Des sociétés écrans nord-coréennes imitent des entreprises informatiques américaines pour financer des missiles - Actus du 21/11/2024
Découvrez comment un défaut de Fortinet VPN facilite les attaques, explorez les 10 meilleurs cas d'utilisation PAM pour renforcer la sécurité et dévoilez la stratégie des sociétés écrans nord-coréennes se faisant passer pour des entreprises américaines.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Un défaut de conception du VPN Fortinet cache des attaques par force brute réussies
Une faille de conception dans le mécanisme de journalisation du serveur VPN Fortinet permet de dissimuler les tentatives de connexion réussies lors d'attaques par force brute, sans alerter les défenseurs. Bien que les tentatives échouées soient toujours visibles, une nouvelle technique permet de ne consigner que les échecs, créant ainsi un faux sentiment de sécurité. Les chercheurs de Pentera ont découvert que les connexions réussies ne sont enregistrées que si elles passent les étapes d'authentification et d'autorisation. En interrompant le processus après l'authentification, ils ont pu valider les identifiants VPN sans enregistrer le succès. Cela signifie que les équipes de réponse aux incidents ne peuvent pas déterminer si une tentative de force brute a réussi, ne voyant que les échecs. Bien que les tentatives échouées alertent les administrateurs de Fortinet, ils ignorent que des identifiants valides peuvent être exploités ultérieurement. Pentera a partagé ses résultats avec Fortinet, qui ne considère pas le problème comme une vulnérabilité, laissant incertain un éventuel correctif. Un script exploitant cette faille a été publié par Pentera, soulignant les risques potentiels pour la sécurité des réseaux.
Sources :
10 cas d'utilisation PAM les plus efficaces pour améliorer la sécurité organisationnelle
La gestion des accès privilégiés (PAM) est essentielle pour renforcer la stratégie de sécurité d'une organisation. En appliquant le principe du moindre privilège, PAM permet d'accorder aux utilisateurs uniquement les permissions nécessaires à l'exécution de leurs tâches, réduisant ainsi les risques d'abus et d'incidents de sécurité. Cette approche s'étend également aux fournisseurs tiers, en leur offrant un accès limité dans le temps et spécifique aux tâches, tout en surveillant leurs activités en temps réel. Les solutions PAM, comme Syteca, permettent de détecter rapidement les comportements suspects et de révoquer l'accès des tiers une fois un projet terminé. De plus, la gestion manuelle des mots de passe, souvent source d'erreurs, est remplacée par des systèmes PAM qui alertent sur les tentatives d'accès non autorisées. Dans un contexte de migration vers des environnements hybrides ou cloud, la gestion des accès privilégiés devient cruciale pour limiter l'accès aux utilisateurs vérifiés. Les solutions PAM s'intègrent également aux systèmes de gestion des informations et des événements de sécurité (SIEM), facilitant ainsi la réponse aux incidents. Enfin, elles aident les organisations à se conformer aux réglementations en matière de cybersécurité, en restreignant l'accès aux systèmes sensibles.
Sources :
Des sociétés écrans nord-coréennes se font passer pour des sociétés informatiques américaines pour financer des programmes de missiles
Des acteurs malveillants liés à la République populaire démocratique de Corée (RPDC) se font passer pour des entreprises de conseil en logiciels et technologies basées aux États-Unis afin de poursuivre des objectifs financiers dans le cadre d'un schéma plus large d'emploi dans le secteur des technologies de l'information (TI). Selon des chercheurs de SentinelOne, ces entreprises fictives, souvent basées en Chine, en Russie et en Afrique, masquent l'origine réelle des travailleurs et gèrent les paiements. Ce réseau de travailleurs TI est une stratégie pour contourner les sanctions internationales et générer des revenus illicites, notamment pour financer des programmes d'armement. En octobre 2023, le gouvernement américain a saisi 17 sites web se faisant passer pour des entreprises de services TI américaines, permettant à ces travailleurs de dissimuler leur identité lors de candidatures à distance. Les recherches ont révélé que ces travailleurs étaient liés à des entreprises en Chine et en Russie, et utilisaient des services de paiement en ligne pour transférer des fonds vers la RPDC. Les chercheurs ont identifié plusieurs entreprises fictives utilisant des contenus copiés de sociétés légitimes, soulignant une stratégie évolutive pour financer des activités d'État, y compris le développement d'armes.
