Des pirates nord-coréens déploient FERRET via de faux entretiens sur macOS - Actus du 04/02/2025
Découvrez comment SpyCloud révolutionne la protection d'identité, les attaques zero-day via 7-Zip en Ukraine, et les mystères autour d'une potentielle fuite chez EDF. Des enjeux cruciaux entre cybersécurité et espionnage industriel à ne pas manquer.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
SpyCloud ouvre la voie à une protection holistique contre les menaces d'identité
SpyCloud utilise une analyse d'identité automatisée pour exploiter des données du darknet, permettant aux équipes de sécurité de découvrir des actifs d'identité cachés et de remédier rapidement aux expositions. Avec une moyenne de 52 noms d'utilisateur et 221 mots de passe exposés par individu, les attaques par credential entraînent des coûts élevés, atteignant 4,81 millions de dollars par violation. L'approche centrée sur l'identité de SpyCloud offre une protection complète contre les menaces invisibles, notamment les données d'identité et d'authentification volées. Ted Ross, PDG de SpyCloud, souligne que les criminels ont évolué au-delà de l'accès aux comptes, créant des données d'ombre que les outils traditionnels ne peuvent pas gérer. SpyCloud fournit une visibilité inégalée sur les données exploitées par les criminels, permettant aux organisations de remédier aux expositions rapidement. Les innovations incluent des analyses avancées pour neutraliser les menaces en moins de 15 minutes et des solutions d'investigation qui accélèrent les enquêtes sur la cybercriminalité. Avec près d'une décennie d'expérience, SpyCloud redéfinit la sécurité des identités, offrant une protection holistique et pratique pour les entreprises, y compris des clients parmi les plus grandes entreprises mondiales.
Sources :
Contournement de MotW par 7-Zip exploité dans des attaques zero-day contre l'Ukraine
Une vulnérabilité dans 7-Zip, permettant aux attaquants de contourner la fonctionnalité de sécurité Mark of the Web (MotW) de Windows, a été exploitée par des hackers russes dans des attaques zero-day depuis septembre 2024. Selon Trend Micro, cette faille a été utilisée dans des campagnes de malware SmokeLoader ciblant le gouvernement ukrainien et des organisations privées. Le MotW avertit les utilisateurs que les fichiers proviennent de sources non fiables, mais en contournant cette protection, les fichiers malveillants peuvent s'exécuter sans avertissement. La faille, identifiée comme CVE-2025-0411, a été découverte par l'équipe Zero Day Initiative de Trend Micro. Les hackers ont utilisé des fichiers archivés doubles pour exploiter un manque d'héritage du drapeau MotW, permettant l'exécution de scripts malveillants. Les fichiers ont été envoyés via des emails de phishing, masquant les payloads dans des documents Word ou PDF apparemment inoffensifs. Bien que 7-Zip ait corrigé la vulnérabilité dans la version 24.09, de nombreux utilisateurs continuent d'utiliser des versions obsolètes, ce qui les expose à des risques. Il est donc recommandé de mettre à jour vers la dernière version pour se protéger.
Sources :
Fuite chez EDF ? Entre bluff et baroud d’honneur des derniers membres de Kernel ?
Un utilisateur nommé Varun a récemment annoncé sur le forum pirate Breached la vente de données piratées d'EDF, Leclerc, Conforama et de la mairie de Pont-de-Claix. Bien que ses publications aient suscité l'intérêt des médias, une analyse approfondie révèle des incohérences. Les données prétendument volées, datées de 2023, semblent en réalité provenir de fuites antérieures, notamment celles de LDLC, déjà compromises par le groupe Kernel, connu pour ses activités cybercriminelles. Les échantillons fournis par Varun ne correspondent pas aux systèmes d'EDF et semblent être des réutilisations de données anciennes. De plus, son ascension rapide en réputation sur le forum soulève des doutes sur son authenticité, suggérant qu'il pourrait s'agir d'un simple imitateur cherchant à se faire passer pour un expert. Les rumeurs circulent également sur une possible arrestation de Kernel, mais celles-ci restent à prendre avec précaution. En somme, Varun semble jouer un jeu de bluff, exploitant les réseaux sociaux pour accroître sa visibilité tout en recyclant des informations déjà divulguées. Les enjeux de cybersécurité demeurent cruciaux, incitant à la vigilance face à de telles annonces.
