L'essor des vulnérabilités zero-day : une menace croissante pour la cybersécurité - Actus du 15/10/2024
Découvrez pourquoi NIS 2 est repoussé en France, l'insuffisance des solutions face aux vulnérabilités zero-day, et l'alerte sur 10 millions de comptes piratés au Moyen-Orient sur le Dark Web. Restez informé des enjeux de cybersécurité actuels !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
NIS 2 n’entrera pas en vigueur le 17 octobre en France
La directive NIS 2 ne sera pas mise en œuvre en France le 17 octobre en raison de la dissolution de l'Assemblée nationale, retardant ainsi son dépôt en Conseil des Ministres. Ce retard expose la France à des sanctions de l'Union européenne. Selon un communiqué, la France doit informer la Commission européenne des règles adoptées d'ici le 17 janvier 2025 et soumettre la liste des entreprises concernées d'ici le 17 avril 2025. Les entreprises françaises doivent donc se préparer à se conformer à NIS 2, bien que cette conformité ne sera effective qu'un an plus tard. En attendant, elles doivent s'aligner sur cette directive pour maintenir leurs relations commerciales avec des pays européens comme la Belgique, la République Tchèque et la Hongrie, qui l'ont déjà adoptée. François-Christophe Jean, directeur technique chez Cohesity, souligne que la mise en œuvre anticipée des mesures de conformité présente des avantages, permettant aux entreprises de se préparer aux obligations futures et de collaborer dès maintenant avec les pays ayant déjà intégré NIS 2. Ce contexte souligne l'importance pour les entreprises françaises de ne pas retarder leur mise en conformité afin de ne pas perdre des opportunités commerciales.
Sources :
L'essor des vulnérabilités zero-day : pourquoi les solutions de sécurité traditionnelles sont insuffisantes
Ces dernières années, les vulnérabilités zero-day ont augmenté en nombre et en complexité, représentant une menace sérieuse pour les organisations. Un exemple marquant est la vulnérabilité CVE-2024-0519 dans Google Chrome, exploitée activement et liée à un problème d'accès mémoire dans le moteur JavaScript V8. Cette vulnérabilité a également compromis les systèmes internes de Rackspace via l'application de surveillance de ScienceLogic. Les outils de détection d'intrusion (IDS) traditionnels peinent à identifier ces menaces, d'où l'importance des solutions de Détection et Réponse Réseau (NDR) qui utilisent l'apprentissage automatique pour repérer des comportements anormaux sans règles prédéfinies. En analysant en continu le trafic réseau, NDR peut détecter précocement les exploits zero-day en identifiant des écarts par rapport aux comportements normaux. Grâce à des algorithmes d'IA, NDR offre une visibilité approfondie sur les activités réseau, permettant une réponse rapide aux menaces émergentes, comme la détection de canaux de Command and Control (C2) établis par des intrus. En corrélant divers indicateurs, NDR aide à identifier des configurations C2 potentielles, rendant ainsi les organisations plus résilientes face à ces menaces. L'adoption de solutions avancées comme NDR est cruciale pour protéger les actifs critiques.
Sources :
Les données de près de 10 millions de comptes piratés au Moyen-Orient ont été trouvés sur le Dark Web
L’équipe Digital Footprint Intelligence (DFI) de Kaspersky a publié un rapport lors de GITEX Global 2024, mettant en lumière les cybermenaces majeures qui pèsent sur les organisations du Moyen-Orient. Les chercheurs ont exploré le Dark Web pour analyser les dangers numériques du premier semestre 2024. Parmi les menaces identifiées, les groupes de ransomware se distinguent, avec 19 groupes actifs, notamment Lockbit 3.0 et Stormous, ciblant principalement les Émirats arabes unis et l’Arabie saoudite, en particulier dans les secteurs public et du BTP. Le hacktivisme, motivé par des raisons idéologiques, a également augmenté, avec des attaques plus destructrices visant des fuites de données. Les cybercriminels cherchent des points d’accès aux réseaux d’entreprise, avec plus de 40 annonces sur le Dark Web pour accéder à diverses organisations. Les infostealers, qui volent des informations sensibles, ont été responsables de près de 10 millions de comptes d’utilisateurs compromis, principalement en Égypte, en Arabie saoudite et aux Émirats. Enfin, 125 bases de données ont été divulguées, touchant particulièrement l’Arabie saoudite, l’Irak et l’Égypte. Vera Kholopova souligne l'importance de la vigilance face à ces menaces en constante évolution.