Sources :
L'heure du conte sur Internet : Le garçon qui criait « Sécurité ! »
Cet article aborde les cas d'utilisation courants et les idées fausses concernant les outils de validation de sécurité automatisée (ASV). Ces outils sont conçus pour évaluer en continu et en temps réel les défenses de cybersécurité d'une organisation, en utilisant des techniques d'exploitation plus approfondies que les simples scanners de vulnérabilités. L'auteur, Joe Nay, illustre ses propos à travers la fable d'Ésope "Le garçon qui criait au loup", soulignant comment des alertes répétées sur des menaces non réelles peuvent désensibiliser les équipes de sécurité. Cela peut conduire à une fausse impression de sécurité, où de véritables menaces, comme un acteur malveillant ayant accès au réseau, passent inaperçues. Nay met en garde contre des configurations DNS incorrectes et des protocoles vulnérables qui facilitent les attaques de type "man-in-the-middle". Il souligne l'importance d'une vigilance constante et d'une réponse appropriée aux alertes de sécurité, afin d'éviter des conséquences graves, telles que la perte de données sensibles. En somme, l'article appelle à une meilleure compréhension et utilisation des outils ASV pour renforcer la sécurité des systèmes informatiques.
Sources :
Plus de 145 000 systèmes de contrôle industriel dans 175 pays ont été découverts en ligne
Une nouvelle recherche a révélé plus de 145 000 systèmes de contrôle industriel (ICS) exposés sur Internet dans 175 pays, les États-Unis représentant plus d'un tiers de ces expositions. Les pays les plus touchés incluent la Turquie, la Corée du Sud, l'Italie, le Canada et l'Espagne. Les données proviennent de l'exposition de protocoles ICS courants tels que Modbus et IEC 60870-5-104. Les surfaces d'attaque varient selon les régions, avec des protocoles comme Modbus plus répandus en Europe et d'autres comme BACnet en Amérique du Nord. Bien que les cyberattaques ciblant les ICS soient rares, un malware nommé FrostyGoop a récemment été utilisé contre une entreprise énergétique en Ukraine, exploitant les communications Modbus TCP. Des dispositifs tels que les contrôleurs logiques programmables (PLC) ont également été compromis, comme dans le cas de l'Autorité municipale de l'eau d'Aliquippa, en Pennsylvanie. Les interfaces homme-machine (HMI) sont de plus en plus accessibles sur Internet, principalement aux États-Unis. La vulnérabilité des ICS est aggravée par l'augmentation des malwares de botnets exploitant des identifiants par défaut. Les dispositifs médicaux, notamment ceux utilisant DICOM, sont également à risque, nécessitant une vigilance accrue des organisations de santé.
Sources :
BlueSky est désormais victime d'escroqueries liées aux crypto-monnaies alors qu'il franchit la barre des 20 millions d'utilisateurs
BleepingComputer a récemment signalé l'émergence de scams liés aux cryptomonnaies sur BlueSky, qui a dépassé les 20 millions d'utilisateurs. Alors que Twitter est devenu un terrain fertile pour les arnaques, BlueSky attire également des acteurs malveillants. Un post a mis en avant une image générée par IA de Mark Zuckerberg, promouvant des actifs cryptographiques comme "MetaChain" et "MetaCoin", trompant les utilisateurs en les associant à Meta et au "Metaverse". D'autres publications, telles que "Vous avez gagné 900 000 $ en Bitcoin gratuit", redirigent vers des sites frauduleux. Les utilisateurs de BlueSky ont remarqué une augmentation des arnaques, notamment des "airdrops" et des promesses de gains sans risque. L'équipe de sécurité de BlueSky a reçu 360 000 rapports en 2023 et s'efforce de traiter rapidement les contenus nuisibles. Bien que la plateforme offre une plus grande liberté et un meilleur contrôle du contenu, elle fait face à des défis uniques en matière de modération, contrairement aux plateformes centralisées comme Twitter ou Instagram. BlueSky s'engage à renforcer son équipe de modération pour lutter contre cette montée des spams et des arnaques, tout en maintenant son architecture décentralisée.
