Ghost Tap : des pirates exploitant NFCGate pour voler via des paiements mobiles - Actus du 20/11/2024
Découvrez comment des hackers exploitent les cagnottes de fidélité d'Auchan, inondent Amazon et Audible de listes illégales, et utilisent Ghost Tap pour voler via NFCGate. Un tour d'horizon des menaces numériques actuelles et de leurs répercussions sur le commerce en ligne.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Fuite de données chez Auchan : les cagnottes de fidélité, un juteux business pirate
Auchan a récemment subi une cyberattaque massive, exposant des données personnelles de ses clients, telles que nom, prénom, adresse e-mail, numéro de téléphone et adresse postale. Bien que les mots de passe et les informations bancaires soient restés intacts, cet incident s'inscrit dans une série de violations de données touchant plusieurs entreprises françaises, dont Free et Boulanger. Pour limiter les conséquences, Auchan a renforcé les contrôles sur les cagnottes de fidélité, qui pourraient être détournées en cas d'accès non autorisé aux comptes clients. Les cybercriminels exploitent ces informations pour des attaques de phishing et des escroqueries financières. Auchan conseille à ses clients de changer leurs mots de passe, même s'ils n'ont pas été compromis, de rester vigilants face aux sollicitations suspectes, de surveiller leurs cagnottes de fidélité et d'activer l'authentification à deux facteurs sur leurs comptes en ligne. Les clients doivent également être attentifs aux anomalies dans les communications, car les cybercriminels imitent souvent les entreprises. La manière dont Auchan a détecté cette fuite reste floue, mais cet incident souligne la vulnérabilité croissante des systèmes d'information des grandes organisations en France.
Sources :
Amazon et Audible inondés de listes de « trading forex » et de warez
Amazon et Audible sont inondés de fausses annonces promouvant des sites de "trading forex" douteux et des liens vers des logiciels piratés. Selon BleepingComputer, des acteurs malveillants exploitent les listes de podcasts et de playlists sur ces plateformes pour diriger les utilisateurs vers des sites illicites. Ces annonces, souvent sans contenu audio, visent à améliorer le classement SEO de domaines suspects. Des listings sur Amazon.com et .com.au ont été repérés, proposant des "logiciels de trading" avec des liens externes. Un exemple récurrent est un prétendu "plateforme de trading" nommé EliteMarketMovers, qui redirige vers des chaînes Telegram et YouTube. Bien que le site EliteMarketMovers.com soit inactif, des archives montrent qu'il prétend offrir des produits de trading sans preuve de légitimité. Ce phénomène de spam touche également des services de distribution de podcasts comme Firstory, qui admettent des défis constants pour filtrer le contenu frauduleux. Le co-fondateur de Firstory, Stanley Yu, a déclaré que des ressources importantes sont consacrées à la lutte contre le spam, en collaboration avec les plateformes de streaming pour protéger les créateurs et réduire les coûts opérationnels.
Sources :
Ghost Tap : des pirates informatiques exploitent NFCGate pour voler des fonds via des paiements mobiles
Les acteurs malveillants exploitent une nouvelle technique, nommée Ghost Tap par ThreatFabric, qui utilise la communication en champ proche (NFC) pour siphonner les fonds des victimes à grande échelle. Cette méthode permet aux cybercriminels de retirer de l'argent de cartes de crédit volées associées à des services de paiement mobile comme Google Pay ou Apple Pay, en relayant le trafic NFC. Selon ThreatFabric, les criminels peuvent transmettre les informations de paiement sans avoir besoin de la carte physique ou du téléphone de la victime. Les attaques commencent souvent par l'infection de l'appareil de la victime avec un malware bancaire, qui capture les identifiants et mots de passe. Une fois les détails de la carte en main, les criminels les lient à des services de paiement mobile, puis utilisent un intermédiaire pour effectuer des achats frauduleux. L'outil NFCGate, utilisé pour analyser le trafic NFC, facilite cette opération en relayant les données entre deux appareils. Cette méthode permet aux cybercriminels de rester anonymes et d'effectuer des transactions à distance, rendant la détection des fraudes particulièrement difficile pour les institutions financières et les détaillants.
