Bootkitty : le premier bootkit UEFI ciblant Linux découvert par des chercheurs - Actus du 27/11/2024
Découvrez comment la Yubico Enrollment Suite renforce la lutte contre le phishing, explorez le nouveau guide essentiel pour RSSI, « Sensibilisation cybersécurité, l’utilisateur ce héros », et anticipez une hausse de 9 % des budgets de sécurité informatique en entreprise.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Yubico Enrollment Suite : optimisation de la résistance aux attaques par phishing à grande échelle
Yubico a lancé la Yubico Enrollment Suite, qui comprend la fonctionnalité FIDO Pre-reg et l'application YubiEnroll, visant à éliminer l'utilisation des mots de passe pour les entreprises. Cette suite permet un enregistrement simplifié des YubiKeys pour les nouvelles recrues, facilitant ainsi leur intégration. Jeff Wallace, Senior Vice-President Products chez Yubico, souligne l'importance d'une intégration fluide pour les employés, quel que soit la taille de l'entreprise. L'application YubiEnroll, compatible avec Windows et intégrée à Okta Identity Cloud, permet aux équipes IT d'enregistrer rapidement les YubiKeys pour les utilisateurs finaux, que ce soit lors d'intégrations en personne ou dans des régions où le déploiement est complexe. Parmi ses fonctionnalités, YubiEnroll offre la réinitialisation des YubiKeys, la gestion des codes PIN et la configuration de la vérification utilisateur. Elle prend en charge tous les formats de YubiKey et Security Key, facilitant le processus d'enregistrement. Conçue pour les administrateurs IT, YubiEnroll vise à simplifier la création et l'enregistrement des identifiants FIDO, garantissant une expérience utilisateur fluide tout en réduisant le temps et les frictions pour les utilisateurs finaux.
Sources :
Disponibilité du nouvel ouvrage à destination des RSSI : « Sensibilisation cybersécurité, l’utilisateur ce héros »
Michel Gérard, entrepreneur dans la cybersécurité depuis près de 30 ans et Président de Conscio Technologies, publie son nouveau livre intitulé « Sensibilisation Cybersécurité, l’utilisateur ce héros ». Contrairement à son précédent ouvrage destiné au grand public, ce livre s'adresse spécifiquement aux responsables de la sécurité des systèmes d'information (RSSI) et aux dirigeants souhaitant impliquer leurs employés dans une stratégie de sensibilisation durable. Gérard propose des conseils pratiques et des outils concrets pour transformer chaque collaborateur en acteur clé contre la cybercriminalité. La méthode OKISPRI, présentée dans le livre, constitue une approche structurée pour sensibiliser et former les employés, leur fournissant les compétences nécessaires pour se défendre contre les cyberattaques. L'auteur souligne l'importance de l'utilisateur comme première ligne de défense dans un contexte où une cyberattaque peut gravement affecter une organisation en peu de temps. Ce guide pratique, disponible au prix de 17,50 euros, vise à renforcer la résilience des entreprises en engageant chaque membre du personnel dans la lutte contre les menaces numériques. Pour plus d'informations, le livre peut être commandé en ligne.
Sources :
Les entreprises prévoient d’augmenter leurs budgets de sécurité informatique de 9 % au cours des deux prochaines années
Les entreprises prévoient d'augmenter leurs investissements en cybersécurité de 9 % en réponse aux pertes financières croissantes dues aux cyber incidents, selon le rapport Kaspersky sur l'Économie de la Sécurité Informatique. L'étude, menée dans 27 pays, révèle que les grandes entreprises dépensent en moyenne 6,2 millions de dollars pour remédier à 11,6 incidents par an, tandis que les PME, confrontées à 14 incidents, investissent 300 000 dollars, soit 1,5 fois leur budget de sécurité. En France, les entreprises ont investi en moyenne 968 000 dollars en cybersécurité, avec un budget informatique global de plus de 5,3 millions de dollars. Les raisons de cette augmentation incluent la complexité croissante des menaces, les nouvelles réglementations gouvernementales et l'augmentation des attentes salariales des professionnels de la cybersécurité. Malgré des ressources plus importantes, les grandes entreprises sont souvent plus vulnérables en raison de leur taille et de la complexité de leurs infrastructures. Les PME, quant à elles, souffrent d'un manque de mesures de sécurité éprouvées, les rendant particulièrement sensibles aux erreurs humaines et aux configurations incorrectes. Ces tendances soulignent l'importance croissante de la cybersécurité dans le paysage économique actuel.
