Google acquiert Wiz pour 32 milliards de dollars, un tournant pour la sécurité du cloud - Actus du 18/03/2025
Découvrez comment l'acquisition de Wiz par Google pour 32 milliards de dollars révolutionne la sécurité cloud. Soyez alerté sur la menace des pirates injectant du code malveillant via les éditeurs AI et le bug critique d'Ami Megarac risquant de paralyser vos serveurs. Ne manquez pas ces enjeux clés!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Google pour acheter Wiz pour 32 milliards de dollars en jeu de sécurité cloud
Google a annoncé aujourd'hui un accord définitif pour acquérir la plateforme de sécurité cloud Wiz pour 32 milliards de dollars en espèces. Fondée en 2020, Wiz est devenue l'une des plus grandes entreprises de cybersécurité, spécialisée dans la sécurisation des services cloud. Sa plateforme permet aux organisations de détecter et de réduire les risques de sécurité à partir d'un tableau de bord unique, tout en restant compatible avec les principaux fournisseurs de cloud tels qu'Amazon Web Services, Microsoft Azure et Oracle Cloud. Sundar Pichai, PDG de Google, a souligné que cette acquisition vise à renforcer la sécurité des entreprises et des gouvernements utilisant le cloud. Assaf Rappaport, co-fondateur et PDG de Wiz, a également insisté sur l'importance de rendre la cybersécurité plus accessible. Cette acquisition, la plus importante de Google à ce jour, intervient dans un contexte où les menaces de cybersécurité ciblent de plus en plus les plateformes cloud. Wiz avait précédemment rejeté une offre de 23 milliards de dollars de Google l'année dernière. Si elle est finalisée, Wiz intégrera le portefeuille de sécurité de Google Cloud, qui comprend également Mandiant, acquis en 2022 pour 5,4 milliards de dollars. La transaction est soumise à des approbations réglementaires et devrait se conclure en 2026.
Sources :
La nouvelle attaque de la porte dérobée du fichier de règles permet aux pirates d'injecter du code malveillant via les éditeurs de code AI
Des chercheurs en cybersécurité ont révélé un nouveau vecteur d'attaque de la chaîne d'approvisionnement, appelé "Rules File Backdoor", qui cible les éditeurs de code alimentés par l'intelligence artificielle (IA), tels que GitHub Copilot et Cursor. Cette technique permet aux hackers d'injecter discrètement des instructions malveillantes dans des fichiers de configuration apparemment innocents, compromettant ainsi le code généré par l'IA. En exploitant des caractères unicode invisibles et des techniques d'évasion sophistiquées, les acteurs malveillants peuvent manipuler l'IA pour produire du code vulnérable qui contourne les revues de code habituelles. L'attaque repose sur des fichiers de règles utilisés par les agents IA pour guider leur comportement, permettant d'incorporer des invites soigneusement élaborées qui incitent l'outil à générer du code contenant des failles de sécurité. Une fois qu'un fichier de règles contaminé est intégré dans un projet, il affecte toutes les sessions de génération de code futures, et les instructions malveillantes peuvent survivre aux forks de projet, créant ainsi un risque pour la chaîne d'approvisionnement. Les utilisateurs de Cursor et GitHub sont désormais responsables de la révision des suggestions générées par ces outils.
Sources :
Critical Ami Megarac Bug peut laisser les attaquants se détourner, les serveurs de briques
Une vulnérabilité critique a été découverte dans le logiciel MegaRAC Baseboard Management Controller (BMC) d'American Megatrends International, permettant à des attaquants de prendre le contrôle et potentiellement de rendre inopérants des serveurs vulnérables. Cette faille, identifiée sous le code CVE-2024-54085, affecte de nombreux fournisseurs de serveurs, dont HPE et Asus, et peut être exploitée à distance sans authentification. Les chercheurs d'Eclypsium ont révélé que cette vulnérabilité permet aux attaquants de déployer des malwares, de manipuler le firmware, voire de provoquer des dommages physiques aux serveurs. Bien qu'aucune exploitation active n'ait été observée, la création d'un exploit est jugée facile en raison de l'absence de cryptage des binaires du firmware. Eclypsium a également identifié d'autres vulnérabilités dans le passé, renforçant les risques associés à MegaRAC. Les défenseurs des réseaux sont fortement conseillés d'appliquer les correctifs publiés récemment par AMI et de surveiller les journaux des serveurs pour toute activité suspecte. La situation souligne l'importance de la sécurité dans la gestion à distance des serveurs, affectant potentiellement de nombreux fabricants en raison de la position d'AMI dans la chaîne d'approvisionnement BIOS.
