La tromperie alimentée par AI menace nos sociétés - Actus du 21/02/2025
Découvrez comment les cybercriminels utilisent Darcula Phaas V3 pour cloner des sites en minutes. Participez à notre webinaire sur les lacunes d'identité et la dette de sécurité en 2025. Explorez l'impact des tromperies par IA sur nos sociétés. Ne manquez pas cet article crucial!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les cybercriminels peuvent désormais cloner le site de n'importe quelle marque en quelques minutes en utilisant Darcula Phaas V3
La plateforme de phishing-as-a-service (PhaaS) Darcula se prépare à lancer une nouvelle version qui permettra aux cybercriminels de cloner facilement n'importe quel site web légitime pour créer des versions de phishing. Cette évolution réduit considérablement le niveau d'expertise technique requis pour mener des attaques de phishing à grande échelle. Selon une analyse de Netcraft, cette mise à jour représente un changement majeur dans les capacités criminelles, facilitant la création de campagnes de phishing complexes et personnalisables. Depuis sa découverte en mars 2024, plus de 95 000 nouveaux domaines de phishing Darcula ont été détectés et bloqués, ainsi que près de 31 000 adresses IP et plus de 20 000 sites frauduleux. La nouvelle version permet aux utilisateurs de générer des kits de phishing à la demande en fournissant simplement l'URL de la marque à imiter. Grâce à des outils d'automatisation, les utilisateurs peuvent personnaliser les éléments HTML et injecter du contenu de phishing. De plus, Darcula v3 propose des tableaux de bord pour gérer les campagnes et convertir les informations de carte de crédit volées en images virtuelles, pouvant être utilisées à des fins illicites. Actuellement, l'outil est en phase de test interne.
Sources :
Webinaire: Apprenez à identifier les lacunes à haut risque d'identité et la dette de sécurité en 2025
Dans le paysage numérique actuel, la sécurité des identités est cruciale pour éviter les violations et les temps d'arrêt coûteux. De nombreuses entreprises sont submergées par un trop grand nombre d'identités d'utilisateurs et des systèmes obsolètes, les rendant vulnérables aux cyberattaques. Sans un plan stratégique, ces failles de sécurité peuvent se transformer en passifs onéreux. Le webinaire "Construire une identité résiliente : réduire la dette de sécurité en 2025" propose des stratégies pratiques pour protéger votre entreprise contre les menaces modernes. Les experts y expliqueront comment détecter les risques, optimiser les ressources et moderniser les systèmes pour anticiper les menaces émergentes. Les participants apprendront à identifier les risques cachés, à suivre un plan d'action pour corriger les vulnérabilités critiques et à faire évoluer continuellement leurs mesures de sécurité. Les intervenants, Karl Henrik Smith et Adam Boucher, simplifieront les défis de sécurité en actions concrètes à mettre en œuvre immédiatement. Cet événement est essentiel pour ceux qui souhaitent prendre des décisions éclairées et établir un cadre de sécurité des identités robuste. Inscrivez-vous dès maintenant pour sécuriser votre organisation pour 2025 et au-delà.
Sources :
La tromperie alimentée par AI est une menace pour nos sociétés
L'article examine l'évolution de la communication, depuis l'inscription de Behistun par le roi perse Darius en 515 av. J.-C. jusqu'à l'impact des réseaux sociaux sur la perception de la vérité aujourd'hui. Il souligne que, contrairement aux médias traditionnels, les plateformes sociales ne sont pas tenues de présenter des points de vue opposés, ce qui peut créer des chambres d'écho et polariser les opinions. Environ un Américain sur cinq s'informe via les réseaux sociaux, où les algorithmes privilégient le contenu qui attire l'attention, renforçant ainsi les biais existants. L'article met également en lumière les dangers de la désinformation alimentée par l'IA, comme la création de faux enregistrements audio et la manipulation des sentiments publics à grande échelle. Des acteurs malveillants, notamment en Chine et en Russie, exploitent ces technologies pour influencer des élections. Face à cette réalité, il est crucial d'éduquer les individus sur la désinformation et de développer leur esprit critique. Cela inclut la sensibilisation aux attaques d'ingénierie sociale, telles que le phishing, qui exploitent les émotions et les instincts humains. En somme, l'article appelle à une vigilance accrue face à la manipulation de l'information à l'ère numérique.
Sources :
Baromètre du CESIN : la protection des données et la souveraineté sont clés pour les entreprises
Le Club des Experts de la Sécurité de l’Information et du Numérique (CESIN) a publié la 10ème édition de son baromètre sur la cybersécurité en entreprise, révélant des tendances préoccupantes pour 2024. Pierre-Yves Hentzen, PDG de Stormshield, souligne deux enjeux majeurs : la protection des données et la souveraineté. L'étude indique une augmentation significative du vol de données, avec 42 % des entreprises ayant subi une cyberattaque déclarant ce type de préjudice, soit une hausse de 11 points par rapport à l'année précédente. Cela met en évidence la nécessité d'adopter des solutions de protection, comme le chiffrement, pour éviter l'exposition, l’effacement ou l’altération des données. Par ailleurs, la question de la souveraineté est cruciale, préoccupant 52 % des répondants. Les réglementations, telles que NIS2, incitent les entreprises à privilégier des solutions de cybersécurité souveraines afin de réduire les risques d'espionnage et d'interruption de services. Ainsi, la souveraineté et la confiance deviennent des prérequis indispensables pour se conformer aux exigences réglementaires et assurer la sécurité des organisations face à des menaces croissantes.
Sources :
Cisco confirme que Salt Typhoon a exploité CVE-2018-0171 pour cibler les réseaux de télécommunications américaines
Cisco a confirmé que le groupe de hackers chinois, connu sous le nom de Salt Typhoon, a accédé à des systèmes en exploitant une vulnérabilité de sécurité connue, CVE-2018-0171, et en obtenant des identifiants de connexion légitimes dans le cadre d'une campagne ciblée contre des entreprises de télécommunications américaines. Selon Cisco Talos, ces acteurs menaçants, qualifiés de sophistiqués et bien financés, ont réussi à maintenir un accès persistant pendant plus de trois ans dans certains cas. La campagne montre une coordination et une planification élevées, caractéristiques des menaces persistantes avancées (APT) et des acteurs soutenus par des États. Bien que Cisco n'ait trouvé aucune preuve d'exploitation d'autres vulnérabilités connues, Salt Typhoon a été observé capturant des informations de trafic SNMP, TACACS et RADIUS pour obtenir des détails supplémentaires sur les identifiants. Ils utilisent également des techniques de living-off-the-land (LOTL) pour se déplacer entre les dispositifs de réseau, créant des comptes locaux et facilitant l'accès à distance via SSH. Un outil personnalisé, JumbledPath, a été utilisé pour exécuter des captures de paquets tout en effaçant les journaux pour dissimuler leurs activités malveillantes. Cisco a également noté une cible accrue de dispositifs Cisco avec des installations Smart Install exposées.
Sources :
CISA Flags Craft CMS Vulnérabilité CVE-2025-23209 Au milieu des attaques actives
Une vulnérabilité de haute sévérité affectant le système de gestion de contenu Craft CMS a été ajoutée au catalogue des vulnérabilités exploitées (KEV) de la CISA, en raison de preuves d'exploitation active. La vulnérabilité, identifiée comme CVE-2025-23209 (score CVSS : 8.1), concerne les versions 4 et 5 de Craft CMS et a été corrigée par les mainteneurs du projet fin décembre 2024 dans les versions 4.13.8 et 5.5.8. Cette faille permet une injection de code, entraînant une exécution de code à distance, car les versions vulnérables ont des clés de sécurité compromises. Les versions affectées incluent celles supérieures ou égales à 5.0.0-RC1 et inférieures à 5.5.5, ainsi que celles supérieures ou égales à 4.0.0-RC1 et inférieures à 4.13.8. Craft CMS a conseillé aux utilisateurs de mettre à jour vers une version corrigée ou, si cela n'est pas possible, de faire tourner leur clé de sécurité pour atténuer le problème. La nature de la compromission des clés de sécurité reste floue. Les agences fédérales sont invitées à appliquer les correctifs nécessaires d'ici le 13 mars 2025. En décembre 2024, une autre vulnérabilité a également été signalée, mais n'a pas encore été ajoutée au catalogue KEV.
Sources :
Apiiro dévoile le scanner gratuit pour détecter les fusions de code malveillant
Apiiro a lancé deux outils gratuits et open-source pour détecter et bloquer le code malveillant avant son intégration dans des projets logiciels, afin de lutter contre les attaques de la chaîne d'approvisionnement. Ces outils comprennent un ensemble de règles pour Semgrep et Opengrep, qui identifient des motifs de code malveillant avec un faible taux de faux positifs, et PRevent, un scanner intégré à GitHub qui alerte sur le code suspect dans les demandes de tirage (PR). Selon Matan Giladi, chercheur en sécurité chez Apiiro, la précision de détection est de 94,3 % pour les paquets PyPI et de 88,4 % pour npm, tandis que PRevent identifie 91,5 % des PR malveillantes. La stratégie repose sur l'identification de "anti-patterns" de code, qui sont des comportements rares dans le code légitime mais fréquents dans les malwares, tels que l'obfuscation et l'exécution de code à distance. Bien que les outils ne puissent pas détecter les malwares dans les binaires compilés, Apiiro prévoit d'ajouter des fonctionnalités d'analyse approfondie et d'IA dans de futures mises à jour. Les outils sont disponibles gratuitement sur GitHub.
