Les enfants sous attaque : 1,6 million de cyberattaques ciblant Roblox en 2024 - Actus du 12/02/2025
Découvrez comment Vidspam, l'arnaque innovante des cybercriminels, exploite une faille de NVIDIA récemment contournée. Protégez vos enfants face aux 1,6 million de cyberattaques ciblant les jeunes joueurs de Roblox en 2024. Ne manquez pas notre analyse complète!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Vidspam, la nouvelle arnaque des cybercriminels
Les chercheurs de Proofpoint ont récemment analysé l'évolution des arnaques liées aux cryptomonnaies, mettant en lumière une nouvelle méthode d'escroquerie appelée Vidspam. Cette technique consiste à envoyer des fichiers vidéo de petite taille (.3gp) dans des messages MMS, incitant les victimes à cliquer sur des liens vers des groupes WhatsApp. Ces vidéos, bien que de faible qualité et ressemblant à des images fixes, ajoutent une apparence de crédibilité aux messages. Les attaquants exploitent la popularité des appareils mobiles, où les messages sont rapidement consultés, rendant les victimes plus vulnérables. L'analyse souligne que ces arnaques représentent une évolution des méthodes précédentes, qui utilisaient des images statiques. Les escrocs utilisent des tactiques de pression dans les groupes WhatsApp pour soutirer de l'argent ou des informations personnelles. De plus, l'utilisation de contenus multimédias de plus en plus sophistiqués, potentiellement générés par l'IA, pourrait rendre l'identification des messages frauduleux encore plus difficile. Les chercheurs de Proofpoint mettent en garde contre cette tendance croissante, qui cible des personnes souvent peu méfiantes face à ces nouvelles formes d'escroqueries.
Sources :
Des chercheurs découvrent un nouvel exploit contournant la vulnérabilité corrigée de NVIDIA Container Toolkit
Des chercheurs en cybersécurité ont découvert une vulnérabilité dans le NVIDIA Container Toolkit, désormais corrigée, qui permettait de contourner les protections d'isolation des conteneurs et d'accéder au système hôte. Cette vulnérabilité, identifiée comme CVE-2025-23359 (score CVSS : 8.3), affecte toutes les versions jusqu'à 1.17.3 du NVIDIA Container Toolkit et jusqu'à 24.9.1 du NVIDIA GPU Operator, corrigées respectivement dans les versions 1.17.4 et 24.9.2. Selon NVIDIA, cette faille TOCTOU permettait à une image de conteneur malveillante d'accéder au système de fichiers de l'hôte, entraînant des risques tels que l'exécution de code, la divulgation d'informations et la manipulation de données. La société Wiz a précisé que cette vulnérabilité était un contournement d'une autre faille (CVE-2024-0132) corrigée en septembre 2024. Les chercheurs ont montré que des liens symboliques pouvaient être utilisés pour manipuler les chemins de fichiers lors des opérations de montage, permettant ainsi d'accéder à des fichiers critiques. Bien que l'accès soit initialement en lecture seule, il peut être contourné via des sockets Unix pour lancer des conteneurs privilégiés. Les utilisateurs sont donc conseillés de mettre à jour vers les dernières versions et de ne pas désactiver le flag "--no-cntlibs" en production.
Sources :
Les enfants en première ligne : 1,6 million de cyberattaques ciblant des joueurs de Roblox détectées en 2024
L'article met en lumière les dangers croissants liés à la popularité de Roblox, un jeu en ligne prisé par les jeunes. En 2024, Kaspersky a détecté plus de 1,6 million de tentatives de cyberattaques déguisées en fichiers liés à Roblox, une augmentation alarmante qui souligne les risques auxquels les enfants sont exposés. Les cybercriminels exploitent l'attrait du jeu en proposant des mods, cheats et générateurs de monnaie gratuite, incitant les utilisateurs à télécharger des fichiers malveillants. Parmi les stratagèmes, les joueurs sont souvent invités à fournir leurs identifiants de jeu sous prétexte de gagner des prix, mais finissent par perdre leur argent sans recevoir de récompense. Vasily Kolesnikov, expert en sécurité chez Kaspersky, insiste sur l'importance de la cybersécurité pour protéger les jeunes joueurs. Il recommande aux parents de rester informés des menaces, de communiquer ouvertement avec leurs enfants sur les risques en ligne, et d'utiliser des mots de passe uniques. De plus, des applications de parentalité numérique peuvent aider à créer un environnement en ligne sûr. Kaspersky propose également un Abécédaire de la cybersécurité pour sensibiliser les enfants aux bonnes pratiques en matière de sécurité numérique.