Sources :
Le gouvernement poursuit son assaut controversé contre la sécurité de Signal et WhatsApp
L'article aborde la question de l'affaiblissement potentiel de la protection offerte par les messageries chiffrées, comme Signal et WhatsApp, dans le cadre de la lutte contre le trafic de drogue. Le controversé article 8 ter, soutenu par plusieurs parlementaires, dont Olivier Marleix et Mathieu Lefèvre, vise à introduire des mesures qui pourraient compromettre le chiffrement de bout en bout. Malgré un rejet initial par la commission des lois, le ministre de l'Intérieur semble déterminé à faire avancer cette proposition, soutenue par des voix comme celle de Bruno Retailleau, qui considère cette mesure comme essentielle. Cependant, de nombreux députés, y compris des membres du camp présidentiel, s'opposent fermement à cette initiative, soulignant les dangers d'introduire des "backdoors" dans les systèmes de chiffrement. Guillaume Poupard et Gilles Babinet, experts en la matière, mettent en garde contre les implications négatives de telles mesures, arguant qu'elles seraient à la fois irréalistes et inefficaces. L'avenir de l'article 8 ter reste incertain alors que l'Assemblée nationale examine le texte, avec des débats prévus jusqu'au 21 mars.
Sources :
Qui est Wiz, entreprise rachetée par Google pour la somme la plus élevée de son histoire ?
Google a annoncé le 18 mars l'acquisition de la start-up américaine Wiz, spécialisée dans la cybersécurité, pour 32 milliards de dollars, marquant ainsi son plus gros investissement à ce jour. Wiz, fondée en 2020 et basée à Tel Aviv, s'est rapidement imposée dans le secteur, comptant parmi ses clients près de la moitié des entreprises du Fortune 100. Sa plateforme sécurise les infrastructures cloud en détectant les vulnérabilités, un besoin croissant avec l'essor du télétravail durant la pandémie. Cette acquisition vise à renforcer l'offre de Google en cybersécurité, notamment en intégrant Wiz à Google Cloud et en améliorant le Security Command Center, un tableau de bord de cybersécurité déjà utilisé par de nombreuses multinationales. De plus, les experts de Wiz explorent l'utilisation de l'intelligence artificielle pour tester les failles des chatbots, ce qui pourrait bénéficier à Google dans le développement de son produit Gemini. Avec cette opération, Google se positionne de manière stratégique sur un marché en pleine expansion, face à des menaces de plus en plus sophistiquées. Cette démarche s'inscrit dans une série d'acquisitions visant à solidifier sa présence dans le domaine de la cybersécurité.
Sources :
La plate-forme de jeu de blockchain Wemix a piraté pour voler 6,1 millions de dollars
La plateforme de jeux blockchain WEMIX a été victime d'un cyberattaque le 28 février 2025, entraînant le vol de 8 654 860 tokens WEMIX, d'une valeur d'environ 6,1 millions de dollars. Lors d'une conférence de presse, le PDG de WEMIX, Kim Seok-Hwan, a expliqué que le retard dans l'annonce publique visait à protéger les joueurs d'éventuelles pertes supplémentaires. Après avoir identifié la faille, l'entreprise a immédiatement fermé le serveur affecté et a déposé une plainte auprès de la police de Séoul. Les hackers ont infiltré WEMIX en volant des clés d'authentification de la plateforme NFT 'NILE', probablement via un dépôt partagé mal sécurisé. Ils ont planifié leur attaque pendant deux mois, réussissant à effectuer treize retraits sur quinze tentatives. Les tokens volés ont été rapidement blanchis à travers des échanges de cryptomonnaies. Actuellement, WEMIX est hors ligne pour migrer son infrastructure vers un environnement plus sécurisé, avec un retour prévu le 21 mars 2025. Par ailleurs, la Digital Asset Exchange Alliance (DAXA) a classé WEMIX comme un actif à "caution d'investissement" et a suspendu les dépôts, une décision que WEMIX prévoit de contester.
Sources :
Flaw Windows Zero-Day non corrigé exploité par 11 groupes de menaces parrainées par l'État depuis 2017
Une vulnérabilité non corrigée dans Microsoft Windows, identifiée comme ZDI-CAN-25373, a été exploitée par 11 groupes soutenus par des États, notamment de Chine, d'Iran, de Corée du Nord et de Russie, depuis 2017. Cette faille permet aux attaquants d'exécuter des commandes malveillantes cachées sur les machines victimes via des fichiers de raccourci Windows (.LNK). Les chercheurs en sécurité, Peter Girnus et Aliakbar Zahravi, soulignent que les attaques utilisent des arguments de ligne de commande dissimulés pour compliquer la détection, exposant ainsi les organisations à des risques importants de vol de données et d'espionnage. Près de 1 000 fichiers .LNK exploitant cette vulnérabilité ont été découverts, principalement liés à des groupes comme Evil Corp et Kimsuky. Environ la moitié des acteurs menaçants proviennent de Corée du Nord, indiquant une collaboration entre différents groupes cybernétiques. Les cibles incluent des gouvernements, des entreprises privées et des agences militaires dans plusieurs pays. Malgré la gravité de la situation, Microsoft a classé la vulnérabilité comme de faible sévérité et n'a pas prévu de correctif. Les chercheurs notent que cette faille illustre un échec de l'interface utilisateur à fournir des informations critiques aux utilisateurs.