Sources :
Black Friday et fêtes de fin d’année : les bons réflexes pour des achats en ligne en toute sécurité
Durant la période des fêtes, plus de 60 % des consommateurs prévoient d'effectuer leurs achats en ligne, attirés par la diversité des offres sur les réseaux sociaux. Cependant, cette abondance crée des opportunités pour les cybercriminels. Matt Aldridge, consultant chez OpenText Cybersecurity, propose plusieurs conseils pour sécuriser les achats en ligne. Il recommande de garder une trace des achats et des informations de livraison pour éviter les escroqueries par hameçonnage, souvent déguisées en notifications de retard de colis. L'utilisation de cartes de crédit ou de PayPal est conseillée pour bénéficier de meilleures protections. Il est également prudent de ne pas enregistrer ses informations de paiement sur les sites et d'éviter les options de mémorisation de connexion, car cela peut faciliter le vol de données. Les consommateurs doivent être discrets sur les réseaux sociaux et effectuer des recherches sur les vendeurs avant d'acheter. Enfin, il est important de se méfier des offres trop alléchantes, souvent synonymes d'escroqueries. En complément, l'utilisation de logiciels antivirus est essentielle pour protéger les appareils contre diverses menaces. En cas de compromission, une protection complète de l'identité et de la vie privée est cruciale.
Sources :
La police démantèle un service de streaming pirate qui génère 250 millions d'euros par mois
Une opération internationale de la police a démantelé un service de streaming pirate qui comptait plus de 22 millions d'utilisateurs et générait 250 millions d'euros par mois. L'opération, nommée "Taken Down", a été menée par le Service postal et de cybersécurité italien en collaboration avec Eurojust, Europol et d'autres pays européens, marquant ainsi la plus grande saisie de ce type en Italie et à l'international. Plus de 270 agents de la police postale ont effectué 89 perquisitions en Italie et 14 dans des pays comme le Royaume-Uni, les Pays-Bas et la Suède, impliquant 102 personnes. Les autorités ont identifié trois administrateurs clés du réseau en Angleterre et aux Pays-Bas, ainsi que 80 panneaux de contrôle de streaming en Italie. Le service illégal redistribuait des contenus protégés, y compris des émissions en direct et à la demande de grandes plateformes comme Netflix et Amazon Prime. L'enquête a révélé des pertes financières annuelles estimées à 10 milliards d'euros. Au total, plus de 2 500 chaînes illégales et serveurs ont été saisis, ainsi que des cryptomonnaies et de l'argent liquide. Les suspects font face à des accusations de streaming illégal, fraude informatique et blanchiment d'argent.
Sources :
Offres Cybersécurité, Informatique, VPN et Antivirus du Black Friday 2024
Le Black Friday 2024 approche, avec d'importantes réductions sur la cybersécurité, les logiciels, les cours en ligne, les services d'administration système, les antivirus et les VPN. Ces offres, disponibles pour une durée limitée, incluent des promotions significatives de plusieurs entreprises. Par exemple, NordVPN propose une réduction de 74 % sur un abonnement de deux ans, soit 80,73 $, tandis que SurfShark offre 86 % de réduction pour le même type d'abonnement à 69,72 $. Du côté des antivirus, Avast et ESET affichent des remises allant jusqu'à 70 % et 50 % respectivement. Malwarebytes propose également 50 % de réduction sur ses abonnements d'un ou deux ans. En matière de cours en ligne, des plateformes comme PuralSight et Udemy offrent des réductions de 50 % et des cours à 9,99 $. D'autres offres incluent des promotions sur des services comme DeleteMe, Firewalla et LastPass. Ces réductions sont valables jusqu'au 2 décembre 2024 pour certaines, incitant les consommateurs à agir rapidement pour profiter de ces bonnes affaires.
