cyberattaque, Cybersécurité

Une nouvelle vague de diffusion du malware Qbot cible les entreprises avec des PDF malveillants

Début avril, découverte d’une nouvelle diffusion massive des logiciels malveillants Qbot. Le pirate cible les entreprises via leurs employés via des PDF Piégés.

Des attaquants malveillants utilisent une méthode inédite pour diffuser Qbot, un cheval de Troie bancaire notoire qui s’attaque aux entreprises en leur volant des données sensibles telles que des mots de passe et des correspondances professionnelles. Les attaquants ont lancé une campagne de spams qui utilise des fichiers PDF piégés comme pièces jointes pour infiltrer les systèmes informatiques de l’entreprise. Des experts en cybersécurité ont détecté plus de 5 000 courriels contenant des pièces jointes indésirables au format PDF dans plusieurs pays depuis le début d’avril.

Les attaquants utilisent des techniques d’ingénierie sociale avancées pour intercepter des échanges professionnels existants et y insérer des fichiers PDF malveillants. Les destinataires des courriels sont incités à ouvrir ces fichiers pour des raisons plausibles, telles que la consultation de la documentation associée ou le calcul des coûts d’un contrat. Une stratégie classique mais qui semble toujours porter ses fruits.

PDF piégé

Le contenu du fichier PDF partagé est une image qui imite une notification de Microsoft Office 365 ou de Microsoft Azure. Si l’utilisateur clique sur « Ouvrir », l’archive malveillante se télécharge sur son ordinateur à partir d’un serveur distant compromis.

Qbot permet aux pirates de contrôler le système infecté à distance et d’installer des ransomwares ou d’autres chevaux de Troie sur d’autres appareils du réseau. Les experts recommandent aux entreprises d’être vigilantes et de vérifier attentivement les signaux d’alerte tels que l’orthographe de l’adresse électronique de l’expéditeur, les pièces jointes suspectes et les erreurs grammaticales.

Qbot est un cheval de Troie bancaire notoire qui évolue dans le cadre d’un réseau de botnets. C’est un trojan capable de collecter des données telles que les mots de passe et les correspondances professionnelles des personnes ciblées. Cette interception permet aux pirates d’écrire des courriels aux contenus plausibles, car existant.

Depuis le début du mois d’avril, les chercheurs de Kaspersky ont observé un pic d’activité provoqué par une campagne de spam utilisant le schéma décrit plus haut, avec des pièces jointes au format PDF. On date le début de cette nouvelle vague à la soirée du 4 avril. Les courriers sont écrits en anglais, en allemand, en italien et en français.

Entreprise, Linkedin

Linkedin lance son vérificateur d’entreprise

Microsoft a annoncé le lancement d’une nouvelle méthode de vérification pour LinkedIn. Dorénavant, les employés pourront faire confirmer leur appartenance à la société qu’ils affichent.

« Nous sommes ravis d’annoncer que des millions de membres de LinkedIn pourront vérifier leur lieu de travail à l’aide d’un identifiant Microsoft Entra Verified ID. En recherchant simplement une vérification, les membres et les organisations peuvent être plus sûrs que les personnes avec lesquelles ils collaborent sont authentiques et que les connections professionnelles sur leurs profils sont exactes. » indique Microsoft, propriétaire de Linkedin, le réseau social pour professionnel.

Ce service, bien venu pour la sécurité des communications entre membres, pourra permettre d’éviter de finir dans les mains d’usurpateurs et autres malveillants. Pour le moment, le service ne fonctionnera qu’aux USA.

Comment ça marche ?

En quelques minutes seulement, les organisations peuvent utiliser Verified ID pour créer des identifiants numériques personnalisés pour leurs employés qui reflètent leur marque et leurs besoins professionnels. Grâce à cette solution, les membres de LinkedIn peuvent vérifier leur lieu de travail sur leur profil et obtenir leur identifiant numérique d’employé en quelques clics sur leur téléphone. Ils peuvent ensuite choisir de le partager sur LinkedIn après avoir envoyé une preuve de leur lieu de travail, qui sera vérifiée et affichée sur leur profil.

Le système de Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée et fonctionne selon un modèle de « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager sur des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Cependant, il est important de noter que LinkedIn est également utilisé comme vecteur d’hameçonnage capable d’attirer plus facilement qu’avec des courriels d’hameçonnage traditionnels. La plateforme a été utilisée à mauvais escient par plusieurs acteurs malveillants de premier plan dans leurs campagnes de phishing et de cyberespionnage, notamment par le groupe nord-coréen Lazarus. L’ajout d’une photo, d’un parcours et de quelques connexions partagées peut très facilement être utilisé pour manipuler une cible. Jusqu’à présent, il n’existait pas d’équivalent numérique à la carte d’identité physique, ce qui a malheureusement fait le jeu des cybercriminels.