Sources :
Google acquiert Wiz pour 32 milliards de dollars dans sa plus grande transaction pour stimuler la sécurité du cloud
Google réalise la plus grande acquisition de son histoire en achetant la société de sécurité cloud Wiz pour 32 milliards de dollars en espèces. Cette opération, qui nécessite des approbations réglementaires, vise à renforcer la sécurité cloud et à promouvoir l'utilisation de solutions multicloud, en réponse aux tendances croissantes de l'ère de l'IA. Le PDG de Google Cloud, Thomas Kurian, a déclaré que cette fusion permettra d'accélérer l'adoption de la cybersécurité multicloud et de stimuler la concurrence dans le secteur du cloud computing. Assaf Rappaport, PDG de Wiz, a précisé que la société restera une plateforme multicloud indépendante, collaborant avec d'autres géants comme AWS, Azure et Oracle. Cette acquisition survient trois ans après l'achat de Mandiant pour 5,4 milliards de dollars et sept mois après une tentative infructueuse d'acquérir Wiz pour 23 milliards de dollars. Google a également précédemment acquis d'autres entreprises liées à la sécurité, telles que VirusTotal en septembre 2012 et Siemplify en janvier 2022. Cette stratégie d'acquisition souligne l'engagement de Google à renforcer sa position sur le marché de la sécurité cloud.
Sources :
La nouvelle vulnérabilité Critical AMI BMC permet une prise de contrôle et des briques de serveur distant
Une vulnérabilité critique a été révélée dans le logiciel MegaRAC Baseboard Management Controller (BMC) d'AMI, permettant à un attaquant de contourner l'authentification et d'effectuer des actions post-exploitation. Suivie sous le nom CVE-2024-54085, cette faille a un score CVSS v4 de 10.0, indiquant une gravité maximale. Selon la société de sécurité Eclypsium, un attaquant local ou distant peut exploiter cette vulnérabilité via les interfaces de gestion à distance (Redfish) ou l'interface interne du BMC. L'exploitation permettrait de contrôler à distance le serveur compromis, de déployer des malwares, de manipuler le firmware, et de provoquer des dommages physiques au serveur, comme des boucles de redémarrage indéfinies. Cette vulnérabilité s'ajoute à une série de failles de sécurité découvertes dans les BMC d'AMI depuis décembre 2022. Bien qu'AMI ait publié des correctifs le 11 mars 2025, il est crucial que les utilisateurs mettent à jour leurs systèmes. Eclypsium souligne que le patching nécessite un temps d'arrêt des appareils, et que l'impact en aval touche de nombreux fabricants, car AMI est au sommet de la chaîne d'approvisionnement BIOS.
Sources :
Une nouvelle campagne de fraude publicitaire exploite 331 applications avec 60m + téléchargements pour le phishing et les publicités intrusives
Des chercheurs en cybersécurité ont alerté sur une vaste campagne de fraude publicitaire exploitant des centaines d'applications malveillantes sur le Google Play Store. Ces applications, qui se présentaient comme légitimes, ont généré plus de 56 millions de téléchargements et 200 millions de demandes d'enchères quotidiennes. Codenommée Vapor, cette opération a été révélée par Integral Ad Science (IAS), qui a identifié plus de 180 applications diffusant des publicités vidéo intrusives en plein écran et tentant de soutirer des informations personnelles via des attaques de phishing. Les fraudeurs ont créé plusieurs comptes développeurs pour distribuer leurs applications et éviter la détection. Ils ont également utilisé une technique appelée versioning, publiant d'abord des applications fonctionnelles avant d'ajouter des fonctionnalités malveillantes dans des mises à jour ultérieures. Certaines applications ont été observées en train de collecter des données de carte de crédit et d'autres informations sensibles. De plus, elles peuvent masquer leur icône et démarrer sans interaction de l'utilisateur, contournant ainsi les restrictions de sécurité d'Android. Cette campagne, qui aurait débuté en avril 2024, est plus étendue que prévu, avec jusqu'à 331 applications identifiées.
