Fuite de données chez Burger King : 5,6 millions de clients affectés - Actus du 25/10/2024
Découvrez comment une faille d'injection de commandes menace la sécurité Wi-Fi, l'attaque ransomware sur Libération, et les mesures du ministère de la Justice américain contre la pornographie infantile générée par IA. Protection numérique au cœur de l'actualité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des chercheurs découvrent une faille d'injection de commandes dans la suite de tests de la Wi-Fi Alliance
Une vulnérabilité affectant la Wi-Fi Test Suite permettrait à des attaquants locaux non authentifiés d'exécuter du code arbitraire avec des privilèges élevés. Suivie sous le nom CVE-2024-41992, cette faille a été identifiée sur des routeurs Arcadyan FMIMG51AX000J. Selon le CERT Coordination Center (CERT/CC), cette vulnérabilité permet à un attaquant local d'exploiter la Wi-Fi Test Suite en envoyant des paquets spécialement conçus, ce qui donne accès à des commandes avec des privilèges root. La Wi-Fi Test Suite, développée par la Wi-Fi Alliance, est une plateforme intégrée pour tester des composants Wi-Fi, mais son utilisation dans des environnements de production est déconseillée. Un chercheur indépendant, connu sous le pseudonyme "fj016", a découvert cette faille et a fourni un exploit de preuve de concept. Le CERT/CC a averti que l'exploitation réussie de cette vulnérabilité donnerait à l'attaquant un contrôle administratif total sur le dispositif affecté, entraînant des modifications des paramètres système, des interruptions de services réseau critiques et des risques de compromission des données. En l'absence de correctif, il est recommandé aux fournisseurs de retirer la Wi-Fi Test Suite de leurs dispositifs ou de la mettre à jour vers la version 9.0 ou ultérieure.
Sources :
Le quotidien Libération visé par un ransomware
Le quotidien Libération a subi une cyberattaque de type rançongiciel dans la nuit du 24 octobre, perturbant ses opérations. Bien que le site web ait pu publier des articles le 25 octobre, plusieurs outils de rédaction, notamment le logiciel de mise en page du journal papier, sont bloqués. Les détails de l'attaque restent flous, mais des soupçons se portent sur l'utilisation d'une faille de sécurité non publique, un "zero day". La directrice adjointe, Lauren Provost, a recommandé aux employés de travailler à distance et d'éviter le Wi-Fi interne pour prévenir la propagation de logiciels malveillants. Ce type d'attaque n'est pas isolé, le journal La Croix ayant également été ciblé par un ransomware en septembre 2024. Les ransomwares exploitent souvent des failles de sécurité pour infiltrer les systèmes, comme l'a démontré le groupe Hafnium avec Microsoft Exchange en 2021, entraînant des pertes financières considérables pour de nombreuses entreprises. LockBit, un autre groupe de ransomware, a également utilisé des vulnérabilités zero-day pour compromettre des réseaux d'entreprise. Ces incidents soulignent la vulnérabilité croissante des médias et des entreprises face aux cybermenaces.
Sources :
Le ministère américain de la Justice intensifie la lutte contre la pornographie infantile générée par IA
Le ministère américain de la Justice intensifie ses efforts pour lutter contre la pornographie infantile générée par l'intelligence artificielle (IA), en ouvrant deux poursuites pénales en 2024 contre des créateurs d'images d'abus sexuels sur enfants utilisant des technologies deepfake. James Silver, responsable de la cybercriminalité au ministère, a exprimé des inquiétudes quant à la normalisation de ces pratiques, alors que l'IA générative facilite la production de contenu illicite, rendant le travail des forces de l'ordre plus complexe. Le Centre national pour les enfants disparus et exploités (NCMEC) signale environ 450 cas mensuels liés à l'IA générative, soulignant l'ampleur du problème. Les avocats de la sécurité des enfants mettent en garde contre la difficulté d'identifier les véritables victimes d'abus à cause de l'augmentation de ce type de contenu. En plus de la pornographie infantile, le ministère s'inquiète des autres usages malveillants de l'IA, comme les cyberattaques et les escroqueries. Les défenseurs des droits de l'enfant appellent à une réglementation stricte et à la responsabilité des développeurs d'IA pour freiner cette tendance avant qu'elle ne devienne incontrôlable. L'ampleur du défi demeure considérable.
