Des milliers de cartes de crédit volées dans un magasin des Packers de Green Bay - Actus du 08/01/2025
Découvrez comment des milliers de cartes de crédit ont été volées chez les Packers de Green Bay. Plongée dans le monde obscur des courtiers d’accès initiaux et la révélation d'un RAT non euclidien utilisant des techniques de contournement UAC. Protégez vos données dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des milliers de cartes de crédit volées dans un magasin des Packers de Green Bay
Les Green Bay Packers ont annoncé que des cybercriminels ont volé les données de carte de crédit de plus de 8 500 clients suite à une violation de sécurité sur leur boutique en ligne, survenue en septembre 2024. Dans des lettres de notification envoyées aux personnes concernées, l'équipe de la NFL a indiqué avoir désactivé immédiatement toutes les capacités de paiement après avoir été informée de la violation le 23 octobre. Une enquête a révélé que les attaquants avaient injecté un logiciel malveillant sur la page de paiement pour collecter des informations personnelles et de paiement. Cependant, les informations des paiements effectués par carte-cadeau, compte Pro Shop, PayPal ou Amazon Pay n'ont pas été compromises. Les données volées incluent noms, adresses, adresses e-mail, types et numéros de carte de crédit, dates d'expiration et CVV. La méthode d'attaque a été identifiée par la société de sécurité Sansec, qui a utilisé des fonctionnalités de YouTube pour contourner les protections de sécurité. Les Packers offrent aux victimes trois ans de services de surveillance de crédit et de restauration d'identité via Experian et les conseillent de surveiller leurs relevés pour détecter toute activité frauduleuse.
Sources :
Comment les courtiers d’accès initiaux (IAB) vendent les informations d’identification de vos utilisateurs
Les courtiers en accès initial (IABs) jouent un rôle clé dans le cybercriminalité moderne en vendant des identifiants d'accès volés à des groupes de ransomware et à d'autres criminels. Agissant comme des "serruriers" technologiques, ils infiltrent des systèmes de sécurité et revendent ces accès via des canaux privés, comme Telegram. Leur modèle commercial est structuré, avec un service client et des garanties de remboursement, attirant ainsi des criminels moins expérimentés qui souhaitent cibler des entreprises de valeur. Par exemple, des informations sur des organisations, telles que leur chiffre d'affaires et leur secteur d'activité, sont souvent incluses dans les annonces de vente, permettant aux acheteurs de choisir leurs cibles. Les prix varient, allant de quelques centaines de dollars pour un compte utilisateur à 140 000 dollars pour des identifiants d'administrateur. Des incidents récents, comme l'attaque contre Geico, illustrent que même les entreprises avec des budgets de cybersécurité importants peuvent être vulnérables. Pour se défendre, les organisations doivent surveiller les marchés du dark web et mettre en place des politiques de mots de passe robustes. L'utilisation de bases de données de mots de passe compromis et la surveillance continue peuvent aider à prévenir les attaques basées sur des identifiants volés.
Sources :
Des chercheurs exposent un RAT non euclidien à l'aide de techniques de contournement UAC et d'évasion AMSI
Des chercheurs en cybersécurité ont identifié un nouveau cheval de Troie d'accès à distance, nommé NonEuclid, qui permet aux cybercriminels de contrôler à distance des systèmes Windows compromis. Développé en C#, ce malware sophistiqué offre un accès non autorisé tout en intégrant des techniques avancées d'évasion. NonEuclid, qui a été promu sur des forums clandestins depuis fin novembre 2024, utilise des mécanismes tels que le contournement des antivirus, l'escalade de privilèges et le chiffrement de fichiers critiques. Le RAT commence par une phase d'initialisation, effectue des vérifications pour éviter la détection, puis établit une communication via un socket TCP. Il configure également des exclusions dans Microsoft Defender pour éviter d'être détecté. Parmi ses techniques anti-analyse, il vérifie s'il s'exécute dans un environnement virtuel ou sandboxé, et se termine si c'est le cas. NonEuclid utilise des tâches planifiées et des modifications du registre Windows pour assurer sa persistance, tout en contournant les protections UAC. De plus, il peut chiffrer des fichiers spécifiques, les renommant avec l'extension ".NonEuclid", ce qui en fait une forme de ransomware. Ce malware illustre la sophistication croissante des menaces modernes.