Sources :
Vecteurs d’attaque initiaux : les comptes valides de plus en plus exploités en 2024
En 2024, le rapport d'analyse Kaspersky Incident Response révèle une augmentation des cyberattaques, avec des comptes valides utilisés dans 31,4 % des cas, marquant une hausse significative par rapport à 2023. Les applications publiques demeurent le principal vecteur d'attaque, représentant 39,2 % des incidents. Cette tendance alarmante est alimentée par des courtiers d'accès initial (IAB) qui exploitent des identifiants compromis disponibles sur le Dark Web, facilitant ainsi les attaques, notamment dans le cadre du Ransomware-as-a-Service (RaaS). Les données montrent que de nombreuses victimes avaient déjà subi des compromissions, entraînant des fuites d'informations sans détection. Par ailleurs, les relations de confiance ont également augmenté, représentant 12,8 % des attaques, tandis que le phishing reste une menace persistante, touchant près de 10 % des cas. Konstantin Sapronov, responsable de l'équipe mondiale de réponse aux urgences chez Kaspersky, souligne l'importance pour les organisations de renforcer leurs mesures de sécurité et d'adopter une culture proactive de réponse aux incidents pour faire face à ces menaces émergentes. Ce rapport vise à aider les entreprises à développer des stratégies efficaces pour contrer les cybermenaces croissantes.
Sources :
La chasse au streaming pirate se poursuit : des dizaines de sites se font bloquer en France
La lutte contre le piratage des compétitions sportives est un défi constant pour les titulaires de droits, comme l’a démontré le match entre le PSG et l’OM le 16 mars 2025. L’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) a bloqué 171 noms de domaine liés à des sites pirates, une opération réalisée 30 minutes avant et après le match pour en limiter l'impact. Bien que cette stratégie vise à contrer les techniques d’évitement des pirates, les titulaires de droits estiment que les actions de l’Arcom restent insuffisantes. Lors d’un match précédent, 340 noms de domaine avaient été bloqués, mais la baisse récente est attribuée à l’efficacité croissante des interventions. L’Arcom, issue de la fusion entre le CSA et Hadopi, concentre ses efforts sur les services IPTV, qui incluent à la fois des applications légales et illégales. Malgré les efforts déployés, les plateformes légales soulignent que, comparativement à d'autres pays, les actions en France restent limitées, laissant encore de nombreux espaces illicites actifs. Cette situation souligne la nécessité d'une intensification des mesures pour protéger les droits des diffuseurs.
Sources :
Comment améliorer la sécurité d'Okta en quatre étapes
Okta est essentiel pour la gouvernance et la sécurité des identités des organisations, mais cette importance en fait une cible privilégiée pour les cybercriminels. Bien qu'Okta offre des fonctionnalités de sécurité robustes, le maintien de contrôles de sécurité efficaces nécessite une vigilance constante. Des problèmes tels que la dérive de configuration et l'éparpillement des identités peuvent exposer Okta à des attaques. Cet article présente quatre façons dont Nudge Security peut renforcer la sécurité d'Okta.
- Surveillance continue de la configuration : Nudge Security surveille en permanence l'environnement Okta pour détecter les écarts par rapport aux meilleures pratiques de sécurité.
- Détection des risques d'identité : L'outil identifie les comptes inactifs et les privilèges d'administration inappropriés, alertant les utilisateurs sur les risques potentiels.
- Accès sécurisé à Okta : Nudge Security veille à ce que l'accès à Okta soit sécurisé, en imposant des politiques de mot de passe strictes et en s'assurant que l'authentification multifactorielle (MFA) est requise.
- Remédiation simplifiée : Nudge facilite la résolution des problèmes de sécurité grâce à une priorisation des risques et des workflows de remédiation automatisés.
En adoptant ces pratiques, les organisations peuvent mieux protéger leur infrastructure d'identité et réduire les incidents de sécurité.
Sources :
Mirrorface liée à la Chine déploie Anel et Asyncrat dans une nouvelle opération de cyber-espionnage
Des chercheurs en cybersécurité ont récemment analysé une campagne de malware menée par le groupe de menaces MirrorFace, aligné sur la Chine, qui a ciblé une organisation diplomatique de l'Union européenne avec un backdoor nommé ANEL. Cette attaque, détectée par ESET fin août 2024, visait un institut diplomatique d'Europe centrale en utilisant des leurres liés à l'Exposition Universelle prévue à Osaka, au Japon. Nommée Opération AkaiRyū (Dragon Rouge), cette activité marque un changement dans la stratégie de MirrorFace, qui, bien qu'habituellement focalisé sur des entités japonaises, a élargi son champ d'action. Le groupe, actif depuis 2019 et considéré comme une sous-catégorie de l'APT10, a déployé une variante personnalisée d'AsyncRAT et le backdoor ANEL, qui avait été abandonné entre 2018 et 2019. ESET a noté que l'utilisation d'ANEL représente un changement significatif par rapport à LODEINFO. L'attaque utilise des techniques de spear-phishing pour inciter les victimes à ouvrir des documents piégés, et emploie des méthodes d'accès furtif, notamment via Visual Studio Code Remote Tunnels. Malgré ces découvertes, ESET souligne qu'il reste encore de nombreuses inconnues concernant les activités de MirrorFace, en raison de leur sécurité opérationnelle améliorée.