Sources :
Des chercheurs découvrent « Bootkitty » – le premier bootkit UEFI ciblant les noyaux Linux
Des chercheurs en cybersécurité ont révélé le premier bootkit UEFI (Unified Extensible Firmware Interface) conçu pour les systèmes Linux, nommé Bootkitty par ses créateurs, BlackCat. Actuellement considéré comme une preuve de concept (PoC), il n'existe aucune preuve de son utilisation dans des attaques réelles. Téléversé sur VirusTotal le 5 novembre 2024, Bootkitty vise à désactiver la vérification de signature du noyau et à précharger deux binaires ELF inconnus via le processus d'initialisation de Linux. Ce développement marque un tournant dans le paysage des menaces cybernétiques, indiquant que les bootkits UEFI ne sont plus réservés aux systèmes Windows. Bootkitty est signé par un certificat auto-signé, ce qui limite son exécution sur les systèmes avec UEFI Secure Boot activé, à moins qu'un certificat contrôlé par un attaquant ne soit installé. Le bootkit modifie également en mémoire les réponses de vérification d'intégrité avant l'exécution de GRUB, contournant ainsi les vérifications d'intégrité. Une enquête a également révélé un module noyau non signé lié, capable de déployer un binaire ELF nommé BCDropper. Bien qu'aucun lien avec le groupe de ransomware ALPHV/BlackCat n'ait été établi, Bootkitty souligne la nécessité de se préparer à de futures menaces potentielles.
Sources :
Derniers scénarios d'attaque à plusieurs étapes avec des exemples concrets
Les cyberattaques multi-étapes, complexes et discrètes, visent à tromper les victimes en leur donnant un faux sentiment de sécurité. Ces attaques commencent souvent par l'ouverture d'un document contenant un lien malveillant, redirigeant les utilisateurs vers des sites frauduleux. Ces derniers incitent les victimes à télécharger des malwares ou à fournir leurs identifiants. Les attaquants exploitent des domaines de confiance, comme ceux de Google ou de réseaux sociaux, pour rendre les redirections plus crédibles, rendant ainsi leur détection plus difficile. Des défis CAPTCHA peuvent être intégrés pour empêcher les solutions automatisées d'accéder au contenu malveillant. Si une adresse suspecte est détectée, la chaîne d'attaque est interrompue, redirigeant l'utilisateur vers un site légitime. Les acteurs malveillants utilisent également des archives pour dissimuler des exécutables malveillants, augmentant leur crédibilité. Grâce à des outils comme ANY.RUN, il est possible d'analyser automatiquement les emails, fichiers et URLs suspects, facilitant l'identification des menaces. L'analyse automatisée permet d'extraire les URLs et d'observer l'activité réseau, fournissant des rapports détaillés sur les activités malveillantes et les indicateurs de compromission (IOCs).
Sources :
Les pirates informatiques APT-C-60 exploitent StatCounter et Bitbucket dans la campagne de malware SpyGlace
Le groupe de cyberespionnage APT-C-60, aligné avec la Corée du Sud, a été lié à une attaque ciblant une organisation japonaise en août 2024, utilisant un leurre basé sur une candidature d'emploi pour déployer le logiciel malveillant SpyGlace. Selon JPCERT/CC, l'intrusion a exploité des services légitimes tels que Google Drive et Bitbucket. L'attaque a commencé par un email prétendant provenir d'un candidat, infectant le contact de recrutement avec un malware. APT-C-60 a exploité une vulnérabilité d'exécution de code à distance dans WPS Office (CVE-2024-7262) pour introduire SpyGlace. La chaîne d'attaque impliquait un email de phishing contenant un lien vers un fichier sur Google Drive, qui, une fois téléchargé et monté, affichait un document leurre et un raccourci Windows. Ce dernier déclenchait un chargeur qui utilisait StatCounter pour identifier de manière unique l'appareil victime. Le chargeur accédait ensuite à Bitbucket pour récupérer des fichiers supplémentaires, dont "Service.dat", qui persistait sur l'hôte compromis et exécutait SpyGlace. Ce dernier communiquait avec un serveur de commande et de contrôle pour voler des fichiers et exécuter des commandes. Des entreprises de cybersécurité ont également signalé des campagnes similaires liées à APT-C-60.