Sources :
Classement Top Malware Check Point – Septembre 2024 : un basculement vers des tactiques de malware assistées par l’IA – En France, Formbook réapparaît au top 3
En septembre, des chercheurs ont révélé que des cybercriminels utilisent l'intelligence artificielle pour créer des malwares, notamment AsyncRAT, qui est désormais l'un des plus répandus. Ce malware, contenant un script VBScript malveillant, permet aux attaquants de contrôler à distance les appareils infectés, d'enregistrer les frappes au clavier et de déployer d'autres malwares. La qualité du code suggère une intervention d'IA, facilitant la création de malwares par des individus aux compétences techniques limitées. Maya Horowitz de Check Point Software souligne l'évolution rapide des tactiques de cyberattaques. Parallèlement, Androxgh0st, un malware commercialisé comme Malware as a Service (MaaS), exploite des vulnérabilités dans des frameworks comme PHPUnit et Laravel pour voler des identifiants et espionner les activités bancaires. Qbot, souvent diffusé via des spams, utilise des techniques anti-analyse pour échapper à la détection. Enfin, RansomHub, un ransomware as a Service (RaaS), a émergé en 2024, ciblant divers systèmes et affectant environ 300 entités en Amérique et en Europe. Cette tendance montre une sophistication croissante dans le domaine de la cybercriminalité.
Sources :
Les cybercriminels tentent de transformer les blockchains en hébergeurs de contenus malveillants
Le dernier rapport du Threat Lab de WatchGuard, portant sur le deuxième trimestre 2024, met en évidence une augmentation des infostealers, des botnets et des attaques de malwares évasifs. Parmi les menaces notables, on trouve Lumma Stealer, un malware sophistiqué pour le vol de données, et une nouvelle variante du botnet Mirai ciblant les appareils intelligents. Le rapport souligne également l'émergence de LokiBot, qui vise à dérober des informations d'authentification sur Windows et Android via de faux messages d'erreur. Une préoccupation majeure est la présence de codes malveillants dans les blockchains, qui pourraient devenir des hôtes immuables pour des contenus nuisibles. Corey Nachreiner, Chief Security Officer, insiste sur l'importance de mettre à jour régulièrement les systèmes pour combler les vulnérabilités. Bien que les détections de malwares aient diminué de 24 %, les cybercriminels se tournent vers des logiciels plus discrets, avec une hausse de 168 % des malwares évasifs. Les attaques réseau ont augmenté de 33 %, avec une vulnérabilité NGINX de 2019 représentant 29 % des détections. Enfin, 74 % des attaques de malwares via navigateur ciblaient des navigateurs basés sur Chromium.
Sources :
Elle perd 1 000 euros après avoir scanné un QR code malveillant collé à un parcmètre
Des autorités locales en Irlande, notamment autour de Dublin, ont mis en garde contre des arnaques liées à des parcmètres. Le problème a été révélé lorsqu'une femme a constaté un prélèvement illégal de 1 000 euros après avoir scanné un QR code. Sa fille a alerté la municipalité le 14 octobre 2024, entraînant la diffusion d'une vidéo par le comté de Fingal montrant ces QR codes malveillants. Ces codes redirigent vers un site imitant le service de stationnement, incitant les utilisateurs à entrer leurs informations bancaires, qui sont ensuite volées par des cybercriminels. Une arnaque similaire a été signalée à Nice, en France, où des QR codes ont également été retirés par la mairie. Les autorités recommandent de télécharger les applications directement sur les smartphones plutôt que de passer par des scans de QR codes. Ce type de fraude pourrait se répandre, car l'utilisation de QR codes sur les parcmètres devient courante. Les utilisateurs doivent donc rester vigilants face à ces menaces croissantes en matière de cybersécurité.
