Nouvelle arnaque de phishing utilisant Google Drawings et liens raccourcis WhatsApp - Actus du 08/08/2024
ADT confirme une fuite de données clients sur un forum de piratage. Découvrez pourquoi la validation de sécurité automatisée est cruciale dans un cadre CTEM complet et comment les attaques de rétrogradation de Windows menacent des systèmes corrigés.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
ADT confirme une violation de données après la fuite d'informations sur les clients sur un forum de piratage
ADT, un géant américain de la sécurité, a confirmé avoir subi une violation de données après que des informations clients ont été divulguées sur un forum de hackers. Dans un dépôt réglementaire auprès de la SEC, ADT a indiqué que des acteurs malveillants avaient accédé illégalement à certaines bases de données contenant des informations sur les commandes des clients. Bien que l'entreprise ait rapidement pris des mesures pour sécuriser ses systèmes et lancé une enquête avec des experts en cybersécurité, des données limitées, telles que des adresses e-mail, des numéros de téléphone et des adresses postales, ont été compromises. ADT a précisé qu'il n'y avait aucune preuve que les systèmes de sécurité des clients avaient été affectés, ni que des informations de carte de crédit ou bancaires avaient été volées. Les données divulguées concernent environ 30 800 enregistrements clients, comprenant des e-mails, des adresses complètes et des identifiants d'utilisateur. Bien que cet incident soit préoccupant, ADT a noté que les personnes touchées représentent un faible pourcentage de sa clientèle totale. Une enquête est en cours pour déterminer l'ampleur de la violation.
Sources :
Validation de sécurité automatisée : une partie (très importante) d'un cadre CTEM complet
Ces dernières années, de nouvelles solutions de sécurité ont émergé pour faire face à une multitude de risques. L'ASV (Assessment of Security Vulnerabilities) est un élément clé de toute stratégie de cybersécurité, permettant aux équipes de sécurité d'identifier les vulnérabilités avant qu'elles ne soient exploitées. Cet article explore comment l'intégration des informations détaillées sur les vulnérabilités fournies par l'ASV avec l'analyse du paysage des menaces offerte par le cadre de gestion continue de l'exposition aux menaces (CTEM) peut renforcer la prise de décision des équipes de sécurité. En filtrant les expositions non critiques et en vérifiant les remédiations, l'ASV aide à bloquer les attaques à fort impact et à améliorer l'efficacité en automatisant la vérification des contrôles de sécurité. Pour les petites équipes, l'ASV automatise les tâches liées à la découverte d'actifs, tandis que pour les grandes entreprises, elle permet de gérer efficacement une surface d'attaque en constante expansion. En combinant ASV et CTEM, les organisations adoptent une approche proactive pour identifier et prioriser les menaces, réduisant ainsi le risque global. Cette synergie permet aux équipes de sécurité de prendre des décisions éclairées et d'allouer efficacement les ressources.
Sources :
Les attaques de rétrogradation de Windows risquent d'exposer les systèmes corrigés à d'anciennes vulnérabilités
Microsoft travaille sur des mises à jour de sécurité pour corriger deux vulnérabilités qui pourraient être exploitées pour effectuer des attaques de rétrogradation contre l'architecture de mise à jour de Windows. Les vulnérabilités identifiées sont : CVE-2024-38202 (score CVSS : 7.3) et CVE-2024-21302 (score CVSS : 6.7). Découvertes par le chercheur Alon Leviev de SafeBreach Labs, ces failles ont été présentées lors des conférences Black Hat USA 2024 et DEF CON 32. La première vulnérabilité permet à un attaquant avec des privilèges d'utilisateur de réintroduire des vulnérabilités précédemment atténuées, tandis que la seconde concerne une élévation de privilèges qui pourrait permettre de remplacer des fichiers système Windows actuels par des versions obsolètes. Leviev a développé un outil, Windows Downdate, capable de contourner les vérifications d'intégrité et de réaliser des rétrogradations invisibles et irréversibles des composants critiques du système d'exploitation. Ces attaques pourraient rendre un système Windows entièrement mis à jour vulnérable à des milliers de failles passées, tout en empêchant l'installation de futures mises à jour et en masquant la détection par des outils de récupération.