Sources :
L'agence de l'aviation de l'ONU confirme une faille de sécurité dans la base de données de recrutement
L'Organisation de l'aviation civile internationale (OACI) des Nations Unies a confirmé une violation de sécurité de sa base de données de recrutement, entraînant le vol d'environ 42 000 dossiers. Cette annonce fait suite à une enquête sur un "incident potentiel de sécurité de l'information". Deux jours avant, un acteur malveillant utilisant le pseudonyme "Natohub" avait divulgué ces documents sur le forum de hacking BreachForums. Les données compromises incluent des informations personnelles telles que noms, dates de naissance, adresses, numéros de téléphone, adresses e-mail, ainsi que des antécédents professionnels et éducatifs. Cependant, l'OACI a précisé que les informations financières et d'autres données sensibles des candidats n'ont pas été affectées. L'agence a assuré que l'incident était limité à la base de données de recrutement et n'impactait pas les systèmes liés à la sécurité aérienne. En réponse à cette violation, l'OACI a mis en place des mesures de sécurité supplémentaires et travaille à identifier et notifier les personnes touchées. Ce n'est pas la première fois que des réseaux de l'ONU sont ciblés, des incidents similaires ayant eu lieu en 2019 et 2021.
Sources :
Top 5 des menaces de logiciels malveillants contre lesquelles se préparer en 2025
En 2024, plusieurs cyberattaques notables ont touché des entreprises telles que Dell et TicketMaster, mettant en lumière la nécessité pour les organisations de connaître leurs ennemis cybernétiques. Des malwares comme Lumma et XWorm ont été particulièrement actifs, collectant des données sensibles telles que des informations financières et des identifiants de connexion. Lumma, apparu en juillet 2022, se propageait via des pages CAPTCHA falsifiées et des emails de phishing, permettant une interaction en temps réel avec les menaces. XWorm, quant à lui, a été impliqué dans des attaques à grande échelle, exploitant des tunnels CloudFlare et des certificats numériques légitimes, tout en surveillant les activités des victimes par le biais de frappes au clavier et d'enregistrements d'écran. En outre, le groupe LockBit a continué à représenter une menace majeure en matière de ransomware, ciblant des organisations de renom comme la Royal Mail au Royaume-Uni. Les forces de l'ordre ont intensifié leurs efforts pour démanteler ce groupe, entraînant l'arrestation de plusieurs de ses membres. Pour contrer ces menaces, des outils comme le sandbox interactif ANY.RUN permettent aux entreprises de détecter rapidement les fichiers malveillants et d'analyser les menaces dans un environnement virtuel sécurisé.
Sources :
La variante du botnet Mirai exploite la vulnérabilité du routeur Four-Faith pour des attaques DDoS
Une variante du botnet Mirai a été découverte exploitant une vulnérabilité récemment divulguée affectant les routeurs industriels Four-Faith depuis début novembre 2024, dans le but de mener des attaques par déni de service distribué (DDoS). Ce botnet maintient environ 15 000 adresses IP actives quotidiennement, principalement en Chine, en Iran, en Russie, en Turquie et aux États-Unis. Il exploite plus de 20 vulnérabilités de sécurité connues et des identifiants Telnet faibles pour un accès initial. Nommé "gayfemboy", le malware est actif depuis février 2024 et utilise une vulnérabilité zero-day (CVE-2024-12856) dans les routeurs Four-Faith, permettant l'injection de commandes. Les attaques DDoS, ciblant quotidiennement des centaines d'entités, ont atteint un pic en octobre et novembre 2024, générant un trafic d'environ 100 Gbps. Les chercheurs de XLab soulignent que les attaques DDoS sont devenues l'une des formes les plus courantes et destructrices de cyberattaques, avec des méthodes variées et des stratégies en constante évolution, représentant une menace significative pour les entreprises et les utilisateurs individuels. Parallèlement, des acteurs malveillants exploitent des serveurs PHP mal configurés pour déployer des mineurs de cryptomonnaie.