Sources :
Comment orienter l'adoption de l'IA : un guide pour les RSSI
L'article aborde les défis auxquels les organisations font face pour gérer l'utilisation des outils d'intelligence artificielle (IA) au sein de leurs équipes. Malgré l'importance croissante de l'IA, il existe peu de ressources pour guider les employés sur leur rôle lors des réunions liées à ces technologies. Les méthodes manuelles de suivi des outils d'IA sont souvent inefficaces, notamment en ce qui concerne l'analyse des journaux de trafic réseau et l'utilisation de solutions de sécurité cloud. Les équipes de sécurité doivent adopter une approche proactive pour identifier les applications d'IA utilisées par les employés, plutôt que de simplement les bloquer, car cela pourrait inciter les utilisateurs à contourner les restrictions. L'article souligne l'importance d'intégrer la surveillance de l'IA dans des cadres existants, comme le NIST CSF 2.0, qui inclut désormais des stratégies de gestion des risques liés à l'IA. En documentant les cas d'utilisation et en se référant à des indicateurs de performance clés, les équipes de sécurité peuvent mieux aligner les outils d'IA avec les politiques organisationnelles. Enfin, il est crucial de trouver un équilibre entre contrôle et convivialité pour une mise en œuvre efficace des politiques d'IA.
Sources :
Des pirates informatiques nord-coréens exploitent une astuce PowerShell pour pirater des appareils lors d'une nouvelle cyberattaque
Le groupe de cybermenaces lié à la Corée du Nord, Kimsuky, a été observé utilisant une nouvelle tactique pour tromper ses cibles en les incitant à exécuter PowerShell en tant qu'administrateur et à coller un code malveillant. Selon l'équipe de renseignement de Microsoft, l'attaquant se fait passer pour un fonctionnaire sud-coréen et établit une relation de confiance avant d'envoyer un courriel de phishing contenant un PDF. Pour lire ce document, les victimes doivent cliquer sur un lien qui les pousse à enregistrer leur système Windows, les incitant à exécuter un code dans PowerShell. Si elles obéissent, le code malveillant télécharge un outil de bureau à distance et un fichier de certificat, permettant à l'attaquant d'accéder à l'appareil et d'exfiltrer des données. Ce changement de méthode a été observé depuis janvier 2025. Par ailleurs, une femme de l'Arizona a plaidé coupable d'avoir facilité un schéma frauduleux permettant à des travailleurs informatiques nord-coréens d'obtenir des emplois à distance dans plus de 300 entreprises américaines, générant plus de 17 millions de dollars de revenus illicites. Cette situation a conduit à une augmentation des extorsions et des fuites de données par ces travailleurs.
Sources :
Le Patch Tuesday de Microsoft corrige 63 failles, dont deux en cours d’exploitation active
Microsoft a publié mardi des correctifs pour 63 vulnérabilités de sécurité affectant ses produits logiciels, dont deux sont activement exploitées. Parmi ces vulnérabilités, CVE-2025-21391 (CVSS : 7.1) et CVE-2025-21418 (CVSS : 7.8) permettent à un attaquant de supprimer des fichiers ciblés sur un système. Mike Walters d'Action1 a souligné que ces failles pourraient être combinées avec d'autres pour escalader les privilèges et compliquer les efforts de récupération. La CISA a ajouté ces vulnérabilités à son catalogue des vulnérabilités connues, exigeant des agences fédérales qu'elles appliquent les correctifs d'ici le 4 mars 2025. La vulnérabilité la plus critique de cette mise à jour est CVE-2025-21198 (CVSS : 9.0), une vulnérabilité d'exécution de code à distance dans le HPC Pack. Une autre vulnérabilité RCE (CVE-2025-21376, CVSS : 8.1) affecte le protocole LDAP, essentiel pour Active Directory, ce qui pourrait permettre des mouvements latéraux et des escalades de privilèges. D'autres fournisseurs, tels qu'Adobe et Amazon Web Services, ont également publié des mises à jour de sécurité pour corriger diverses vulnérabilités récemment.