Sources :
Cinq membres du gang des Spider-Man inculpés pour une cybercriminalité de plusieurs millions de dollars
Cinq membres présumés du groupe cybercriminel Scattered Spider ont été inculpés aux États-Unis pour avoir ciblé des employés d'entreprises à l'aide de techniques d'ingénierie sociale afin de voler des identifiants et accéder à des données sensibles, dérobant ainsi des actifs numériques d'une valeur de millions de dollars. Les accusés, dont Ahmed Hossam Eldin Elbadawy, Noah Michael Urban, Evans Onyeaka Osiebo, Joel Martin Evans et Tyler Robert Buchanan, font face à des accusations de complot en vue de commettre une fraude électronique et de vol d'identité aggravé. Bien que le nom Scattered Spider ne figure pas dans l'acte d'accusation, le groupe est décrit comme une organisation criminelle motivée financièrement, ciblant principalement de grandes entreprises et leurs fournisseurs. Les attaques de phishing auraient eu lieu entre septembre 2021 et avril 2023, utilisant des SMS trompeurs pour inciter les employés à fournir leurs informations de connexion. Grâce à ces données, le groupe a accédé à des réseaux d'entreprise et a volé au moins 11 millions de dollars en cryptomonnaie. Si les accusés sont reconnus coupables, ils risquent jusqu'à 27 ans de prison.
Sources :
L'outil OSS-Fuzz basé sur l'IA de Google détecte 26 vulnérabilités dans des projets open source
Google a annoncé que son outil de fuzzing alimenté par l'IA, OSS-Fuzz, a permis d'identifier 26 vulnérabilités dans divers dépôts de code open-source, dont une faille de gravité moyenne dans la bibliothèque cryptographique OpenSSL. Cette vulnérabilité, CVE-2024-9143, est un bug d'écriture mémoire hors limites, pouvant entraîner un plantage d'application ou une exécution de code à distance. Elle a été corrigée dans plusieurs versions d'OpenSSL. L'outil OSS-Fuzz a intégré des modèles de langage pour améliorer la couverture de fuzzing, permettant de découvrir des vulnérabilités qui auraient pu rester cachées pendant deux décennies. Google souligne que la couverture de code ne garantit pas l'absence de bugs, car différents chemins de code peuvent révéler des problèmes variés. De plus, l'utilisation de l'IA pour générer des cibles de fuzzing a amélioré la couverture du code dans 272 projets C/C++, ajoutant plus de 370 000 lignes de code. Parallèlement, Google travaille à la transition de ses bases de code vers des langages sûrs pour la mémoire, comme Rust, et à l'intégration de mécanismes pour traiter les vulnérabilités de sécurité mémoire dans ses projets C++, notamment Chrome.
Sources :
Le malware NodeStealer cible les comptes publicitaires Facebook et récupère les données des cartes de crédit
Des chasseurs de menaces alertent sur une version mise à jour de NodeStealer, un malware basé sur Python, capable d'extraire davantage d'informations des comptes Facebook Ads Manager des victimes et de collecter des données de cartes de crédit stockées dans les navigateurs. Initialement documenté par Meta en mai 2023, NodeStealer a évolué d'un malware JavaScript à un voleur de données Python, développé par des acteurs malveillants vietnamiens. Ces derniers exploitent des comptes publicitaires Facebook pour des activités malveillantes, notamment des campagnes de malvertising. Des échantillons récents de NodeStealer collectent des détails budgétaires via l'API Graph de Facebook et évitent d'infecter des machines au Vietnam pour échapper à la loi. Les données sont exfiltrées via Telegram, soulignant son utilisation par les cybercriminels. Une nouvelle campagne, débutant le 3 novembre 2024, imite le gestionnaire de mots de passe Bitwarden à travers des publicités Facebook pour installer une extension Chrome malveillante. Parallèlement, la technique ClickFix, qui incite les utilisateurs à exécuter des scripts PowerShell sous prétexte de résoudre des erreurs, est utilisée pour propager divers malwares. Ces activités sont accompagnées d'attaques de phishing utilisant de fausses demandes Docusign, entraînant des pertes financières et des perturbations commerciales.
