Guide expert de CISO sur le CTEM et son importance - Actus du 17/02/2025
Finastra alerte sur la violation de données d'octobre, la Corée du Sud stoppe les IA pour protéger la vie privée, et Microsoft déploie une mise à jour BIOS pour corriger les écrans bleus ASUS. Découvrez comment ces événements impactent la technologie aujourd'hui!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le géant fintech Finastra informe les victimes de violation de données d'octobre
Le géant de la fintech, Finastra, a informé les victimes d'une violation de données survenue en octobre 2024, où des informations personnelles ont été volées par des attaquants inconnus. Basée à Londres, Finastra fournit des applications logicielles de services financiers à plus de 8 100 institutions financières dans 130 pays. La société a détecté l'incident de sécurité le 7 novembre, après avoir identifié une activité malveillante sur ses systèmes. Une enquête a révélé qu'un tiers non autorisé avait accédé à une plateforme de transfert de fichiers sécurisée (SFTP) entre le 31 octobre et le 8 novembre 2024, obtenant certains fichiers le 31 octobre. Finastra a assuré qu'il n'y avait aucune indication que les données volées avaient été copiées ou partagées, et a minimisé le risque pour les individus concernés. Bien que le nombre de personnes affectées et la nature des données exposées n'aient pas été divulgués, des lettres de notification ont été envoyées à au moins 65 personnes dont les informations financières ont été compromises. Finastra offre également deux ans de surveillance de crédit gratuite et de services de restauration d'identité via Experian aux victimes. L'incident pourrait être lié à une publication d'un acteur malveillant sur un forum de cybercriminalité.
Sources :
La Corée du Sud suspend les téléchargements d'IA profondément en profondeur sur les violations de la confidentialité
La Corée du Sud a suspendu formellement les nouveaux téléchargements du chatbot d'intelligence artificielle chinois DeepSeek, à compter du 15 février 2025, en raison de non-conformités avec les réglementations sur la protection des données. La Commission de protection des informations personnelles (PIPC) a annoncé que cette suspension était nécessaire après avoir identifié des lacunes dans les fonctions de communication et les politiques de traitement des données personnelles de DeepSeek. Bien que le service web reste accessible, les téléchargements de l'application sont bloqués jusqu'à ce que l'entreprise mette en œuvre les améliorations requises pour se conformer à la loi sur la protection des informations personnelles. La PIPC a également conseillé aux utilisateurs existants de faire preuve de prudence et de ne pas entrer d'informations personnelles dans l'application. Cette décision fait suite à des préoccupations exprimées par le Service national de renseignement (NIS) concernant la collecte excessive de données personnelles par DeepSeek. De plus, des failles de sécurité ont été détectées dans les applications Android et iOS, permettant l'envoi de données non chiffrées vers les serveurs de l'entreprise. La PIPC prévoit d'améliorer les directives pour éviter de futurs manquements.
Sources :
Microsoft déploie la mise à jour du BIOS qui résout les problèmes d'écran bleu ASUS
Microsoft a déployé une mise à jour du BIOS pour résoudre les problèmes d'écran bleu (BSOD) rencontrés par certains utilisateurs d'ASUS lors de la mise à jour vers Windows 11 version 24H2. Ces problèmes, reconnus en octobre, affectent principalement les modèles de portables ASUS X415KA et X515KA, qui ne pouvaient pas terminer l'installation de la mise à jour. La mise à jour du BIOS, considérée comme critique, est désormais disponible via Windows Update et doit être installée pour lever la protection empêchant la mise à niveau. Les utilisateurs d'ASUS doivent s'assurer que leur BIOS est à jour, avec une version supérieure ou égale à 311, pour pouvoir procéder à l'installation de Windows 11 24H2. Microsoft a également levé d'autres restrictions liées à des problèmes de compatibilité, notamment pour les appareils utilisant Auto HDR et ceux rencontrant des problèmes avec le jeu Assassin's Creed. Cependant, certains utilisateurs peuvent encore faire face à des blocages dus à des configurations ou logiciels incompatibles, comme Asphalt 8 ou des applications de sécurité. Les utilisateurs sont donc encouragés à vérifier les mises à jour disponibles pour garantir la compatibilité de leur système.
