Meta supprime 63 000 comptes Instagram liés aux escroqueries nigérianes de sextorsion - Actus du 25/07/2024
Découvrez pourquoi les piles de cybersécurité multifournisseurs deviennent obsolètes, comment Google Chrome renforce la protection des archives et les 6 types de tests de sécurité des applications essentiels. Protégez vos données avec les meilleures pratiques de sécurité!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Pourquoi les piles de cybersécurité multifournisseurs sont de plus en plus obsolètes
Les équipes de sécurité informatique ont longtemps utilisé des solutions de cybersécurité multivendeurs, mais cette approche est devenue coûteuse et complexe, laissant des failles exploitables par des acteurs malveillants. Lors d'un webinaire, des experts de Cynet expliquent comment ces défis augmentent la demande pour des solutions de cybersécurité « tout-en-un ». Ces plateformes unifiées regroupent toutes les capacités nécessaires sur une seule interface, offrant des avantages significatifs pour les fournisseurs de services gérés (MSP) et les petites et moyennes entreprises (PME).
La simplicité de ces solutions permet une intégration rapide, réduisant le temps consacré à la gestion des outils de sécurité. Cela permet aux MSP de se transformer en fournisseurs de services de sécurité managés (MSSP) en 24 heures. De plus, l'automatisation intégrée minimise les erreurs humaines et optimise les opérations. Les MSP peuvent ainsi améliorer la satisfaction client et augmenter leurs revenus récurrents, tandis que les PME bénéficient d'une protection de niveau entreprise sans les ressources d'une grande entreprise.
Cynet se distingue par ses performances exceptionnelles, ayant atteint 100 % de visibilité et de couverture analytique lors des évaluations MITRE ATT&CK. Cette approche tout-en-un permet aux organisations de maximiser leur efficacité et leur rentabilité.
Sources :
Google Chrome demande désormais des mots de passe pour analyser les archives protégées
Google Chrome a récemment mis à jour son système d'alerte pour les fichiers protégés par mot de passe, en introduisant un système d'avertissement à deux niveaux lors du téléchargement de fichiers potentiellement risqués. Les utilisateurs reçoivent désormais des notifications plus détaillées sur la nature des fichiers téléchargés, distinguant entre fichiers suspects et dangereux grâce à des verdicts alimentés par l'IA de son service Safe Browsing. Ces avertissements sont conçus pour aider les utilisateurs à prendre des décisions éclairées rapidement. En mode Protection Améliorée, les fichiers suspects sont envoyés aux serveurs de Google pour une analyse approfondie, et les utilisateurs doivent entrer le mot de passe des archives avant que celles-ci ne soient scannées. Les utilisateurs en mode Protection Standard doivent également entrer le mot de passe, mais les fichiers restent sur leur appareil local. Malgré ces mesures de sécurité, de nombreuses entreprises pourraient hésiter à partager des mots de passe pour des archives contenant des données sensibles, afin d'éviter des fuites potentielles. Cette annonce fait suite à une refonte de l'expérience de téléchargement de Chrome, visant à améliorer la clarté et la réactivité des avertissements.
Sources :
6 types de tests de sécurité des applications que vous devez connaître
Le test de pénétration (Pentesting) est une simulation d'attaque cybernétique visant à identifier les vulnérabilités d'un système, d'un réseau ou d'une application. Intégré dans le cycle de vie du développement logiciel (SDLC), il est réalisé à différentes étapes pour détecter et corriger les failles tôt dans le processus, réduisant ainsi les coûts de remédiation. Les méthodes de test incluent le Dynamic Application Security Testing (DAST), qui évalue les vulnérabilités en temps réel, et le Static Application Security Testing (SAST), qui analyse le code source. L'IAST combine ces approches pour fournir des retours immédiats sur les problèmes de sécurité. Le fuzz testing, quant à lui, envoie des données aléatoires aux API pour identifier des comportements inattendus. L'Application Security Posture Management (APSM) assure une gestion continue de la sécurité, garantissant la conformité et la réduction proactive des risques. Face à l'évolution des menaces cybernétiques, l'intégration de mesures de sécurité tout au long du SDLC est cruciale. En combinant ces méthodes, les organisations peuvent améliorer leur posture de sécurité, détecter les vulnérabilités plus tôt et s'adapter aux défis dynamiques du développement logiciel.
