Espionnage aux JO de Paris : un employé d’Orange pris en flagrant délit - Actus du 03/02/2025
Découvrez comment la cybersécurité évolue en 2024 avec une hausse de 20% des CVE exploités, les défis de la gestion des identités hybrides dans Active Directory, et un scandale d'espionnage aux JO de Paris impliquant un employé d’Orange. Ne manquez pas ces révélations!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
768 CVE exploités en 2024, soit une augmentation de 20 % par rapport aux 639 de 2023
En 2024, 768 vulnérabilités avec des identifiants CVE ont été signalées comme exploitées dans la nature, marquant une augmentation de 20 % par rapport aux 639 CVE en 2023. VulnCheck décrit cette année comme "une autre année marquante pour les acteurs malveillants ciblant l'exploitation des vulnérabilités", notant que 23,6 % des vulnérabilités connues exploitées (KEV) étaient déjà armées au moment de la divulgation publique de leurs CVE, une légère baisse par rapport à 26,8 % en 2023. Patrick Garrity de VulnCheck a indiqué que 1 % des CVE publiés en 2024 ont été signalés comme exploités, un chiffre qui devrait augmenter avec le temps. Le rapport souligne également que 15 groupes de hackers chinois ont été liés à l'exploitation de vulnérabilités majeures en 2023, avec le CVE Log4j (CVE-2021-44228) étant le plus associé à des acteurs malveillants. Environ 400 000 systèmes accessibles sur Internet pourraient être vulnérables à des attaques liées à 15 failles de sécurité dans divers produits. VulnCheck recommande aux organisations d'évaluer leur exposition, d'améliorer la visibilité des risques, de maintenir une gestion rigoureuse des correctifs et de réduire l'exposition des dispositifs connectés à Internet.
Sources :
La gestion des identités hybrides dans Active Directory
De nombreuses organisations continuent d'utiliser Active Directory (AD) tout en envisageant une transition vers Microsoft Entra ID dans un avenir hybride. Bien qu'AD ait longtemps été la solution de gestion des identités (IAM) pour Windows, les entreprises doivent maintenant naviguer entre les avantages de leur infrastructure existante et les nouvelles opportunités offertes par Entra ID. La connectivité MFA ne dépend plus des VPN, et les équipes de sécurité conservent un contrôle total sur l'IAM avec AD, ce qui est crucial pour des secteurs comme la finance ou le gouvernement. Ces organisations préfèrent souvent garder leur service d'annuaire sur site tout en intégrant des fonctionnalités spécifiques d'Entra ID. Microsoft propose des outils pour faciliter cette intégration, tels qu'Active Directory Federated Services (AD FS) et Entra Cloud Sync, qui permettent de synchroniser les identités AD avec Entra ID et Microsoft 365 via un identifiant SSO. Cependant, chaque organisation doit décider si elle privilégiera AD on-premise ou Entra ID comme service d'annuaire principal. Des solutions comme UserLock aident à simplifier la gestion des identités dans ce contexte hybride.
Sources :
Espionnage aux JO de Paris : un employé d’Orange pris en flagrant délit
Un administrateur informatique de Globecast, filiale d’Orange, a été arrêté pour avoir espionné des réunions confidentielles liées aux Jeux Olympiques de Paris 2024. Il a installé des dispositifs d’écoute, dissimulés derrière des écrans de visioconférence, dans plusieurs salles de réunion, dont une réservée aux discussions stratégiques. Ces micros espions, achetés en ligne pour environ 119 euros, ont enregistré des centaines d'heures de conversations sensibles, notamment sur des failles de cybersécurité. La découverte des dispositifs a été faite en février 2024 par l’équipe de maintenance de Globecast, qui a alerté la Direction générale de la sécurité intérieure (DGSI). L’enquête a rapidement désigné l’employé comme principal suspect, ayant eu accès aux lieux et équipements nécessaires pour installer les appareils sans éveiller de soupçons. Les motivations de cet acte restent floues, soulevant des questions sur des intentions de revente ou de diffusion d’informations à des tiers malveillants. Cet incident souligne les dangers de l’espionnage interne, particulièrement lors d’événements majeurs, et met en évidence la nécessité de mesures de sécurité renforcées pour protéger les données sensibles des entreprises.
