Logiciels espions : six pays soupçonnés d'utiliser Graphite de Paragon Solutions - Actus du 20/03/2025
Découvrez comment six nouveaux pays sont soupçonnés d'utiliser le logiciel espion Graphite, le débat du Congrès sur la loi de partage d'informations en cybersécurité, et l'émergence des tricheurs de jeu sur YouTube diffusant des logiciels malveillants en Russie. Plongez dans l'actualité brûlante...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Logiciels espions : six nouveaux pays suspectés d’utiliser Graphite de Paragon Solutions
Citizen Lab, un groupe de recherche canadien en cybersécurité, a identifié six nouveaux pays soupçonnés d'utiliser le logiciel espion Graphite, développé par Paragon Solutions, une entreprise israélienne. Ces pays incluent l'Australie, le Canada, Chypre, le Danemark, Israël et Singapour, rejoignant l'Italie, déjà mentionnée pour des abus liés à ce logiciel. Graphite permet un accès complet aux données des téléphones, soulevant des inquiétudes quant à son utilisation contre des activistes, notamment en Italie, où des cas documentés incluent des atteintes aux droits humains. Paragon Solutions défend son produit en affirmant qu'il ne vend qu'à des clients respectant les normes internationales, mais Citizen Lab remet en question cette affirmation, soulignant une contradiction entre la position officielle de l'entreprise et les preuves accumulées. Le rapport met en lumière une crise mondiale de la surveillance numérique, posant la question de savoir si la sécurité nationale peut justifier l'espionnage des citoyens. Cette situation illustre la fine ligne entre protection et répression, où les abus deviennent souvent la norme. Les pays concernés doivent maintenant réfléchir aux implications éthiques de l'utilisation de tels outils de surveillance.
Sources :
Le Congrès face à un dilemme : réautoriser la loi sur le partage d’informations en cybersécurité
Le Congrès américain doit décider de réautoriser la loi de 2015 sur la cybersécurité et la sécurité des infrastructures, qui expire en septembre. Cette législation permet aux entreprises de partager des informations sensibles sur les cybermenaces avec le gouvernement tout en bénéficiant d'une protection juridique. Son expiration pourrait compromettre la collaboration essentielle pour contrer les cyberattaques, augmentant ainsi les risques pour la sécurité nationale. David Weinberg, directeur du personnel des démocrates au sein du Comité sénatorial de la sécurité intérieure, a souligné l'importance de cette loi pour faciliter le partage d'informations en temps réel. Cependant, des voix s'élèvent contre cette réautorisation, notamment celle du sénateur Rand Paul, qui évoque des préoccupations sur la vie privée. Les entreprises, confrontées à des réglementations complexes, pourraient bénéficier d'une harmonisation des règles en matière de cybersécurité. Le Congrès doit naviguer entre la nécessité de protéger les infrastructures critiques et le respect des libertés individuelles. Bien qu'un soutien bipartisan existe pour le renouvellement, les divergences idéologiques pourraient compliquer la situation. La décision à venir aura des implications majeures pour la défense contre les cybermenaces et la coopération entre le secteur privé et le gouvernement.
Sources :
Les tricheurs de jeu YouTube répartissent les logiciels malveillants du voleur arcanique aux utilisateurs russes
Des vidéos YouTube promouvant des cheats de jeux sont utilisées pour diffuser un malware volé, Arcane, ciblant probablement des utilisateurs russophones. Selon Kaspersky, ce malware collecte une quantité impressionnante d'informations, notamment des données de connexion provenant de clients VPN et de divers utilitaires réseau. Les chaînes d'attaque impliquent des liens vers des archives protégées par mot de passe, qui, une fois ouvertes, exécutent un fichier batch responsable de récupérer un autre fichier via PowerShell. Ce fichier batch désactive également les protections Windows SmartScreen. Parmi les deux exécutables téléchargés, l'un est un mineur de cryptomonnaie et l'autre, un voleur de données, VGS, remplacé par Arcane. Ce malware est capable de dérober des identifiants, mots de passe, données de cartes de crédit et cookies de navigateurs, ainsi que des informations de configuration d'applications variées, y compris des clients de messagerie et de jeux. Arcane utilise des techniques avancées pour extraire des données sensibles, notamment en craquant des clés de navigateur. Les acteurs derrière cette opération ont également introduit un loader, ArcanaLoader, prétendant télécharger des cheats de jeux, mais livrant en réalité le malware. Les principales cibles de cette campagne sont la Russie, la Biélorussie et le Kazakhstan.
Sources :
Plugin de sécurité WordPress WP Ghost vulnérable au bogue d'exécution du code distant
Le plugin de sécurité WordPress WP Ghost présente une vulnérabilité critique permettant à des attaquants non authentifiés d'exécuter du code à distance et de prendre le contrôle de serveurs. Utilisé sur plus de 200 000 sites, WP Ghost se vante de bloquer 140 000 attaques de hackers et plus de 9 millions de tentatives de force brute chaque mois. Cependant, une faille de type exécution de code à distance (RCE), identifiée comme CVE-2025-26909, affecte toutes les versions jusqu'à 5.4.01, en raison d'une validation insuffisante des entrées dans la fonction 'showFile()'. Cette vulnérabilité permet aux attaquants d'inclure des fichiers arbitraires via des chemins d'URL manipulés, surtout si la fonctionnalité "Change Paths" est en mode Lite ou Ghost. Bien que ces modes ne soient pas activés par défaut, la partie Local File Inclusion (LFI) s'applique à presque toutes les configurations. La vulnérabilité a été découverte par Dimas Maulana le 25 février 2025, et Patchstack a informé le développeur le 3 mars. Un correctif a été intégré dans la version 5.4.02, et les utilisateurs sont encouragés à mettre à jour pour se protéger contre cette faille.
