Le cauchemar de la confidentialité des pixels de TikTok : une nouvelle étude de cas - Actus du 14/11/2024
Découvrez comment Google alerte sur la montée des fraudes IA et cryptographiques, les oublis BCDR qui ouvrent la voie aux ransomwares, et le cauchemar de confidentialité des pixels TikTok. Protégez vos données avec notre analyse approfondie.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Google met en garde contre la hausse des escroqueries par dissimulation, des fraudes basées sur l'IA et des systèmes de cryptographie
Google a récemment alerté sur l'utilisation de techniques telles que le cloaking de pages d'atterrissage par des acteurs malveillants pour mener des escroqueries en imitant des sites légitimes. Laurie Richardson, VP de la sécurité chez Google, a expliqué que le cloaking empêche la modération de détecter des contenus violant les politiques, permettant ainsi aux escrocs de cibler directement les utilisateurs. Ces pages imitent souvent des sites connus et créent un sentiment d'urgence pour inciter les utilisateurs à acheter des produits contrefaits. Google a également observé des redirections vers des sites de scareware, incitant les utilisateurs à divulguer des informations sensibles. Parmi les nouvelles tactiques des cybercriminels figurent l'utilisation d'outils d'IA pour créer des deepfakes, des escroqueries liées aux crypto-monnaies, et des clones d'applications. Un rapport de l'ONU a révélé que des syndicats criminels en Asie du Sud-Est intègrent des technologies avancées dans leurs opérations. Google a bloqué plus de 5,5 milliards de publicités en 2023 et a introduit des fonctionnalités de détection de fraude en temps réel dans ses applications pour protéger les utilisateurs.
Sources :
5 oublis BCDR qui vous exposent aux ransomwares
Le ransomware représente un défi majeur pour les entreprises dans un monde de plus en plus numérisé. Une enquête récente révèle que 99,8 % des répondants craignent que des informations sensibles soient extraites de dispositifs infectés par des malwares, ce qui est souvent lié à des attaques de ransomware. Pour contrer ces menaces, il est crucial de développer un plan de reprise après sinistre (DR) complet et de le tester régulièrement. La résilience peut être renforcée par des systèmes robustes, des contrôles d'accès locaux, le chiffrement et l'isolement des sauvegardes. Il est également essentiel de répliquer les sauvegardes dans un stockage cloud sécurisé et immuable. Avec 67 % de part de marché, Windows est la plateforme la plus utilisée, mais elle présente des vulnérabilités. L'authentification multifactorielle (MFA) est recommandée pour réduire les risques d'accès non autorisé. Des tests de récupération réguliers sont nécessaires pour garantir le bon fonctionnement des systèmes après une crise. Dans un scénario de ransomware, chaque minute compte, et la dépendance à la récupération manuelle peut aggraver les dommages. Une solution BCDR résiliente, comme Unitrends Unified Backup, peut protéger efficacement les données des entreprises contre ces menaces.
Sources :
Le cauchemar de la confidentialité des pixels de TikTok : une nouvelle étude de cas
Un marché en ligne de voyages ciblant les jeunes a enfreint les règles du RGPD en raison d'une mauvaise configuration d'un pixel TikTok sur l'un de ses sites régionaux. Une étude de cas récente met en lumière comment la société de cybersécurité Reflectiz a détecté ce problème et a évité une fuite de données potentiellement coûteuse. Bien que les cyberattaques attirent souvent l'attention, de nombreuses violations de données résultent de défaillances simples. Reflectiz utilise une technologie de surveillance innovante qui scanne les sites web pour identifier les applications tierces et les codes suspects. Dans ce cas, le pixel TikTok collectait des données sensibles sans autorisation, envoyant ces informations vers des serveurs chinois. Les conséquences de la non-conformité au RGPD peuvent être sévères, avec des amendes pouvant atteindre 20 millions d'euros ou 4 % du chiffre d'affaires annuel. Grâce à l'intervention de Reflectiz, la société de voyages a pu éviter des sanctions financières et des dommages à sa réputation. Ce cas souligne l'importance d'une surveillance continue des composants web pour prévenir des erreurs évitables, telles que la mauvaise configuration d'un pixel de suivi.