Sources :
Une cyberattaque dans un hôpital français expose les données de santé de 750 000 patients
Une cyberattaque sur un hôpital français non nommé a exposé les dossiers médicaux de 750 000 patients après qu'un acteur malveillant, se faisant appeler 'nears', a accédé au système de dossiers patients électroniques. Ce hacker prétend avoir attaqué plusieurs établissements de santé en France, affirmant avoir accès aux données de plus de 1,5 million de personnes. Il a réussi à compromettre un compte MediBoard, un logiciel de gestion des dossiers médicaux proposé par Softway Medical Group, qui a confirmé que l'attaque n'était pas due à une vulnérabilité de son logiciel, mais à l'utilisation de données d'identification volées par l'hôpital. Le hacker a commencé à vendre l'accès à la plateforme MediBoard pour plusieurs hôpitaux français, permettant potentiellement aux acheteurs de consulter des informations sensibles sur les patients. Les données exposées comprennent des informations personnelles telles que le nom, la date de naissance, l'adresse et l'historique médical. Bien qu'aucun acheteur n'ait été identifié, le risque de fuite de ces données reste élevé, augmentant les menaces de phishing et d'escroquerie pour les personnes concernées. Tous les hôpitaux touchés appartiennent à Aléo Santé, facilitant l'accès du hacker.
Sources :
Le géant de la Fintech Finastra enquête sur une violation de données après un piratage SFTP
Finastra, un géant de la fintech, a confirmé avoir averti ses clients d'un incident de cybersécurité après qu'un acteur malveillant a commencé à vendre des données prétendument volées sur un forum de hacking. L'incident a eu lieu le 7 novembre 2024, lorsqu'un attaquant a utilisé des identifiants compromis pour accéder à l'un des systèmes de Secure File Transfer Platform (SFTP) de Finastra. Bien que l'enquête, menée avec des experts en cybersécurité, n'ait pas révélé d'extension de la violation au-delà de cette plateforme, la société continue d'évaluer l'impact de l'incident. Finastra, qui dessert plus de 8 000 institutions dans 130 pays, a déclaré que la plateforme compromise n'était pas utilisée par tous ses clients. Le porte-parole de Finastra a indiqué que les clients affectés seraient contactés directement, sans divulgation publique prévue. L'attaquant, connu sous le nom de "abyss0", aurait prétendu vendre 400 Go de données volées, mais le post a depuis été supprimé. Ce n'est pas la première fois que Finastra fait face à des problèmes de cybersécurité, ayant déjà subi une attaque par ransomware en mars 2020.
Sources :
MITRE partage les 25 faiblesses logicielles les plus dangereuses de 2024
MITRE a publié sa liste des 25 faiblesses logicielles les plus dangereuses pour 2024, identifiant les défauts derrière plus de 31 000 vulnérabilités révélées entre juin 2023 et juin 2024. Ces faiblesses, qui incluent des erreurs de code et des défauts de conception, peuvent être exploitées par des attaquants pour compromettre des systèmes, voler des données sensibles ou provoquer des attaques par déni de service. MITRE souligne que ces vulnérabilités sont souvent faciles à identifier et à exploiter, ce qui peut permettre aux adversaires de prendre le contrôle total d'un système. La liste a été établie en analysant 31 770 enregistrements CVE, en se concentrant sur les failles de sécurité ajoutées au catalogue des vulnérabilités connues exploitées (KEV) de la CISA. Les organisations sont encouragées à utiliser cette liste pour orienter leurs stratégies de sécurité logicielle, en priorisant ces faiblesses dans leurs processus de développement et d'approvisionnement. La CISA a également émis des alertes sur des vulnérabilités largement connues qui persistent malgré des solutions disponibles, appelant les développeurs à renforcer la sécurité de leurs produits.
