Faille critique dans Starlink : des voitures détournées en Amérique du Nord - Actus du 25/01/2025
Découvrez si l'antivirus est vraiment votre meilleur allié contre les menaces ! Plongez dans la vulnérabilité critique de STARLINK révélée par des experts et soyez informé des avertissements de Zyxel sur leur mise à jour problématique. Informez-vous sur la sécurité informatique actuelle !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
« L’antivirus est toujours la meilleure protection pour son ordinateur » : mythe ou réalité ? [Sponso]
Les logiciels antivirus sont essentiels pour sécuriser les appareils connectés, mais ils ne suffisent plus à garantir une protection complète contre les menaces en ligne. Les attaques par hameçonnage (phishing) et les virus demeurent des préoccupations majeures, touchant tous les dispositifs, y compris PC, Mac, smartphones et smart TV. Une récente attaque par le malware PlugX, orchestrée par la Chine, souligne l'importance des mises à jour régulières et de l'utilisation de solutions antivirus reconnues. Bien que ces derniers alertent sur les téléchargements potentiellement dangereux, ils sont souvent impuissants face aux intrusions réseau et aux escroqueries en ligne. Les hackers utilisent des techniques de phishing et d'ingénierie sociale pour tromper les utilisateurs et obtenir des informations personnelles. Pour se protéger, il est conseillé d'utiliser des outils complémentaires comme les VPN, qui créent des connexions sécurisées, chiffrent les données échangées et bloquent les traceurs. Ces outils offrent également une surveillance continue du web pour alerter en cas de compromission des données personnelles. En combinant antivirus et VPN, les utilisateurs peuvent renforcer leur sécurité en ligne et mieux gérer leurs informations sensibles.
Sources :
Vulnérabilité critique dans le système STARLINK de Subaru : Comment deux chercheurs en cybersécurité ont mis en lumière une faille majeure
Le 20 novembre 2024, Shubham Shah et Samwcyo ont révélé une vulnérabilité critique dans le système STARLINK de Subaru, permettant un accès total aux véhicules connectés et aux données personnelles des clients aux États-Unis, au Canada et au Japon. Cette faille offrait à un attaquant la possibilité de contrôler à distance les véhicules, y compris le démarrage, l'arrêt, le verrouillage et le déverrouillage, simplement en utilisant des informations basiques comme un nom ou un code postal. De plus, des données personnelles telles que l'adresse et les coordonnées des clients étaient exposées, ainsi que le code PIN du véhicule. Subaru a réagi rapidement, corrigeant la vulnérabilité en moins de 24 heures, ce qui a permis de réduire les risques pour les utilisateurs. Les chercheurs ont validé leur découverte en accédant à un véhicule avec l'autorisation d'un tiers, démontrant ainsi l'ampleur de la faille. Cet incident met en lumière les défis de la cybersécurité dans l'industrie automobile, notamment la gestion des permissions et la confiance excessive envers les employés. La vulnérabilité STARLINK souligne les dangers croissants associés aux technologies connectées dans les véhicules modernes.
Sources :
Zyxel met en garde contre une mauvaise mise à jour de signature provoquant des boucles de démarrage du pare-feu
Zyxel a averti que la mise à jour d'une signature de sécurité défectueuse entraîne des erreurs critiques sur ses pare-feu USG FLEX et ATP Series, provoquant des boucles de redémarrage. Dans un avis publié, la société a indiqué que certains appareils pourraient rencontrer des problèmes tels que des échecs du démon ZySH, des difficultés de connexion et des messages d'erreur. Ces problèmes sont survenus suite à une mise à jour des signatures d'application déployée entre le 24 et le 25 janvier 2025. Les appareils affectés affichent des symptômes variés, notamment des délais d'attente de passerelle 504 et une utilisation élevée du processeur. Seuls les pare-feu USG FLEX ou ATP Series avec des licences de sécurité actives sont concernés, tandis que ceux sur la plateforme Nebula ou la série USG FLEX H ne le sont pas. Pour résoudre le problème, un accès physique au pare-feu est nécessaire, impliquant l'utilisation d'un câble série RS232. Zyxel a fourni des étapes détaillées pour la récupération et recommande aux administrateurs de les examiner attentivement. De plus, une session de questions-réponses sera organisée le 25 janvier pour aider les clients.