Sources :
Cyber-risques dans le secteur de l’eau : moderniser et segmenter pour se protéger
Depuis 2021, l'ANSSI a traité au moins 31 compromissions dans le secteur de l'eau en France, révélant une vulnérabilité significative face aux cybermenaces. Vincent Nicaise de Stormshield souligne que ce secteur, essentiel pour la vie, est exposé à des cyberattaques de plus en plus sophistiquées. Malgré des efforts pour renforcer la cybersécurité, de nombreux organismes doivent améliorer leur défense, notamment en raison de l'obsolescence de certains systèmes et d'un manque d'investissements. La numérisation croissante, avec l'intégration d'objets connectés, accroît les risques d'attaques. Les petites et moyennes collectivités, souvent démunies en ressources et en expertise, sont particulièrement vulnérables. Face à cette situation, les pouvoirs publics renforcent les exigences de cybersécurité pour les infrastructures critiques, bien que la mise en œuvre de nouvelles directives nécessite encore des décrets. Pour se protéger, il est recommandé d'adopter des approches telles que la segmentation des réseaux, qui limite la propagation des attaques. La formation des opérateurs aux bonnes pratiques de cybersécurité est également cruciale pour anticiper et réagir aux incidents. Une collaboration proactive entre acteurs publics et privés est essentielle pour garantir la continuité des services d'eau et d'assainissement dans un environnement numérique en évolution.
Sources :
Le rootage et le jailbreaking des appareils mobiles restent une menace majeure pour la sécurité
Zimperium, expert en sécurité mobile, alerte les entreprises sur les dangers du rootage et du jailbreaking des appareils mobiles, qui compromettent les protocoles de sécurité essentiels. Selon des recherches de zLabs, les appareils Android rootés sont 3,5 fois plus vulnérables aux malwares, et les incidents de compromission ont augmenté de 250 fois par rapport aux appareils non rootés. Les cybercriminels exploitent ces appareils modifiés pour mener des attaques sophistiquées, compromettant ainsi l'ensemble des réseaux d'entreprise. Malgré les défenses renforcées des systèmes d'exploitation mobiles, les outils de rootage comme Magisk et Checkra1n évoluent pour contourner ces mesures de sécurité. Nico Chiaraviglio, Chief Scientist chez Zimperium, souligne l'importance d'une détection continue des tentatives de manipulation, car un appareil compromis augmente considérablement les risques pour l'entreprise. La technologie de détection mobile de Zimperium, alimentée par l'IA, offre une protection inégalée en identifiant et en atténuant les menaces en temps réel. Face à l'évolution des techniques des cybercriminels, les entreprises doivent renforcer leur vigilance et adopter des défenses proactives pour protéger leurs données contre les ransomwares et autres menaces avancées.
Sources :
Attaque de la chaîne d'approvisionnement de GitHub Attaque exposée Secrets dans 218 REPOS
Une attaque de la chaîne d'approvisionnement a compromis l'action GitHub tj-actions/changed-files, affectant environ 218 dépôts sur les 23 000 qui l'utilisent. Bien que ce chiffre soit faible, les conséquences potentielles sont importantes, car certains dépôts sont très populaires et pourraient être utilisés pour d'autres attaques. Les propriétaires des dépôts exposés doivent agir rapidement pour faire tourner leurs secrets avant qu'ils ne soient exploités. L'attaque, survenue le 14 mars 2025, a permis aux attaquants d'ajouter un commit malveillant pour extraire des secrets CI/CD. Si les journaux de workflow étaient accessibles publiquement, ces secrets pouvaient être lus par quiconque. Une enquête a révélé que l'attaque a probablement été facilitée par une autre compromission ciblant l'action "reviewdog/action-setup@v1". Sur les 5 416 dépôts ayant référencé l'action ciblée, 614 ont exécuté le workflow, mais seuls 218 ont effectivement imprimé des secrets dans les journaux. La plupart des secrets exposés étaient des jetons d'accès GitHub, qui expirent en 24 heures, mais des informations sensibles pour DockerHub, npm et AWS ont également été divulguées, augmentant le risque de sécurité. Les utilisateurs de GitHub Actions sont conseillés de revoir les recommandations de sécurité de GitHub.
Sources :
ESET Research confirme le lien entre I-SOON et le groupe FishMonger, qui a ciblé un groupe de réflexion géopolitique en France
Le Département américain de la Justice a accusé des employés du sous-traitant chinois I-SOON pour leur rôle dans des opérations d'espionnage mondial, notamment l'Opération FishMedley de 2022, qui a ciblé des gouvernements, ONG et groupes de réflexion en Asie, Europe et États-Unis. Le groupe responsable, FishMonger, également connu sous le nom d'Aquatic Panda, a été ajouté à la liste des personnes les plus recherchées par le FBI. ESET Research a documenté ces attaques, utilisant des implants comme ShadowPad et SodaMaster, typiques des acteurs malveillants chinois. Les cibles incluent des organisations à Taïwan, en Thaïlande, en Hongrie, aux États-Unis, en France et en Turquie, souvent liées à des intérêts du gouvernement chinois. Les attaquants ont eu accès à des identifiants d'administrateur de domaine, facilitant leurs intrusions. ESET a confirmé que FishMonger est géré par I-SOON, basé à Chengdu, et a précédemment ciblé des universités de Hong Kong. L'analyse technique de l'Opération FishMedley est disponible sur WeLiveSecurity.com. Cette affaire souligne l'ampleur des cybermenaces liées à des acteurs étatiques et la nécessité d'une vigilance accrue face à l'espionnage numérique.