Sources :
Comment fonctionne le site qui offre 5 euros par PayPal toutes les heures ?
Sur Reddit, des utilisateurs ont découvert un site mystérieux intitulé « What happens at 1,000,000,000 », promettant d'envoyer de l'argent toutes les heures en échange d'une adresse PayPal. Le site présente un compteur qui progresse vers 1 milliard d'euros, et les participants doivent entrer un mot de passe et leur email PayPal pour participer. Les fonds sont crédités immédiatement après vérification, et il est possible de créer plusieurs comptes pour maximiser les gains. En parallèle, le site est associé à un jeu de réalité alternée (ARG) avec des affiches et QR codes dans plusieurs capitales européennes, suggérant une campagne promotionnelle pour Trade Republic, une banque en ligne. Les messages codés sur le site semblent orientés vers des services financiers. L'opération est limitée à certains pays de l'Union européenne, dont la France, et soulève des préoccupations concernant la sécurité des données personnelles. Bien que l'argent reçu soit réel, il pourrait également servir à constituer une base de données d'adresses email. Les utilisateurs sont donc avertis de faire preuve de prudence, malgré l'attrait de l'offre.
Sources :
Le nouveau malware RustyAttr cible macOS via un abus d'attributs étendus
Des acteurs malveillants exploitent une nouvelle technique sur macOS, utilisant des attributs étendus pour introduire un malware nommé RustyAttr. La société de cybersécurité singapourienne Group-IB attribue cette activité au groupe Lazarus, lié à la Corée du Nord, en raison de similitudes avec des campagnes antérieures. Les attributs étendus, qui contiennent des métadonnées supplémentaires sur les fichiers, peuvent être extraits via la commande xattr. Les applications malveillantes, développées avec le framework Tauri, sont signées avec un certificat volé, désormais révoqué par Apple. Elles incluent un attribut configuré pour exécuter un script shell, tout en affichant un leurre, comme un message d'erreur ou un document PDF inoffensif. Lors de l'exécution, l'application tente de charger une page web qui, si elle est réussie, exécute un JavaScript malveillant pour récupérer et exécuter le contenu des attributs étendus via un backend Rust. L'objectif de cette campagne reste flou, sans preuves de victimes confirmées. Les systèmes macOS offrent une certaine protection, nécessitant que les utilisateurs désactivent Gatekeeper pour déclencher l'attaque, ce qui implique probablement une manipulation sociale pour convaincre les victimes.
Sources :
Vos mots de passe sont nuls
NordPass, un gestionnaire de mots de passe, a publié un classement des 20 mots de passe les plus utilisés en France, révélant une stagnation des pratiques d'hygiène numérique. Les mots de passe les plus courants incluent des combinaisons simples comme "123456", "azerty", ainsi que des termes affectueux tels que "doudou" et des prénoms comme "nicolas". Ce classement, basé sur des données récupérées du dark web, montre que les utilisateurs continuent de privilégier des mots de passe faciles à deviner, ce qui les rend vulnérables aux cyberattaques. Les pirates informatiques ciblent souvent ces mots de passe courants, pouvant les déchiffrer en moins d'une seconde. Pour améliorer la sécurité, il est conseillé de créer des mots de passe longs et complexes, d'éviter la réutilisation entre différents services, et d'activer la double authentification. Les gestionnaires de mots de passe, comme NordPass, 1Password et Dashlane, peuvent aider à gérer ces informations en ne nécessitant qu'un seul mot de passe à retenir. Ce classement vise également à promouvoir le service de NordPass, soulignant l'importance d'une meilleure gestion des mots de passe pour protéger les données personnelles.
Sources :
Ce pack 3-en-1 permet de stocker et protéger toutes vos données dans le cloud aussi longtemps que vous en avez besoin [Sponso]
L'article met en lumière les enjeux de la protection des données personnelles à l'ère numérique, où des entreprises exploitent les informations des internautes. Pour contrer ces pratiques, pCloud propose un pack spécial pour le Black Friday, offrant un espace de stockage sécurisé dans le cloud. Ce pack inclut 5 To de stockage à vie, ainsi que des services de sécurité comme pCloud Encryption et pCloud Pass Premium, le tout pour un prix réduit de 599 euros au lieu de 1 563 euros. pCloud se distingue par sa polyvalence, étant accessible sur divers appareils et systèmes d'exploitation, facilitant le transfert, la synchronisation et le partage de fichiers. Le service de chiffrement côté client assure la protection des données sensibles, même en cas de vol d'appareil. De plus, pCloud Pass Premium aide à renforcer la sécurité des mots de passe, un aspect souvent négligé par les utilisateurs. En somme, pCloud offre une solution complète pour ceux qui souhaitent sécuriser leurs données tout en profitant d'une offre avantageuse durant le Black Friday, tout en soulignant l'importance d'une bonne hygiène numérique.
Sources :
Des pirates informatiques russes exploitent une nouvelle faille NTLM pour déployer des logiciels malveillants RAT via des e-mails de phishing
Une vulnérabilité récemment corrigée dans le gestionnaire de réseau local Windows NT (NTLM), identifiée comme CVE-2024-43451, a été exploitée comme une faille zero-day par un acteur lié à la Russie, ciblant des attaques contre l'Ukraine. Cette vulnérabilité, avec un score CVSS de 6,5, permet la divulgation de hachages NTLMv2, facilitant le vol d'identifiants. Microsoft a indiqué que des interactions minimales avec un fichier malveillant, comme un clic droit, pouvaient déclencher cette faille. Découverte par ClearSky, la vulnérabilité a été utilisée dans une chaîne d'attaques livrant le malware Spark RAT via des fichiers hébergés sur un site gouvernemental ukrainien. Les victimes reçoivent des courriels de phishing d'un serveur compromis, les incitant à renouveler des certificats académiques via un lien piégé. L'interaction avec le fichier URL malveillant permet de télécharger des charges supplémentaires et d'établir des connexions avec un serveur distant. ClearSky a également signalé des tentatives de vol de hachages NTLM via le protocole SMB, permettant des attaques de type Pass-the-Hash. Le CERT-UA a lié ces activités à un acteur menaçant russe, UAC-0194, tout en avertissant d'autres campagnes de phishing ciblant des comptables.
Sources :
Les communications des responsables du gouvernement américain compromises lors d’un récent piratage des télécommunications
Des responsables gouvernementaux américains ont vu leurs communications privées compromises suite à un piratage par des hackers chinois, selon des déclarations de la CISA et du FBI. Les attaquants ont infiltré plusieurs fournisseurs de services de télécommunications aux États-Unis, tels qu'AT&T, Verizon et Lumen Technologies, et ont volé des données sensibles, y compris des enregistrements d'appels clients et des informations liées à des demandes d'application de la loi. Les agences ont précisé que les acteurs affiliés à la République populaire de Chine avaient accès aux réseaux de ces entreprises, permettant ainsi le vol de données sur des individus impliqués dans des activités gouvernementales ou politiques. Ce piratage, attribué au groupe de hackers Salt Typhoon, aurait duré plusieurs mois, offrant aux attaquants l'opportunité de collecter un volume important de trafic Internet. Parallèlement, le Canada a signalé des attaques similaires ciblant ses propres agences gouvernementales. Salt Typhoon, actif depuis 2019, se concentre généralement sur les entités gouvernementales et les entreprises de télécommunications en Asie du Sud-Est. Un autre groupe, Volt Typhoon, a également été impliqué dans des attaques contre des fournisseurs de services en Amérique et en Inde.