Sources :
Badbox 2.0 Botnet infecte 1 million d'appareils Android pour la fraude publicitaire et les abus de proxy
Un article récent révèle l'implication d'au moins quatre groupes de cybercriminels dans une version mise à jour d'un vaste schéma de fraude publicitaire et de proxy résidentiel, nommé BADBOX 2.0. Cette opération est considérée comme le plus grand botnet d'appareils de télévision connectée (CTV) jamais découvert. BADBOX 2.0 exploite des failles sur des appareils bon marché pour installer des modules de fraude à distance via des backdoors. Ces appareils, principalement des tablettes Android et des boîtiers CTV, sont utilisés pour générer des revenus publicitaires frauduleux, effectuer des clics frauduleux et fournir des services de proxy résidentiels illicites. Environ un million d'appareils, surtout au Brésil, aux États-Unis, au Mexique et en Argentine, seraient infectés. L'opération a été partiellement perturbée par la mise hors service de certains domaines associés. Google a également supprimé 24 applications de son Play Store pour leur rôle dans la diffusion de ce malware, basé sur un logiciel malveillant Android appelé Triada. Les groupes de menaces impliqués, tels que MoYu Group et SalesTracker Group, partagent des infrastructures et des liens commerciaux, illustrant un écosystème criminel interconnecté. BADBOX 2.0 représente une évolution significative des techniques de cybercriminalité, rendant les appareils infectés vulnérables à divers types d'attaques.
Sources :
Sécurité nationale et vie privée : la proposition de loi Narcotrafic au cœur d’un débat brûlant
L’article 8ter, bien qu'initialement rejeté, pourrait être réintroduit à l'Assemblée nationale sous une forme révisée, visant à encadrer l'utilisation d'outils d'espionnage via des appareils électroniques comme les ordinateurs et téléphones. Cette mesure, controversée, nécessiterait une autorisation judiciaire pour prévenir les abus. Le débat se concentre sur la nécessité de compromettre le chiffrement pour lutter contre le narcotrafic, avec des opinions divergentes sur les implications éthiques. Les partisans de la loi soulignent l'urgence d'une réponse face à l'évolution rapide des réseaux criminels, tandis que les opposants craignent des dérives sur la vie privée. Bruno Retailleau propose une application stricte et limitée dans le temps pour apaiser les inquiétudes. La loi Narcotrafic pourrait également ouvrir la voie à une cybersurveillance plus large, en réponse à une augmentation de 30 % des attaques par rançongiciel entre 2022 et 2023, touchant divers secteurs. Parallèlement, la directive NIS2 élargit le cadre de protection à 15 000 entités essentielles, tandis que la directive DORA cible spécifiquement le secteur financier. Ce projet de loi représente une étape cruciale dans l’adaptation du cadre juridique français aux défis numériques contemporains.
Sources :
Football en streaming par IPTV : des dizaines de sites pirates se font encore bloquer
La lutte contre le piratage des compétitions sportives est un défi constant pour les titulaires de droits, comme l'a démontré le match entre le PSG et l'OM le 16 mars 2025. L'Autorité de régulation de la communication audiovisuelle et numérique (Arcom) a bloqué 171 noms de domaine liés à des sites pirates, une intervention réalisée 30 minutes avant et après le match pour maximiser son efficacité. Cette stratégie vise à perturber les tentatives de contournement des pirates, qui utilisent souvent des sites miroirs et des redirections. Bien que l'Arcom, issue de la fusion entre le CSA et la Hadopi, ait renforcé ses actions contre le piratage, les titulaires de droits estiment que ces efforts restent insuffisants. Lors d'un match précédent, 340 noms de domaine avaient été bloqués, ce qui soulève des questions sur l'efficacité réelle des opérations. Les plateformes légales pointent également que, comparativement à d'autres pays, les actions en France sont limitées, laissant encore de nombreux espaces illicites inaccessibles. Malgré les progrès, la lutte contre le piratage demeure un combat difficile, nécessitant des efforts continus et accrus.