La vérification des éléments d’identité et d’emploi ne peut à elle seule stopper complètement les attaquants qui tentent de créer des identités fictives et de fausses entreprises pour « vérifier » de faux emplois. Cependant, l’acceptation générale de la vérification des emplois sur LinkedIn rendrait plus difficile pour les acteurs malveillants d’usurper l’identité de comptes légitimes et de construire de fausses personnalités convaincantes. En effet, l’interaction numérique contribue souvent à l’art de la manipulation aux mains d’acteurs sophistiqués. Ce nouvel outil de vérification réduira sans aucun doute la menace actuelle et renforcera la confiance des utilisateurs.

Comme pour tous les nouveaux outils destinés à limiter les escroqueries, les mauvais acteurs tenteront inévitablement de le contourner. Cependant, il est important de souligner que Verified ID représente une avancée significative dans la lutte contre la fraude numérique. Les identités numériques sont une nécessité croissante.

L’année dernière, le Service Veille français ZATAZ avait découvert plusieurs dizaines de millions de comptes Linkedin diffusé par un pirate informatique aprés l’exfiltration des informations par le malveillant.

Cybersécurité

Faille Microsoft exploitée par des pirates informatiques

En février 2023, a été identifié une attaque exploitant une vulnérabilité zero-day dans le Common Log File System (CLFS) de Microsoft. La faille a été exploitée par les pirates informatiques de Nokoyawa.

Les pirates rançonneurs du groupe Nokoyawa ont exploité, en février, un 0Day que Microsoft vient de corriger. La faille a été attribuée à la CVE-2023-28252. Les cybercriminels ont utilisé un exploit développé pour s’adapter à différentes versions du système d’exploitation Windows, y compris Windows 11, et ont tenté de déployer le ransomware Nokoyawa.

Bien que la plupart des vulnérabilités découvertes exploitées par des groupes APT, cette attaque a été menée par un groupe sophistiqué de cybercriminels qui ont utilisé des exploits similaires mais uniques du Common Log File System.

Le groupe de cybercriminels qui a mené cette attaque se distingue par l’utilisation d’exploits similaires mais uniques du Common Log File System (CLFS) – Kaspersky en a relevé au moins cinq. Ils ont été utilisés dans des attaques ciblant divers secteurs, tels que le commerce de détail et de gros, l’énergie, l’industrie manufacturière, les soins de santé et le développement de logiciels. Bien que ces vulnérabilités soient souvent exploitées par des groupes APT, ce groupe de cybercriminels a prouvé qu’il était également capable d’utiliser des vulnérabilités zero-day pour mener des attaques par ransomware.

La CVE-2023-28252 a été repérée pour la première fois lors d’une attaque visant à déployer une nouvelle version du ransomware Nokoyawa. Les anciennes variantes de ce ransomware n’étaient que des variantes revisitées du ransomware JSWorm, mais dans l’attaque citée ici, la variante Nokoyawa est très différente de JSWorm en termes de code base.

Les attaquants ont utilisé la vulnérabilité CVE-2023-28252 pour élever les privilèges et voler des informations d’identification dans la base de données SAM (Security Account Manager).

Microsoft a corrigé la CVE-2023-28252 lors du Patch Tuesday d’avril 2023. Cette CVE a été la seule faille exploitée par des pirates. Sur les 97 CVE corrigées ce mois-ci, Microsoft a classé près de 90 % des vulnérabilités comme étant moins susceptibles d’être exploitées, tandis que seulement 9,3 % des failles ont été classées comme étant plus susceptibles d’être exploitées.

Le CVE-2023-28252 et le second 0day d’élévation de privilèges du CLFS exploité cette année, et du quatrième au cours des deux dernières années. Il s’agit également du deuxième 0Day CLFS divulgué à Microsoft par des chercheurs de Mandiant et DBAPPSecurity.

D’autres pirates exploitent des 0day, comme ce fût le cas, en février 2023, avec les pirates informatiques du groupe Cl0P. Plusieurs dizaines d’entreprises vont se faire piéger.

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2023-23376

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-37969

https://msrc.microsoft.com/update-guide/en-US/vulnerability/CVE-2022-24521

cyberattaque, Cybersécurité

Le Pentagone, la CIA, l’OSINT et les fuites

Le Pentagone est confronté à une fuite de données militaires sensibles, mettant en lumière la rivalité entre le Pentagone, la CIA, les espions et les pirates informatiques pour la collecte d’informations.

Le Pentagone est en train de se préparer à mener des campagnes de propagande sur Internet en utilisant des vidéos deepfake, selon des documents fédéraux de marchés publics. Le Commandement des opérations spéciales des États-Unis, qui est responsable de certaines des opérations militaires les plus secrètes du pays, veut affiner sa propagande offensive en espionnant apparemment son public cible via leurs appareils connectés à Internet. Le document mis à jour sur les marchés publics montre que l’armée américaine veut intensifier ces efforts de tromperie en ligne en utilisant des vidéos deepfake.

Le Pentagone a déjà utilisé des tactiques « d’opérations psychologiques » dans le passé, comme en décembre 2022, lorsqu’un réseau de faux comptes Twitter a été créé pour diffuser de fausses nouvelles douteuses. Bien que l’opération sur Twitter n’ait pas utilisé de deepfake, les entrepreneurs du Pentagone avaient utilisé des avatars créés à l’aide d’apprentissage automatique pour donner aux faux comptes une certaine dose de réalisme.

