Fuite de données massive sur bounty.chat : 560 000 utilisateurs exposés - Actus du 26/02/2025
Découvrez comment Encrypthub a infiltré 618 organes avec un ransomware, les cinq meilleures pratiques pour sécuriser vos comptes Active Directory, et la fuite de données massive sur bounty.chat exposant 560 000 utilisateurs. Protégez vos informations dès maintenant!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Encrypthub viole 618 organes pour déployer des infostelleurs, un ransomware
EncryptHub, également connu sous le nom de Larva-208, est un acteur malveillant qui a ciblé plus de 618 organisations à l'échelle mondiale depuis le début de ses opérations en juin 2024. Utilisant des techniques de phishing par SMS, par voix et des pages de connexion frauduleuses imitant des produits VPN comme Cisco AnyConnect, les attaquants se font passer pour un support informatique afin de tromper les victimes. Une fois l'accès obtenu, ils installent des logiciels de gestion à distance (RMM) tels que AnyDesk et TeamViewer, permettant un contrôle à distance des systèmes compromis. Ils déploient ensuite des voleurs d'informations comme Stealc et Rhadamanthys pour extraire des données sensibles, notamment celles des gestionnaires de mots de passe. EncryptHub a également mis en place une infrastructure sophistiquée, achetant plus de 70 domaines pour renforcer la crédibilité de ses pages de phishing. Un sous-groupe, Larva-148, aide à la gestion des domaines et à l'hébergement. Prodaft souligne que la sophistication des attaques de EncryptHub, qui utilise des tactiques de social engineering sur mesure, représente une menace sérieuse pour les grandes organisations, rendant la détection et la prévention des attaques particulièrement difficiles.
Sources :
Cinq meilleures pratiques pour sécuriser les comptes de services Active Directory
Les comptes de service Active Directory (AD) sont des cibles privilégiées pour les cyberattaques en raison de leurs privilèges élevés et de leur accès continu aux systèmes critiques. Cet article présente cinq meilleures pratiques pour sécuriser ces comptes et réduire les risques de compromission. Tout d'abord, l'utilisation de comptes de service gérés (MSA) est recommandée, car ils bénéficient de contrôles de permissions stricts via l'AD. Les comptes de service gérés en groupe (gMSA) offrent une fonctionnalité similaire sur plusieurs serveurs. Il est crucial de protéger ces comptes, car les attaquants peuvent les exploiter pour accéder à des systèmes protégés, créer des portes dérobées et déployer des ransomwares. L'application du principe du moindre privilège est essentielle : les comptes ne doivent avoir que les permissions nécessaires pour leurs tâches. Bien que les comptes de service ne soient pas destinés aux connexions interactives avec authentification multi-facteurs (MFA), il est important d'intégrer la MFA lorsque cela est possible. De plus, il est recommandé de surveiller l'activité des comptes de service pour détecter toute anomalie et d'appliquer des politiques de mot de passe robustes pour renforcer la sécurité globale de l'environnement AD. En suivant ces pratiques, vous pouvez mieux protéger votre infrastructure informatique contre les compromissions liées aux comptes de service AD.
Sources :
Fuite de données sur bounty.chat : 560 000 utilisateurs exposés
Une fuite de données massive a touché le site bounty.chat, anciennement coco.gg, exposant plus de 560 000 utilisateurs. Les informations compromises incluent des noms d'utilisateur, adresses e-mail, mots de passe, âge, adresse IP, genre, ville et date de création de compte. Une seconde base de données révèle les utilisateurs bannis avec leurs adresses IP et pseudonymes. Cette fuite, survenue le 14 février 2025, permet aux cybercriminels de mener des attaques ciblées, du phishing et du vol d'identité, mettant ainsi en danger la sécurité des utilisateurs. Les conséquences sont graves, car les données divulguées peuvent être utilisées pour localiser des individus et compromettre d'autres comptes. Face à cette situation, il est crucial que les utilisateurs changent immédiatement leurs mots de passe, évitent la réutilisation d'identifiants et restent vigilants face aux e-mails suspects. L'activation de l'authentification à deux facteurs et la surveillance des connexions suspectes sont également recommandées pour réduire les risques. Les utilisateurs sont encouragés à suivre des services de veille comme ZATAZ Watch pour rester informés des fuites potentielles et protéger leurs données personnelles.