Sources :
Une nouvelle arnaque par phishing utilise des dessins Google et des liens raccourcis WhatsApp
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de phishing utilisant Google Drawings et des liens raccourcis via WhatsApp pour tromper les utilisateurs et voler des informations sensibles. Selon Ashwin Vamshi de Menlo Security, les attaquants exploitent des sites bien connus comme Google et WhatsApp pour héberger les éléments de l'attaque, illustrant une menace de type Living Off Trusted Sites (LoTS). L'attaque débute par un email de phishing redirigeant vers un graphique semblant être un lien de vérification de compte Amazon, hébergé sur Google Drawings pour éviter la détection. L'utilisation de services légitimes permet aux attaquants de communiquer discrètement, car ces services sont rarement bloqués par les systèmes de sécurité. Les utilisateurs qui cliquent sur le lien sont dirigés vers une page de connexion Amazon contrefaite, utilisant deux raccourcisseurs d'URL pour masquer l'escroquerie. Cette page vise à collecter des identifiants et des informations personnelles avant de rediriger les victimes vers la véritable page de connexion Amazon. Parallèlement, une faille dans les mécanismes anti-phishing de Microsoft 365 a été identifiée, permettant de masquer des alertes de sécurité dans les emails, augmentant ainsi le risque d'ouverture de messages frauduleux.
Sources :
Des dizaines de faux sites JO 2024 apparaissent sur la toile
Depuis quelques jours, une enquête menée par ZATAZ a révélé l'existence d'une bande organisée spécialisée dans l'usurpation des Jeux Olympiques de Paris 2024. Cette organisation a mis en place une dizaine de faux sites web, regroupés sous le nom de « JOFakeshop », pour vendre des produits dérivés prétendument officiels. Bien qu'il n'existe qu'un seul site légitime pour acheter ces articles, des milliers d'internautes se laissent piéger par des offres alléchantes sur des plateformes comme Facebook et Instagram. Les escrocs utilisent des publicités trompeuses, affichant des prix très bas pour des médailles et des goodies, tout en imitant le branding officiel des JO. Les risques encourus par les victimes incluent le vol de données personnelles et bancaires, ainsi que l'achat de produits de contrefaçon potentiellement dangereux. De plus, ces faux sites peuvent disparaître rapidement, rendant difficile la traçabilité des transactions. Les internautes sont donc avertis de faire preuve de prudence et de ne pas céder à la tentation des prix trop attractifs, afin d'éviter de soutenir involontairement une activité criminelle.
Sources :
Découvrez l'avenir de la cybersécurité : informations exclusives sur l'IA de nouvelle génération et formation de pointe au SANS Network Security 2024
Le SANS Institute annonce l'événement Network Security 2024, qui se déroulera du 4 au 9 septembre 2024 à Caesars Palace à Las Vegas et en ligne. Cet événement vise à renforcer les compétences des professionnels de la cybersécurité face aux menaces croissantes. Un point fort sera la conférence de Daniel Miessler, qui abordera l'intégration de l'IA dans les programmes de sécurité pour améliorer l'efficacité. Les participants auront accès à plus de 45 cours spécialisés et 40 certifications GIAC, animés par des experts de renommée mondiale, leur permettant d'acquérir des compétences pratiques immédiatement applicables.
L'AI Cybersecurity Summit, prévu les 8 et 9 septembre, explorera les dernières avancées de l'IA en cybersécurité, avec des sessions sur l'ingénierie sociale et les deep fakes. Pour la première fois, des villages cyber immersifs offriront des expériences d'apprentissage interactives, incluant des compétitions comme Capture-the-Flag. À l'occasion du 35e anniversaire du SANS Institute, les participants en personne recevront un Cyber Bundle exclusif. Les options de participation sont disponibles en présentiel et en ligne. Inscrivez-vous dès maintenant pour faire avancer votre carrière en cybersécurité.