Sources :
Meta supprime 63 000 comptes Instagram liés aux escroqueries nigérianes de sextorsion
Meta Platforms a annoncé avoir supprimé environ 63 000 comptes Instagram au Nigeria, impliqués dans des escroqueries financières par sextorsion, ciblant principalement des hommes adultes aux États-Unis. Parmi ces comptes, un réseau coordonné de 2 500 a été lié à un groupe de 20 individus. Meta a également signalé les tentatives de ces comptes visant des mineurs au National Center for Missing and Exploited Children (NCMEC). En outre, 7 200 actifs, dont 1 300 comptes Facebook et 5 700 groupes, ont été supprimés pour avoir organisé et formé de nouveaux escrocs. Ces actions sont attribuées à un groupe de cybercriminalité connu sous le nom de Yahoo Boys, responsable d'attaques de sextorsion ciblant des adolescents en Australie, au Canada et aux États-Unis. Meta a mis en place de nouvelles méthodes pour identifier les comptes suspects et protéger les adolescents. Parallèlement, INTERPOL a mené l'opération Jackal III, ciblant des groupes criminels organisés en Afrique de l'Ouest, entraînant 300 arrestations et la saisie de 3 millions de dollars d'actifs illégaux. Ces efforts s'inscrivent dans une lutte mondiale contre la cybercriminalité, avec plusieurs arrestations et démantèlements de réseaux criminels.
Sources :
Webinaire : Sécuriser l'espace de travail moderne : ce que les entreprises DOIVENT savoir sur la sécurité des navigateurs d'entreprise
Les outils de sécurité traditionnels offrent peu de protection contre les menaces basées sur les navigateurs, exposant ainsi les organisations. Une approche moderne de la cybersécurité doit se concentrer sur la protection du navigateur lui-même, garantissant sécurité et déploiement sans friction. Selon l'étude Workforce de Forrester 2023, 83 % des employés accomplissent la majorité de leur travail dans le navigateur. Gartner prévoit qu'à l'horizon 2030, les navigateurs d'entreprise deviendront la plateforme centrale pour la productivité et la sécurité des employés. Les menaces actuelles incluent la sécurité des identités, avec des attaques visant à accéder aux comptes des utilisateurs, et les risques liés aux sous-traitants, qui laissent des lacunes critiques. Une approche de sécurité intégrée au navigateur est essentielle pour réduire les risques quotidiens, améliorer la posture de sécurité et minimiser les perturbations des flux de travail. Cela permet de suivre les applications SaaS utilisées, les identifiants employés et d'intervenir en temps réel pour prévenir les fuites de données. Bien que cette méthode offre une protection approfondie en inspectant chaque élément d'une page web, elle est coûteuse, gourmande en ressources et peut nuire à la performance des applications modernes, ce qui impacte la productivité des utilisateurs.
Sources :
Des chercheurs révèlent une vulnérabilité ConfusedFunction dans Google Cloud Platform
Des chercheurs en cybersécurité ont révélé une vulnérabilité d'escalade de privilèges affectant le service Cloud Functions de Google Cloud Platform, nommée ConfusedFunction. Cette faille permettrait à un attaquant d'accéder à d'autres services et données sensibles de manière non autorisée. Selon Tenable, l'entreprise qui a découvert la vulnérabilité, un attaquant pourrait obtenir des privilèges sur le compte de service par défaut de Cloud Build, accédant ainsi à des services tels que Cloud Build, Cloud Storage et Container Registry. Le problème réside dans la création automatique d'un compte de service Cloud Build lié à chaque Cloud Function, offrant des permissions excessives. Cela permettrait à un attaquant ayant accès à une Cloud Function de tirer parti de cette faille pour escalader ses privilèges. Bien que Google ait mis à jour le comportement par défaut pour utiliser le compte de service de Compute Engine afin de limiter les abus, cette solution ne s'applique pas aux instances existantes. Les chercheurs soulignent que la complexité logicielle et la communication inter-services dans les plateformes cloud peuvent engendrer des scénarios problématiques. Parallèlement, d'autres vulnérabilités ont été découvertes dans des plateformes comme Oracle Integration Cloud et ServiceNow, soulignant des failles de sécurité persistantes.