Sources :
Microsoft soulève le bloc de mise à niveau de Microsoft Windows 11 après Asphalt 8 Crash Fix
Microsoft a levé un blocage de mise à niveau qui empêchait les joueurs d'Asphalt 8: Airborne de passer à Windows 11 version 24H2 en raison de problèmes de compatibilité. Ce blocage avait été instauré après que le jeu a commencé à se figer avec une erreur nécessitant un redémarrage après la mise à jour. En octobre, Microsoft avait averti que les utilisateurs de Windows 11 22H2 et 23H2 ne devaient pas tenter de mise à niveau manuelle tant que le problème n'était pas résolu. Dans une mise à jour récente, Microsoft a annoncé que le problème était désormais corrigé et que le blocage associé avait été levé. Les utilisateurs devraient recevoir la mise à jour dans les 48 heures, et un redémarrage de l'appareil pourrait accélérer le processus. Par ailleurs, Microsoft a également levé d'autres blocages liés à des problèmes de compatibilité avec des applications comme Easy Anti-Cheat et AutoCAD. L'entreprise continue de travailler sur d'autres problèmes de compatibilité affectant certains logiciels audio et applications de personnalisation. En somme, les joueurs peuvent désormais mettre à jour leurs systèmes sans craindre de rencontrer des problèmes avec Asphalt 8.
Sources :
Est-il temps de prendre sa retraite des tests de stylo «unique» pour des tests continus?
Après l'évaluation annuelle, les rapports de tests de pénétration deviennent rapidement obsolètes, laissant des vulnérabilités critiques non détectées dans les systèmes. Le rapport de Verizon sur les violations de données de 2024 souligne l'importance de combler ces lacunes, les vulnérabilités des applications web étant la troisième cause de violations de données. Les évaluations ponctuelles ne répondent pas aux exigences modernes de cybersécurité, car elles ne s'alignent pas sur les cycles de développement agiles. Le PTaaS (Penetration Testing as a Service) propose une approche continue qui permet des évaluations en temps réel, favorisant une communication directe entre développeurs et testeurs, et permettant une vérification illimitée des correctifs. Cela facilite la collaboration nécessaire pour une remédiation rapide des vulnérabilités. La transition vers des évaluations continues nécessite de repenser l'intégration de la sécurité et la coordination des équipes, en éliminant les silos et en établissant de nouveaux flux de travail. Les organisations doivent évaluer leurs processus de test actuels et adopter des métriques pratiques pour mesurer l'efficacité de la remédiation. Les solutions PTaaS, comme celles d'Outpost24, combinent des scans automatisés et des tests manuels pour offrir une évaluation de sécurité complète et en temps réel, renforçant ainsi la sécurité des applications.
Sources :
Les pirates Hellcat vont sur une vague de piratage de Jira dans le monde entier
Le 20 mars 2025, le fournisseur suisse de solutions globales Ascom a confirmé une cyberattaque par le groupe de hackers HellCat, qui cible les serveurs Jira à l'échelle mondiale en utilisant des identifiants compromis. Ascom, spécialisé dans les communications sans fil, a annoncé que son système de billetterie technique avait été violé, entraînant le vol d'environ 44 Go de données, y compris du code source, des factures et des documents confidentiels. Bien que l'incident n'ait pas affecté les opérations commerciales, Ascom collabore avec les autorités pour enquêter sur cette violation. HellCat a précédemment attaqué d'autres entreprises, telles que Schneider Electric et Jaguar Land Rover, en exploitant des identifiants Jira volés. Alon Gal, cofondateur de Hudson Rock, souligne que ces attaques sont facilitées par des identifiants compromis, souvent anciens et non renouvelés, ce qui augmente la fréquence de telles violations. Récemment, HellCat a également compromis le système Jira d'Affinitiv, volant plus de 470 000 adresses e-mail. Les experts avertissent que Jira est devenu une cible privilégiée pour les attaquants en raison de la richesse des données qu'il contient, rendant les entreprises vulnérables à des attaques futures.
