en phase de développement et devrait être disponible dans les mois à venir.

Préoccupation pour les entreprises

Pour les entreprises, cette annonce soulève des préoccupations importantes en matière de cybersécurité et de conformité légale. D’abord le risque de se faire piéger par des logiciels crackés. Le cas des logiciels professionnels piégés par l’info stealer Redline en est un parfait exemple.

Ensuite, l’utilisation de cracks, bien qu’elle puisse sembler une solution rapide et économique, expose les utilisateurs à des risques majeurs. Ces outils peuvent inclure des malwares ou des portes dérobées, rendant les systèmes vulnérables aux attaques. De plus, l’usage de logiciels non licenciés constitue une violation des termes d’utilisation, avec des implications légales et financières potentielles.

Alors que Massgrave promet une avancée significative dans le piratage, il est crucial de rappeler que l’utilisation de ces outils n’est pas sans conséquence. Les entreprises comme les particuliers doivent se méfier des solutions « trop belles pour être vraies » et privilégier des alternatives légales pour sécuriser leurs systèmes.

Années 2010 : Premiers outils d’activation temporaire basés sur PowerShell.
2020 : Développement du projet Microsoft Activation Scripts (MAS) par Massgrave.
Décembre 2024 : Annonce d’une méthode révolutionnaire pour activer Windows et Office de manière permanente.
2025 : Prévision d’un support étendu (ESU) pour Windows 10 après la fin du support officiel.

L’annonce de Massgrave illustre les défis croissants auxquels sont confrontées les entreprises technologiques comme Microsoft face au piratage de leurs produits.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

cryptolocker, Cybersécurité, Entreprise

Vente du code source du Ransomware INC

Depuis août 2023, le ransomware INC, fonctionnant sous le modèle Ransomware-as-a-Service (RaaS), fait parler de lui. Le code source a été mis en vente sur le darknet.

Par le passé, des entreprises notables comme la division américaine de Xerox Business Solutions, la division philippine de Yamaha Motor, et le National Health Service of Scotland (NHS) ont été touchées par le ransomware Ransomware INC. Le code source du ransomware est en vente, mais il semblerait aussi qu’une scission soit survenue au sein du groupe de hackers. Un individu surnommé salfetka a proposé les versions Windows et Linux/ESXi d’INC sur des forums de hackers, demandant 300 000 $ et limitant l’offre à trois acheteurs potentiels.

Les annonces de vente que le Service Veille ZATAZ a repéré mentionnent des détails techniques, comme l’utilisation d’AES-128 en mode CTR et l’algorithme Curve25519 de Donna, cohérents avec les analyses publiques précédentes des échantillons de INC Ransom.

Actif sur les forums de hackers depuis mars 2024, salfetka avait tenté d’acheter l’accès au réseau d’une organisation pour 7 000 $ et avait proposé une part de la rançon lors d’une future attaque. Sa signature inclut les URL des anciennes et nouvelles pages de INC Ransom, suggérant un lien avec le ransomware. Du moins tente-t-il de le faire croire.

Le 1er mai 2024, le groupe a annoncé sur son ancien site web qu’il déménageait vers un nouveau blog avec une adresse Tor, l’ancien site devant fermer dans deux à trois mois.

Un nouveau site qui reste sobre et affichant peu d’informations. Les divergences entre les deux sites pourraient indiquer un changement de direction ou une scission en différents groupes. Salfetka référant aux deux sites comme étant ses projets pourrait signifier qu’il est associé aux deux et que le nouveau blog a été créé pour maximiser les profits de la vente.

A moins qu’une infiltration des autorités se soit chargée de faire tomber ces criminels.

Cybersécurité, Mise à jour, Wordpress

Vulnérabilité critique pour 1 million de site sous WordPress

Une vulnérabilité critique d’injection SQL dans le populaire plugin LayerSlider pour WordPress pourrait être utilisée pour extraire des informations sensibles des bases de données, telles que les hachages de mots de passe.

