Le FBI révèle les visages de 5 hackers du Kremlin - Actus du 06/09/2024
SonicWall SSLVPN sous attaque, risques du piratage ENT, et Kaspersky ouvre un Centre de Transparence en Corée du Sud : découvrez comment la cybersécurité évolue face à ces menaces croissantes.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
La faille de contrôle d'accès SSLVPN de SonicWall est désormais exploitée dans des attaques
SonicWall a averti que la vulnérabilité d'accès, identifiée comme CVE-2024-40766, récemment corrigée dans SonicOS, est désormais "potentiellement" exploitée dans des attaques. Cette faille critique (score CVSS v3 : 9.3) affecte les dispositifs de pare-feu Gen 5, Gen 6 et Gen 7 de SonicWall, permettant un accès non autorisé aux ressources et pouvant entraîner un crash du pare-feu. Initialement, la vulnérabilité concernait uniquement l'accès de gestion de SonicOS, mais elle impacte également la fonctionnalité SSLVPN. SonicWall exhorte les administrateurs à appliquer les correctifs disponibles sur mysonicwall.com. Les recommandations incluent la limitation de la gestion du pare-feu à des sources de confiance, la restriction de l'accès SSLVPN, et l'activation de l'authentification multi-facteurs pour tous les utilisateurs SSLVPN. Les cybercriminels ciblent souvent SonicWall, car ces dispositifs sont exposés à Internet pour un accès VPN à distance. Bien que SonicWall n'ait pas précisé comment la faille est exploitée, des vulnérabilités similaires ont été utilisées par le passé pour accéder aux réseaux d'entreprise. Les administrateurs sont donc encouragés à agir rapidement pour sécuriser leurs systèmes.
Sources :
Les dangers du piratage des Espaces Numériques de Travail (ENT)
Le piratage des Espaces Numériques de Travail (ENT) représente une menace croissante, avec des cybercriminels exploitant des failles de sécurité pour voler des informations sensibles. L'OFAC, nouvellement créé pour lutter contre la cybercriminalité, a récemment publié un document visant à sensibiliser et protéger les utilisateurs. Les pirates utilisent principalement des logiciels malveillants appelés "info stealers", souvent déguisés en extensions ou en logiciels de triche, ciblant particulièrement les jeunes sur des plateformes comme YouTube et Discord. Ces outils permettent de dérober des identifiants et mots de passe en incitant les utilisateurs à désactiver leur antivirus. Pour se prémunir contre ces attaques, l'OFAC recommande plusieurs mesures de sécurité : éviter les téléchargements de logiciels piratés, ne jamais désactiver l'antivirus, se méfier des messages suspects, mettre à jour régulièrement les appareils, utiliser des mots de passe forts et variés, activer la double authentification, et utiliser un gestionnaire de mots de passe sécurisé. En adoptant ces comportements, chacun peut contribuer à réduire les risques de piratage et protéger ses données personnelles face à des cybercriminels de plus en plus sophistiqués.
Sources :
Kaspersky renforce son Initiative Mondiale de Transparence avec l’inauguration d’un nouveau Centre de Transparence en Corée du Sud
Kaspersky a inauguré un nouveau Centre de Transparence à Séoul, en Corée du Sud, renforçant son engagement envers la sécurité de ses produits. Ce centre, le quatrième en Asie-Pacifique, permettra aux partenaires et aux régulateurs d'examiner les pratiques de l'entreprise et d'accéder à son code source. Dans le cadre de l'Initiative Mondiale de Transparence, Kaspersky offre des options d'examen variées : la « piste bleue » pour une vue d'ensemble des processus de développement, la « piste rouge » pour une analyse ciblée du code source, et la « piste noire » pour un examen approfondi. Genie Sugene Gan, directrice des affaires gouvernementales chez Kaspersky, souligne que ces centres visent à bâtir un écosystème de cybersécurité plus responsable et à renforcer la confiance dans les solutions TIC. En parallèle, Kaspersky a mis en place d'autres initiatives pour promouvoir la transparence, comme le traitement des données à Zurich et des programmes de formation en cybersécurité. Le dernier rapport de Kaspersky sur les demandes gouvernementales révèle 61 requêtes techniques au premier semestre 2024, illustrant son engagement à répondre aux préoccupations des autorités tout en garantissant la sécurité des utilisateurs.