La fuite de données du Pentagone

Le Pentagone fait face à une fuite de données militaires sensibles qui pose un risque « très grave » pour la sécurité nationale des Etats-Unis. Cette fuite de documents classifiés américains, notamment liés à l’Ukraine et qui semblent authentiques pour la plupart, est considérée comme la plus importante depuis l’affaire Snowden en 2013 indique le New York Times. Les documents contiennent des analyses détaillées sur la guerre en Ukraine, qui donnent une idée de l’étendue de la pénétration américaine des plans militaires russes, mais aussi des interceptions de communications, parfois au détriment de pays alliés des États-Unis comme Israël et la Corée du Sud. Le Service Veille ZATAZ a pu retrouver certains documents sur les forums 4chan (documents ont été détruits depuis, NDR) ou encore sur Telegram.

Un flot régulier de photographies de documents classifiés a été découvert sur des réseaux sociaux, bien que certains aient pu circuler en ligne pendant des semaines avant d’attirer l’attention. Les autorités ont ouvert une enquête pour déterminer l’origine de cette fuite de données.

La CIA, l’OSINT et la concurrence avec le Pentagone

La stratégie nationale de renseignement de 2019 souligne que l’incapacité de suivre rapidement les évolutions technologiques et les normes de l’industrie peut affecter l’avantage concurrentiel des services de renseignements de l’Oncle sam (IC). Cependant, la stratégie ne fournit pas de définition précise de cet avantage concurrentiel. Il s’agit de la capacité de collecter et d’analyser des informations que personne d’autre ne peut obtenir ou traiter. Cette définition est issue de l’Executive Order 12333, qui régit la pratique du renseignement aux États-Unis.

L’EO 12333 énonce l’objectif principal de l’IC, qui consiste à fournir des informations précises et opportunes au président et au Conseil de sécurité nationale pour fonder les décisions concernant la conduite et le développement de la politique étrangère, de défense et économique, et la protection des intérêts nationaux des États-Unis contre les menaces étrangères à la sécurité. Cette collecte doit être conforme à la Constitution et à la loi applicable, respectueuse des principes sur lesquels les États-Unis ont été fondés et poursuivie d’une manière vigoureuse, innovante et responsable.

L’IC a commencé à s’intéresser à l’Open Source Intelligence (OSINT) pour combler une lacune que personne d’autre ne pouvait. Le Foreign Broadcast Information Service (FBIS), créé en 1941, était le moyen le plus rapide, le moins cher et le plus fiable d’obtenir des informations générales et des renseignements concernant un pays particulier. Cependant, au fil des décennies, la demande croissante de l’ensemble du gouvernement et du milieu universitaire, des scandales et des coupes budgétaires, ainsi qu’une portée de mission sinueuse et gonflante ont compliqué la mission de l’IC.

En 2023, le gouvernement américain a perdu le monopole qu’il avait autrefois sur la collecte et la transmission d’informations diffusées librement, rapidement et à moindre coût. Cependant, lorsqu’il s’agit de comprendre les plans et les intentions de l’adversaire, il n’y a pas d’alternative à l’infiltration humaine ou technique que seul l’IC est équipé et autorisé à effectuer. La directrice du renseignement national (DNI) a admis que les États-Unis avaient obtenu des détails extraordinaires sur les plans secrets du Kremlin pour une guerre qu’ils continuaient de nier avoir l’intention.

Un secret est quelque chose de concret qui peut être dérobé par un espion ou discerné par un capteur technique. Un mystère est une énigme abstraite dont personne ne peut être sûr de la réponse

Par conséquent, lorsque l’IC considère l’OSINT en tant que fonction principale, il doit adopter une approche « d’abord, ne pas nuire » à sa mission la plus unique et exclusive, compte tenu des coûts d’opportunité substantiels en jeu. Les décideurs peuvent aspirer à un IC capable de garder une longueur d’avance sur l’adversaire, tout en étant capable de « battre la presse ». Même s’il ne réussit que périodiquement, il vaut mieux poursuivre vigoureusement le premier que de réussir catastrophiquement le second.

Dans la communauté du renseignement américain, l’utilisation des sources ouvertes est vue différemment, mais le navire amiral concernant le renseignement de l’Oncle Sam est la CIA. Au sein de l’agence se trouve le Bureau de la gestion des données ouvertes, qui mise sur un développement massif de cette direction dans des conditions de réalités technologiques et cognitives changeantes.

Récemment, Randy Nixon, un ancien du service analytique de la CIA, a pris la tête de l’OROD, ce qui s’inscrit dans les préférences de l’équipe Biden – promouvoir la direction analytique du renseignement. De plus, Nixon était auparavant responsable du partenariat avec le secteur privé au sein de l’UCCI de la CIA et a dirigé, par exemple, le programme Digital Hammer.

Le Pentagone ne reste pas non plus immobile dans la lutte pour le leadership dans l’OSINT. L’Agence nationale de renseignement géospatial, qui relève du Pentagone, renforce activement les possibilités de renseignement géospatial et d’OSINT.

