Cybersécurité, Mise à jour

Nvidia met en garde contre des vulnérabilités critiques dans ses cartes graphiques

Aprés des failles sérieuses pour Android de Google, c’est au tour de NVIDIA, le géant de la carte graphique, d’alerter de problèmes de sécurité visant certains de ses hardwares.

Dans un récent rapport de sécurité, le principal développeur de GPU et SoC, Nvidia, met en garde les utilisateurs contre les vulnérabilités critiques de ses cartes graphiques.

La récente publication de la mise à jour du pilote 566.03 de Nvidia corrige un certain nombre de vulnérabilités critiques qui menacent la sécurité des propriétaires de cartes graphiques Nvidia. Parmi les vulnérabilités les plus dangereuses figure CVE-2024-0126, avec un score CVSS de 8,2, qui pourrait permettre aux attaquants d’exécuter du code arbitraire, d’élever les privilèges et de voler des données sur les appareils vulnérables. Cette vulnérabilité affecte les cartes graphiques des séries Nvidia RTX, Quadro, NVS et Tesla, ainsi que les produits GeForce sur les systèmes Windows et Linux.

Les vulnérabilités CVE-2024-0117, CVE-2024-0118 et d’autres ont également été découvertes, qui permettent à des utilisateurs non privilégiés d’interférer avec le système, provoquant des plantages et pouvant potentiellement obtenir un accès complet aux données.

Les pirates utilisant ces vulnérabilités peuvent obtenir un accès non autorisé aux systèmes de l’entreprise en exécutant du code à distance et en obtenant des privilèges élevés. Cela peut entraîner une fuite de données confidentielles, un sabotage des processus métier et de graves perturbations des services critiques. De plus, de telles attaques peuvent provoquer des temps d’arrêt, endommager les réseaux d’entreprise et nuire à la situation financière et à la réputation d’une entreprise si les données des clients sont compromises.

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

Cybersécurité, Entreprise

CISA et FBI alertent sur les bonnes pratiques sécurité dans les logiciels

Le monde numérique repose sur une infrastructure vaste et complexe de logiciels qui régissent presque tous les aspects de la vie moderne. Cependant, cette dépendance croissante aux produits logiciels expose également les infrastructures critiques, les entreprises et les particuliers à des risques de sécurité potentiellement dévastateurs.

Le 26 octobre 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en collaboration avec le Federal Bureau of Investigation (FBI), a dévoilé une série de recommandations sur les pratiques de sécurité à éviter dans le développement des produits logiciels, appelées « mauvaises pratiques » (« Bad Practices »). Ces pratiques représentent des faiblesses importantes dans les produits finaux et compromettent leur sécurité et leur fiabilité.

Dans un contexte où la cybersécurité est un impératif pour le bon fonctionnement des infrastructures critiques, la CISA et le FBI invitent le public, les professionnels de la cybersécurité, et les fabricants de logiciels à contribuer en partageant leurs commentaires et suggestions sur ce document de bonnes pratiques. Cette initiative, intitulée « Secure by Design », vise à encourager une approche proactive où la sécurité est intégrée dans les produits dès leur conception.

Les « Mauvaises Pratiques » Identifiées

Les directives mises en avant par la CISA et le FBI identifient des pratiques courantes dans le développement de produits, qui sont souvent négligées en matière de sécurité et exposent les systèmes à des vulnérabilités graves. L’une des principales préoccupations est la manière dont les développeurs abordent la sécurité au cours du cycle de vie des produits, en particulier les choix de conception, les configurations par défaut et les failles de sécurité non corrigées.

Les pratiques jugées comme les plus risquées incluent :