Sources :
Des groupes de cybercriminalité russes exploitent la faille 7-Zip pour contourner les protections MotW de Windows
Une vulnérabilité récemment corrigée dans l'outil d'archivage 7-Zip, identifiée comme CVE-2025-0411 (score CVSS : 7.0), a été exploitée pour diffuser le malware SmokeLoader. Cette faille permet aux attaquants de contourner les protections mark-of-the-web (MotW) et d'exécuter du code arbitraire. Découverte en novembre 2024 avec la version 24.09 de 7-Zip, elle a été exploitée par des groupes cybercriminels russes via des campagnes de spear-phishing, utilisant des attaques homoglyphes pour tromper les utilisateurs. Les cibles incluent des organisations gouvernementales et non gouvernementales en Ukraine, dans le cadre d'une campagne d'espionnage cybernétique liée au conflit russo-ukrainien. La vulnérabilité permet de créer des archives doubles, masquant ainsi les charges malveillantes. Les attaques ont été détectées pour la première fois le 25 septembre 2024, avec des emails de phishing contenant des fichiers d'archive spécialement conçus. Au moins neuf entités gouvernementales ukrainiennes ont été touchées, y compris le ministère de la Justice. Les utilisateurs sont conseillés de mettre à jour leurs installations, de filtrer les emails pour bloquer les tentatives de phishing et de désactiver l'exécution de fichiers provenant de sources non fiables.
Sources :
Des pirates informatiques nord-coréens déploient le logiciel malveillant FERRET via de faux entretiens d'embauche sur macOS
Des acteurs malveillants nord-coréens, impliqués dans la campagne Contagious Interview, ont été observés diffusant des malwares macOS appelés FERRET sous prétexte de processus d'entretien d'embauche. Les cibles reçoivent un lien les incitant à installer des logiciels prétendument nécessaires pour des réunions virtuelles. Cette campagne, découverte fin 2023, utilise des paquets npm frauduleux et des applications déguisées en logiciels de vidéoconférence pour introduire un malware JavaScript nommé BeaverTail, capable de voler des données sensibles et d'installer un backdoor Python, InvisibleFerret. En décembre 2024, NTT Security a révélé que ce malware JavaScript pouvait également exécuter un autre malware, OtterCookie. Les tactiques des attaquants évoluent pour éviter la détection, notamment en incitant les utilisateurs à exécuter des commandes malveillantes via le Terminal de macOS. Les attaquants se présentent comme recruteurs sur LinkedIn, visant à dérober des informations de portefeuilles MetaMask. De plus, le malware FERRET est propagé par l'ouverture de faux problèmes sur des dépôts GitHub légitimes, élargissant ainsi leur cible au-delà des chercheurs d'emploi. Cette situation s'inscrit dans un contexte plus large de cybermenaces nord-coréennes, incluant des campagnes de phishing sophistiquées.
Sources :
Piratages EDF, Conforama, SFR : comment les hackers jouent avec les médias pour vous manipuler
L'article aborde la problématique des cyberattaques ciblant des grandes entreprises françaises, souvent relayées par les médias sans vérification approfondie. Il souligne que, bien que des mesures de sécurité soient mises en place pour protéger les données des utilisateurs, les journalistes continuent de s'appuyer sur des experts en cybersécurité qui utilisent des termes alarmants. Cette approche peut mener à des informations erronées, comme cela a été le cas avec des entreprises telles que la CAF, SFR et Action, qui ont été faussement accusées de cyberattaques. Clément Domingo, expert en cybersécurité, met en lumière une nouvelle tactique des cybercriminels : utiliser l'intelligence artificielle pour transformer des bases de données ordinaires en fichiers semblant légitimes, comme illustré par une fausse fuite concernant Europcar. L'article souligne également l'importance de soutenir des plateformes comme Numerama, qui offrent un accès à une information de qualité sans publicité, grâce à des abonnements. En conclusion, il appelle à une vigilance accrue face aux informations sur les cyberattaques et à un soutien pour garantir un accès à une information fiable et gratuite.