Sources :
Ivanti corrige des failles critiques dans Connect Secure et Policy Secure – Effectuez la mise à jour maintenant
Ivanti a publié des mises à jour de sécurité pour corriger plusieurs vulnérabilités affectant Connect Secure (ICS), Policy Secure (IPS) et Cloud Services Application (CSA), qui pourraient permettre l'exécution de code arbitraire. Parmi les failles, on trouve : CVE-2024-38657 (score CVSS : 9.1), permettant à un attaquant authentifié d'écrire des fichiers arbitraires ; CVE-2025-22467 (9.9), un débordement de tampon permettant l'exécution de code à distance ; CVE-2024-10644 (9.1), une injection de code ; et CVE-2024-47908 (9.1), une injection de commande dans la console web d'Ivanti CSA. Les versions corrigées sont : Ivanti Connect Secure 22.7R2.6, Ivanti Policy Secure 22.7R1.3 et Ivanti CSA 5.0.5. Bien qu'Ivanti ne soit pas au courant d'exploitations en cours, il est crucial que les utilisateurs appliquent les derniers correctifs, surtout après la découverte d'une exploitation de CVE-2025-0282 pour déployer le malware SPAWNCHIMERA. Ivanti a reconnu que ses produits sont ciblés par des acteurs malveillants et a renforcé ses efforts pour améliorer la sécurité de ses logiciels. Parallèlement, d'autres entreprises comme SonicWall et Fortinet ont également signalé des vulnérabilités critiques nécessitant des mises à jour urgentes.
Sources :
Fortinet révèle un deuxième contournement d'authentification du pare-feu corrigé en janvier
Fortinet a récemment annoncé la découverte d'une vulnérabilité d'authentification par contournement (CVE-2025-24472) dans FortiOS et FortiProxy, permettant aux attaquants d'acquérir des privilèges super-admin via des requêtes proxy CSF malveillantes. Bien que cette faille ait été signalée comme exploitée, Fortinet a précisé qu'elle avait déjà été corrigée en janvier, et que seule la vulnérabilité CVE-2024-55591 avait été exploitée dans des attaques. Les versions affectées incluent FortiOS 7.0.0 à 7.0.16 et FortiProxy 7.0.0 à 7.2.12, avec des correctifs disponibles dans les versions ultérieures. Des rapports indiquent que des attaques ciblant des pare-feu Fortinet exposés à Internet ont débuté en novembre 2024, impliquant des connexions administratives non autorisées et des modifications de configurations. Arctic Wolf a fourni une chronologie des phases d'exploitation, soulignant la nécessité pour les organisations de désactiver l'accès à l'interface de gestion des pare-feu sur des interfaces publiques. Fortinet a conseillé aux administrateurs de restreindre l'accès à l'interface administrative en attendant l'application des mises à jour de sécurité.
Sources :
Taobento piraté : plus de 170 000 clients impactés ?
La chaîne de restauration Taobento a récemment été victime d'une cyberattaque, exposant les données de plus de 170 000 clients, selon le service de veille ZATAZ. Les informations compromises, obtenues par le pirate en février 2025, incluent des noms, adresses électroniques, numéros de téléphone, dates de naissance et numéros de cartes de fidélité. Bien que les données bancaires n'aient pas été touchées, cette fuite augmente les risques d'hameçonnage, d'usurpation d'identité et de fraudes aux programmes de fidélité. Les utilisateurs sont avertis de la nécessité de prendre des mesures de protection immédiates, telles que la vérification de leurs informations personnelles, le changement de mots de passe, et l'activation de l'authentification à deux facteurs. Cette situation souligne l'urgence de renforcer la sécurité des données personnelles, surtout dans un contexte où les fuites de données se multiplient en France. Le pirate, qui semble avoir développé une méthode efficace pour accéder à des bases de données, a également revendiqué d'autres attaques, notamment contre la Mutuelle des Motards. Les utilisateurs sont encouragés à rester vigilants et à adopter de bonnes pratiques de cybersécurité pour se protéger contre de futures menaces.