Sources :
La Chine accuse les États-Unis d'avoir inventé le typhon Volt pour masquer ses propres campagnes de piratage
Le Centre national chinois de réponse aux urgences liées aux virus informatiques (CVERC) a réaffirmé que le groupe de cyberespionnage Volt Typhoon est une invention des États-Unis et de ses alliés. En collaboration avec le Laboratoire national d'ingénierie pour la prévention des virus informatiques, le CVERC accuse le gouvernement américain et les agences de renseignement des Five Eyes de mener des activités d'espionnage contre plusieurs pays, y compris la Chine, la France, l'Allemagne et le Japon. Il affirme détenir des preuves solides que les États-Unis orchestrent des opérations sous faux drapeau pour dissimuler leurs propres cyberattaques malveillantes. Le rapport souligne que la base militaire américaine à Guam est en réalité à l'origine de nombreuses cyberattaques contre la Chine et d'autres pays d'Asie du Sud-Est. Volt Typhoon, actif depuis 2019, utilise des dispositifs de réseau pour infiltrer les infrastructures critiques. Une récente étude de la société française Sekoia a également lié des acteurs de menace d'origine chinoise à des campagnes d'attaques exploitant des dispositifs de bord. Le CVERC a reçu des préoccupations d'experts internationaux concernant la narration américaine sur Volt Typhoon, tout en accusant les États-Unis d'utiliser des outils pour brouiller les pistes et contrôler les communications mondiales.
Sources :
Des chercheurs découvrent un malware de type Hijack Loader utilisant des certificats de signature de code volés
Des chercheurs en cybersécurité ont révélé une nouvelle campagne de malware utilisant des artefacts de Hijack Loader signés avec des certificats de code légitimes. La société française HarfangLab a détecté cette activité début octobre 2024, visant à déployer un voleur d'informations nommé Lumma. Hijack Loader, connu sous plusieurs noms, a été identifié pour la première fois en septembre 2023. Les chaînes d'attaque impliquent souvent des utilisateurs trompés en téléchargeant des fichiers malveillants déguisés en logiciels piratés. Les campagnes récentes redirigent les utilisateurs vers de fausses pages CAPTCHA, les incitant à exécuter des commandes PowerShell encodées pour télécharger un fichier ZIP contenant un exécutable légitime vulnérable au DLL side-loading et le DLL malveillant. HarfangLab a observé trois versions de scripts PowerShell exploitant différentes méthodes d'exécution. En octobre 2024, la méthode de livraison a évolué vers l'utilisation de plusieurs binaires signés pour échapper à la détection. Bien que l'origine des certificats de signature ne soit pas claire, leur acquisition est souvent automatisée. Parallèlement, SonicWall Capture Labs a signalé une augmentation des attaques par un malware nommé CoreWarrior, ainsi que des campagnes de phishing diffusant XWorm, un malware multifonctionnel.
Sources :
Il est temps de faire le ménage dans vos anciens comptes en ligne : voici pourquoi et comment s’y prendre [Sponso]
La création de comptes en ligne est devenue incontournable pour accéder à divers services, mais elle augmente notre empreinte numérique et expose nos données personnelles à des risques. Chaque compte nécessite des informations sensibles, et même les services inactifs conservent ces données, ce qui peut entraîner des conséquences graves comme la revente sur le dark web ou l'usurpation d'identité, surtout en cas de fuite de données. Pour gérer cette situation, il est crucial de supprimer les comptes inutilisés. Les utilisateurs peuvent retrouver les comptes associés à leurs identifiants Google, Facebook ou X en consultant les paramètres de ces plateformes. Des outils comme justedelete.me et me-desinscrire.fr peuvent également aider dans cette démarche. Cependant, il est souvent impossible de supprimer tous les comptes, d'où l'importance de protéger ses données. En adoptant des mesures de cybersécurité, les utilisateurs peuvent réduire les risques liés à leurs informations personnelles. En somme, bien que la suppression complète des comptes soit difficile, il est essentiel de prendre des mesures pour sécuriser ses données en ligne et limiter l'impact de notre empreinte numérique.