Sources :
CLIPPER CHIP is back ? Vers la fin du chiffrement et un risque majeur pour la cybersécurité
L'article aborde la controverse autour de l'intégration de portes dérobées (backdoors) dans les logiciels de chiffrement, un sujet de débat majeur en Europe et aux États-Unis. Les autorités européennes, lors du Forum économique mondial de Davos, ont exprimé leur volonté de trouver un compromis entre la protection de la vie privée et les exigences de sécurité nationale. Ce dilemme soulève des inquiétudes quant à l'impact d'une éventuelle fin du chiffrement sur l'innovation et la dépendance accrue à des solutions non-européennes. Les régulateurs doivent naviguer entre la nécessité de protéger les libertés fondamentales et de prévenir le pillage économique et l'espionnage industriel. Des initiatives comme le projet Clipper Chip aux États-Unis visent à intégrer des backdoors dans les dispositifs de chiffrement, mais suscitent des résistances. Les débats se poursuivent également en Europe, où des législations récentes obligent les entreprises technologiques à fournir une assistance pour déchiffrer les communications. Alors que les technologies de chiffrement se renforcent, la question de l'accès aux données et de l'équilibre entre innovation et sécurité publique demeure cruciale et en constante évolution.
Sources :
Soyez attentif à ces 8 changements de sécurité dans le cloud en 2025
À mesure que la sécurité cloud évolue en 2025 et au-delà, les organisations doivent s'adapter à de nouvelles réalités, notamment l'augmentation de la dépendance à l'infrastructure cloud pour les flux de travail alimentés par l'IA et la migration massive de données. Les cyberattaques ciblant les environnements cloud deviennent plus sophistiquées, ce qui nécessite des solutions de sécurité proactives. Les centres d'opérations de sécurité (SOC) intégreront davantage la détection des menaces spécifiques au cloud dans leurs processus, favorisant une approche unifiée de la sécurité. La sécurité des données devient essentielle, surtout avec l'adoption croissante de l'IA générative, poussant les plateformes de protection des applications cloud-natives (CNAPP) à renforcer leurs fonctionnalités de sécurité des données. Les budgets de sécurité des applications se déplacent vers des plateformes unifiées pour améliorer la visibilité et la détection des menaces. Parallèlement, la protection de la propriété intellectuelle liée au code généré par l'IA et le renforcement des cadres de conformité pour la gestion des données deviennent cruciaux. Enfin, l'émergence de logiciels malveillants alimentés par l'IA pose de nouveaux défis, nécessitant des défenses de sécurité adaptatives. En somme, la transformation proactive de la sécurité cloud est essentielle pour anticiper et contrer ces menaces.
Sources :
Taïwan interdit l'IA DeepSeek pour des raisons de sécurité nationale, invoquant des risques de fuite de données
Taiwan a récemment interdit l'utilisation de la plateforme d'intelligence artificielle DeepSeek, développée par une startup chinoise, par ses agences gouvernementales, invoquant des risques pour la sécurité nationale. Le ministère taïwanais des Affaires numériques a déclaré que l'utilisation de DeepSeek pourrait compromettre la sécurité des informations nationales. Cette décision fait suite à des préoccupations similaires dans d'autres pays, comme l'Italie, qui a bloqué le service en raison d'un manque de transparence sur la gestion des données. Bien que DeepSeek ait gagné en popularité grâce à son coût réduit et à ses capacités comparables à d'autres modèles, il présente des vulnérabilités face à des techniques de contournement et a été critiqué pour censurer des sujets sensibles. De plus, la plateforme a été ciblée par des attaques DDoS et des acteurs malveillants ont profité de son succès pour publier de faux packages sur le dépôt PyPI, conçus pour voler des informations sensibles. Parallèlement, l'Union européenne a mis en œuvre un règlement sur l'IA, interdisant les applications à risque inacceptable, tandis que le Royaume-Uni a introduit un code de pratique pour sécuriser les systèmes d'IA contre le piratage.