Sources :
Stress numérique : une véritable épreuve en 2024
Malgré l'adoption en 2016 d'une loi sur le droit à la déconnexion, le stress numérique demeure un problème croissant, affectant la santé et la vie personnelle des salariés. En 2024, environ 36 % des travailleurs ne bénéficient toujours pas de ce droit, avec des cas fréquents de travail en dehors des heures légales, notamment en télétravail. La sur-connexion, exacerbée par la pandémie, entraîne des conséquences néfastes sur la santé mentale et physique, telles que l'anxiété, les troubles du sommeil et un risque accru de burn-out. Les outils numériques omniprésents, comme les ordinateurs et les smartphones, contribuent à une surcharge mentale et à un isolement social. Les études montrent que près de 70 % des Français ne peuvent se passer de leurs appareils connectés plus d'une journée. Pour contrer ces effets délétères, il est essentiel d'établir des limites d'utilisation, de privilégier des activités déconnectées et d'encourager les entreprises à instaurer des règles numériques saines. Les employeurs peuvent également être tenus responsables de harcèlement numérique s'ils ne respectent pas les temps de repos légaux. L'enjeu est de retrouver un équilibre face à l'hyper-connexion.
Sources :
La CISA met en garde contre des vulnérabilités exploitables dans le logiciel DNS populaire BIND 9
L'Internet Systems Consortium (ISC) a publié des correctifs pour plusieurs vulnérabilités de sécurité dans le logiciel BIND 9, utilisé pour le système de noms de domaine (DNS). Ces failles pourraient être exploitées pour provoquer des conditions de déni de service (DoS). Selon la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, un acteur malveillant pourrait tirer parti de ces vulnérabilités. Quatre failles ont été identifiées :
- CVE-2024-4076 : Une erreur logique pouvant entraîner un échec d'assertion lors de la recherche de données obsolètes.
- CVE-2024-1975 : La validation de messages DNS signés avec le protocole SIG(0) pourrait surcharger le processeur.
- CVE-2024-1737 : La création de nombreux types d'enregistrements de ressources pourrait ralentir le traitement de la base de données.
- CVE-2024-0760 : Un client DNS malveillant envoyant de nombreuses requêtes TCP pourrait ralentir les réponses du serveur.
L'exploitation de ces failles pourrait entraîner des arrêts inattendus du service, une déplétion des ressources CPU et un ralentissement significatif du traitement des requêtes. Les vulnérabilités ont été corrigées dans les versions 9.18.28, 9.20.0 et 9.18.28-S1 de BIND 9. Aucune exploitation active de ces failles n'a été signalée.
Sources :
Une faille critique du moteur Docker permet aux attaquants de contourner les plugins d'autorisation
Docker a averti d'une vulnérabilité critique affectant certaines versions de Docker Engine, permettant à un attaquant de contourner les plugins d'autorisation (AuthZ) dans des circonstances spécifiques. Suivi sous le code CVE-2024-41110, ce problème de contournement et d'escalade de privilèges a un score CVSS de 10.0, indiquant une gravité maximale. Selon les mainteneurs du projet Moby, un attaquant pourrait exploiter cette vulnérabilité en envoyant une requête API avec un Content-Length de 0, ce qui entraînerait le transfert de la requête sans corps au plugin AuthZ, qui pourrait alors approuver la requête par erreur. Ce problème, découvert initialement en 2018 et corrigé dans Docker Engine v18.09.1, n'a pas été intégré dans les versions ultérieures. Les versions affectées incluent celles jusqu'à v27.1.0, à l'exception de celles qui n'utilisent pas les plugins AuthZ. Docker Desktop est également concerné jusqu'à la version 4.32.0, bien que le risque d'exploitation soit limité. Un correctif est prévu pour la version 4.33. Les utilisateurs sont encouragés à mettre à jour leurs installations pour atténuer les menaces potentielles.