Sources :
Orange frappé par une cyberattaque et un chantage numérique
Orange a récemment été victime d'une cyberattaque majeure ciblant ses opérations en Roumanie, orchestrée par un hacker connu sous le nom de Rey. Ce dernier a réussi à exfiltrer environ 6,5 Go de données sensibles, comprenant 380 000 adresses électroniques, des informations sur des employés, ainsi que des données de partenaires et clients. Bien que l'opérateur affirme que la faille concerne une « application non critique » et n'impacte pas les opérations des clients, l'ampleur des informations divulguées soulève des inquiétudes quant aux conséquences potentielles. Le pirate aurait eu accès aux systèmes d'Orange pendant plus d'un mois avant de procéder à l'extraction des données, ce qui met en lumière les défis de la sécurité informatique. En réponse à cette attaque, Orange a renforcé ses systèmes de défense et a fait appel à CrowdStrike, une entreprise spécialisée en cybersécurité. Cette situation illustre la menace croissante des cyberattaques pour les grandes entreprises et souligne l'importance d'une vigilance constante face à ces risques. Les données volées pourraient avoir des répercussions significatives sur les clients et partenaires d'Orange, accentuant la nécessité d'une protection accrue des informations sensibles.
Sources :
Les journaux de discussion Black Basta Ransomware divulgués révèlent des travaux internes et des conflits internes
Le groupe de ransomware Black Basta a émergé en avril 2022, utilisant QakBot comme vecteur d'attaque. Selon un rapport du gouvernement américain de mai 2024, ce groupe a ciblé plus de 500 entités en Amérique du Nord, en Europe et en Australie, générant au moins 107 millions de dollars en paiements de rançon en Bitcoin d'ici fin 2023. PRODAFT, une entreprise suisse de cybersécurité, a noté que Black Basta est devenu "principalement inactif" en raison de conflits internes, certains opérateurs escroquant des victimes sans fournir de déchiffreur fonctionnel. Des membres clés ont rejoint d'autres opérations de ransomware, comme CACTUS et Akira. Les fuites de données révèlent des détails sur les administrateurs et les affiliations du groupe, notamment l'implication d'un adolescent de 17 ans. Black Basta a également commencé à intégrer l'ingénierie sociale dans ses attaques. Le groupe exploite des vulnérabilités connues et utilise des plateformes de partage de fichiers légitimes pour éviter la détection. Parallèlement, le groupe Ghost a intensifié ses attaques, ciblant des organisations à travers le monde, en utilisant des vulnérabilités dans divers logiciels pour exfiltrer des données et déployer des ransomwares.
Sources :
Généa géante australienne de la FIV violé par un gang de ransomware de termites
Le 26 février 2025, le groupe de ransomware Termite a revendiqué une violation de données chez Genea, l'un des principaux fournisseurs de services de fertilité en Australie. Genea, qui opère depuis 1986, a signalé une "activité suspecte" sur son réseau, révélant par la suite que des données sensibles de patients avaient été volées et publiées en ligne. L'attaque a eu lieu le 31 janvier 2025, lorsque les cybercriminels ont accédé à un serveur Citrix, puis à des systèmes critiques, exfiltrant 940,7 Go de données vers un serveur cloud. Les informations compromises incluent des noms, adresses, numéros de carte Medicare, antécédents médicaux et détails de traitements, mais aucune donnée financière n'a été signalée comme affectée. Genea a obtenu une injonction pour empêcher la diffusion des données volées et collabore avec les autorités australiennes pour enquêter sur l'incident. Le groupe Termite, actif depuis octobre 2023, a déjà ciblé d'autres entreprises à l'échelle mondiale. Cette attaque souligne les risques croissants de cybersécurité dans le secteur de la santé, où des données sensibles sont souvent visées par des cybercriminels. L'enquête est toujours en cours pour évaluer l'ampleur des dommages.
