Fausses étoiles sur GitHub : l'illusion des classements truqués - Actus du 31/12/2024
Découvrez comment 3,1 millions de fausses étoiles faussent GitHub, la nouvelle règle du DOJ sur les données sensibles, et les cyberattaques pro-russes ciblant Nice et Pau. Plongez dans notre analyse complète pour comprendre ces enjeux cruciaux de cybersécurité et de données.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Plus de 3,1 millions de fausses « étoiles » sur les projets GitHub utilisées pour améliorer les classements
GitHub fait face à un problème croissant d'étoiles inauthentiques, utilisées pour gonfler artificiellement la popularité de dépôts, notamment ceux liés à des arnaques et à la distribution de logiciels malveillants. Ces étoiles, semblables aux "J'aime" sur les réseaux sociaux, influencent le classement des projets sur la plateforme. Une étude récente menée par des chercheurs de Socket, de l'Université Carnegie Mellon et de l'Université d'État de Caroline du Nord a révélé que 4,5 millions d'étoiles sur GitHub pourraient être fausses. En utilisant un outil nommé 'StarScout', les chercheurs ont analysé 20 To de données pour identifier ces étoiles inauthentiques, en se basant sur des modèles d'activité d'utilisateurs suspects. Ils ont identifié 3,1 millions d'étoiles suspectes attribuées par 278 000 comptes à 15 835 dépôts. Environ 91 % des dépôts concernés ont été supprimés d'octobre 2024. L'étude souligne que l'activité des étoiles fausses a augmenté en 2024, affectant la confiance des utilisateurs dans la plateforme. Les utilisateurs sont encouragés à évaluer la qualité des dépôts au-delà des étoiles, en examinant l'activité et le contenu des projets. GitHub est en train de renforcer ses efforts pour lutter contre ce phénomène.
Sources :
Une nouvelle règle du ministère américain de la Justice met un terme aux transferts massifs de données vers des pays ennemis afin de protéger la vie privée
Le Département de la Justice des États-Unis (DoJ) a publié une règle finale pour mettre en œuvre l'Ordre Exécutif 14117, interdisant le transfert massif de données personnelles des citoyens vers des pays jugés préoccupants, tels que la Chine, Cuba, l'Iran, la Corée du Nord, la Russie et le Venezuela. Selon Matthew G. Olsen, procureur général adjoint, cette règle vise à protéger les données sensibles des Américains contre l'exploitation par des puissances hostiles. Signé par le président Joe Biden en février 2024, l'ordre exécutif répond aux risques nationaux liés à l'accès non autorisé aux données personnelles et gouvernementales, qui peuvent être utilisées pour des activités malveillantes, y compris l'espionnage. Le DoJ souligne que ces pays peuvent utiliser ces données pour surveiller des dissidents et restreindre les libertés civiles. La règle, qui entrera en vigueur dans 90 jours, définit des transactions interdites et restreintes, établit des seuils pour les données sensibles et prévoit des sanctions civiles et pénales. Elle couvre plusieurs catégories de données, mais ne impose pas de localisation des données ni n'interdit aux citoyens américains de mener des recherches dans ces pays.
Sources :
Les sites de plusieurs villes (Nice, Pau) attaqués par des hackers pro-russes
Le 31 décembre, le groupe hacktiviste pro-russe Noname057(16) a mené des cyberattaques ciblant plusieurs sites municipaux en France, dont celui de Nice, qui est resté inaccessible pendant un certain temps. Le maire de Nice, Christian Estrosi, a signalé l'incident à l'ANSSI. D'autres villes comme Pau, Marseille, Montpellier, Tarbes et Nîmes ont également été touchées, mais leurs sites ont rapidement retrouvé leur fonctionnalité. Ces attaques, qualifiées de symboliques et sans dégâts, visent principalement à harceler les cibles, sans compromettre les données ou l'infrastructure des réseaux. La méthode utilisée, connue sous le nom d'attaque par déni de service (DDoS), consiste à inonder un site de requêtes simultanées, rendant le serveur incapable de répondre. Bien que ces attaques soient gênantes, leur impact reste limité et souvent imperceptible. Les hacktivistes semblent se réjouir de la simple panne des sites, considérée comme une victoire symbolique. En somme, ces actions illustrent la stratégie de Noname057(16) qui s'attaque aux pays perçus comme ennemis de la Russie, sans causer de dommages significatifs.
