L'IA générant des variantes indétectables de logiciels malveillants - Actus du 23/12/2024
L'IA révolutionne le paysage des logiciels malveillants avec 10 000 variantes indétectables dans 88 % des cas. Découvrez les dernières menaces, outils et conseils cybersécurité, et la mise à jour critique d'Apache Tomcat dans notre récapitulatif hebdomadaire THN.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
L'IA pourrait générer 10 000 variantes de logiciels malveillants, échappant à la détection dans 88 % des cas
Des chercheurs en cybersécurité ont découvert que les modèles de langage de grande taille (LLMs) peuvent être utilisés pour générer à grande échelle de nouvelles variantes de code JavaScript malveillant, rendant leur détection plus difficile. Bien que les LLMs aient du mal à créer des logiciels malveillants à partir de zéro, les criminels peuvent les utiliser pour réécrire ou obfusquer des malwares existants, rendant leur détection plus complexe. En multipliant les transformations, cette méthode peut affaiblir les systèmes de classification des malwares, trompant ces derniers en leur faisant croire qu'un code malveillant est inoffensif. Malgré les mesures de sécurité mises en place par les fournisseurs de LLMs, des outils comme WormGPT sont utilisés pour automatiser la création d'e-mails de phishing convaincants et de nouveaux malwares. Les chercheurs de Palo Alto Networks ont démontré qu'ils pouvaient réécrire des échantillons de malware pour contourner la détection par des modèles d'apprentissage automatique, créant ainsi jusqu'à 10 000 variantes de JavaScript tout en maintenant le même comportement. Parallèlement, des chercheurs de l'Université d'État de Caroline du Nord ont développé une attaque permettant de voler des modèles d'IA avec une précision de 99,91 %, exploitant des signaux électromagnétiques émis par des unités de traitement.
Sources :
⚡ Récapitulatif hebdomadaire THN : principales menaces, outils et conseils en matière de cybersécurité
Cette édition se concentre sur les événements cybernétiques marquants de la semaine écoulée, mettant en lumière la sophistication croissante des acteurs malveillants. Le groupe russe APT29 a été identifié comme utilisant un outil open-source, PyRDP, pour établir des serveurs intermédiaires dans des attaques RDP, facilitant l'exfiltration de données. Amnesty International a révélé des attaques par spyware ciblant des membres de la société civile, utilisant des technologies invasives. Plusieurs vulnérabilités critiques ont été signalées, touchant des logiciels tels que Sophos Firewall et Fortinet. Par ailleurs, Recorded Future a été désignée comme "organisation indésirable" en Russie, accusée de cyberattaques. Une campagne d'espionnage ciblant des utilisateurs chinois et vietnamiens a été décrite, utilisant des techniques avancées pour éviter la détection. Les appareils de la série 7 exposés en ligne présentent des vulnérabilités graves, affectant divers secteurs, notamment l'énergie et les transports. Enfin, une démonstration en direct sur l'automatisation des certificats par DigiCert ONE a été annoncée, promettant des solutions adaptées aux incidents cybernétiques. Cette édition souligne l'importance de la vigilance et de la préparation face à des menaces de plus en plus sophistiquées.
Sources :
Apache corrige le contournement de l'exécution de code à distance dans le serveur Web Tomcat
Apache a publié une mise à jour de sécurité pour le serveur web Tomcat, corrigeant une vulnérabilité importante pouvant permettre l'exécution de code à distance (RCE). Tomcat, un conteneur de servlets open-source, est largement utilisé pour déployer des applications web basées sur Java, notamment par des entreprises et des fournisseurs de SaaS. La vulnérabilité, identifiée sous le code CVE-2024-56337, est liée à une atténuation incomplète d'une précédente faille (CVE-2024-50379) pour laquelle un patch partiel avait été publié le 17 décembre. Ce problème est une condition de course TOCTOU affectant les systèmes avec l'écriture de servlet par défaut activée sur des systèmes de fichiers insensibles à la casse. Les versions concernées incluent Tomcat 11.0.0-M1 à 11.0.1, 10.1.0-M1 à 10.1.33, et 9.0.0.M1 à 9.0.97. Les utilisateurs doivent mettre à jour vers les versions 11.0.2, 10.1.34 et 9.0.98, et effectuer des configurations supplémentaires selon la version de Java utilisée. Des améliorations de sécurité sont également prévues pour les futures versions de Tomcat afin de renforcer la sécurité par défaut.
