Les États-Unis sanctionnent un hébergeur lié au ransomware LockBit - Actus du 11/02/2025
Découvrez les dernières sanctions américaines contre l'hébergement de LockBit, l'importance de mettre à jour votre iPhone/iPad, et 4 astuces pour éviter une dépendance excessive à l'AMF. Restez informé et protégé avec notre article complet !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Les États-Unis sanctionnent le fournisseur d’hébergement à toute épreuve du ransomware LockBit
Les États-Unis, l'Australie et le Royaume-Uni ont sanctionné Zservers, un fournisseur russe de services d'hébergement "bulletproof", pour avoir soutenu l'infrastructure d'attaque du gang de ransomware LockBit. Deux administrateurs clés, Alexander Mishin et Aleksandr Bolshakov, ont également été désignés pour leur rôle dans les transactions de cryptomonnaie et le soutien aux attaques. L'Office of Foreign Assets Control (OFAC) des États-Unis a révélé qu'un ordinateur portable lié à Zservers avait été découvert lors d'une perquisition en 2022, contenant un panneau de contrôle de malware LockBit. En 2022 et 2023, Zservers a fourni des adresses IP utilisées pour coordonner des activités de ransomware. Les sanctions interdisent aux organisations et citoyens des trois pays d'effectuer des transactions avec les personnes et entreprises désignées, et leurs actifs seront gelés. Le gouvernement britannique a également sanctionné XHOST Internet Solutions, une société associée à Zservers, et quatre employés. Les autorités estiment que LockBit a extorqué jusqu'à 1 milliard de dollars lors de plus de 7 000 attaques. LockBit, actif depuis 2019, a ciblé de nombreuses entités de renom, et des opérations récentes ont permis de démanteler une partie de son infrastructure.
Sources :
Vous avez un iPhone ou un iPad ? Il y a une mise à jour importante à installer
Apple a récemment publié des mises à jour logicielles, notamment iOS 18.3.1 et iPadOS 18.3.1, pour corriger une faille de sécurité critique exploitée par des hackers. Ces mises à jour, lancées le 10 février, visent à protéger les utilisateurs d'iPhone et d'iPad contre des attaques ciblées, notamment via une vulnérabilité liée à la connexion USB, qui pourrait permettre à des attaquants de contourner le mode de sécurité des appareils verrouillés. Apple a également mis à jour une version plus ancienne d’iPadOS, ce qui est inhabituel, afin de sécuriser les tablettes non compatibles avec iPadOS 18. La société a reconnu que cette faille pourrait avoir été utilisée dans des opérations d'espionnage sophistiquées, impliquant des outils comme ceux de l'entreprise israélienne Cellebrite. Les utilisateurs sont fortement encouragés à installer ces mises à jour pour éviter d'éventuelles intrusions. En attendant, la première bêta d’iOS 18.4, prévue pour avril, devrait introduire de nouvelles fonctionnalités pour le grand public. Ces mesures soulignent l'engagement d'Apple à maintenir la sécurité de ses appareils face à des menaces croissantes.
Sources :
4 façons d'empêcher que l'AMF ne devienne une trop bonne chose
L'authentification multi-facteurs (MFA) est devenue la norme pour sécuriser les comptes professionnels, mais son adoption universelle reste limitée en raison de plusieurs défis. Premièrement, les entreprises perçoivent souvent la MFA comme un centre de coûts, avec des frais d'abonnement par utilisateur et des dépenses liées à la formation des employés. Bien que ces coûts soient inférieurs à ceux d'une violation de sécurité, leur impact n'est pas toujours clairement compris. Deuxièmement, l'expérience utilisateur est un point de friction : l'ajout d'une étape de vérification après le mot de passe peut ralentir le travail. L'intégration de la MFA avec l'authentification unique (SSO) peut atténuer ce problème. Troisièmement, la mise en œuvre de la MFA présente des pièges cachés, notamment la complexité de la gestion des identités et la scalabilité des systèmes. De plus, la MFA ne suffit pas à elle seule ; chaque méthode a ses vulnérabilités, comme les attaques par SIM swapping sur la MFA par SMS. En conclusion, la MFA doit faire partie d'une stratégie de sécurité plus large, incluant la surveillance et la journalisation, pour surmonter ces défis et renforcer la protection contre les accès non autorisés.