Sources :
Stoppez les déplacements latéraux grâce à la sécurité des accès Zero Trust
Les déplacements latéraux représentent un risque majeur pour la sécurité d'Active Directory (AD), permettant aux attaquants de naviguer librement dans le réseau après avoir contourné les défenses externes. Ces mouvements sont souvent facilités par des techniques telles que le Pass-the-Hash et le Kerberoasting, qui exploitent des vulnérabilités pour accéder à des identifiants privilégiés. Pour contrer ces menaces, l'authentification multifacteur (MFA) est essentielle, car elle empêche les connexions non autorisées et renforce la sécurité d'AD. Cependant, la MFA doit être combinée avec d'autres contrôles d'accès, notamment l'application du principe du moindre privilège (PoLP), qui limite l'accès des utilisateurs aux seules ressources nécessaires à leur travail. Une mauvaise configuration des contrôles de sécurité peut avoir des conséquences désastreuses, comme l'illustre l'attaque de BlackCat sur Change Healthcare, où l'absence de MFA a permis un accès non autorisé et des déplacements latéraux. Pour améliorer la détection et la prévention des déplacements latéraux, les entreprises doivent adopter des outils de sécurité intégrés et mettre en œuvre une stratégie d'accès Zero Trust, garantissant ainsi une protection robuste contre les menaces basées sur les identités.
Sources :
Molotov alerte ses utilisateurs après une intrusion dans ses systèmes
Molotov, la plateforme de streaming, a récemment subi une intrusion dans ses systèmes, permettant à des tiers non autorisés d'accéder à certaines données personnelles de ses utilisateurs, telles que noms, prénoms, adresses email et éventuellement dates de naissance. Bien que les informations bancaires et les mots de passe ne soient pas concernés, Molotov a conseillé à ses abonnés de rester vigilants face à des emails suspects pouvant être des tentatives de phishing. L'entreprise a pris des mesures immédiates pour sécuriser les données compromises et a renforcé la surveillance de ses systèmes. Elle a également alerté la Commission Nationale de l'Informatique et des Libertés (CNIL) conformément aux réglementations en vigueur. Molotov recommande aux utilisateurs d'éviter de cliquer sur des liens ou pièces jointes douteux et de vérifier l'identité des expéditeurs. En cas de doute, les utilisateurs peuvent contacter le service client de Molotov. Cet incident souligne l'importance de bonnes pratiques numériques, comme l'utilisation de mots de passe forts et l'activation de la double authentification. Pour rester informé des menaces de cybersécurité, il est conseillé de s'inscrire à des newsletters spécialisées.
Sources :
INTERPOL démantèle la cybercriminalité africaine : 1 006 arrestations et 134 089 réseaux malveillants démantelés
Une opération dirigée par INTERPOL, nommée Serengeti, a abouti à l'arrestation de 1 006 suspects dans 19 pays africains et à la démolition de 134 089 infrastructures malveillantes entre le 2 septembre et le 31 octobre 2024. Cette initiative visait à lutter contre la cybercriminalité, notamment le ransomware, la compromission d'emails professionnels, l'extorsion numérique et les escroqueries en ligne. Les pays participants incluent l'Algérie, le Nigeria, le Kenya, et d'autres. Les activités criminelles ont touché plus de 35 000 victimes, entraînant des pertes financières mondiales de près de 193 millions de dollars. Parmi les arrestations, huit personnes, dont cinq Chinois, ont été interpellées au Sénégal dans le cadre d'un système de Ponzi de 6 millions de dollars. Les autorités ont également démantelé un casino virtuel à Luanda, ciblant des joueurs brésiliens et nigérians. Valdecy Urquiza, secrétaire général d'INTERPOL, a souligné l'importance de la coopération internationale pour contrer la montée de la cybercriminalité. Group-IB et Kaspersky ont également contribué à l'opération en fournissant des informations sur les menaces et les attaques. Cette opération démontre l'efficacité d'une collaboration mondiale contre la cybercriminalité.