Sources :
- https://www.bleepingcomputer.com/news/security/hellcat-hackers-go-on-a-worldwide-jira-hacking-spree/
Patchs de libération Veeam et IBM pour les défauts à haut risque dans les systèmes de sauvegarde et AIX
Veeam a publié des mises à jour de sécurité pour corriger une vulnérabilité critique dans son logiciel Backup & Replication, susceptible de permettre une exécution de code à distance. Cette faille, identifiée sous le nom CVE-2025-23120, a un score CVSS de 9,9 sur 10 et affecte la version 12.3.0.310 ainsi que toutes les versions antérieures de la version 12. Selon l'avis de l'entreprise, la vulnérabilité permet à des utilisateurs de domaine authentifiés d'exécuter du code à distance. Découverte par le chercheur en sécurité Piotr Bazydlo, la faille a été corrigée dans la version 12.3.1. Les chercheurs Bazydlo et Sina Kheirkhah expliquent que la vulnérabilité provient d'une gestion incohérente du mécanisme de désérialisation par Veeam, permettant à un acteur malveillant d'exploiter des gadgets de désérialisation non inclus dans la liste de blocage. Les utilisateurs du groupe local sur le serveur Veeam, ou tout utilisateur de domaine, peuvent exploiter cette faille. Le correctif ajouté par Veeam inclut ces gadgets dans la liste de blocage, mais d'autres risques similaires pourraient émerger si de nouveaux gadgets sont découverts. Parallèlement, IBM a également corrigé des vulnérabilités critiques dans son système d'exploitation AIX.
Sources :
Comment protéger votre entreprise des cyber-menaces: maîtriser le modèle de responsabilité partagée
Le modèle de responsabilité partagée, illustré par l'approche de Microsoft 365, définit clairement les rôles en matière de cybersécurité entre les fournisseurs de cloud et les utilisateurs. Il est essentiel que les équipes configurent les paramètres de sécurité en fonction de la tolérance au risque et des exigences de conformité de l'organisation. La mise en place d'une équipe de gouvernance dédiée à la sécurité est recommandée pour superviser l'implémentation et assurer une communication efficace sur les questions de sécurité. Le déploiement de l'authentification multifacteur (MFA) doit être progressif, en commençant par le personnel informatique, suivi des employés, puis des sous-traitants. Des groupes de rôles doivent être créés pour des fonctions spécifiques, en limitant l'accès des Administrateurs Globaux à quelques personnes de confiance. L'implémentation de la prévention des pertes de données (DLP) doit débuter par les politiques intégrées de Microsoft 365, suivies de politiques personnalisées. Une stratégie de sauvegarde 3-2-1 est cruciale pour la récupération des données. De plus, il est important d'activer le scan des URL en temps réel et de renforcer les défenses anti-phishing pour les utilisateurs à haut risque. L'efficacité en cybersécurité repose sur la détection et la réponse aux incidents, nécessitant une évaluation régulière et l'engagement de toutes les parties prenantes.
Sources :
Six gouvernements utilisent probablement des logiciels espions israéliens pour pirater les applications IM et la récolte
Un rapport de The Citizen Lab révèle que les gouvernements d'Australie, du Canada, de Chypre, du Danemark, d'Israël et de Singapour pourraient être des clients du logiciel espion Graphite, développé par la société israélienne Paragon Solutions, fondée en 2019 par Ehud Barak et Ehud Schneorson. Graphite est capable de collecter des données sensibles à partir d'applications de messagerie instantanée. Le rapport identifie ces six gouvernements comme des "déploiements suspects" de Paragon après avoir analysé l'infrastructure serveur associée au logiciel espion. Cette révélation survient après que WhatsApp a informé environ 90 journalistes et membres de la société civile qu'ils avaient été ciblés par Graphite, avec des attaques interrompues en décembre 2024. Les cibles étaient dispersées dans plus de deux douzaines de pays, notamment en Europe. Les attaques impliquaient l'ajout de cibles à un groupe WhatsApp et l'envoi d'un document PDF exploitant une vulnérabilité pour charger le logiciel espion. Des artefacts forensiques, tels que BIGPRETZEL, ont été découverts sur des appareils Android compromis. Apple a également signalé une infection probable sur un iPhone en juin 2024, et a rapidement déployé un correctif dans iOS 18 pour protéger ses utilisateurs.
Sources :
Signal menace de quitter la France si la loi contre le narcotrafic va trop loin
La messagerie instantanée Signal a averti qu'elle quitterait le marché français si une loi affaiblissant la sécurité de son application était adoptée. Cette mise en garde provient de Meredith Whittaker, présidente de la fondation Signal, alors qu'un projet de loi contre le narcotrafic est en discussion à l'Assemblée nationale. Ce texte pourrait imposer la création d'une porte dérobée dans les communications chiffrées de bout en bout. Bien que la proposition de Bruno Retailleau ne constitue pas une véritable backdoor, elle soulève des inquiétudes parmi les experts en cryptographie, notamment à cause de la "proposition du fantôme", qui permettrait d'inclure un tiers dans des échanges chiffrés sans en informer les participants. La ministre du numérique, Clara Chappaz, tente de concilier la protection des communications et la lutte contre la criminalité, plaidant pour des solutions techniques qui n'affaibliraient pas la sécurité globale. D'autres entreprises comme WhatsApp et Apple ont également exprimé des préoccupations similaires. Les débats sur cette proposition de loi se poursuivront jusqu'au 21 mars à l'Assemblée nationale.