Sources :
Microsoft corrige un bug derrière des erreurs aléatoires de désactivation d'Office 365
Microsoft a déployé une solution pour un problème connu provoquant des erreurs aléatoires de "Produit désactivé" pour les utilisateurs des applications Microsoft 365 Office. Les rapports d'utilisateurs sur divers forums indiquent que ces avertissements apparaissent en raison de modifications de licences effectuées par des administrateurs. Ce problème survient lors du passage d'un abonnement Office 365 E3 à Microsoft 365 E3 ou lors du déplacement d'utilisateurs entre différents groupes de licences, notamment dans Azure Active Directory. Les ajustements des paramètres de licence ou de plan de service par les administrateurs peuvent également déclencher ces erreurs. Microsoft a annoncé que le bug responsable de ces avertissements a été corrigé grâce à un patch déployé sur le service. Pour les utilisateurs encore affectés, plusieurs solutions temporaires sont proposées, comme cliquer sur le bouton "Réactiver" ou se déconnecter puis se reconnecter aux applications Microsoft 365. Si les problèmes persistent, il est conseillé de vérifier l'état de l'abonnement via le portail de gestion des abonnements Microsoft 365. Microsoft a également récemment résolu d'autres bugs affectant les applications Microsoft 365, notamment des problèmes de gel dans Outlook.
Sources :
L'effondrement de Rockstar2FA favorise l'expansion du service de phishing FlowerStorm
Une interruption du kit de phishing-as-a-service (PhaaS) nommé Rockstar 2FA a entraîné une augmentation rapide de l'activité d'un autre service émergent, FlowerStorm. Selon un rapport de Sophos, Rockstar 2FA a subi un effondrement partiel de son infrastructure, rendant ses pages inaccessibles, probablement en raison d'une défaillance technique plutôt que d'une action de démantèlement. Ce service, documenté par Trustwave, permet aux cybercriminels de lancer des attaques de phishing pour récolter des identifiants de comptes Microsoft 365, contournant ainsi les protections d'authentification multi-facteurs (MFA). La panne survenue le 11 novembre 2024 a laissé un vide exploité par FlowerStorm, actif depuis juin 2024, qui présente des similitudes avec Rockstar 2FA dans la conception des pages de phishing et les méthodes de collecte de données. Les pays les plus ciblés par FlowerStorm incluent les États-Unis, le Canada, le Royaume-Uni et l'Australie, avec un accent particulier sur le secteur des services, notamment l'ingénierie et le droit. Ces événements soulignent la tendance croissante des attaquants à utiliser des services cybercriminels pour mener des attaques à grande échelle sans nécessiter de compétences techniques avancées.
Sources :
Les 10 principales tendances en matière de cybersécurité à prévoir en 2025
Les outils de reconnaissance automatisée permettent aux attaquants de collecter des informations détaillées sur les systèmes et les employés d'une cible à une échelle et une vitesse sans précédent. Par exemple, les campagnes de phishing générées par l'IA utilisent le traitement du langage naturel pour créer des emails très personnalisés, augmentant ainsi les chances de succès. La technologie des deepfakes complique davantage la situation en permettant aux attaquants d'imiter des dirigeants avec des vidéos et des audios convaincants, ce qui peut entraîner des fraudes financières. Les mécanismes de sécurité traditionnels peinent à détecter ces attaques dynamiques, laissant les organisations vulnérables. Pour contrer les menaces zero-day, il est crucial d'allier agilité de réponse et prévention par un codage sécurisé et des mises à jour régulières. Les navigateurs modernes protègent la vie privée des utilisateurs, mais les attaquants utilisent des bots imitant des comportements humains, rendant leur détection difficile. Les solutions basées sur l'IA sont essentielles pour identifier ces bots. La surveillance continue et la formation des employés sur les tactiques d'ingénierie sociale sont indispensables. Les dispositifs en périphérie, souvent mal protégés, deviennent des cibles privilégiées. Des outils de détection automatisée permettent de réagir rapidement et de minimiser les risques de violation.