Sources :
Les États-Unis accusent cinq personnes liées au gang de cybercriminels Scattered Spider
Le 20 novembre 2024, le ministère de la Justice des États-Unis a inculpé cinq individus liés au groupe criminel cybernétique Scattered Spider pour conspiration en vue de commettre une fraude électronique. Entre septembre 2021 et avril 2023, ces suspects ont volé des millions de dollars en utilisant des informations d'identification obtenues par des attaques de phishing par SMS, ciblant des particuliers et des entreprises. Scattered Spider est spécialisé dans les attaques d'ingénierie sociale, se faisant passer pour des techniciens d'assistance et utilisant des messages frauduleux pour inciter les employés à fournir leurs identifiants. Les documents judiciaires révèlent qu'ils ont également exfiltré des données confidentielles, y compris des informations personnelles et de la propriété intellectuelle, qu'ils ont ensuite utilisées pour des attaques de SIM swapping, leur permettant de contrôler les comptes de messagerie et les portefeuilles de cryptomonnaie de leurs victimes. Les inculpés, dont les âges varient de 20 à 25 ans, risquent jusqu'à 20 ans de prison pour fraude électronique et vol d'identité aggravé. Scattered Spider, également connu sous d'autres noms, est un groupe lâche d'acteurs malveillants anglophones, rendant leur suivi difficile pour les forces de l'ordre.
Sources :
Ubuntu Linux affecté par une faille « needrestart » vieille de dix ans qui donne la racine
Cinq vulnérabilités d'escalade de privilèges locaux (LPE) ont été découvertes dans l'utilitaire needrestart, utilisé par défaut dans Ubuntu Linux depuis la version 21.04. Ces failles, identifiées par Qualys et suivies sous les références CVE-2024-48990 à CVE-2024-11003, ont été introduites dans la version 0.8 de needrestart en avril 2014 et corrigées récemment dans la version 3.8. Les vulnérabilités permettent à un attaquant ayant un accès local à un système Linux vulnérable d'obtenir des privilèges root sans interaction de l'utilisateur. Les failles incluent l'exécution de code arbitraire via des variables d'environnement malveillantes pour Python et Ruby, une condition de course permettant de remplacer l'interpréteur Python, et des problèmes de traitement de noms de fichiers dans le module ScanDeps de Perl. Bien que l'exploitation nécessite un accès local, ce risque ne doit pas être sous-estimé, car des vulnérabilités similaires ont été exploitées par le passé. Il est conseillé de mettre à jour vers la version 3.8 ou de désactiver la fonctionnalité de scan des interpréteurs dans le fichier needrestart.conf pour prévenir les exploitations.
Sources :
Cyberattaque sur le Département de La Réunion : le mystérieux groupe Termite revendique l’incident
Le 13 novembre 2024, le Département de La Réunion a été victime d'une cyberattaque revendiquée par un groupe de hackers peu connu, nommé Termite. Cette intrusion a conduit à une interruption temporaire des réseaux informatiques pour éviter une propagation des dégâts. Bien que le Département ait rapidement contenu l'attaque, une fuite de données limitée a été constatée. Termite a également ciblé d'autres entités, comme le Conseil scolaire Viamonde au Canada et l'entreprise Culligan, mais ses motivations et l'étendue des données exfiltrées restent floues. Le président du Département, Cyrille Melchior, a assuré que les services publics demeuraient opérationnels malgré les perturbations causées. Une cellule de crise a été mise en place pour évaluer les impacts et renforcer la sécurité. Le Département a conseillé aux usagers de rester vigilants, notamment en évitant d'ouvrir des emails suspects. Cette attaque souligne une tendance inquiétante : l'augmentation des cyberattaques visant les collectivités territoriales, incitant ces dernières à renforcer leurs défenses face à des menaces persistantes. Les autorités continuent de travailler pour limiter les impacts et informer le public sur l'évolution de la situation.
Sources :
70 % des collaborateurs pas suffisamment sensibilisés à la cybersécurité
Une étude récente souligne l'importance de la sensibilisation à la cybersécurité pour réduire les risques en entreprise, face à des cybercriminels utilisant l'IA pour intensifier leurs attaques. John Maddison, CMO de Fortinet, insiste sur le rôle crucial des employés en tant que première ligne de défense. Les résultats montrent que plus de 60 % des dirigeants estiment que les menaces basées sur l'IA sont plus difficiles à détecter, et 80 % des répondants sont favorables à des programmes de formation en cybersécurité. Malgré cela, une inquiétude persiste quant à la faible sensibilisation des employés aux principes de sécurité. Bien que 75 % des dirigeants aient un plan de sensibilisation, la fréquence de diffusion des contenus reste limitée, avec une majorité optant pour des campagnes trimestrielles ou annuelles. Les cybercriminels rendent le phishing plus crédible, rendant essentielle l'éducation des employés pour reconnaître ces menaces. La majorité des répondants (96 %) affirment que leur direction soutient la formation en cybersécurité, mais l'attrait du contenu reste un point d'amélioration. En somme, une culture de cybersécurité solide est nécessaire pour faire face aux menaces évolutives.