Sources :
Pourquoi la surveillance continue de la conformité est essentielle pour les fournisseurs de services gérés informatiques
Les petites et moyennes entreprises (PME) font face à des réglementations strictes en matière de protection des données, telles que HIPAA, PCI-DSS, CMMC, GDPR et la règle de protection de la FTC. Cependant, beaucoup d'entre elles peinent à rester conformes en raison de ressources informatiques limitées et de défis de sécurité complexes. Environ 33,3 millions de PME existent aux États-Unis, et plus de 60 % ne respectent pas pleinement au moins une norme réglementaire. La surveillance continue de la conformité offre une visibilité en temps réel sur la sécurité et l'adhésion réglementaire, permettant aux fournisseurs de services gérés (MSP) de détecter les problèmes de conformité dès qu'ils surviennent. Cela transforme la conformité en un service évolutif et rentable. Une solution de surveillance aide à identifier les vulnérabilités avant qu'elles ne causent des violations de données et à générer des rapports automatisés pour être toujours prêts pour les audits. En fournissant des évaluations de risque régulières et en éduquant les clients sur les meilleures pratiques, les MSP peuvent renforcer les relations avec les clients, attirer de plus grandes entreprises et débloquer de nouvelles sources de revenus. Avec près de 20 millions de PME nécessitant des solutions de conformité, les MSP bien positionnés peuvent connaître une croissance significative.
Sources :
L’assureur Audita victime d’une cyberattaque
Audita, un assureur, a récemment subi une cyberattaque orchestrée par un hacker se faisant appeler Djahid. Ce dernier a révélé avoir accédé aux données clients de l'entreprise, publiant un message sur le site d'Audita pour alerter sur les failles de sécurité. Bien qu'il ait affirmé ne pas avoir l'intention d'exploiter ou de divulguer ces informations, son intrusion soulève des inquiétudes quant à la sécurité des données. Après l'attaque, le site a été corrigé, mais l'image du pirate est restée visible pendant 48 heures. Djahid a également été actif sur d'autres sites, comme celui du Centre Médico Psycho Pédagogique Clos Gaillard à Valence. Malgré ses intentions préventives, son acte est illégal, car réaliser un audit sans autorisation constitue une infraction en France. Les entreprises doivent donc se demander si elles doivent attendre une intrusion pour renforcer leur sécurité ou adopter une approche proactive. Cette situation met en lumière l'importance de signaler les intrusions à des organismes compétents comme l'ANSSI pour une gestion appropriée des failles de sécurité.
Sources :
La CISA ajoute une vulnérabilité de nakivo au catalogue KEV au milieu de l'exploitation active
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a ajouté une vulnérabilité de haute sévérité affectant le logiciel NAKIVO Backup & Replication à son catalogue des vulnérabilités exploitées. La vulnérabilité, identifiée comme CVE-2024-48248 (score CVSS : 8.6), est un bug de traversée de chemin absolu permettant à un attaquant non authentifié de lire des fichiers sensibles sur l'hôte cible, y compris "/etc/shadow". Elle concerne toutes les versions antérieures à la version 10.11.3.86570. CISA a averti que cette faille pourrait être exploitée pour accéder à des données sensibles, comme des fichiers de configuration et des identifiants, facilitant ainsi d'autres compromissions. Bien qu'aucun détail sur l'exploitation active ne soit disponible, cette annonce fait suite à la publication d'un exploit de preuve de concept par watchTowr Labs. La vulnérabilité a été corrigée avec la version 11.0.0.88174 en novembre 2024. CISA a également ajouté deux autres vulnérabilités au catalogue : CVE-2025-1316, touchant les caméras Edimax, et CVE-2017-12637, affectant SAP NetWeaver. Les agences fédérales doivent appliquer des mesures de mitigation d'ici le 9 avril 2025 pour sécuriser leurs réseaux.
Sources :
Des raccourcis Windows piégés : l’arme secrète des hackers d’État chinois, russes et nord-coréens
Une vulnérabilité dans les fichiers de raccourcis Windows (.lnk) est exploitée par des hackers d'État depuis 2017, sans correctif de Microsoft, laissant de nombreuses organisations vulnérables. Cette faille permet de manipuler des fichiers pour exécuter des commandes malveillantes à l'insu des utilisateurs, notamment en modifiant les icônes ou en utilisant des extensions trompeuses comme « .pdf.lnk ». Des groupes nord-coréens tels que Kimsuky et APT37 en tirent parti pour des opérations d'espionnage et de vol de données, illustrant une collaboration au sein du programme cybernétique nord-coréen. Bien que Microsoft ait classé cette vulnérabilité comme de faible gravité (CSV 3.0) et ne prévoie pas de correctif immédiat, ses produits de sécurité, comme Defender, sont censés détecter ces menaces. Environ 70 % des attaques visent le cyber espionnage, tandis que seulement 20 % cherchent un gain financier. Des incidents ont été signalés dans plusieurs pays, confirmant la portée mondiale de cette menace. L'exploitation de la vulnérabilité ZDI-CAN-25373 souligne une tendance croissante des hackers étatiques à utiliser des failles zero-day, exacerbée par les tensions géopolitiques.
Sources :
OctoV2 : le cheval de Troie bancaire qui se cache derrière Deepseek AI
Des chercheurs ont découvert une campagne malveillante exploitant la popularité de Deepseek AI pour propager OctoV2, un cheval de Troie bancaire ciblant les utilisateurs Android. Ce malware est diffusé via des sites de phishing imitant le site officiel de Deepseek AI, incitant les victimes à télécharger une application nommée « DeepSeek.apk ». Une fois installée, cette application se cache derrière l'icône légitime de Deepseek AI, rendant sa détection difficile. Elle demande des autorisations pour installer des applications de sources inconnues et installe deux programmes : une application « parente » et une « enfant » qui accède aux services d’accessibilité d’Android, souvent détournés par des malwares pour obtenir des privilèges élevés. Les chercheurs ont rencontré des obstacles lors de l'analyse de l'application « parente » en raison d'une protection par mot de passe, mais ont découvert qu'elle recherchait un fichier « .cat » pour installer un package malveillant supplémentaire. OctoV2 utilise également un algorithme de génération de domaines pour modifier ses serveurs de commande, contournant ainsi les mécanismes de blocage. Cette variante illustre l'évolution des techniques des cybercriminels, qui continuent de tromper les utilisateurs en se faisant passer pour des applications légitimes.