Sources :
Ford enquête sur une violation présumée suite à une fuite de données client
Ford enquête sur une prétendue violation de données après qu'un acteur malveillant a affirmé avoir divulgué 44 000 dossiers clients sur un forum de hackers. Le groupe, identifié sous le nom de 'EnergyWeaponUser', a également mentionné un complice, 'IntelBroker', impliqué dans cette fuite. Les données divulguées comprennent des informations personnelles telles que noms, adresses, détails d'achats et informations sur les concessionnaires. Bien que ces informations ne soient pas extrêmement sensibles, elles pourraient faciliter des attaques de phishing et d'ingénierie sociale. Les hackers n'ont pas tenté de vendre les données, mais les ont proposées aux membres du forum pour un montant modique. Ford a confirmé qu'elle menait une enquête sur ces allégations. Cependant, le 20 novembre, la société a précisé qu'il n'y avait pas eu de violation de ses systèmes ou de ses données clients. L'incident concernait un fournisseur tiers et un petit lot d'adresses commerciales de concessionnaires disponibles publiquement. Ford a indiqué que la situation était désormais résolue. Les utilisateurs sont conseillés de rester prudents face aux communications non sollicitées et de ne pas divulguer d'informations supplémentaires.
Sources :
Les NHI sont l'avenir de la cybersécurité : découvrez le NHIDR
La fréquence et la sophistication des cyberattaques modernes augmentent, rendant la protection des données sensibles et des infrastructures critiques de plus en plus difficile pour les organisations. D'ici 2025, les identités non humaines (NHIs) deviendront le principal vecteur d'attaque en cybersécurité, en raison de l'automatisation croissante et de l'adoption des technologies IA et IoT. Les NHIs, qui diffèrent fondamentalement des utilisateurs humains, permettent aux attaquants de contourner les outils de sécurité traditionnels. Pour répondre à ces défis, Entro a développé la détection et réponse aux identités non humaines (NHIDR), qui permet aux organisations d'identifier et de réduire proactivement les risques associés aux NHIs. NHIDR établit des modèles comportementaux basés sur des données historiques, surveillant en temps réel les anomalies. En cas d'activité non autorisée, NHIDR déclenche une réponse automatisée, comme la révocation de jetons d'accès, tout en alertant l'équipe de sécurité. Cette approche proactive permet de traiter les menaces dès leur apparition, réduisant ainsi la charge de travail des équipes de sécurité. En révolutionnant la cybersécurité, NHIDR assure une détection en temps réel et une défense proactive, essentielle pour protéger les systèmes critiques.
Sources :
Cyber Resilience Act : Keyfactor rappelle 5 faits majeurs pour se mettre sereinement en conformité
Le 10 octobre 2023, le Conseil de l’Union Européenne a adopté le Cyber Resilience Act (CRA), un règlement imposant des exigences de cybersécurité pour tous les produits numériques, qu'ils soient fabriqués dans l'UE ou à l'étranger. Le CRA vise à intégrer la cybersécurité dès la conception des produits et à garantir des mises à jour automatiques pour assurer leur sécurité tout au long de leur cycle de vie, qui doit s'étendre sur au moins cinq ans après le déploiement. Les fabricants doivent évaluer les risques de cybersécurité, livrer des produits avec une configuration sécurisée par défaut et signaler les incidents à l'Agence de cybersécurité de l'UE (ENISA). En cas de non-conformité, des amendes sévères peuvent être infligées, allant jusqu'à 15 millions d'euros ou 2,5 % du chiffre d'affaires annuel. Chaque État membre désignera des autorités pour surveiller l'application du CRA. Les entreprises doivent se préparer à ces exigences, en s'appuyant sur des partenaires pour renforcer leurs compétences internes. Le CRA représente une avancée significative pour améliorer la cybersécurité et la résilience numérique au sein de l'UE.