Sources :
Piratage massif de Facebook ? Un pirate russophone met en vente une base de données de 712 millions de comptes
Un pirate informatique nommé Z4ck a mis en vente un fichier contenant potentiellement des données de 200 000 comptes Facebook sur un forum du dark web. Cette fuite pourrait être l'une des plus significatives depuis le scandale Cambridge Analytica en 2018. Pour prouver la véracité de ses affirmations, Z4ck a partagé des échantillons incluant des informations de géolocalisation, principalement de Thaïlande et du Bangladesh. Bien que les données puissent ne pas provenir directement de Facebook, mais plutôt de partenaires ou d'applications tierces, le risque pour les utilisateurs est élevé, notamment en raison de la réutilisation fréquente des identifiants sur plusieurs plateformes. Cette situation pourrait également entraîner une augmentation des spams ciblés et du harcèlement en ligne. Actuellement, la base de données n'a pas encore été vendue, mais une surveillance est en cours. Les utilisateurs concernés sont conseillés de changer immédiatement leurs mots de passe, d'activer la double authentification, de rester vigilants face aux tentatives de phishing et de vérifier leurs paramètres de confidentialité sur Facebook. Pour des mises à jour sur la cybersécurité, il est recommandé de rejoindre des groupes d'information sur les réseaux sociaux.
Sources :
Microsoft avertit de Stilachirat: un rat furtif ciblant les références et les portefeuilles cryptographiques
Microsoft a récemment mis en lumière un nouveau cheval de Troie d'accès à distance (RAT) nommé StilachiRAT, qui utilise des techniques avancées pour échapper à la détection et s'installer dans les environnements ciblés dans le but de voler des données sensibles. Découvert en novembre 2024, StilachiRAT est intégré dans un module DLL appelé "WWStartupCtrl64.dll" et n'a pas encore été attribué à un acteur malveillant spécifique. Le malware est capable de dérober des informations telles que des identifiants de connexion, des données de portefeuille numérique et des informations système. Il cible particulièrement les extensions de portefeuilles de cryptomonnaies sur Google Chrome, incluant des applications populaires comme MetaMask et Trust Wallet. StilachiRAT collecte des informations via des interfaces COM et utilise un serveur de commande et de contrôle (C2) pour exfiltrer les données volées. Il présente également des comportements anti-forensiques, comme la suppression des journaux d'événements pour éviter la détection. En parallèle, Palo Alto Networks a signalé d'autres échantillons de malware, soulignant l'évolution des menaces informatiques. Les organisations doivent donc renforcer leurs mesures de sécurité pour se protéger contre de telles attaques.
Sources :
L’IA fantôme : une menace silencieuse qui pourrait provoquer une crise de sécurité mondiale
L'essor des outils d'intelligence artificielle (IA) non régulés dans les entreprises pose une menace croissante pour la sécurité des données, illustrée par l'affaire Disney. En juillet 2023, un ancien employé, Matthew Van Andel, a été victime d'un piratage après avoir téléchargé un logiciel d'IA contenant un cheval de Troie. Ce malware a permis aux hackers de voler ses identifiants, soulignant comment l'IA fantôme transforme chaque employé en cible potentielle. Selon une enquête de Google Mandiant, près de 40 % des cyberattaques en 2023 ont été facilitées par des identifiants volés, un chiffre alarmant en hausse par rapport à l'année précédente. Le phénomène de "Shadow AI" se développe, les employés utilisant des outils d'IA non autorisés pour améliorer leur productivité, ce qui accroît les risques, notamment dans les secteurs financier et de la santé, où l'utilisation de ces outils a augmenté de 250 % en un an. Une étude de Dell révèle que 91 % des employés ont expérimenté l'IA générative, et 71 % l'utilisent au travail. Face à cette situation, les entreprises doivent agir rapidement pour réglementer et sécuriser l'utilisation de l'IA.
Sources :
8 jours de prison pour diffusion de fake news !
Une rumeur infondée a conduit à l'arrestation de Xu Mouqiang, un homme de 36 ans, qui a utilisé une intelligence artificielle pour créer et diffuser une fausse information selon laquelle une star aurait perdu 1 milliard à Macao. Cette manipulation visait à générer du trafic et des profits illégaux en exploitant la viralité du contenu sur des plateformes comme Weibo. En quelques heures, la rumeur a suscité une vague de spéculations parmi les internautes, incitant les autorités chinoises à intervenir rapidement. Xu a été placé en détention administrative pour huit jours pour trouble à l’ordre public, conformément aux lois sur la sécurité publique en Chine. Cet incident met en lumière les dangers croissants liés à l'utilisation de l'IA dans la désinformation, avec des contenus souvent sans preuves substantielles, émanant de comptes anonymes. Le PDG de Weibo a confirmé que des rumeurs similaires avaient déjà circulé. La législation chinoise, mise à jour en 2023, punit sévèrement la diffusion de fausses informations, en particulier celles générées par l'IA, soulignant la responsabilité des manipulateurs d'information. Les autorités rappellent que la création de fausses nouvelles est une infraction grave.