Sources :
Le FBI et la CISA mettent en garde contre le ransomware BlackSuit qui exige jusqu'à 500 millions de dollars
Le ransomware BlackSuit a exigé jusqu'à 500 millions de dollars en rançons, avec une demande atteignant 60 millions de dollars. Selon la CISA et le FBI, les acteurs de BlackSuit sont prêts à négocier les montants des rançons, qui ne figurent pas dans la note initiale mais nécessitent une interaction directe via une URL .onion. Les attaques ciblent des infrastructures critiques, notamment la santé et le gouvernement, en exploitant des accès initiaux obtenus par phishing. BlackSuit utilise des logiciels de gestion à distance et des outils comme SystemBC pour maintenir une présence dans les réseaux des victimes. Les acteurs ont également recours à des outils de vol de mots de passe et à des techniques agressives pour faire pression sur les victimes, y compris des menaces envers des tiers. De nouvelles familles de ransomware émergent, comme Lynx et Zola, tandis que des groupes existants, tels que Hunters International, adaptent leurs méthodes. Hunters International, considéré comme une réincarnation du groupe Hive, a été responsable de 134 attaques en sept mois en 2024, utilisant un malware innovant pour obtenir un accès à distance et progresser dans ses attaques.
Sources :
Une faille de sécurité critique dans WhatsUp Gold fait l'objet d'une attaque active - Corrigez-la maintenant
Une vulnérabilité critique affectant WhatsUp Gold de Progress Software, identifiée sous le code CVE-2024-4885 (score CVSS : 9.8), est actuellement exploitée activement, rendant impératif pour les utilisateurs d'appliquer rapidement les mises à jour de sécurité. Ce bug d'exécution de code à distance non authentifié touche les versions de l'application de surveillance réseau antérieures à 2023.1.3. Selon un avis de l'entreprise, la méthode WhatsUp.ExportUtilities.Export.GetFileWithoutZip permet l'exécution de commandes avec des privilèges de service. Le chercheur en sécurité Sina Kheirkhah a identifié que la faille provient d'une validation insuffisante des chemins fournis par l'utilisateur. Un attaquant pourrait exploiter cette vulnérabilité pour exécuter du code dans le contexte du compte de service. Des tentatives d'exploitation ont été observées depuis le 1er août 2024. La version 2023.1.3 corrige également deux autres vulnérabilités critiques (CVE-2024-4883 et CVE-2024-4884) et un problème d'escalade de privilèges (CVE-2024-5009). Étant donné que les failles de Progress Software sont souvent ciblées par des acteurs malveillants, il est crucial que les administrateurs appliquent les dernières mises à jour et restreignent le trafic aux adresses IP de confiance.
Sources :
Le réseau Ronin a été piraté et 12 millions de dollars ont été restitués par des hackers « white hat »
Le réseau Ronin, dédié aux jeux de hasard, a subi une attaque de hackers éthiques qui ont exploité une vulnérabilité non documentée sur le pont Ronin, permettant le retrait de 4 000 ETH et 2 millions de USDC, soit un total de 12 millions de dollars. Ce montant correspond à la limite maximale pouvant être retirée en une seule transaction, ce qui a évité un vol plus important. Les hackers ont informé Ronin de l'exploit pendant leur démonstration, entraînant une suspension temporaire du pont. Une mise à jour récente du pont, déployée via un processus de gouvernance, a introduit une faille de sécurité, permettant à des acteurs non autorisés d'effectuer des retraits. L'équipe de Ronin travaille à corriger cette vulnérabilité, avec des audits préalables à toute nouvelle mise en œuvre. Le pont restera suspendu pour des vérifications approfondies, et une nouvelle solution sera développée avec les validateurs de Ronin. Les hackers éthiques ont restitué l'intégralité des fonds volés et recevront une récompense de 500 000 dollars. En mars 2022, le pont Ronin avait déjà été victime d'un vol massif de 625 millions de dollars, attribué au groupe de hackers nord-coréen Lazarus.
Sources :
La SEC met fin à son enquête sur les attaques MOVEit qui ont touché 95 millions de personnes
La SEC a mis fin à son enquête sur la gestion par Progress Software de l'exploitation d'une vulnérabilité zero-day dans le logiciel MOVEit Transfer, qui a exposé les données de plus de 95 millions de personnes. Dans un dépôt FORM 8-K, Progress a annoncé que la Division de l'application de la SEC ne recommandera aucune action à son encontre concernant cet incident de sécurité. L'enquête avait été ouverte après qu'un subpoena ait été émis le 2 octobre 2023, dans le cadre d'une enquête factuelle sur la vulnérabilité MOVEit. Pendant le week-end du Memorial Day 2023, le groupe de ransomware Clop a exploité cette faille pour mener une campagne de vol de données à grande échelle, touchant plus de 2 770 entreprises à travers le monde. Selon Emsisoft, les attaques ont permis au groupe Clop de potentiellement gagner entre 75 et 100 millions de dollars en paiements de rançon, affectant des agences gouvernementales, des institutions financières, des organisations de santé, des compagnies aériennes et des établissements d'enseignement. Bien que la SEC ne prenne pas de mesures, Progress Software fait face à des centaines de poursuites collectives centralisées dans les tribunaux fédéraux du Massachusetts.