Sources :
Fuite de données chez burger king : 5,6 millions de clients affectés
Une fuite de données chez Burger King a exposé les informations personnelles de 5,6 millions de clients, incluant noms, numéros de téléphone, adresses e-mail, dates de naissance, sexe, commandes et villes de résidence. Cette base de données, qui couvre la période de mai 2018 à août 2024, a été mise en ligne après avoir été repérée par ZATAZ dans des espaces VIP surveillés depuis août 2024. L'attaque semble cibler Burger King Russie et aurait été réalisée via l'application mobile de la chaîne. Selon les informations, la fuite pourrait être liée à une attaque contre la plateforme Mindbox, qui gère les données pour plusieurs entreprises. Burger King a précisé que les détails de paiement n'étaient pas concernés, car ces informations ne sont ni transférées ni stockées par des tiers. Le pirate a déclaré que la fuite totale comprendrait 30 millions d'enregistrements, mais a diffusé un échantillon de 5 millions comme teaser, tandis que le reste serait en vente. Cette situation soulève des préoccupations quant à la sécurité des données personnelles des clients, notamment en ce qui concerne la protection des informations sensibles.
Sources :
Fermeture de « Sipulitie » : un blackmarket venu du froid
Les douanes finlandaises, en collaboration avec une coalition internationale, ont fermé le site darknet « Sipulitie », spécialisé dans la vente de drogues illégales, et saisi ses serveurs. Lancé en février 2023, ce site, qui ciblait principalement les utilisateurs finlandais et anglophones, avait généré un chiffre d'affaires d'environ 1,3 million d'euros. Cette fermeture s'inscrit dans un contexte de répression mondiale des marchés noirs numériques, après la liquidation d'autres plateformes comme « Hydra » en avril 2022. Malgré ces actions, les administrateurs de sites fermés ont souvent relancé de nouvelles plateformes, comme cela a été le cas avec « Sipulimarket » précédemment. Les autorités ont intensifié leurs efforts pour démanteler ces réseaux, avec des arrestations notables, notamment celle du propriétaire de « Incognito Market » à New York et de l'administrateur de « Bohemia/Cannabia » en Europe. La fermeture de « Sipulitie » souligne l'importance de ces opérations dans la lutte contre le trafic de drogues en ligne, bien que de nouveaux sites émergent rapidement pour combler le vide laissé par les plateformes disparues. Les utilisateurs migrent vers des alternatives comme « Solaris », « RuTor » et « WayAway », témoignant de la résilience du marché noir.
Sources :
Apple ouvre le code source du PCC pour permettre aux chercheurs d'identifier les bugs dans la sécurité de l'IA dans le cloud
Apple a récemment lancé son environnement de recherche virtuel, le Private Cloud Compute (PCC) Virtual Research Environment (VRE), permettant à la communauté de recherche d'examiner et de vérifier les garanties de confidentialité et de sécurité de cette technologie. Présenté comme l'architecture de sécurité la plus avancée pour le calcul AI dans le cloud, le PCC vise à traiter des demandes complexes d'Apple Intelligence tout en préservant la vie privée des utilisateurs. Apple invite les chercheurs en sécurité à explorer le PCC et a élargi son programme de récompenses pour inclure des paiements allant de 50 000 à 1 000 000 dollars pour les vulnérabilités découvertes. Le VRE fournit des outils pour analyser le PCC, incluant un processeur Secure Enclave virtuel et un support graphique paravirtualisé. De plus, Apple rend accessible le code source de certains composants via GitHub. Cette initiative survient dans un contexte où des recherches sur l'IA générative révèlent des techniques d'attaque, comme le Deceptive Delight et le ConfusedPilot, qui exploitent les faiblesses des modèles de langage. Ces découvertes soulignent les risques potentiels liés à la sécurité des systèmes d'IA et la nécessité d'une vigilance accrue.
Sources :
Mais qui en veut à la société Oceanet Technology ?