Sources :
Virement instantané gratuit : ce qui change en 2025
Le 26 février 2024, le Conseil de l’Union européenne a annoncé que, dès le 9 janvier 2025, les banques devront proposer des virements instantanés sans frais supplémentaires. Ces virements, qui permettent des transferts d’argent en moins de 10 secondes, fonctionneront 24/7, contrairement aux virements SEPA classiques souvent soumis à des frais. En 2022, 95 % des banques françaises facturent ces virements, ce qui a incité l’UE à intervenir. À partir de janvier 2025, les banques devront offrir ces services au même tarif que les virements traditionnels, rendant ainsi les virements instantanés gratuits. De plus, à partir du 9 octobre 2025, tous les établissements bancaires devront proposer ce service, avec un système de vérification pour éviter les erreurs de transfert. Bien que des exceptions soient possibles jusqu’au 9 avril 2027, il est prévu que la majorité des grandes banques se conformeront à cette nouvelle réglementation. Cette initiative vise à améliorer l’accessibilité et l’efficacité des transactions financières en Europe, mettant fin à la pratique des frais injustifiés pour les virements instantanés. Ainsi, dès 2025, les utilisateurs pourront bénéficier d’un service de transfert d’argent rapide et gratuit.
Sources :
Des violations massives dans le domaine de la santé incitent les États-Unis à revoir leurs règles de cybersécurité
Le Département de la Santé et des Services sociaux des États-Unis (HHS) propose des mises à jour de la loi HIPAA de 1996 pour renforcer la sécurité des données de santé des patients, en réponse à une augmentation alarmante des violations de données dans le secteur de la santé. Ces nouvelles règles de cybersécurité, élaborées par le Bureau des droits civils du HHS, devraient être publiées sous forme de règle finale dans les 60 jours. Elles imposeraient aux organisations de santé d'encrypter les informations de santé protégées, d'implémenter une authentification multifactorielle et de segmenter leurs réseaux pour limiter les mouvements des attaquants. Anne Neuberger, conseillère adjointe à la sécurité nationale, a souligné que ces mises à jour étaient motivées par des attaques par ransomware et des violations massives affectant des hôpitaux. Le coût de mise en œuvre des nouvelles règles est estimé à environ 9 milliards de dollars la première année et plus de 6 milliards sur les quatre années suivantes. La dernière révision des règles de sécurité HIPAA date de 2013, et cette mise à jour vise à protéger les infrastructures critiques et la sécurité des patients, suite à des incidents récents, comme le vol de données de 5,6 millions de personnes chez Ascension.
Sources :
Un APT chinois exploite la clé API de BeyondTrust pour accéder aux systèmes et documents du Trésor américain
Le département du Trésor des États-Unis a signalé un "incident majeur de cybersécurité" impliquant des acteurs menaçants présumés chinois, qui ont pu accéder à distance à certains ordinateurs et documents non classifiés. Le 8 décembre 2024, le Trésor a été informé par son fournisseur de services logiciels, BeyondTrust, qu'un acteur malveillant avait accédé à une clé utilisée pour sécuriser un service cloud permettant un support technique à distance. Grâce à cette clé volée, l'intrus a contourné la sécurité du service et accédé à des postes de travail d'utilisateurs du Trésor. Le département collabore avec l'Agence de cybersécurité et de sécurité des infrastructures (CISA) et le FBI, et les preuves indiquent qu'il s'agit d'un acteur de menace persistante avancée (APT) soutenu par un État chinois. Le Trésor a désactivé le service BeyondTrust et n'a trouvé aucune preuve d'accès continu des intrus. BeyondTrust a également révélé avoir été victime d'une intrusion numérique, permettant aux attaquants d'accéder à une clé API de support à distance. Deux vulnérabilités de sécurité ont été identifiées dans ses produits, l'une étant ajoutée au catalogue des vulnérabilités exploitées de la CISA.