Sources :
StickTock : naviguez sur TikTok sans compromettre votre vie privée
StickTock est une alternative open source à TikTok, développée par PrivacySafe, qui permet aux utilisateurs de visionner des vidéos sans compromettre leur vie privée. Face aux préoccupations croissantes concernant la collecte de données personnelles par TikTok, notamment en raison de ses liens avec ByteDance, StickTock offre une solution respectueuse de la confidentialité. Les utilisateurs peuvent accéder au contenu de TikTok en collant une URL dans l'interface de StickTock ou en remplaçant "tiktok.com" par "sticktock.com". De plus, StickTock peut être utilisé via le réseau Tor, garantissant un anonymat supplémentaire. Ce projet se distingue par sa transparence, permettant aux utilisateurs de consulter son code et de s'assurer qu'aucune donnée n'est collectée. Alors que TikTok fait face à des menaces d'interdiction dans plusieurs pays, StickTock émerge comme une réponse aux inquiétudes sur la sécurité nationale et la surveillance des données. Le débat autour de TikTok soulève des questions sur les pratiques de collecte de données des géants technologiques, qui, malgré des accusations similaires, ne subissent pas les mêmes restrictions. StickTock représente ainsi une option pour ceux qui souhaitent profiter de TikTok sans sacrifier leur vie privée.
Sources :
Comment protéger efficacement ses Identités et l’accès à ses ressources IT
L'article souligne l'importance du facteur humain dans la sécurité des systèmes d'information, malgré les avancées technologiques. Les erreurs humaines, comme l'utilisation de mots de passe faibles, peuvent compromettre la sécurité, surtout avec l'essor des solutions SaaS et du Cloud. Ces solutions modernes facilitent l'accès via la fédération d'identité, mais nécessitent l'activation de l'authentification multi-facteur (MFA) pour renforcer la sécurité. Les cyber-attaques récentes ont mis en évidence la nécessité de protéger les identités et les accès. Le MFA, qui peut inclure des méthodes variées comme les SMS ou la reconnaissance faciale, est devenu courant dans les entreprises et pour certains services personnels. Cependant, les applications héritées et sur site peinent à intégrer ces mesures de sécurité. La solution Silverfort se distingue en analysant les demandes d'accès via l'Active Directory, permettant ainsi d'appliquer des règles de sécurité uniformes, indépendamment des applications sous-jacentes. En cas de risque, Silverfort peut exiger un MFA avant d'accorder l'accès. Cette approche permet de sécuriser efficacement les ressources sans nécessiter de déploiement complexe sur chaque application.
Sources :
Protection des données : les meilleures pratiques de cybersécurité à appliquer pour 2025
Les passkeys représentent une alternative sécurisée aux mots de passe, utilisant la cryptographie à clé publique pour offrir une protection renforcée contre le phishing et les informations d’identification volées. Elles améliorent non seulement la sécurité, mais facilitent également l'expérience de connexion, réduisant les frictions des méthodes traditionnelles. Pour les organisations, leur adoption est essentielle pour contrer les cybermenaces sophistiquées tout en simplifiant l'accès aux systèmes critiques. Contrairement aux méthodes classiques de MFA, souvent vulnérables, les passkeys liées à des appareils physiques et des données biométriques assurent une sécurité multi-niveau. Cette approche est cruciale dans des environnements hybrides où un accès sécurisé est vital. Toutefois, même les technologies les plus avancées nécessitent une maîtrise par les utilisateurs, rendant la formation pratique indispensable pour instaurer une culture de cybersécurité. De plus, il est essentiel d'éliminer les vulnérabilités dans la supply chain, car la sécurité d'un écosystème numérique dépend de son maillon le plus faible. En promouvant l'adoption de solutions résistantes au phishing, les entreprises peuvent renforcer la confiance et la collaboration entre partenaires, consolidant ainsi leur défense collective. Une stratégie de cybersécurité intégrée, combinant MFA moderne, formation et sécurité de la supply chain, est donc primordiale.
Sources :
PyPI introduit le statut d'archivage pour alerter les utilisateurs sur les packages Python non maintenus
Les responsables de l'index de paquets Python (PyPI) ont introduit une nouvelle fonctionnalité permettant aux développeurs de projets d'archiver leurs travaux, dans le but d'améliorer la sécurité de la chaîne d'approvisionnement. Facundo Tuesca, ingénieur senior chez Trail of Bits, a expliqué que l'archivage signale clairement aux utilisateurs qu'un projet ne recevra plus de mises à jour, ni de correctifs de sécurité. Les projets archivés resteront accessibles sur PyPI, permettant aux utilisateurs de les installer sans problème. PyPI envisage également d'autres statuts contrôlés par les mainteneurs pour mieux communiquer l'état d'un projet. Il est recommandé aux développeurs de publier une version finale avant l'archivage, en mettant à jour la description du projet pour avertir les utilisateurs et suggérer des alternatives. Cette annonce fait suite à l'introduction d'une fonctionnalité de quarantaine, permettant aux administrateurs de marquer des projets comme suspects pour éviter leur installation. En novembre 2024, la bibliothèque Python aiocpa a été mise en quarantaine après la découverte de code malveillant. Depuis août dernier, environ 140 projets ont été mis en quarantaine et retirés, sauf un, renforçant ainsi la sécurité des utilisateurs.