LayerSlider est un outil permettant de créer des sliders, des galeries d’images et des animations sur les sites WordPress. Le plugin est utilisé sur environ un million de sites Web. Le problème, identifié comme CVE-2024-2879 et avec un score CVSS de 9,8 [Trés grave], décrit un problème d’injection SQL qui affecte toutes les versions du plugin de 7.9.11 à 7.10.0. La vulnérabilité a été découverte par le chercheur en sécurité AmrAwad et corrigée dans la version 7.10.1 , publiée le 27 mars 2024. Pour divulgation responsable et découverte de la vulnérabilité, le spécialiste a reçu une récompense de 5 500 $.

Selon les experts de Wordfence, le problème a permis aux attaquants d’extraire des données confidentielles de la base de données de sites vulnérables. La vulnérabilité était liée au traitement du paramètre id dans la fonction du plugin ls_get_popup_markup. Étant donné que le paramètre id n’était pas correctement traité, les attaquants pouvaient injecter du code SQL malveillant dans des requêtes spécialement conçues, entraînant ainsi l’exécution de commandes, et l’exfiltration de données.

La structure des requêtes possibles réduisait l’attaque à une injection SQL aveugle dans le temps, c’est-à-dire que les attaquants devaient observer le temps de réponse pour obtenir les données de la base de données. Mais malgré ces limitations, CVE-2024-2879 permettait toujours de récupérer des informations de la base de données sans nécessiter d’authentification.

Android, Cybersécurité, Logiciels, Mise à jour

Correctifs importants pour Android

Google a publié de nouveaux correctifs pour Android, éliminant un total de 38 failles.

Début mars 2024, Google a mis en place 38 correctifs corrigeant son outil Android. Deux vulnérabilités affectant le composant Système ont été classées comme critiques. Ces derniers portent les identifiants CVE-2024-0039 et CVE-2024-23717.

Tout d’abord, ils sont dangereux pour les utilisateurs d’Android 12, 12L, 13 et 14. Grâce à CVE-2024-0039, les attaquants peuvent exécuter du code malveillant à distance, et CVE-2024-23717 permet une élévation des droits dans le système d’exploitation.

Dans l’avis officiel, Google indique que « La plus dangereuse des vulnérabilités corrigées réside dans le composant système. Cela peut conduire à l’exécution de code à distance sans qu’il soit nécessaire d’obtenir des droits supplémentaires sur le système. »

Les développeurs ont corrigé les deux failles critiques avec la publication de la première partie des mises à jour Android de mars. 11 lacunes supplémentaires ont été corrigées. Huit vulnérabilités sont contenues dans le composant Framework, et trois autres dans le même système. Tous ces problèmes comportent un degré de risque élevé et peuvent conduire à une élévation de privilèges, à une divulgation d’informations et à une interruption de service (DoS).

La deuxième partie de l’ensemble de correctifs – niveau de correctif de sécurité 2024-03-05 – comble 25 trous dans les composants AMLogic, Arm, MediaTek et Qualcomm. De plus, Google a signalé avoir éliminé plus de 50 vulnérabilités dans les smartphones Pixel.

backdoor, Cybersécurité, Microsoft

Midnight blizzard : cyberattaque d’envergure contre Microsoft

Dans le paysage numérique actuel, les cyberattaques représentent une menace constante pour les entreprises et les organisations à travers le monde. Récemment, Microsoft a révélé avoir été la cible de Midnight Blizzard, un groupe de cyber espionnage lié au Kremlin.

Également connu sous les noms de APT29 et Cozy Bear, Midnight Blizzard a fait son apparition dans le paysage cybernétique en janvier 2024, lorsque Microsoft a signalé une attaque APT (Advanced Persistent Threat) ciblant les adresses électroniques de ses dirigeants et employés. La situation s’est aggravée lorsque Microsoft a découvert que des informations volées au sein de ses systèmes étaient utilisées pour accéder de manière non autorisée à ses réseaux.

Le groupe de pirates aurait réussi à infiltrer des référentiels contenant du code source ainsi que certains systèmes internes de l’entreprise. Heureusement, selon les informations actuelles, les systèmes d’interaction avec les clients semblent avoir été épargnés.

