Kaspersky et Afripol unissent leurs forces contre la cybercriminalité - Actus du 18/11/2024
Découvrez comment Kaspersky et AFRIPOL unissent leurs forces contre la cybercriminalité avec un nouvel accord, explorez les défis des identités non humaines et apprenez comment le portail Microsoft 365 est détourné pour des e-mails de sextorsion. Ne manquez pas ces enjeux cruciaux en cybersécurité !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Kaspersky et AFRIPOL renforcent leur partenariat dans la lutte contre la cybercriminalité en signant un nouvel accord de coopération
Kaspersky et AFRIPOL ont signé un accord de coopération de cinq ans pour lutter contre la cybercriminalité en Afrique, un continent particulièrement vulnérable aux cybermenaces ciblant les infrastructures industrielles. Cet accord, signé le 18 novembre 2024 à Alger, vise à renforcer le partage de données sur les menaces cybernétiques et à améliorer l'analyse du renseignement criminel. Kaspersky fournira son expertise et ses technologies à AFRIPOL, permettant ainsi à l'agence de mieux contrer les cybermenaces émergentes. Eugène Kaspersky a souligné l'importance de la coopération pour une lutte efficace contre la cybercriminalité, tandis que l'ambassadeur Jalel Chelba a affirmé que cet accord représente une avancée majeure pour la sécurité numérique en Afrique. Les deux organisations ont déjà collaboré dans le cadre d'opérations menées par INTERPOL pour perturber la cybercriminalité sur le continent. En unissant leurs forces, Kaspersky et AFRIPOL visent à renforcer la résilience numérique en Afrique et à promouvoir un cyberespace plus sûr pour tous les citoyens africains, tout en contribuant à un cadre opérationnel solide pour la lutte contre la cybercriminalité.
Sources :
Le problème des autorisations et des identités non humaines : pourquoi la correction des informations d'identification prend plus de temps que vous ne le pensez
Les permissions déterminent ce qu'une entité, comme un workload Kubernetes ou un microservice, peut demander à un autre service. La gestion des secrets, qui inclut les clés d'accès et mots de passe, est souvent négligée, entraînant une prolifération de ces informations sensibles dans divers environnements de développement. Selon le rapport de GitGuardian, 65 % des répondants estiment que la responsabilité de la remédiation incombe aux équipes de sécurité informatique. Les problèmes liés aux identifiants à long terme et à la gestion des permissions sont exacerbés par un manque de documentation et de pratiques uniformes entre les équipes. Les clés API peuvent accorder des permissions excessives, rendant difficile le respect des limites d'accès. Un changement mineur dans les permissions peut perturber des pipelines CI/CD ou provoquer des pannes majeures. Une documentation claire des permissions nécessaires par les développeurs pourrait faciliter les audits et la remédiation par les équipes de sécurité. Il est crucial que les équipes de sécurité puissent gérer les identifiants sans compromettre la production. Pour améliorer la situation, il est essentiel de documenter qui a créé chaque identifiant et de limiter les permissions au strict nécessaire, tout en assurant une gestion efficace des clés pour réduire les risques d'accès non autorisé.
Sources :
Le portail d'administration Microsoft 365 utilisé à mauvais escient pour envoyer des e-mails de sextorsion
Des escroqueries de sextorsion exploitent le portail d'administration de Microsoft 365 pour envoyer des courriels frauduleux. Ces messages prétendent que l'ordinateur de la victime a été piraté, avec des menaces de divulgation de contenus compromettants, exigeant un paiement de 500 à 5 000 dollars en Bitcoin. Récemment, des utilisateurs sur LinkedIn et d'autres plateformes ont signalé avoir reçu ces courriels via le Microsoft Message Center, ce qui leur a permis de contourner les filtres anti-spam. Les courriels provenaient de l'adresse légitime "o365mc@microsoft.com", ce qui a pu induire en erreur les destinataires. Les escrocs ont contourné la limite de 1 000 caractères imposée par le portail en modifiant le code HTML via les outils de développement du navigateur, permettant ainsi l'envoi de messages plus longs. Microsoft a été contacté et a confirmé qu'une enquête était en cours, mais aucune mesure n'a encore été mise en place pour empêcher ces abus. Les experts conseillent aux utilisateurs de supprimer ces courriels, les qualifiant de simples arnaques. Cette situation soulève des questions sur la sécurité et l'efficacité des systèmes de filtrage de Microsoft.