Sources :
Phishing Gendarmerie : quand les pirates exploitent la curiosité des internautes
Un site frauduleux, prétendant sensibiliser à la cybersécurité sous le nom de domaine "prévention gendarmerie", a été récemment identifié par ZATAZ. Bien qu'il affiche des logos d'organisations reconnues comme EDF et SNCF, il s'agit d'une arnaque visant à collecter des informations personnelles. Enregistré chez Amen, ce site incite les utilisateurs à se connecter via des comptes tels que Facebook ou Google, révélant ainsi son intention de voler des données d'identification. Le site propose un "questionnaire cyber" qui exploite la curiosité des internautes en posant des questions sur leurs habitudes numériques. Les réponses à ces questions peuvent être utilisées par les pirates pour cibler des attaques plus sophistiquées. Par exemple, un utilisateur qui utilise le même mot de passe pour plusieurs comptes devient une cible facile. De plus, des réponses indiquant une négligence en matière de sécurité, comme l'utilisation de réseaux Wi-Fi publics non sécurisés, renforcent la vulnérabilité des victimes. Ce phishing repose sur la manipulation psychologique et le Social Engineering, exploitant la volonté des internautes de répondre à des questions apparemment innocentes. Il est crucial de vérifier les URLs suspectes pour éviter de tomber dans ce piège.
Sources :
Mishing : la menace mobile croissante qui plane sur les entreprises
Au cours de la dernière décennie, l'utilisation des appareils mobiles en entreprise a considérablement évolué, entraînant des changements majeurs dans la communication et la productivité. Cependant, cette évolution a également exposé les utilisateurs à des attaques par ingénierie sociale, notamment le « mishing », qui combine phishing, smishing et vishing. Ces menaces sont particulièrement préoccupantes pour les entreprises et le secteur public, car elles augmentent le risque de vol de données sensibles. L'usage croissant des appareils mobiles pour le travail, associé à une dépendance accrue au télétravail, offre aux cybercriminels un large éventail de cibles. De plus, la plupart des appareils mobiles manquent de protections adéquates contre ces menaces. Pour se prémunir contre le mishing, il est conseillé de saisir manuellement les URL, de maintenir les systèmes à jour et d'implémenter des solutions de sécurité mobile avancées. Les entreprises doivent également analyser les applications utilisées pour détecter les vulnérabilités et sensibiliser leurs employés aux risques. En adoptant ces mesures proactives, les organisations peuvent mieux protéger leurs données critiques contre les cyberattaques, rendant ainsi le mishing moins insidieux et plus gérable.
Sources :
Comment définir la période de validité de l’infrastructure à clé publique (PKI) et les meilleures pratiques en matière de révocation
Les entreprises doivent naviguer entre deux choix pour la gestion des certificats : établir une période de validité trop longue, risquant des problèmes de conformité, ou trop courte, entraînant une charge administrative lourde et des risques de pannes. La longueur des clés de cryptage est cruciale, car des clés plus longues offrent une sécurité accrue mais nécessitent plus de ressources, ce qui peut poser problème dans des environnements limités comme l'IoT. La cryptographie à courbe elliptique (ECC) émerge comme une solution efficace, offrant une sécurité comparable avec des clés plus courtes. Pour maintenir la sécurité des infrastructures à clé publique (PKI), la gestion de la révocation des certificats est essentielle. Il est recommandé de ne pas révoquer prématurément les certificats arrivant à expiration pour assurer une transition fluide. En cas de compromission, une révocation rapide est nécessaire pour éviter l'exploitation par des utilisateurs non autorisés. L'implémentation du protocole OCSP permet des vérifications en temps réel, réduisant la latence. L'automatisation et une documentation rigoureuse sont cruciales pour gérer efficacement un grand nombre de certificats, prévenir les interruptions et garantir la continuité opérationnelle. Les entreprises doivent donc adopter des pratiques de sécurité adaptées et conformes.