Sources :
Un RBAC Kubernetes mal configuré dans Azure Airflow pourrait exposer l'ensemble du cluster à une exploitation
Des chercheurs en cybersécurité ont identifié trois vulnérabilités dans l'intégration d'Apache Airflow de Microsoft Azure Data Factory, qui pourraient permettre à un attaquant d'exfiltrer des données et de déployer des malwares. Selon Palo Alto Networks, ces failles, bien que classées comme de faible gravité par Microsoft, pourraient donner aux attaquants un accès persistant en tant qu'administrateurs cachés sur l'ensemble du cluster Azure Kubernetes Service (AKS) d'Airflow. Les vulnérabilités incluent une mauvaise configuration des contrôles d'accès RBAC de Kubernetes, un traitement incorrect des secrets du service interne Geneva d'Azure, et une authentification faible pour Geneva. En exploitant ces failles, un attaquant pourrait manipuler des données de journalisation ou envoyer de faux journaux pour masquer ses actions. L'accès initial se fait en téléchargeant un fichier DAG sur un dépôt GitHub privé lié au cluster Airflow. Bien que l'accès obtenu soit limité, une mauvaise configuration permettrait d'accéder à des comptes avec des permissions élevées, permettant ainsi un contrôle total du cluster. Cela souligne l'importance de gérer soigneusement les permissions de service et de surveiller les opérations des services tiers critiques pour prévenir de tels accès non autorisés.
Sources :
Le département du Trésor américain a été piraté via une plateforme d'assistance à distance
Le 30 décembre 2024, le département du Trésor américain a été victime d'une cyberattaque orchestrée par des acteurs menaçants soutenus par l'État chinois, après une violation d'une plateforme de support à distance fournie par BeyondTrust. Le Trésor a été informé de cette intrusion le 8 décembre par son fournisseur. Les attaquants ont utilisé une clé API volée pour réinitialiser des mots de passe et obtenir un accès privilégié aux systèmes. BeyondTrust a identifié deux vulnérabilités critiques qui ont permis cette intrusion. En conséquence, les acteurs ont pu accéder à des ordinateurs du Trésor et voler des documents. Après la détection de la violation, BeyondTrust a fermé toutes les instances compromises et révoqué la clé API volée. Le FBI et la CISA ont assisté à l'enquête, et il n'y a aucune preuve que les attaquants aient encore accès aux systèmes du Trésor. Parallèlement, des acteurs similaires, appelés "Salt Typhoon", ont été liés à des violations de neuf entreprises de télécommunications américaines, incitant la CISA à recommander l'utilisation d'applications de messagerie chiffrées pour protéger les communications. Le gouvernement américain envisage également d'interdire les opérations de China Telecom aux États-Unis.
Sources :
Des pirates exploitent une faille du routeur Four-Faith pour ouvrir des shells inversés
Des hackers exploitent une vulnérabilité de commande à distance post-authentification dans les routeurs Four-Faith, identifiée comme CVE-2024-12856, pour ouvrir des shells inversés vers leurs systèmes. Cette activité malveillante a été détectée par VulnCheck, qui a informé Four-Faith le 20 décembre 2024. Les modèles concernés, F3x24 et F3x36, sont souvent utilisés dans les secteurs de l'énergie, des transports, des télécommunications et de la fabrication. La vulnérabilité est aggravée par le fait que de nombreux appareils utilisent des identifiants par défaut, facilement exploitables. L'attaque commence par l'envoi d'une requête HTTP POST spécialement conçue à l'endpoint '/apply.cgi', manipulant le paramètre 'adjtimeyear' pour exécuter des commandes shell. VulnCheck souligne que ces attaques ressemblent à celles ciblant une vulnérabilité antérieure, CVE-2019-12168. Actuellement, environ 15 000 routeurs Four-Faith exposés à Internet pourraient être vulnérables. Les utilisateurs sont conseillés de mettre à jour leur firmware et de changer leurs identifiants par défaut. VulnCheck a également fourni une règle Suricata pour détecter et bloquer les tentatives d'exploitation de cette vulnérabilité. Les utilisateurs doivent contacter Four-Faith pour des conseils sur la mitigation.