La réaction de microsoft face à l’attaque

Face à cette menace, Microsoft a rapidement entrepris une enquête approfondie pour évaluer l’ampleur du cyber incident et ses potentielles répercussions. L’entreprise surveille également de près l’utilisation des informations compromises dans le but de prévenir toute attaque ultérieure. Microsoft a souligné que les attaques menées par Midnight Blizzard se distinguent par l’ampleur des ressources déployées, la coordination et la détermination des cybercriminels, utilisant les données volées pour identifier de nouvelles cibles potentielles. Voilà qui expliquerait, peut-être, le nombre de 0day mis en vente, ces dernières semaines et révélées par ZATAZ.

Dans son billet de blog, Microsoft a mis en lumière les mesures de sécurité prises pour contrer les menaces posées par des acteurs de cyber espionnage de niveau gouvernemental comme Midnight Blizzard. Ces mesures reflètent l’engagement de l’entreprise à protéger ses infrastructures critiques et la sécurité de ses clients. En mettant l’accent sur la prévention, la détection et la réponse rapide aux incidents, Microsoft cherche à minimiser l’impact de telles attaques sur ses opérations et à garantir la continuité de ses services.

backdoor, Cybersécurité, Wordpress

Méfiez-vous des fausses notifications et plugins malveillants

La sécurité des sites Web WordPress est une préoccupation majeure pour de nombreux administrateurs. Récemment, une nouvelle menace a émergé sous la forme de fausses notifications de sécurité prétendant qu’une vulnérabilité dangereuse.

Répertoriée sous l‘ID CVE-2023-45124, affecte votre site. Mais méfiez vous, car cette menace n’est rien d’autre qu’une tentative sournoise d’infecter votre site avec un plugin malveillant.

Comment fonctionne cette attaque ? Les utilisateurs de WordPress reçoivent des e-mails qui semblent provenir de WordPress lui-même, alertant sur une vulnérabilité critique d’exécution de code à distance (RCE) détectée sur leur site. La peur de la sécurité incite les administrateurs à agir rapidement, et la solution semble simple : installer un plugin qui prétend résoudre le problème de sécurité.

Cependant, c’est là que réside le piège. En cliquant sur le bouton « Télécharger le plugin », les utilisateurs sont redirigés vers une page qui ressemble étonnamment au site officiel de WordPress, « wordpress.com ». La page affiche fièrement un nombre impressionnant de 500 000 téléchargements du plugin, ainsi que des avis d’utilisateurs élogieux. Toutefois, il s’agissait d’une fausse page reprenant la page officielle : « en-gb-wordpress[.]org » [la page officielle en-gb.wordpress.org], un subterfuge bien élaboré.

Après avoir installé le plugin, il crée un administrateur caché, baptisé « wpsecuritypatch« , et commence à envoyer des informations sensibles à un Serveur de Commande et Contrôle (C2). Le code malveillant est ensuite téléchargé et stocké sur le site, mettant potentiellement en danger l’intégrité de votre site Web.

Ce plugin malveillant est équipé de fonctionnalités redoutables, telles que la gestion de fichiers, un client SQL, une console PHP et un terminal de ligne de commande. De plus, il fournit aux attaquants des informations détaillées sur le serveur compromis, ce qui leur donne un contrôle considérable sur votre site.

Ce qui rend cette menace particulièrement sournoise, c’est que le plugin ne s’affiche pas dans la liste des plugins installés, le cachant ainsi aux yeux des administrateurs. Cette dissimulation rend sa détection et sa suppression difficiles.

Alors, quel est l’objectif final de ce plugin malveillant ? Pour l’instant, il demeure un mystère, mais les experts en sécurité émettent des hypothèses inquiétantes. Il pourrait être utilisé pour injecter de la publicité sur des sites compromis, rediriger les visiteurs vers des destinations malveillantes, voler des informations confidentielles ou même faire chanter les propriétaires de sites en menaçant de divulguer le contenu de leur base de données.

Heureusement, des experts en sécurité WordPress tels que Wordfence et PatchStack ont pris des mesures pour alerter la communauté. Ils ont publié des avertissements sur leurs sites Web pour sensibiliser les administrateurs et les utilisateurs à cette menace grandissante.

Alors, que pouvez-vous faire pour protéger votre site WordPress ? Tout d’abord, soyez extrêmement prudent lors de l’installation de plugins inconnus. Assurez-vous de les télécharger à partir de sources fiables uniquement. De plus, soyez vigilant face à tout e-mail suspect prétendant provenir de WordPress.