Sources :
Black Blasta Ransomware Gang du gang de chat interne Fuise en ligne
Le 20 février 2025, des archives de discussions internes du groupe de ransomware Black Basta ont été divulguées en ligne par un individu anonyme, connu sous le nom d'ExploitWhispers. Ces messages, initialement partagés sur la plateforme MEGA puis sur un canal Telegram, couvrent la période du 18 septembre 2023 au 28 septembre 2024. Bien que l'identité de l'informateur reste floue, PRODAFT, une entreprise de renseignement sur les menaces, suggère que cette fuite pourrait être liée aux attaques du groupe contre des banques russes. Selon PRODAFT, Black Basta a été largement inactif en raison de conflits internes, certains membres ayant escroqué des victimes en ne fournissant pas de déchiffreurs fonctionnels après paiement. L'analyse des messages révèle des informations variées, telles que des modèles de phishing, des adresses de cryptomonnaie et des identifiants de victimes, ainsi que 367 liens ZoomInfo, indiquant le nombre d'entreprises ciblées. Black Basta, opération de Ransomware-as-a-Service lancée en avril 2022, a déjà visé de nombreuses victimes de renom, y compris des entreprises de santé et des sous-traitants gouvernementaux, et aurait collecté environ 100 millions de dollars en rançons jusqu'en novembre 2023.
Sources :
US Healthcare Org paie 11 millions de dollars de règlement sur les prétendus tours de cybersécurité
Health Net Federal Services (HNFS) et sa société mère, Centene Corporation, ont accepté de verser 11,253,400 $ pour régler des allégations selon lesquelles HNFS aurait faussement certifié sa conformité aux exigences de cybersécurité dans le cadre de son contrat avec la Defense Health Agency (DHA) pour TRICARE. Ce contrat, qui couvre 22 États, exigeait le respect de normes de cybersécurité spécifiques. Selon le ministère américain de la Justice, entre 2015 et 2018, HNFS n'aurait pas mis en œuvre les mesures nécessaires pour protéger les données des membres des forces armées et de leurs familles, tout en certifiant à tort sa conformité dans ses rapports à la DHA. Les manquements incluent l'absence de scans pour les vulnérabilités, le non-respect des recommandations d'audit, et l'utilisation de matériel et de logiciels obsolètes. Bien que HNFS et Centene nient les allégations et affirment qu'aucune violation de données n'a eu lieu, ils ont choisi de régler l'affaire. Le document de règlement précise que cela ne les protège pas de responsabilités criminelles futures si de nouvelles preuves apparaissent.
Sources :
Lutte contre la fraude bancaire : les banques veulent détecter si vous téléphonez lors d’un virement
Les banques néerlandaises et belges envisagent une nouvelle stratégie pour lutter contre la fraude bancaire en vérifiant si un client est en communication téléphonique lors d'une transaction suspecte. Cette initiative, inspirée d'un modèle britannique, repose sur le fait que 75 % des fraudes se produisent pendant que la victime est au téléphone avec l'escroc. Aux Pays-Bas, une modification législative est à l'étude pour permettre aux banques de collaborer avec les opérateurs télécoms, tout en respectant la vie privée des clients. Les banques n'accéderaient pas aux conversations, mais utiliseraient cette information comme un indicateur de risque supplémentaire dans une analyse plus large des comportements suspects. Bien que cette approche vise à renforcer la sécurité, elle soulève des préoccupations concernant la protection des données personnelles. En Belgique, l'Institut belge des services postaux et des télécommunications a déjà entamé des discussions sur la conformité de cette mesure avec la réglementation. Le débat se poursuit sur l'équilibre entre sécurité et respect des libertés individuelles, et sur l'acceptabilité d'une telle surveillance par les consommateurs pour réduire les fraudes.
Sources :
Cyberattaques : des établissements d’enseignement supérieur français attaqués
Plusieurs établissements d’enseignement supérieur français ont récemment été victimes d'une cyberattaque orchestrée par un pirate informatique se faisant appeler « st0jke ». Ce dernier a réussi à infiltrer des institutions telles que l’École de Psychologues Praticiens et l’ENSAE Paris, compromettant les données sensibles de milliers d'étudiants et d'enseignants. Les informations volées, comprenant des photos, des pièces d'identité et des IBAN, sont désormais mises en vente sur le darkweb, avec des prix atteignant jusqu'à 2 500 dollars pour certaines bases de données. Ce type d'incident n'est pas nouveau ; des attaques similaires ont touché des établissements comme l'ESSEC et l'université Paris-Saclay ces dernières années, soulignant une tendance inquiétante dans le secteur de l'éducation. Les conséquences de ces cyberattaques incluent des pertes financières, des atteintes à la réputation et des perturbations opérationnelles. Les établissements ciblés n'ont pas encore fait de déclarations officielles, et les autorités enquêtent sur l'ampleur des dommages. Cette situation met en lumière l'importance cruciale de la cybersécurité pour protéger les données personnelles des étudiants et du personnel dans un contexte où les cybercriminels sont de plus en plus actifs et organisés.