Sources :
Des informations divulguées sur 122 millions de personnes liées à une violation d'agrégateur de données B2B
Des informations commerciales concernant 122 millions de personnes, volées à une plateforme de génération de leads B2B nommée DemandScience, circulent depuis février 2024. DemandScience, anciennement Pure Incubation, collecte des données à partir de sources publiques et de tiers, incluant noms, adresses, emails, numéros de téléphone, titres de poste et liens vers les réseaux sociaux. En février, un hacker, connu sous le nom de 'KryptonZambie', a commencé à vendre 132,8 millions de dossiers sur BreachForums, prétendant qu'ils provenaient d'un système exposé de Pure Incubation. À l'époque, DemandScience a nié toute violation de données, affirmant que ses systèmes étaient sécurisés. Cependant, en août 2024, KryptonZambie a rendu le dataset accessible pour quelques dollars, le diffusant presque gratuitement. Un blog de Troy Hunt a confirmé l'authenticité des données, révélant qu'elles provenaient d'un système décommissionné il y a deux ans. DemandScience a mené une enquête interne, concluant qu'aucun de ses systèmes opérationnels n'avait été compromis. Les 122 millions d'adresses email volées ont été ajoutées à Have I Been Pwned, et les utilisateurs exposés recevront des notifications concernant la violation.
Sources :
Microsoft corrige la faille zero-day de Windows exploitée dans les attaques contre l'Ukraine
Microsoft a récemment corrigé une vulnérabilité de Windows, identifiée comme CVE-2024-43451, qui était exploitée par des hackers russes dans des attaques ciblant des entités ukrainiennes. Cette faille, liée à la divulgation de hachages NTLM, permettait aux attaquants de voler le hachage NTLMv2 d'un utilisateur connecté en forçant des connexions à un serveur contrôlé à distance. ClearSky, une société de sécurité, a détecté cette campagne en juin, observant des emails de phishing contenant des liens malveillants qui téléchargeaient un fichier de raccourci Internet depuis un serveur compromis. L'interaction de l'utilisateur avec ce fichier déclenchait la vulnérabilité, permettant le téléchargement de malwares, dont le SparkRAT, un outil d'accès à distance. Microsoft a confirmé que l'exploitation nécessitait une interaction minimale de l'utilisateur et a patché la vulnérabilité lors de son Patch Tuesday de novembre 2024. La CISA a également ajouté cette faille à son catalogue de vulnérabilités exploitées, ordonnant aux systèmes vulnérables de se sécuriser d'ici le 3 décembre. Cette situation souligne les risques importants que représentent de telles vulnérabilités pour la cybersécurité.
Sources :
Les États-Unis accusent les pirates informatiques de Snowflake d'avoir extorqué 2,5 millions de dollars à 3 victimes
Le Département de la Justice des États-Unis a dévoilé l'acte d'accusation contre deux hackers, Connor Riley Moucka et John Erin Binns, soupçonnés d'avoir piraté plus de 165 organisations via le service de stockage en nuage Snowflake. Ils auraient utilisé des identifiants obtenus grâce à un malware pour accéder à des comptes non protégés par une authentification à deux facteurs. Les hackers ont exfiltré des téraoctets de données, notamment environ 50 milliards de dossiers d'appels et de messages d'une grande entreprise de télécommunications, probablement AT&T, qui a révélé en juillet une violation de données touchant 109 millions de clients. Ils ont extorqué au moins 2,5 millions de dollars en rançons, en utilisant des transactions complexes en cryptomonnaie pour dissimuler leurs activités. En plus d'AT&T, d'autres entreprises comme Ticketmaster et Santander ont également été affectées. Moucka a été arrêté au Canada en octobre 2024, tandis que Binns a été capturé en Turquie en mai. Ils font face à de multiples accusations de cybercriminalité, avec des peines potentielles allant de 5 à 25 ans de prison. Leurs biens pourraient également être saisis par le gouvernement.
Sources :
Un bug critique dans les périphériques NAS D-Link en fin de vie est désormais exploité dans les attaques
Une vulnérabilité critique affectant plusieurs modèles de dispositifs de stockage en réseau (NAS) D-Link en fin de vie (EoL) est actuellement exploitée par des attaquants. Suivie sous le code CVE-2024-10914, cette vulnérabilité d'injection de commandes a été découverte par le chercheur en sécurité Netsecfish, qui a révélé que des attaquants non authentifiés pouvaient injecter des commandes shell arbitraires via des requêtes HTTP GET malveillantes. Les modèles concernés incluent le DNS-320, DNS-325 et DNS-340L. D-Link a annoncé qu'il ne corrigerait pas cette faille, conseillant aux utilisateurs de retirer ou de remplacer ces appareils obsolètes. Malgré cela, des tentatives d'exploitation ont été observées dès le 12 novembre, avec plus de 41 000 adresses IP uniques identifiées comme vulnérables. D-Link a souligné que ces dispositifs ne reçoivent plus de mises à jour de sécurité et que leur utilisation présente des risques, notamment en raison d'attaques par ransomware passées. Les utilisateurs sont donc fortement encouragés à restreindre l'accès Internet de ces appareils ou à les remplacer pour éviter des compromissions potentielles.
Sources :
La nouvelle fonctionnalité d'IA de Google Pixel analyse les conversations téléphoniques à la recherche d'escroqueries
Google a introduit une nouvelle fonctionnalité d'IA sur les appareils Pixel qui analyse les conversations téléphoniques pour détecter les appels frauduleux. Ce système, qui fonctionne en temps réel, identifie des schémas de conversation typiques des arnaques, comme les appels se faisant passer pour des entreprises ou des urgences suite à des alertes de violation. Lorsqu'un appel est suspecté d'être une arnaque, une notification s'affiche, permettant à l'utilisateur de mettre fin à l'appel. Cette fonctionnalité est désactivée par défaut et doit être activée dans les paramètres de l'application Téléphone. Actuellement, elle est disponible pour les utilisateurs de Pixel 6 et plus, uniquement pour les conversations en anglais aux États-Unis.
En parallèle, Google a renforcé Google Play Protect avec une nouvelle détection de menaces en direct, qui alerte les utilisateurs en cas d'applications malveillantes détectées. Ce système se concentre initialement sur le stalkerware, qui collecte des données sans consentement. À l'avenir, d'autres types de logiciels malveillants seront également pris en compte. Ces innovations visent à améliorer la sécurité des utilisateurs d'Android en bloquant les dangers connus.
Sources :
L’enseigne de surgelés Picard victime d’une fuite de données
L'enseigne de surgelés Picard a récemment subi une fuite de données touchant environ 45 000 clients de son programme de fidélité. Les pirates ont accédé aux informations en se connectant aux comptes des clients, sans compromettre directement la base de données. Les données exposées incluent noms, prénoms, dates de naissance, adresses e-mail et postales, numéros de téléphone, ainsi que des informations sur le compte fidélité, mais pas les informations bancaires. Les cybercriminels auraient utilisé des données volées lors de fuites antérieures et la technique du « credential stuffing », qui consiste à tester de nombreuses combinaisons d'identifiants et de mots de passe. En réponse, Picard a renforcé ses mesures de sécurité et recommande à ses clients de changer leurs mots de passe. L'incident a été signalé à la CNIL. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne l'importance pour les entreprises de mettre en place des mesures de sécurité robustes, comme l'authentification multi-facteur et la limitation des tentatives de connexion. Il conseille également aux internautes d'utiliser des mots de passe uniques et des gestionnaires de mots de passe pour réduire les risques liés au credential stuffing.