Absence de sécurisation par défaut : Dans de nombreux cas, les produits logiciels sont expédiés sans configuration de sécurité active par défaut, laissant ainsi aux utilisateurs la responsabilité de mettre en place eux-mêmes des paramètres de sécurité adéquats.
Stockage et Transmission des Données Non Sécurisées : L’utilisation de méthodes non sécurisées pour le stockage ou la transmission de données sensibles, telles que des mots de passe ou des informations d’identification personnelle, ouvre la porte aux cyberattaques.
Absence de Mises à Jour Automatiques ou de Patches Réguliers : Les produits qui ne disposent pas de mécanismes automatiques pour les mises à jour de sécurité sont particulièrement vulnérables, car les utilisateurs ne sont souvent pas informés des mises à jour critiques, augmentant ainsi les risques d’attaques réussies.
Les Dangers pour les Infrastructures Critiques
Ces pratiques concernent en premier lieu les infrastructures critiques, un ensemble de systèmes essentiels pour le bon fonctionnement d’une société, comme l’approvisionnement en énergie, les télécommunications et les soins de santé. Les cyberattaques ciblant ces infrastructures peuvent entraîner des conséquences potentiellement désastreuses, y compris des pannes de courant, des interruptions de services de communication, et des atteintes à la sécurité des patients dans les hôpitaux. La CISA et le FBI soulignent que les produits logiciels destinés à ces infrastructures devraient bénéficier d’une attention de sécurité renforcée.

Ces mauvaises pratiques représentent également un risque pour les petites et moyennes entreprises (PME) qui, souvent, n’ont pas les ressources pour se protéger efficacement des menaces de cybersécurité. En utilisant des produits vulnérables, les PME exposent non seulement leur propre système, mais peuvent également servir de point d’entrée pour des attaques de plus grande ampleur visant des entreprises partenaires ou des réseaux plus larges.

« Secure by Design » : Intégrer la Sécurité dès la Conception

La campagne « Secure by Design » de la CISA et du FBI met l’accent sur une approche proactive de la sécurité dans la conception des produits. Cette approche incite les développeurs à prévoir des mesures de sécurité dès le début du processus de création d’un produit. L’idée est de ne pas considérer la sécurité comme une simple mise à jour ou un patch appliqué en fin de cycle, mais comme un élément fondamental intégré dans chaque phase de développement. Les recommandations encouragent les entreprises technologiques et les développeurs à adopter des pratiques comme :

Des Paramètres de Sécurité par Défaut : Assurer que les produits sont configurés de manière sécurisée dès l’installation, pour éviter que les utilisateurs finaux n’aient à modifier manuellement ces paramètres.
Des Protocoles de Chiffrement Solides : Utiliser des méthodes de chiffrement de pointe pour le stockage et la transmission des données sensibles, réduisant ainsi le risque de compromission.
Des Mises à Jour Automatisées et Simples d’Accès : Faciliter la gestion des mises à jour de sécurité en intégrant des processus automatisés qui alertent les utilisateurs en temps réel des correctifs nécessaires.
En agissant ainsi, la CISA et le FBI espèrent que les produits sécurisés dès la conception deviendront une norme, non seulement pour les infrastructures critiques, mais aussi pour tous les secteurs qui reposent sur des technologies numériques avancées.

Commentaires Publics et Implication de l’Industrie

L’une des étapes clés de cette initiative est l’appel aux commentaires publics, ouvert jusqu’au 16 décembre 2024. Cet appel invite les fabricants de logiciels, les experts en cybersécurité, ainsi que toute partie prenante du domaine à examiner les directives publiées et à contribuer par des suggestions. L’objectif est de créer une base de pratiques sécurisées partagées et appliquées par l’ensemble de l’industrie.

Cet effort collaboratif vise à renforcer la sécurité à tous les niveaux, de la petite entreprise à la grande infrastructure critique, pour développer une cyber-résilience commune. L’implication de l’industrie dans ce processus est essentielle pour s’assurer que ces pratiques de sécurité soient non seulement adoptées, mais aussi constamment améliorées et adaptées aux menaces émergentes.

La Responsabilité Partagée pour un Futur Plus Sûr

En somme, la publication de ces mauvaises pratiques par la CISA et le FBI représente une étape significative vers un renforcement de la cybersécurité globale. En encourageant des pratiques sécurisées dès la conception des produits, cette initiative vise à réduire les risques auxquels les infrastructures et les utilisateurs sont confrontés. Les commentaires publics permettront d’enrichir et de peaufiner ces recommandations, et d’établir un consensus sur les meilleures pratiques en matière de développement de logiciels.

Pour les entreprises, développeurs, et utilisateurs finaux, cette démarche de la CISA et du FBI rappelle que la sécurité numérique est une responsabilité partagée. Le respect de ces directives contribuera à la construction d’un écosystème numérique plus sûr et plus résilient, dans lequel chaque acteur joue un rôle crucial pour se prémunir contre les cybermenaces.