Depuis le 18 octobre 2024, la société Oceanet Technology, filiale du groupe Celeste, subit une série de cyberattaques DDoS visant à perturber ses opérations et celles des sites qu'elle héberge. La première attaque a duré une heure, suivie d'une seconde le lendemain, rapidement résolue grâce à l'efficacité des équipes internes. Le 22 octobre, une nouvelle attaque a été lancée, incitant le groupe à renforcer ses mesures de protection. Une cellule de crise a été constituée pour gérer la situation, avec des mesures techniques mises en place pour atténuer les impacts. Les jours suivants, des attaques brèves ont été détectées et bloquées, montrant que les hackers continuent de tenter de frapper. Les experts s'interrogent sur les motivations derrière ces attaques : visent-elles spécifiquement Oceanet Technology ou l'un de ses clients ? L'arrestation récente de plusieurs vendeurs de services DDoS pourrait pousser certains hackers à tester de nouveaux outils ou à ajuster leurs stratégies. Le groupe Celeste reste vigilant, anticipant d'éventuelles répliques, et maintient ses dispositifs de sécurité actifs jusqu'à la résolution complète de cette crise.
Sources :
Busted : USDoD arrêté au Brésil
Luan G., connu sous le pseudonyme de USDoD, a été arrêté au Brésil pour ses activités de piratage informatique. Ce hacker, âgé de 33 ans, était recherché pour avoir infiltré des institutions sensibles, notamment le FBI et Airbus, et pour avoir divulgué des documents ultra-sensibles. Actif depuis plusieurs années, il avait émergé sur des forums de piratage, notamment Raid Forums et BreachForums, où il avait partagé des fichiers compromettants liés à l'US Air Force. En décembre 2022, il avait exposé les informations de 80 000 membres de la plateforme InfraGard du FBI, et en avril 2024, il avait volé près de 899 millions de numéros de sécurité sociale d'une entreprise américaine spécialisée dans la vérification des antécédents. Malgré des affirmations de ne pas être pro-russe, ses actions ont semé la panique dans le domaine de la cybersécurité. Après que son identité ait été révélée par CrowdStrike, les autorités américaines et brésiliennes ont collaboré pour son arrestation dans le cadre de l'opération « Data Breach ». Luan G. pourrait être extradé vers les États-Unis, où il risque une peine de prison à vie pour ses crimes.
Sources :
Éliminer les menaces de deepfake de l’IA : la sécurité de votre identité est-elle à l’épreuve de l’IA ?
L'intelligence artificielle (IA) a évolué pour devenir une arme redoutable entre les mains de cybercriminels, rendant les attaques par usurpation d'identité de plus en plus fréquentes et sophistiquées. Des incidents récents, tels que le transfert frauduleux de 25 millions de dollars lors d'une visioconférence utilisant des deepfakes, illustrent cette menace croissante. Les outils de détection de deepfake et la formation des utilisateurs, bien que présents, sont insuffisants face à cette nouvelle réalité, car ils reposent sur des solutions probabilistes et la vigilance des utilisateurs. Pour contrer ces attaques, une plateforme de sécurité d'identité conçue pour être sécurisée peut offrir des garanties cryptographiques sur l'identité des utilisateurs, en utilisant des clés d'accès liées aux appareils. Cela inclut la conformité de la sécurité des appareils et une évaluation des risques en temps réel, permettant des décisions d'accès précises. En intégrant des attestations visuelles de sécurité dans les outils de communication, cette approche renforce la confiance des utilisateurs. En somme, une plateforme d'identité sécurisée est essentielle pour prévenir les fraudes par deepfake et d'autres menaces émergentes, en assurant une défense robuste contre les attaques basées sur l'identité.
Sources :
Anonymous Sudan : des pirates englués dans leur business
Le 17 octobre 2024, le FBI a identifié deux leaders présumés du collectif de hackers Anonymous Sudan, Ahmed Salah Yousif Omer et Alaa Salah Yusuuf Omer, accusés d'orchestrer des attaques DDoS, dont une ayant paralysé le réseau interministériel français en mars 2024. Anonymous Sudan, qui se revendique pro-russe et pro-islamiste, a justifié ses actions par des motifs politiques, ciblant notamment la France en raison des caricatures de Charlie Hebdo et des actes d'extrême droite contre la communauté musulmane. Le groupe a établi des alliances avec d'autres collectifs de hackers, tels que Killnet et RCAT, et a perfectionné ses attaques DDoS en utilisant un vaste réseau de botnets. Ces attaques ont touché des entreprises majeures comme Microsoft et des infrastructures critiques, y compris un hôpital à Los Angeles. Le FBI a récemment saisi l'outil DDoS du groupe, qui avait été utilisé pour plus de 35 000 attaques depuis début 2023, révélant ainsi un modèle économique lucratif basé sur la location de leur infrastructure à d'autres cybercriminels. Leur inactivité récente semble liée à l'intensification des enquêtes des autorités.