Sources :
La nouvelle fonctionnalité Chrome analyse les fichiers protégés par mot de passe à la recherche de contenu malveillant
Google a annoncé l'ajout de nouveaux avertissements de sécurité lors du téléchargement de fichiers potentiellement suspects ou malveillants via son navigateur Chrome. Les messages d'avertissement précédents ont été remplacés par des notifications plus détaillées, permettant aux utilisateurs de mieux comprendre les risques. La société introduit une taxonomie d'avertissement à deux niveaux, basée sur les verdicts de Google Safe Browsing : fichiers suspects et fichiers dangereux, chacun avec sa propre iconographie, couleur et texte pour aider à la prise de décision. De plus, Google met en place des analyses approfondies automatiques pour les utilisateurs ayant opté pour le mode de protection améliorée, évitant ainsi des demandes répétées pour envoyer des fichiers à Safe Browsing. Pour les fichiers intégrés dans des archives protégées par mot de passe, les utilisateurs peuvent désormais entrer le mot de passe et l'envoyer avec le fichier pour permettre une analyse approfondie. Google assure que les fichiers et mots de passe sont supprimés peu après l'analyse et que les données collectées ne servent qu'à améliorer les protections de téléchargement. En mode de protection standard, le téléchargement d'une archive cryptée suspecte déclenche également une demande de mot de passe, mais les fichiers restent sur l'appareil local.
Sources :
Plus de 3 000 comptes GitHub utilisés par le service de distribution de logiciels malveillants
Un rapport de Check Point Research révèle l'existence d'un réseau de distribution de logiciels malveillants, nommé Stargazers Ghost Network, utilisant plus de 3 000 comptes GitHub. Ce réseau exploite des dépôts GitHub et des sites WordPress compromis pour diffuser des archives protégées par mot de passe contenant divers malwares, tels que RedLine et Atlantida Stealer. Les chercheurs notent que c'est la première fois qu'une opération aussi organisée et à grande échelle est documentée sur GitHub. Les comptes "fantômes" créent des dépôts qui semblent légitimes, attirant ainsi des victimes qui téléchargent des logiciels sans méfiance. Lorsqu'un compte est banni, le réseau met à jour ses dépôts avec de nouveaux liens pour maintenir son activité. Check Point estime que le réseau a généré plus de 100 000 dollars depuis son lancement. Malgré les efforts de GitHub pour supprimer plus de 1 500 dépôts malveillants depuis mai 2024, plus de 200 restent actifs. Les utilisateurs sont avertis de faire preuve de prudence lors du téléchargement de fichiers et de vérifier les URL, en utilisant des outils comme VirusTotal pour analyser les contenus des archives protégées.
Sources :
Docker corrige une faille critique de contournement d'authentification vieille de 5 ans
Docker a publié des mises à jour de sécurité pour corriger une vulnérabilité critique, CVE-2024-41110, qui permet à un attaquant de contourner les plugins d'autorisation (AuthZ) dans certaines versions de Docker Engine. Découverte et corrigée pour la première fois dans la version v18.09.1 en janvier 2019, cette faille a été négligée dans les versions ultérieures, réapparaissant ainsi jusqu'à sa détection en avril 2024. La vulnérabilité, notée 10.0 sur l'échelle CVSS, permet d'envoyer une requête API spécialement conçue avec une longueur de contenu de 0, ce qui empêche le plugin AuthZ de valider correctement les demandes d'accès. Cela expose les systèmes à des actions non autorisées, y compris l'escalade de privilèges. Les versions affectées incluent jusqu'à v19.03.15, v20.10.27, v23.0.14, v24.0.9, v25.0.5, v26.0.2, v26.1.4, v27.0.3 et v27.1.0. Les utilisateurs sont encouragés à mettre à jour vers les versions sécurisées v23.0.14 et v27.1.0. Bien que Docker Desktop v4.32.0 contienne également cette vulnérabilité, son impact est limité. Une mise à jour corrective est attendue avec la version v4.33.0.