Sources :
Développer une approche proactive de l’IA pour mieux maîtriser les risques financiers
À l'ère de l'IA générative, les entreprises doivent réévaluer leur stratégie de cybersécurité face à de nouvelles menaces. Christophe Gaultier, Directeur d'OpenText Cybersecurity, souligne que l'IA, tout en offrant des opportunités, expose les organisations à des risques financiers accrus, tels que les violations de données et les cyberattaques sophistiquées. Pour anticiper ces risques, il est crucial de cartographier les vulnérabilités, de protéger les données sensibles et de respecter les régulations, comme le NIS2 en Europe. L'IA peut également renforcer la cybersécurité en automatisant la détection des menaces, permettant ainsi de réduire les coûts liés aux incidents. Les entreprises intégrant l'IA dans leur stratégie constatent des bénéfices significatifs, notamment une meilleure résilience face aux cyberattaques. Gaultier recommande trois bonnes pratiques : une gouvernance rigoureuse des données, l'implémentation de solutions de cybersécurité basées sur l'IA pour une surveillance continue, et la sensibilisation des employés aux risques liés à l'IA. En conclusion, une approche proactive, alliant gouvernance, technologies avancées et formation, est essentielle pour sécuriser l'utilisation de l'IA et minimiser les impacts financiers des cybermenaces.
Sources :
Progress Software corrige des failles de LoadMaster très graves affectant plusieurs versions
Progress Software a corrigé plusieurs vulnérabilités de sécurité critiques dans son logiciel LoadMaster, qui pourraient être exploitées par des acteurs malveillants pour exécuter des commandes système arbitraires ou télécharger des fichiers. LoadMaster est un contrôleur de livraison d'applications (ADC) et un équilibreur de charge performant, essentiel pour la disponibilité et la sécurité des applications critiques. Les vulnérabilités identifiées incluent :
- CVE-2024-56131, CVE-2024-56132, CVE-2024-56133, et CVE-2024-56135 (scores CVSS : 8.4) - Permettent à des acteurs malveillants d'exécuter des commandes via des requêtes HTTP si ils accèdent à l'interface de gestion.
- CVE-2024-56134 (score CVSS : 8.4) - Permet le téléchargement de fichiers sur le système via des requêtes HTTP.
Les versions affectées vont de 7.2.55.0 à 7.2.60.1, corrigées dans la version 7.2.61.0, ainsi que d'autres versions antérieures. Progress Software n'a pas trouvé de preuves d'exploitation de ces vulnérabilités, mais recommande aux clients d'appliquer les derniers correctifs pour une protection optimale, compte tenu des précédentes vulnérabilités exploitées par des menaces.
Sources :
Le radar DDoS de Gcore révèle une augmentation de 56 % des attaques DDoS d'une année sur l'autre
Le secteur des services financiers a connu une augmentation spectaculaire des attaques DDoS, avec une hausse de 117 %, tandis que le secteur du jeu reste le plus ciblé. Les résultats de cette période soulignent l'importance d'une atténuation robuste et adaptable des DDoS, car les attaques deviennent plus précises et fréquentes. Avec une croissance de 17 % du nombre total d'attaques et un volume de pointe atteignant 2 Tbps, la nécessité d'une protection avancée est évidente. Les approches traditionnelles doivent s'adapter aux attaques rapides qui peuvent échapper à la détection. Comprendre les origines des attaques peut renforcer les défenses dans les régions à haut risque. Par rapport au dernier trimestre 2023, les attaques DDoS ont augmenté de 56 %, révélant une tendance à long terme. Les tensions géopolitiques et économiques alimentent ces attaques ciblées, notamment contre les services financiers et les infrastructures critiques. Bien que le secteur du jeu ait vu sa part d'attaques diminuer, il reste une cible de choix en raison des incitations financières et de l'impact des temps d'arrêt. Gcore DDoS Protection utilise une capacité de filtrage de plus de 200 Tbps pour neutraliser ces menaces en temps réel, soulignant la nécessité de stratégies de défense proactives.