Sources :
Une nouvelle attaque de grande ampleur cible Cisco : des données sensibles mises en vente par « IntelBroker »
Cisco a récemment subi une cyberattaque majeure orchestrée par le hacker connu sous le nom d'IntelBroker, qui a mis en vente une vaste quantité de données sensibles volées. Ces informations incluent du code source, des identifiants codés en dur, des certificats SSL, ainsi que des projets confidentiels de partenaires de Cisco. IntelBroker a également mentionné la participation de deux autres hackers, EnergyWeaponUser et zjj, et a révélé que des entreprises telles que Microsoft, T-Mobile, Verizon et Barclays ont été touchées. Pour prouver la véracité de ses revendications, IntelBroker a fourni des échantillons de données, y compris des captures d'écran des portails de gestion des clients de Cisco. Ce hacker, déjà connu pour des attaques contre des entités comme General Electric et Europol, semble adopter une stratégie visant à vendre des informations de plus en plus critiques, renforçant ainsi son influence dans le milieu cybercriminel. Cisco mène actuellement une enquête sur l'incident, qui pourrait avoir des conséquences graves pour l'entreprise et ses clients, notamment en facilitant de futures attaques ciblées grâce aux données compromises. Un porte-parole de Cisco a affirmé que la société prend cette menace très au sérieux.
Sources :
La SEC accuse 4 entreprises d'avoir divulgué des informations trompeuses sur la cyberattaque de SolarWinds
La Commission des valeurs mobilières des États-Unis (SEC) a inculpé quatre entreprises publiques, Avaya, Check Point, Mimecast et Unisys, pour avoir effectué des "divulgations matériellement trompeuses" suite à la cyberattaque massive liée au piratage de SolarWinds en 2020. Ces entreprises ont été sanctionnées pour avoir minimisé l'ampleur de l'incident, enfreignant ainsi la loi sur les valeurs mobilières de 1933 et la loi de 1934. Avaya paiera une amende d'un million de dollars, Check Point 995 000 dollars, Mimecast 990 000 dollars et Unisys 4 millions de dollars. Unisys a également été accusée de violations des contrôles et procédures de divulgation. La SEC a souligné que ces entreprises avaient connaissance de l'accès non autorisé des acteurs russes à leurs systèmes, mais ont choisi de minimiser les incidents dans leurs communications publiques. Par exemple, Unisys a qualifié les risques d'intrusion de "hypothétiques", alors qu'elle savait que plus de 33 Go de données avaient été exfiltrés. La SEC a insisté sur le fait que les lois fédérales interdisent les demi-vérités, et que les entreprises doivent fournir des informations précises sur les cyberincidents pour protéger les investisseurs.
Sources :
Blocage judiciaire de sites pornographiques : Une victoire pour la protection des mineurs
Le 17 octobre 2024, la cour d’appel de Paris a ordonné le blocage de plusieurs sites pornographiques, dont xHamster et Tukif, pour non-respect des règles de contrôle d’âge, suite à une action de deux associations de protection de l’enfance. Ces sites ont quinze jours pour se conformer à la loi, tandis que l’Arcom a établi un cadre pour garantir un contrôle d’âge fiable tout en préservant la vie privée. Cette décision vise à protéger les mineurs, qui accèdent chaque mois à des contenus pour adultes en France, souvent dès l’âge de 12 ans. La cour a justifié cette mesure par l’intérêt supérieur de l’enfant, affirmant que la protection des mineurs prime sur d’autres droits, comme la liberté d’expression. Cependant, des sites comme Pornhub et YouPorn, basés à l’étranger, ont échappé au blocage immédiat, invoquant la libre circulation des services au sein de l’UE, une question actuellement examinée par la CJUE. Les associations plaignantes, bien que satisfaites d’une victoire partielle, restent préoccupées par l’influence du lobby pornographique. Cette décision pourrait établir un précédent en France et en Europe pour renforcer la protection des jeunes contre les effets néfastes de la pornographie.