Cependant, les possibilités d’OSINT sont évaluées à la Maison Blanche et la CIA considère l’utilisation de l’OSINT en tant qu’outil efficace non seulement de collecte et d’analyse d’informations, mais aussi d’influence, y compris politique, comme prioritaire. La concurrence entre la CIA et le Pentagone dans ce domaine prometteur se poursuit, avec des développements massifs de part et d’autre.

Il est à noter que d’ici juin 2028, le Pentagone aura son propre cloud « souverain », le Joint Warfighter. Ce cloud sera conçu pour fournir un accès à des données non classifiées, secrètes et top secrètes au personnel militaire du monde entier. Il devrait servir de colonne vertébrale aux opérations de guerre modernes du Pentagone, qui s’appuieront fortement sur des avions sans pilote et des satellites de communication spatiale, mais auront toujours besoin d’un moyen de transmettre rapidement les renseignements de ces plates-formes aux troupes au sol. Google, Oracle, Microsoft et Amazon se partagent un contrat de 9 milliards de dollars du Pentagone pour construire son réseau de cloud computing.

Entreprise

Data analyst, scientist et engineer

Le monde des données est en constante évolution comme vous le montre, chaque jour, Datasecuritybreach.fr. Les entreprises se tournent de plus en plus vers les professionnels de l’analyse, de la science et de l’ingénierie des données pour les aider à comprendre, gérer et utiliser les données pour prendre des décisions commerciales éclairées. Dans cet article, nous allons examiner les différences entre un data analyst, un data scientist et un data engineer, ainsi que leurs missions et les débouchés qui s’offrent à eux.

Le Data Analyst

Le data analyst est responsable de l’analyse et de l’interprétation des données afin de fournir des informations exploitables. Il travaille avec des données structurées et non structurées pour identifier les tendances, les modèles et les opportunités commerciales. Le data analyst utilise des outils comme Excel, SQL et des logiciels de visualisation de données pour organiser et présenter les données de manière compréhensible.

Les missions principales du data analyst comprennent l’extraction et la manipulation de données, la réalisation d’analyses statistiques, la création de rapports, la visualisation de données et l’interprétation des résultats pour fournir des informations exploitables à l’entreprise. Les industries qui emploient des data analystes comprennent la finance, la santé, les médias, la vente au détail et l’e-commerce.

Les débouchés pour les data analystes sont nombreux, allant de la fonction publique aux entreprises privées. Le salaire moyen pour un data analyst varie selon l’expérience, le secteur d’activité et le lieu de travail, mais il est généralement compris entre 40 000 et 70 000 euros par an.

Un cas concret dans le monde du travail pour un data analyst pourrait être celui d’une entreprise de vente au détail cherchant à comprendre les préférences de ses clients. Le data analyst collecterait des données sur les habitudes d’achat des clients, l’âge, le sexe et d’autres données démographiques. Il utiliserait ensuite ces données pour identifier les tendances d’achat et les opportunités de vente croisée pour maximiser les profits de l’entreprise. Pour comprendre la data analyse, une formation longue durée est fortement recommandée. A noter l’existence d’un Bootcamp pour une reconversion dans la data.

Le Data Scientist

Le data scientist est un expert en analyse de données et en programmation. Il est chargé de trouver des solutions innovantes pour résoudre des problèmes complexes en utilisant des techniques de traitement des données. Les data scientists travaillent souvent avec des données non structurées et utilisent des algorithmes d’apprentissage automatique pour identifier les modèles.

Les missions principales du data scientist comprennent la conception de modèles prédictifs, l’exploration de données non structurées, l’analyse statistique et l’optimisation de modèles existants. Les industries qui emploient des data scientists comprennent les services financiers, la technologie, la santé et les médias.

Les débouchés pour les data scientists sont également nombreux. Les data scientists peuvent travailler dans des entreprises privées, des organismes gouvernementaux, des ONG et des universités. Le salaire moyen pour un data scientist varie selon l’expérience, le secteur d’activité et le lieu de travail, mais il est généralement compris entre 60 000 et 100 000 euros par an.

Un cas concret dans le monde du travail pour un data scientist pourrait être celui d’une entreprise de santé cherchant à prédire les résultats des essais cliniques. Le data scientist collecterait des données sur les symptômes, les antécédents médicaux et les résultats des tests pour créer un modèle prédictif capable de prédire les résultats des essais cliniques. Ces informations pourraient aider l’entreprise à développer de nouveaux traitements plus efficaces.

Le Data Engineer

Le data engineer est chargé de la conception, de la construction et de la maintenance des infrastructures de données. Il travaille avec des technologies de base de données, des pipelines de données et des outils de traitement des données pour s’assurer que les données sont stockées et accessibles de manière efficace et fiable.

Les missions principales du data engineer comprennent la conception et la mise en œuvre de pipelines de données, la configuration de bases de données, l’optimisation des performances des bases de données et la maintenance des infrastructures de données. Les industries qui emploient des data engineers comprennent les services financiers, la technologie, la santé et les médias.

