Des pirates exploitent des notebooks Jupyter avec un outil DDoS Minecraft - Actus du 03/08/2024
Découvrez les derniers scandales de cybersécurité : Fuite de données chez France Olympique, TikTok poursuivi pour violation de la vie privée des enfants, et des hackers exploitant des notebooks Jupyter avec un outil DDoS Minecraft. Restez informé et protégé !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Fuite de données pour France Olympique ?
Des pirates informatiques ont diffusé une base de données qu'ils prétendent appartenir à France Olympique Paris 2024 sur le dark web. Cette fuite, révélée par ZATAZ, a été mise en ligne le 31 juillet 2024 par un hacker surnommé « Windows Cleaner ». Bien que l'origine des données ne soit pas précisée, elles semblent provenir de plusieurs fuites antérieures, regroupées dans un seul fichier. La base contient au moins quatre types de données : adresses électroniques, mots de passe hashés, identités, numéros de téléphone, ainsi que des informations sur des transactions. En tout, on dénombre 1 198 adresses @franceolympique.com et 476 Gmail, certaines données étant obsolètes. Par exemple, des adresses Gmail utilisées par Paris 2024 n'ont plus été actives depuis plus de quatre ans. La nature disparate des informations suggère un mélange de données anciennes et de scraping. Malgré le caractère prétendument « VIP » de cette fuite, les pirates n'ont pas tenté de la monétiser. ZATAZ a alerté l'hébergeur pour qu'il supprime ces données personnelles mises en ligne. Cette situation soulève des questions sur la sécurité des données liées aux Jeux Olympiques de Paris 2024.
Sources :
Le ministère de la Justice et la FTC poursuivent TikTok pour violation des lois sur la protection de la vie privée des enfants
Le ministère américain de la Justice (DoJ) et la Commission fédérale du commerce (FTC) ont intenté une action en justice contre TikTok, accusant la plateforme de partage de vidéos de violer gravement les lois sur la protection de la vie privée des enfants. Les agences affirment que TikTok a permis à des enfants de créer des comptes et d'interagir avec des adultes sans le consentement parental, enfreignant ainsi la loi sur la protection de la vie privée en ligne des enfants (COPPA). TikTok aurait également illégalement collecté et conservé des informations personnelles sur ces enfants, en violation d'un accord de consentement de 2019. Même dans le mode "enfants", la plateforme aurait recueilli des adresses e-mail et d'autres données personnelles. Les plaintes soulignent que TikTok n'a pas respecté les demandes des parents pour supprimer les comptes de leurs enfants. De plus, la société aurait facilité la création de comptes par des enfants en contournant les contrôles d'âge. TikTok, qui compte plus de 170 millions d'utilisateurs actifs aux États-Unis, a contesté ces allégations, affirmant avoir mis en place des mesures de protection pour les mineurs. Cette affaire survient alors que TikTok fait face à des préoccupations de sécurité nationale et à des amendes en Europe pour des violations similaires.
Sources :
Des pirates informatiques exploitent des notebooks Jupyter mal configurés avec un outil DDoS Minecraft réutilisé
Des chercheurs en cybersécurité ont révélé une nouvelle campagne d'attaque par déni de service distribué (DDoS) ciblant des Jupyter Notebooks mal configurés, nommée Panamorfi par la société de sécurité cloud Aqua. Cette campagne utilise un outil Java appelé mineping, conçu pour lancer des attaques DDoS par inondation TCP, principalement destiné aux serveurs de jeux Minecraft. Les chaînes d'attaque exploitent des instances de Jupyter Notebook exposées sur Internet pour exécuter des commandes wget, récupérant une archive ZIP hébergée sur un site de partage de fichiers, Filebin. Cette archive contient deux fichiers JAR, conn.jar et mineping.jar, le premier établissant des connexions à un canal Discord pour déclencher l'exécution de mineping.jar. Selon Assaf Morag, chercheur chez Aqua, l'objectif de cette attaque est de consommer les ressources du serveur cible en envoyant un grand nombre de requêtes de connexion TCP, avec les résultats rapportés sur Discord. L'attaque a été attribuée à un acteur malveillant connu sous le nom de yawixooo, dont le compte GitHub contient un fichier de propriétés de serveur Minecraft. Ce n'est pas la première fois que des Jupyter Notebooks accessibles sur Internet sont ciblés, un précédent en octobre 2023 impliquant une menace tunisienne nommée Qubitstrike.