Sources :
Le plugin WordPress Jetpack corrige une vulnérabilité majeure affectant 27 millions de sites
Les responsables du plugin Jetpack pour WordPress ont publié une mise à jour de sécurité pour corriger une vulnérabilité critique permettant aux utilisateurs connectés d'accéder aux formulaires soumis par d'autres sur un site. Jetpack, développé par Automattic, est utilisé sur 27 millions de sites WordPress et offre divers outils pour améliorer la sécurité et la performance des sites. La faille, identifiée lors d'un audit interne, existe depuis la version 3.9.9, lancée en 2016, et concerne la fonctionnalité de formulaire de contact. Bien qu'aucune exploitation de cette vulnérabilité n'ait été signalée, son exposition publique augmente le risque d'abus. Jetpack a collaboré avec l'équipe de sécurité de WordPress.org pour mettre à jour automatiquement le plugin sur les sites concernés. Cette mise à jour concerne 101 versions différentes de Jetpack. Par ailleurs, WordPress a récemment pris le contrôle du plugin Advanced Custom Fields de WP Engine, créant un fork appelé Secure Custom Fields, en réponse à des problèmes de sécurité. WP Engine a contesté cette action, affirmant que WordPress n'avait jamais pris un plugin sans consentement, tandis que WordPress a défendu son droit d'agir pour la sécurité publique.
Sources :
Cisco enquête sur une faille de sécurité après le vol de données en vente sur un forum de piratage
Cisco a confirmé qu'il enquête sur des allégations de violation de données après qu'un acteur malveillant a commencé à vendre des informations prétendument volées sur un forum de hackers. Un porte-parole de Cisco a déclaré à BleepingComputer que l'entreprise était au courant des rapports concernant l'accès à certains fichiers liés à Cisco. L'attaquant, connu sous le nom d'IntelBroker, a affirmé avoir piraté Cisco le 6 octobre 2024, dérobant une grande quantité de données de développement. Parmi les données compromises figurent des projets GitHub et GitLab, du code source, des certificats, des informations clients et des clés privées. IntelBroker a également partagé des échantillons de ces données, y compris une base de données et des captures d'écran de portails de gestion client. Cependant, il n'a pas précisé comment ces données avaient été obtenues. En juin, IntelBroker avait déjà vendu ou divulgué des données d'autres entreprises, telles que T-Mobile et Apple, provenant d'un fournisseur de services gérés tiers. Il reste incertain si la violation chez Cisco est liée à ces incidents précédents. L'enquête de Cisco est toujours en cours pour évaluer la situation.
Sources :
Une nouvelle variante du malware FASTCash pour Linux permet de voler de l'argent aux distributeurs automatiques
Des hackers nord-coréens utilisent une nouvelle variante Linux du malware FASTCash pour infecter les systèmes de paiement des institutions financières et réaliser des retraits d'argent non autorisés. Selon un rapport du chercheur en sécurité HaxRob, cette version cible spécifiquement les distributions Ubuntu 22.04 LTS. Le malware, qui a été signalé pour la première fois en 2018 par la CISA, est associé au groupe de hackers soutenu par l'État, connu sous le nom de "Hidden Cobra". Depuis 2016, FASTCash a permis de voler des millions de dollars lors d'attaques simultanées sur des distributeurs automatiques dans plus de 30 pays. La variante Linux, soumise à VirusTotal en juin 2023, fonctionne en injectant une bibliothèque partagée dans un processus actif sur un serveur de paiement, manipulant les messages de transaction ISO8583. Elle remplace les réponses de refus par des approbations, permettant ainsi aux hackers de retirer des montants allant de 12 000 à 30 000 Lira turques (350 à 875 dollars) sans détection. Ce développement souligne l'évolution continue des outils des hackers, avec une nouvelle version Windows également soumise en septembre 2024.
Sources :
Jetpack corrige une faille critique de divulgation d'informations existante depuis 2016
Le plugin Jetpack pour WordPress a publié une mise à jour de sécurité critique le 14 octobre 2024, corrigeant une vulnérabilité qui permettait à des utilisateurs connectés d'accéder aux formulaires soumis par d'autres visiteurs. Cette faille, découverte lors d'un audit interne, affecte toutes les versions de Jetpack depuis la 3.9.9, lancée en 2016. Automattic, l'éditeur de Jetpack, a indiqué que le plugin est installé sur 27 millions de sites. Bien qu'il n'y ait aucune preuve d'exploitation malveillante de cette vulnérabilité au cours des huit dernières années, Jetpack recommande aux utilisateurs de mettre à jour vers les versions corrigées dès que possible. Les versions concernées incluent un large éventail, allant de la 3.9.10 à la 13.9.1. Les propriétaires de sites doivent vérifier si leur plugin a été mis à jour automatiquement ou procéder à une mise à jour manuelle. Aucune solution de contournement n'est disponible, rendant la mise à jour essentielle. Les détails techniques sur la faille sont pour l'instant gardés confidentiels pour permettre aux utilisateurs de sécuriser leurs sites avant toute exploitation potentielle.