Sources :
WhatsApp alerte sur une cyberattaque massive contre des journalistes
WhatsApp a révélé qu'environ 100 journalistes et membres de la société civile ont été ciblés par Graphite, un logiciel espion développé par Paragon Solutions, une entreprise israélienne. Cette cyberattaque sophistiquée de type « zéro clic » a permis d'infecter les appareils sans aucune interaction des victimes, accédant ainsi à toutes les données, y compris les messages chiffrés. WhatsApp a interrompu le ciblage en décembre et a envoyé une lettre de cessation à Paragon, tout en explorant des options juridiques. Paragon, qui a un contrat de 2 millions de dollars avec les autorités américaines de l'immigration, fait l'objet d'un examen approfondi. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne les dangers des logiciels espions soutenus par des États, qui menacent la vie privée et les libertés civiles. Les attaques « zéro clic » sont discrètes et permettent un accès à distance aux appareils, rendant la détection difficile. Bien que ces outils puissent avoir des applications légitimes, leur potentiel d'abus représente un défi mondial. Des initiatives comme le processus Pall Mall visent à établir des lignes directrices pour une utilisation responsable. Il est conseillé de protéger les appareils mobiles avec des suites de sécurité et d'effectuer des analyses extérieures pour détecter des communications suspectes.
Sources :
La vulnérabilité AMD SEV-SNP permet l'injection de microcode malveillant avec l'accès administrateur
Une vulnérabilité de sécurité a été révélée dans la fonctionnalité de Virtualisation Chiffrée Sécurisée (SEV) d'AMD, permettant à un attaquant de charger un microcode CPU malveillant sous certaines conditions. Cette faille, identifiée comme CVE-2024-56161, a un score CVSS de 7,2 sur 10, indiquant une gravité élevée. Selon AMD, une vérification de signature incorrecte dans le chargeur de patch microcode ROM des CPU AMD pourrait permettre à un attaquant disposant de privilèges d'administrateur local de compromettre la confidentialité et l'intégrité d'une machine virtuelle confidentielle fonctionnant sous SEV-SNP. La découverte de cette vulnérabilité a été attribuée à des chercheurs en sécurité de Google, qui l'ont signalée le 25 septembre 2024. SEV utilise une clé unique par machine virtuelle pour isoler les VMs et l'hyperviseur, tandis que SNP (Secure Nested Paging) ajoute des protections d'intégrité mémoire. Google a précisé que la vulnérabilité découle d'une fonction de hachage non sécurisée dans la validation des signatures pour les mises à jour de microcode, permettant ainsi à un adversaire de compromettre des charges de travail de calcul confidentiel. Un payload de test a été publié pour démontrer la vulnérabilité, mais des détails techniques supplémentaires seront fournis ultérieurement pour permettre la propagation des correctifs.
Sources :
La violation des données de GrubHub a un impact sur les clients, les conducteurs et les commerçants
Le 4 février 2025, GrubHub a annoncé une violation de données affectant les informations personnelles d'un nombre non divulgué de clients, de commerçants et de livreurs. L'intrusion a été réalisée via un compte d'un fournisseur de services tiers, ce qui a conduit GrubHub à résilier cet accès et à retirer le fournisseur de ses systèmes. Pour évaluer l'impact de la violation, l'entreprise a engagé des experts en forensic, changé les mots de passe et renforcé les mécanismes de détection des anomalies. L'enquête a révélé que les attaquants n'avaient pas accédé à des informations sensibles telles que les mots de passe des comptes GrubHub, les informations de paiement complètes ou les numéros de sécurité sociale. Cependant, ils ont pu accéder à des noms, adresses e-mail, numéros de téléphone et des informations de carte de paiement partielles pour certains clients. GrubHub a également signalé que des mots de passe hachés de systèmes anciens avaient été compromis, mais a pris des mesures pour les sécuriser. Bien que les mots de passe des comptes GrubHub n'aient pas été touchés, la société a conseillé à ses clients d'utiliser des mots de passe uniques pour réduire les risques. GrubHub, qui compte plus de 375 000 commerçants, a récemment réglé des accusations de pratiques illégales pour 25 millions de dollars.