Sources :
Glove Stealer fait émerger une nouvelle menace de malware pour les navigateurs
Des chercheurs ont découvert un nouveau malware, nommé Glove, qui cible principalement les navigateurs web en tant que voleur d'informations. Ce malware s'active par le biais de campagnes de phishing, où les utilisateurs sont trompés en téléchargeant des fichiers malveillants. Les attaquants utilisent des techniques similaires aux attaques ClickFix, affichant de fausses fenêtres d'erreur dans des emails de phishing. Une fois le fichier malveillant ouvert, des instructions incitent la victime à télécharger le malware, qui se connecte ensuite à un serveur de commande et contrôle (C&C) pour récupérer le Glove stealer.
Ce malware exfiltre des données des navigateurs, principalement ceux basés sur Chromium, mais il peut également cibler Mozilla Firefox. Fait notable, Glove contourne la nouvelle mesure de sécurité de Google Chrome, l'App-Bound Encryption, mise en place pour prévenir le vol de cookies. En utilisant un module .NET supplémentaire, nommé zagent.exe, Glove parvient à accéder à la clé de chiffrement stockée localement. Ce malware est donc capable de voler des informations sensibles, telles que des mots de passe et des portefeuilles cryptographiques. La vigilance des utilisateurs face aux communications non sollicitées reste essentielle pour se protéger contre de telles menaces.
Sources :
Microsoft lance l'initiative Windows Resiliency pour renforcer la sécurité et l'intégrité du système
Microsoft a lancé une nouvelle initiative de résilience pour Windows visant à améliorer la sécurité et la fiabilité des systèmes. Cette initiative vise à éviter des incidents comme celui de CrowdStrike en juillet dernier, à permettre l'exécution d'applications sans privilèges administratifs, à renforcer le contrôle sur les applications et pilotes non sécurisés, et à offrir des options de chiffrement des données personnelles. Parmi les fonctionnalités clés, la récupération rapide des machines, prévue pour le programme Windows Insider en 2025, permettra aux administrateurs IT de corriger des problèmes à distance, même si les machines ne démarrent pas. De plus, Microsoft introduit des outils de sécurité fonctionnant en mode utilisateur, réduisant ainsi les impacts en cas d'erreur système. D'autres améliorations incluent une sécurité matérielle renforcée pour Windows 11, la protection des administrateurs, le support des clés d'accès dans Windows Hello, et des mises à jour critiques sans redémarrage. Ces changements s'inscrivent dans l'initiative Secure Future de Microsoft, lancée en novembre 2023, qui vise à intégrer la sécurité dans la conception des produits. Enfin, Microsoft élargit son programme de récompenses pour les bugs avec le défi Zero Day Quest, visant à renforcer la recherche en sécurité dans le cloud et l'IA.
Sources :
Des vulnérabilités de sécurité vieilles de plusieurs décennies ont été découvertes dans le package Needrestart d'Ubuntu
Des vulnérabilités de sécurité anciennes ont été découvertes dans le package needrestart, installé par défaut sur Ubuntu Server depuis la version 21.04. Ces failles permettent à un attaquant local d'acquérir des privilèges root sans interaction de l'utilisateur. Identifiées par le Qualys Threat Research Unit, ces vulnérabilités sont faciles à exploiter, ce qui incite les utilisateurs à appliquer rapidement les correctifs. Elles existent depuis l'introduction du support des interprètes dans needrestart 0.8, sorti en 2014. Les failles, qui affectent également Debian et d'autres distributions Linux, permettent une élévation de privilèges locaux (LPE). Les cinq vulnérabilités identifiées incluent des failles permettant l'exécution de code arbitraire en manipulant des variables d'environnement comme PYTHONPATH et RUBYLIB. Les correctifs ont été intégrés dans la version 3.8 de needrestart. Bien qu'il soit recommandé de télécharger les derniers correctifs, les utilisateurs peuvent temporairement désactiver les scanners d'interpréteurs dans le fichier de configuration de needrestart. En exploitant ces vulnérabilités, un attaquant pourrait compromettre l'intégrité et la sécurité du système en accédant aux privilèges root lors des installations ou mises à jour de packages.