Sources :
GPT 4.5 d'Openai a repéré en bêta Android, lancez imminente
OpenAI s'apprête à lancer son nouveau modèle, GPT-4.5, plus tôt que prévu, comme l'indiquent des références trouvées dans l'application Android de ChatGPT. Actuellement, OpenAI propose plusieurs modèles, ce qui peut prêter à confusion. Pour remédier à cela, le PDG Sam Altman a annoncé une simplification des noms de modèles, avec des versions comme GPT-4.5 et GPT-5. Des utilisateurs ont remarqué une annonce dans la version bêta de ChatGPT, invitant les abonnés Pro à essayer le "GPT-4.5 research preview". Bien que cette fonctionnalité soit accessible uniquement aux abonnés Pro, qui paient 200 $ par mois, cela confirme que le lancement est imminent. En parallèle, des améliorations de l'interface web de ChatGPT sont en cours, avec des fonctionnalités comme la recherche approfondie et des interactions basées sur des images qui seront intégrées dans un nouveau sélecteur de fichiers. Un mode de recherche approfondie permettra à ChatGPT de fournir des rapports détaillés en arrière-plan. Les détails concernant la disponibilité de GPT-4.5 pour d'autres abonnés restent flous, mais OpenAI devrait communiquer davantage d'informations prochainement.
Sources :
SOC 3.0 - L'évolution du SOC et comment l'IA stimule les talents humains
Le SOC 3.0, souvent décrit comme un environnement amélioré par l'IA, permet aux analystes de sécurité de travailler plus efficacement, en passant d'une posture réactive à une approche proactive. Cet article explore comment l'intelligence artificielle peut réduire considérablement la charge de travail et les risques, offrant des opérations de sécurité de classe mondiale. Pour comprendre cette avancée, il est essentiel de retracer l'évolution des SOC, qui ont souffert de processus manuels complexes et de coûts élevés. Dans le SOC 1.0, les analystes devaient suivre des procédures standardisées pour traiter les alertes, ce qui entraînait des goulets d'étranglement et des temps de réponse lents. Les outils SOAR nécessitaient une configuration complexe, et les analystes juniors étaient souvent limités à des tâches de triage de premier niveau. Les nouvelles solutions, comme celles proposées par Exabeam et Securonix, facilitent la corrélation des données et réduisent la complexité des requêtes. L'IA, en intégrant des connaissances en sécurité, aide les analystes à traiter rapidement des volumes massifs de données, tout en maintenant une supervision humaine. Des startups innovantes offrent des plateformes automatisées qui diminuent le temps d'investigation et les coûts associés aux solutions SIEM traditionnelles.
Sources :
Le nouveau Linux Malware «Auto-Color» accorde des pirates à distance Accès à distance aux systèmes compromis
Entre novembre et décembre 2024, des universités et organisations gouvernementales en Amérique du Nord et en Asie ont été ciblées par un malware Linux inédit nommé Auto-Color, selon des recherches de Palo Alto Networks Unit 42. Ce malware, qui permet aux acteurs malveillants un accès à distance complet aux machines compromises, est difficile à éliminer sans logiciel spécialisé. Auto-Color tire son nom du fichier qu'il renomme après installation. Bien que son mode d'infection reste inconnu, il nécessite que la victime l'exécute explicitement sur sa machine Linux.
Le malware utilise diverses techniques pour échapper à la détection, comme des noms de fichiers anodins et des algorithmes de cryptage propriétaires pour masquer ses communications. Une fois lancé avec des privilèges root, il installe une bibliothèque malveillante, "libcext.so.2", et modifie "/etc/ld.preload" pour assurer sa persistance. Si l'utilisateur n'a pas de privilèges root, il tente d'exécuter d'autres actions. Auto-Color peut établir des connexions avec un serveur de commande, permettant aux opérateurs de créer des portes dérobées, collecter des informations système, et même se désinstaller via un kill switch.
Sources :
Trois techniques de fissuration de mot de passe et comment se défendre contre eux
La vulnérabilité des mots de passe face aux attaques par force brute est souvent méconnue des utilisateurs. Ces attaques, menées par des acteurs malveillants utilisant des outils automatisés, consistent à tester systématiquement toutes les combinaisons possibles de mots de passe. Avec l'augmentation de la puissance de calcul abordable, ces méthodes sont devenues plus efficaces, surtout avec des mots de passe faibles. Parmi les outils populaires figurent John the Ripper, L0phtCrack et Hashcat. Un exemple marquant est la violation de données chez T-Mobile en août 2021, où plus de 37 millions de dossiers clients ont été exposés. Pour se défendre, il est crucial de choisir des mots de passe complexes et d'utiliser l'authentification multi-facteurs (MFA). Les administrateurs doivent mettre en place des politiques de verrouillage de compte et auditer régulièrement les mots de passe. Bien que le salage des mots de passe ait réduit l'efficacité des attaques par tables arc-en-ciel, de nombreuses failles subsistent. L'utilisation d'algorithmes de hachage robustes et la rotation régulière des mots de passe sont essentielles. En somme, des mots de passe complexes et des outils comme Specops Policy sont des défenses cruciales contre les techniques avancées de craquage de mots de passe.