Sources :
La cybersécurité accessible à tous : découvrez le Service Veille ZATAZ gratuit jusqu’à fin décembre 2024
Le Service Veille ZATAZ (SVZ) propose une surveillance proactive des environnements numériques à risque, notamment sur le Darkweb, afin de protéger les utilisateurs contre les cybermenaces. Fort de plus de 25 ans d'expérience, ce service se distingue par son approche innovante et accessible. Pour célébrer le Mois de la Cybersécurité, ZATAZ offre ce service gratuitement aux particuliers jusqu'à fin décembre 2024, dans le but de sensibiliser le public aux dangers numériques et de fournir une solution concrète pour la protection des données personnelles. En seulement 15 jours, plus de 50 000 demandes ont été enregistrées, témoignant du succès de cette initiative. L'inscription est simple, mais réservée aux adresses personnelles, excluant les adresses professionnelles. Pour les entreprises, ZATAZ propose des solutions adaptées, tout en garantissant la confidentialité des données traitées par le SVZ, qui est distinct de ZATAZ.COM. Le protocole d'alerte ZATAZ a déjà aidé plus de 80 000 entreprises francophones. En choisissant le SVZ, les utilisateurs bénéficient d'une veille continue et d'une protection efficace, sans frais, jusqu'à la fin de l'année 2024. Profitez de cette opportunité pour sécuriser votre présence en ligne.
Sources :
Phishing Engie : une fausse promesse de remboursement qui piège de nombreux internautes
Des pirates ont créé un faux site web imitant presque parfaitement l'adresse officielle d'Engie pour voler des informations personnelles et bancaires. Cette attaque, analysée par ZATAZ, utilise la technique de typo-squatting, où des détails subtils, comme un tiret au lieu d'un point et l'utilisation du singulier pour "particuliers", trahissent la supercherie. Le site frauduleux, bien que sécurisé par un certificat HTTPS, incite les utilisateurs à cliquer sur un lien envoyé via un courriel usurpateur, d'abord relayé par un blog hébergé en France. Une fois sur le site, les victimes sont manipulées par un message promettant un remboursement de 62,33 €, exploitant des leviers psychologiques tels que l'urgence et l'apparence de légitimité. Les utilisateurs sont alors invités à fournir leurs coordonnées personnelles et bancaires pour prétendument réclamer leur trop-perçu. L'article souligne l'importance de ne pas se fier uniquement au HTTPS pour évaluer la légitimité d'un site et met en garde contre les dangers du phishing et de l'ingénierie sociale. La vigilance est essentielle pour se protéger contre ces arnaques de plus en plus sophistiquées. Partager ces informations peut aider à protéger d'autres internautes.
Sources :
Récapitulatif THN : principales menaces, outils et pratiques en matière de cybersécurité (du 11 au 17 novembre)
Une vulnérabilité critique non corrigée dans Fortinet a été exploitée par le groupe BrazenBamboo pour extraire des identifiants VPN via un cadre modulaire nommé DEEPDATA. Ce groupe est également lié à plusieurs familles de malwares. Par ailleurs, le groupe WIRTE, associé à Hamas, a mené des opérations d'espionnage contre plusieurs pays du Moyen-Orient, ciblant spécifiquement des entités israéliennes avec un logiciel destructeur appelé SameCoin. Un nouveau cheval de Troie bancaire, Silver Shifting Yak, a été détecté en Amérique latine, visant des institutions financières et des portails Microsoft. L'FBI a averti que des hackers exploitent des demandes de données d'urgence pour obtenir des informations privées, une première reconnaissance formelle de l'abus de ce processus légal. En matière de ransomware, le groupe Lunar Spider a été lié à une campagne de malvertising ciblant les services financiers, tandis que Scattered Spider agit comme courtier d'accès initial pour le ransomware RansomHub. Malgré une baisse des incidents de ransomware, ces menaces demeurent persistantes, incitant à des pratiques de sécurité renforcées et à une surveillance proactive des menaces.
Sources :
La nouvelle fonctionnalité de messagerie électronique protégée de Gmail permet aux utilisateurs de créer des alias pour la confidentialité des e-mails
Google prépare une nouvelle fonctionnalité appelée Shielded Email, permettant aux utilisateurs de créer des alias d'email lors de l'inscription à des services en ligne, afin de mieux lutter contre le spam. Cette fonctionnalité a été révélée par Android Authority suite à une analyse de la dernière version de Google Play Services. L'objectif est de générer des adresses email uniques et à usage unique qui redirigent les messages vers le compte principal, évitant ainsi de divulguer l'adresse email réelle lors de l'inscription. Bien que l'idée d'alias d'email pour améliorer la confidentialité ne soit pas nouvelle, Apple a introduit en 2021 une fonctionnalité similaire, Hide My Email, pour les abonnés iCloud+. D'autres fournisseurs, comme Bitwarden et DuckDuckGo, ont également lancé des fonctionnalités analogues. Par ailleurs, Google a précédemment mis en place la possibilité de créer des numéros de carte virtuels pour les paiements en ligne, mais cela reste limité aux cartes éligibles aux États-Unis. En parallèle, Google a lancé une nouvelle application, Android System Key Verifier, qui renforce la sécurité des communications en permettant aux utilisateurs de vérifier l'identité de leurs interlocuteurs via des clés de chiffrement et des QR codes.
Sources :
De faux sites de réduction exploitent le Black Friday pour détourner les informations des acheteurs
Une nouvelle campagne de phishing cible les acheteurs en ligne en Europe et aux États-Unis, imitant des marques légitimes pour voler des informations personnelles avant le Black Friday. Selon EclecticIQ, cette campagne, attribuée à un acteur malveillant chinois nommé SilkSpecter, a été observée pour la première fois en octobre 2024. Elle exploite l'augmentation des achats en ligne en novembre, en utilisant de faux produits à prix réduit comme appâts pour inciter les victimes à fournir leurs données de carte bancaire et informations personnelles. Les sites frauduleux, qui offrent des remises inexistantes, collectent discrètement les informations des visiteurs. Un composant Google Translate adapte dynamiquement la langue du site en fonction de la géolocalisation des victimes, renforçant ainsi la crédibilité de l'escroquerie. Les attaquants utilisent Stripe pour traiter les transactions, donnant une illusion de légitimité tout en exfiltrant les données vers leurs serveurs. Les victimes sont également invitées à fournir leur numéro de téléphone, ce qui pourrait faciliter des attaques de smishing et vishing ultérieures. Parallèlement, une autre opération frauduleuse, Phish 'n' Ships, utilise des boutiques en ligne fictives pour siphonner des informations financières. Les attaques par empoisonnement SEO sont également courantes, redirigeant les utilisateurs vers ces faux sites.
Sources :
Au-delà de la conformité : l'avantage des tests d'intrusion sur le réseau tout au long de l'année
Les dirigeants informatiques sont confrontés à des exigences de tests de pénétration réguliers pour se conformer aux régulations et aux assureurs cybernétiques. Cependant, la plupart des entreprises effectuent ces tests selon un calendrier fixe, souvent deux fois par an, ce qui ne suffit pas à anticiper les attaques. Selon le rapport Kaseya Cybersecurity Survey 2024, les principaux moteurs de ces tests incluent la validation des contrôles de cybersécurité et la conformité réglementaire. Les méthodes traditionnelles de test, coûteuses et chronophages, rendent difficile une fréquence accrue. En revanche, les tests de pénétration automatisés offrent une solution efficace, réduisant les coûts de plus de 60 % et permettant des évaluations rapides, souvent en quelques jours. Cela permet aux entreprises de réagir rapidement aux nouvelles vulnérabilités, transformant la cybersécurité d'une simple exigence de conformité en une véritable stratégie de défense. La plateforme vPenTest de Vonahi Security se positionne comme une solution automatisée, abordable et évolutive, répondant aux besoins de conformité tout en renforçant la sécurité des réseaux. En adoptant une approche proactive avec des tests fréquents, les entreprises peuvent mieux protéger leurs systèmes contre les menaces en constante évolution.