Cybersécurité, Entreprise, Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Cybersécurité

Microsoft avertit ses clients d’une perte de journaux critiques due à un bug

Microsoft a récemment averti plusieurs entreprises clientes d’une perte de journaux critiques en raison d’un bug technique, affectant la période du 2 au 19 septembre.

Les journaux de sécurité sont cruciaux pour la surveillance des accès non autorisés et des activités suspectes. Le bug qui a touché plusieurs services de Microsoft, notamment Microsoft Entra, Azure Logic Apps, Microsoft Sentinel, et Azure Monitor, a couvert une période de 15 jours, du 2 au 19 septembre 2024. Les organisations s’appuient sur ces enregistrements pour détecter des cybermenaces, et leur absence pourrait compliquer l’analyse des données et la sécurité globale des systèmes.

Parmi les services touchés, Microsoft Entra a subi des lacunes dans les tentatives de connexion enregistrées, compromettant la surveillance des accès réseau. Azure Logic Apps et Azure Monitor ont rapporté des pertes dans les données de télémétrie et les journaux de ressources. Pour Microsoft Sentinel, qui gère les journaux de sécurité, les échecs de journalisation compliquent la détection des menaces, rendant plus difficile l’identification de comportements malveillants.

Origines du bug

Selon Microsoft, ce problème est survenu alors que l’entreprise tentait de résoudre un autre dysfonctionnement lié à son service de collecte de journaux. Bien que les détails techniques restent limités, Microsoft a travaillé à résoudre ce nouveau bug dès qu’il a été découvert.

Les entreprises concernées s’appuient sur ces journaux pour assurer la cybersécurité et surveiller les anomalies dans les comportements réseau. L’absence de données pendant cette période pourrait rendre les systèmes vulnérables et ralentir l’investigation en cas d’attaque cybernétique. Les failles dans des services comme Azure Virtual Desktop et Power Platform compliquent également l’accès aux données d’analyse essentielles pour le bon fonctionnement des opérations informatiques.

Microsoft, dans son communiqué, a affirmé qu’il prenait l’incident très au sérieux. La société travaille activement à résoudre les problèmes sous-jacents et assure que des mesures supplémentaires sont mises en place pour éviter de futures interruptions de ce type. L’entreprise conseille à ses clients de vérifier leurs systèmes et de renforcer leurs protocoles de sécurité pour combler les potentielles lacunes créées par la perte des journaux. (business insider)

Entreprise

Discord interdit en Russie, Kaspersky interdit sur Google Play

Une nouvelle plateforme communautaire interdite en Russie. Discord ne fonctionne plus pour les internautes Russes. Pendant ce temps, Kaspersky est banni du Google Store.

La plateforme populaire de communication vocale et de messagerie Discord a été officiellement bloquée en Russie, marquant une nouvelle étape dans les efforts du gouvernement pour renforcer le contrôle sur l’espace Internet du pays. Roskomnadzor, l’agence russe de régulation des communications, a expliqué que ce blocage était dû au non-respect des lois russes sur le stockage des données sur le territoire national et le filtrage des contenus. Selon Roskomnadzor, Discord aurait ignoré à plusieurs reprises les avertissements concernant la localisation des serveurs et l’accès aux données des utilisateurs, ce qui, selon l’agence, constitue une menace pour la sécurité nationale. Le service a également souligné que la plateforme permettait une communication anonyme qui pourrait être exploitée à des fins d’extrémisme et de terrorisme.

Dans ce contexte, la Russie exige que toutes les plateformes stockant des données personnelles localisent ces informations sur des serveurs russes et les rendent accessibles aux autorités en cas d’enquête, notamment dans le cadre de la lutte contre l’extrémisme et le terrorisme. Roskomnadzor a réitéré que la protection des citoyens russes contre les violations de leurs données personnelles et la préservation de la souveraineté informationnelle du pays sont des priorités. Le blocage de Discord, tout comme celui d’autres plateformes internationales, entre dans cette logique.