Sources :
Guide expert de CISO sur le CTEM et pourquoi c'est important
Les menaces cybernétiques évoluent rapidement, et il est crucial que les stratégies de défense s'adaptent. Un nouveau guide gratuit présente la gestion continue de l'exposition aux menaces (CTEM) comme une approche proactive efficace pour renforcer la cybersécurité des entreprises. Ce rapport met en avant les avantages de CTEM par rapport aux cadres traditionnels tels que la gestion des vulnérabilités (VM) et la gestion de la surface d'attaque (ASM). Il illustre, à travers un scénario concret, comment une attaque de formjacking serait gérée sous ces trois cadres : avec VM, l'attaque pourrait passer inaperçue pendant des semaines, tandis qu'avec CTEM, des attaques simulées permettraient de la détecter et de la neutraliser avant qu'elle ne commence. CTEM s'appuie sur les solutions existantes de VM et ASM, sans nécessiter leur abandon. Introduit par Gartner en 2022, CTEM propose une approche holistique qui évalue les menaces internes et externes, tout en priorisant les efforts de sécurité selon l'impact commercial. En équilibrant risques et coûts, CTEM aide les entreprises à définir leur appétit au risque et à répondre efficacement aux menaces contemporaines. Le guide téléchargeable fournit des informations sur les solutions CTEM disponibles pour protéger proactivement les entreprises contre des menaces avancées.
Sources :
Recap hebdomadaire thn: Google Secrets volé, Windows Hack, New Crypto Scams et plus
Datadog a rapporté que 1 % des organisations surveillées ont été touchées par l'attaque whoAMI, exploitant des vulnérabilités dans Microsoft Active Directory et le protocole Netlogon pour accéder aux contrôleurs de domaine. Les attaquants se font passer pour des fonctionnaires sud-coréens et utilisent des emails de phishing ciblés. Par ailleurs, des failles critiques dans ThinkPHP et OwnCloud sont activement exploitées, avec des attaques provenant de plusieurs pays. Un individu, recruté par le FSB russe, aurait transmis des secrets d'État via un téléphone mobile spécial. L'accès illicite à des modèles de langage est utilisé pour générer du contenu inapproprié et contourner les interdictions sur ChatGPT dans des pays comme la Chine. Une analyse de sécurité a révélé des problèmes dans les applications RedNote. Les experts soulignent la nécessité de transitions vers des options plus sûres comme Rust. De plus, des actions du ministère de la Justice ciblent la fraude crypto, avec des condamnations pour des vols de cryptomonnaies. Un sénateur et un membre du Congrès ont exprimé des préoccupations concernant une directive britannique menaçant la sécurité des données américaines. Enfin, des histoires variées incluent des vols de secrets d'IA et des failles dans l'interface utilisateur de Windows.
Sources :
La nouvelle porte dérobée basée à Golang utilise une API de bot télégramme pour les opérations C2 évasives
Des chercheurs en cybersécurité ont découvert un nouveau cheval de Troie basé sur Golang, utilisant Telegram pour les communications de commande et de contrôle (C2). Selon Netskope Threat Labs, ce malware pourrait avoir des origines russes. Une fois exécuté, il agit comme un backdoor, vérifiant son emplacement et son nom. S'il ne correspond pas, il se copie dans "C:\Windows\Temp\svchost.exe", lance la version copiée et se termine. Ce malware utilise une bibliothèque open-source pour interagir avec l'API Telegram Bot, permettant de recevoir des commandes d'un chat contrôlé par un acteur malveillant. Il prend en charge quatre commandes, dont trois sont actuellement fonctionnelles : /cmd (exécuter des commandes via PowerShell), /persist (relancer le malware) et /selfdestruct (supprimer le fichier et se terminer). Bien que la commande /screenshot soit mentionnée, elle n'est pas encore opérationnelle. L'origine russe est suggérée par le message en russe envoyé lors de l'exécution de la commande /cmd. Les chercheurs soulignent que l'utilisation d'applications cloud complique la tâche des défenseurs, rendant ces outils attrayants pour les attaquants à différentes étapes d'une attaque.
Sources :
La fonctionnalité de sécurité alimentée par Google Chrome se déroule à tout le monde
Google Chrome a récemment mis à jour sa fonctionnalité de "Protection améliorée" en intégrant l'intelligence artificielle (IA) pour offrir une protection "en temps réel" contre les sites web, téléchargements et extensions dangereux. Cette mise à jour, qui a été déployée sur le canal stable de Chrome après trois mois de tests, vise à renforcer la sécurité des utilisateurs. Bien que la protection améliorée fasse partie des fonctionnalités de navigation sécurisée depuis plusieurs années, l'intégration de l'IA marque un tournant dans son fonctionnement. Google a précédemment utilisé le terme "protection proactive", mais a choisi de le modifier pour refléter cette nouvelle approche. L'IA pourrait permettre d'analyser les comportements en temps réel et d'avertir les utilisateurs des sites potentiellement nuisibles, même ceux non identifiés auparavant. De plus, la protection IA effectue une analyse approfondie des téléchargements suspects. Cependant, il est important de noter que les données de navigation sont envoyées à Google lorsque cette fonctionnalité est activée. Par défaut, la protection améliorée avec IA est désactivée, mais les utilisateurs peuvent l'activer via les paramètres de sécurité sur Windows, Android et iOS.