Sources :
IA Générative : les 5 points de vigilance que tout responsable de la sécurité devrait surveiller
L'essor de l'IA générative (Gen AI) présente aux responsables de la sécurité des opportunités et des risques considérables. Bien que les menaces telles que les deepfakes soient préoccupantes, il est crucial d'explorer comment cette technologie peut optimiser les opérations de cybersécurité. Selon SentinelOne, les responsables doivent s'adapter à l'évolution rapide de la Gen AI et comprendre son utilisation par les cybercriminels. Actuellement, 60 % des entreprises utilisent l'IA générative, mais seulement 20 % ont mis en place des politiques internes pour encadrer son utilisation. Les risques vont au-delà des violations de propriété intellectuelle, englobant des enjeux comme la compromission de la chaîne d'approvisionnement et l'exploitation des API de machine learning. Pour intégrer efficacement la Gen AI, il est essentiel de prioriser les processus et de former les équipes, en favorisant la collaboration entre les départements. Les responsables doivent également documenter les menaces et se tenir informés des réglementations, comme le règlement européen sur l'IA. En exploitant le potentiel de l'IA générative, les entreprises peuvent améliorer l'analyse des données, accélérer les enquêtes et rationaliser les workflows, renforçant ainsi leur posture de sécurité.
Sources :
Ready – Prévenir le refactoring ou comment faire du code hérité quelque chose dont on peut être fier
Egor, expert en JavaScript, MongoDB et Kafka, se concentre sur la conception de systèmes évolutifs. Il souligne l'importance de repenser la manière dont les développeurs abordent la création de fonctionnalités, souvent perçues comme des solutions temporaires. Ces fonctionnalités, bien que simples, peuvent bénéficier d'une planification réfléchie pour une réutilisation future. En utilisant des exemples de React, il démontre comment une approche flexible peut optimiser le développement. Par exemple, lorsqu'une entreprise demande de rendre certaines données visibles sur une carte produit, il est possible de concevoir un composant réutilisable qui répond à des besoins variés, comme différents mécanismes de sélection. Au lieu de créer des solutions spécifiques à chaque cas, il est plus judicieux d'implémenter des fonctionnalités abstraites qui peuvent être appliquées à plusieurs contextes. Cela permet non seulement de gagner du temps, mais aussi de rendre le code plus maintenable et adaptable. En tant qu'architecte, Egor crée des outils qui résolvent des problèmes généraux, facilitant ainsi l'application de ces solutions à des tâches spécifiques, ce qui améliore l'efficacité globale du développement.
Sources :
Le groupe NSO a exploité WhatsApp pour installer le logiciel espion Pegasus malgré le procès de Meta
Des documents juridiques révélés dans le cadre d'un conflit entre WhatsApp de Meta et le groupe NSO montrent que ce dernier a utilisé plusieurs exploits pour déployer le logiciel espion Pegasus, y compris après avoir été poursuivi par Meta. En mai 2019, WhatsApp a bloqué une attaque sophistiquée exploitant une vulnérabilité critique (CVE-2019-3568) dans son système d'appel vidéo, permettant une compromission sans interaction de la victime. Malgré les mises à jour de sécurité de WhatsApp, NSO a continué à développer de nouveaux vecteurs d'attaque, tels que Heaven et Eden, pour installer Pegasus. Les documents indiquent que NSO, et non ses clients, contrôle l'installation et la récupération des données, contredisant ses précédentes affirmations. NSO soutient que son produit vise à lutter contre la criminalité grave et le terrorisme, affirmant que ses clients gèrent le système. Parallèlement, Apple a déposé une motion pour abandonner sa poursuite contre NSO, invoquant des risques potentiels pour des informations de sécurité critiques. Apple a également renforcé la sécurité de ses appareils, introduisant des fonctionnalités comme le mode Lockdown et un mécanisme de redémarrage automatique après 72 heures d'inactivité, rendant plus difficile l'accès non autorisé aux données.
Sources :
Urgent : une vulnérabilité critique du plugin WordPress expose plus de 4 millions de sites
Une vulnérabilité critique d'authentification a été révélée dans le plugin Really Simple Security pour WordPress, permettant à un attaquant d'accéder à distance à un site vulnérable avec des droits administratifs. Suivant le suivi CVE-2024-10924 (score CVSS : 9.8), cette faille affecte plus de 4 millions de sites WordPress, tant dans les versions gratuites que premium du plugin. Selon István Márton, chercheur en sécurité chez Wordfence, cette vulnérabilité est scriptable, ce qui facilite les attaques automatisées à grande échelle. Après une divulgation responsable le 6 novembre 2024, un correctif a été publié une semaine plus tard dans la version 9.1.2. La faille, présente dans les versions 9.0.0 à 9.1.1.1, provient d'une mauvaise gestion des erreurs dans une fonction de vérification des utilisateurs, permettant à des attaquants non authentifiés de se connecter en tant qu'utilisateurs arbitraires, y compris des administrateurs, même avec l'authentification à deux facteurs activée. L'exploitation de cette vulnérabilité pourrait avoir des conséquences graves, permettant aux acteurs malveillants de détourner des sites WordPress. Cette divulgation survient peu après la révélation d'une autre faille critique dans le système de gestion de l'apprentissage WPLMS.