Sources :
L'avenir de la sécurité mobile : menaces émergentes et contre-mesures
Avec la montée en puissance des appareils mobiles comme les smartphones et les tablettes, la sécurité mobile devient essentielle. Ces dispositifs contiennent des données sensibles, attirant ainsi les cybercriminels. Les menaces émergentes incluent les menaces persistantes avancées (APTs), qui ciblent de plus en plus les appareils mobiles via des techniques de manipulation sociale et des applications malveillantes. L'introduction des réseaux 5G, bien que prometteuse en termes de vitesse, expose également à de nouveaux risques, tels que des failles de protocole et une augmentation du phishing mobile. De plus, les applications de l'Internet des objets (IoT) peuvent présenter des vulnérabilités, permettant un accès à distance à des fonctions critiques.
Pour contrer ces menaces, l'éducation des utilisateurs est primordiale, tout comme l'utilisation de réseaux privés virtuels (VPN) pour sécuriser les connexions. La mise à jour régulière des solutions de sécurité des points de terminaison et la limitation des permissions des applications sont également des mesures cruciales. À mesure que les appareils mobiles deviennent la plateforme informatique dominante, il est vital pour les entreprises et les particuliers de rester vigilants et proactifs face à la sécurité mobile, en adoptant des pratiques de défense approfondies pour protéger leurs données sensibles.
Sources :
Des pirates informatiques soutenus par la Chine exploitent les protocoles SIGTRAN et GSM pour infiltrer les réseaux de télécommunications
Un nouveau groupe de cyberespionnage lié à la Chine, nommé Liminal Panda par la société de cybersécurité CrowdStrike, est responsable d'une série d'attaques ciblées contre des entités de télécommunications en Asie du Sud et en Afrique depuis 2020. Ce groupe possède une expertise approfondie des réseaux de télécommunications et utilise des outils sur mesure pour accéder clandestinement aux systèmes, contrôler les opérations et exfiltrer des données. Liminal Panda a exploité des serveurs de télécommunications compromis pour s'introduire dans d'autres fournisseurs, utilisant des protocoles de télécommunications mobiles pour faciliter ses intrusions. Bien que certaines activités aient été attribuées précédemment à un autre groupe, LightBasin, CrowdStrike a révélé qu'il s'agissait d'un acteur totalement nouveau. Les outils utilisés incluent SIGTRANslator, CordScan et PingPong, chacun ayant des capacités spécifiques pour interagir avec les infrastructures de télécommunications. Les attaques visent à collecter des informations sur les abonnés et à exploiter les relations de confiance entre les fournisseurs. Ce contexte souligne la vulnérabilité des infrastructures critiques face aux cyberattaques soutenues par des États, illustrant la complexité des relations entre acteurs privés et étatiques dans le cyberespace chinois.
Sources :
Apple publie des mises à jour urgentes pour corriger les vulnérabilités zero-day activement exploitées
Apple a publié des mises à jour de sécurité pour iOS, iPadOS, macOS, visionOS et son navigateur Safari afin de corriger deux vulnérabilités zero-day exploitées activement. Les failles concernent : CVE-2024-44308, une vulnérabilité dans JavaScriptCore pouvant entraîner une exécution de code arbitraire via du contenu web malveillant, et CVE-2024-44309, une faille de gestion des cookies dans WebKit susceptible de provoquer une attaque XSS. Apple a amélioré les vérifications et la gestion des états pour corriger ces problèmes. Bien que les détails sur l'exploitation ne soient pas clairs, Apple a reconnu que ces vulnérabilités "ont pu être exploitées activement sur des systèmes Mac basés sur Intel". Les chercheurs Clément Lecigne et Benoît Sevens de Google TAG ont découvert ces failles, suggérant qu'elles ont été utilisées dans des attaques ciblées par des gouvernements ou des mercenaires. Les mises à jour sont disponibles pour divers appareils, notamment les iPhones et iPads récents, ainsi que pour macOS Sequoia et visionOS. Apple a déjà corrigé quatre zero-days cette année, et il est conseillé aux utilisateurs de mettre à jour leurs appareils rapidement pour se protéger contre d'éventuelles menaces.