Sources :
La FCC lance le « Cyber Trust Mark » pour les appareils IoT afin de certifier leur conformité en matière de sécurité
Le gouvernement américain a annoncé le lancement du U.S. Cyber Trust Mark, un label de sécurité en cybersécurité pour les appareils connectés de l'Internet des objets (IoT). Selon la Commission fédérale des communications (FCC), ce programme vise à identifier les produits intelligents qui respectent des normes de cybersécurité strictes. Les appareils éligibles, tels que les caméras de sécurité, les appareils électroménagers intelligents et les moniteurs pour bébés, porteront ce label accompagné d'un code QR permettant aux utilisateurs d'accéder à des informations détaillées sur la sécurité du produit, comme la période de support et la gestion des mises à jour logicielles. Les tests de conformité seront réalisés par des laboratoires accrédités, et des administrateurs de labels de cybersécurité évalueront les demandes des fabricants. Cependant, le programme exclut certains dispositifs, notamment les appareils médicaux, les véhicules motorisés et ceux utilisés dans des applications industrielles. Les fabricants souhaitant obtenir le label doivent faire tester leurs produits par un laboratoire reconnu et soumettre une demande avec les documents nécessaires. Cette initiative vise à faciliter la compréhension des enjeux de cybersécurité pour les consommateurs américains.
Sources :
La CISA signale des failles critiques dans les systèmes Mitel et Oracle en pleine exploitation
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté trois vulnérabilités affectant Mitel MiCollab et Oracle WebLogic Server à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. Les vulnérabilités incluent : CVE-2024-41713 (score CVSS : 9.1), une vulnérabilité de traversée de chemin dans Mitel MiCollab permettant à un attaquant d'accéder de manière non autorisée ; CVE-2024-55550 (score CVSS : 4.4), une autre vulnérabilité de traversée de chemin dans Mitel MiCollab, qui permet à un attaquant authentifié avec des privilèges administratifs de lire des fichiers locaux en raison d'une insuffisance de nettoyage des entrées ; et CVE-2020-2883 (score CVSS : 9.8), une vulnérabilité dans Oracle WebLogic Server pouvant être exploitée par un attaquant non authentifié avec accès réseau. Il est à noter que CVE-2024-41713 peut être combinée avec CVE-2024-55550 pour permettre à un attaquant distant non authentifié de lire des fichiers arbitraires sur le serveur. Les agences fédérales doivent appliquer les mises à jour nécessaires d'ici le 28 janvier 2025 pour sécuriser leurs réseaux.
Sources :
Le piratage de PowerSchool expose les données des élèves et des enseignants des districts K-12
Le 7 janvier 2025, PowerSchool a confirmé avoir subi une cyberattaque ayant entraîné le vol de données personnelles d'élèves et d'enseignants provenant de districts scolaires utilisant sa plateforme SIS. PowerSchool, fournisseur de solutions logicielles pour les écoles K-12, dessert plus de 60 millions d'élèves dans le monde. L'incident a été détecté le 28 décembre 2024, lorsqu'un accès non autorisé a été identifié via le portail de support client PowerSource. Un acteur malveillant a utilisé des identifiants compromis pour accéder aux bases de données "Students" et "Teachers", exportant les informations dans un fichier CSV. Les données volées comprennent principalement des coordonnées telles que noms et adresses. Bien que PowerSchool ait payé une rançon pour éviter la divulgation des données, il a précisé qu'il ne s'agissait pas d'une attaque par ransomware. L'entreprise a engagé CyberSteward pour négocier avec les cybercriminels et a reçu des assurances que les données avaient été supprimées. PowerSchool informe actuellement les districts scolaires touchés et prévoit de partager un rapport d'enquête finalisé par CrowdStrike d'ici le 17 janvier 2025. L'incident a également suscité des discussions sur Reddit, où des conseils pour détecter le vol de données ont été partagés.
Sources :
Casio affirme que les données de 8 500 personnes ont été exposées lors d'une attaque de ransomware en octobre
Casio, le fabricant japonais d'électronique, a révélé qu'une attaque par ransomware en octobre 2024 a exposé les données personnelles d'environ 8 500 personnes, principalement des employés et des partenaires commerciaux, avec un petit nombre de clients touchés. L'incident a eu lieu le 5 octobre, lorsque des cybercriminels ont compromis le réseau de l'entreprise via des techniques de phishing, entraînant une panne des systèmes informatiques. Le groupe de ransomware Underground a revendiqué l'attaque le 10 octobre, menaçant de divulguer des documents confidentiels si une rançon n'était pas payée. Casio a confirmé le vol de données personnelles, mais n'avait pas initialement divulgué le nombre de personnes affectées. L'enquête a maintenant été complétée, révélant que les données exposées incluent des informations détaillées sur les employés, les partenaires et les clients, ainsi que des documents internes. Casio a précisé qu'aucune donnée client ou information de carte de crédit n'avait été compromise et qu'ils n'avaient pas négocié avec les cybercriminels. Bien que la plupart des services aient repris un fonctionnement normal, certains restent affectés. Casio a également signalé une autre violation de données sur ses plateformes CASIO ID et ClassPad.net en octobre 2024.