Sources :
Comment protéger les pipelines de vente contre les cybermenaces
Les entreprises doivent sécuriser leurs processus de vente pour éviter les fraudes et les cyberattaques. Les menaces majeures incluent les escroqueries par phishing, où de faux e-mails incitent les équipes de vente à divulguer des mots de passe. Il est crucial de revoir régulièrement les accès aux données sensibles, surtout lorsque des employés changent de rôle ou quittent l'entreprise. L'implémentation de l'authentification multifacteur (MFA) sur les outils de vente et les plateformes CRM réduit considérablement les risques d'accès non autorisé. Les applications d'authentification sont plus sûres que les SMS, car elles génèrent des codes uniques sur l'appareil de l'utilisateur. Le chiffrement de bout en bout protège les données en transit, tandis que le chiffrement des données stockées renforce la sécurité des bases de données. Former les équipes à reconnaître les escroqueries et à signaler les activités suspectes est essentiel. Des tests de phishing réguliers peuvent évaluer la vigilance des employés. L'utilisation d'un CRM sécurisé avec des mises à jour automatiques et des contrôles d'accès stricts est recommandée. Enfin, le recours à des outils de surveillance de la sécurité et à une équipe dédiée peut aider à détecter les anomalies avant qu'elles ne deviennent problématiques.
Sources :
Safer Internet Day : l’essor de l’IA et les usages hybrides redéfinissent les enjeux
Le Safer Internet Day, événement annuel de sensibilisation aux usages numériques, se tiendra le 11 février 2025 avec pour thème « L’IA et nous, quel futur ensemble ? ». Cette édition met en lumière l'importance croissante de l'intelligence artificielle (IA) et les cybermenaces qui en découlent. Ray Canzanese, directeur des Threat Labs chez Netskope, souligne que les taux de clics sur les liens de phishing ont presque triplé en 2024, avec plus de 8 utilisateurs sur 1 000 touchés chaque mois. Cette augmentation est liée à l'utilisation croissante d'applications cloud personnelles au travail, où 88 % des employés y ont recours. L'IA générative facilite également la création de leurres sophistiqués pour les cyberattaquants. Pour contrer ces menaces, la formation et la sensibilisation des utilisateurs sont cruciales, mais doivent être accompagnées d'outils de protection avancés. Le Safer Internet Day 2025 insiste sur la nécessité d'une approche proactive, combinant sensibilisation, formation et adoption de solutions de sécurité adaptées. Dans un contexte où les frontières entre usages personnels et professionnels s'estompent, il est essentiel de renforcer les contrôles et les bonnes pratiques pour garantir un environnement numérique plus sûr pour tous.
Sources :
Sysdig alerte sur des cyberattaques de LLM jacking sur des comptes utilisateurs de DeepSeek
L’équipe de recherche sur les cybermenaces de Sysdig a identifié en mai 2024 une nouvelle forme d'attaque appelée « LLMjacking », qui consiste en l'utilisation illicite de comptes de modèles de langage (LLM) par des hackers ayant compromis les identifiants de leurs propriétaires. Cette usurpation est souvent réalisée par des cybercriminels revendant les comptes volés, mais aussi par des étudiants cherchant à obtenir des accès gratuits ou par des utilisateurs dans des régions où l'accès aux LLM américains est restreint. Les identifiants ont été récupérés via une cible vulnérable utilisant une version de Laravel (CVE-2021-3129). Contrairement aux abus habituels des systèmes d'IA, cette attaque vise à vendre l'accès à des LLM, entraînant des factures exorbitantes pour les victimes, pouvant atteindre des centaines de milliers de dollars par mois. Depuis cette découverte, le LLMjacking a gagné en popularité, les attaquants se tournant rapidement vers DeepSeek, un outil moins coûteux que ses concurrents comme OpenAI, ce qui leur permet de passer inaperçus plus longtemps. Le rapport complet de Sysdig est disponible en ligne pour plus de détails.