Sources :
FBI : Le ransomware BlackSuit a généré plus de 500 millions de dollars de demandes de rançon
Le 7 août 2024, le FBI et la CISA ont confirmé que le ransomware BlackSuit, anciennement connu sous le nom de Royal, a exigé plus de 500 millions de dollars de rançons depuis son apparition il y a plus de deux ans. Ce groupe criminel, actif depuis septembre 2022, est considéré comme le successeur direct du syndicat de cybercriminalité Conti et a débuté sous le nom de Quantum en janvier 2022. Après avoir utilisé des encryptors d'autres gangs pour éviter l'attention, ils ont rapidement déployé leur propre encryptor, Zeon, et se sont rebrandés en Royal. Suite à une attaque contre la ville de Dallas en juin 2023, ils ont commencé à utiliser le nom BlackSuit. Les demandes de rançon varient généralement de 1 à 10 millions de dollars, avec une demande maximale atteignant 60 millions. Depuis septembre 2022, le gang a été lié à des attaques contre plus de 350 organisations, dont des établissements de santé. Récemment, BlackSuit a causé une panne massive chez CDK Global, affectant plus de 15 000 concessions automobiles en Amérique du Nord, forçant ces dernières à fonctionner sans systèmes informatiques.
Sources :
Le nouveau ver USB CMoon cible les Russes dans des attaques de vol de données
Un nouveau ver auto-propagateur nommé 'CMoon' a été détecté en Russie depuis juillet 2024, ciblant des utilisateurs via un site web compromis d'une entreprise de gaz. Selon Kaspersky, CMoon est capable de voler des identifiants et d'exécuter diverses fonctions, telles que le téléchargement de charges utiles supplémentaires, la capture d'écrans et le lancement d'attaques DDoS. L'infection débute lorsque les utilisateurs cliquent sur des liens vers des documents réglementaires, qui ont été remplacés par des exécutables malveillants. Bien que le site ait été nettoyé le 25 juillet, le ver peut continuer à se propager de manière autonome. CMoon se copie dans un dossier créé en fonction du logiciel antivirus détecté et crée un raccourci dans le répertoire de démarrage de Windows pour assurer sa persistance. Il surveille les clés USB connectées, remplaçant les fichiers par des raccourcis vers son exécutable, tout en exfiltrant des fichiers intéressants vers un serveur externe. Le ver cible également des fichiers contenant des informations sensibles, notamment des portefeuilles de cryptomonnaie et des fichiers de mots de passe. Kaspersky met en garde contre la possibilité que d'autres sites distribuent CMoon, soulignant les risques d'attaques opportunistes.
Sources :
L'attaque de rétrogradation de Windows Update « annule les correctifs » des systèmes entièrement mis à jour
Le 7 août 2024, Microsoft a publié des avis concernant deux vulnérabilités zero-day non corrigées (CVE-2024-38202 et CVE-2024-21302) découvertes par le chercheur en sécurité Alon Leviev. Ces vulnérabilités permettent à des attaquants de forcer un système Windows à revenir à des versions antérieures, réintroduisant ainsi des failles de sécurité. Leviev a démontré qu'il était possible de contourner la sécurité basée sur la virtualisation (VBS) de Windows, y compris des fonctionnalités comme Credential Guard, sans accès physique. Cela rend les systèmes entièrement mis à jour vulnérables à des milliers de failles précédemment corrigées, rendant le terme "entièrement patché" obsolète. Microsoft travaille actuellement sur des correctifs pour ces vulnérabilités, tout en conseillant aux utilisateurs de suivre les recommandations de sécurité publiées. Bien qu'aucune exploitation active de ces failles ne soit signalée, la situation soulève des inquiétudes quant à la sécurité des systèmes Windows. Les utilisateurs ont également signalé des problèmes après des mises à jour, notamment des erreurs critiques et des dysfonctionnements de comptes administratifs. Microsoft s'engage à développer des solutions pour protéger les utilisateurs tout en minimisant les perturbations opérationnelles.