Sources :
Fuite de données chez Mutuelle des Motards : plus d’1,3 million d’utilisateurs impactés
La Mutuelle des Motards a récemment subi une cyberattaque, révélée par le service de veille ZATAZ, touchant potentiellement 1,33 million d'utilisateurs. Les données compromises incluent des informations personnelles sensibles telles que noms, adresses électroniques (160 000 uniques) et numéros de téléphone, mais pas de données bancaires ni de pièces d'identité. Le pirate, connu sous le pseudonyme de Lanvin, a déjà été impliqué dans d'autres fuites, notamment celle de l'enseigne Taobento. Cette situation expose les victimes à divers risques, tels que le phishing, les arnaques téléphoniques et l'usurpation d'identité. Les utilisateurs concernés sont invités à prendre des mesures de protection immédiates, comme surveiller les connexions suspectes, éviter de répondre à des communications douteuses, modifier leurs mots de passe et activer l'authentification à deux facteurs. Cette fuite souligne la vulnérabilité des entreprises face aux cybermenaces et l'importance d'une vigilance constante en matière de cybersécurité. ZATAZ propose des ressources pour aider les utilisateurs à se protéger et à rester informés des enjeux liés à la sécurité des données.
Sources :
La mise à jour Windows 10 KB5051974 force l'installation de la nouvelle application Microsoft Outlook
L'article du 11 février 2025 traite de la mise à jour KB5051974 de Windows 10, qui impose l'installation d'une nouvelle application Microsoft Outlook. Cette mise à jour vise à corriger plusieurs bugs, notamment ceux affectant le Capture Service et l'outil Snipping Tool, ainsi qu'un problème de fuite de mémoire. Au total, elle comprend onze correctifs, dont un pour les administrateurs informatiques concernant la gestion de l'installation d'Outlook. D'autres problèmes notables incluent l'arrêt des suggestions automatiques de Bing dans l'éditeur de méthode d'entrée Pinyin et des difficultés de connexion OpenSSH après l'installation de la mise à jour de sécurité de janvier 2025. Microsoft a également signalé que des mises à jour ultérieures pourraient échouer si la version 2411 de Citrix Session Recording Agent est installée, recommandant d'arrêter le service de surveillance avant d'installer les mises à jour. Enfin, un message d'erreur lié à SgrmBroker.exe dans l'EventViewer est mentionné, bien que cela n'affecte pas les fonctionnalités. Les utilisateurs expriment des préoccupations concernant l'imposition de cette application et la gestion des mises à jour, notamment l'absence de mises à jour de prévisualisation en décembre.
Sources :
Le Patch Tuesday de février 2025 de Microsoft corrige 4 zero-days et 55 failles
Ce mois-ci, Microsoft a corrigé deux vulnérabilités zero-day activement exploitées et deux autres publiquement exposées lors de son Patch Tuesday. Une vulnérabilité permet aux attaquants de supprimer des fichiers ciblés sur un système, sans divulguer d'informations confidentielles. La seconde vulnérabilité activement exploitée, CVE-2025-21418, permet aux acteurs malveillants d'acquérir des privilèges SYSTEM sur Windows. Parmi les vulnérabilités publiquement divulguées, la CVE-2025-21194 concerne un contournement de sécurité sur Microsoft Surface, permettant de compromettre le noyau sécurisé via UEFI. Une autre vulnérabilité, CVE-2025-21377, expose les hachages NTLM des utilisateurs Windows, permettant à un attaquant distant de se connecter en tant qu'utilisateur. Microsoft a également publié des mises à jour pour d'autres produits, y compris des correctifs pour des vulnérabilités dans Android, des mises à jour de sécurité pour Fortinet, et des correctifs pour des routeurs Netgear. Ces actions visent à renforcer la sécurité des systèmes et à protéger les utilisateurs contre les menaces potentielles.
Sources :
Fortinet met en garde contre une nouvelle faille zero-day pour pirater les pare-feu
Fortinet a récemment annoncé la découverte d'une vulnérabilité d'authentification (CVE-2025-24472) dans FortiOS et FortiProxy, permettant aux attaquants de prendre le contrôle des pare-feu Fortinet. Bien que cette faille ait été exploitée, Fortinet a précisé qu'elle avait déjà été corrigée en janvier 2025. La vulnérabilité permet aux attaquants d'obtenir des privilèges super-admin via des requêtes CSF proxy malveillantes. Les versions affectées incluent FortiOS 7.0.0 à 7.0.16 et FortiProxy 7.0.0 à 7.2.12, avec des correctifs disponibles dans les versions ultérieures. Fortinet a également mis en garde contre une autre vulnérabilité (CVE-2024-55591) exploitée par des acteurs malveillants, qui a permis des modifications non autorisées des configurations des pare-feu. Selon Arctic Wolf, des attaques ciblant ces vulnérabilités ont été observées depuis novembre 2024, impliquant des connexions administratives non autorisées et des modifications de configurations. Fortinet recommande aux administrateurs de désactiver l'accès à l'interface de gestion des pare-feu exposés sur Internet pour se protéger.