Sources :
Même les auto-écoles ne sont pas à l’abri des pirates
Ornikar, une auto-école en ligne, a récemment confirmé une fuite de données touchant au moins 4 millions d'apprentis conducteurs. Le piratage, orchestré par un individu se faisant appeler "Magouilleur" sur le forum Breached, aurait eu lieu en octobre 2024. Ce cybercriminel a partagé des échantillons de données volées pour prouver l'accès à la base de données d'Ornikar, où des informations sensibles telles que les adresses électroniques, identités, numéros de téléphone, adresses physiques et dates de naissance ont été exfiltrées. Ornikar a rassuré ses clients en précisant que les données bancaires et les mots de passe n'avaient pas été compromis. La société a déclaré l'incident à la CNIL et a mis en place des mesures pour renforcer la sécurité de ses infrastructures. Elle a également averti que les données volées pourraient être utilisées pour des tentatives de phishing, notamment par l'envoi de faux messages ou de faux PV. Bien que le risque de phishing soit présent, il est peu probable que le pirate cible d'anciens élèves ayant déjà obtenu leur permis. Ornikar a rappelé l'importance de suivre les bonnes pratiques en matière de cybersécurité.
Sources :
Elon Musk est-il sous l’influence de Vladimir Poutine ?
Elon Musk, figure complexe et controversée, a récemment opéré un virage idéologique en soutenant Donald Trump et en exprimant son admiration pour des leaders populistes comme Javier Milei, Giorgia Meloni et Jair Bolsonaro. Autrefois défenseur de la liberté d'expression et de la neutralité politique, Musk semble désormais s'engager activement dans la sphère politique américaine. Ses relations avec la Russie suscitent également des inquiétudes, le Wall Street Journal rapportant qu'il maintiendrait des contacts réguliers avec Vladimir Poutine depuis 2022, malgré des déclarations antérieures sur une rupture de communication. Musk, qui a déployé ses satellites Starlink en Ukraine pour soutenir les États-Unis, pourrait avoir des intentions ambiguës, rendant ses liens avec le Kremlin d'autant plus préoccupants. Son influence, grâce à SpaceX et Starlink, lui confère un pouvoir considérable, capable de changer le cours de conflits ou de diffuser des informations. Actuellement, il utilise Twitter pour promouvoir Trump, espérant que son retour au pouvoir contrera les politiques de Kamala Harris. Cette situation soulève des questions sur la dépendance du gouvernement américain à l'égard des technologies de Musk et sur les implications de son engagement politique.
Sources :
Des appareils QNAP, Synology et Lexmark piratés lors du troisième jour de Pwn2Own
Le troisième jour de Pwn2Own Ireland 2024 a été marqué par la découverte de 11 nouvelles vulnérabilités zero-day, portant le total à 114 et le prix total à 874 875 $. Ce concours mondial de hacking met en compétition des chercheurs en sécurité qui exploitent divers dispositifs pour remporter le titre de "Master of Pwn" et jusqu'à 1 million de dollars en récompenses. Les équipes Viettel Cyber Security, DEVCORE et PHP Hooligans/Midnight Blue ont particulièrement brillé. Viettel a réussi à exploiter un NAS QNAP avec une injection de commande, gagnant 10 000 $ et 4 points. DEVCORE a combiné plusieurs exploits pour prendre le contrôle d'un Synology BeeStation, remportant 20 000 $ et 4 points. PHP Hooligans a réalisé un "SOHO Smashup" en passant d'un routeur QNAP à une imprimante Lexmark, gagnant 25 000 $ et 10 points. Cependant, certaines tentatives ont échoué en raison de collisions, où des équipes ont utilisé les mêmes vulnérabilités. Malgré ces défis, Viettel Cyber Security mène le classement avec une avance significative. Le concours se dirige vers sa phase finale, avec encore plus de 125 000 $ à gagner.