Les débouchés pour les data engineers sont également nombreux, allant des entreprises privées aux organismes gouvernementaux. Le salaire moyen pour un data engineer varie selon l’expérience, le secteur d’activité et le lieu de travail, mais il est généralement compris entre 50 000 et 90 000 euros par an.

Un cas concret dans le monde du travail pour un data engineer pourrait être celui d’une entreprise de médias cherchant à stocker et à gérer des quantités massives de données générées par ses clients. Le data engineer concevrait et mettrait en place une infrastructure de données pour stocker les données de manière sécurisée et les rendre facilement accessibles aux analystes et aux scientifiques des données. Montez en compétences en devenant data engineer.

En conclusion, les data analystes, les data scientists et les data engineers sont tous des professionnels essentiels dans le monde des données. Ils ont des compétences et des missions différentes mais complémentaires. Les débouchés pour les professionnels de l’analyse, de la science et de l’ingénierie des données sont nombreux et en constante évolution, avec une forte demande de la part des entreprises de toutes tailles et de tous secteurs d’activité.

Cybersécurité, Mise à jour

programme Cybersecurity Startups Growth Academy

Les résultats d’un concours organisé par Google pour les Européens dans le cadre du programme Cybersecurity Startups Growth Academy ont été annoncés.

120 candidats ont participé au concours organisé par Google. Dans le cadre du programme Cybersecurity Startups Growth Academy Google souhaite apporter son aide. 15 startups de huit pays ont été sélectionnées. Le programme de soutien aux entrepreneurs Startup IS de Google est un programme de trois mois qui comprend une formation, un mentorat et des incitations financières.

Pendant ce temps, les participants doivent acquérir les compétences de base pour accélérer la croissance, l’internationalisation et la mise à l’échelle de l’entreprise à l’aide des outils et des produits Google.

Le premier cours de formation débute en avril. Des réunions et des ateliers auront lieu dans différentes villes d’Europe.

Les experts de l’entreprise joueront le rôle de mentors, notamment des spécialistes de VirusTotal et de Mandiant, deux entreprises rachetées l’an dernier.

Les dirigeants des startups pourront être conseillés pour élaborer une stratégie, organiser les ventes et nouer des partenariats.

« Amener des startups sur les premières lignes de défense de l’Europe n’est pas seulement une bonne décision stratégique, mais aussi un besoin urgent« , a déclaré Royal Hansen, vice-président de Google chargé de la confidentialité, de la confiance et de la sécurité dans le développement. « L’importance de la cybersécurité est reconnue par 92 % des PME de la région, mais seulement 16 % se sentent prêtes à faire face à des attaques. » (CS)

Cybersécurité, santé

Le Royaume-Uni publie une stratégie pour protéger le National Health Service des cyberattaques

Le gouvernement britannique a publié mercredi sa nouvelle stratégie de cybersécurité pour le National Health Service, visant à rendre le secteur de la santé du pays « considérablement durci aux cyberattaques, au plus tard en 2030 ».

Le gouvernement britannique a publié une stratégie de cybersécurité visant à protéger le National Health Service (NHS) contre les cyberattaques d’ici 2030. Cette stratégie a été élaborée suite aux incidents de WannaCry en 2017 et d’Advanced l’année dernière, qui ont mis en évidence les risques que les attaques peuvent poser sur la fourniture de soins de santé.

Bien que la stratégie indique que le NHS est mieux protégé contre les attaques non ciblées, elle souligne qu’il reste des défis importants nécessitant des améliorations continues de la cybersécurité dans le secteur. Les incidents liés aux rançongiciels constituent désormais la majorité des réunions de gestion de crise du gouvernement britannique « Cobra ».

La stratégie vise à façonner un objectif commun à travers les soins de santé et sociaux contre les risques les plus critiques. Toutefois, le NHS n’étant pas un organisme unique, mais un ensemble décentralisé de plusieurs systèmes de santé publics fournis par des milliers d’organisations de santé et de services sociaux distincts, chaque organisation doit assumer la responsabilité de sa propre cybersécurité. Pour aider les organisations de santé et de protection sociale, le gouvernement a mis en place un centre d’opérations de cybersécurité (CSOC) surveillant les systèmes locaux dans tout le pays pour détecter les premiers signes de cyber-vulnérabilités et inscrivant plus de 1,67 million d’appareils sur Microsoft Defender pour Endpoint.

Cartographier les fournisseurs

En outre, la stratégie prévoit la cartographie des fournisseurs les plus critiques d’ici 2024 et le développement d’un cadre pour soutenir les centres d’opérations de sécurité locaux. Les difficultés auxquelles le gouvernement est confronté dans la protection du NHS découlent de la complexité du secteur, composé de systèmes interdépendants avec des risques et des besoins différents.

La stratégie reconnaît que la cybermenace la plus importante à laquelle le secteur est confronté est le rançongiciel, mais elle met également en garde contre d’autres menaces moins répandues, telles que les acteurs étatiques cherchant à accéder à des informations sensibles, ou des personnes travaillant dans ou à proximité du secteur de la santé et de la protection sociale cherchant à abuser de leur accès privilégié.