Sources :
La Russie, en seconde position mondiale des fuites de données en 2024
En 2024, la Russie se classe au deuxième rang mondial des fuites de données, représentant 8,5 % des incidents, selon le rapport « Fuites d’information dans le monde, 2023-2024 » du centre IW. Bien que le nombre global de fuites ait diminué de 25,2 % par rapport à 2023, la part de la Russie a augmenté, la plaçant derrière les États-Unis (36,1 %) et devant l’Inde (5,4 %). Près de 48,3 % des cas de fuites n'ont pas permis d'estimer l'ampleur des données compromises, soulignant une sous-estimation du phénomène. Cette baisse des incidents est attribuée à des investissements accrus en cybersécurité, à la stabilisation du marché de la revente illégale de données et aux efforts des forces de l'ordre pour démanteler des réseaux criminels. Cependant, la circulation des données personnelles reste préoccupante, alimentant de nouvelles cyberattaques. En 2024, 9 175 fuites ont été enregistrées, dont une diminution de près de 30 % des incidents impliquant des bases de données de plus d'un million d'enregistrements. La vigilance et le renforcement des mesures de cybersécurité demeurent essentiels pour protéger les individus et les entreprises.
Sources :
Un bouclier numérique contre la fraude bancaire en Russie
À partir du 1er octobre 2025, la Russie mettra en place un nouvel outil de protection contre la fraude bancaire, intégré dans les applications mobiles. Cette initiative de la Banque centrale vise à améliorer la sécurité des transactions et à permettre aux utilisateurs de signaler rapidement les transactions suspectes. Au lieu d'appels téléphoniques ou de visites en agence, les clients pourront alerter leur banque en quelques clics et obtenir un certificat électronique pour les opérations non autorisées, facilitant ainsi le dépôt de plainte. De plus, les clients pourront confirmer ou contester des transactions directement via l'application, ce qui devrait réduire les pertes financières et accélérer les enquêtes. Les banques seront également tenues d'examiner les plaintes des victimes ayant transféré de l'argent à des escrocs via des cartes tokenisées, renforçant ainsi la lutte contre la cybercriminalité. Les cartes tokenisées, qui protègent les informations sensibles lors des paiements en ligne, sont de plus en plus utilisées. Enfin, à partir du 29 mars 2025, les banques devront informer les parents des transactions effectuées par les mineurs, afin de mieux encadrer leur utilisation des services bancaires et de prévenir les risques financiers.
Sources :
CERT-UA avertit: Dark Crystal Rat cible la défense ukrainienne via des messages de signal malveillant
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a alerté sur une nouvelle campagne ciblant le secteur de la défense avec le malware Dark Crystal RAT (DCRat). Détectée plus tôt ce mois-ci, cette campagne vise les employés du complexe militaro-industriel et des membres des Forces armées ukrainiennes. Les attaques se font par l'envoi de messages malveillants via l'application de messagerie Signal, contenant de faux comptes rendus de réunion, souvent envoyés depuis des comptes Signal compromis pour accroître leur efficacité. Les messages incluent des fichiers d'archive contenant un PDF trompeur et un exécutable, un crypteur .NET nommé DarkTortilla, qui déchiffre et lance le malware DCRat. Ce dernier permet l'exécution de commandes arbitraires, le vol d'informations sensibles et le contrôle à distance des appareils infectés. CERT-UA attribue cette activité à un groupe de menaces identifié comme UAC-0200, actif depuis l'été 2024. L'agence souligne que l'utilisation de messageries populaires élargit la surface d'attaque. Cette situation survient après que Signal aurait cessé de répondre aux demandes des autorités ukrainiennes concernant les menaces cybernétiques russes, une affirmation que le PDG de Signal a démentie.
Sources :
Campagne de logiciels malveillants 'Dollyway' a violé 20 000 sites WordPress
Une campagne de malware nommée 'DollyWay' a compromis plus de 20 000 sites WordPress depuis 2016, redirigeant les utilisateurs vers des sites malveillants. Selon le chercheur Denis Sinegubko de GoDaddy, la version actuelle (v3) de DollyWay fonctionne comme un système de redirection à grande échelle, générant 10 millions d'impressions frauduleuses par mois en dirigeant les visiteurs vers des sites de rencontres, de jeux d'argent et de loteries. Les cybercriminels exploitent des vulnérabilités dans des plugins et thèmes WordPress pour infiltrer les sites, utilisant un système de distribution de trafic (TDS) pour analyser et rediriger le trafic web. La campagne a évolué pour inclure des techniques de réinfection automatique, rendant son élimination difficile. DollyWay insère son code PHP dans tous les plugins actifs et crée des utilisateurs administrateurs cachés, compliquant ainsi la désinfection. GoDaddy a publié des indicateurs de compromission (IoCs) pour aider à se défendre contre cette menace persistante. La recherche a révélé que plusieurs campagnes de malware étaient interconnectées, suggérant l'existence d'un acteur malveillant sophistiqué derrière cette opération. Des détails supplémentaires sur l'infrastructure et les tactiques de DollyWay seront publiés ultérieurement.