Sources :
Une faille de sécurité très simple met en danger plus de 4 millions de sites Web WordPress
Une vulnérabilité critique a été découverte dans le plugin WordPress Really Simple Security, affectant des millions de sites web. Cette faille, identifiée sous le code CVE-2024-10924, permettait à un attaquant de contourner l'authentification dans les versions 9.0.0 à 9.1.1.1 du plugin. Le problème réside dans une mauvaise gestion des erreurs lors des actions de l'API REST à deux facteurs, ce qui permettait à un utilisateur non authentifié de se connecter en tant qu'utilisateur authentifié, sans nécessiter de mot de passe ou de vérification d'identité. Cette vulnérabilité a reçu une note de gravité critique avec un score CVSS de 9.8. Bien que l'exploitation ne soit possible que si l'authentification à deux facteurs est activée, ce qui est généralement recommandé, cela représente un risque majeur pour les comptes administratifs. Suite à cette découverte, Wordfence a informé les développeurs du plugin, qui ont rapidement publié une mise à jour (version 9.1.2) pour corriger la faille. Avec plus de 4 millions d'installations actives, il est impératif que tous les utilisateurs mettent à jour leur plugin pour éviter toute menace. Les administrateurs WordPress doivent également vérifier manuellement la dernière version du plugin.
Sources :
Microsoft confirme des problèmes audio de jeu sur les PC Windows 11 24H2
Microsoft a confirmé un problème affectant les systèmes Windows 24H2, où le volume audio des jeux augmente de manière inattendue à son maximum lors de l'utilisation de systèmes audio USB DAC. Ce problème se manifeste principalement chez les utilisateurs de la Creative Sound BlasterX G6, notamment lorsqu'ils connectent et déconnectent rapidement le système audio externe ou après avoir mis leur PC en veille. Microsoft a expliqué que ce bug est causé par un problème de synchronisation dans le service AudioEndpointBuilder, responsable de l'initialisation et de l'activation des points audio sur les systèmes Windows. Actuellement, l'entreprise enquête sur cette anomalie et prévoit de publier une solution dans une prochaine mise à jour de Windows. En parallèle, Microsoft a reconnu un autre bug empêchant les utilisateurs de modifier le fuseau horaire dans les paramètres de date et d'heure sans privilèges administratifs, bien qu'une solution de contournement soit disponible via le Panneau de configuration. La société a également retiré les mises à jour de sécurité Exchange de novembre 2024 en raison de problèmes de livraison de mails et a corrigé plusieurs bugs entraînant des écrans bleus sur Windows Server 2025.
Sources :
Une nouvelle attaque Ghost Tap utilise les paiements mobiles NFC pour voler de l'argent
Des cybercriminels ont développé une nouvelle méthode, appelée "Ghost Tap", pour exploiter les systèmes de paiement mobile comme Apple Pay et Google Pay afin de voler de l'argent. Cette technique, plus sophistiquée que les précédentes attaques basées sur le malware NGate, permet de relayer les données NFC des cartes de paiement sans nécessiter la présence de la carte ou de l'appareil de la victime. Les attaquants interceptent d'abord les données des cartes et les mots de passe à usage unique (OTP) nécessaires à l'inscription sur les portefeuilles virtuels. Ensuite, ils utilisent un serveur relais pour transmettre ces informations à un réseau mondial de "mules" qui effectuent des achats dans divers points de vente, rendant la traçabilité difficile. Contrairement aux attaques NGate, qui impliquaient des retraits aux distributeurs automatiques, Ghost Tap se concentre sur des achats au détail, ce qui complique la détection par les institutions financières. Les petites transactions dispersées peuvent passer inaperçues des mécanismes anti-fraude. Pour se protéger, les banques doivent surveiller les transactions impossibles à réaliser physiquement dans un court laps de temps, tandis que les consommateurs doivent signaler rapidement toute activité suspecte.