Sources :
L'organisme de surveillance irlandais inflige une amende record de 310 millions d'euros à LinkedIn pour violation du RGPD
L'autorité irlandaise de protection des données a infligé à LinkedIn une amende de 310 millions d'euros pour violation de la vie privée de ses utilisateurs, en raison de l'analyse comportementale de leurs données personnelles à des fins publicitaires ciblées. L'enquête a révélé que LinkedIn n'avait pas respecté plusieurs principes du Règlement général sur la protection des données (RGPD), notamment en ne demandant pas le consentement explicite des utilisateurs avant de traiter leurs données. La décision de l'Autorité de protection des données (DPC) souligne l'importance de la transparence et de l'équité dans le traitement des données personnelles. LinkedIn a trois mois pour se conformer aux exigences du RGPD. Le DPC a précisé que le consentement doit être libre, spécifique et informé, et que le traitement des données doit se faire de manière équitable. En réponse, LinkedIn a déclaré qu'il travaillait à aligner ses pratiques publicitaires sur cette décision. Par ailleurs, l'organisation autrichienne noyb a déposé une plainte contre Pinterest pour avoir utilisé des "intérêts légitimes" pour suivre les utilisateurs sans leur consentement, ce qui soulève des préoccupations similaires concernant la conformité au RGPD.
Sources :
UnitedHealth affirme que les données de 100 millions de personnes ont été volées suite à une violation de Change Healthcare
UnitedHealth a confirmé que plus de 100 millions de personnes ont vu leurs données personnelles et de santé volées lors d'une attaque par ransomware sur Change Healthcare, marquant ainsi la plus grande violation de données dans le secteur de la santé ces dernières années. En mai, le PDG d'UnitedHealth, Andrew Witty, avait déjà évoqué une exposition potentielle d'un tiers des données de santé américaines. L'attaque, survenue en février, a été menée par le groupe de ransomware BlackCat, qui a exploité des identifiants volés pour pénétrer le service d'accès à distance de Change Healthcare, qui ne disposait pas d'authentification multi-facteurs. Environ 6 To de données ont été dérobées, incluant des informations sensibles telles que des données d'assurance santé, des dossiers médicaux, et des informations personnelles comme des numéros de sécurité sociale. UnitedHealth a admis avoir payé une rançon de 22 millions de dollars pour récupérer un déchiffreur, mais les problèmes ont persisté, avec des fuites de données supplémentaires. Les pertes financières liées à cette attaque sont estimées à 2,45 milliards de dollars pour les neuf premiers mois de 2024. Cette situation soulève des préoccupations quant à la sécurité des données dans le secteur de la santé.
Sources :
Apple crée une machine virtuelle de calcul en cloud privé pour permettre aux chercheurs de trouver des bugs
Apple a lancé un environnement de recherche virtuel (VRE) pour permettre aux chercheurs d'explorer et de tester la sécurité de son système Private Cloud Compute (PCC). Ce système, conçu pour le traitement complexe des données d'IA tout en préservant la vie privée des utilisateurs, utilise un chiffrement de bout en bout pour garantir que les données personnelles restent inaccessibles même à Apple. Dans le cadre de cette initiative, Apple a également élargi son programme de récompenses pour les vulnérabilités, offrant jusqu'à 1 million de dollars pour des failles pouvant compromettre la sécurité fondamentale de PCC. Le VRE, accessible au public, permet aux utilisateurs d'inspecter le fonctionnement de PCC et de tester sa sécurité dans un environnement virtuel. Apple a mis à disposition des composants clés du code source, facilitant ainsi l'analyse des exigences de sécurité et de confidentialité. Les chercheurs peuvent également bénéficier de nouvelles catégories de récompenses pour des découvertes liées à la divulgation accidentelle de données ou à des compromissions externes. Apple considère PCC comme l'architecture de sécurité la plus avancée pour le calcul d'IA dans le cloud et espère l'améliorer grâce aux contributions des chercheurs.
Sources :
Henry Schein révèle une violation de données un an après une attaque de ransomware
Henry Schein, un fournisseur de solutions de santé et entreprise du Fortune 500, a révélé une violation de données suite à deux cyberattaques consécutives en 2023 par le groupe de ransomware BlackCat. Plus de 160 000 personnes ont vu leurs informations personnelles compromises. Le 15 octobre, la société a annoncé avoir dû mettre certains systèmes hors ligne pour contenir une cyberattaque qui a affecté ses opérations de fabrication et de distribution. Bien que la nature de l'attaque n'ait pas été précisée, le groupe BlackCat a revendiqué la responsabilité, affirmant avoir volé 35 To de fichiers sensibles. Le 22 novembre, Henry Schein a de nouveau signalé une attaque, le groupe ayant menacé de chiffrer son réseau une troisième fois si une rançon n'était pas payée. Bien qu'il soit incertain si cette menace a été mise à exécution, des données volées ont été publiées sur leur site de fuite. Plus d'un an plus tard, la société a confirmé que 166 432 personnes avaient été touchées. Pour aider les victimes, Henry Schein propose un abonnement gratuit de 24 mois à Experian's IdentityWorksSM pour surveiller l'historique de crédit et détecter les signes de fraude.