Sources :
Rapport « Gamers et influenceurs : quelles menaces et comment mieux les protéger ? »
Le rapport intitulé « Gamers et influenceurs : quelles menaces et comment mieux les protéger ? » présente une analyse approfondie des dangers auxquels font face les créateurs de contenu en ligne, notamment les gamers et les influenceurs. Rédigé par un groupe de travail de la Réserve Citoyenne de la Gendarmerie Nationale, il met en lumière des problématiques telles que la cybercriminalité, le harcèlement en ligne, l'usurpation d'identité et les arnaques commerciales. Les statistiques révèlent que 80 % des gamers ont été approchés pour des parrainages douteux, et 84 % envisagent d'arrêter leur activité si les menaces persistent. Les femmes créatrices de contenu subissent une violence disproportionnée, avec des insultes et des menaces fréquentes. Le rapport souligne également des menaces spécifiques comme la sextorsion et le swatting. En conclusion, il appelle à une meilleure protection et formation des influenceurs et gamers face à ces dangers croissants, tout en dénonçant un environnement numérique où les abus sont souvent tolérés. Ce document, élaboré avec des experts en cybersécurité, vise à sensibiliser et à proposer des solutions pour un espace en ligne plus sûr et respectueux.
Sources :
Rapport sur l'état des RSSI virtuels : Stratégies de sécurité MSP/MSSP pour 2025
Une enquête indépendante révèle une demande croissante pour les services de vCISO, avec des avantages tant pour les fournisseurs que pour les clients. En effet, 98 % des fournisseurs de services gérés (MSP) et de sécurité gérée (MSSP) prévoient d'intégrer ces services à leur offre. Les PME doivent protéger leurs actifs et répondre aux exigences de conformité et d'assurance cybernétique, et le rôle de vCISO leur apporte une expertise en cybersécurité et conformité de manière flexible et économique. Cependant, les fournisseurs doivent surmonter des défis tels que des limitations technologiques et un manque de connaissances en sécurité. Environ 29 % des répondants manquent de technologies adéquates pour offrir ces services, et plus d'un quart se sentent peu compétents en matière de sécurité et de conformité. La complexité des cadres de sécurité comme NIST, ISO, et GDPR constitue un obstacle majeur. Un outil de vCISO peut aider les fournisseurs à naviguer dans ces exigences, standardiser les processus et améliorer la posture de sécurité des clients. En fin de compte, ces services augmentent la satisfaction et la sécurité des clients, tout en favorisant la croissance des MSP et MSSP, rendant cette offre bénéfique pour toutes les parties impliquées.
Sources :
Le FBI révèle les visages de 5 hackers du Kremlin, responsables de cyberattaques contre l’Occident
Le 5 septembre, le ministère américain de la Justice a dévoilé l'identité de cinq hackers liés à l'unité de renseignement militaire russe, le GRU, accusés d'être impliqués dans l'opération WhisperGate, un logiciel destructeur ciblant l'Ukraine et d'autres pays de l'OTAN. Les États-Unis offrent jusqu'à 10 millions de dollars pour des informations permettant leur arrestation. WhisperGate a visé des infrastructures critiques ukrainiennes, illustrant le mépris de la Russie pour les civils durant son invasion. Les cibles incluent des institutions clés comme le ministère de l'Intérieur et le Trésor public. L'unité 29155, responsable d'opérations d'espionnage et de sabotage, est l'une des plus actives du renseignement russe, ayant été impliquée dans des incidents notables comme l'empoisonnement des Skripal au Royaume-Uni en 2018. La campagne a débuté avant l'invasion totale de l'Ukraine en février 2022, avec pour objectif de détruire les données des institutions ukrainiennes. Les poursuites américaines visent à limiter les mouvements des accusés à l'étranger et à empêcher leurs transactions financières, en s'appuyant sur la coopération internationale.