Sources :
Mises à jour cumulatives Windows 11 KB5051987 et KB5051989 publiées
Microsoft a publié les mises à jour cumulatives KB5051987 et KB5051989 pour Windows 11, visant les versions 24H2 et 23H2, afin de corriger des vulnérabilités de sécurité et divers problèmes. Ces mises à jour, obligatoires, incluent les correctifs de sécurité du Patch Tuesday de février 2025. Les utilisateurs peuvent les installer via le menu Démarrer > Paramètres > Windows Update ou les télécharger manuellement depuis le Catalogue Microsoft.
Après installation, la version 24H2 sera mise à jour vers Build 26100.3194 et la version 23H2 vers 226x1.4890. Parmi les nouvelles fonctionnalités, on note la possibilité de reprendre un fichier OneDrive modifié sur mobile directement depuis le bureau, ainsi que des améliorations des aperçus et animations dans la barre des tâches. De plus, un nouvel icône pour les effets Windows Studio apparaîtra dans la zone de notification.
Des améliorations ont également été apportées à l'Explorateur de fichiers, notamment l'ajout de la commande "Nouveau dossier" dans le menu contextuel et la restauration des onglets précédemment ouverts. Plusieurs corrections de bugs ont été effectuées, touchant notamment les appareils audio USB et les problèmes d'affichage HDR. Aucune nouvelle problématique n'est signalée par Microsoft.
Sources :
Des pirates informatiques militaires russes déploient des activateurs Windows malveillants en Ukraine
Le groupe de cyber-espionnage militaire russe Sandworm cible les utilisateurs de Windows en Ukraine en déployant des activateurs KMS malveillants et de fausses mises à jour de Windows. Ces attaques, qui ont probablement débuté fin 2023, ont été associées à Sandworm par des analystes d'EclecticIQ en raison d'infrastructures communes et de techniques similaires. Les hackers utilisent un chargeur BACKORDER pour déployer le malware DarkCrystal RAT (DcRAT), déjà utilisé dans des attaques précédentes. Les campagnes de distribution de malware, au nombre de sept, exploitent des leurres similaires et des TTP cohérents. Le 12 janvier 2025, des attaques ont été observées infectant des victimes avec le DcRAT, visant à exfiltrer des données via un domaine trompeur. Une fois installé, l'outil d'activation KMS falsifié affiche une interface trompeuse, installe le chargeur de malware et désactive Windows Defender, avant de livrer le RAT. L'objectif est de collecter des informations sensibles sur les ordinateurs infectés. L'utilisation d'activateurs Windows malveillants par Sandworm est probablement liée à l'usage répandu de logiciels piratés en Ukraine, offrant ainsi des opportunités aux adversaires pour infiltrer des programmes largement utilisés, menaçant ainsi la sécurité nationale et l'infrastructure critique du pays.
Sources :
La CISA met en garde contre une vulnérabilité activement exploitée dans Microsoft Outlook
Une vulnérabilité de Microsoft Outlook, identifiée sous le nom CVE-2024-21413, est actuellement exploitée activement par des acteurs malveillants, selon une alerte de la CISA. Connue sous le nom de "MonikerLink bug", cette faille permet à un attaquant de contourner la fonction de sécurité Protected View d'Outlook. En modifiant un lien vers un fichier distant avec un point d'exclamation et des caractères aléatoires, un attaquant peut tromper Outlook pour qu'il ouvre directement l'URL, contournant ainsi les avertissements habituels. Cela pourrait permettre à l'attaquant d'obtenir des privilèges élevés et d'exécuter du code à distance sur le système ciblé. Bien que Microsoft ait publié un correctif lors des mises à jour de février 2024, affirmant qu'aucune exploitation active n'avait été observée à ce moment-là, la situation a changé. La CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées et a exhorté toutes les organisations à mettre à jour leurs systèmes rapidement, en imposant un délai de trois semaines pour les agences fédérales. Les utilisateurs sont également encouragés à appliquer les correctifs nécessaires pour réduire l'exposition et prévenir les menaces actives.