Sources :
Les États-Unis poursuivent TikTok pour violation des lois sur la protection de la vie privée des enfants
Le 2 août 2024, le ministère américain de la Justice a intenté une action en justice contre TikTok et sa société mère, ByteDance, pour violations des lois sur la protection de la vie privée des enfants. Le procès accuse TikTok d'avoir collecté des informations personnelles d'enfants de moins de 13 ans sans le consentement parental, enfreignant ainsi la Children's Online Privacy Protection Act (COPPA). Depuis 2019, l'application a permis à des enfants de créer des comptes en dehors du "Kids Mode" et n'a pas mis en place de mesures pour identifier ou supprimer ces comptes. Le ministère soutient que cette pratique a exposé des millions d'enfants à des risques de collecte de données et d'interactions avec des adultes. De plus, TikTok aurait échoué à supprimer les données personnelles sur demande des parents et aurait trompé ces derniers sur ses politiques de collecte de données. Le ministère cherche des sanctions civiles et des mesures pour empêcher de futures violations. TikTok a réagi en niant les allégations et en affirmant avoir pris des mesures pour protéger les enfants. Ce procès survient après plusieurs amendes infligées à TikTok pour des violations similaires en Europe.
Sources :
Un bug de Google Chrome interrompt le glisser-déposer depuis la bulle de téléchargements
Un récent bug dans Google Chrome a perturbé la fonctionnalité de glisser-déposer dans la bulle de téléchargements, empêchant les utilisateurs de faire glisser des fichiers téléchargés vers d'autres sites ou onglets. Cette bulle a remplacé l'ancienne barre de téléchargements en bas du navigateur l'année dernière. Selon BleepingComputer, de nombreux utilisateurs ont signalé que cette fonctionnalité ne fonctionnait plus après les mises à jour récentes de Chrome. Les utilisateurs ont précisé que les fichiers ne pouvaient pas être glissés dans une autre fenêtre Chrome ni utilisés pour ouvrir un nouveau navigateur, bien que le glisser-déposer sur le bureau local ou dans d'autres programmes fonctionne correctement. Le problème a été reproduit avec la version 127.0.6533.73. Les ingénieurs de Chrome ont indiqué que les rapports sur ce bug ont commencé le 29 juillet et concernent les versions 127.0.6533.73 et 126.0.6478.185. Ce bug a été causé par une nouvelle fonctionnalité d'amélioration des performances, 'UIPumpImprovementsWin', déployée pour 50 % des utilisateurs de Chrome Stable. Un correctif a été élaboré en annulant ce changement, et il devrait être déployé prochainement.
Sources :
Google Chrome prévient que uBlock Origin pourrait bientôt être désactivé
Google Chrome incite les utilisateurs de l'extension uBlock Origin, ayant mis à jour vers la dernière version, à migrer vers d'autres bloqueurs de publicité avant la désactivation des extensions basées sur Manifest v2 (MV2). Depuis le 3 juin 2024, des avertissements apparaissent pour les utilisateurs des canaux Chrome Beta, Dev et Canary. Dans les mois à venir, Google désactivera les extensions MV2 et orientera les utilisateurs vers des alternatives MV3 sur le Chrome Web Store, avec l'objectif de finaliser cette transition d'ici début 2025. Le lancement de la plateforme d'extensions Manifest V3 a eu lieu avec Chrome 88 en décembre 2020, introduisant des défis techniques majeurs pour les développeurs, notamment pour les bloqueurs de publicité, qui doivent désormais créer des extensions avec des capacités limitées. Les utilisateurs expriment leur mécontentement, certains envisageant de passer à Firefox ou d'autres navigateurs comme Brave et Vivaldi, qui continuent de supporter MV2. Cette situation soulève des préoccupations quant à la domination des grandes entreprises technologiques sur l'écosystème web, incitant les utilisateurs à explorer des alternatives.
Sources :
- https://www.bleepingcomputer.com/news/google/google-chrome-warns-ublock-origin-may-soon-be-disabled/
De fausses publicités d'éditeurs d'IA sur Facebook diffusent des logiciels malveillants de vol de mots de passe
Une campagne de malvertising sur Facebook cible les utilisateurs à la recherche d'outils d'édition d'images basés sur l'IA, en les incitant à installer de fausses applications qui volent leurs identifiants. Les attaquants exploitent la popularité des outils d'édition d'images en créant des sites malveillants imitant des services légitimes. Selon des chercheurs de Trend Micro, les attaques commencent par des messages de phishing envoyés aux administrateurs de pages Facebook, les dirigeant vers de fausses pages de protection de compte pour récupérer leurs informations de connexion. Une fois les identifiants volés, les cybercriminels prennent le contrôle des comptes, modifient les noms des pages pour les relier à des éditeurs de photos populaires, et publient des messages malveillants promus par des publicités payantes. Les utilisateurs qui cliquent sur ces liens sont redirigés vers des pages imitant des logiciels d'édition d'images, où ils téléchargent en réalité un outil de bureau à distance configuré pour déployer le malware Lumma Stealer. Ce dernier permet aux attaquants de collecter des informations sensibles, qui sont ensuite revendues ou utilisées pour compromettre d'autres comptes. Les experts recommandent d'activer l'authentification à deux facteurs et d'éduquer les utilisateurs sur les dangers du phishing.