Sources :
Le malware TrickMo vole les codes PIN Android à l'aide d'un faux écran de verrouillage
Quarante nouvelles variantes du malware TrickMo, un trojan bancaire pour Android, ont été identifiées, liées à 16 droppers et 22 infrastructures de commande et de contrôle (C2) distinctes. Ce malware, documenté pour la première fois en 2020, est actif depuis au moins septembre 2019. Sa principale nouveauté est un écran de verrouillage trompeur qui imite l'interface de déverrouillage d'Android, permettant de voler les codes PIN des utilisateurs. TrickMo utilise des techniques telles que l'interception de mots de passe à usage unique (OTP), l'enregistrement d'écran et le contrôle à distance. En abusant des permissions du service d'accessibilité, il peut exécuter des actions sans intervention de l'utilisateur. Les victimes, principalement au Canada, mais aussi en Émirats Arabes Unis, en Turquie et en Allemagne, sont estimées à au moins 13 000, avec des millions de données sensibles compromises. TrickMo se propage via le phishing, et il est conseillé de ne pas télécharger d'APK provenant de sources inconnues. Google Play Protect aide à identifier et bloquer les variantes connues, soulignant l'importance de sa protection sur les appareils Android.
Sources :
Game Freak, le développeur de Pokémon, confirme une faille de sécurité après la fuite de données volées en ligne
Le développeur japonais de jeux vidéo Game Freak a confirmé avoir subi une cyberattaque en août 2024, entraînant la fuite en ligne de code source et de conceptions de jeux non publiés. Connu pour être le co-propriétaire et le principal studio de développement de la série Pokémon, Game Freak a vu des captures d'écran de ses projets futurs circuler sur des sites de fuite et des plateformes comme Discord et Reddit. Bien que le studio n'ait pas reconnu la fuite des données de jeu, il a confirmé que des informations personnelles concernant ses employés, sous-traitants et anciens associés avaient été volées. Un avis publié sur leur site indique que l'accès non autorisé à leurs serveurs a eu lieu, et ils s'excusent pour les désagréments causés. Les données compromises incluent des noms complets et des adresses e-mail professionnelles, augmentant le risque de phishing. Game Freak a assuré que les données des joueurs de Pokémon n'avaient pas été affectées et que des mesures de sécurité avaient été mises en place pour éviter de futurs incidents. Aucun groupe n'a encore revendiqué la responsabilité de cette attaque, qui rappelle d'autres cyberattaques récentes dans l'industrie du jeu vidéo.
Sources :
La giga fuite Pokémon révèle des scénarios tordus qui auraient traumatisé les fans
Pokémon a récemment subi une fuite de données majeure, la plus importante de son histoire, suite à une cyberattaque ciblant Game Freak, le développeur principal. Le 10 octobre 2024, l'entreprise a informé ses employés qu'un accès non autorisé avait été réalisé sur ses serveurs. Les informations volées, diffusées massivement sur les réseaux sociaux à partir du 13 octobre, incluent des designs inédits de Pokémon, des détails sur une suite du film "Détective Pikachu" et des noms de futurs jeux, potentiellement pour la Nintendo Switch 2. Parmi les révélations les plus troublantes figurent des scénarios inédits, dont certains pourraient choquer les jeunes fans. Un récit met en scène une jeune fille perdue qui développe une relation avec un Typhlosion, entraînant des conséquences tragiques. D'autres histoires évoquent des tortures infligées à des Pokémon et des naissances de créatures hybrides. Game Freak n'a pas encore fourni d'explications sur ces scénarios, laissant planer le doute sur leur origine et leur intention. Cette fuite soulève des questions sur la direction créative de la franchise et la protection des données sensibles.