Sources :
Microsoft va abandonner la synchronisation des pilotes WSUS dans 90 jours
Microsoft a annoncé que la synchronisation des pilotes dans Windows Server Update Services (WSUS) sera dépréciée le 18 avril 2025, soit dans 90 jours. Cette décision, initialement communiquée en juin 2024, incite les administrateurs à adopter des services de pilotes basés sur le cloud. Les pilotes resteront disponibles sur le catalogue Microsoft Update, mais ne pourront plus être importés dans WSUS. Les entreprises devront se tourner vers des solutions alternatives, telles que les paquets de pilotes ou des services cloud comme Microsoft Intune et Windows Autopatch. En septembre, Microsoft avait déjà indiqué que WSUS ne recevrait plus de nouvelles fonctionnalités, bien qu'il continue de publier des mises à jour et de maintenir les capacités existantes. WSUS, introduit en 2005, permet aux administrateurs informatiques de gérer et de distribuer des mises à jour pour les produits Microsoft sur des réseaux d'entreprise. Après sa dépréciation, Microsoft encourage les entreprises à adopter des solutions cloud pour la gestion des mises à jour des clients et des serveurs. Cette transition marque un tournant vers des technologies plus modernes et flexibles pour la gestion des mises à jour.
Sources :
Des vulnérabilités non corrigées existent dans le thème et le plugin RealHome
Les administrateurs de sites WordPress utilisant le thème RealHome et le plugin Easy Real Estate doivent sécuriser leurs sites en raison de plusieurs vulnérabilités non corrigées. Des chercheurs de Patchstack ont identifié deux failles critiques : la première, CVE-2024-32444, permet une élévation de privilèges en raison d'un manque de vérification nonce, permettant à des utilisateurs non autorisés de créer des comptes administrateurs. La seconde, CVE-2024-32555, concerne le plugin Easy Real Estate, où une faille dans la fonction eresocialregister() permet à un attaquant non authentifié de se connecter en tant qu'administrateur simplement avec l'adresse e-mail, sans mot de passe. Ces vulnérabilités ont été découvertes dans la version 4.3.3 du plugin, et bien que signalées aux développeurs d'InspiryThemes, aucune correction n'a été apportée jusqu'à présent. Les chercheurs conseillent aux utilisateurs de désactiver le thème RealHome et le plugin Easy Real Estate jusqu'à ce que des versions corrigées soient disponibles. Ils recommandent également de restreindre la création de comptes utilisateurs et de mettre en place un filtrage strict des entrées utilisateur pour renforcer la sécurité des sites.
Sources :
Fuite de données à la Fédération Française de Tir à l’Arc
Le 20 janvier 2025, la Fédération Française de Tir à l’Arc (FFTA) a annoncé une fuite de données personnelles survenue début janvier, causée par une faille de sécurité chez son prestataire gérant les espaces licences et dirigeants. Bien que la FFTA elle-même n'ait pas été directement touchée, des données sensibles de licenciés, telles que noms, prénoms et photos de profil, ont été compromises. Les mots de passe, protégés par chiffrement, n'ont pas été affectés, mais la Fédération prévoit une réinitialisation des accès pour plus de sécurité. Cet incident souligne les risques liés à l'externalisation des données personnelles. En réponse, la FFTA et son prestataire ont rapidement identifié et neutralisé la faille, supprimé le fichier malveillant et lancé un audit de sécurité externe pour prévenir de futures menaces. Conformément au Règlement Général sur la Protection des Données (RGPD), la FFTA a informé la CNIL de l'incident et a mis en place une adresse de contact dédiée pour répondre aux préoccupations des licenciés, afin de maintenir la confiance et offrir un soutien personnalisé.