Sources :
Un cryptonateur arrêté pour blanchiment de paiements de rançon et de crypto volé
Les forces de l'ordre américaines et allemandes ont saisi le domaine de la plateforme de portefeuille crypto Cryptonator, utilisée par des gangs de ransomware et des marchés darknet, et ont inculpé son opérateur, Roman Boss, pour blanchiment d'argent et exploitation d'un service financier non autorisé. Lancé en 2014, Cryptonator permet aux utilisateurs de stocker et d'échanger des cryptomonnaies, mais n'a pas mis en place de contrôles anti-blanchiment, facilitant ainsi des activités illicites. Selon le ministère américain de la Justice, entre 2014 et 2023, les adresses de portefeuille de Cryptonator ont échangé plus de 235 millions de dollars avec des marchés darknet, des adresses frauduleuses et des plateformes à haut risque. Les transactions étaient liées à des entités comme Hydra Market et Bitzlato, précédemment sanctionnées par le gouvernement américain. La plainte indique que Boss a sciemment permis des activités illégales sur Cryptonator, en discutant de l'ajout de cryptomonnaies utilisées sur des marchés darknet. En plus des accusations de blanchiment d'argent, la plainte vise à obtenir des injonctions contre Boss et la saisie de ses actifs.
Sources :
Les pirates informatiques d'APT41 utilisent ShadowPad et Cobalt Strike dans une cyberattaque contre un institut taïwanais
Un institut de recherche taïwanais, affilié au gouvernement et spécialisé dans l'informatique, a été piraté par des acteurs menaçants liés à la Chine, selon Cisco Talos. L'attaque, attribuée avec une confiance moyenne au groupe de hackers APT41, a débuté en juillet 2023 et a impliqué l'utilisation de malwares tels que ShadowPad et Cobalt Strike. Les chercheurs ont noté que ShadowPad exploitait une version vulnérable de Microsoft Office pour charger des outils malveillants. Trois hôtes ont été compromis, permettant l'exfiltration de documents. Cisco Talos a détecté des commandes PowerShell anormales en août 2023, signalant une connexion à un serveur pour exécuter des scripts malveillants. Bien que le vecteur d'accès initial reste inconnu, un web shell a été utilisé pour maintenir l'accès et déployer des charges utiles. Des techniques d'évasion de détection ont été observées, notamment l'utilisation de Mimikatz pour extraire des mots de passe. Cette révélation intervient alors que l'Allemagne a récemment accusé des acteurs d'État chinois d'une cyberattaque en 2021 contre son agence nationale de cartographie. L'ambassade de Chine à Berlin a rejeté ces accusations comme infondées.
Sources :
APT28 cible les diplomates avec le malware HeadLace via un leurre de phishing pour la vente de voitures
Un acteur de menace lié à la Russie, identifié comme APT28, a été associé à une nouvelle campagne de phishing utilisant une annonce de voiture à vendre pour diffuser un logiciel malveillant Windows appelé HeadLace. Selon un rapport de Palo Alto Networks Unit 42, cette campagne, qui a probablement ciblé des diplomates, a débuté en mars 2024. APT28, également connu sous plusieurs noms tels que Fancy Bear, a réutilisé une méthode de phishing déjà employée par un autre groupe russe, APT29, depuis juillet 2023. En mai, APT28 a été impliqué dans des attaques visant des réseaux européens, utilisant le malware HeadLace et des pages de collecte de données d'identification. Les attaques se distinguent par l'utilisation d'un service légitime, webhook[.]site, pour héberger une page HTML malveillante qui vérifie si le système cible fonctionne sous Windows. Si c'est le cas, un fichier ZIP est proposé au téléchargement, contenant un exécutable déguisé en image, un fichier DLL et un script batch. Ce dernier exécute des commandes pour récupérer d'autres fichiers malveillants, effaçant les traces de l'activité malveillante. Les tactiques de cette campagne s'alignent avec celles précédemment documentées d'APT28.
Sources :
DuckDuckGo bloqué en Indonésie en raison de résultats de recherche pornographiques et de jeux d'argent
Le moteur de recherche axé sur la confidentialité DuckDuckGo a été bloqué en Indonésie par le gouvernement, suite à des plaintes de citoyens concernant des contenus pornographiques et de jeux d'argent dans ses résultats de recherche. Cette décision s'inscrit dans un contexte culturel et religieux, l'Indonésie étant un pays musulman où le jeu est interdit et la pornographie jugée immorale. En janvier 2024, le gouvernement avait déjà bloqué près de 600 000 portails de jeux d'argent en ligne et pris des mesures contre 5 000 comptes bancaires associés. DuckDuckGo a confirmé ce blocage, indiquant qu'il n'existe pas de moyen de contournement, semblable à son blocage en Chine. En revanche, Google Search reste accessible, suggérant que le géant technologique a mis en place des mécanismes d'auto-censure. Les Indonésiens utilisent des VPN pour contourner ces restrictions, mais le gouvernement prévoit de bloquer les VPN gratuits, rendant l'accès à DuckDuckGo plus coûteux. Le ministre de la Communication a souligné que cette mesure vise à réduire l'accès aux portails de jeux d'argent en ligne, tout en mettant en garde contre les risques liés aux VPN gratuits, tels que le vol de données personnelles et les infections par des logiciels malveillants.
