La police démantèle le réseau de cybercriminalité HeartSender - Actus du 31/01/2025
Découvrez comment la CISA et la FDA alertent sur une faille critique dans les moniteurs Contec CMS8000, l'impact d'une violation de données touchant 1 million de patients aux USA, et les prédictions 2025 de Yubico sur les nouvelles technologies pour un avenir sécurisé. Lire plus!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La CISA et la FDA mettent en garde contre une porte dérobée critique dans les moniteurs de surveillance des patients Contec CMS8000
La CISA (Cybersecurity and Infrastructure Security Agency) et la FDA (Food and Drug Administration) des États-Unis ont émis des alertes concernant des vulnérabilités dans les moniteurs de patients Contec CMS8000 et Epsimed MN-120. La vulnérabilité principale, identifiée comme CVE-2025-0626, a un score CVSS v4 de 7.7. Elle permet à un acteur malveillant d'accéder à distance à l'appareil via une adresse IP codée en dur, contournant les paramètres réseau existants. Cela pourrait permettre le téléchargement et l'exécution de fichiers non vérifiés. Deux autres vulnérabilités ont également été signalées : CVE-2024-12248, avec un score de 9.3, permettant l'exécution de code à distance, et CVE-2025-0683, avec un score de 8.2, entraînant la fuite de données patients vers une adresse IP publique. La FDA a indiqué qu'aucun incident lié à ces vulnérabilités n'avait été signalé jusqu'à présent. En raison de l'absence de correctifs, la CISA recommande de déconnecter ces appareils des réseaux. Les moniteurs CMS8000 sont fabriqués par Contec Medical Systems, une entreprise basée en Chine, qui affirme que ses produits sont approuvés par la FDA et distribués dans plus de 130 pays.
Sources :
Une violation de données sur un prestataire de soins de santé aux États-Unis affecte 1 million de patients
Le Community Health Center (CHC), un fournisseur de soins de santé du Connecticut, a informé plus d'un million de patients d'une violation de données ayant affecté leurs informations personnelles et de santé. Cette organisation à but non lucratif, qui dessert plus de 145 000 patients actifs, a révélé dans un dépôt auprès du procureur général du Maine que des attaquants inconnus avaient accédé à son réseau à la mi-octobre 2024, une violation découverte plus de deux mois plus tard, le 2 janvier 2025. Les fichiers volés contenaient des informations personnelles et de santé de 1 060 936 individus, mais CHC a assuré que les systèmes compromis n'avaient pas été chiffrés et que l'incident n'avait pas perturbé ses opérations. Des enquêteurs ont déterminé qu'un "hacker criminel qualifié" était à l'origine de l'attaque, mais CHC a réussi à stopper l'accès du hacker en quelques heures. Les données volées comprenaient des noms, dates de naissance, adresses, numéros de sécurité sociale, ainsi que des informations médicales. Cette violation survient dans un contexte où les attaques de ransomware dans le secteur de la santé sont en forte augmentation, incitant le Département américain de la Santé à proposer des mises à jour des réglementations HIPAA pour mieux protéger les données des patients.
Sources :
Prédictions 2025 de Yubico : l’émergence de nouvelles technologies pour un avenir sécurisé
Le paysage de la cybersécurité est en constante évolution, avec des menaces de plus en plus sophistiquées, notamment le phishing assisté par l'intelligence artificielle. Les experts de Yubico soulignent l'importance des innovations comme les portefeuilles numériques et les passkeys pour contrer ces défis. La majorité des problèmes de cybersécurité proviennent d'identités compromises, et il est crucial d'adopter des solutions qui équilibrent sécurité, facilité d'utilisation et protection de la vie privée. Les portefeuilles d'identité numérique permettent aux utilisateurs de contrôler le partage de leurs données personnelles, tandis que l'authentification basée sur les normes FIDO renforce leur sécurité. L'adoption des passkeys, qui remplacent les mots de passe, est également essentielle, bien que les organisations doivent mettre en place des stratégies efficaces pour maximiser leur potentiel. Les consommateurs, souvent réticents à adopter de nouvelles méthodes d'authentification, doivent être sensibilisés aux avantages des passkeys. Pour réussir, il est impératif d'éliminer les méthodes peu sécurisées comme les OTP par SMS et de promouvoir une expérience utilisateur optimale. En 2025, une adoption mondiale des portefeuilles numériques et des passkeys pourrait transformer la cybersécurité, protégeant ainsi citoyens et organisations.
Sources :
En plaçant la protection des données au cœur de leur stratégie, les entreprises assurent leur résilience face aux évolutions technologiques
L'adoption croissante de l'intelligence artificielle transforme les données en un actif essentiel pour les entreprises, synonyme d'efficacité et de compétitivité. Cependant, la gestion des données devient cruciale face à un flux constant d'informations, à l'hyperpersonnalisation des services et à des réglementations de plus en plus strictes sur la confidentialité. Olivier Tijou, Vice-Président EMEA chez Denodo, souligne que la protection des données est primordiale dans un environnement où elles alimentent l'innovation. Les entreprises doivent optimiser la distribution des données tout en garantissant leur sécurité à chaque étape. Pour répondre aux défis réglementaires, elles investissent dans des outils de conformité automatisés et des cadres de gouvernance qui équilibrent protection et accessibilité. L'émergence des données synthétiques représente une avancée significative, permettant d'entraîner des modèles d'IA tout en minimisant les risques liés à la divulgation d'informations sensibles. Ainsi, les entreprises doivent adopter une approche agile centrée sur la gouvernance des données, où la sécurité et la confidentialité deviennent des leviers de performance. En intégrant la protection des données dans leur stratégie, elles renforcent leur résilience face aux évolutions technologiques et réglementaires, tout en améliorant leur compétitivité sur le marché.
Sources :
La police démantèle le réseau de cybercriminalité HeartSender
Les autorités judiciaires des États-Unis et des Pays-Bas ont démantelé le réseau de cybercriminalité HeartSender, en saisissant 39 domaines et serveurs associés à ce groupe de phishing basé au Pakistan, également connu sous le nom de Saim Raza et Manipulators Team. Actif depuis plus d'une décennie, ce groupe vendait des outils de piratage et de fraude, tels que des kits de phishing et des logiciels malveillants, à des organisations criminelles transnationales. Malgré une baisse temporaire de leur activité après l'exposition de leurs opérations par le journaliste Brian Krebs, ils ont continué à opérer via plusieurs boutiques en ligne pour réduire les risques de suppression. L'enquête, lancée fin 2022 par la police néerlandaise, a conduit à l'opération 'Heart Blocker', révélant des pertes de plus de 3 millions de dollars pour les victimes américaines. Les outils proposés par HeartSender ont été utilisés pour des escroqueries par email, permettant aux cybercriminels de tromper des entreprises. Parallèlement, une autre opération, 'Talent', a conduit à la fermeture de deux grands forums de piratage, Cracked et Nulled, et à l'arrestation de suspects en Espagne.
Sources :
Top 5 des attaques d'ingénierie sociale utilisant l'IA
L'article aborde l'impact croissant de l'intelligence artificielle (IA) sur les attaques d'ingénierie sociale, qui exploitent les émotions telles que la confiance, la peur et le respect de l'autorité pour accéder à des informations sensibles. Avec l'IA, ces attaques peuvent désormais être menées à grande échelle et sans expertise psychologique. Cinq méthodes sont présentées, illustrées par des exemples récents. Un incident notable concerne une attaque sur un employé d'Arup, où une invitation à une réunion par e-mail a suscité des soupçons de phishing. Un autre cas dramatique implique une mère recevant un appel d'extorsion utilisant une voix clonée par IA, la plongeant dans la panique. De plus, des vidéos truquées, comme celle de Zelensky, soulignent la capacité de l'IA à manipuler l'opinion publique. L'article insiste sur la nécessité d'éduquer les employés pour gérer leurs réactions face à des demandes inattendues. Un plan d'action en trois points est proposé : sensibiliser les employés aux menaces de deepfake, simuler des attaques d'ingénierie sociale et revoir les défenses organisationnelles pour anticiper les mouvements des attaquants potentiels. L'évolution rapide de ces techniques souligne l'urgence d'une vigilance accrue.
Sources :
L'Italie interdit l'IA chinoise DeepSeek pour des raisons de confidentialité des données et d'éthique
L'autorité italienne de protection des données a bloqué le service de l'entreprise chinoise DeepSeek, spécialisée dans l'intelligence artificielle, en raison d'un manque d'informations sur l'utilisation des données personnelles des utilisateurs. Le Garante a exprimé des préoccupations concernant la collecte, les sources, les finalités et la légalité des données, ainsi que leur stockage potentiel en Chine. DeepSeek a fourni des informations jugées "complètement insuffisantes" et a déclaré ne pas opérer en Italie, affirmant que la législation européenne ne s'appliquait pas à elle. En conséquence, l'autorité a décidé de bloquer l'accès à DeepSeek et d'ouvrir une enquête. Parallèlement, la société a connu une forte popularité, attirant des millions d'utilisateurs, mais a également été la cible d'attaques malveillantes et de critiques concernant sa politique de confidentialité et des préoccupations de sécurité nationale. Des vulnérabilités dans ses modèles de langage ont été identifiées, permettant à des acteurs malveillants de générer du contenu dangereux. Des failles similaires ont été découvertes dans d'autres outils d'IA, comme GitHub Copilot, soulignant les risques d'abus sans protections adéquates.
Sources :
Google bannit 158 000 comptes de développeurs d'applications Android malveillants en 2024
En 2024, Google a bloqué plus de 2,36 millions d'applications Android violant ses politiques et a interdit plus de 158 000 comptes développeurs malveillants. L'entreprise a également empêché 1,3 million d'applications d'accéder de manière excessive aux données sensibles des utilisateurs, en collaborant avec des développeurs tiers. Google Play Protect a identifié 13 millions de nouvelles applications malveillantes en dehors du Play Store. Grâce à une coopération étroite avec les développeurs, plus de 91 % des installations d'applications sur le Play Store utilisent les protections les plus récentes d'Android. En comparaison, les chiffres de 2022 et 2023 étaient respectivement de 1,43 million et 2,28 millions d'applications bloquées. L'utilisation de l'API Play Integrity a permis de réduire de 80 % l'utilisation d'applications provenant de sources non vérifiées. Google a également sécurisé 10 millions d'appareils contre 36 millions de tentatives d'installation risquées dans plusieurs pays. De plus, un nouveau badge "Vérifié" pour les applications VPN a été introduit. Cependant, de nouvelles menaces, comme le malware Tria Stealer, continuent d'émerger, ciblant principalement les utilisateurs Android en Malaisie et Brunei, et exploitant des applications de messagerie pour voler des données sensibles.
Sources :
5 millions d’euros de revenus : la police ferme un marché géant pour les pirates
Les forces de police ont récemment fermé deux des plus grands forums de cybercriminalité, Cracked et Nulled, qui comptaient environ 10 millions d'utilisateurs et généraient des millions d'euros de profits. Annoncée par Europol le 30 janvier 2025, cette opération a également conduit à l'arrestation de deux suspects à Valence, en Espagne, et à la saisie de plus de 300 000 dollars en espèces, ainsi que d'appareils électroniques et d'actifs en crypto-monnaie. Les forums servaient de marché pour échanger des biens et services illégaux, incluant des données personnelles volées et des outils de piratage. Nulled aurait hébergé plus de 43 millions de publications, générant environ 1 million d'euros de revenus, tandis que Cracked aurait rapporté 4 millions d'euros, touchant au moins 17 millions de victimes aux États-Unis. L'enquête, ouverte en mars 2024, a permis d'identifier huit suspects, dont deux citoyens allemands. Cette opération s'inscrit dans une série de succès d'Europol contre la cybercriminalité, ayant également mis hors ligne d'autres plateformes et services utilisés par des criminels.
Sources :
Broadcom corrige les failles de VMware Aria – les exploits peuvent conduire au vol d’identifiants
Broadcom a publié des mises à jour de sécurité pour corriger cinq vulnérabilités affectant VMware Aria Operations et Aria Operations for Logs, avertissant que des attaquants pourraient les exploiter pour obtenir un accès élevé ou des informations sensibles. Les failles identifiées, touchant les versions 8.x du logiciel, incluent :
- CVE-2025-22218 (CVSS 8.5) : un acteur malveillant avec des permissions d'administrateur en lecture seule pourrait lire les identifiants d'un produit VMware intégré.
- CVE-2025-22219 (CVSS 6.8) : un utilisateur non administratif pourrait injecter un script malveillant via une attaque XSS stockée.
- CVE-2025-22220 (CVSS 4.3) : un acteur avec accès réseau à l'API pourrait effectuer des opérations en tant qu'administrateur.
- CVE-2025-22221 (CVSS 5.2) : un administrateur pourrait injecter un script malveillant lors d'une action de suppression.
- CVE-2025-22222 (CVSS 7.7) : un utilisateur non administratif pourrait récupérer des identifiants de plugin sortant.
Ces vulnérabilités ont été détectées par des chercheurs de Michelin CERT et ont été corrigées dans la version 8.18.3. Broadcom n'a pas signalé d'exploitation active de ces failles. Cette annonce survient après un avertissement concernant une autre vulnérabilité critique dans VMware Avi Load Balancer.