Sources :
Oracle met en garde contre une vulnérabilité d'Agile PLM actuellement exploitée activement
Oracle a averti d'une vulnérabilité de haute sévérité affectant le cadre de gestion du cycle de vie des produits Agile (PLM), identifiée sous le code CVE-2024-21287, avec un score CVSS de 7,5. Cette faille peut être exploitée sans authentification, permettant ainsi à des attaquants de divulguer des informations sensibles à distance, sans nécessiter de nom d'utilisateur ou de mot de passe. Les chercheurs en sécurité de CrowdStrike, Joel Snape et Lutz Wolf, ont découvert et signalé cette vulnérabilité. Actuellement, aucune information n'est disponible concernant les auteurs des attaques, les cibles visées ou l'ampleur de ces activités malveillantes. Eric Maurice, vice-président de la sécurité chez Oracle, a précisé qu'un attaquant non authentifié pourrait télécharger des fichiers accessibles selon les privilèges de l'application PLM. Face à cette exploitation active, Oracle recommande aux utilisateurs d'appliquer les derniers correctifs dès que possible pour garantir une protection optimale. The Hacker News a contacté Oracle et CrowdStrike pour obtenir des commentaires et mettra à jour l'article si des réponses sont reçues.
Sources :
Apple corrige deux failles zero-day utilisées dans des attaques sur des Mac à processeur Intel
Apple a publié des mises à jour de sécurité d'urgence pour corriger deux vulnérabilités zero-day exploitées dans des attaques ciblant les systèmes Mac basés sur Intel. Ces failles, identifiées dans les composants JavaScriptCore (CVE-2024-44308) et WebKit (CVE-2024-44309) de macOS Sequoia, permettent respectivement l'exécution de code à distance via du contenu web malveillant et des attaques de type cross-site scripting (CSS). Les correctifs ont été intégrés dans la version 15.1.1 de macOS Sequoia, ainsi que dans les mises à jour d'iOS et d'iPadOS. Les chercheurs Clément Lecigne et Benoît Sevens de Google ont découvert ces vulnérabilités, mais Apple n'a pas fourni de détails sur leur exploitation. En 2024, Apple a corrigé six zero-days, un chiffre bien inférieur aux 20 vulnérabilités résolues l'année précédente. Ces correctifs témoignent d'une amélioration dans la gestion des failles de sécurité par Apple, qui continue de surveiller et de protéger ses systèmes contre les menaces potentielles.
Sources :
La CISA identifie la faille Progress Kemp LoadMaster comme exploitée dans des attaques
La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté trois nouvelles vulnérabilités à son catalogue des vulnérabilités exploitées, dont une faille critique d'injection de commandes OS affectant le Progress Kemp LoadMaster, identifiée sous le code CVE-2024-1212. Découverte par Rhino Security Labs, cette vulnérabilité permet à un attaquant distant non authentifié d'exécuter des commandes système arbitraires via l'interface de gestion de LoadMaster. Bien qu'un correctif ait été publié le 21 février 2024, cette faille est signalée comme étant activement exploitée pour la première fois. CISA a ordonné aux organisations fédérales utilisant ce produit d'appliquer les mises à jour disponibles ou de cesser son utilisation d'ici le 9 décembre 2024. LoadMaster, utilisé par de grandes entreprises pour optimiser la performance des applications et gérer le trafic réseau, est également affecté par d'autres vulnérabilités, notamment CVE-2024-0012 et CVE-2024-9474, qui concernent des contournements d'authentification et des injections de commandes OS sur l'interface de gestion de Palo Alto Networks. Les administrateurs système sont conseillés de mettre à jour vers des versions sécurisées pour éviter les risques d'exploitation.