Sources :
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité [27 février]
Un nouvel outil d'IA suscite des inquiétudes, alors que les forces de l'ordre ferment des plateformes en ligne facilitant la cybercriminalité. Les modèles d'IA, comme celui de Paragon, manquent de protections suffisantes contre les abus potentiels, marquant une première association avec l'utilisation de logiciels espions. Des attaques récentes ont impliqué un exfiltrateur de données USB, PyPlunderPlug, ciblant une entreprise allemande. Parallèlement, Microsoft introduit un bloqueur de scareware dans son navigateur Edge pour contrer les arnaques de support technique, après avoir été sanctionné par la FTC pour des pratiques trompeuses. Ce développement s'inscrit dans un effort plus large de Microsoft pour renforcer la sécurité contre l'usurpation d'identité dans Teams. Une étude récente a révélé une faille critique dans les compteurs de surveillance de performance de TDX, compromettant l'isolation entre le gestionnaire de machine virtuelle et les domaines de confiance. De plus, un acteur malveillant a infecté plus de 18 000 appareils en diffusant une version trojanisée d'un constructeur de RAT via des plateformes comme GitHub et Telegram. Ce malware utilise Telegram pour le contrôle des appareils infectés, exploitant des extensions Chrome pour diverses attaques.
Sources :
Les risques de sécurité dans les modèles de raisonnement avancés : l’exemple de DeepSeek R1
L'application DeepSeek R1, développée par une startup chinoise, a récemment gagné en popularité aux États-Unis, malgré les préoccupations croissantes concernant la sécurité des données. Ce modèle d'intelligence artificielle, qui utilise des techniques avancées comme l'apprentissage par renforcement, promet un raisonnement efficace à faible coût. Cependant, une analyse a révélé que DeepSeek R1 a exposé des centaines de millions d'informations, soulevant des inquiétudes quant à la protection des données, surtout en comparaison avec d'autres modèles qui, bien que vulnérables, ont montré une capacité à atténuer les risques. Dans le domaine de la santé, les dangers sont amplifiés par la possibilité de manipulation des données, entraînant des erreurs graves, comme la classification erronée de champignons toxiques comme comestibles. Les chercheurs mettent en garde contre la facilité avec laquelle des contenus frauduleux peuvent être générés, rendant difficile l'identification des modèles empoisonnés. Ces modèles, souvent partagés entre plusieurs systèmes, continuent de performer dans des benchmarks standards, compliquant leur détection. La prolifération de données contaminées représente ainsi une menace sérieuse pour la fiabilité des systèmes d'IA, en particulier dans des domaines critiques comme la santé.
Sources :
Le malware Coyote étend sa portée : il cible désormais 1 030 sites et 73 institutions financières
Une campagne ciblant les utilisateurs de Windows au Brésil diffuse un malware bancaire connu sous le nom de Coyote. Selon l'analyse de Cara Lin, chercheuse chez Fortinet FortiGuard Labs, ce Trojan peut réaliser diverses activités malveillantes, telles que l'enregistrement des frappes, la capture d'écrans et l'affichage de superpositions de phishing pour voler des informations sensibles. Découvert par Kaspersky début 2024, Coyote peut extraire des données de plus de 70 applications financières. La chaîne d'attaque commence par un fichier de raccourci Windows (LNK) qui exécute une commande PowerShell pour récupérer un script malveillant depuis un serveur distant. Ce script lance un chargeur qui exécute le payload Coyote. Une nouveauté dans cette version est l'élargissement de la liste des cibles à 1 030 sites et 73 agents financiers. Si une victime tente d'accéder à l'un de ces sites, le malware communique avec un serveur contrôlé par l'attaquant pour déterminer la suite des actions, allant de la capture d'écran à l'activation d'un keylogger. Le processus d'infection de Coyote est complexe et représente une menace significative pour la cybersécurité financière, avec un potentiel d'expansion au-delà de ses cibles initiales.
Sources :
Qu'est-ce que la gestion de la surface d'attaque ?