La décision de bloquer Discord a eu des répercussions immédiates et significatives sur la communauté en ligne russe. Bien que la plateforme soit largement connue pour son utilisation dans les jeux vidéo, elle est également devenue un outil essentiel pour de nombreux professionnels et étudiants, en particulier pour les réunions de travail, les échanges de projets et même les formations à distance. Selon Downdetector, les premiers problèmes d’accès à Discord ont été signalés le matin du 8 octobre. Plus tard dans la journée, Roskomnadzor a confirmé que la plateforme avait été bloquée. Le blocage de Discord s’ajoute à une série d’interdictions similaires visant d’autres plateformes populaires telles que LinkedIn, Google News et, plus récemment, Instagram, sous prétexte de non-respect des lois russes sur la cybersécurité et la protection des données.

Pour de nombreux utilisateurs russes, le blocage de Discord représente un coup dur, notamment pour ceux qui l’utilisent comme un outil de communication clé dans le cadre de leurs activités professionnelles ou personnelles. De nombreuses personnes ont exprimé leur frustration face à cette décision, tandis que d’autres recherchent déjà des solutions pour contourner le blocage, notamment par l’utilisation de VPN. Alors que les réactions varient, une question demeure : comment cette série de blocages affectera-t-elle l’avenir du numérique en Russie et la place des grandes plateformes internationales dans ce paysage de plus en plus restreint ?

Pendant ce temps, Kaspersky, l’éditeur d’antivirus Russe, se retrouvait éjecté de la boutique de Google. Les produits Kaspersky Lab tels que Kaspersky Endpoint Security et VPN & Antivirus de Kaspersky ne sont plus disponibles au téléchargement sur Google Play aux États-Unis et dans plusieurs autres régions du monde. Les forums officiels de Kaspersky ont confirmé le problème et indiqué que l’entreprise étudiait actuellement les raisons pour lesquelles ses applications ne sont plus disponibles sur le Google Play Store.

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

article partenaire, Entreprise

L’affichage dynamique au profit de votre entreprise

À l’ère de la digitalisation, les entreprises sont en quête de solutions de communication plus modernes et efficaces pour attirer l’attention de leur audience. L’affichage dynamique s’impose aujourd’hui comme une réponse puissante à ce besoin, permettant de diffuser en temps réel du contenu diversifié (images, vidéos, pages web, flux de données, etc.) sur un grand nombre d’écrans. Parmi les acteurs de ce secteur, Cenareo se distingue avec une solution d’affichage dynamique qui combine ergonomie et puissance, adaptée à tous types de contextes et facile à adopter.

Qu’est-ce que l’affichage dynamique ?

L’affichage dynamique, ou Digital Signage, consiste à utiliser des écrans pour diffuser du contenu numérique et ainsi capter l’attention d’une audience ciblée. Ce mode de communication visuelle est particulièrement prisé dans les espaces publics, les commerces, les bureaux ou encore les lieux de transit (aéroports, gares). Contrairement aux supports traditionnels, il permet de diffuser des contenus variés et d’actualiser l’information en temps réel. Cela en fait un moyen flexible et engageant pour partager des informations, promouvoir des produits ou animer des espaces.

L’affichage dynamique Cenareo permet justement cette gestion centralisée et à distance de tous les écrans, avec une vue d’ensemble sur le parc d’affichage et les utilisateurs associés. Cette solution repose sur une plateforme de gestion intuitive, facilitant l’adoption rapide en interne et l’utilisation par des équipes locales. Grâce à des algorithmes de programmation intelligente, Cenareo propose une diffusion des contenus optimisée en fonction de nombreux critères, pour des campagnes toujours plus ciblées et efficaces.

Les avantages de l’affichage dynamique

L’un des principaux atouts de l’affichage dynamique réside dans la flexibilité et l’attractivité du contenu diffusé. Comparé à un affichage statique, il capte davantage l’attention grâce à l’utilisation de vidéos et d’images animées. De plus, les contenus peuvent être mis à jour en temps réel, permettant une grande réactivité en cas de modifications de dernière minute.

Les fonctionnalités de centralisation et de gestion à distance sont également des avantages notables pour les entreprises qui possèdent des écrans dans plusieurs lieux. Grâce à une interface de contrôle centralisée comme celle de Cenareo, les utilisateurs peuvent facilement piloter plusieurs écrans à partir d’un seul point, programmer les contenus et obtenir une vue d’ensemble en temps réel. Cela facilite la gestion d’un parc d’écrans, qu’il soit local ou réparti sur plusieurs sites.