Sources :
Le botnet Matrix exploite les appareils IoT dans une vaste campagne de botnet DDoS
Un acteur malveillant nommé Matrix est lié à une campagne de déni de service distribué (DDoS) exploitant des vulnérabilités dans des dispositifs de l'Internet des objets (IoT). Cette opération, décrite comme un guichet unique pour scanner, exploiter des failles, déployer des malwares et configurer des kits d'attaque, est menée par un individu d'origine russe. Les cibles principales incluent des adresses IP en Chine, au Japon, ainsi qu'en Argentine, Australie, Brésil, Égypte, Inde et aux États-Unis, sans inclure l'Ukraine, ce qui suggère des motivations financières. Les chaînes d'attaque exploitent des failles de sécurité connues et des identifiants par défaut pour accéder à divers dispositifs connectés. Matrix utilise également des serveurs mal configurés et des outils disponibles sur GitHub pour déployer des malwares comme Mirai. De plus, un service de DDoS à la demande est proposé via un bot Telegram, permettant aux clients de choisir des niveaux d'attaque en échange de paiements en cryptomonnaie. Cette campagne met en lumière l'importance de pratiques de sécurité fondamentales, telles que le changement de mots de passe par défaut et la mise à jour des firmwares, pour se protéger contre de telles attaques opportunistes.
Sources :
Une nouvelle attaque de NachoVPN utilise des serveurs VPN malveillants pour installer des mises à jour malveillantes
Une nouvelle série de vulnérabilités, nommée "NachoVPN", permet à des serveurs VPN malveillants d'installer des mises à jour nuisibles sur des clients SSL-VPN non corrigés de Palo Alto et SonicWall. Des chercheurs en sécurité d'AmberWolf ont découvert que des acteurs malveillants peuvent inciter des cibles à se connecter à ces serveurs contrôlés par des attaquants via des sites web ou documents piégés, utilisant des techniques de phishing. Ces serveurs peuvent alors voler des identifiants, exécuter du code arbitraire avec des privilèges élevés, installer des logiciels malveillants et mener des attaques de type "man-in-the-middle" en installant de faux certificats racines. SonicWall a publié des correctifs pour la vulnérabilité CVE-2024-29014 en juillet, tandis que Palo Alto a mis à jour son logiciel pour la CVE-2024-5921. AmberWolf a également lancé un outil open-source, NachoVPN, capable de simuler des serveurs VPN malveillants et d'exploiter ces vulnérabilités. Cet outil est adaptable à différents clients VPN et encourage les contributions de la communauté. Des conseils techniques ont été fournis pour aider à protéger les réseaux contre ces menaces.
Sources :
Offre Black Friday NordVPN : économisez jusqu'à 74 % sur les abonnements annuels
NordVPN propose une offre exceptionnelle pour le Black Friday, permettant d'économiser jusqu'à 74 % sur ses abonnements annuels. Ce VPN est reconnu pour sa rapidité, son large choix de serveurs dans plus de 100 pays, et sa capacité à contourner les blocages régionaux et la censure. L'offre inclut un plan de deux ans à seulement 3,89 $ par mois, avec trois mois supplémentaires gratuits. Valable du 16 octobre au 10 décembre, cette promotion permet d'accéder à des fonctionnalités avancées telles qu'un gestionnaire de mots de passe, un service anti-malware, un stockage cloud chiffré d'un téraoctet, et une assurance contre les pertes dues à des escroqueries de 5 000 $. NordVPN, basé au Panama, garantit la confidentialité des utilisateurs grâce à une politique stricte de non-conservation des données. Il propose divers protocoles, dont OpenVPN et NordLynx, optimisés pour la sécurité et la vitesse. Les utilisateurs bénéficient également de fonctionnalités telles que le kill switch, la protection contre les fuites DNS, et des serveurs dédiés au streaming. Avec des audits indépendants confirmant sa sécurité, NordVPN est considéré comme l'un des meilleurs VPN du marché, et le Black Friday est le moment idéal pour s'abonner.