La gestion de la surface d'attaque (ASM) est essentielle pour identifier et réduire l'exposition des actifs numériques, tant internes qu'externes, face aux cybermenaces. Les surfaces d'attaque évoluent constamment, englobant des éléments sur site, dans le cloud et chez des tiers. L'exposition peut résulter de vulnérabilités actuelles, comme des configurations erronées ou des mises à jour manquantes, qui peuvent transformer des interfaces sécurisées en cibles potentielles. Par exemple, des gangs de ransomware ont récemment ciblé des environnements VMware vSphere exposés, exploitant des failles pour crypter des données critiques. La rapidité de développement des services numériques crée des lacunes de visibilité, rendant nécessaire l'utilisation de plateformes de gestion des risques tiers pour protéger les données sensibles. Une stratégie ASM efficace doit aller au-delà des actifs connus pour identifier les inconnus et s'adapter à un paysage de menaces en constante évolution. Des outils comme Intruder permettent de détecter des problèmes spécifiques à la surface d'attaque, en priorisant les vulnérabilités les plus critiques. En surveillant les systèmes pour des menaces émergentes, ces solutions aident les équipes de sécurité à se concentrer sur les risques ayant le plus grand impact sur l'entreprise.
Sources :
2,6 millions d’euros détournés dans une affaire de rumeurs en ligne
La cyberpolice chinoise a démantelé un vaste réseau criminel responsable de la propagation de rumeurs en ligne, entraînant l'arrestation de 32 suspects et la saisie de 2,6 millions d'euros. Ce groupe, dirigé par Wei et Zhang, exploitait plus de 5 000 comptes fictifs sur diverses plateformes pour manipuler l'opinion publique et générer des profits illégaux. En utilisant des logiciels automatisés et une technologie d'intelligence artificielle pour usurper des identités, ils diffusaient des rumeurs sur des événements sensibles, créant un climat de désinformation. Leur stratégie consistait à détourner le trafic vers des sites qu'ils contrôlaient, où ils imposaient des frais aux victimes. L'enquête a révélé une organisation structurée, avec des bases d'opérations dans quatre provinces. Après plusieurs mois d'investigation, les autorités ont coordonné des raids qui ont permis de saisir plus de 8 000 téléphones et des équipements spécialisés. Cette opération a non seulement mis fin à leurs activités criminelles, mais a également contribué à restaurer la confiance des citoyens envers les plateformes numériques, essentielles dans un monde connecté. Les conséquences de ces rumeurs dépassaient les pertes financières, affectant l'ordre économique et social.
Sources :
Cabinet d’avocats : une faille expose 3,5 millions de personnes
Le cabinet d'avocats Wolf Haldenstein fait face à une grave violation de données ayant exposé les informations personnelles de 3,5 millions de personnes. L'incident, détecté en décembre 2023, a permis à des cybercriminels d'accéder à des données sensibles telles que des noms, numéros de sécurité sociale et diagnostics médicaux. Malgré une enquête approfondie et des mesures de sécurité renforcées, la divulgation publique de l'incident n'a eu lieu qu'en janvier 2025, soit plus d'un an après la détection initiale. Ce retard a suscité des critiques quant à la capacité du cabinet à protéger les données qu'il gère. Wolf Haldenstein a proposé des services de surveillance de crédit et de protection d'identité gratuits aux personnes concernées, mais a rencontré des difficultés pour notifier toutes les victimes en raison de l'absence d'adresses valides. La loi américaine exige une communication rapide sur les violations de données, et le délai observé dans ce cas dépasse les normes habituelles. Bien que le cabinet ait affirmé qu'aucune utilisation malveillante des données n'ait été prouvée, des inquiétudes persistent quant à la sécurité des informations exposées, notamment celles protégées par des lois strictes.
Sources :
308 millions de dollars dérobés grâce à une fausse interview
En décembre 2024, un groupe de hackers nord-coréens, TraderTraitor, a orchestré un vol audacieux de 308 millions de dollars en dérobant 4 502,9 bitcoins à la société japonaise Bitcoin.DMM.com. L'attaque, qui a eu lieu après une infiltration réussie des systèmes de Ginco, une entreprise de logiciels de gestion de portefeuilles cryptographiques, a été rendue possible grâce à des techniques d'ingénierie sociale sophistiquées. Les pirates ont utilisé LinkedIn pour se faire passer pour un recruteur et ont trompé un employé de Ginco en lui faisant télécharger un script Python malveillant. Ce script a permis aux hackers d'accéder à des données sensibles et de manipuler les systèmes internes sans éveiller de soupçons. En mai 2024, ils ont intercepté une transaction légitime et redirigé les fonds vers leurs propres portefeuilles. L'attaque a mis en lumière la vulnérabilité des plateformes professionnelles face à la cybercriminalité. Le FBI et la police japonaise ont ouvert une enquête, mais la récupération des fonds s'est avérée difficile. Cette opération a conduit à la faillite de Bitcoin.DMM.com, soulignant les risques croissants associés aux transactions en cryptomonnaies.