Sources :
La faille Starlink de Subaru a permis aux pirates de détourner des voitures aux États-Unis et au Canada
Des chercheurs en sécurité ont découvert une vulnérabilité dans le service Starlink de Subaru, permettant à des attaquants de prendre le contrôle de véhicules aux États-Unis, au Canada et au Japon en utilisant simplement un numéro de plaque d'immatriculation. Cette faille, révélée par le chasseur de bugs Sam Curry et le chercheur Shubham Shah, a été identifiée le 20 novembre 2024. Elle offrait un accès illimité aux comptes et véhicules des clients, nécessitant seulement des informations personnelles telles que le nom de famille et le code postal. Les conséquences d'une exploitation réussie incluaient la possibilité de démarrer, arrêter, verrouiller ou déverrouiller à distance un véhicule, ainsi que de récupérer son historique de localisation sur un an. La vulnérabilité provenait d'un point de terminaison API "resetPassword.json", permettant aux employés de Subaru de réinitialiser des comptes sans confirmation. Bien que Curry ait pu contourner une authentification à deux facteurs, Subaru a corrigé la faille dans les 24 heures suivant le rapport des chercheurs, sans qu'aucune exploitation malveillante ne soit signalée. Cette découverte fait écho à une faille similaire trouvée dans le portail des concessionnaires Kia.
Sources :
Les pirates informatiques utilisent le détournement Windows RID pour créer un compte administrateur caché
Un groupe de hackers nord-coréen, identifié comme Andariel, utilise une technique appelée RID hijacking pour créer des comptes administrateurs cachés sur les systèmes Windows. Cette méthode consiste à modifier l'identifiant relatif (RID) d'un compte à faible privilège pour qu'il soit reconnu comme un compte administrateur par le système. Les attaquants doivent d'abord accéder à la base de données de sécurité (SAM) du système, ce qui nécessite un accès de niveau SYSTEM, généralement obtenu en exploitant une vulnérabilité. Une fois l'accès obtenu, Andariel crée un compte utilisateur local caché en ajoutant un caractère '$' à la fin du nom, rendant le compte invisible via la commande "net user". Ensuite, ils effectuent le RID hijacking pour élever les privilèges de ce compte. Les chercheurs d'AhnLab recommandent aux administrateurs de systèmes de surveiller les tentatives de connexion et les modifications de mots de passe, de restreindre l'utilisation d'outils comme PsExec et JuicyPotato, et de protéger tous les comptes avec une authentification multi-facteurs. Bien que le RID hijacking soit connu depuis 2018, il reste une méthode efficace pour contourner les mesures de sécurité.
Sources :
Un pirate informatique infecte 18 000 « script kiddies » avec un faux générateur de malware
Un acteur malveillant a ciblé des hackers peu expérimentés, appelés "script kiddies", en leur proposant un faux constructeur de malware qui a secrètement infecté leurs appareils avec un accès à distance (backdoor) pour voler des données et prendre le contrôle des ordinateurs. Selon un rapport de CloudSEK, environ 18 459 dispositifs ont été infectés, principalement en Russie, aux États-Unis, en Inde, en Ukraine et en Turquie. Le constructeur, prétendument une version trojanisée de XWorm RAT, a été diffusé via des plateformes comme GitHub, Telegram et YouTube. Une fois installé, le malware vérifie s'il s'exécute dans un environnement virtualisé et, s'il est éligible, modifie le registre Windows pour assurer sa persistance. Il enregistre chaque système infecté sur un serveur de commande et de contrôle basé sur Telegram, volant des informations sensibles telles que des tokens Discord et des données de localisation. CloudSEK a réussi à désactiver une partie du botnet grâce à un "kill switch", mais certains appareils restent compromis. Cette situation illustre le fait que même parmi les cybercriminels, la méfiance est de mise, soulignant l'importance de ne jamais faire confiance à des logiciels non signés.