Sources :
KuCoin devra payer près de 300 millions de dollars d'amende après avoir plaidé coupable
KuCoin, opérée par PEKEN Global Limited, a plaidé coupable d'avoir dirigé une entreprise de transfert d'argent non autorisée et a accepté de payer 297 millions de dollars en pénalités pour régler des accusations aux États-Unis. En mars 2024, la plateforme de cryptomonnaie a été accusée de ne pas avoir mis en œuvre les exigences anti-blanchiment d'argent (AML), permettant ainsi à des cybercriminels de blanchir leurs gains. Le ministère américain de la Justice a révélé que KuCoin n'avait pas respecté les obligations légales de mise en place d'un système "connaître son client" (KYC) pour vérifier l'identité des utilisateurs, tout en dissimulant cette exigence légale aux clients. Ce manquement a perduré jusqu'en juillet 2023, KuCoin n'instaurant un système KYC qu'en août 2023, permettant aux clients existants de retirer leurs fonds sans passer par ce processus. KuCoin a été utilisée pour faciliter des transactions suspectes, y compris des gains provenant de marchés clandestins et de fraudes. En conséquence, KuCoin se retirera du marché américain pendant deux ans, et ses fondateurs seront écartés de la gestion. Les revenus de KuCoin aux États-Unis entre 2017 et 2024 sont estimés à 184,5 millions de dollars.
Sources :
Une porte dérobée a été découverte dans deux moniteurs de surveillance de patients, liée à une propriété intellectuelle en Chine
Une vulnérabilité a été découverte dans des moniteurs de patients de Contec, une entreprise chinoise spécialisée dans la technologie de la santé. Cette faille, révélée par un chercheur externe à la CISA, a été identifiée dans le firmware des dispositifs CMS8000, qui envoient des données vers une adresse IP externe codée en dur, associée à une université, et non à l'entreprise. Cette adresse IP est également présente dans d'autres équipements médicaux, y compris des moniteurs de grossesse d'un autre fabricant chinois. L'analyse du firmware a révélé un backdoor dans l'exécutable 'monitor', permettant à un tiers de prendre le contrôle à distance du dispositif en exécutant des commandes Linux. Bien que Contec ait tenté de désactiver l'adaptateur réseau pour atténuer la faille, le script permet toujours de le réactiver et d'envoyer des données patient. La CISA a souligné que ces pratiques vont à l'encontre des normes de sécurité acceptées, notamment en matière de gestion des mises à jour des dispositifs médicaux. Un avis de la FDA a également confirmé la présence de cette vulnérabilité dans d'autres moniteurs de patients, soulignant l'importance d'une vigilance accrue dans la sécurité des dispositifs médicaux.
Sources :
Google a bloqué 2,36 millions d'applications Android à risque sur Play Store en 2024
En 2024, Google a bloqué 2,36 millions d'applications Android jugées risquées sur le Play Store, en raison de violations de ses politiques. De plus, 158 000 comptes développeurs ont été bannis pour avoir tenté de publier des applications nuisibles, telles que des malwares et des spywares. Ces chiffres montrent une augmentation par rapport aux années précédentes, où 2,28 millions d'applications avaient été bloquées en 2023 et 1,5 million en 2022. L'utilisation de l'IA pour assister les revues humaines a été un facteur clé, étant impliquée dans 92 % des cas de violations. Google a également empêché 1,3 million d'applications d'obtenir des autorisations excessives, protégeant ainsi les données sensibles des utilisateurs. Le système de sécurité intégré, Google Play Protect, a été amélioré pour offrir une protection en temps réel contre les applications malveillantes, scannant plus de 200 milliards d'applications quotidiennement. En 2024, il a identifié plus de 13 millions de nouvelles applications malveillantes provenant de sources externes. Malgré ces efforts, des vulnérabilités subsistent, et les utilisateurs doivent rester vigilants en n'installant que des applications de développeurs réputés et en surveillant les autorisations accordées.
Sources :
Une attaque de ransomware perturbe le géant du don de sang de New York
Le New York Blood Center (NYBC), l'une des plus grandes organisations indépendantes de collecte et de distribution de sang au monde, a été victime d'une attaque par ransomware le 26 janvier 2025, perturbant ses opérations et entraînant la reprogrammation de certains rendez-vous. NYBC, qui collecte près de 4 000 unités de produits sanguins par jour pour plus de 75 millions de personnes, a détecté une activité suspecte sur ses systèmes informatiques et a immédiatement engagé des experts en cybersécurité pour enquêter. Bien que l'organisation continue d'accepter des dons, elle a dû annuler certains rendez-vous et collectes de sang en raison des perturbations causées par l'attaque. Cette cyberattaque survient alors que NYBC avait récemment déclaré une urgence sanguine, suite à une chute de près de 30 % des dons. L'organisation n'a pas encore précisé si des informations personnelles ou médicales des donneurs avaient été compromises. Aucune revendication n'a été faite par les groupes de ransomware, mais ces derniers volent souvent des données sensibles avant de procéder à l'extorsion. NYBC assure que la santé des communautés reste sa priorité et qu'elle travaille avec ses partenaires hospitaliers pour rétablir les services.
Sources :
Multiplication des vulnérabilités des systèmes de contrôle industriel : les prédictions de Kaspersky pour les entreprises industrielles en 2025
L’équipe ICS CERT de Kaspersky a publié ses prévisions de cybersécurité pour 2025, soulignant l'importance cruciale de la protection des systèmes de contrôle industriel dans un contexte de tensions géopolitiques croissantes. Les menaces, telles que les ransomwares, qui ont ciblé les entreprises industrielles en 2024, persistent, tandis que de nouveaux risques émergent. Parmi ceux-ci, le vol de technologies innovantes représente une menace significative, les cybercriminels visant les instituts de recherche et les entreprises pionnières. L'adoption de technologies avancées comme l'IA et l'informatique quantique, bien que bénéfique, introduit également des vulnérabilités. De plus, le choix de fournisseurs peu sécurisés expose les entreprises à des risques accrus, notamment à travers des chaînes d'approvisionnement complexes. L'utilisation d'outils open-source pour l'automatisation facilite les attaques cyber-physiques, rendant ces dernières plus accessibles aux cybercriminels. Kaspersky appelle les entreprises à adopter des mesures de cybersécurité proactives, à évaluer rigoureusement la sécurité de leurs fournisseurs et à former continuellement leurs équipes pour faire face à ces défis croissants. Le rapport complet est disponible sur le site de l’ICS CERT et sur Securelist.
Sources :
Google : Plus de 57 groupes de menaces étatiques utilisent l'IA pour leurs cyberopérations
Plus de 57 acteurs de menace distincts, liés à la Chine, l'Iran, la Corée du Nord et la Russie, exploitent la technologie d'intelligence artificielle (IA) de Google pour renforcer leurs opérations malveillantes. Selon le rapport du Google Threat Intelligence Group (GTIG), ces groupes, notamment les menaces persistantes avancées (APT), utilisent principalement l'IA pour la recherche, le dépannage de code et la création de contenu. Les acteurs iraniens, en particulier le groupe APT42, sont les plus grands utilisateurs de l'outil Gemini, l'utilisant pour des campagnes de phishing et des recherches sur des experts en cybersécurité. Les groupes chinois se concentrent sur la reconnaissance et l'infiltration des réseaux, tandis que les acteurs russes se limitent à la conversion de logiciels malveillants. La Corée du Nord utilise également Gemini pour des recherches sur des emplois, soutenant des efforts pour placer des travailleurs IT clandestins dans des entreprises occidentales. Google a observé des annonces sur des forums souterrains pour des modèles de langage malveillants, conçus pour des attaques de phishing. L'entreprise souligne l'importance d'une collaboration public-privé accrue pour renforcer la cybersécurité et contrer ces menaces.
Sources :
DeepSeek expose une base de données contenant plus d'un million d'enregistrements de chat
DeepSeek, une startup chinoise spécialisée dans l'IA, a exposé publiquement deux bases de données contenant des informations sensibles, y compris plus d'un million d'enregistrements de discussions utilisateurs en texte clair. Cette vulnérabilité a été découverte par Wiz Research lors d'une évaluation de la sécurité de l'infrastructure externe de DeepSeek. Les bases de données, accessibles sans authentification, contenaient des logs internes, des clés API et des détails opérationnels. Wiz a averti que cette exposition représentait un risque critique pour la sécurité de DeepSeek et de ses utilisateurs, permettant à des attaquants potentiels d'accéder à des messages de chat, des mots de passe en clair et d'autres informations sensibles. Bien que Wiz ait limité ses explorations pour respecter des contraintes éthiques, il reste incertain si d'autres acteurs malveillants avaient déjà exploité cette faille. DeepSeek a rapidement corrigé la situation après avoir été informé. En outre, la société fait face à des préoccupations concernant sa posture de sécurité, surtout en tant qu'entité chinoise soumise à des demandes d'accès aux données du gouvernement. Cette situation soulève des inquiétudes pour les organisations utilisant son modèle d'IA dans des opérations sensibles.