Enfin, l’affichage dynamique permet de segmenter les messages selon des critères de contextualisation, optimisant ainsi l’impact des campagnes. Cenareo utilise un algorithme avancé pour contextualiser les campagnes en fonction de critères variés (heure de la journée, localisation, audience). La personnalisation ainsi obtenue améliore la pertinence des contenus et, par conséquent, l’engagement des spectateurs.

Choisir Cenareo pour un ROI rapide et un support de qualité

Opter pour la solution Cenareo, c’est aussi bénéficier d’un partenaire expert, transparent sur les coûts et proactif dans le support. La transparence des coûts garantit aux entreprises de maîtriser leur budget, tout en optimisant le retour sur investissement. Le support proposé par Cenareo assure, de surcroît, une prise en main rapide des équipes sur la plateforme, ainsi qu’une réponse rapide aux besoins et aux questions.

Cenareo propose un accompagnement technique et stratégique à chaque étape du projet, depuis l’installation jusqu’à la mise en place des contenus. Cette assistance proactif et efficace accélère le ROI du projet d’affichage dynamique et optimise la satisfaction des utilisateurs finaux.

Une communication toujours plus attractive et impactante

L’affichage dynamique Cenareo répond aux besoins de communication modernes en permettant une diffusion de contenu qui sait capter l’attention. Le potentiel de personnalisation et la gestion intuitive des écrans permettent d’adapter le message aux différentes cibles, qu’il s’agisse de clients, visiteurs ou collaborateurs en interne. La qualité du contenu diffusé est garantie par la prise en charge de nombreux formats (vidéos, images, pages web, flux RSS), et la flexibilité de la plateforme permet d’ajuster les diffusions en fonction de l’actualité ou des campagnes marketing en cours.

Avec Cenareo, chaque écran devient un atout pour la communication de l’entreprise. Les messages sont clairs, précis, et immédiatement visibles, contribuant à une communication sur écrans toujours attractive et impactante.

Un atout pour la stratégie digitale des entreprises

Pour les entreprises souhaitant améliorer leur communication visuelle, l’affichage dynamique représente bien plus qu’un simple support visuel : il s’agit d’un outil stratégique intégré dans les plans de marketing et de communication. En facilitant l’adaptation rapide aux changements et l’actualisation constante des messages, Cenareo permet aux entreprises d’adopter une posture proactive dans leur communication.

La solution Cenareo s’intègre facilement dans des environnements divers, qu’il s’agisse de sièges sociaux, de points de vente, ou d’espaces publics. Par son ergonomie et ses fonctionnalités avancées, cette solution aide les entreprises à rester réactives et à optimiser l’impact de leurs campagnes.

Bitcoin, Cybersécurité

Une attaque SIM-swap bouleverse le marché des cryptomonnaies

Janvier 2024, un incident majeur secoue le monde de la cryptomonnaie. La page officielle de la Securities and Exchange Commission (SEC) américaine sur le réseau social x a été la cible d’une attaque de type SIM-swap. ce type d’attaque, bien connu dans l’univers du piratage, permet à des cybercriminels de prendre le contrôle d’un numéro de téléphone en le transférant sur un autre appareil. Dans ce cas précis, les attaquants ont réussi à accéder au compte de la SEC, et ont publié un faux message qui allait perturber le marché du bitcoin de manière significative.

Avant d’analyser les détails de cette attaque, il est important de comprendre le fonctionnement d’une attaque SIM-swap. le principe est relativement simple : les cybercriminels ciblent les services de télécommunications pour rediriger un numéro de téléphone vers une nouvelle carte SIM en prétendant être le véritable propriétaire. une fois le contrôle obtenu, ils peuvent contourner les systèmes d’authentification, en particulier ceux reposant sur des SMS pour l’authentification à deux facteurs (2FA). Dans le cas de la SEC, l’authentification à deux facteurs n’était pas activée, ce qui a facilité l’accès des hackers au compte officiel sur le réseau social x. cette faille de sécurité a permis aux attaquants de publier un message prétendant que la SEC venait d’approuver un bitcoin-ETF, ce qui a déclenché une série de réactions sur le marché.