Sources :
Kali Linux 2025.1a sorti avec 1 nouvel outil, rafraîchissement du thème annuel
Kali Linux a lancé la version 2025.1a, marquant le début de l'année 2025 avec une nouvelle fonctionnalité, des changements de bureau et un rafraîchissement du thème. Cette version, notée 2025.1a en raison d'un bug de dernière minute dans la version 2025.1, inclut un nouvel outil appelé "hoaxshell", un générateur et gestionnaire de payloads de reverse shell pour Windows, exploitant le protocole http(s). En plus de cet ajout, le noyau a été mis à jour vers la version 6.12.
Le rafraîchissement annuel du thème comprend de nouveaux fonds d'écran et des modifications de l'expérience de démarrage et de connexion, visant à moderniser l'interface utilisateur. Cinq nouveaux fonds d'écran et trois supplémentaires dans le package Community Wallpapers sont également disponibles.
Les changements de bureau incluent les environnements Plasma 6.2 et Xfce 4.20, avec des thèmes mis à jour et de nouveaux raccourcis clavier pour une navigation améliorée. Les utilisateurs peuvent mettre à jour leur installation existante ou télécharger des images ISO pour de nouvelles installations. Pour ceux utilisant Kali sur le Windows Subsystem for Linux, une mise à niveau vers WSL2 est recommandée pour une meilleure expérience.
Sources :
La violation des données de l'Union de l'éducation de Pennsylvanie a frappé 500 000 personnes
La Pennsylvania State Education Association (PSEA), le plus grand syndicat du secteur public en Pennsylvanie, a informé plus de 500 000 personnes qu'une violation de données survenue en juillet 2024 avait compromis leurs informations personnelles. Cette violation a touché des membres variés, y compris des enseignants et du personnel éducatif. Dans des lettres envoyées aux 517 487 individus concernés, la PSEA a confirmé qu'une enquête menée jusqu'au 18 février 2025 avait révélé que des données personnelles, financières et de santé avaient été volées, incluant des numéros de sécurité sociale, des informations de carte de paiement et des données médicales. Pour aider les victimes, le syndicat propose des services gratuits de surveillance de crédit et de restauration d'identité, à condition de s'inscrire avant le 17 juin 2025. Bien que la PSEA n'ait pas désigné de responsable, le groupe de ransomware Rhysida a revendiqué l'attaque en septembre 2024, exigeant une rançon de 20 BTC. Rhysida est connu pour ses cyberattaques sur diverses organisations, y compris des institutions de santé. Les agences fédérales, telles que la CISA et le FBI, ont mis en garde contre les menaces posées par ce groupe, qui cible de nombreux secteurs.
Sources :
L'armée ukrainienne ciblait dans de nouveaux signaux
L'équipe ukrainienne de réponse aux urgences informatiques (CERT-UA) a averti d'attaques ciblées utilisant des comptes Signal compromis pour envoyer des malwares à des employés de l'industrie de la défense et à des membres des forces armées ukrainiennes. Ces attaques, débutées en mars 2025, impliquent des messages Signal contenant des archives se présentant comme des rapports de réunion. Étant envoyés par des contacts connus, les chances que les cibles ouvrent les fichiers sont élevées. Les archives contiennent un PDF et un fichier exécutable, le premier servant d'appât pour inciter les victimes à ouvrir le second. Ce dernier, classé comme le cryptor/loader DarkTortilla, déploie le cheval de Troie d'accès à distance Dark Crystal RAT (DCRAT) une fois lancé. CERT-UA a identifié cette activité sous le cluster de menaces UAC-0200, actif depuis juin 2024, mais les leurres de phishing ont été actualisés pour se concentrer sur des sujets militaires cruciaux, tels que les systèmes de guerre électronique. Les utilisateurs de Signal sont conseillés de désactiver les téléchargements automatiques, de vérifier régulièrement leurs appareils liés et de mettre à jour leurs applications pour renforcer la sécurité de leurs comptes.
Sources :
Microsoft Exchange en ligne La panne des utilisateurs Web Outlook
Le 19 mars 2025, Microsoft a signalé une panne affectant les utilisateurs d'Outlook sur le web, les empêchant d'accéder à leurs boîtes aux lettres Exchange Online. Selon DownDetector, des milliers d'utilisateurs ont rencontré des problèmes de connexion et d'accès au service. Microsoft a indiqué qu'il enquêtait sur un problème potentiel lié à une portion de code défectueuse, entraînant des erreurs lors de l'accès à Outlook sur le web. L'incident, identifié sous le code EX1036356, a provoqué des messages d'erreur tels que "Quelque chose s'est mal passé". En parallèle, une autre panne (EX1035922) a été signalée, empêchant certains utilisateurs de rechercher dans Exchange Online. Microsoft a suggéré des solutions de contournement pour ces recherches. De plus, une panne persistante d'Exchange Online, suivie sous EX1027675, continue d'affecter l'envoi et la réception d'e-mails. Cependant, Microsoft a annoncé des améliorations après avoir annulé la mise à jour problématique, confirmant que le problème avait été résolu pour tous les utilisateurs affectés. L'incident a mis en lumière les défis liés aux mises à jour de code et leur impact sur les services critiques.