Sources :
CERT-UA avertit les attaques UAC-0173 déploiement du DCRAT pour compromettre les notaires ukrainiens
Le CERT-UA, l'équipe de réponse aux urgences informatiques d'Ukraine, a averti d'une recrudescence d'activités d'un groupe criminel organisé, UAC-0173, qui infecte des ordinateurs avec un cheval de Troie d'accès à distance nommé DCRat. Cette vague d'attaques, observée depuis mi-janvier 2025, cible spécifiquement le Notariat d'Ukraine. Les cybercriminels utilisent des courriels de phishing prétendant provenir du ministère de la Justice, incitant les destinataires à télécharger un exécutable hébergé sur le service de stockage Cloudflare R2. Une fois lancé, le malware DCRat est déployé, permettant aux attaquants d'accéder aux systèmes notariaux et d'installer des outils supplémentaires comme RDPWRAPPER pour établir des connexions RDP. D'autres outils, tels que FIDDLER pour intercepter des données d'authentification et NMAP pour le scan réseau, sont également utilisés. Les systèmes compromis servent à envoyer des courriels malveillants pour propager davantage les attaques. Parallèlement, CERT-UA a lié une sous-cluster du groupe de hackers Sandworm à l'exploitation d'une vulnérabilité de sécurité dans Windows, affectant des entreprises en Serbie, en République tchèque et en Ukraine. Ces activités ont été documentées par StrikeReady Labs et Microsoft, qui suit le groupe sous le nom de BadPilot.
Sources :
Le package PYPI malveillant "Automslc" permet les téléchargements de musique deezer 104k + non autorisés
Des chercheurs en cybersécurité ont identifié une bibliothèque Python malveillante sur le dépôt Python Package Index (PyPI), nommée automslc, qui permet des téléchargements non autorisés de musique depuis le service de streaming Deezer. Publiée en mai 2019, cette bibliothèque a été téléchargée plus de 104 000 fois et reste accessible sur PyPI. Selon Kirill Boychenko, chercheur chez Socket, automslc contourne les restrictions d'accès de Deezer en intégrant des identifiants codés en dur et en communiquant avec un serveur de commande et de contrôle externe. Elle permet de se connecter à Deezer, de récupérer des métadonnées de pistes et de télécharger des fichiers audio complets, en violation des conditions d'utilisation de l'API de Deezer. Le package transforme ainsi les systèmes des utilisateurs en un réseau illicite pour le téléchargement massif de musique. De plus, il communique régulièrement avec un serveur distant pour fournir des mises à jour sur l'état des téléchargements. Cette situation expose les utilisateurs à des risques juridiques. Parallèlement, une autre bibliothèque malveillante sur npm a été signalée, capable de voler des phrases mnémotechniques, soulignant l'importance d'audits réguliers des dépendances pour prévenir de telles menaces.
Sources :
L’Ia Au Service de la Protection des Datacenters
L'intelligence artificielle (IA) devient un enjeu stratégique dans la gestion des datacenters, notamment pour prévenir les risques d'incendie liés à des problèmes électriques. Bien que de nombreux datacenters soient équipés de systèmes de protection contre les incendies, ces mesures restent insuffisantes face aux catastrophes qui peuvent survenir, entraînant des conséquences désastreuses pour les entreprises. Une approche réactive aux incidents n'est pas adéquate, car elle expose les exploitants à des risques importants, notamment en matière d'assurance, où les pertes de données sont souvent exclues des garanties. Dans ce contexte, les exploitants de datacenters doivent adopter une démarche prédictive pour anticiper les pannes et réduire les risques d'incendie. Cela implique l'analyse des signaux faibles des armoires électriques et la surveillance continue des équipements. L'IA joue un rôle central dans cette stratégie, permettant de détecter des anomalies telles que des émanations de gaz ou de microparticules. Grâce à des algorithmes intelligents, les techniciens peuvent être alertés en temps réel, facilitant ainsi la maintenance prédictive et évitant des interruptions de service. Ainsi, l'IA ne se limite pas à la gestion énergétique, mais est essentielle pour la protection des infrastructures des datacenters.
Sources :
Google annonce des signatures numériques quantiques pour les KMS cloud
Google a annoncé l'intégration de la résistance quantique dans sa structure de sécurité cloud, en introduisant des signatures numériques résistantes aux quantiques dans ses services Cloud KMS et Cloud HSM. Cette initiative vise à offrir une expérience de sécurité renforcée tant au niveau logiciel que matériel. Selon Jennifer Fernick et Andrew Foster, cette mise à jour permettra de protéger les clés de chiffrement contre les attaques post-quantiques, notamment face aux menaces de type "récolter maintenant, déchiffrer plus tard" (HNDL). Google se conforme aux normes de cryptographie post-quantique (PQC) établies par le National Institute of Standards and Technology (NIST), en intégrant des algorithmes standardisés et en facilitant la migration vers ces nouvelles normes. De plus, Google s'engage à assurer une transparence totale dans ce processus, en rendant ses implémentations logicielles disponibles en open-source via les bibliothèques cryptographiques BoringCrypto et Tink. Cette démarche s'inscrit dans une série d'initiatives de Google pour renforcer la sécurité de ses produits, rejoignant d'autres entreprises comme Apple et Zoom qui adoptent également des solutions de cryptographie post-quantique pour protéger leurs utilisateurs contre les menaces futures.
Sources :
Mise à jour Windows 11 KB5052093 publiée avec 33 modifications et correctifs
Microsoft a publié la mise à jour cumulative de prévisualisation KB5052093 pour Windows 11 24H2 en février 2025, apportant 33 améliorations et corrections de divers problèmes, notamment des bugs liés à SSH et à l'Explorateur de fichiers, ainsi qu'un problème de volume qui passe à 100 % après la sortie du mode veille. Cette mise à jour fait partie du programme mensuel de mises à jour optionnelles non liées à la sécurité, permettant aux administrateurs de tester de nouvelles fonctionnalités avant le déploiement général prévu pour mars 2025. Parmi les corrections notables, on trouve la résolution d'un problème de connexion SSH sur certains PC, l'amélioration des performances de l'Explorateur de fichiers, et la résolution de bugs liés à l'entrée d'URL et au menu contextuel. De plus, la mise à jour corrige des problèmes audio et de reconnaissance de scanners. Les utilisateurs peuvent installer cette mise à jour via les paramètres de Windows Update ou manuellement depuis le Catalogue Microsoft. Cependant, deux problèmes connus persistent, affectant certains composants Citrix et les joueurs de Roblox sur des appareils Arm. Windows 11 24H2 est désormais largement déployé et accessible à tous les utilisateurs.
Sources :
Les mises à niveau de Windows 11 24h2 sont désormais bloquées pour certains utilisateurs d'AutoCAD
Microsoft a mis en place un blocage de mise à jour pour Windows 11 24H2 sur les systèmes utilisant AutoCAD 2022, en raison de problèmes de compatibilité qui empêchent le lancement du programme. Ce problème affecte toutes les versions d'AutoCAD 2022, tandis que les autres versions, comme AutoCAD 2023, 2024 et 2025, fonctionnent normalement et ne bloquent pas l'installation de la mise à jour. Pour éviter des complications sur les PC concernés, Microsoft a instauré un blocage de compatibilité, empêchant la mise à jour vers Windows 11 24H2 via Windows Update. Les administrateurs informatiques peuvent vérifier ce problème connu sous l'identifiant de sauvegarde 56211213 dans les rapports de Windows Update for Business. Les utilisateurs touchés sont également conseillés de ne pas tenter de mettre à jour manuellement leurs PC avec l'outil de création de médias ou l'assistant d'installation de Windows 11 tant que le problème n'est pas résolu. Les utilisateurs de Windows Home ou Pro peuvent vérifier les blocages de sauvegarde dans les paramètres de mise à jour. Microsoft a récemment levé un autre blocage de compatibilité lié à des mises à jour BIOS pour des appareils ASUS, et d'autres blocages ont été appliqués pour diverses configurations ou logiciels incompatibles.
Sources :
CISA ajoute des défauts de Microsoft et Zimbra au catalogue KEV au milieu de l'exploitation active
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté deux vulnérabilités de sécurité à son catalogue des vulnérabilités exploitées (KEV) en raison de preuves d'exploitation active. Les vulnérabilités concernées sont :
- CVE-2024-49035 (score CVSS : 8.7) : une vulnérabilité de contrôle d'accès inapproprié dans Microsoft Partner Center, permettant à un attaquant d'escalader ses privilèges. Cette faille a été corrigée en novembre 2024.
- CVE-2023-34192 (score CVSS : 9.0) : une vulnérabilité de type cross-site scripting (XSS) dans Synacor Zimbra Collaboration Suite (ZCS), permettant à un attaquant distant authentifié d'exécuter du code arbitraire via un script malveillant. Cette vulnérabilité a été corrigée en juillet 2023 avec la version 8.8.15 Patch 40.
Microsoft a reconnu l'exploitation de CVE-2024-49035 dans la nature, sans fournir de détails supplémentaires. Actuellement, aucune exploitation publique de CVE-2023-34192 n'a été rapportée. Les agences du Federal Civilian Executive Branch (FCEB) doivent appliquer les mises à jour nécessaires d'ici le 18 mars 2025 pour sécuriser leurs réseaux. Cette annonce fait suite à l'ajout de deux autres vulnérabilités touchant Adobe ColdFusion et Oracle PLM au catalogue KEV.
Sources :
Ai-je été pwned ajoute 284 millions de comptes volés par des logiciels malveillants infosiner
Le service de notification des violations de données Have I Been Pwned (HIBP) a récemment ajouté plus de 284 millions de comptes compromis par un malware d'information, découverts sur un canal Telegram nommé "ALIEN TXTBASE". Troy Hunt, le fondateur de HIBP, a analysé 1,5 To de journaux de vol d'informations, révélant 284 132 969 comptes affectés, avec 23 milliards de lignes contenant 493 millions de paires uniques de sites web et d'adresses email. En plus des comptes, 244 millions de mots de passe inédits ont été intégrés à la base de données Pwned Passwords, tandis que 199 millions d'autres ont été mis à jour. Hunt a confirmé l'authenticité des données en testant des tentatives de réinitialisation de mot de passe. De nouvelles API permettent désormais aux propriétaires de domaines et aux opérateurs de sites de rechercher des informations sur les comptes compromis. Les utilisateurs réguliers peuvent également vérifier si leurs comptes sont concernés, mais uniquement s'ils sont abonnés aux notifications HIBP. Cette mise à jour vise à aider les organisations à identifier et à prévenir les activités malveillantes. HIBP a précédemment ajouté d'autres violations de données, notamment celles liées à RedLine et Zacks Investment.
Sources :
Firefox continue de manifester le support V2 alors que Chrome désactive les bloqueurs de publicité MV2
Mozilla a réaffirmé son engagement à continuer de supporter les extensions Manifest V2, en parallèle avec Manifest V3, permettant ainsi aux utilisateurs de choisir les extensions qu'ils souhaitent utiliser dans leur navigateur. Manifest V3, développé par Google, vise à renforcer la sécurité des extensions en limitant certaines fonctionnalités, ce qui affecte particulièrement les bloqueurs de publicités, les rendant moins efficaces. Alors que Google désactive les extensions non compatibles avec MV3, des cas notables comme le bloqueur uBlock Origin, qui compte plus de 38 millions de téléchargements, sont concernés. Bien que d'autres navigateurs comme Microsoft Edge et Apple Safari aient adopté MV3, ils ont apporté des modifications pour offrir plus de liberté aux utilisateurs. Mozilla a précisé qu'elle continuerait à supporter les API 'blockingWebRequest' et 'declarativeNetRequest', permettant ainsi aux extensions comme uBlock Origin de fonctionner normalement. Bien que Mozilla n'ait pas précisé la durée de ce soutien, elle a souligné que cela s'inscrit dans son engagement envers le "Principe 5" de son manifeste, qui prône la capacité des individus à façonner leur expérience sur Internet. Cette annonce maintient Firefox parmi les rares navigateurs à offrir cette liberté aux utilisateurs.