Sources :
Quand l’amour devient une arme : l’histoire d’une victime
Un homme de 70 ans a été victime d'une escroquerie amoureuse sur le site de rencontres Disons Demain, où il a entretenu une relation virtuelle avec une femme qui l'a progressivement manipulé pour obtenir des fonds. Après avoir versé plus de 75 000€, il a réalisé qu'il avait été trompé. Ces arnaques ciblent souvent des personnes isolées, exploitant leur besoin d'affection et leur méconnaissance des dangers en ligne. Les escrocs, appelés "brouteurs", établissent un lien émotionnel en se montrant charmants, puis exercent une pression émotionnelle pour obtenir de l'argent. Les victimes, croyant à une relation authentique, ne voient pas les signaux d'alerte. Pour lutter contre ce phénomène, il est essentiel d'éduquer les internautes sur les risques, de vérifier l'identité des interlocuteurs et de sensibiliser les proches. Une enquête de ZATAZ révèle que ces escrocs utilisent des techniques sophistiquées et des données sur leurs cibles. La coopération entre utilisateurs, plateformes et forces de l'ordre est cruciale pour démanteler ces réseaux. Les sites de rencontres doivent également renforcer leurs mesures de sécurité pour protéger les utilisateurs vulnérables.
Sources :
Ce faux mail de notaire très convaincant prétend que vous êtes héritier d’une succession
Un nouveau variant de phishing se propage, utilisant l'identité visuelle d'un cabinet de notaire légitime, potentiellement piraté. Ce courriel, signalé par un expert en cybersécurité, prétend envoyer un dossier confidentiel et incite les destinataires à entrer leur adresse e-mail pour accéder à un lien de téléchargement, prétendument sécurisé par Orange. Le document, qui semble inoffensif, demande en réalité des identifiants pour accéder à des informations sensibles. En analysant le code, l'expert a découvert qu'il redirige vers un bot sur Telegram, conçu pour collecter ces identifiants sans déclencher d'alerte sur les outils de sécurité. Les cybercriminels exploitent des adresses légitimes, rendant la détection difficile. Pour se protéger, il est conseillé de vérifier la légitimité du message en contactant directement le notaire, d'éviter de cliquer sur des fichiers suspects et de surveiller l'URL pour détecter d'éventuelles fraudes. En cas de compromission, il est crucial de changer rapidement tous les mots de passe. La société Mailinblack propose des solutions pour renforcer la cybersécurité des organisations, incluant des outils de gestion de mots de passe et des formations pour sensibiliser les employés.
Sources :
Les e-mails de phishing utilisent de plus en plus de pièces jointes SVG pour échapper à la détection
Les acteurs malveillants utilisent de plus en plus des fichiers SVG (Scalable Vector Graphics) dans leurs campagnes de phishing pour contourner la détection des logiciels de sécurité. Contrairement aux images traditionnelles comme les JPG ou PNG, qui sont composées de pixels, les SVG sont créés à partir de formes et de textes décrits par des formules mathématiques. Cette méthode permet non seulement d'afficher des graphiques, mais aussi d'intégrer du code HTML et d'exécuter du JavaScript, rendant les SVG particulièrement dangereux. Des chercheurs en sécurité, comme MalwareHunterTeam, ont observé une augmentation de l'utilisation des SVG pour créer des formulaires de phishing ou pour dissimuler des scripts malveillants. Par exemple, certains fichiers SVG imitent des documents officiels ou des feuilles de calcul Excel, incitant les utilisateurs à soumettre leurs informations personnelles. En raison de leur nature textuelle, ces fichiers sont souvent peu détectés par les logiciels de sécurité, ce qui les rend encore plus préoccupants. Les experts recommandent de traiter tout e-mail contenant des pièces jointes SVG avec suspicion et de les supprimer, sauf si l'on est un développeur s'attendant à recevoir ce type de fichier.