Sources :
Microsoft corrige une vulnérabilité critique du service Azure AI Face avec un score CVSS de 9,9
Microsoft a publié des correctifs pour deux vulnérabilités de sécurité classées comme critiques, affectant le service Azure AI Face et le compte Microsoft, qui pourraient permettre à un acteur malveillant d'élever ses privilèges dans certaines conditions. Les vulnérabilités concernées sont : CVE-2025-21396 (score CVSS : 7,5) - vulnérabilité d'élévation de privilèges du compte Microsoft, et CVE-2025-21415 (score CVSS : 9,9) - vulnérabilité d'élévation de privilèges du service Azure AI Face. La première est due à une autorisation manquante, tandis que la seconde permet à un attaquant autorisé de contourner l'authentification et d'élever ses privilèges sur un réseau. Microsoft a reconnu les chercheurs anonymes ayant signalé ces failles, dont Sugobet pour CVE-2025-21396. Bien que des codes d'exploitation de preuve de concept existent pour CVE-2025-21415, Microsoft a assuré que les vulnérabilités ont été entièrement atténuées et qu'aucune action de la part des clients n'est requise. Ces avis font partie des efforts continus de Microsoft pour améliorer la transparence concernant les vulnérabilités critiques des services cloud, soulignant l'importance de partager les informations pour renforcer la sécurité des infrastructures critiques.
Sources :
Google corrige 47 failles de sécurité Android, dont la faille CVE-2024-53104 activement exploitée
Google a déployé des correctifs pour 47 vulnérabilités de sécurité dans son système d'exploitation Android, dont une, CVE-2024-53104 (score CVSS : 7.8), qui est activement exploitée. Cette vulnérabilité concerne une élévation de privilèges dans le pilote USB Video Class (UVC) et pourrait permettre une escalade physique des privilèges. Google a signalé une exploitation ciblée limitée de cette faille, qui est enracinée dans le noyau Linux depuis la version 2.6.26, publiée en 2008. Elle est liée à une condition d'écriture hors limites lors de l'analyse de certains types de trames, ce qui pourrait entraîner une corruption de la mémoire, un plantage de programme ou l'exécution de code arbitraire. Bien que l'identité des exploitants ne soit pas claire, la possibilité d'une escalade physique des privilèges suggère un usage potentiel par des outils d'extraction de données judiciaires. En outre, un autre correctif critique a été appliqué à un composant WLAN de Qualcomm (CVE-2024-45569, score CVSS : 9.8). Google a publié deux niveaux de correctifs de sécurité pour permettre aux partenaires Android de résoudre rapidement certaines vulnérabilités communes. Les partenaires sont encouragés à corriger toutes les failles mentionnées.
Sources :
Une faille dans le connecteur Microsoft SharePoint aurait pu permettre le vol d'informations d'identification sur Power Platform
Des chercheurs en cybersécurité ont révélé une vulnérabilité récemment corrigée affectant le connecteur SharePoint sur Power Platform, qui pourrait permettre à des acteurs malveillants de récupérer les identifiants d'un utilisateur et de mener des attaques ultérieures. Cette faille, exploitée via des services comme Power Automate et Power Apps, pourrait donner accès à des données sensibles en envoyant des requêtes à l'API SharePoint au nom de l'utilisateur usurpé. Selon Zenity Labs, la vulnérabilité est une instance de falsification de requête côté serveur (SSRF) liée à la fonctionnalité "valeur personnalisée" du connecteur SharePoint. Pour réussir l'attaque, l'utilisateur malveillant doit posséder des rôles spécifiques dans Power Platform, ce qui nécessite un accès préalable à l'organisation ciblée. Une fois en possession d'un jeton d'accès JWT, l'attaquant peut interagir avec d'autres services, comme Power Apps, en créant des applications apparemment inoffensives. La nature interconnectée des services de Power Platform pose des risques de sécurité importants, surtout avec l'utilisation répandue du connecteur SharePoint, où de nombreuses données sensibles sont stockées. Microsoft a corrigé cette vulnérabilité après une divulgation responsable en septembre 2024.