Sources :
Les faux packages Hardhat npm ciblent les développeurs Ethereum
Une campagne malveillante cible activement les développeurs Ethereum en utilisant de faux packages npm Hardhat pour voler des clés privées. Selon une récente publication de l'équipe de recherche de Socket.dev, cette attaque de chaîne d'approvisionnement vise spécifiquement les plateformes Nomic Foundation et Hardhat. Les acteurs malveillants ont créé des packages ressemblant à de véritables plugins Hardhat, prétendant offrir des fonctionnalités similaires, comme l'optimisation des gaz et les tests de contrats intelligents. Ces packages, hébergés sur npm, semblent dignes de confiance, ce qui facilite l'exfiltration de données sensibles telles que les clés privées et les mnémoniques. Les données volées sont ensuite chiffrées avec une clé AES et transférées vers des points de contrôle contrôlés par les attaquants. De plus, ces packages peuvent être utilisés pour déployer des contrats malveillants, perturbant ainsi le réseau principal Ethereum. L'équipe de Socket.dev a identifié 20 packages malveillants provenant de trois auteurs, dont un a été téléchargé plus de 1000 fois, soulignant l'ampleur des dommages potentiels. Pour se protéger, les développeurs Ethereum doivent mettre en œuvre des mesures de sécurité strictes et être prudents lors de la sélection de packages afin d'éviter de tomber dans le piège de ces menaces.
Sources :
Le logiciel malveillant Android FireScam attire ses victimes en se faisant passer pour l'application Telegram Premium
Des chercheurs ont identifié une nouvelle menace ciblant activement les utilisateurs d'Android, nommée FireScam. Ce malware, principalement dirigé contre les utilisateurs russes, se fait passer pour l'application Telegram Premium. Selon la société de cybersécurité Cyfirma, FireScam se propage via des sites de phishing, notamment à travers une fausse application RuStore, qui est en réalité un site hébergé sur GitHub.io. En exploitant le nom d'une application légitime, il incite les utilisateurs à le télécharger.
Une fois installé, le malware agit comme un dropper APK, téléchargeant et installant le véritable payload de FireScam. Il établit un accès persistant sur l'appareil et exfiltre des données telles que messages, notifications et activités du presse-papiers. FireScam utilise des techniques d'obfuscation pour éviter la détection et peut détecter les environnements d'émulation. Les informations volées sont d'abord envoyées à une base de données Firebase, puis transférées vers un stockage privé.
Ce malware cible les appareils fonctionnant sous Android 8 jusqu'à Android 15. Les utilisateurs sont avertis de faire attention aux sites qu'ils visitent et d'éviter les emails et messages non sollicités pour se protéger contre cette menace.
Sources :
Une nouvelle attaque DoubleClickjacking contourne les mesures de sécurité existantes
Un chercheur, Paulos Yibelo, a mis au jour une nouvelle stratégie d'attaque nommée DoubleClickjacking, qui menace la sécurité de la plupart des sites web. Cette méthode exploite le temps entre deux clics pour contourner les mesures de sécurité anti-clickjacking existantes. Contrairement au clickjacking traditionnel, qui superpose des fenêtres générées par des attaquants pour capturer les clics des utilisateurs, le DoubleClickjacking modifie l'affichage entre le premier et le second clic. L'attaquant peut inciter l'utilisateur à double-cliquer sur des boutons attrayants, détournant ainsi le second clic vers une page malveillante. Cela peut permettre des actions nuisibles, comme l'autorisation d'intégration de compte ou le contournement d'une authentification à deux facteurs. Ce type d'attaque est particulièrement redoutable car il s'exécute directement sur le site cible, sans transfert de cookies, rendant presque tous les sites vulnérables. En plus des sites web, le DoubleClickjacking peut également cibler des extensions de navigateur et des applications mobiles. Yibelo a proposé plusieurs stratégies de mitigation, telles que l'application de protections côté client et l'utilisation de scripts de prévention basés sur des iframes pour aider à sécuriser les sites et applications vulnérables.