Sources :
Un développeur de LockBit extradé d’Israël et inculpé aux États-Unis
Rostislav Panev, un développeur présumé du ransomware LockBit, a été extradé d'Israël vers les États-Unis, marquant une avancée significative dans la lutte contre ce réseau criminel. Son arrestation fait suite à une opération internationale menée par le FBI et le National Crime Agency (NCA) britannique, qui a conduit au démantèlement du réseau en février 2024. Panev aurait joué un rôle clé dans la création de plusieurs versions du malware, permettant aux affiliés de personnaliser leurs attaques d'extorsion. Il était en contact direct avec Dimitry Yuryevich Khoroshev, le chef présumé de LockBit. Ce réseau fonctionnait sur un modèle d'affiliation, où les développeurs fournissaient le logiciel tandis que les affiliés exécutaient les attaques. Panev est le septième membre de LockBit à être inculpé aux États-Unis, après que d'autres opérateurs, comme Mikhail Vasiliev et Ruslan Astamirov, aient plaidé coupable. Malgré le démantèlement de l'infrastructure principale, les enquêteurs estiment que le risque de réapparition de LockBit demeure élevé, car certains affiliés pourraient rejoindre d'autres groupes criminels. Les autorités continuent de traquer les membres restants du réseau, soulignant la persistance de la menace des ransomwares.
Sources :
Des pirates exploitent une fausse annonce de décès pour diffuser un logiciel espion
Des cybercriminels exploitent une nouvelle méthode d'attaque sur Telegram en diffusant de faux messages annonçant la mort d'une connaissance pour inciter les victimes à ouvrir un fichier malveillant. Ce fichier, souvent présenté comme une photo ou une vidéo, contient un logiciel espion capable de prendre le contrôle du téléphone de la victime et de se propager à tous ses contacts. Les attaquants utilisent des messages provenant de contacts légitimes, dont les comptes ont été compromis, pour renforcer la crédibilité de leur arnaque. Ce type de manipulation psychologique, basé sur la peur de perdre un proche, est particulièrement efficace car il pousse les victimes à baisser leur garde. Une fois installé, le logiciel espion fonctionne en arrière-plan, siphonnant les données personnelles et envoyant automatiquement le même message à tous les contacts de la victime. Actif depuis début 2025, ce malware, nommé Mamont, souligne l'importance de la vigilance face à de telles menaces. Les utilisateurs sont conseillés de ne pas cliquer sur des liens suspects, de vérifier les permissions des applications et d'installer un logiciel antivirus pour se protéger contre ces attaques.
Sources :
Le PDG de Telegram quitte temporairement la France alors que la sonde criminelle continue
Le 17 mars 2025, Pavel Durov, le PDG de Telegram, a quitté temporairement la France alors qu'une enquête criminelle sur l'utilisation de la plateforme se poursuit. Durov a annoncé son retour à Dubaï via un post sur Telegram, après avoir quitté l'aéroport du Bourget près de Paris. Les autorités françaises ont suspendu l'ordre judiciaire qui l'empêchait de voyager entre le 15 mars et le 7 avril. Durov a été arrêté en août 2024 pour des liens avec des activités criminelles sur Telegram, notamment la fraude et le trafic de drogue, mais a été libéré sous caution de 5 millions d'euros. Malgré cette libération, il était soumis à des restrictions de voyage. En réponse aux critiques, Telegram a commencé à partager des informations sur les utilisateurs avec les forces de l'ordre en cas de violations graves, élargissant sa politique de confidentialité qui ne concernait auparavant que les suspects de terrorisme. Durov a souligné que ces mesures visaient à décourager les criminels et à protéger l'intégrité de la plateforme, qui compte près d'un milliard d'utilisateurs. Telegram a également annoncé avoir partagé des données de 2 253 utilisateurs avec les autorités américaines suite à des demandes légales.
Sources :
Comment choisir la bonne société de logiciels ?