Sources :
Ford enquête sur une violation présumée suite à une fuite de données client
Ford enquête sur une prétendue violation de données après qu'un acteur malveillant a annoncé sur un forum de piratage la fuite de 44 000 dossiers clients. Le hacker, connu sous le nom d'EnergyWeaponUser, a également mentionné un complice, IntelBroker, impliqué dans cette violation survenue en novembre 2024. Les données divulguées comprennent des informations personnelles telles que noms, adresses, détails d'achats et informations sur les concessionnaires. Bien que ces informations ne soient pas extrêmement sensibles, elles pourraient faciliter des attaques de phishing et d'ingénierie sociale. Les hackers n'ont pas cherché à vendre les données, mais les ont proposées aux membres du forum pour un montant modique. Ford a confirmé qu'elle menait une enquête sur ces allégations. Cependant, le 20 novembre, la société a déclaré qu'il n'y avait pas eu de violation de ses systèmes ou de données clients, précisant que l'incident concernait un fournisseur tiers et un petit lot d'adresses commerciales de concessionnaires déjà accessibles au public. Ford a indiqué que la situation était désormais résolue. Les utilisateurs sont conseillés de rester prudents face aux communications non sollicitées.
Sources :
Du concept au lancement : garantir la cybersécurité dans le développement de produits
Le développement d'un nouveau produit implique la coordination de nombreux éléments, où la cybersécurité joue un rôle crucial à chaque étape. Négliger cet aspect peut exposer le produit et ses utilisateurs à des attaques. Il est essentiel d'intégrer la cybersécurité dès la phase de conceptualisation, en définissant les objectifs du produit minimum viable (MVP) et en effectuant des recherches de marché. Il faut identifier les données à protéger, évaluer les risques liés aux fonctionnalités et respecter les exigences de conformité.
Lors de la conception, il est important d'incorporer la sécurité dans l'architecture du produit, de minimiser les vulnérabilités et de planifier une utilisation sécurisée des données. Pendant le développement, la culture de la sécurité doit être promue, avec des tests rigoureux et une gestion des accès. Avant le lancement, une réévaluation complète des vulnérabilités est nécessaire, suivie de la formalisation des procédures de réponse aux incidents.
Après le lancement, la surveillance des menaces et la mise à jour rapide des logiciels sont essentielles. La cybersécurité doit être une priorité continue, avec des améliorations constantes pour faire face aux menaces émergentes. En intégrant la sécurité dès le début, on assure une protection robuste à long terme.
Sources :
Oracle met en garde contre une faille de divulgation de fichiers Agile PLM exploitée dans des attaques
Oracle a corrigé une vulnérabilité de divulgation de fichiers non authentifiée dans son logiciel Agile Product Lifecycle Management (PLM), identifiée sous le code CVE-2024-21287, qui a été exploitée activement comme une faille zero-day. Cette vulnérabilité permet à un attaquant d'accéder à des fichiers sans nécessiter d'authentification, ce qui signifie qu'elle peut être exploitée à distance sans nom d'utilisateur ni mot de passe. Oracle a fortement recommandé à ses clients de mettre à jour leur version d'Agile PLM pour remédier à cette faille. Bien que la vulnérabilité ait été signalée par des chercheurs de CrowdStrike, l'avis initial d'Oracle n'indiquait pas qu'elle était exploitée activement. Cependant, un article de blog ultérieur d'Eric Maurice, vice-président de la sécurité chez Oracle, a confirmé que la faille était effectivement exploitée "dans la nature". La vulnérabilité a reçu un score CVSS de 7,5, ce qui indique un risque élevé. Les détails sur la manière dont la faille est exploitée et l'identité des attaquants restent flous. BleepingComputer a tenté de contacter CrowdStrike et Oracle pour obtenir des informations supplémentaires, mais n'a pas encore reçu de réponse.
Sources :
Fuite de données Auchan – Réaction de Benoît Grunemwald – ESET
Auchan a récemment informé ses clients qu'il avait été victime d'une cyberattaque, entraînant le vol de données personnelles, bien que les informations bancaires et mots de passe ne soient pas concernées. Cette intrusion a été signalée à la CNIL. Benoit Grunemwald, expert en cybersécurité, souligne que la multiplication des fuites de données pourrait mener à une banalisation du problème, décourageant les internautes à protéger leurs informations. Ce désengagement pourrait avoir des conséquences économiques et sociales graves, facilitant les violations de données et érodant la confiance envers les acteurs numériques. Pour contrer cette tendance, il est crucial de sensibiliser le public et d'accompagner les entreprises dans leur transformation numérique sécurisée. L'Europe a reconnu l'importance de la cybersécurité, avec des réglementations comme le RGPD et le DMA visant à renforcer la résilience des entreprises. Les données volées chez Auchan, comprenant noms, adresses e-mail, numéros de téléphone et informations sur les comptes de fidélité, peuvent alimenter des campagnes de phishing ciblées. Ces informations, bien que ne contenant pas de mots de passe, permettent de créer des messages convaincants et d'effectuer des arnaques géographiquement ciblées.