Sources :
Une application Android malveillante sur Amazon Appstore a distribué un logiciel espion
Des chercheurs de McAfee Labs ont découvert une application Android malveillante sur l'Amazon Appstore, ciblant les utilisateurs avec un logiciel espion. Nommée "BMI CalculationVsn", cette application se présentait comme un calculateur de BMI légitime, incitant les utilisateurs à lui accorder des accès explicites à leurs appareils. Une fois téléchargée, l'application demandait des permissions d'accès, y compris pour des éléments non liés, comme les messages SMS et la liste des applications installées. En arrière-plan, elle exécutait des actions malveillantes, telles que l'enregistrement d'écran, pour voler des données. Bien que l'application ait été initialement conçue comme un outil d'enregistrement d'écran en octobre 2024, les attaquants l'ont modifiée pour inclure des fonctionnalités supplémentaires. L'application stockait les informations volées dans un fichier mp4 sans les transférer à un serveur de commande. Pour masquer leurs intentions, les attaquants se faisaient passer pour une entreprise informatique indonésienne légitime. Après signalement, Amazon a retiré l'application de son Appstore, mais elle pourrait encore être présente sur les appareils des utilisateurs. Les chercheurs recommandent de vérifier manuellement la présence de l'application et d'utiliser des solutions antimalware robustes.
Sources :
Le nouveau botnet Mirai cible les routeurs industriels avec des exploits zero-day
Un nouveau botnet basé sur Mirai a émergé, ciblant des routeurs industriels et des dispositifs domestiques intelligents en exploitant des vulnérabilités zero-day. Selon les chercheurs de Chainxin X Lab, l'exploitation de failles inconnues a commencé en novembre 2024, avec une attention particulière sur la vulnérabilité CVE-2024-12856 affectant les routeurs industriels Four-Faith. Ce botnet, découvert en février 2024, compte environ 15 000 nœuds actifs quotidiennement, principalement en Chine, aux États-Unis, en Russie, en Turquie et en Iran. Son objectif principal est de mener des attaques par déni de service distribué (DDoS) sur des cibles spécifiques, avec une intensité de trafic dépassant 100 Gbps. Les attaques, bien que brèves (10 à 30 secondes), peuvent perturber des infrastructures robustes. Le botnet utilise une combinaison d'exploits publics et privés pour plus de 20 vulnérabilités, ciblant divers dispositifs, y compris des routeurs ASUS, Huawei et des caméras PZT. Les utilisateurs sont conseillés de mettre à jour leurs appareils, de désactiver l'accès à distance si non nécessaire et de changer les identifiants par défaut pour se protéger contre ces menaces.
Sources :
Le gouvernement américain lance un label de sécurité informatique pour les appareils intelligents
Le 7 janvier 2025, la Maison Blanche a annoncé le lancement du Cyber Trust Mark, un nouveau label de sécurité en cybersécurité pour les appareils connectés à Internet destinés aux consommateurs américains. Ce label, qui apparaîtra sur les produits intelligents vendus aux États-Unis plus tard cette année, vise à aider les consommateurs à évaluer la sécurité des dispositifs qu'ils souhaitent acheter, tels que les caméras de sécurité, les téléviseurs et les appareils électroménagers connectés. Les produits portant ce label auront satisfait aux critères de cybersécurité établis par le National Institute of Standards and Technology (NIST), incluant l'utilisation de mots de passe forts, des mises à jour logicielles et des capacités de détection d'incidents. Les consommateurs pourront scanner un code QR associé au label pour obtenir des informations supplémentaires sur la sécurité. Ce programme, qui a été dévoilé en juillet 2023, a reçu le soutien de grandes entreprises comme Amazon et Google. Bien que la participation soit volontaire, il est espéré que les fabricants adopteront ce label pour rassurer les consommateurs face aux menaces de piratage. Le programme sera opérationnel en 2025, avec des entreprises prêtes à soumettre leurs produits pour certification.
Sources :
Les États-Unis sanctionnent une entreprise chinoise de cybersécurité pour son rôle dans les attaques de Flax Typhoon
L'entreprise chinoise Integrity Technology Group est accusée par les autorités américaines d'avoir soutenu des opérations de piratage pour le compte du ministère de la Sécurité d'État chinois. Selon des documents officiels, cette société aurait utilisé ses cyber-camps d'entraînement et sa plateforme en ligne pour orchestrer des attaques, tout en maintenant une base de données de plus de 1,2 million d'appareils compromis. Fondée en 2010 par Cai Jingjing, un hacker réputé, Integrity Technology a réussi à rassembler une communauté de talents, facilitant ainsi la mise en œuvre d'attaques tout en réduisant les risques de détection. En conséquence, les États-Unis ont imposé des sanctions qui interdisent à l'entreprise d'accéder aux ressources financières en dollars et de collaborer avec des partenaires américains. Cette décision s'inscrit dans un contexte de tensions croissantes entre les États-Unis et la Chine, visant à envoyer un message fort sur la protection des intérêts nationaux. Les entreprises collaborant avec Integrity Technology devront réévaluer leurs partenariats pour éviter des sanctions secondaires. La réponse officielle de la Chine reste à définir, bien que Pékin ait nié tout soutien aux hackers, se présentant comme une victime d'attaques extérieures.