Sources :
Des arnaques aux sentiments aux Illuminati : Kaspersky a détecté plus de 400 000 tentatives d’« arnaques nigérianes » en 2024
En 2024, Kaspersky a identifié plus de 414 000 tentatives de « fraude 4-1-9 », communément appelées « arnaques nigérianes », principalement par email. Ces escroqueries, qui promettent des gains financiers attractifs, visent à manipuler les victimes pour leur extorquer de l'argent. Les arnaqueurs utilisent diverses approches, notamment des arnaques sentimentales où ils prétendent avoir besoin d'aide financière pour des frais de voyage, ou se présentent comme des entrepreneurs riches cherchant des investissements. Certaines arnaques se font passer pour des membres des Illuminati, promettant richesse et pouvoir en échange d'une réponse à leur email. D'autres cas incluent des courriels d'une fausse loterie, demandant des informations personnelles pour prétendument réclamer un prix. Les escrocs adaptent constamment leurs méthodes en fonction des tendances et des événements actuels, rendant leurs attaques particulièrement redoutables. Ils exploitent l'ingénierie sociale en établissant une relation de confiance avec leurs victimes, ce qui souligne l'importance d'une sensibilisation accrue et d'une éducation numérique pour reconnaître ces manipulations. Anna Lazaricheva, analyste chez Kaspersky, insiste sur la nécessité d'une vigilance face à ces fraudes en ligne, qui demeurent l'une des formes les plus polyvalentes de cybercriminalité.
Sources :
Protéger votre chaîne d'approvisionnement en logiciels : évaluer les risques avant le déploiement
En 2024, une attaque majeure de la chaîne d'approvisionnement a été révélée dans l'Index des paquets Python (PyPI). Des attaquants ont téléchargé des paquets malveillants déguisés en outils de chatbot AI, visant à tromper les développeurs pour qu'ils les intègrent dans leurs projets. Ces paquets contenaient du code nuisible destiné à voler des données sensibles et à exécuter des commandes à distance sur les systèmes infectés. Étant donné que PyPI est largement utilisé, cette attaque aurait pu compromettre des milliers d'applications avant que des chercheurs en sécurité de Kaspersky ne détectent l'activité malveillante. Cet incident souligne l'importance d'évaluer en profondeur les logiciels, car les attaquants exploitent de plus en plus les dépôts de confiance pour distribuer des malwares. La sécurité des produits (PST) ne se limite pas à la recherche de vulnérabilités, mais implique de comprendre le comportement d'un produit dans un environnement spécifique. Les équipes de sécurité doivent prioriser leurs efforts en fonction de l'impact commercial et de l'exposition aux attaques. En intégrant la PST dans le processus décisionnel, les organisations peuvent mieux se préparer aux attaques, en mettant en place des contrôles de sécurité ciblés et en réduisant l'incertitude face aux vulnérabilités.