Le faux message qui sème la panique

Une fois aux commandes du compte officiel de la SEC, les pirates ont publié un faux message qui annonçait l’approbation d’un ETF bitcoin (un fonds indiciel coté permettant d’investir sur le bitcoin via la bourse). l’annonce d’un bitcoin-ETF est un événement très attendu par les investisseurs et les spéculateurs, car cela signifierait une étape majeure pour l’adoption légale de la cryptomonnaie. Le faux tweet a immédiatement provoqué une flambée du prix du bitcoin. les spéculateurs, voyant cette « information » relayée par un compte officiel aussi influent que celui de la SEC, ont rapidement investi dans la cryptomonnaie, ce qui a fait grimper sa valeur jusqu’à un sommet de 48 000 dollars en quelques minutes. c’est un bond spectaculaire pour une cryptomonnaie qui est soumise à de fortes fluctuations de prix.

Malheureusement, la hausse soudaine du prix du bitcoin ne fut que de courte durée. peu de temps après la publication du tweet, la SEC a réagi en déclarant que le message était faux et que leur compte avait été piraté. cette déclaration a provoqué un renversement brutal du marché : la valeur du bitcoin a chuté aussi vite qu’elle avait grimpé, créant un véritable effet de yo-yo. La chute brutale a provoqué des liquidations massives sur les marchés de la cryptomonnaie. environ 230 millions de dollars ont été liquidés, ce qui signifie que de nombreux investisseurs ont perdu d’importantes sommes d’argent. les traders utilisant des effets de levier ont été particulièrement affectés, car ils se sont retrouvés dans l’incapacité de maintenir leurs positions à cause des fluctuations soudaines. cette volatilité, alimentée par la publication d’une fausse information, a révélé à quel point le marché des cryptomonnaies peut être sensible à des manipulations externes, même lorsqu’elles sont brèves.

Comment une faille de sécurité a pu permettre une telle attaque

L’une des questions centrales qui ressort de cet incident est : comment une organisation aussi influente que la SEC a-t-elle pu être vulnérable à une attaque SIM-swap ? la réponse réside dans une série de manquements au niveau de la sécurité du compte sur x. Le plus préoccupant a été la désactivation de l’authentification à deux facteurs. en temps normal, l’authentification à deux facteurs ajoute une couche supplémentaire de sécurité en exigeant non seulement un mot de passe, mais aussi un code envoyé par SMS ou généré par une application. or, dans ce cas, cette fonctionnalité était désactivée, rendant l’accès au compte plus facile pour les pirates. De plus, l’attaque a ciblé le fournisseur de télécommunications de la SEC. les attaquants ont réussi à convaincre l’opérateur de transférer le numéro de téléphone associé au compte x vers un autre appareil, probablement en se faisant passer pour un employé de la SEC ou en utilisant des informations volées. cela a permis aux pirates de contourner les mesures de sécurité traditionnelles, comme la réinitialisation de mot de passe via un code envoyé par SMS.

Les répercussions de l’attaque et la réponse des autorités

La SEC, après avoir pris conscience de l’incident, a réagi rapidement en rétablissant l’authentification à deux facteurs sur ses comptes et en renforçant ses mesures de sécurité. mais l’impact de l’attaque a mis en lumière des vulnérabilités dans la gestion des comptes de réseaux sociaux par les grandes institutions. il est désormais clair que la désactivation de certaines fonctionnalités de sécurité peut avoir des conséquences dramatiques, en particulier dans un contexte où des millions d’investisseurs surveillent activement les annonces de la SEC. Les autorités américaines, dont le FBI et le département de la sécurité intérieure, ont également pris l’incident au sérieux. une enquête a été ouverte pour identifier les responsables de l’attaque et comprendre comment les pirates ont réussi à obtenir le contrôle du compte de la SEC.

Quelques semaines après l’attaque, le FBI a annoncé l’arrestation de l’auteur du piratage. les détails sur la façon dont l’arrestation a été effectuée restent confidentiels. Cet incident est un rappel de l’importance des mesures de sécurité en ligne, en particulier pour les entreprises et institutions qui gèrent des comptes à haute visibilité.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile