Fuite massive de données chez AUTOSUR : plus de 12 millions de dossiers exposés - Actus du 23/03/2025
Découvrez les récents incidents de cybersécurité : fuite de données chez Vitalis impactant 202 000 clients, AUTOSUR exposant 12 millions de dossiers, et la première attaque européenne du groupe MirrorFace détectée par ESET Research. Protégez vos données face à ces menaces croissantes !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Fuite massive de données chez Vitalis : plus de 202 000 clients compromis
Le 18 mars 2025, une attaque par injection SQL a permis à un acteur malveillant d'accéder à la base de données de Vitalis, compromettant des informations sensibles telles que noms, adresses électroniques et numéros de téléphone. Environ 136 000 numéros uniques ont été extraits, et les données volées pourraient être revendues sur le dark web ou utilisées pour des fraudes. La fuite a été annoncée anonymement sur un forum de hacking, avec un message invitant les utilisateurs à télécharger la base de données. Bien que certaines données puissent être corrompues ou en doublon, le volume d'informations exploitables reste préoccupant. Vitalis n'a pas encore réagi officiellement à cette brèche. L'article souligne également la technique d'injection SQL, où un pirate peut manipuler des requêtes pour accéder à des informations sans authentification. Par exemple, en modifiant une requête de connexion, un pirate peut contourner les protections. Les conséquences peuvent être graves, allant jusqu'à la prise de contrôle totale du serveur. Pour se prémunir contre de telles attaques, il est recommandé d'utiliser des requêtes préparées, qui isolent les commandes SQL des données fournies par les utilisateurs, renforçant ainsi la sécurité des applications.
Sources :
Fuite massive de données chez AUTOSUR : plus de 12 millions de dossiers exposés
Le 16 mars 2025, AUTOSUR, un acteur majeur du contrôle technique automobile en France, a subi une violation de données significative. Des informations sensibles sur les clients, y compris des noms, adresses et numéros de téléphone, ont été volées et mises en vente sur le darknet pour un montant variant entre 5 000 et 7 500 dollars, avec un paiement en Monero. Cette fuite pose un risque sérieux de fraude et d'usurpation d'identité, notamment à travers le fichier « relances.csv » de plus de 2,9 Go, contenant des millions d'enregistrements sur les relances commerciales. Les premières analyses indiquent que l'intrusion pourrait résulter d'une faille de sécurité dans une application interne d'AUTOSUR. Les conséquences pour les clients pourraient être graves, allant de l'usurpation d'identité à la revente des données par d'autres cybercriminels. L'Autorité de protection des données personnelles (CNIL) pourrait intervenir pour vérifier la conformité d'AUTOSUR au RGPD, tandis qu'une enquête judiciaire pourrait être lancée pour identifier les responsables de cette cyberattaque. Cette situation s'inscrit dans un contexte plus large de fuites de données récurrentes en France, soulevant des préoccupations croissantes en matière de cybersécurité.
Sources :
- https://www.zataz.com/fuite-massive-de-donnees-chez-autosur-plus-de-12-millions-de-dossiers-exposes/
ESET Research détecte la première attaque européenne du groupe MirrorFace
Les chercheurs d'ESET ont révélé une campagne de cyberespionnage orchestrée par le groupe APT MirrorFace, lié à la Chine, ciblant un institut diplomatique d'Europe centrale en rapport avec l'Expo 2025 à Osaka. C'est la première fois que ce groupe, connu pour ses attaques contre des entités japonaises, s'attaque à une cible européenne. Nommée Operation AkaiRyū, cette campagne a été détectée entre juin et septembre 2024. MirrorFace a modernisé ses outils, utilisant le malware ANEL, associé à APT10, et une version modifiée d'AsyncRAT pour éviter la détection. Les attaquants ont mis en place des techniques de phishing ciblé, exploitant des interactions légitimes avec une ONG japonaise pour inciter les victimes à ouvrir des pièces jointes malveillantes. ESET a observé que MirrorFace a également utilisé des applications légitimes pour installer discrètement ses malwares. Bien que les chercheurs aient collaboré avec l'institut touché pour analyser les conséquences de l'attaque, ils n'ont pas pu déterminer si des données avaient été exfiltrées. Les résultats de cette enquête ont été présentés lors de la Joint Security Analyst Conference en janvier 2025, soulignant l'évolution des tactiques de MirrorFace.
Sources :
Elastic Security Labs découvre que des pirates utilisent des pilotes malveillants pour contourner la sécurité
Elastic Security Labs a identifié une campagne de ransomware MEDUSA utilisant un pilote malveillant nommé ABYSSWORKER, qui est installé sur les ordinateurs des victimes pour désactiver les systèmes de sécurité et éviter la détection. Cette méthode, déjà observée dans des campagnes antérieures, souligne la sophistication croissante des groupes de rançongiciels et leur capacité à contourner les protocoles de sécurité traditionnels. Le rançongiciel MEDUSA est déployé via un chargeur HEARTCRYPT, associé à un pilote signé par un certificat révoqué d'un fournisseur chinois. Ce pilote cible et neutralise divers fournisseurs de solutions de détection et de réponse aux menaces (EDR). Bien que ce pilote ait été signalé précédemment par ConnectWise, il est utilisé par un groupe spécifique de rançongiciels, et d'autres groupes pourraient disposer d'outils similaires. Le fait que le logiciel malveillant soit « signé » lui permet de passer pour un fichier fiable, contournant ainsi les vérifications de sécurité. Il est probable que le matériel de signature ait été volé à une source légitime, ce qui pose un risque supplémentaire pour de nombreuses entreprises, souvent inconscientes de cette menace. Une analyse plus approfondie est disponible via Elastic Security Labs.
Sources :
Fuite de données chez Intersport : ce que les clients doivent savoir
Intersport a récemment annoncé une fuite de données, précisant que les informations sensibles telles que les données bancaires et les mots de passe n'ont pas été compromises. Dans un communiqué, la société a averti ses clients qu'ils pourraient recevoir des e-mails frauduleux se faisant passer pour la marque. En réponse à cette situation, Intersport a immédiatement renforcé la sécurité de son système, notamment en demandant à ses utilisateurs de modifier leur mot de passe sur le site intersport.fr. Bien que les données bancaires soient sécurisées, des informations personnelles comme les noms, adresses et adresses électroniques ont été exposées, augmentant les risques de phishing et de vol d'identité. La fuite a été révélée après qu'un hacker a annoncé avoir accédé à des données sur le forum Breached, incluant des informations de clients et des détails de paiements via Paypal. Selon des sources, le pirate aurait accédé à un FTP d'Intersport, exploitant des données sensibles. Deux ans plus tard, des données d'Intersport ont de nouveau été divulguées par un groupe de hackers. ZATAZ.COM rappelle l'importance de ne jamais partager d'informations sensibles par e-mail et de surveiller régulièrement ses comptes bancaires.
Sources :
ChatGPT et DeepSeek peuvent produire un logiciel espion si on sait comment leur demander
Un rapport de Cato Networks, publié le 18 mars, révèle que des hackers exploitent des chatbots d'intelligence artificielle pour créer des logiciels malveillants, notamment un infostealer, un programme de vol de mots de passe. Normalement, les IA sont conçues pour refuser de telles requêtes, mais les chercheurs ont contourné ces protections grâce à une technique de jailbreaking appelée « Immersive World ». En créant un univers fictif où la conception de malware est considérée comme une discipline académique, l'IA ne perçoit plus les demandes comme suspectes et fournit les éléments nécessaires à la création d'un logiciel malveillant. Ce processus a été testé avec succès sur des gestionnaires de mots de passe de Google, confirmant l'efficacité de la méthode. Vitaly Simonovich, chercheur chez Cato Networks, souligne l'insuffisance des garde-fous actuels des IA génératives et l'urgence de renforcer leur sécurité face à des techniques sophistiquées comme celle-ci. Les infostealers, souvent dissimulés dans des emails de phishing, représentent une menace croissante pour la cybersécurité. Cato Networks a alerté plusieurs entreprises, dont Microsoft et Google, sur cette vulnérabilité, mais seule Microsoft a répondu.
Sources :
Coinbase initialement ciblé dans les actions de GitHub Attaque de la chaîne d'approvisionnement; 218 Secrets CI / CD des référentiels exposés
Le 14 mars 2025, un rapport de Palo Alto Networks Unit 42 a révélé une compromission de l'action GitHub "tj-actions/changed-files", exploitant le flux CI/CD d'un projet open source, agentkit. Cette attaque de la chaîne d'approvisionnement a permis d'injecter du code malveillant, entraînant la fuite de secrets sensibles de 218 dépôts GitHub, dont des identifiants pour DockerHub, npm et AWS. Bien que l'ampleur initiale de l'attaque ait semblé alarmante, l'analyse a montré que la majorité des secrets exposés étaient des GITHUB_TOKENs temporaires. L'attaque a été facilitée par l'exploitation de la vulnérabilité CVE-2025-30154, permettant à l'attaquant d'obtenir un jeton d'accès personnel (PAT) lié à "tj-actions/changed-files". Des mesures de dissimulation ont été prises par l'attaquant, y compris l'utilisation de comptes GitHub temporaires. Bien que l'objectif final de la campagne reste incertain, il est fortement suspecté qu'il s'agissait de gains financiers, potentiellement liés au vol de cryptomonnaies, en raison de la cible spécifique de Coinbase. GitHub a déclaré qu'il examinait activement la situation et prenait des mesures appropriées. Les utilisateurs sont conseillés de vérifier les actions GitHub avant de mettre à jour leurs versions.
Sources :
Ces 7 backdoors légendaires qui ont marqué l’histoire de l’informatique, parfois pour le pire
L'administration Clinton a introduit le projet de « puce Clipper », marquant le début d'un débat sur la surveillance et la sécurité qui perdure depuis trois décennies. En 1999, une controverse a émergé autour de la variable _NSAKEY, découverte dans certaines versions de Windows, suggérant une porte dérobée pour l'accès aux données. Cette situation a été interprétée comme une tentative de la NSA de corriger une vulnérabilité face à des attaques spécifiques. En 2013, des révélations médiatiques ont mis en lumière les pratiques de surveillance des entreprises technologiques, notamment Cisco et Huawei, mais aussi BlackBerry et Apple, qui ont des approches divergentes concernant la coopération avec les autorités. L'acquisition de Crypto AG par les États-Unis dans les années 1970 a également été évoquée, soulignant les efforts secrets pour contrôler les communications cryptées. Ces événements illustrent les tensions entre la sécurité nationale et la vie privée, un dilemme qui reste d'actualité dans le paysage technologique moderne. Les enjeux de la surveillance, de la cryptographie et de la coopération entre entreprises et gouvernements continuent de susciter des débats passionnés.