Sources :
Les acteurs de la menace exploitent ClickFix pour déployer NetSupport RAT dans les dernières cyberattaques
Depuis début janvier 2025, des acteurs malveillants exploitent la technique ClickFix pour déployer un cheval de Troie d'accès à distance, le NetSupport RAT. Ce logiciel, initialement conçu pour le support informatique légitime, permet aux attaquants de prendre le contrôle total des dispositifs victimes, leur offrant la capacité de surveiller l'écran en temps réel, de contrôler le clavier et la souris, ainsi que de télécharger et exécuter des commandes malveillantes. Le NetSupport RAT est généralement diffusé via des sites web frauduleux et de fausses mises à jour de navigateur. La technique ClickFix consiste à injecter une fausse page CAPTCHA sur des sites compromis, incitant les utilisateurs à exécuter des commandes PowerShell malveillantes pour télécharger le malware. Les chaînes d'attaque identifiées par la société de cybersécurité eSentire montrent que ces commandes téléchargent le client NetSupport RAT depuis un serveur distant, où les composants malveillants sont dissimulés sous forme de fichiers image PNG. Parallèlement, cette méthode est également utilisée pour propager une version mise à jour du malware Lumma Stealer, qui utilise le chiffrement ChaCha20 pour protéger ses fichiers de configuration. Ces évolutions illustrent les tactiques d'évasion des développeurs malveillants.
Sources :
Sommet pour l’IA : « Vos données ne sont pas à l’abri des intelligences artificielles », avertit la présidente de Signal
Lors d'un événement au Grand Palais, des figures majeures de la technologie, telles que Xavier Niel (Free) et Sundar Pichai (Google), ont échangé avec des officiels, avant qu'Emmanuel Macron ne prenne la parole pour un discours prometteur sur l'intelligence artificielle (IA). Malgré les annonces spectaculaires d'alliances et d'investissements, l'atmosphère dans la salle était empreinte de prudence, avec des préoccupations concernant la sécurité, notamment après des piratages récents. Meredith Whittaker a souligné la nécessité de clarifier ce que signifie réellement l'IA, tandis qu'Edgars Rinkēvičs a évoqué les menaces d'attaques hybrides. Actuellement, l'AI Act, un règlement européen, encadre certaines pratiques de l'IA, bien que son contenu reste flou. OpenAI, filiale de Microsoft, a mis en place une charte interne pour réguler l'utilisation de l'IA. Emmanuel Macron a réaffirmé que l'IA doit servir l'humanité et améliorer la qualité de vie. L'événement a mis en lumière le besoin d'un équilibre entre innovation technologique et régulation, tout en soulignant l'importance d'une information de qualité accessible à tous.
Sources :
Le rapport Gcore Radar révèle une augmentation de 56 % des attaques DDoS d'une année sur l'autre
Le 11 février 2025, Gcore, fournisseur mondial de solutions AI, cloud, réseau et sécurité, a publié son rapport Radar sur les tendances des attaques DDoS pour le troisième et quatrième trimestre 2024. Ce rapport révèle une augmentation sans précédent des attaques DDoS, tant en nombre qu'en ampleur, atteignant des niveaux critiques. Le secteur des services financiers a particulièrement souffert, représentant 26 % des attaques, contre 12 % auparavant. Les plateformes technologiques, en raison de leur puissance de calcul, sont également devenues des cibles privilégiées, exposées à des attaques basées sur des rançons. Gcore souligne l'importance pour les entreprises d'investir dans des solutions de détection et de protection contre les DDoS afin de minimiser les impacts financiers et réputationnels. En termes de géographie, les États-Unis restent un point névralgique pour les attaques, suivis par le Brésil, la Chine et l'Indonésie, cette dernière montrant une augmentation des attaques au niveau applicatif. Les attaques de courte durée, plus difficiles à détecter, profitent des pics de trafic normaux, laissant aux attaquants une fenêtre d'opportunité pour perturber les services. Gcore, basé à Luxembourg, gère une infrastructure IT mondiale avec une capacité réseau dépassant 200 Tbps.