Sources :
Une faille de sécurité critique a été détectée dans le plugin LiteSpeed Cache pour WordPress
Des chercheurs en cybersécurité ont identifié une vulnérabilité critique dans le plugin LiteSpeed Cache pour WordPress, permettant à des utilisateurs non authentifiés de prendre le contrôle de comptes arbitraires. Suivie sous le nom CVE-2024-44000 (score CVSS : 7.5), cette faille affecte les versions jusqu'à 6.4.1 et a été corrigée dans la version 6.5.0.1. Selon Rafie Muhammad de Patchstack, cette vulnérabilité permet à tout visiteur non authentifié d'accéder à des comptes d'utilisateurs connectés, y compris des rôles d'administrateur, facilitant ainsi l'installation de plugins malveillants. Cette découverte fait suite à l'identification d'une autre faille critique (CVE-2024-28000, score CVSS : 9.8) lors d'une analyse approfondie du plugin, qui compte plus de 5 millions d'installations actives. La nouvelle vulnérabilité provient d'un fichier de log de débogage exposé publiquement, permettant aux attaquants de consulter des informations sensibles, y compris des cookies d'utilisateur. Bien que la gravité soit moindre, car la fonctionnalité de débogage doit être activée, il est conseillé aux utilisateurs de vérifier la présence de ce fichier et de le supprimer si nécessaire. Un correctif a été mis en place pour sécuriser la gestion des fichiers de log.
Sources :
La mise à jour d'Apache OFBiz corrige une faille de haute gravité conduisant à l'exécution de code à distance
Une nouvelle vulnérabilité de sécurité a été corrigée dans le système de planification des ressources d'entreprise open-source Apache OFBiz, permettant une exécution de code à distance non authentifiée sur Linux et Windows. Cette faille, identifiée comme CVE-2024-45195 (score CVSS : 7.5), affecte toutes les versions antérieures à 18.12.16. Selon Ryan Emmons de Rapid7, un attaquant sans identifiants valides peut exploiter des vérifications d'autorisation manquantes dans l'application web pour exécuter du code arbitraire sur le serveur. Cette vulnérabilité est un contournement de plusieurs problèmes précédents (CVE-2024-32113, CVE-2024-36104, CVE-2024-38856), qui avaient déjà été corrigés, mais qui sont désormais exploités activement, notamment pour déployer le malware Mirai. Rapid7 souligne que ces failles proviennent d'une incapacité à synchroniser correctement l'état du contrôleur et de la vue. La dernière mise à jour valide que l'accès anonyme à une vue est permis pour les utilisateurs non authentifiés. De plus, la version 18.12.16 corrige une vulnérabilité critique de falsification de requête côté serveur (CVE-2024-45507, score CVSS : 9.8), pouvant entraîner un accès non autorisé et un compromis du système via une URL spécialement conçue.
Sources :
Pavel Durov critique les lois obsolètes après son arrestation pour activité criminelle sur Telegram
Le PDG de Telegram, Pavel Durov, a pris la parole après son arrestation en France, qualifiant les accusations portées contre lui de mal orientées. Dans une déclaration de 600 mots sur son compte Telegram, il a affirmé que les pays mécontents d'un service internet devraient engager des actions légales contre le service lui-même, plutôt que de poursuivre un PDG pour des crimes commis par des tiers sur la plateforme. Durov a été accusé d'avoir facilité des activités criminelles, telles que le trafic de drogue et le blanchiment d'argent, suite à une enquête sur la distribution de matériel d'abus sexuel d'enfants. Il a également évoqué les défis de concilier vie privée et sécurité, affirmant que Telegram est prêt à quitter des marchés incompatibles avec sa mission de protection des utilisateurs. En réponse aux critiques, Telegram a mis à jour sa FAQ pour permettre aux utilisateurs de signaler du contenu illégal. Cependant, Durov n'a pas abordé le manque de protection par défaut de chiffrement de bout en bout, ce qui soulève des préoccupations sur la sécurité des messages. Des experts ont critiqué la complexité de l'activation de cette fonctionnalité, la rendant difficile d'accès pour les utilisateurs non avertis.