Sources :
Le Royaume-Uni veut interdire les rançons aux hôpitaux et écoles
Face à l'augmentation alarmante des cyberattaques par ransomware, le gouvernement britannique propose une réforme pour renforcer la cybersécurité nationale. Cette initiative, qui fait partie d'une consultation publique, vise à rendre le signalement des attaques obligatoire pour toutes les victimes, afin d'obtenir des données précises sur l'ampleur du phénomène. Les ransomwares, qui bloquent l'accès aux données jusqu'au paiement d'une rançon, se sont multipliés ces cinq dernières années, souvent orchestrés par des groupes criminels dans des pays à régulations faibles. Actuellement, aucune loi australienne n'interdit explicitement le paiement de rançons, ce qui complique la lutte contre ces attaques. Le projet de loi britannique prévoit que toutes les victimes, publiques ou privées, déclarent les incidents au gouvernement, avec la création d'une plateforme nationale de signalement pour centraliser les informations et soutenir les victimes. Le gouvernement souhaite également renforcer la supervision des paiements de rançons pour dissuader les attaques futures. Bien que le NCSC ne prohibe pas strictement le paiement de rançons, il le décourage. Si le Royaume-Uni réussit à surmonter les défis de cette réforme, il pourrait devenir un modèle pour d'autres nations dans la lutte contre les ransomwares.
Sources :
Des entreprises du Laos et de Chine impliquées dans le recrutement informatique nord-coréen
Le gouvernement américain a intensifié ses efforts pour contrer une campagne mondiale de la Corée du Nord, qui recrute des talents informatiques pour financer ses ambitions militaires. Des entreprises en Chine et au Laos sont accusées d'aider à dissimuler l'identité de travailleurs nord-coréens, leur permettant d'intégrer des entreprises technologiques internationales, notamment aux États-Unis. Le Département du Trésor américain a sanctionné des entités comme Korea Osong Shipping et Chonsurim Trading Corporation, qui hébergent ces travailleurs au Laos depuis 2022, leur fournissant les moyens d'interagir avec des clients étrangers. Ces travailleurs utilisent également des identités volées de citoyens américains pour contourner les restrictions internationales. Les revenus générés par ces activités ne servent pas seulement à renforcer les capacités militaires de la Corée du Nord, mais aussi à soutenir d'autres régimes et conflits. Cette situation met en lumière la coopération entre la Corée du Nord, la Chine et le Laos, ainsi que l'interconnexion croissante entre les cyberactivités et les conflits mondiaux. En réponse aux sanctions, les travailleurs nord-coréens ont développé des méthodes pour dissimuler leurs activités, notamment en utilisant des plateformes de crypto-monnaies pour transférer des fonds, rendant leur traçabilité plus difficile.
Sources :
Crazy Evil Gang cible les crypto-monnaies avec les logiciels malveillants StealC, AMOS et Angel Drainer
Un groupe de cybercriminalité russophone, connu sous le nom de Crazy Evil, est lié à plus de 10 escroqueries sur les réseaux sociaux, utilisant des leurres variés pour tromper les victimes et les inciter à installer des malwares tels que StealC et AMOS. Spécialisé dans la fraude d'identité et le vol de cryptomonnaies, Crazy Evil emploie un réseau coordonné de "traffers", des experts en ingénierie sociale qui redirigent le trafic légitime vers des pages de phishing malveillantes. Actif depuis au moins 2021, ce groupe, dirigé par un acteur menaçant sur Telegram, cible les utilisateurs de systèmes Windows et macOS, représentant un risque pour la finance décentralisée. Contrairement à d'autres escroqueries, Crazy Evil se concentre sur le vol d'actifs numériques, y compris les NFT et les comptes bancaires en ligne. Le groupe a gagné en notoriété après des escroqueries de sortie impliquant d'autres groupes cybercriminels. Composé de six sous-équipes, il utilise des méthodes sophistiquées pour mener des attaques, y compris des manuels d'instructions pour ses membres. Les chercheurs en sécurité avertissent que les succès de Crazy Evil pourraient inciter d'autres cybercriminels à adopter des méthodes similaires, rendant la vigilance essentielle pour prévenir des violations de sécurité dans les secteurs de la cryptomonnaie et des logiciels.