Sources :
Microsoft corrige un bug derrière les problèmes de livraison du cache connecté de Windows 10
Microsoft a résolu un problème connu lié à la mise à jour de Windows 10 qui affectait la découverte des nœuds de Microsoft Connected Cache (MCC) sur les réseaux d'entreprise. Cette correction est incluse dans la mise à jour préliminaire KB5040525 de juillet 2024 pour Windows 10 22H2, publiée le 23 juillet. En plus de ce correctif, la mise à jour traite également des problèmes de WDAC entraînant des fuites de mémoire et des échecs d'applications. Le bug touchait uniquement les appareils Windows 10 21H2 et 22H2 configurés pour trouver des points de terminaison MCC via l'option DHCP 235, ce qui est rare chez les utilisateurs domestiques. Avant cette mise à jour, certains appareils ne pouvaient pas utiliser les nœuds MCC et téléchargeaient des mises à jour depuis Internet, augmentant ainsi le trafic sur les réseaux. Microsoft a proposé des solutions temporaires pour les administrateurs souhaitant éviter l'installation de la mise à jour KB5040525, notamment en configurant le point de terminaison MCC dans la politique DOCacheHost. De plus, la société a averti que certains appareils pourraient être envoyés en mode de récupération BitLocker après l'installation des mises à jour de sécurité de juillet 2024.
Sources :
KnowBe4 embauche par erreur un pirate informatique nord-coréen et fait face à une attaque de voleur d'informations
L'entreprise américaine de cybersécurité KnowBe4 a récemment embauché un ingénieur logiciel principal qui s'est avéré être un acteur étatique nord-coréen. Ce dernier a tenté d'installer un logiciel malveillant sur les appareils de l'entreprise, mais KnowBe4 a détecté et stoppé ces actions avant qu'une violation de données ne se produise. Ce cas met en lumière la menace persistante des acteurs nord-coréens infiltrant des entreprises américaines sous de fausses identités, une préoccupation régulièrement soulignée par le FBI depuis 2023. Malgré des vérifications de références et des entretiens vidéo, le nouvel employé avait utilisé l'identité volée d'une personne américaine et des outils d'IA pour créer une image de profil. L'alerte a été donnée le 15 juillet 2024, lorsque le produit EDR de KnowBe4 a signalé une tentative de chargement de malware. L'attaquant a tenté d'extraire des informations sensibles laissées sur l'ordinateur. Face aux questions de l'équipe informatique, il a d'abord fourni des excuses avant de cesser toute communication. KnowBe4 recommande aux entreprises de créer des environnements isolés pour les nouvelles recrues et de traiter les incohérences d'adresse comme des signaux d'alerte.
Sources :
Google Chrome met désormais en garde contre les archives risquées protégées par mot de passe
Google Chrome a récemment mis à jour son système d'alerte lors du téléchargement de fichiers protégés par mot de passe. Désormais, le navigateur avertit les utilisateurs des fichiers potentiellement risqués grâce à un système d'avertissement à deux niveaux, utilisant des verdicts de malware alimentés par l'IA via son service Safe Browsing. Les utilisateurs reçoivent des alertes concernant des fichiers suspects ou dangereux, distinguées par des icônes, des couleurs et des textes spécifiques, facilitant ainsi la prise de décision. En mode Protection Améliorée, les fichiers suspects sont envoyés aux serveurs de Google pour une analyse approfondie, et les utilisateurs doivent entrer le mot de passe des archives avant l'analyse. Google assure que les fichiers et mots de passe sont supprimés après le scan. En mode Protection Standard, les utilisateurs doivent également entrer les mots de passe, mais seuls les métadonnées sont vérifiées. Malgré ces mesures, de nombreuses entreprises pourraient hésiter à partager des mots de passe pour des archives contenant des données sensibles, afin d'éviter des fuites potentielles. Cette annonce fait suite à une refonte de l'expérience de téléchargement de Chrome, visant à améliorer la clarté et la sécurité des téléchargements.