Sources :
D-Link exhorte les utilisateurs à retirer les routeurs VPN affectés par une faille RCE non corrigée
D-Link a averti ses clients de remplacer les modèles de routeurs VPN arrivés en fin de vie, suite à la découverte d'une vulnérabilité critique d'exécution de code à distance (RCE) non authentifiée, qui ne sera pas corrigée. Cette faille, signalée par le chercheur en sécurité 'delsploit', affecte tous les modèles DSR-150, DSR-150N, DSR-250 et DSR-250N, avec des firmwares de la version 3.13 à 3.17B901C. Ces routeurs, utilisés dans les bureaux à domicile et les petites entreprises, ont atteint leur fin de service le 1er mai 2024. D-Link a clairement indiqué qu'aucune mise à jour de sécurité ne sera fournie pour ces appareils, recommandant leur remplacement immédiat. Bien que des firmwares tiers puissent exister, leur utilisation n'est pas soutenue par D-Link et annule la garantie. L'entreprise souligne que continuer à utiliser ces appareils représente un risque pour les dispositifs connectés. D-Link adopte une politique stricte concernant les appareils en fin de vie, sans exceptions pour les failles critiques. Des vulnérabilités similaires ont également été signalées sur d'autres produits D-Link, sans mise à jour de sécurité proposée.
Sources :
Microsoft teste désormais Hotpatch sur Windows 11 24H2 et Windows 365
Microsoft a annoncé aujourd'hui que le hotpatching des mises à jour de sécurité est désormais disponible en version préliminaire sur Windows 365 et les appareils clients Windows 11 Enterprise 24H2. Cette fonctionnalité, qui permet d'installer des mises à jour de sécurité en arrière-plan sans redémarrage, a été introduite pour Windows Server 2022 Datacenter : Azure Edition en février 2022 et est en prévisualisation publique pour Windows Server 2025 depuis septembre 2024. Les mises à jour hotpatch sont spécifiques et ne contiennent que des correctifs de sécurité, prenant effet immédiatement après installation. Chaque trimestre, les appareils recevront une mise à jour cumulative nécessitant un redémarrage, suivie de mises à jour hotpatch mensuelles sans redémarrage, réduisant ainsi le nombre de redémarrages requis de douze à quatre par an. Pour utiliser cette fonctionnalité, les organisations doivent disposer d'un abonnement Microsoft approprié et de Microsoft Intune. Lors de sa conférence Ignite à Chicago, Microsoft a également annoncé le lancement de Zero Day Quest, un événement de hacking avec des récompenses de 4 millions de dollars, ainsi que de nouvelles fonctionnalités de sécurité pour Windows 11.
Sources :
Le ransomware Helldown exploite la faille VPN de Zyxel pour pirater les réseaux
Le ransomware "Helldown" exploite une vulnérabilité des pare-feu Zyxel pour infiltrer des réseaux d'entreprise, permettant le vol de données et le chiffrement de dispositifs. Selon la société française de cybersécurité Sekoia, Helldown, bien qu'il ne soit pas un acteur majeur, a rapidement gagné en notoriété depuis son lancement en été 2024, avec 31 victimes répertoriées sur son portail d'extorsion, principalement des PME aux États-Unis et en Europe. Les premières découvertes datent d'août et octobre 2024, avec un variant Linux ciblant des fichiers VMware. Sekoia a identifié que plusieurs victimes utilisaient des pare-feu Zyxel comme points d'accès VPN IPSec au moment de leur compromission. Les attaquants ont utilisé un compte malveillant pour établir une connexion sécurisée et désactiver les défenses des terminaux. Sekoia suspecte l'utilisation de la vulnérabilité CVE-2024-42057, corrigée en septembre 2024, permettant l'exécution de commandes OS par un attaquant non authentifié. Des preuves de l'exploitation de cette faille ont été trouvées, mais Zyxel n'a pas encore répondu aux demandes de commentaires concernant ces attaques.