Sources :
Russie : le Google Map local obligé de de restreindre l’accès aux cartes d’une raffinerie stratégique
Un tribunal russe a ordonné à Yandex, le principal service de cartographie du pays, de restreindre l'accès aux cartes d'une raffinerie de pétrole stratégique, marquant une première judiciaire en Russie concernant le retrait de contenus sensibles liés à des infrastructures de défense. Bien que la raffinerie ne soit pas nommée, des sources suggèrent qu'il s'agit de celle contrôlée par Rosneft à Ryazan, qui a récemment subi des attaques ukrainiennes. L'agence réglementaire à l'origine de cette décision a justifié la mesure en affirmant que la publication de ces images compromettait la défense nationale et ralentissait les opérations militaires. En plus de flouter les images, Yandex a été condamné à une amende, dont le montant n'a pas été précisé. Ce cas soulève des questions sur la responsabilité des entreprises technologiques dans la diffusion d'informations géographiques sensibles, un enjeu mondial accentué par la guerre en Ukraine. Des précédents internationaux montrent que des services comme Google Maps ont également été critiqués pour exposer des sites militaires, mettant en lumière les tensions entre transparence des données et sécurité nationale.
Sources :
Une panne massive d’Internet en Russie
Une panne massive d'Internet a frappé la Russie, affectant des millions d'utilisateurs et bloquant l'accès à des services essentiels tels que Google, Yandex, VKontakte et Discord. Selon Roskomnadzor, le régulateur des télécommunications, cet incident serait dû à un problème technique sur le réseau principal d'un opérateur télécom. Bien que la panne ait été rapidement résolue, elle a mis en évidence les vulnérabilités du système Internet russe, notamment à Moscou, où le principal opérateur mobile, MTS, a été particulièrement touché. Les interruptions ont également perturbé les services bancaires en ligne, soulevant des questions sur la gestion et la stabilité du réseau. Certains experts évoquent un lien avec un câble endommagé par un bateau russe en mer Baltique. Cette situation rappelle des exercices précédents menés par Roskomnadzor, qui avaient déjà déconnecté certaines régions du réseau global, illustrant le contrôle croissant du Kremlin sur l'Internet. Les utilisateurs russes se retrouvent ainsi de plus en plus limités dans leur accès à un Internet ouvert, ce qui impacte les citoyens, les entreprises et l'économie. Cette isolation numérique soulève des inquiétudes quant à l'avenir de la connectivité en Russie.
Sources :
Des failles du BIOS exposent les séquenceurs d'ADN iSeq aux attaques bootkit
Des vulnérabilités dans le BIOS du séquenceur ADN iSeq 100 d'Illumina exposent l'appareil à des attaques bootkit, pouvant compromettre des dispositifs utilisés pour le diagnostic et le développement de vaccins. Une analyse par Eclypsium a révélé que le firmware du BIOS était obsolète et manquait de protections d'écriture, permettant des modifications pouvant "bricker" le système ou implanter des logiciels malveillants. Les chercheurs ont identifié cinq problèmes majeurs, exploitant neuf vulnérabilités, dont certaines remontent à 2017. Le système fonctionnait en mode de compatibilité, sans la technologie Secure Boot. En plus des protections manquantes, le iSeq 100 était vulnérable à des attaques telles que LogoFAIL et Spectre 2. Eclypsium a averti Illumina, qui a depuis publié un correctif pour ses clients. Bien qu'Illumina ait minimisé les risques, les chercheurs soulignent que des acteurs malveillants pourraient manipuler les résultats des tests, affectant potentiellement des traitements médicaux et des recherches ADN. Les vulnérabilités pourraient également toucher d'autres dispositifs médicaux utilisant des cartes mères d'IEI Integration Corp. En 2023, des alertes avaient déjà été émises concernant d'autres failles dans les produits d'Illumina, soulignant l'importance de la sécurité dans le secteur médical.