Sources :
La première application pornographique notariée par Apple est disponible pour les utilisateurs d'iPhone en Europe
Le 3 février 2025, l'application pornographique "Hot Tub", la première à avoir reçu la notarisation d'Apple, est désormais disponible pour les utilisateurs d'iPhone en Europe via le marché alternatif AltStore PAL. En raison de la loi européenne sur les marchés numériques (DMA), Apple, en tant que "gardien", doit permettre le sideloading d'applications par le biais de plateformes tierces, ce qui inclut des contenus pour adultes. AltStore PAL, lancé en avril 2024, permet aux utilisateurs de l'UE d'installer des applications non disponibles sur l'App Store officiel d'Apple. Bien que "Hot Tub" ait passé le processus de notarisation d'Apple, cela ne signifie pas qu'elle soit approuvée pour l'App Store. L'application, décrite comme un navigateur de contenu adulte sans publicité, n'est pas visible par défaut dans AltStore PAL et nécessite une ajout explicite de sa source. En parallèle, AltStore PAL a annoncé qu'il ferait don de tous ses revenus Patreon à des organisations soutenant les travailleurs du sexe et la communauté LGBTQ+. Apple a exprimé ses préoccupations concernant les risques de sécurité liés à de telles applications, affirmant qu'elles pourraient nuire à la confiance des consommateurs dans son écosystème.
Sources :
Amazon Redshift obtient de nouveaux paramètres par défaut pour éviter les violations de données
Amazon a annoncé des améliorations de sécurité pour Redshift, sa solution d'entreposage de données, afin de prévenir les fuites de données dues à des configurations incorrectes et à des paramètres par défaut peu sécurisés. Redshift, utilisé par de nombreuses entreprises pour l'intelligence d'affaires et l'analyse de données, a été critiqué pour ses failles de sécurité, notamment lors de l'incident de ransomware de Medibank en octobre 2022. Pour renforcer la sécurité, AWS met en place trois nouveaux paramètres par défaut pour les clusters nouvellement créés. Premièrement, l'accès public sera restreint par défaut, limitant les clusters au sein du Virtual Private Cloud (VPC) de l'utilisateur. Deuxièmement, le chiffrement sera activé par défaut pour tous les clusters, garantissant que même en cas d'accès non autorisé, les données resteront protégées. Enfin, les connexions SSL (TLS) seront imposées par défaut pour prévenir les interceptions de données. Ces changements s'appliqueront uniquement aux nouveaux clusters et non aux configurations existantes, mais AWS recommande aux clients de revoir leurs paramètres pour éviter des interruptions opérationnelles. Les utilisateurs peuvent consulter le 'Management Guide' en ligne ou contacter le support AWS pour obtenir de l'aide.
Sources :
Google corrige une faille zero-day du noyau Android exploitée dans des attaques
En février 2025, Google a publié des mises à jour de sécurité pour Android, corrigeant 48 vulnérabilités, dont une vulnérabilité zero-day exploitée dans la nature, identifiée comme CVE-2024-53104. Cette faille de gravité élevée, liée au pilote USB Video Class du noyau Android, permet à des attaquants locaux authentifiés d'élever leurs privilèges via des attaques peu complexes. Le problème réside dans une mauvaise analyse des trames, entraînant un calcul erroné de la taille du tampon, ce qui peut conduire à des écritures hors limites et à l'exécution de code arbitraire. En outre, une autre vulnérabilité critique (CVE-2024-45569) affectant le composant WLAN de Qualcomm a été corrigée, permettant à des attaquants distants d'exécuter du code arbitraire ou de provoquer des pannes sans nécessiter de privilèges. Google a publié deux ensembles de correctifs pour février 2025, le second intégrant des correctifs supplémentaires pour des éléments tiers et du noyau. Les appareils Google Pixel reçoivent les mises à jour immédiatement, tandis que d'autres fabricants peuvent prendre plus de temps pour les adapter. En novembre, Google avait déjà corrigé deux autres zero-days activement exploités.
Sources :
Un Canadien accusé d'avoir volé 65 millions de dollars en utilisant des exploits cryptographiques DeFI
Le département de la Justice des États-Unis a inculpé un Canadien, Andean Medjedovic, pour avoir volé environ 65 millions de dollars en exploitant des vulnérabilités dans deux protocoles de finance décentralisée (DeFi). À seulement 22 ans, Medjedovic aurait siphonné environ 48,4 millions de dollars de 77 pools de liquidités de KyberSwap et 16,5 millions de dollars de deux pools d'Indexed Finance sur le réseau Ethereum. En novembre 2023, après avoir exploité KyberSwap, il aurait tenté d'extorquer ses victimes avec une proposition de règlement frauduleuse, exigeant le contrôle du protocole en échange de la restitution de la moitié des fonds volés. Selon le DOJ, Medjedovic a emprunté des centaines de millions de dollars en tokens numériques pour réaliser des transactions trompeuses, entraînant une évaluation erronée des contrats intelligents et rendant les investissements des victimes presque sans valeur. Il est également accusé de blanchiment d'argent via des transactions dissimulant l'origine des fonds, en utilisant des comptes d'échange crypto ouverts avec de fausses identités. Medjedovic fait face à plusieurs charges, dont la fraude par câble et l'extorsion, avec des peines maximales pouvant atteindre 20 ans.