Sources :
Un juge américain se prononce contre le groupe NSO dans l'affaire du logiciel espion WhatsApp Pegasus
WhatsApp, propriété de Meta Platforms, a remporté une victoire juridique majeure contre NSO Group, un fournisseur israélien de logiciels espions, après qu'un juge fédéral de Californie a statué en faveur de l'application de messagerie. Le juge Phyllis J. Hamilton a confirmé que le code Pegasus avait été envoyé à travers les serveurs de WhatsApp à 43 reprises en mai 2019, exploitant une vulnérabilité de sécurité. NSO Group a été critiqué pour son manque de coopération avec le tribunal, notamment pour ne pas avoir produit le code source de Pegasus et pour avoir restreint l'accès aux citoyens israéliens. WhatsApp a accusé NSO d'avoir violé ses conditions d'utilisation en utilisant la plateforme à des fins malveillantes. Will Cathcart, responsable de WhatsApp, a salué cette décision comme une victoire pour la vie privée, affirmant que les entreprises de logiciels espions ne devraient pas échapper à leurs responsabilités. L'affaire, initialement déposée en 2019, se concentrera désormais sur les dommages-intérêts. NSO Group prétend que ses produits sont destinés à des agences gouvernementales pour lutter contre des crimes graves, mais des preuves montrent que Pegasus a été utilisé contre des activistes et des journalistes.
Sources :
L'Italie inflige une amende de 15 millions d'euros à OpenAI pour violation de la confidentialité des données de ChatGPT conformément au RGPD
L'autorité italienne de protection des données a infligé une amende de 15 millions d'euros à OpenAI, le créateur de ChatGPT, en raison de la gestion des données personnelles par l'application d'intelligence artificielle. Cette sanction fait suite à une constatation que ChatGPT a traité des informations d'utilisateurs pour entraîner son service, en violation du Règlement général sur la protection des données (RGPD) de l'Union européenne. L'autorité a également reproché à OpenAI de ne pas avoir signalé une violation de sécurité survenue en mars 2023 et de ne pas avoir de base légale adéquate pour le traitement des données personnelles. De plus, OpenAI n'a pas mis en place de mécanismes de vérification d'âge, exposant ainsi les enfants de moins de 13 ans à des contenus inappropriés. En plus de l'amende, OpenAI doit mener une campagne de communication de six mois pour informer le public sur le fonctionnement de ChatGPT et les droits des utilisateurs concernant leurs données. OpenAI a qualifié cette décision de disproportionnée et prévoit de faire appel. Cette décision intervient après une opinion du Comité européen de la protection des données sur le traitement des données personnelles par les modèles d'IA.
Sources :
Les pirates du groupe Cicada 3301 revendiquent une attaque contre les concessions Peugeot
Le groupe de hackers Cicada 3301 a revendiqué une attaque contre les concessions Peugeot, affirmant avoir volé 40 Go de données sensibles. Ils menacent de publier ces informations dans 15 jours, le 6 janvier 2025, ce qui pourrait paralyser le réseau de concessions crucial pour les clients en France. Cicada 3301, connu pour ses défis cryptographiques en ligne entre 2012 et 2016, a déjà ciblé plus de cinquante victimes à travers le monde, mais cette attaque marque sa première incursion dans le secteur automobile français. Les données volées, principalement géolocalisées dans le Lot-et-Garonne, pourraient inclure des informations personnelles et financières des clients, exposant Peugeot à des amendes importantes en vertu du RGPD. Cette situation s'ajoute à la crise déjà en cours liée au scandale Puretech (AdBlue). L'attaque soulève des inquiétudes quant à la sécurité des données et à la capacité de réaction de Peugeot face à cette menace imminente. Les précédents incidents, comme le piratage de BMW France en janvier 2024, laissent penser que les hackers pourraient avoir ciblé un concessionnaire spécifique, entraînant des conséquences potentiellement graves pour l'ensemble du réseau.
Sources :
Adolescents hackers : jeunes, inconscients et redoutables ?
ZATAZ a réalisé une enquête sur des jeunes pirates informatiques français, révélant une cybercriminalité surprenante. L'interview vise à alerter sur les dangers de ces activités, sans les glorifier, et encourage à dialoguer en famille pour orienter ces jeunes vers des carrières légales. Ces hackers, influencés par les réseaux sociaux et des plateformes comme Discord, ciblent des entreprises variées telles que Boulanger, SFR et EDF. En 2023, ils se sont organisés en groupes privés pour échanger des techniques et outils. Le 23 mars 2024, le groupe Epsilon a publié un message provocateur sur X, où un membre, Sieb3l, raconte comment il a infiltré une base de données. ZATAZ a nommé cette opération "Ligne Rouge". Bien que ses premières tentatives aient échoué, Sieb3l a découvert une vulnérabilité dans les logs de Redline. Les données collectées sont souvent revendues ou partagées sans évaluation de leur valeur. Interrogés sur la peur d'être arrêtés, les pirates ont exprimé leur conviction d'être rattrapés. Sieb3l a même détruit ses disques durs, soulignant que leur potentiel pourrait être redirigé pour enrichir l'écosystème numérique au lieu de le menacer.