Sources :
Le FBI, Europol et la NCA démantèlent les sites de négociation et de fuite de données du ransomware 8Base
Une opération coordonnée des forces de l'ordre a démantelé les sites de fuite de données et de négociation du gang de ransomware 8Base sur le dark web. Les visiteurs de ces sites sont désormais accueillis par une bannière de saisie émise par la police criminelle de Bavière. Cette opération a impliqué plusieurs agences, dont la NCA britannique, le FBI américain et Europol, ainsi que des autorités de plusieurs pays, dont la France et l'Allemagne. Quatre ressortissants européens ont été arrêtés dans le cadre de l'opération nommée Phobos Aetor, bien que leurs identités restent inconnues. Les autorités ont saisi plus de 40 éléments de preuve, y compris des téléphones et des ordinateurs portables. Le groupe est accusé d'avoir déployé le ransomware Phobos contre 17 entreprises en Suisse entre avril 2023 et octobre 2024, générant environ 16 millions de dollars de gains à partir de plus de 1 000 victimes dans le monde. 8Base, qui a émergé comme un acteur majeur de l'extorsion en 2023, a des liens avec RansomHouse, notamment en ce qui concerne leurs notes de rançon et leur infrastructure sur le dark web. Cette action fait suite à des perturbations récentes liées à d'autres groupes de ransomware notables.
Sources :
Apple corrige activement la faille zero-day CVE-2025-24200 d'iOS exploitée dans une mise à jour d'urgence
Apple a publié lundi des mises à jour de sécurité pour iOS et iPadOS afin de corriger une vulnérabilité exploitée dans la nature, identifiée par le CVE CVE-2025-24200. Ce problème d'autorisation permettrait à un acteur malveillant de désactiver le mode USB restreint sur un appareil verrouillé, nécessitant un accès physique à l'appareil pour l'exploiter. Introduit avec iOS 11.4.1, ce mode empêche un appareil de communiquer avec un accessoire non déverrouillé depuis plus d'une heure, visant à protéger les données sensibles contre des outils de criminalistique numérique utilisés par les forces de l'ordre. Apple a amélioré la gestion des états pour corriger cette vulnérabilité, tout en reconnaissant qu'elle pourrait avoir été exploitée dans une attaque sophistiquée ciblant des individus spécifiques. La découverte de cette faille est attribuée à Bill Marczak du Citizen Lab. Les mises à jour sont disponibles pour plusieurs modèles d'iPhone et d'iPad. Ce développement survient après la résolution d'une autre vulnérabilité liée à un bug dans le composant Core Media. Les failles de sécurité dans les logiciels Apple sont souvent utilisées par des vendeurs de surveillance commerciale pour extraire des données des appareils victimes.
Sources :
Plus de 12 000 pare-feu KerioControl exposés à une faille RCE exploitée
Plus de 12 000 instances de pare-feu GFI KerioControl sont exposées à une vulnérabilité critique d'exécution de code à distance (RCE) identifiée comme CVE-2024-52875. KerioControl, utilisé par les petites et moyennes entreprises pour la gestion de la sécurité réseau, présente un défaut découvert en décembre 2024 par le chercheur en sécurité Egidio Romano. Ce défaut permet des attaques RCE à un clic, mettant en danger les systèmes non mis à jour. Bien qu'une mise à jour de sécurité ait été publiée le 19 décembre 2024, plus de 23 800 instances restaient vulnérables trois semaines plus tard. Des tentatives d'exploitation actives ont été détectées, visant à voler des jetons CSRF d'administration. Selon la fondation Shadowserver, 12 229 pare-feu KerioControl sont actuellement exposés à cette vulnérabilité, principalement situés en Iran, aux États-Unis, en Italie, en Allemagne, en Russie, au Kazakhstan, en Ouzbékistan, en France, au Brésil et en Inde. La vulnérabilité permet des attaques de type HTTP Response Splitting, pouvant mener à des attaques XSS et potentiellement à des RCE. Il est fortement recommandé d'installer la version 9.4.5 Patch 2, sortie le 31 janvier 2025, pour corriger cette faille.