Sources :
Cyberattaque sur Direct Assurance ? Un pirate parle de milliers de clients et prospects exposés
Une cyberattaque ciblée a touché Direct Assurance, révélée par un pirate sur BreachForums, où il propose à la vente des données sensibles de clients et prospects. Les informations compromises incluent noms, adresses e-mail, numéros de téléphone et coordonnées bancaires (IBAN/RIB). L'attaque, survenue le 14 novembre, a été réalisée en exploitant les identifiants d'un employé, permettant au pirate de contourner certaines protections. Cette méthode, connue sous le nom d'exploitation des accès internes, souligne l'importance de la cybersécurité. Les données bancaires volées représentent un risque élevé de fraude pour les victimes. Le pirate, déjà connu pour d'autres attaques, met en lumière la nécessité pour les entreprises de renforcer leur sécurité. Des mesures telles que l'authentification à plusieurs facteurs (MFA) et la sensibilisation des employés aux risques de phishing sont essentielles pour prévenir de telles incidents. Ce piratage s'inscrit dans une tendance plus large d'attaques contre des entreprises françaises en 2024, soulignant que la vigilance est cruciale. La gestion de cette crise par Direct Assurance sera déterminante pour restaurer la confiance des clients et sécuriser leurs données à l'avenir.
Sources :
Piratage du journal Le Point : un hacker revendique la fuite de près d’un million de données utilisateurs
Un hacker, connu pour ses attaques contre des établissements de santé, a revendiqué le piratage du journal français Le Point, compromettant les données de près de 916 000 utilisateurs. Sur un forum clandestin, il a annoncé la vente de ces informations, qui incluent noms, adresses e-mail, numéros de téléphone, adresses postales, villes de résidence et dates de naissance, stockées au format .json. Ces données sont particulièrement prisées sur le dark web, car elles peuvent être utilisées pour des campagnes de phishing, des escroqueries ou des vols d’identité. Le pirate a précisé que la base de données est limitée à trois acheteurs, augmentant ainsi sa valeur. Ce piratage souligne une tendance inquiétante où les médias deviennent des cibles de choix pour les cybercriminels, en raison de la quantité de données sensibles qu'ils détiennent. La date de l'intrusion, le 10 novembre 2024, coïncide avec un contexte médiatique intense en France. Les utilisateurs exposés risquent des attaques ciblées, des vols d’identité et des violations de leur vie privée. Le Point a confirmé la découverte de cette fuite, mettant en lumière les enjeux croissants de la cybersécurité dans le secteur médiatique.
Sources :
Une fuite de données frappe Auchan, un demi-million de clients affectés
À la fin de l'année 2023, plusieurs entreprises françaises ont subi des fuites de données, dont Le Point et Auchan. Le Point a révélé que des informations personnelles d'abonnés, telles que nom, prénom, email, numéro de téléphone et adresse postale, ont été compromises, bien que les données sensibles comme les informations bancaires soient restées intactes. L'incident, attribué à une faille chez un sous-traitant, pourrait faciliter des tentatives de phishing. De son côté, Auchan a informé 500 000 clients d'une fuite similaire, incluant des données personnelles et des informations sur la carte de fidélité, sans compromettre les données bancaires. Les experts en cybersécurité, comme Benoit Grunemwald d'ESET France, soulignent que ces données pourraient alimenter des campagnes de phishing ciblées, rendant les clients vulnérables à des arnaques. Bien qu'Auchan n'ait pas précisé la date de l'incident, la rapidité de leur réaction est cruciale pour respecter les obligations légales en matière de protection des données. Ces incidents soulignent l'importance de la cybersécurité et de la vigilance des consommateurs face aux menaces numériques croissantes.