Sources :
Cyberattaque contre la police de sécurité des aéroports en Argentine
L'Argentine fait face à une cyberattaque majeure ciblant la Police de sécurité des aéroports (PSA), compromettant les données personnelles et financières de ses agents. Cet incident souligne les vulnérabilités croissantes des infrastructures critiques du pays, déjà touchées par plusieurs cyberattaques récentes. Les hackers ont utilisé des intitulés trompeurs pour dissimuler des transactions frauduleuses, soulevant des questions sur la méthode d'accès aux données, qui pourrait impliquer une collaboration interne ou une exploitation à distance. La PSA a réagi en bloquant temporairement certains services, mais aucune déclaration officielle n'a été faite, laissant planer des doutes sur l'ampleur de l'incident. Cette situation affecte non seulement les employés de la PSA, mais aussi la confiance du public envers la sécurité nationale. Ce n'est pas un cas isolé, car l'Argentine a déjà subi des attaques contre des plateformes gouvernementales et des entreprises, comme Telecom Argentina, victime d'un ransomware. Ces événements mettent en évidence la nécessité de renforcer les protocoles de sécurité au sein des institutions publiques pour protéger les informations sensibles et restaurer la confiance des citoyens.
Sources :
Le département du Trésor, seule agence fédérale impactée par des pirates chinois ?
La Cybersecurity and Infrastructure Security Agency (CISA) a révélé que le département du Trésor des États-Unis est la seule agence fédérale touchée par une cyberattaque attribuée à des hackers soutenus par l'État chinois. Cette intrusion a exploité une vulnérabilité critique, permettant aux attaquants d'accéder à des postes de travail et à des documents classifiés, notamment au sein du Bureau du contrôle des avoirs étrangers (OFAC) et du Bureau du Secrétaire du Trésor. Les motivations semblent liées à la collecte d'informations sur les sanctions économiques américaines, dans un contexte de tensions croissantes entre Washington et Pékin. Bien que la Chine nie toute implication, l'attaque survient après l'imposition de sanctions contre une entreprise chinoise de cybersécurité. Parallèlement, d'autres campagnes de piratage, comme « Salt Typhoon » et « Volt Typhoon », ont ciblé des entreprises de télécommunications et des infrastructures critiques, illustrant une stratégie à long terme visant à affaiblir les capacités défensives américaines. La CISA souligne l'importance de renforcer la sécurité des infrastructures numériques fédérales pour protéger la sécurité nationale. Cet incident met en lumière les défis croissants liés à la cybersécurité et à la protection des données sensibles.
Sources :
La CISA met en garde contre les failles critiques d'Oracle et de Mitel exploitées dans des attaques
Le 7 janvier 2025, la CISA a averti les agences fédérales américaines de sécuriser leurs systèmes face à des vulnérabilités critiques dans Oracle WebLogic Server et Mitel MiCollab, actuellement exploitées dans des attaques. Parmi ces vulnérabilités, la CVE-2024-41713, une faille de traversée de chemin dans le composant NuPoint Unified Messaging de MiCollab, permet aux attaquants d'effectuer des actions administratives non autorisées et d'accéder à des informations utilisateur et réseau sans authentification. MiCollab souligne que cette faille pourrait compromettre la confidentialité, l'intégrité et la disponibilité des systèmes. Une autre vulnérabilité, CVE-2020-2883, affecte Oracle WebLogic Server, permettant à des attaquants non authentifiés de prendre le contrôle de serveurs non corrigés. De plus, la CVE-2024-55550 dans MiCollab permet aux attaquants authentifiés d'accéder à des fichiers arbitraires, bien que sans élévation de privilèges. La CISA a ajouté ces vulnérabilités à son catalogue des vulnérabilités exploitées, incitant les agences fédérales à sécuriser leurs réseaux d'ici le 28 janvier 2025. Ces failles représentent des vecteurs d'attaque fréquents et posent des risques significatifs pour la sécurité fédérale.