Sources :
Apache corrige une vulnérabilité critique d'exécution de code à distance OFBiz
Apache a corrigé une vulnérabilité critique dans son logiciel open-source OFBiz, permettant l'exécution de code à distance sur des serveurs Linux et Windows vulnérables. Suivie sous le numéro CVE-2024-45195 et découverte par des chercheurs de Rapid7, cette faille est due à une faiblesse de navigation forcée, exposant des chemins restreints à des attaques non authentifiées. Un attaquant sans identifiants valides peut exploiter des vérifications d'autorisation manquantes pour exécuter du code arbitraire sur le serveur. La mise à jour de la version 18.12.16 d'OFBiz a introduit des vérifications d'autorisation pour remédier à cette vulnérabilité. De plus, cette faille constitue un contournement pour trois autres vulnérabilités OFBiz, également corrigées cette année. CISA a averti que la vulnérabilité CVE-2024-32113, corrigée en mai, était exploitée dans des attaques, incitant les agences fédérales à appliquer des correctifs rapidement. Bien que la directive opérationnelle BOD 22-01 ne s'applique qu'aux agences fédérales, CISA a recommandé à toutes les organisations de prioriser la correction de ces failles pour protéger leurs réseaux contre d'éventuelles attaques.
Sources :
Microsoft supprime le revenge porn de la recherche Bing grâce à un nouvel outil
Microsoft a annoncé aujourd'hui un partenariat avec StopNCII pour éliminer proactivement les images et vidéos intimes nuisibles de Bing grâce à des outils de hachage numérique. StopNCII, géré par la Revenge Porn Helpline, permet aux utilisateurs de créer des hachages de leurs médias sensibles sans les télécharger. Ces hachages sont ensuite ajoutés à une base de données pour identifier et supprimer des images similaires en ligne, en collaboration avec des plateformes comme Facebook, TikTok et Instagram. En mars, Microsoft a partagé sa technologie PhotoDNA avec StopNCII, facilitant la création de hachages sans que les images ne quittent l'appareil de l'utilisateur. Aujourd'hui, Microsoft a révélé avoir utilisé cette base de données pour retirer 268 899 images de l'index de recherche Bing. L'essor de l'intelligence artificielle a également entraîné une augmentation des images pornographiques générées par deepfake, souvent utilisées de manière non consensuelle. Bien que ces images soient difficiles à détecter avec PhotoDNA, les personnes concernées peuvent signaler manuellement ces contenus à Microsoft et Google. Microsoft offre une page dédiée pour demander la suppression d'images réelles ou synthétiques de son index.
Sources :
Un groupe de hackers parlant chinois cible les études sur les droits de l'homme au Moyen-Orient
Depuis juin 2023, des entités gouvernementales au Moyen-Orient et en Malaisie sont la cible d'une campagne cybernétique persistante orchestrée par un acteur malveillant connu sous le nom de Tropic Trooper. Selon le chercheur en cybersécurité de Kaspersky, Sherif Magdy, cette attaque marque un changement stratégique, visant des entités liées aux études sur les droits de l'homme. Kaspersky a détecté cette activité en juin 2024, après la découverte d'une nouvelle version du web shell China Chopper sur un serveur public utilisant le CMS Umbraco. La chaîne d'attaque vise à déployer un implant malveillant nommé Crowdoor, une variante du backdoor SparrowDoor. Tropic Trooper, également connu sous d'autres noms, est actif depuis 2011 et cible principalement des secteurs gouvernementaux et technologiques en Asie. L'intrusion récente est significative car elle exploite des vulnérabilités connues dans des applications web accessibles publiquement. Crowdoor, observé pour la première fois en juin 2023, agit comme un loader pour Cobalt Strike et permet de maintenir une persistance sur les hôtes infectés. L'analyse révèle que le système ciblé était spécifiquement lié à des études sur les droits de l'homme, soulignant l'intention délibérée de l'acteur de s'attaquer à ce contenu.
Sources :
Veeam publie des mises à jour de sécurité pour corriger 18 failles, dont 5 problèmes critiques
Veeam a publié des mises à jour de sécurité pour corriger 18 vulnérabilités dans ses produits logiciels, dont cinq critiques pouvant entraîner une exécution de code à distance. Parmi les failles notables, la CVE-2024-40711 (CVSS 9.8) dans Veeam Backup & Replication permet une exécution de code à distance sans authentification. La CVE-2024-42024 (CVSS 9.1) dans Veeam ONE permet à un attaquant disposant des identifiants du compte de service Agent d'exécuter du code à distance. D'autres vulnérabilités, comme la CVE-2024-38650 (CVSS 9.9) et la CVE-2024-39714 (CVSS 9.9), exposent également des informations sensibles et permettent l'exécution de code par des utilisateurs à faibles privilèges. Les mises à jour de septembre 2024 traitent également 13 autres failles de haute gravité, pouvant entraîner une élévation de privilèges et un contournement de l'authentification multi-facteurs. Les utilisateurs sont fortement conseillés de mettre à jour vers les dernières versions de Veeam Backup & Replication, Veeam Agent pour Linux, Veeam ONE, et d'autres produits pour se protéger contre ces menaces croissantes, notamment les ransomwares.