Sources :
Les distributeurs du service crypté Sky ECC arrêtés en Espagne et aux Pays-Bas
Quatre distributeurs du service de communication cryptée Sky ECC, largement utilisé par des criminels, ont été arrêtés en Espagne et aux Pays-Bas. Selon la police espagnole, les deux suspects arrêtés en Espagne étaient les principaux distributeurs mondiaux, générant plus de 13,5 millions d'euros de bénéfices. L'enquête sur ce service a débuté en 2019, révélant que les clients achetaient un accès par abonnement à 600 euros pour trois mois. En mars 2021, Europol a annoncé avoir déchiffré l'encryption de Sky ECC, permettant de surveiller 70 000 utilisateurs et de découvrir des activités criminelles étendues. Malgré les dénégations initiales du service, des preuves accablantes ont été trouvées. Les arrestations ont eu lieu fin janvier 2025 à Jávea et Ibiza, où les autorités ont saisi des appareils électroniques, des sommes d'argent en espèces et en cryptomonnaies, ainsi que des biens de luxe. Aux Pays-Bas, deux hommes ont également été arrêtés, gérant environ 25 % des abonnements Sky ECC. Les suspects espagnols devraient être extradés vers les Pays-Bas pour faire face à des poursuites.
Sources :
Pourquoi les entreprises modernes ont besoin d'un logiciel de sécurité de la chaîne d'approvisionnement pour atténuer les risques
Les chaînes d'approvisionnement sont devenues de plus en plus complexes, exposant les entreprises à de nouvelles vulnérabilités, notamment des menaces cybernétiques et des perturbations opérationnelles. Pour rester compétitives, les entreprises doivent investir dans des logiciels de sécurité des chaînes d'approvisionnement afin de réduire ces risques. Les cybermenaces représentent une préoccupation majeure, car les hackers ciblent souvent les fournisseurs avec des protocoles de sécurité faibles, entraînant des vols de données et des temps d'arrêt. Les logiciels de sécurité permettent de détecter les vulnérabilités et de réagir rapidement aux incidents. De plus, la contrefaçon et les fournisseurs frauduleux posent des risques importants, notamment dans les secteurs de la santé et de la technologie. L'intégration de ces logiciels permet de vérifier les références des fournisseurs et d'authentifier les sources de produits. La conformité réglementaire est également cruciale, car des violations peuvent entraîner des amendes et des dommages à la réputation. Enfin, ces outils renforcent la résilience opérationnelle face aux perturbations, en offrant des analyses prédictives et des évaluations des risques des fournisseurs. En somme, investir dans des solutions de sécurité des chaînes d'approvisionnement est essentiel pour protéger les actifs et assurer le succès à long terme des entreprises.
Sources :
Apple corrige une faille zero-day exploitée dans des attaques « extrêmement sophistiquées »
Apple a publié des mises à jour de sécurité d'urgence pour corriger une vulnérabilité zero-day, exploitée dans des attaques ciblées jugées "extrêmement sophistiquées". Cette faille, identifiée comme CVE-2025-24200, concerne le mode USB restreint, une fonctionnalité de sécurité qui empêche les accessoires USB de créer une connexion de données sur des appareils verrouillés depuis plus d'une heure. Ce mode vise à protéger les données des appareils iOS contre des logiciels d'extraction utilisés par les forces de l'ordre. Les mises à jour concernent iOS 18.3.1 et iPadOS 18.3.1, et touchent plusieurs modèles d'iPhone et d'iPad. Bien que cette vulnérabilité ait été exploitée dans des attaques ciblées, Apple recommande d'installer immédiatement les mises à jour pour contrer d'éventuelles tentatives d'attaque en cours. Les chercheurs de Citizen Lab, qui ont signalé cette faille, ont précédemment révélé d'autres zero-days utilisés dans des attaques de logiciels espions contre des individus à risque, tels que des journalistes et des dissidents. En 2023, Apple a corrigé 20 vulnérabilités zero-day, soulignant la nécessité d'une vigilance continue en matière de sécurité.