Sources :
Plus de 1 000 personnes arrêtées lors d’une opération massive de lutte contre la cybercriminalité dans le « Serengeti »
Plus de 1 000 personnes ont été arrêtées lors de l'opération "Serengeti", une vaste initiative anti-cybercriminalité coordonnée par Interpol et Afripol entre le 2 septembre et le 31 octobre 2024. Cette opération visait à démanteler des réseaux criminels responsables de pertes financières mondiales s'élevant à près de 193 millions de dollars, liées à des activités telles que le ransomware, la fraude par e-mail commercial, l'extorsion numérique et les escroqueries en ligne. Au total, 1 006 suspects ont été appréhendés dans 19 pays africains, et 134 089 infrastructures malveillantes ont été neutralisées grâce à des informations fournies par des partenaires comme Cybercrime Atlas et Kaspersky. Parmi les faits marquants, le Kenya a résolu une affaire de fraude par carte de crédit ayant causé des pertes de 8,6 millions de dollars, tandis que le Sénégal a démantelé un système de Ponzi de 6 millions de dollars. D'autres arrestations notables ont eu lieu au Nigeria, au Cameroun et en Angola, où des escroqueries variées ont été mises à jour. L'opération a permis de récupérer environ 44 millions de dollars et a impliqué des pays tels que l'Algérie, le Ghana et la Tanzanie.
Sources :
Bénéficiez de 50 % de réduction sur Malwarebytes pendant le Black Friday 2024
Les offres de Black Friday 2024 de Malwarebytes sont désormais disponibles, offrant une réduction de 50 % sur les abonnements d'un et deux ans pour ses logiciels anti-malware, VPN et services de suppression de données personnelles. Ces promotions, valables jusqu'au 8 décembre, incluent des réductions sur plusieurs produits : Malwarebytes Standard à 22,49 $ (au lieu de 44,99 $), Malwarebytes Plus à 29,99 $ (au lieu de 59,99 $), et Malwarebytes Ultimate à 119,99 $ (au lieu de 239,99 $). Les abonnements familiaux et pour petites entreprises bénéficient également de remises significatives. La version Premium 5.2 de Malwarebytes propose des fonctionnalités avancées telles que la protection en temps réel contre les malwares, le blocage de sites malveillants et la détection des ransomwares. De plus, Malwarebytes a élargi son offre avec un VPN sans journalisation, une protection contre le vol d'identité et un service de suppression de données personnelles. Ces offres représentent une excellente opportunité pour améliorer la sécurité en ligne avant la fin de la période promotionnelle.
Sources :
Black Friday : voici 3 exemples d’arnaque dans vos mails sur lesquelles il ne faut pas cliquer
Le Black Friday approche, mais il s'accompagne d'un risque accru d'arnaques, particulièrement en France, selon un rapport de Bitdefender. Les cybercriminels exploitent cette période pour usurper des marques prestigieuses comme Louis Vuitton, en envoyant des mails contenant des liens vers de faux sites de vente. Ces sites, souvent hébergés à l'étranger, proposent des produits inexistants, incitant les utilisateurs à fournir leurs informations personnelles et bancaires. Une autre arnaque notoire concerne la Fnac, où des mails proposent des gadgets technologiques tout en diffusant le cheval de Troie bancaire Grandoreiro en Espagne. De plus, une campagne frauduleuse liée à Shein utilise des données personnelles pour paraître légitime, mais vole en réalité les informations des utilisateurs. Pour éviter ces pièges, il est conseillé de vérifier l'authenticité des mails, notamment en se méfiant des extensions de site suspectes comme « .ru ». Il est recommandé de se connecter directement via les sites officiels des marques plutôt que de cliquer sur des liens dans des courriels. Numerama propose également des offres vérifiées pour le Black Friday, aidant ainsi les consommateurs à naviguer en toute sécurité.