Le choix d'une société de logiciels est crucial pour les entreprises, qu'elles soient en croissance ou établies. Ce processus ne se limite pas au budget, mais implique des critères tels que l'expertise, la méthodologie, la personnalisation et l'adéquation sectorielle. Les entreprises doivent décider entre le développement sur mesure, souvent plus coûteux mais flexible, et des solutions standard, qui peuvent nécessiter des adaptations. Les méthodologies agiles, comme Scrum et Kanban, sont de plus en plus adoptées pour leur flexibilité, bien que certaines entreprises préfèrent des approches traditionnelles comme le modèle « Waterfall ». La performance du logiciel est essentielle, car un logiciel lent ou instable peut nuire à la productivité et à la satisfaction client. De plus, la compatibilité avec l'infrastructure existante est un facteur clé à ne pas négliger. Les besoins varient selon les secteurs : par exemple, le secteur de la santé doit respecter des réglementations spécifiques, tandis que le secteur financier doit se conformer à des normes de sécurité strictes. En somme, choisir le bon partenaire technologique est un investissement stratégique pour assurer la pérennité et la compétitivité de l'entreprise.
Sources :
Microsoft: Nouveau logiciel malveillant de rat utilisé pour le vol cryptographique, la reconnaissance
Microsoft a récemment découvert un nouveau cheval de Troie d'accès à distance (RAT) nommé StilachiRAT, qui utilise des techniques sophistiquées pour éviter la détection et exfiltrer des données sensibles. Bien que ce malware ne soit pas encore largement diffusé, Microsoft a décidé de partager des indicateurs de compromission et des conseils de mitigation pour aider les défenseurs des réseaux à détecter cette menace. StilachiRAT est capable de voler des informations telles que des identifiants de connexion, des données de portefeuilles numériques et des informations stockées dans le presse-papiers. Il peut également effectuer des opérations de reconnaissance en collectant des données système et en surveillant les sessions RDP actives. Une fois déployé, il maintient sa persistance via le gestionnaire de services Windows et peut exécuter des commandes à partir d'un serveur de commande et de contrôle. Ses fonctionnalités incluent l'évasion de détection et des capacités anti-forensiques, comme l'effacement des journaux d'événements. Microsoft recommande de télécharger des logiciels uniquement à partir de sites officiels et d'utiliser des logiciels de sécurité pour bloquer les domaines malveillants afin de réduire la surface d'attaque.
Sources :
Okx suspend Dex Aggregator après que les pirates de Lazarus essaient de blanchir les fonds
OKX Web3 a suspendu ses services d'agrégateur DEX pour renforcer la sécurité après que les hackers nord-coréens du groupe Lazarus aient tenté de blanchir 100 millions de dollars de cryptomonnaies volées lors d'un vol de 1,5 milliard de dollars. OKX, un échange de cryptomonnaies majeur, détient environ 8 % du marché mondial des échanges centralisés, avec un volume de transactions de 230 milliards de dollars par mois. Le groupe Lazarus a été signalé pour avoir tenté d'utiliser les services d'OKX pour ses activités illégales, ce qui a conduit à des enquêtes réglementaires dans l'Union européenne. En réponse, OKX a décidé de suspendre temporairement ses services DEX afin de mettre en œuvre des mises à jour de sécurité. Parmi les mesures prises, l'échange a annoncé le lancement d'un système pour identifier et bloquer en temps réel les adresses liées aux hackers. OKX collabore également avec des explorateurs de blockchain pour garantir la transparence des transactions. L'objectif est d'améliorer la sécurité et la conformité réglementaire, tout en se demandant si Lazarus trouvera d'autres moyens de contourner ces mesures ou se dirigera vers des échanges moins sécurisés.
Sources :
La vulnérabilité d'Apache Tomcat a activement exploité seulement 30 heures après la divulgation publique
Une vulnérabilité récemment révélée dans Apache Tomcat, identifiée comme CVE-2025-24813, est activement exploitée après la publication d'un proof-of-concept (PoC) 30 heures après sa divulgation. Cette faille touche les versions d'Apache Tomcat de 11.0.0-M1 à 11.0.2, 10.1.0-M1 à 10.1.34 et 9.0.0-M1 à 9.0.98. Elle permet une exécution de code à distance ou une divulgation d'informations sous certaines conditions, notamment lorsque l'écriture est activée pour le servlet par défaut et que le support pour les requêtes PUT partielles est activé. L'exploitation réussie permet à un attaquant de visualiser des fichiers sensibles ou d'injecter du contenu malveillant via une requête PUT. De plus, une exécution de code à distance peut se produire si l'application utilise la persistance de session basée sur des fichiers et inclut une bibliothèque vulnérable à des attaques de désérialisation. Les mainteneurs du projet ont corrigé la vulnérabilité dans les versions 9.0.99, 10.1.35 et 11.0.3. Cependant, des tentatives d'exploitation sont déjà signalées, soulignant la nécessité pour les utilisateurs de mettre à jour leurs instances pour éviter des menaces potentielles.