Après l’attaque contre le fournisseur de logiciels Advanced l’année dernière, le département de la santé a commencé à analyser la chaîne d’approvisionnement critique, un processus qui comprenait l’essai d’outils d’assurance, l’élaboration d’un plan d’engagement et l’élaboration de critères de criticité. Le NHS développe actuellement un nouveau produit pour cartographier ses fournisseurs les plus critiques d’ici 2024.

Dans une déclaration conjointe publiée parallèlement à la stratégie, le CISO et le directeur exécutif des National Cyber Operations au NHS ont déclaré que chaque organisation de santé et de protection sociale doit assumer la responsabilité de sa propre cybersécurité, avec les équipes de sécurité nationale définissant la direction et fournissant un support central.

Bien que la stratégie soit ambitieuse, il reste encore du travail à faire pour renforcer la cybersécurité dans le secteur de la santé. La publication de cette stratégie est une étape importante dans la protection du NHS contre les cyberattaques, mais cela nécessitera une collaboration continue entre le gouvernement et les organisations de santé et de protection sociale pour renforcer la résilience de l’ensemble du secteur.

cyberattaque, Entreprise

CommonMagic et PowerMagic voleurs de données

Des chercheurs ont découvert une nouvelle campagne d’espionnage ciblant les agences gouvernementales et les organisations opérant dans les territoires ukrainiens occupés par la Russie.

Qui sont les pirates cachées derrière des cyber attaques visant les entreprises et les agences gouvernementales basées sur les territoires Ukrainiens occupés par la Russie ? Alliés de l’Ukraine ? Espion Chinois ? « Simple » malveillant à la recherche de données à revendre ? Les pirates ont utilisé des souches de logiciels malveillants jusqu’alors inconnues, appelées CommonMagic et PowerMagic, pour dérober des données sur les appareils de leurs cibles.

La campagne a débuté en septembre 2021. Selon des chercheurs locaux, elle continue encore aujourd’hui et cible principalement les régions de Donetsk, Lougansk et de Crimée. Des régions ukrainiennes annexées par la Russie en 2014. Des agences gouvernementales, ainsi que des organisations agricoles et de transport, ont été visées par des courriels piégés. La première pensée est de ce dire qu’étant donné le conflit militaire dans cette région, il est probable que cela fasse partie d’une cyberguerre. Mais qui ? C’est une autre question.

Rien de sophistiqué, mais efficace

Les logiciels malveillants et les techniques utilisées ne sont pas particulièrement sophistiqués. En octobre, des logiciels malveillants avaient déjà été installés sur les machines des victimes, indiquant que certaines attaques avaient réussi. Les pirates ont distribué des logiciels malveillants via des e-mails d’hameçonnage (phishing) contenant un lien vers une archive .zip hébergée sur un serveur Web. Bref, du grand classique. L’archive contenait un document déguisé en décret officiel du gouvernement Russe et un fichier .lnk malveillant qui, une fois ouvert, exécutait le logiciel pirate et infectait l’ordinateur.

Au début de l’attaque, les pirates ont utilisé une porte dérobée basée sur PowerShell nommée PowerMagic. Toutes les victimes de PowerMagic ont également été infectées par CommonMagic, un logiciel malveillant plus complexe et inédit. Les attaquants ont probablement utilisé la porte dérobée PowerMagic pour installer CommonMagic sur les appareils ciblés. Le groupe derrière cette attaque est inconnu, mais ses objectifs sont clairs : voler des données. Une fois le réseau infiltré, les pirates peuvent extraire des documents et faire une sauvegarde des données affichées à l’écran de l’ordinateur de la victime toutes les trois secondes.

Guerre 3.0

Au cours des dernières années, plusieurs virus informatiques ont ciblé la Russie et l’Ukraine, deux pays souvent associés aux cyberattaques. Ces attaques ont été menées par des groupes de cybercriminels, des gouvernements étrangers et même des groupes terroristes.

Depuis des années, les cyber attaques visant l’Ukraine se sont enchaînées. En 2017, un virus informatique appelé NotPetya a infecté des milliers d’ordinateurs en Ukraine avant de se propager à travers le monde. Bien que NotPetya ait été conçu pour ressembler à un ransomware, il a rapidement été découvert que son véritable objectif était de causer des dommages permanents aux systèmes infectés. Le virus a effacé les disques durs des ordinateurs infectés, causant des dommages considérables aux entreprises touchées. Les dommages causés par NotPetya ont été estimés à plusieurs milliards de dollars, faisant de cette attaque l’une des plus coûteuses de l’histoire.

Toujours en 2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

En 2015, un groupe de hackers appelé Sandworm a lancé une attaque contre le réseau électrique ukrainien. Les hackers ont utilisé un virus informatique appelé BlackEnergy pour prendre le contrôle des ordinateurs du réseau électrique, coupant l’électricité dans plusieurs régions du pays. L’attaque a été considérée comme l’une des premières attaques réussies contre une infrastructure critique, et elle a soulevé des inquiétudes quant à la capacité des hackers à perturber les systèmes de contrôle industriels.