Sources :
Airbnb : arrestation de huit cybercriminels en Belgique et aux Pays-Bas
Une opération coordonnée par Europol a abouti à l'arrestation de huit cybercriminels en Belgique et aux Pays-Bas, accusés d'avoir détourné des millions d'euros en utilisant des locations Airbnb comme couverture pour leurs escroqueries. Depuis 2022, une enquête a révélé des méthodes sophistiquées, incluant le phishing et l'utilisation de propriétés louées pour mener des activités illégales. Le 3 décembre, 17 perquisitions ont été effectuées, aboutissant à l'arrestation de suspects âgés de 23 à 66 ans, impliqués dans des délits tels que la fraude bancaire et le blanchiment d'argent. Les forces de l'ordre ont saisi des preuves cruciales, y compris des supports numériques et des biens de luxe. Les cybercriminels opéraient discrètement en transformant des appartements en centres d'appels, ciblant des victimes avec des messages frauduleux prétendant à des piratages de comptes bancaires. Ils guidaient les victimes vers des sites imitant ceux des banques, siphonnant rapidement leurs fonds. Les gains de ces activités étaient utilisés pour un mode de vie ostentatoire, affiché sur les réseaux sociaux, ce qui a finalement conduit à leur arrestation. Cette affaire souligne les défis croissants de la cybercriminalité pour les autorités internationales.
Sources :
L'État de Washington poursuit T-Mobile pour les failles de sécurité liées à la violation de données de 2021
L'État de Washington a intenté une action en justice contre T-Mobile pour des manquements dans la sécurisation des données personnelles de plus de 2 millions de résidents, suite à une violation de données survenue en 2021. En août 2021, T-Mobile a reconnu qu'un piratage avait permis à des attaquants d'accéder aux informations sensibles de 79 millions de personnes aux États-Unis, avec une activité malveillante non détectée pendant six mois. L'Attorney General de Washington, Bob Ferguson, accuse T-Mobile d'avoir minimisé la gravité de la violation et de ne pas avoir informé les clients concernés de manière adéquate. Les notifications envoyées étaient jugées insuffisantes, omettant des informations cruciales, notamment pour ceux dont les numéros de sécurité sociale avaient été exposés. Le procès, déposé au tribunal supérieur du comté de King, vise à obliger T-Mobile à renforcer ses pratiques de cybersécurité et à améliorer la communication avec les clients lors de violations de données. En outre, des pénalités civiles et des compensations pour les clients affectés sont demandées. T-Mobile a exprimé sa surprise face à cette action en justice, tout en affirmant avoir transformé ses pratiques de cybersécurité au cours des quatre dernières années.
Sources :
Démantèlement de la plateforme cybercriminelle Rydox
Les autorités albanaises et internationales ont démantelé Rydox, une plateforme de cybercriminalité, en arrêtant trois administrateurs, tous citoyens du Kosovo. Cette opération, soutenue par des agences internationales, a permis de saisir des actifs numériques importants et de désactiver le domaine principal de Rydox. Depuis 2016, la plateforme avait facilité la vente de plus de 7 600 lots de données volées et 321 000 outils cybercriminels, attirant une communauté de 18 000 utilisateurs. Les transactions se faisaient principalement en cryptomonnaies, avec une commission de 40 % sur chaque vente. Les administrateurs, Ardit Kutleshi, Jetmir Kutleshi et Shpend Sokoli, sont accusés de vol de données, d'escroquerie et de blanchiment d'argent, avec des peines potentielles allant jusqu'à 20 ans de prison. Deux d'entre eux font face à des procédures d'extradition vers les États-Unis. L'opération a également impliqué la saisie de serveurs en Malaisie et la confiscation de 225 000 $ en cryptomonnaies par les autorités américaines. Ce démantèlement illustre la coopération internationale croissante dans la lutte contre la cybercriminalité.
Sources :
Une fuite massive expose les données postales de la Russie
Une fuite massive de données a révélé des informations sensibles concernant « La Poste de Russie », exposant 26 570 979 enregistrements d’envois postaux entre 2014 et 2024. Les données compromises incluent les noms des destinataires, des numéros de téléphone partiellement masqués, des adresses incomplètes, ainsi que des détails sur les envois tels que le poids, le coût et le type. Une vérification a confirmé l’authenticité des informations, suscitant des inquiétudes quant à leur utilisation par des cybercriminels pour des activités malveillantes comme le phishing ou la fraude. Bien que seule une partie des données soit accessible, les implications sur la vie privée et la sécurité des données sont préoccupantes. Des modifications ont été apportées aux données avant leur publication, rendant certaines identifications plus difficiles, mais cela n’empêche pas l’exploitation des informations restantes. En outre, des sources non confirmées suggèrent que la base contient également des informations sur les expéditeurs, augmentant les risques d’usurpation d’identité. Cette fuite représente une menace sérieuse pour la confidentialité des millions de personnes concernées, et pourrait être exploitée pour des arnaques ciblées ou des campagnes de marketing non sollicitées.