Sources :
Des pirates informatiques militaires russes impliqués dans des attaques contre des infrastructures critiques
Les États-Unis et leurs alliés ont identifié un groupe de hackers russes, surnommé Cadet Blizzard et Ember Bear, comme étant responsables d'attaques contre des infrastructures critiques à l'échelle mondiale, en lien avec l'Unité 29155 du GRU. Dans un avis conjoint publié le 5 septembre 2024, ces hackers, considérés comme des officiers actifs du GRU, ont été impliqués dans des cyberattaques et des tentatives de sabotage depuis 2020, ciblant principalement des pays de l'OTAN et d'autres nations. Ils sont également liés à des incidents du syndrome de La Havane. Le GRU a élargi ses opérations pour inclure des cyberattaques offensives, visant à collecter des informations pour l'espionnage, nuire à la réputation par le vol de données sensibles, et causer des destructions de données. Le FBI a détecté plus de 14 000 tentatives de scan de domaines ciblant au moins 26 membres de l'OTAN. Le Département d'État américain a offert une récompense de 10 millions de dollars pour des informations sur cinq officiers du GRU impliqués dans ces cyberattaques. Les organisations d'infrastructure critique sont encouragées à renforcer leur sécurité face à ces menaces.
Sources :
Un bug de LiteSpeed Cache expose 6 millions de sites WordPress à des attaques de prise de contrôle
Une vulnérabilité critique a été découverte dans le plugin LiteSpeed Cache, utilisé par plus de 6 millions de sites WordPress, exposant ces derniers à des attaques de prise de contrôle. Identifiée sous le code CVE-2024-44000, cette faille permet à un attaquant d'accéder aux cookies de session des utilisateurs, en exploitant la fonctionnalité de journalisation de débogage du plugin. Si un attaquant parvient à accéder au fichier de log, il peut usurper l'identité d'un administrateur et prendre le contrôle total du site. Bien que LiteSpeed Technologies ait publié une mise à jour corrective (version 6.5.0.1) pour remédier à cette vulnérabilité, de nombreux sites restent encore exposés, car plus de 375 000 utilisateurs ont téléchargé la mise à jour le jour de sa sortie. Les experts recommandent de supprimer tous les fichiers 'debug.log' des serveurs et de mettre en place des règles de sécurité pour restreindre l'accès aux fichiers de log. Cette vulnérabilité s'ajoute à une série de problèmes de sécurité récents affectant LiteSpeed Cache, qui a attiré l'attention des hackers en raison de sa popularité.
Sources :
Un musicien accusé d'une fraude de 10 millions de dollars aux redevances de streaming en utilisant l'IA et des robots
Le musicien de Caroline du Nord, Michael Smith, a été inculpé pour avoir frauduleusement perçu plus de 10 millions de dollars en royalties sur des plateformes de streaming comme Spotify et Apple Music, en utilisant des chansons générées par intelligence artificielle (IA) et des bots. Entre 2017 et 2024, Smith, avec l'aide d'un promoteur musical non identifié et du PDG d'une entreprise de musique IA, a téléchargé des centaines de milliers de morceaux créés par IA sur ces plateformes. Il a ensuite utilisé des bots pour générer des milliards de streams, contournant les systèmes anti-fraude grâce à des réseaux privés virtuels (VPN). À son apogée, il aurait utilisé plus de 1 000 comptes de bots, générant environ 661 440 streams par jour, ce qui lui aurait permis de gagner plus d'1,2 million de dollars par an. Smith a admis dans un e-mail avoir généré plus de 4 milliards de streams et 12 millions de dollars en royalties depuis 2019. Il fait face à des accusations de fraude électronique et de blanchiment d'argent, chacune pouvant entraîner jusqu'à 20 ans de prison. L'avocat américain Damian Williams a déclaré que Smith avait volé des millions qui auraient dû revenir à des artistes légitimes.