Sources :
Un pirate informatique plaide coupable d'une attaque par échange de carte SIM sur un compte US SEC X
Un homme de 25 ans, Eric Council Jr., originaire de l'Alabama, a plaidé coupable d'avoir piraté le compte de la Securities and Exchange Commission (SEC) des États-Unis sur X lors d'une attaque par SIM swapping en janvier 2024. Initialement, il avait plaidé non coupable, mais a ensuite reconnu avoir permis à ses complices de publier une fausse annonce affirmant que les ETF Bitcoin avaient été approuvés par la SEC. Cette publication frauduleuse a provoqué une hausse du prix du Bitcoin de 1 000 dollars, suivie d'une chute de 2 000 dollars après que le président de la SEC, Gary Gensler, a révélé que le compte avait été compromis. L'attaque a été réalisée en prenant le contrôle du numéro de téléphone de la personne responsable du compte, permettant à Council de réinitialiser le mot de passe et de publier la fausse annonce. Il a également utilisé une carte d'identité falsifiée pour se faire passer pour la victime et accéder à son numéro de téléphone. Council, qui a exprimé des inquiétudes quant à une enquête du FBI, sera condamné le 16 mai et risque jusqu'à cinq ans de prison pour conspiration en vue de commettre un vol d'identité aggravé et une fraude liée aux dispositifs d'accès.
Sources :
La police arrête 4 suspects du ransomware Phobos et saisit les sites 8Base
Une opération mondiale des forces de l'ordre a abouti à l'arrestation de deux suspects liés au gang de ransomware Phobos à Phuket, en Thaïlande. Les deux hommes, de nationalité russe, sont accusés d'avoir extorqué 16 millions de dollars en Bitcoin à plus de 1 000 victimes à travers le monde. L'opération, nommée "Phobos Aetor", a permis de réaliser des perquisitions dans quatre lieux, où des ordinateurs portables, des smartphones et des portefeuilles de cryptomonnaie ont été saisis pour analyse. Les autorités suisses ont demandé l'extradition des suspects, qui auraient attaqué au moins 17 entreprises suisses entre avril 2023 et octobre 2024, en volant des données et en chiffrant des fichiers pour exiger des paiements en cryptomonnaie. Parallèlement, les sites du dark web du gang 8Base ont été saisis, affichant un message de saisie émis par la police criminelle de Bavière. L'opération a impliqué plusieurs pays, dont la Suisse, l'Allemagne, le Japon et les États-Unis. Le groupe 8Base, actif depuis mars 2022, a ciblé principalement des PME aux États-Unis, au Brésil et au Royaume-Uni, sans cibler d'anciennes républiques soviétiques.
Sources :
Une cyberattaque perturbe les activités des journaux Lee à travers les États-Unis
Lee Enterprises, l'un des plus grands groupes de journaux aux États-Unis, a subi une cyberattaque le 3 février 2025, entraînant une interruption de ses opérations. Dans un dépôt auprès de la SEC, l'entreprise a confirmé que cet incident technologique avait perturbé ses applications commerciales, affectant ainsi la production et la distribution de nombreux journaux. Les salles de rédaction ont signalé des difficultés d'accès aux fichiers, les réseaux étant fermés pour des raisons de sécurité. Lee Enterprises a indiqué qu'elle travaillait à une enquête approfondie pour déterminer l'impact de l'attaque sur les données, tout en ayant informé les autorités judiciaires. De nombreux journaux du groupe affichent des messages sur leurs sites web, avertissant les lecteurs de perturbations temporaires dans l'accès aux comptes d'abonnement et aux éditions numériques. Lee Enterprises publie 77 journaux quotidiens et 350 publications hebdomadaires dans 26 États, atteignant plus de 1,2 million de lecteurs par jour et 44 millions de visiteurs uniques en ligne. Ce n'est pas la première fois que l'entreprise est ciblée, ayant déjà été victime d'une cyberattaque en 2020 par des hackers iraniens.