Sources :
La boutique en ligne Casio UK a été piratée pour voler les cartes de crédit des clients
Le site de vente en ligne de Casio UK a été piraté entre le 14 et le 24 janvier 2025, permettant aux hackers de voler des informations de cartes de crédit et des données personnelles de clients ayant effectué des achats durant cette période. La vulnérabilité exploitée provenait de failles dans Magento, et l'attaque a également ciblé 17 autres sites, dont les noms restent confidentiels. Découverte par JSCrambler le 28 janvier, la menace a été neutralisée en moins de 24 heures. Les hackers ont utilisé un skimmer en deux étapes, le premier étant intégré au site et le second étant récupéré depuis un hébergeur russe. Ce dernier, dissimulé par des techniques d'obfuscation, redirigeait les victimes vers un faux formulaire de paiement, conçu pour collecter des informations sensibles telles que les coordonnées bancaires et personnelles. Bien que Casio ait mis en place une politique de sécurité de contenu (CSP), celle-ci était mal configurée, ne permettant pas de prévenir l'attaque. Ce piratage s'inscrit dans un contexte de vulnérabilités récurrentes pour Casio, qui a récemment subi d'autres violations de données et attaques par ransomware.
Sources :
Microsoft supprime la fonctionnalité VPN « Protection de la vie privée » de Defender
Microsoft a annoncé la suppression de sa fonctionnalité VPN "Privacy Protection" dans l'application Microsoft Defender, effective à la fin du mois de février 2025. Cette décision semble être motivée par un faible taux d'utilisation de la fonctionnalité, l'entreprise souhaitant se concentrer sur d'autres aspects de son service. Dans son communiqué, Microsoft souligne son engagement à garantir la sécurité en ligne de ses utilisateurs et indique qu'elle évalue régulièrement l'efficacité de ses fonctionnalités. Le VPN, qui offrait 50 Go de données mensuelles pour protéger la vie privée des abonnés sur des réseaux Wi-Fi publics, a été intégré à Defender pour les abonnements Microsoft 365 Personnel et Famille. Bien qu'il ait été élargi en septembre 2024 pour détecter automatiquement les connexions non sécurisées, le VPN n'a pas été largement adopté, notamment sur le marché américain. Les utilisateurs de Windows, iOS et macOS n'ont aucune action à entreprendre, tandis que les utilisateurs Android doivent supprimer le profil VPN pour éviter des problèmes de navigation. Cette annonce intervient après une augmentation des prix des abonnements Microsoft 365, suscitant des réactions mitigées parmi les clients.
Sources :
Les outils d'IA DeepSeek usurpés par un malware infostealer sur PyPI
Des acteurs malveillants exploitent la popularité croissante de DeepSeek pour promouvoir deux paquets infostealers sur le Python Package Index (PyPI), sous les noms "deepseeek" et "deepseekai". Ces paquets, prétendant être des outils pour la plateforme d'IA DeepSeek, ont été téléchargés par un compte créé en juin 2023, sans activité antérieure. Selon des chercheurs de Positive Technologies, ces paquets malveillants volent des données aux développeurs qui les utilisent. Lors de leur exécution, ils collectent des informations sensibles telles que des clés API, des identifiants de base de données et des jetons d'accès à l'infrastructure, qui sont ensuite exfiltrés vers un serveur de commande et contrôle via Pipedream, une plateforme d'automatisation légitime. Les paquets, téléchargés le 29 janvier 2025, ont été rapidement détectés et signalés à PyPI, qui a bloqué et supprimé les téléchargements. Malgré cela, 222 développeurs, principalement des États-Unis, ont téléchargé ces paquets. Les développeurs concernés doivent immédiatement changer leurs clés API et mots de passe, et vérifier l'intégrité de leurs services cloud pour éviter toute compromission.