Sources :
La mise à jour Windows 11 24H2 KB5044384 corrige les erreurs de fichiers corrompus sfc /scannow
Microsoft a publié la mise à jour cumulative optionnelle KB5044384 pour Windows 11 24H2, qui corrige notamment un bug lié à la commande sfc /scannow, affichant systématiquement des erreurs de fichiers corrompus. Cette mise à jour, destinée aux utilisateurs avancés et aux administrateurs informatiques, comprend vingt-quatre modifications et améliorations, et met à jour Windows 11 24H2 vers la version 26100.2161. Pour l'installer, il suffit de se rendre dans les paramètres de Windows Update et de cliquer sur "Vérifier les mises à jour". Parmi les nouveautés, on trouve la possibilité de désactiver les suggestions de notifications d'applications, un nouveau design pour la boîte de dialogue de mot de passe Wi-Fi, et un raccourci pour le Narrateur. Des corrections ont également été apportées pour des problèmes de connexion web et de détection de scanners. Cependant, un problème persiste pour les joueurs sur appareils Arm, qui ne peuvent pas télécharger Roblox via le Microsoft Store. La mise à jour 24H2, lancée le 1er octobre 2024, a introduit de nombreuses fonctionnalités, mais des problèmes de compatibilité avec certains matériels et logiciels empêchent son installation sur certains appareils.
Sources :
Landmark, l'administrateur des assurances, affirme que la violation de données affecte 800 000 personnes
Landmark Admin, une société de services administratifs pour les assurances, a annoncé qu'une violation de données survenue lors d'une cyberattaque en mai 2024 a touché plus de 800 000 personnes. En tant qu'administrateur tiers pour plusieurs compagnies d'assurance, Landmark a détecté une activité suspecte le 13 mai, ce qui a conduit à la fermeture de ses systèmes informatiques pour contenir l'attaque. Une enquête menée par une entreprise de cybersécurité a révélé que des fichiers contenant des informations personnelles de 806 519 individus avaient été accédés. Les données compromises incluent des noms, adresses, numéros de sécurité sociale, informations financières, et détails sur les polices d'assurance. Landmark a informé que les personnes affectées seront notifiées par courrier des informations spécifiques qui les concernent. L'enquête est toujours en cours, et Landmark continuera à tenir informés les individus concernés si de nouvelles informations émergent. En raison de la nature sensible des données volées, les personnes touchées sont conseillées de surveiller leurs comptes bancaires et rapports de crédit pour détecter toute activité suspecte. À ce jour, aucun groupe n'a revendiqué l'attaque, laissant incertain le type d'attaque subie.
Sources :
L'Irlande inflige une amende de 310 millions d'euros à LinkedIn pour publicité ciblée
LinkedIn a été condamné à une amende de 310 millions d'euros par la Commission irlandaise de protection des données (DPC) pour avoir enfreint les lois de l'Union européenne concernant le traitement des données personnelles à des fins d'analyse comportementale et de publicité ciblée. Cette sanction fait suite à une enquête lancée après une plainte de l'organisation française La Quadrature Du Net. La DPC a constaté que LinkedIn n'avait pas obtenu de consentement valide pour l'utilisation des données de tiers, que ses intérêts légitimes ne prévalaient pas sur les droits des utilisateurs, et que ses justifications contractuelles étaient invalides. De plus, LinkedIn n'a pas fourni suffisamment d'informations sur ses activités de traitement et a violé le principe de loyauté en traitant des données de manière peu compréhensible pour les utilisateurs. La DPC a ordonné à LinkedIn de se conformer aux exigences légales de l'UE et a imposé des amendes administratives. En réponse, un porte-parole de LinkedIn a déclaré que l'entreprise pensait être conforme au RGPD, mais qu'elle allait maintenant travailler à l'amélioration de ses systèmes publicitaires pour respecter cette décision. La DPC publiera ultérieurement les détails complets de ses conclusions.
Sources :
Cisco corrige une faille de sécurité VPN DoS découverte dans des attaques par pulvérisation de mots de passe
Cisco a corrigé une vulnérabilité dans le service VPN d'accès à distance (RAVPN) de son logiciel Adaptive Security Appliance (ASA) et Firepower Threat Defense (FTD), identifiée sous le code CVE-2024-20481. Cette faille permet à un attaquant distant non authentifié de provoquer un déni de service (DoS) en envoyant un grand nombre de requêtes d'authentification VPN, ce qui peut épuiser les ressources de l'appareil affecté. Cisco a signalé que, bien que cette vulnérabilité soit exploitée activement, elle n'a pas été utilisée pour cibler les appareils ASA dans des attaques DoS. La faille est classée CWE-772, indiquant une mauvaise gestion des ressources lors des tentatives d'authentification VPN. D'autres vulnérabilités critiques ont également été identifiées, notamment des injections de commandes dans l'interface de gestion web de Cisco FMC (CVE-2024-20424) et dans Cisco ASA (CVE-2024-20329), ainsi que des identifiants statiques dans certains appareils Firepower (CVE-2024-20412). Cisco recommande aux administrateurs système de patcher immédiatement ces failles et fournit des solutions de contournement via son centre d'assistance technique. Des conseils pour détecter les tentatives d'exploitation sont également inclus dans l'avis de sécurité.
Sources :
Une nouvelle variante du ransomware Qilin.B fait son apparition avec des tactiques de cryptage et d'évasion améliorées
Des chercheurs en cybersécurité ont identifié une version avancée du ransomware Qilin, nommée Qilin.B, qui présente une sophistication accrue et des tactiques d'évasion de détection. Selon la société Halcyon, Qilin.B utilise un chiffrement AES-256-CTR pour les systèmes compatibles, tout en conservant Chacha20 pour les autres. Les clés de chiffrement sont protégées par RSA-4096 avec un remplissage OAEP, rendant la décryption impossible sans la clé privée de l'attaquant. Initialement découvert en 2022, Qilin a évolué d'un code en Golang à Rust. Un rapport de Group-IB a révélé que ce ransomware-as-a-service permet à ses affiliés de conserver 80 à 85 % des paiements de rançon. Les attaques récentes ont ciblé des identifiants stockés dans Google Chrome, marquant un changement par rapport aux attaques de double extorsion habituelles. Qilin.B intègre des mécanismes de chiffrement améliorés et des tactiques d'évasion, comme la suppression des journaux d'événements Windows et la désactivation des services de sauvegarde. La menace des ransomwares continue d'évoluer, comme le montre l'émergence d'outils basés sur Rust, utilisés pour déployer le ransomware Embargo, qui utilise également des techniques d'évasion avancées.
Sources :
Le nouveau crypteur de ransomware Qilin offre un cryptage et une évasion plus forts
Une nouvelle version du ransomware Qilin, nommée 'Qilin.B', a été détectée, présentant des caractéristiques améliorées en matière de cryptage et d'évasion des outils de sécurité. Repérée par les chercheurs de Halcyon, cette variante utilise un schéma de cryptage avancé, combinant AES-256-CTR pour les systèmes modernes et ChaCha20 pour les systèmes plus anciens. Elle intègre également RSA-4096 pour protéger les clés de cryptage, rendant la décryption presque impossible sans la clé privée. Lors de son exécution, Qilin.B modifie le registre Windows pour assurer sa persistance et interrompt plusieurs processus critiques, notamment ceux liés à la sauvegarde et à la sécurité, afin de faciliter le cryptage des données. Les copies de sauvegarde existantes sont supprimées et les journaux d'événements Windows sont effacés pour compliquer l'analyse judiciaire. Ce ransomware cible à la fois les répertoires locaux et les dossiers réseau, générant des notes de rançon pour chaque dossier affecté. Bien que ces fonctionnalités ne soient pas révolutionnaires, leur ajout à une famille de ransomwares déjà redoutée pourrait avoir des conséquences graves. Qilin a été impliqué dans des attaques notables contre des hôpitaux et des entreprises majeures.