En 2014, un groupe de hackers appelé Dragonfly a lancé une série d’attaques contre les sociétés d’énergie en Europe et aux États-Unis. Le groupe a utilisé un virus informatique appelé Energetic Bear pour accéder aux systèmes des sociétés d’énergie, volant des données sensibles et prenant le contrôle de certains systèmes.

2017, un virus informatique appelé Bad Rabbit a infecté des milliers d’ordinateurs en Russie et en Ukraine. Le virus a été distribué via des sites web compromis, et il a été conçu pour se propager rapidement à travers les réseaux d’ordinateurs. Bien que le virus ait été conçu pour ressembler à un ransomware, il a été découvert que son véritable objectif était de voler des données sensibles des ordinateurs infectés.

Cybersécurité

Suite à la faille de sécurité, que sait-on du prochain GTA ?

En septembre dernier, les studios Rockstar Games ont connu quelque chose d’assez inhabituel : ils se sont fait pirater. Fait courant dans l’industrie vidéoludique, Rockstar Games connaissait une première qui remettait en doute des années de référence en termes de sécurité et de divulgation de contenu.

Quelques jours plus tard, un jeune hacker de 17 ans était arrêté du côté de Londres. Si Rockstar a rapidement confirmé l’intrusion dans le réseau, le studio américain a surtout voulu rassurer ses investisseurs et les nombreux fans en attente du prochain GTA en affirmant que cette intrusion n’avait eu aucune conséquence sur la suite du développement d’un jeu attendu depuis plusieurs années.

Pourtant, les hackers, responsables une semaine plus tôt d’une intrusion sur les serveurs d’Uber, affirmaient être en possession du code source de GTA V et du probable GTA VI. Difficile de vérifier ces informations à notre échelle, mais naturellement et d’un point de vue vidéoludique pure, cette faille de sécurité a-t-elle eu un impact sur la suite du jeu ?

Aucune répercussion sur la suite pour Take-Two et Rockstar 

Naturellement, Rockstar et Take-Two se sont montrés bien moins taciturnes qu’à l’accoutumée au moment de couvrir cette information et de la confirmer, malgré eux.

Toutefois selon l’entreprise et sa maison d’édition, cette fuite de données observée sur YouTube et surtout sur Reddit n’aurait pas de conséquence pour la suite. Depuis 2022, l’entreprise a d’ailleurs cessé le travail des remasterisations de jeux déjà sortis pour selon ses propres dires, se concentrer uniquement sur la sortie du prochain GTA.

Si une telle faille n’a semblé perturber les studios que pour quelques semaines, elle aura tout de même poussé Rockstar à changer sa communication. Ce qui, dans l’univers du jeu vidéo, est un fait plutôt rare.

En attendant, les questions et l’excitation continuent de fleurir autour du prochain opus. À quoi faudrait-il s’attendre ?

Un mode en réalité virtuelle ? 

Comme toujours avec GTA, nous ne parlons ici que de rumeurs, mais il est légitime d’imaginer un nouveau mode VR s’implanter dans le prochain épisode, à l’instar de l’intégration du FPS (alors sur PlayStation 4) sur le dernier jeu de la franchise phare de Rockstar Games.

De nos jours, la réalité virtuelle s’apparente réellement comme le futur des jeux vidéo et bien que cette implantation ait pris plus de temps que prévu au sein de cette industrie, il y a de quoi s’inspirer d’autres domaines du divertissement numérique. En guise d’exemple, le poker en ligne a récemment construit sa révolution autour de l’innovation et de l’implantation de nouvelles technologies sur ses plateformes. Logiquement, la réalité virtuelle en fait partie avec des parties immersives au possible.

Légende : La PS4 avait apporté son lot de nouveautés 

Sur les opus vidéoludiques des prochains mois, la réalité virtuelle devrait donc s’implanter de manière bien plus importante que lors des précédents mois. Il convient, en ce sens, d’imaginer le futur GTA proposer un tel mode de jeu, tant Rockstar s’est souvent montré apte à développer les innovations et également, surfer sur certaines tendances au sein de l’industrie. Comme toujours, la société américaine se montre relativement muette à ce sujet, mais il s’agit d’une chose dont tous les joueurs amoureux de cette franchise ont pris l’habitude d’observer.

10 ans plus tard

Cela fait désormais 10 ans que les amateurs de GTA attendent une suite à l’immense GTA V. Selon les leaks et les fuites volontaires de la part de Rockstar, le jeu suivrait les bases du mythique Vice City, du moins au niveau de sa localisation.

Légende : Direction Miami ?

Après New York et Los Angeles, ce nouvel opus devrait donc prendre part dans une version digitalisée d’une ville ressemblant comme deux gouttes d’eau, à Miami.
Une chose semble certaine et va dans le sens des évolutions promises par Rockstar depuis plusieurs années. La nouvelle mécanique de jeu se voudra révolutionnaire et les graphismes devraient être exceptionnels. Sur les consoles de neuvième génération, nul doute que ce jeu fera une fois de plus, un pas dans l’histoire.