Sources :
Phishing via Firebase : une menace sous-estimée pour les entreprises
Des chercheurs de Check Point ont découvert une attaque sophistiquée de vol d’identifiants utilisant des pages de phishing très réalistes, imitant des services connus. Les cybercriminels exploitent une vulnérabilité dans le système d'un fournisseur compromis pour insérer des liens malveillants dans des e-mails authentiques, rendant l'attaque difficile à détecter. En utilisant Firebase pour héberger ces pages de phishing, ils parviennent à légitimer leurs actions, car les liens semblent provenir de sources fiables. Une fois redirigées vers une fausse page de connexion, les victimes voient leurs identifiants capturés et exploités. Cette méthode représente un risque majeur pour les entreprises, entraînant des violations de données, des pertes financières et une atteinte à la réputation. Les attaques ciblent principalement les États-Unis (53 %), mais touchent également l'Union européenne (23 %), le Moyen-Orient (22 %) et l'Asie-Pacifique (15 %). Pour se protéger, les entreprises doivent renforcer la sécurité des e-mails, déployer l'authentification multifactorielle, intégrer des renseignements avancés sur les menaces et signaler toute utilisation abusive de plateformes comme Firebase. Ces mesures proactives sont essentielles pour contrer cette menace croissante.
Sources :
New Arcane InfostEaler infecte YouTube, Discord Users via le jeu Cheats
Un nouveau malware d'exfiltration de données, nommé Arcane, cible les utilisateurs de YouTube et Discord via des cheats de jeux. Découvert par Kaspersky, Arcane vole des informations sensibles, y compris des identifiants de comptes VPN, des données de clients de jeux et des informations de navigateurs. La campagne a débuté en novembre 2024 et se distingue par son absence de lien avec l'Arcane Stealer V, un malware antérieur. Les opérateurs, qui communiquent en russe, semblent principalement cibler des utilisateurs en Russie, en Biélorussie et au Kazakhstan, ce qui est atypique pour des acteurs de la menace russes.
Arcane se propage par des vidéos YouTube promouvant des cheats, incitant les utilisateurs à télécharger des archives protégées par mot de passe contenant des scripts malveillants. Ce malware collecte des données sur le système infecté, y compris des détails matériels et des informations de divers logiciels, tels que des clients VPN, des messageries et des navigateurs. Il capture également des captures d'écran et des mots de passe Wi-Fi. Les utilisateurs sont avertis des dangers liés au téléchargement d'outils piratés, car les infections par des infostealers peuvent entraîner des fraudes financières et des attaques futures.
Sources :
Microsoft corrige le bug de la mise à jour de Windows qui désinstallé le copilote
Microsoft a corrigé un bug qui, suite aux mises à jour cumulatives de mars 2025, désinstallait par erreur l'assistant numérique Copilot sur certains systèmes Windows 10 et Windows 11. Ce problème a été signalé peu après la publication des mises à jour du Patch Tuesday, affectant les utilisateurs ayant installé les mises à jour KB5053598 et KB5053606. La société a précisé que l'application Copilot était désinstallée et retirée de la barre des tâches, mais que ce problème ne concernait pas l'application Microsoft 365 Copilot. Microsoft a mis à jour ses documents de support pour indiquer que le bug était désormais corrigé et que les appareils affectés retrouvaient leur état d'origine. Les utilisateurs souhaitant une solution immédiate peuvent réinstaller l'application via le Microsoft Store. Cependant, Microsoft n'a pas encore expliqué pourquoi Copilot avait été désinstallé automatiquement et n'a pas mentionné ce problème sur son tableau de santé des versions Windows. Copilot, introduit en septembre 2023, est activé par défaut sur Windows 11 et a été déployé sur des systèmes Windows 10 éligibles en novembre 2023. Des problèmes antérieurs avaient également été rencontrés avec des mises à jour de Microsoft Edge.
Sources :
Cliquez sur Profit bloqué par la FTC sur des escroqueries présumées de commerce électronique
La Federal Trade Commission (FTC) des États-Unis a bloqué la plateforme "Click Profit" pour des allégations de fraude dans le domaine du commerce électronique, ayant prétendument généré 14 millions de dollars en trompant les consommateurs avec des promesses de revenus passifs garantis. Click Profit, promue sur les réseaux sociaux, prétend aider les utilisateurs à créer des boutiques en ligne sur des plateformes comme Amazon et Walmart, en garantissant des profits et en se disant soutenue par des marques renommées telles que Nike et Disney. Cependant, les publicités de Click Profit affirmaient offrir une "garantie de ventes de 150 000 dollars", induisant en erreur les consommateurs sur les retours d'investissement. L'enquête de la FTC révèle que la majorité des boutiques créées par Click Profit ne génèrent pas de revenus significatifs, et que 95 % d'entre elles ont été bloquées par Amazon. Les clients devaient payer des frais initiaux élevés, atteignant jusqu'à 45 000 dollars, sans possibilité de récupérer leurs investissements. La FTC a obtenu une ordonnance de restriction temporaire pour geler les activités de Click Profit et cherche à tenir ses opérateurs responsables tout en récupérant des fonds pour les consommateurs lésés.