Sources :
Microsoft résout le problème d'authentification de l'ID ENTRA causé par le changement DNS
Microsoft a résolu un problème d'authentification lié à Entra ID, causé par un changement DNS qui a entraîné des échecs de résolution pour le domaine autologon.microsoftazuread.sso.com. Cet incident a eu lieu le 25 février 2025, entre 17h18 et 18h35 UTC, affectant l'accès aux services Azure via le SSO transparent et Microsoft Entra Connect Sync. La société a expliqué que, dans le cadre d'un nettoyage visant à supprimer des CNAME IPv6 en double, un domaine essentiel au processus d'authentification a été supprimé, rendant les requêtes d'authentification infructueuses. Microsoft a depuis rétabli le changement DNS, et les services sont désormais pleinement opérationnels. Bien que la société n'ait pas précisé quelles régions ou services Azure ont été touchés, elle a indiqué que la page d'état Azure ne suit que les incidents généralisés. Cet incident n'est pas isolé, car Microsoft a déjà dû faire face à d'autres problèmes de DNS par le passé, notamment en août 2023 et en avril 2021, affectant divers services Azure. La société a promis de fournir plus de détails dans l'heure suivant la mise à jour de la page d'état.
Sources :
Gitvenom attaque abuse des centaines de repos github pour voler la crypto
Une campagne de malware nommée GitVenom exploite des centaines de dépôts GitHub pour tromper les utilisateurs et leur faire télécharger des logiciels malveillants tels que des voleurs d'informations, des chevaux de Troie d'accès à distance (RAT) et des détournements de presse-papiers, dans le but de voler des cryptomonnaies et des identifiants. Selon Kaspersky, GitVenom est actif depuis au moins deux ans, ciblant principalement des utilisateurs en Russie, au Brésil et en Turquie. Les dépôts contiennent de faux projets avec du code malveillant, comme des outils d'automatisation pour Instagram ou des bots Telegram pour gérer des portefeuilles Bitcoin. Les acteurs de la menace utilisent des techniques pour donner une fausse impression d'activité élevée, rendant les dépôts plus crédibles. Les codes malveillants, écrits dans divers langages de programmation, sont conçus pour échapper à la détection. Parmi les outils identifiés, on trouve des voleurs d'informations et des RAT permettant le contrôle à distance. Un cas notable a révélé qu'un portefeuille Bitcoin des attaquants avait reçu 5 BTC, d'une valeur de 500 000 USD. Pour se protéger, il est essentiel de vérifier minutieusement les projets avant d'utiliser leurs fichiers.
Sources :
La mise à jour de Windows 10 KB5052077 corrige les connexions SSH cassées
Microsoft a publié la mise à jour cumulative optionnelle KB5052077 pour Windows 10 22H2, qui corrige neuf problèmes, dont un affectant les connexions SSH. Ce problème, reconnu en novembre, touche un nombre limité de dispositifs sous les éditions entreprise, IoT et éducation, et Microsoft enquête sur une éventuelle incidence sur les éditions Home et Pro. Après l'installation de la mise à jour de sécurité d'octobre 2024, certains utilisateurs ont signalé que le service OpenSSH ne démarrait pas, empêchant ainsi les connexions SSH. La mise à jour KB5052077, qui met à jour les systèmes Windows 10 22H2 vers la version 19045.5555, inclut également des corrections pour le gestionnaire de fenêtres, des paramètres de pays et des problèmes liés à l'IME chinois. Cependant, deux problèmes connus persistent, notamment des difficultés d'installation de la mise à jour de sécurité de janvier 2025 sur certains systèmes Citrix. Bien que Windows 10 atteigne la fin de son support dans moins de sept mois, plus de 60 % des systèmes Windows dans le monde fonctionnent encore sous Windows 10. Les versions LTSC continueront de recevoir des mises à jour après octobre 2025.
Sources :
Nouvelles cibles de porte dérobée Linux de couleur automatique, universités, universités
Un nouveau logiciel malveillant Linux, nommé 'Auto-Color', a été découvert par les chercheurs de Palo Alto Networks entre novembre et décembre 2024, ciblant des universités et des organismes gouvernementaux en Amérique du Nord et en Asie. Ce backdoor, très évasif et difficile à éliminer, maintient un accès prolongé aux systèmes infectés. Bien qu'il présente des similitudes avec la famille de malwares Symbiote, Auto-Color est distinct. L'infection débute par l'exécution d'un fichier déguisé sous des noms anodins tels que "door" ou "log". Si le malware obtient des privilèges root, il installe une bibliothèque malveillante et modifie des fichiers système pour garantir son exécution. Même sans accès root, il permet aux attaquants d'accéder à distance au système. Auto-Color utilise un algorithme de chiffrement personnalisé pour masquer les informations du serveur de commande et de contrôle (C2) et dispose de fonctionnalités de type rootkit pour dissimuler ses connexions. Les chercheurs recommandent de surveiller les modifications de certains fichiers système et d'utiliser des solutions de détection des menaces basées sur le comportement pour se défendre contre cette menace sérieuse.