Cybersécurité, Patch

Patch Tuesday mars 2023

Le Mardi des Correctifs de Microsoft (Patch Tuesday) résout plusieurs vulnérabilités critiques, dont certaines doivent être traitées en priorité et sont activement exploitées, y compris celles liées aux correctifs des vulnérabilités TPM2.0.

Sur les 101 vulnérabilités résolues, 9 sont considérées comme des failles critiques, dont deux zero-day exploitées activement. Le premier 0Day, CVE-2023-23397, est une faille critique dans le serveur Microsoft Exchange. Un attaquant distant authentifié peut l’exploiter en envoyant un simple e-mail se faisant passer pour la victime, permettant ainsi d’accéder à d’autres services utilisant le hachage Net-NTLMv2.

Le second 0Day, CVE-2023-24880, est une vulnérabilité permettant de contourner les fonctions de sécurité. Ces vulnérabilités sont couramment utilisées par les attaquants ou les logiciels malveillants pour esquiver la protection « mark of the web », qui ouvre un document/fichier en mode lecture seule. Un attaquant exploite actuellement cette vulnérabilité pour distribuer des fichiers MSI (Microsoft Installer) malveillants.

En plus de ces vulnérabilités, Microsoft a également résolu trois failles critiques d’exécution de code à distance sans authentification, affectant les protocoles HTTP, ICMP et RPC. Toutes ces vulnérabilités sont classées avec un score CVSSvs de 9,8, indiquant un risque d’exploitation significativement élevé. Par ailleurs, Microsoft a fourni deux correctifs critiques pour les spécifications de la bibliothèque de référence TPM2.0 dans les pilotes tiers. La technologie Trusted Platform Module (TPM) est conçue pour offrir des fonctions matérielles liées à la sécurité et est principalement utilisée pour évaluer l’intégrité du système.

CVE-2023-23397 est une vulnérabilité EoP dans Microsoft Outlook qui a été exploitée dans la nature. Alors que nous recherchons souvent des vulnérabilités dans Outlook qui peuvent être déclenchées par la fonctionnalité du volet de prévisualisation du logiciel, un attaquant pourrait exploiter cette vulnérabilité en envoyant simplement un e-mail à une cible potentielle.

En effet, la vulnérabilité est déclenchée du côté du serveur de messagerie, ce qui signifie que l’exploitation se produirait avant que la victime ne consulte l’e-mail malveillant. Un attaquant pourrait exploiter cette vulnérabilité pour divulguer le hachage Net-NTLMv2 d’un utilisateur et mener une attaque de type relais NTLM afin de s’authentifier à nouveau en tant qu’utilisateur. « Cette vulnérabilité est notamment attribuée à la Computer Emergency Response Team of Ukraine (CERT-UA), ce qui pourrait signifier qu’elle a pu être exploitée dans la nature contre des cibles ukrainiennes. Les équipes de recherche de Microsoft ont également été créditées de la découverte de cette faille. » confirme la société Tenable.

CVE-2023-24880 est un contournement de la fonction SmartScreen intégrée à Windows qui fonctionne avec sa fonctionnalité Mark of the Web (MOTW) pour marquer les fichiers téléchargés depuis internet. Cette faille a été exploitée dans la nature et divulguée publiquement avant qu’un correctif ne soit disponible.

Un attaquant peut créer un fichier spécialement conçu pour exploiter cette faille, ce qui permet de contourner les fonctions de sécurité MOTW, telles que Microsoft Office Protected View.

Cette faille a été attribuée à des chercheurs de Microsoft (Bill Demirkapi) et du Threat Analysis Group de Google (Benoît Sevens et Vlad Stolyarov).

Mardi des Correctifs

Le Patch Tuesday, également appelé Mardi des Correctifs, est un concept introduit par Microsoft en 2003 pour simplifier et rationaliser le processus de mise à jour des logiciels. Il s’agit d’un calendrier régulier, où Microsoft publie des mises à jour de sécurité pour ses produits le deuxième mardi de chaque mois. L’objectif principal de cette initiative est de fournir un calendrier prévisible et fiable pour les administrateurs système et les utilisateurs, afin qu’ils puissent planifier et appliquer ces mises à jour de manière efficace.

La mission du Patch Tuesday est de protéger les utilisateurs et les organisations contre les vulnérabilités et les menaces de sécurité qui pourraient affecter les logiciels et les systèmes Microsoft. Les mises à jour de sécurité comprennent généralement des correctifs pour les failles de sécurité découvertes, des améliorations de la performance et de la stabilité, ainsi que des mises à jour des fonctionnalités des produits.

En adoptant ce calendrier régulier, Microsoft a réussi à réduire l’impact des mises à jour de sécurité sur les entreprises et les utilisateurs finaux, en facilitant la planification et la gestion des correctifs. Cependant, si une vulnérabilité critique est identifiée et exploitée activement, Microsoft peut publier des correctifs de sécurité hors cycle, appelés « correctifs d’urgence » ou « out-of-band patches », pour protéger les utilisateurs et les systèmes concernés.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile