Cybercriminalité : un hacker arrêté après 90 dataleaks en Thaïlande - Actus du 04/03/2025
Cyberattaques : La Polish Space Agency hors ligne après une attaque, Hunters International Ransomware vise Tata Technologies, et des failles de sécurité VMware exploitées. BroadCom répond avec des patchs urgents. Protégez votre infrastructure dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Polish Space Agency Offline lors de sa récupation de Cyberattack
L'Agence spatiale polonaise (POLSA) est hors ligne depuis qu'elle a déconnecté ses systèmes d'Internet pour contenir une violation de son infrastructure informatique. L'incident de cybersécurité a été détecté le week-end dernier, et l'agence a immédiatement informé les autorités compétentes tout en lançant une enquête pour évaluer l'impact de l'attaque. POLSA a déclaré que la situation était en cours d'analyse et a pris des mesures pour sécuriser ses données. Les employés ont été invités à utiliser des téléphones, car les systèmes de messagerie de l'agence ont été compromis. POLSA collabore désormais avec l'équipe polonaise de réponse aux incidents de sécurité informatique (CSIRT NASK) et l'équipe militaire (CSIRT MON) pour restaurer les services affectés. Le ministre polonais des Affaires numériques, Krzysztof Gawkowski, a indiqué que des efforts intensifs étaient en cours pour identifier les responsables de l'attaque. Fondée en septembre 2014, POLSA est membre de l'Agence spatiale européenne (ESA) et se concentre sur le soutien à l'industrie spatiale polonaise et l'amélioration des capacités de défense du pays via des systèmes satellites. Des informations supplémentaires seront publiées au fur et à mesure de l'évolution de la situation.
Sources :
Hunters International Ransomware revendique une attaque contre Tata Technologies
Le groupe de ransomware Hunters International a revendiqué une cyberattaque sur Tata Technologies survenue en janvier 2025, affirmant avoir volé 1,4 To de données. Tata Technologies, fondée en 1989 et basée à Pune, fournit des solutions d'ingénierie et numériques pour les industries manufacturières dans 27 pays, avec un effectif de plus de 12 500 employés. Bien que l'entreprise ait signalé une violation de sécurité, elle a indiqué que l'impact sur ses opérations était minime et que les services de livraison aux clients n'avaient pas été affectés. Tata Technologies a commencé à restaurer ses systèmes informatiques touchés et a promis de fournir des mises à jour après des enquêtes internes. Cependant, après un mois sans nouvelles, Hunters International a ajouté Tata à sa page d'extorsion sur le dark web, menaçant de publier les fichiers volés dans une semaine si une rançon n'était pas payée. Le groupe, qui a émergé fin 2023, est connu pour ses attaques de haut niveau et son absence de barrières éthiques. Bien que certaines de ses revendications aient été confirmées, d'autres, comme celle concernant le U.S. Marshals Service, ont été contestées.
Sources :
VMware Security Flaws exploite dans la nature - BroadCom publie des patchs urgents
Broadcom a publié des mises à jour de sécurité pour corriger trois vulnérabilités activement exploitées dans les produits VMware ESXi, Workstation et Fusion, pouvant entraîner une exécution de code et une divulgation d'informations. Les vulnérabilités identifiées sont :
- CVE-2025-22224 (CVSS : 9.3) : une vulnérabilité TOCTOU permettant à un acteur malveillant avec des privilèges administratifs locaux sur une machine virtuelle d'exécuter du code via le processus VMX sur l'hôte.
- CVE-2025-22225 (CVSS : 8.2) : une vulnérabilité d'écriture arbitraire permettant une évasion de sandbox par un acteur malveillant ayant des privilèges dans le processus VMX.
- CVE-2025-22226 (CVSS : 7.1) : une vulnérabilité de divulgation d'informations due à une lecture hors limites, permettant à un acteur malveillant d'extraire des données de mémoire du processus VMX.
Les versions affectées incluent VMware ESXi 8.0 et 7.0, Workstation 17.x, Fusion 13.x, ainsi que plusieurs versions de VMware Cloud Foundation et Telco Cloud Platform. Broadcom a reconnu que des exploitations de ces vulnérabilités avaient eu lieu, sans fournir de détails sur les attaques. Il est crucial que les utilisateurs appliquent les derniers correctifs pour assurer leur protection.
Sources :
Broadcom fixe trois jours Zero-Days VMware exploités dans les attaques
Broadcom a averti ses clients au sujet de trois vulnérabilités zero-day de VMware, identifiées comme exploitées dans des attaques, selon le Microsoft Threat Intelligence Center. Les failles (CVE-2025-22224, CVE-2025-22225 et CVE-2025-22226) affectent divers produits VMware ESX, tels que ESXi, vSphere et Workstation. Des attaquants ayant un accès privilégié peuvent combiner ces vulnérabilités pour échapper à l'environnement virtuel. Broadcom a précisé qu'un attaquant ayant compromis un système d'exploitation invité d'une machine virtuelle pourrait accéder au hyperviseur. La vulnérabilité CVE-2025-22224 est une faille critique de débordement de tas VCMI, permettant l'exécution de code sur le processus VMX. CVE-2025-22225 permet des écritures arbitraires dans le noyau, tandis que CVE-2025-22226 permet la divulgation d'informations, permettant aux attaquants d'extraire des données de mémoire. Les vulnérabilités VMware sont souvent ciblées par des groupes de ransomware et des hackers soutenus par des États, car elles sont couramment utilisées pour gérer des données sensibles. Broadcom avait déjà signalé des attaques exploitant des vulnérabilités de vCenter Server en novembre dernier.
Sources :
Identification des développeurs derrière un réseau mondial de deepfake
Microsoft a récemment identifié six développeurs impliqués dans la création de deepfakes de célébrités, utilisant illégalement ses services d'IA générative. Ces individus ont modifié des outils d'IA pour produire des contenus nuisibles, notamment des images intimes non consensuelles, qui étaient ensuite revendues, exacerbant l'exploitation abusive de la technologie. Parmi les développeurs, quatre sont basés à l'étranger (Iran, Royaume-Uni, Hong Kong, Vietnam) et deux aux États-Unis, où ils sont sous enquête du FBI. Microsoft a pris des mesures en saisissant un site web lié à un réseau cybercriminel nommé « Storm-2139 », perturbant ainsi l'organisation du groupe. Cette action a provoqué une panique parmi les membres, entraînant des accusations mutuelles et une tentative de déstabilisation en publiant des informations personnelles sur les avocats de Microsoft. Cette division interne pourrait faciliter la traque des responsables par les autorités. Les malfaiteurs ont accédé aux services Azure OpenAI grâce à des informations volées, soulignant les dangers de l'IA entre de mauvaises mains. Bien que la saisie du site soit une avancée, l'ampleur des dommages causés par ces deepfakes reste difficile à évaluer.
Sources :
Google fixe Android Zero-Day exploité par les autorités serbes
Google a publié des correctifs pour 43 vulnérabilités dans la mise à jour de sécurité d'Android de mars 2025, dont deux zero-days exploités dans des attaques ciblées. Les autorités serbes ont utilisé l'une de ces vulnérabilités, une faille de divulgation d'informations (CVE-2024-50302) dans le noyau Linux, pour déverrouiller des appareils confisqués. Cette faille faisait partie d'une chaîne d'exploits développée par la société israélienne Cellebrite. Amnesty International a découvert cette chaîne d'exploits en 2024 lors de l'analyse de journaux d'un appareil déverrouillé par les autorités serbes. Google a déclaré avoir partagé des correctifs avec ses partenaires OEM en janvier, affirmant qu'ils étaient conscients des vulnérabilités avant les rapports et avaient rapidement développé des solutions. Le second zero-day corrigé ce mois-ci (CVE-2024-43093) permet à des attaquants locaux d'accéder à des répertoires sensibles en contournant un filtre de chemin de fichier. Les mises à jour de sécurité de ce mois-ci incluent également 11 vulnérabilités pouvant permettre l'exécution de code à distance. Les appareils Google Pixel reçoivent les mises à jour immédiatement, tandis que d'autres fabricants peuvent prendre plus de temps pour les adapter.
Sources :
Cybercriminalité : un hacker derrière 90 dataleaks arrêté en Thaïlande
Un hacker de 39 ans, arrêté à Bangkok, est soupçonné d'être derrière 90 violations de données à l'échelle mondiale, compromettant plus de 13 téraoctets d'informations sensibles. Connu sous plusieurs pseudonymes tels qu'ALTDOS et GHOSTR, il était actif depuis 2021 dans la région Asie-Pacifique, ciblant des entreprises de divers secteurs, notamment la santé et la finance, dans des pays comme la Thaïlande, Singapour et même le Royaume-Uni. Contrairement à d'autres cybercriminels, il n'a pas publié immédiatement les données volées, préférant extorquer directement les entreprises en menaçant de divulguer leurs informations aux médias. Son mode opératoire incluait l'exploitation de vulnérabilités réseau et la vente de données sur le dark web, souvent en cryptomonnaies. Les autorités de Singapour ont commencé à enquêter sur lui en 2020 après des plaintes de rançon. Son arrestation a été compliquée par sa capacité à changer d'identité en ligne. Lors de son interpellation, des biens de luxe et des équipements électroniques ont été saisis. Cette affaire souligne l'importance de la coopération internationale dans la lutte contre la cybercriminalité.
Sources :
Opération Cumberland : répression contre les contenus pédopornographiques générés par l’IA
L'Opération Cumberland, dirigée par les forces de l'ordre danoises avec le soutien d'Europol et de 18 pays, a abouti à l'arrestation de 25 individus impliqués dans la diffusion de contenus pédopornographiques générés par intelligence artificielle. Cette enquête internationale a permis d'identifier 273 suspects et de saisir 173 appareils électroniques lors de perquisitions dans 33 domiciles. Le principal suspect, un Danois, gérait une plateforme en ligne où des utilisateurs payaient pour accéder à ces contenus illicites. Europol souligne que la facilité de création de ces images par des personnes aux intentions criminelles, même sans compétences techniques, représente un défi majeur pour les forces de l'ordre. Bien que les contenus saisis ne concernent pas de victimes réelles, leur existence contribue à la banalisation de la pédopornographie. Europol prévoit des campagnes de sensibilisation pour informer sur les conséquences juridiques de l'achat de tels contenus et des actions de dissuasion. Cette situation soulève des questions sur la régulation de l'IA et la capacité des lois actuelles à faire face à ces nouvelles formes de cybercriminalité, rendant la traçabilité et l'identification des auteurs plus complexes.
Sources :
Comment les nouveaux agents de l'IA transformeront les attaques de rembourrage des diplômes
En 2024, les attaques par credential stuffing ont connu une forte augmentation, alimentées par un cercle vicieux d'infections par des infostealers et de violations de données. Des milliards de données d'identification compromises circulent en ligne, accessibles pour aussi peu que 10 $ sur des forums criminels. Bien que les attaques par brute force et credential stuffing ne soient pas nouvelles, la complexité des applications web modernes, conçues pour contrer l'automatisation malveillante avec des protections comme CAPTCHA, complique leur exploitation. En un mois, 244 millions de nouveaux mots de passe et 493 millions de paires d'adresses ont été ajoutés à Have I Been Pwned. Malgré les protections telles que le verrouillage de compte et la limitation de débit, les attaquants peuvent utiliser des botnets pour contourner ces obstacles. L'outil "Operator" a été testé par Push Security, montrant sa capacité à cibler des applications avec des identifiants compromis sans nécessiter de codage personnalisé. Cela ouvre la voie à des attaques à grande échelle, rendant la technologie accessible même aux attaquants peu expérimentés. Cette évolution pourrait aggraver les défis de sécurité existants, transformant la manière dont les identités compromises sont exploitées.
Sources :
Un infostealer a permis la fuite des données bancaires de plus de 2 millions de personnes, rapporte Kaspersky
Lors du Mobile World Congress 2025, Kaspersky a présenté un rapport alarmant sur les infostealers, révélant que près de 26 millions d'appareils ont été compromis entre 2023 et 2024, dont plus de 9 millions rien qu'en 2024. Bien que moins de 1 % des cartes bancaires en circulation aient été affectées, 95 % des numéros de cartes divulgués sur le dark web semblent encore actifs. Les infostealers ciblent à la fois les particuliers et les entreprises, avec Redline dominant le paysage des infections en 2024, représentant 34 % des cas. Cependant, Risepro a connu une augmentation significative, passant de 1,4 % à près de 23 % des infections, tandis que Stealc a vu sa part grimper de 3 % à 13 %. Kaspersky a mis en place une page dédiée pour sensibiliser le public et proposer des solutions face à cette menace croissante. En cas de fuite de données, il est conseillé de surveiller les comptes bancaires, de demander une nouvelle carte, de changer les mots de passe, d'activer l'authentification à deux facteurs et d'effectuer des analyses de sécurité sur tous les appareils. Un guide détaillé est également disponible pour aider à la mise en œuvre de ces mesures.
Sources :
La Russie va frapper sur ses pirates informatiques
Le 10 février 2025, la Russie a adopté des amendements pour renforcer sa lutte contre la cybercriminalité, visant à protéger les citoyens et les organisations face à la menace croissante des cybercriminels. Ces réformes incluent des sanctions renforcées pour dissuader les attaques numériques, avec des peines plus sévères pour divers crimes informatiques. L'objectif est de compliquer le financement des opérations criminelles et d'exposer les conséquences des actes des hackers à travers des procès publics. Cependant, ces mesures soulèvent des inquiétudes quant à leur utilisation potentielle à des fins politiques, notamment pour cibler des hacktivistes jugés indésirables. Les pirates informatiques arrêtés pourraient être contraints de participer au conflit russo-ukrainien ou faire face à des poursuites. De plus, les condamnés seront interdits de travailler dans des secteurs sensibles pendant une période pouvant aller jusqu'à dix ans. La Russie prévoit également de renforcer la coopération internationale en matière de cybersécurité et de durcir les accords d'extradition pour juger les cybercriminels à l'étranger. Bien que ces réformes soient prometteuses pour la cybersécurité, des doutes subsistent quant à leur mise en œuvre et à leur utilisation comme outil de contrôle politique.
Sources :
Gestion manuelle des certificats numériques : Keyfactor dresse la liste des limites de cette approche
Les certificats numériques sont essentiels pour assurer des transmissions de données sécurisées, mais leur gestion manuelle devient de plus en plus problématique pour les entreprises. Avec l'augmentation des technologies comme DevOps, IoT et le télétravail, le nombre de certificats a explosé, tandis que leur durée de vie a été réduite à 90 jours en raison de normes de sécurité plus strictes. Cette situation entraîne plusieurs défis : un manque de transparence sur l'infrastructure de clés publiques (PKI), des processus complexes et chronophages pour le renouvellement et la révocation, une nécessité d'adaptation rapide aux exigences de sécurité, et une pénurie d'experts en PKI. Pour surmonter ces obstacles, l'automatisation via des outils modernes de PKI et de gestion du cycle de vie des certificats (CLM) est cruciale. Ces solutions permettent un inventaire automatique des certificats, une surveillance en temps réel, et garantissent la conformité réglementaire tout en réduisant les risques d'incidents. Ainsi, les entreprises qui adoptent ces outils automatisés peuvent améliorer leur gestion des certificats, assurer une meilleure sécurité et conformité, même avec des ressources humaines limitées. La gestion manuelle n'est plus viable face à la complexité croissante des environnements numériques.
Sources :
L’Australie interdit l’antivirus Kaspersky : une question de sécurité nationale
La ministre de l'Intérieur, Stephanie Foster, a annoncé l'interdiction des produits Kaspersky pour les agences gouvernementales, en raison des risques d'espionnage et d'ingérence étrangère. Le règlement 002-2025, publié le 28 février, impose la désinstallation des logiciels Kaspersky avant le 1er avril 2025. Cette décision fait suite à des actions similaires aux États-Unis, qui ont interdit l'utilisation de ces produits dans les agences fédérales depuis 2017, et à des mesures prises par d'autres pays européens comme les Pays-Bas et la Lituanie. Bien que l'Union européenne soit plus prudente, elle a émis des avertissements concernant les logiciels russes. L'affaire Kaspersky a éclaté en 2017, lorsque des documents classifiés de la NSA ont été trouvés sur un ordinateur utilisant cet antivirus. Les inquiétudes portent sur la possibilité que Kaspersky soit contraint de coopérer avec les services de renseignement russes. Malgré les assurances de l'entreprise sur la sécurité de ses produits, la méfiance des gouvernements occidentaux grandit, soulevant des questions sur la gestion des risques numériques à l'échelle internationale. Cette situation pourrait marquer un tournant dans la perception des menaces liées à la cybersécurité.
Sources :
Les pirates iraniens présumés ont utilisé le courrier électronique de la société indienne compromis pour cibler U.A.E. Secteur de l'aviation
Des chasseurs de menaces ont récemment mis en lumière une campagne de phishing hautement ciblée visant "moins de cinq" entités aux Émirats Arabes Unis (EAU), utilisant un backdoor inédit en Golang nommé Sosano. Détectée par Proofpoint fin octobre 2024, cette activité malveillante ciblait spécifiquement des organisations dans les secteurs de l'aviation et des communications par satellite, sous le nom de code UNK_CraftyCamel. L'attaque a exploité un compte email compromis d'INDIC Electronics, une entreprise indienne, pour envoyer des messages de phishing personnalisés aux cibles. Les emails contenaient des liens vers un domaine frauduleux imitant l'entreprise indienne, hébergeant un fichier ZIP avec un fichier XLS et deux fichiers PDF. Le fichier XLS était en réalité un raccourci Windows, tandis que les PDF étaient des polyglottes, permettant une interprétation multiple selon le programme utilisé. L'analyse de Proofpoint révèle que l'attaque utilise des techniques d'obfuscation avancées et que Sosano, une fois exécuté, permet des commandes variées, allant de la gestion de répertoires à l'exécution de commandes shell. Cette campagne, probablement orchestrée par un acteur aligné avec l'Iran, souligne l'importance stratégique des secteurs ciblés pour la sécurité nationale.
Sources :
Une attaque DDoS massive perturbe Beeline et Tele2 en Russie
L'incident récent souligne la vulnérabilité des infrastructures télécoms face à l'augmentation des cybermenaces, notamment les attaques DDoS. En Russie, ces attaques ont connu une hausse alarmante, avec Tele2 signalant des perturbations dans plusieurs régions. En 2024, l'entreprise a enregistré près de 135 000 attaques DDoS, soit une augmentation de 20 % par rapport à l'année précédente, avec une intensité multipliée par 3,4. L'oblast d'Irkoutsk a également été touché, mais Tele2 n'a pas confirmé si les perturbations étaient dues à des attaques DDoS ou à d'autres problèmes techniques. Ces cyberattaques représentent une menace persistante pour les opérateurs, qui doivent investir massivement dans la cybersécurité face à des infrastructures vieillissantes et à un manque de coopération internationale. Environ 60 % du trafic malveillant en 2024 provenait d'adresses IP russes, soulevant des questions sur l'impact des tensions géopolitiques sur la cybersécurité. Les récentes attaques contre Beeline et Tele2 rappellent la nécessité de développer de nouvelles stratégies pour protéger les infrastructures numériques, déjà fragilisées par des cyberattaques de plus en plus sophistiquées.
Sources :
Plus de 4 000 IPS IPS ciblés dans des attaques brutes pour déployer des voleurs d'informations et des cryptomineurs
Des fournisseurs d'accès Internet (FAI) en Chine et sur la côte ouest des États-Unis sont la cible d'une campagne d'exploitation massive utilisant des voleurs d'informations et des mineurs de cryptomonnaies sur des hôtes compromis. Selon l'équipe de recherche sur les menaces de Splunk, cette activité a permis la livraison de divers binaires facilitant l'exfiltration de données et l'établissement de persistance sur les systèmes. Les acteurs de la menace, non identifiés, ont mené des opérations peu intrusives pour éviter la détection, utilisant principalement des outils basés sur des langages de script comme Python et Powershell. Les attaques exploitent des mots de passe faibles via des tentatives de force brute, provenant d'adresses IP associées à l'Europe de l'Est, ciblant plus de 4 000 adresses IP de FAI. Une fois l'accès initial obtenu, les attaques déploient des exécutables via PowerShell pour le vol d'informations et le minage de cryptomonnaies. Un malware voleur capture des captures d'écran et des contenus du presse-papiers, ciblant des adresses de portefeuilles de cryptomonnaies. Les informations collectées sont exfiltrées vers un bot Telegram, tandis que d'autres binaires sont lancés pour des attaques supplémentaires.
Sources :
Cisco, Hitachi, Microsoft et Progress Flaws activement exploités - Cisa sonne alarme
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté cinq vulnérabilités de sécurité à son catalogue des vulnérabilités exploitées, touchant des logiciels de Cisco, Hitachi Vantara, Microsoft Windows et Progress WhatsUp Gold. Parmi ces vulnérabilités, on trouve :
- CVE-2023-20118 (score CVSS : 6.5) : une injection de commande dans l'interface de gestion des routeurs Cisco RV, permettant à un attaquant distant d'accéder à des données non autorisées (non corrigée en raison de l'obsolescence des routeurs).
- CVE-2022-43939 (8.6) et CVE-2022-43769 (8.8) : des failles d'autorisation dans Hitachi Vantara Pentaho BA Server, corrigées en août 2024.
- CVE-2018-8639 (7.8) : une élévation de privilèges dans Microsoft Windows, corrigée en décembre 2018.
- CVE-2024-4885 (9.8) : une vulnérabilité de traversée de chemin dans Progress WhatsUp Gold, corrigée en juin 2024.
Des rapports indiquent que la vulnérabilité CVE-2023-20118 est exploitée pour intégrer des routeurs dans un botnet, tandis que des tentatives d'exploitation de CVE-2024-4885 ont été observées. Les agences fédérales sont invitées à appliquer des mesures de mitigation d'ici le 24 mars 2025 pour sécuriser leurs réseaux.
Sources :
La mise à jour de la sécurité Android de Google de Google corrige deux vulnérabilités activement exploitées
Google a publié son Bulletin de sécurité Android de mars 2025, traitant 44 vulnérabilités, dont deux sont activement exploitées. Les vulnérabilités critiques incluent :
- CVE-2024-43093 : Une faille d'escalade de privilèges dans le composant Framework, permettant un accès non autorisé aux répertoires "Android/data", "Android/obb" et "Android/sandbox". Cette vulnérabilité avait déjà été signalée en novembre 2024 comme étant exploitée dans la nature.
- CVE-2024-50302 : Une faille similaire dans le composant HID USB du noyau Linux, pouvant entraîner une fuite de mémoire non initialisée vers un attaquant local via des rapports HID spécialement conçus. Cette vulnérabilité fait partie d'une chaîne exploitée par Cellebrite pour accéder au téléphone d'un activiste serbe en décembre 2024, en utilisant également CVE-2024-53104 et CVE-2024-53197.
Google a reconnu que ces deux vulnérabilités sont soumises à une "exploitation ciblée limitée". Pour remédier à ces problèmes, la société a publié deux niveaux de correctifs de sécurité, 2025-03-01 et 2025-03-05, afin d'aider les partenaires Android à corriger rapidement certaines vulnérabilités communes.
Sources :
Rubrik tourne les touches d'authentification après une violation du serveur de journaux
Rubrik a récemment annoncé qu'un de ses serveurs hébergeant des fichiers journaux avait été compromis, entraînant la rotation des clés d'authentification potentiellement exposées. La société, spécialisée dans la protection des données, a précisé que cette violation n'était pas liée à un incident de ransomware et qu'aucune communication n'avait été reçue de la part de l'attaquant. Dans un avis de sécurité publié le 2 février, Rubrik a indiqué avoir détecté une activité inhabituelle sur le serveur concerné, ce qui a conduit à sa mise hors ligne pour limiter les risques. Une enquête, menée avec l'aide d'un partenaire forensic, a confirmé que l'incident était isolé à ce serveur et qu'aucune preuve d'accès non autorisé aux données des clients ou au code interne n'avait été trouvée. Toutefois, un petit nombre de fichiers journaux contenait des informations d'accès, ce qui a poussé Rubrik à agir par précaution. La société a assuré qu'il n'y avait aucune indication que ces informations aient été utilisées de manière abusive. Rubrik avait déjà subi une violation de données en 2023 lors des attaques de vol de données de Fortra GoAnywhere par le groupe de ransomware Clop.
Sources :
DHS dit que la CISA n'arrêtera pas de surveiller les cyber-menaces russes
L'administration Trump a modifié sa perception de la Russie, ne la considérant plus comme une menace cybernétique pour les infrastructures critiques américaines. Tricia McLaughlin, du Département de la Sécurité intérieure, a qualifié de faux un mémo affirmant le contraire, précisant que la CISA continuera à surveiller les menaces russes. Parallèlement, le secrétaire à la Défense, Pete Hegseth, a ordonné à Cyber Command de suspendre les opérations offensives contre la Russie, une décision confirmée par plusieurs médias. Cette pause est censée durer pendant les négociations visant à mettre fin à l'invasion de l'Ukraine par la Russie. Cependant, des responsables américains craignent que cette décision expose les États-Unis à des cyberattaques potentielles, la Russie disposant de hackers capables de perturber les infrastructures critiques. Ce changement de politique marque un revirement radical par rapport à la position des États-Unis des dix dernières années, qui considéraient la Russie comme une menace majeure en cybersécurité. Des experts soulignent que cette stratégie pourrait être illusoire et ne pas améliorer les relations avec Moscou. En outre, la suspension des opérations pourrait accroître les risques pour le secteur privé américain face aux capacités d'espionnage et de cyberattaque de la Russie.
Sources :
Les nouvelles panneaux de panne Microsoft 365 affectent les équipes, provoque des échecs d'appel
Le 3 mars 2025, Microsoft a annoncé une nouvelle panne affectant Microsoft 365, en particulier la plateforme Teams, entraînant des échecs d'appels et des problèmes d'authentification pour de nombreux utilisateurs. Selon Downdetector, des centaines de rapports ont été reçus, indiquant que les utilisateurs rencontrent également des difficultés avec d'autres services comme Outlook, OneDrive et Exchange. Microsoft a reconnu que l'incident impacte plusieurs services et a lancé une enquête pour comprendre l'origine du problème. Bien que la société ait initialement déclaré que seule la plateforme Teams était touchée, les utilisateurs ont signalé des problèmes plus larges, notamment l'accès à leurs e-mails via l'application native d'Apple. En réponse à la situation, Microsoft a déployé un correctif pour restaurer les services, après avoir identifié un changement récent qui avait causé des perturbations dans les files d'attente d'appels et les auto-répondeurs. À 16h53, Microsoft a confirmé que le problème d'authentification avait été résolu et que les services avaient été rétablis après une période de surveillance. Cette panne survient après une autre interruption récente liée à des problèmes d'authentification dans Outlook et Exchange Online.
Sources :
CISA Tags Windows, Cisco Vulnérabilités telles que exploitées activement
CISA a averti les agences fédérales américaines de sécuriser leurs systèmes face à des vulnérabilités activement exploitées dans les systèmes Cisco et Windows. Deux failles ont été identifiées : la première, CVE-2023-20118, permet aux attaquants d'exécuter des commandes arbitraires sur certains routeurs VPN Cisco, nécessitant des identifiants administratifs, mais pouvant être contournée grâce à une autre vulnérabilité, CVE-2023-20025. Cisco a reconnu la disponibilité publique d'un code d'exploitation pour cette dernière. La seconde faille, CVE-2018-8639, concerne une élévation de privilèges dans Win32k, permettant à des attaquants locaux de faire tourner du code en mode noyau, d'altérer des données ou de créer des comptes malveillants sur des dispositifs Windows vulnérables. CISA a ajouté ces vulnérabilités à son catalogue des vulnérabilités connues exploitées, obligeant les agences fédérales à sécuriser leurs réseaux d'ici le 23 mars. CISA souligne que ces vulnérabilités représentent des vecteurs d'attaque fréquents pour les acteurs malveillants, posant des risques significatifs pour l'ensemble du secteur fédéral. Microsoft et Cisco n'ont pas encore mis à jour leurs avis de sécurité suite à cette classification.
Sources :
Nouvelle attaque ClickFix déploie Havoc C2 via Microsoft SharePoint
Une nouvelle campagne de phishing, nommée ClickFix, a été découverte, exploitant Microsoft SharePoint pour déployer le cadre de post-exploitation Havoc. Cette méthode, apparue l'année dernière, incite les victimes à exécuter des commandes PowerShell malveillantes sous prétexte de corriger de faux messages d'erreur. Dans cette campagne, des courriels de phishing invitent les utilisateurs à ouvrir un document HTML contenant une erreur fictive liée à OneDrive. En cliquant sur un bouton pour "réparer" l'erreur, un script PowerShell est copié dans le presse-papiers, incitant les utilisateurs à le coller dans l'invite de commande. Ce script, hébergé sur un serveur SharePoint contrôlé par les attaquants, vérifie si l'appareil est dans un environnement sécurisé et, s'il ne l'est pas, modifie le registre Windows et installe Python si nécessaire. Un script Python est ensuite téléchargé et exécuté pour déployer Havoc, permettant aux attaquants de contrôler à distance les appareils compromis. Havoc utilise l'API Graph de Microsoft pour communiquer, intégrant le trafic malveillant dans les services cloud légitimes, rendant ainsi la détection plus difficile. Les attaques ClickFix gagnent en popularité, ciblant divers types de malwares et évoluant vers des plateformes comme Telegram.
Sources :
Les pirates exploitent AWS erronés pour lancer des attaques de phishing via SES et Workmail
Des acteurs malveillants ciblent les environnements Amazon Web Services (AWS) pour mener des campagnes de phishing, selon des recherches de Palo Alto Networks Unit 42. Ce groupe, désigné TGR-UNK-0011, actif depuis 2019, a évolué d'une activité de défiguration de sites vers l'envoi d'emails de phishing pour des gains financiers. Ces attaques n'exploitent pas de vulnérabilités dans AWS, mais tirent parti de mauvaises configurations qui exposent les clés d'accès AWS des victimes. En abusant des services Amazon Simple Email Service (SES) et WorkMail, les attaquants peuvent contourner les protections des emails, car les messages proviennent d'entités connues. Une fois l'accès à un compte AWS confirmé, les attaquants génèrent des identifiants temporaires et créent de nouveaux utilisateurs SES et WorkMail pour établir leur infrastructure de phishing. Ils mettent également en place des utilisateurs IAM pour maintenir une persistance à long terme. Un aspect notable de leur méthode est la création de nouveaux rôles IAM avec des politiques de confiance, leur permettant d'accéder à des comptes AWS sous leur contrôle. Enfin, ils laissent une "carte de visite" en créant des groupes de sécurité EC2 nommés Java_Ghost, sans règles de sécurité attachées.
Sources :
UK Watchdog sondes Tiktok et Reddit sur les problèmes de confidentialité des enfants
Le 3 mars 2025, le régulateur britannique de la vie privée, l'Information Commissioner's Office (ICO), a annoncé une enquête sur TikTok, Reddit et Imgur concernant des préoccupations liées à la protection des données des enfants. L'ICO examine comment TikTok utilise les données des enfants pour formuler des recommandations, ce qui pourrait exposer ces jeunes utilisateurs à des contenus inappropriés ou nuisibles. Les enquêtes sur Imgur et Reddit portent également sur l'utilisation des informations personnelles des enfants britanniques pour évaluer leur âge. L'ICO a souligné que ces investigations visent à garantir que les entreprises conçoivent des services numériques protégeant la vie privée des enfants. En avril 2023, TikTok avait déjà été condamné à une amende de 12,7 millions de livres sterling pour avoir enfreint la législation sur la protection des données, notamment en utilisant des données d'enfants de moins de 13 ans sans consentement parental. John Edwards, le commissaire à l'information, a affirmé que la responsabilité de la sécurité des enfants en ligne incombe aux entreprises offrant ces services. Une étude récente a révélé que plus de 42 % des parents britanniques estiment avoir peu ou pas de contrôle sur les données collectées par ces plateformes.