Sources :
La société de dépistage de drogues américaine dit que la violation des données a un impact sur 3,3 millions de personnes
DISA Global Solutions, une entreprise américaine spécialisée dans le dépistage et les tests de drogue, a subi une violation de données touchant 3,3 millions de personnes. En janvier, la société a d'abord signalé un incident de cybersécurité survenu entre le 9 février et le 22 avril 2024, date à laquelle elle a découvert la brèche. Dans une mise à jour récente, DISA a confirmé que des données sensibles avaient été compromises, bien qu'aucune preuve de diffusion ou d'utilisation abusive n'ait été trouvée. Les informations exposées incluent des noms complets, numéros de sécurité sociale, numéros de permis de conduire, numéros d'identification gouvernementale et informations financières. DISA, qui compte plus de 55 000 clients, dont 30 % des entreprises du Fortune 500, a averti les personnes concernées par le biais de notifications. Bien que la nature de l'attaque n'ait pas été précisée, une notice supprimée suggère que DISA a payé une rançon pour éviter la publication des données volées. Pour atténuer les risques, DISA propose 12 mois de surveillance de crédit gratuite et recommande aux personnes touchées de mettre en place des alertes de fraude et des gels de sécurité sur leurs comptes.
Sources :
Pourquoi les fournisseurs de VPN menacent de quitter la France
Le 24 février, la VPN Trust Initiative (VTI), regroupant des fournisseurs de VPN, a exprimé des inquiétudes concernant des pressions potentielles en France pour bloquer l'accès à des contenus, ce qui pourrait forcer certains VPN à quitter le marché. Christian Dawson, directeur exécutif de la VTI, a souligné que des demandes excessives pourraient compromettre la confidentialité des utilisateurs. Actuellement, des opérateurs français comme Orange et SFR sont souvent impliqués dans des ordonnances judiciaires visant à restreindre l'accès à des sites pirates. Dawson a comparé la situation à celle de l'Inde et du Pakistan, où des réglementations strictes ont conduit à des retraits de services VPN. Une lettre ouverte a été publiée pour s'opposer à ces tentatives de blocage, rassemblant des membres tels que NordVPN et ExpressVPN. Dawson a également noté que les restrictions sur l'infrastructure numérique échouent à résoudre les problèmes de piratage, qui continuent d'augmenter, notamment dans le domaine des retransmissions sportives. Cette déclaration intervient dans un contexte où Canal+ intensifie ses efforts anti-piratage, rappelant le retrait antérieur d'OpenDNS du marché français.
Sources :
La société de dépistage de drogues américaine affirme que la violation des données a eu un impact sur 3,3 millions de personnes
DISA Global Solutions, une entreprise américaine spécialisée dans le dépistage et les tests de drogues, a subi une violation de données touchant 3,3 millions de personnes. En janvier, la société a d'abord signalé un incident de cybersécurité survenu entre le 9 février et le 22 avril 2024, date à laquelle elle a découvert la brèche. Dans une mise à jour récente, DISA a confirmé que des données sensibles avaient été compromises, bien qu'aucune preuve de diffusion ou d'utilisation abusive n'ait été trouvée. Les informations exposées incluent des noms complets, numéros de sécurité sociale, numéros de permis de conduire, numéros d'identification gouvernementale et informations financières. DISA, qui compte plus de 55 000 clients, dont 30 % des entreprises du Fortune 500, a averti les personnes concernées par le biais de notifications. Bien que la nature de l'attaque n'ait pas été précisée, une notice supprimée suggère que DISA a payé une rançon pour éviter la publication des données volées. Pour atténuer les risques, DISA propose 12 mois de surveillance de crédit gratuite et recommande aux personnes touchées de mettre en place des alertes de fraude et des gel des comptes.