Sources :
Les perturbations dans les hôpitaux McLaren liées à une attaque de ransomware INC
Le 7 août 2024, les systèmes informatiques et téléphoniques des hôpitaux de McLaren Health Care ont été perturbés à la suite d'une attaque liée à l'opération de ransomware INC Ransom. McLaren, un système de santé non lucratif générant plus de 6,5 milliards de dollars de revenus annuels, gère 13 hôpitaux au Michigan et emploie plus de 28 000 personnes. L'organisation a averti que l'accès aux bases de données des patients était compromis, demandant aux patients de se munir d'informations détaillées sur leurs médicaments lors de leurs rendez-vous. Certaines consultations et procédures non urgentes pourraient être reprogrammées par précaution. Bien que McLaren n'ait pas encore précisé la nature de l'incident, des employés ont partagé une note de rançon indiquant que les systèmes de l'hôpital avaient été cryptés et que des données volées seraient publiées si la rançon n'était pas payée. INC Ransom, actif depuis juillet 2023, a ciblé divers secteurs, y compris la santé. En novembre 2023, McLaren avait déjà informé près de 2,2 millions de personnes d'une violation de données ayant exposé des informations personnelles et médicales.
Sources :
Un fournisseur informatique britannique risque une amende de 7,7 millions de dollars pour une violation de ransomware en 2022
L'Information Commissioner's Office (ICO) du Royaume-Uni a annoncé une décision provisoire de sanctionner Advanced Computer Software Group Ltd d'une amende de 6,09 millions de livres (environ 7,74 millions de dollars) pour avoir échoué à protéger les données personnelles de dizaines de milliers de personnes lors d'une attaque par ransomware en 2022. Advanced, fournisseur de services informatiques pour le National Health Service (NHS), a été compromis le 4 août 2022, affectant de nombreuses entités publiques et privées, y compris NHS 111. Près de 83 000 personnes ont vu leurs informations personnelles exposées, y compris des instructions d'accès aux domiciles de 890 personnes recevant des soins à domicile. Bien que les personnes touchées aient été informées et qu'aucune donnée n'ait été publiée sur le dark web, l'impact potentiel de cette exposition est considérable. John Edwards, commissaire à l'information, a souligné l'importance de la sécurité des informations et a noté des manquements graves dans l'approche de sécurité d'Advanced. L'amende, qui pourrait atteindre 93,3 dollars par personne exposée, est encore sujette à révision après que Advanced ait eu l'occasion de répondre.
Sources :
Les personnes sourdes et malentendantes peuvent-elles réussir dans les carrières informatiques et technologiques ?
Dans un environnement de travail de plus en plus diversifié, les industries de l'informatique et de la technologie commencent à intégrer des talents variés, y compris les personnes sourdes et malentendantes (DHH). En 2017, seulement 53 % des personnes sourdes étaient employées, soulignant la nécessité de pratiques d'embauche inclusives. Avec environ 11,5 % de la population américaine souffrant de perte auditive, ce chiffre pourrait atteindre un quart de la population mondiale d'ici 2050. Malgré les protections légales comme l'Americans with Disabilities Act (ADA), qui impose des aménagements raisonnables, des obstacles persistent. Des organisations comme le National Technical Institute for the Deaf (NTID) et des entreprises comme Amazon et Microsoft prennent des initiatives pour soutenir les DHH dans le secteur technologique. Amazon a même embauché des interprètes en langue des signes pour ses employés sourds. De plus, des innovations technologiques, telles que des lunettes auditives et une application AI de Lenovo traduisant la langue des signes en langage parlé, facilitent l'inclusion des DHH. En offrant les bonnes opportunités et aménagements, les employeurs peuvent tirer parti d'un réservoir de talents diversifiés, enrichissant ainsi leur environnement de travail.
Sources :
La récente mise à jour de ProtonVPN apporte des icônes discrètes et un protocole furtif
ProtonVPN a récemment mis à jour son application pour Android, permettant aux utilisateurs de masquer l'utilisation de leur VPN grâce à des icônes discrètes. Ces nouvelles icônes, qui imitent des applications courantes comme la météo ou les notes, visent à protéger les utilisateurs vivant sous des régimes autoritaires des conséquences potentielles lors d'inspections de leurs appareils. Bien que cette fonctionnalité ne cache pas complètement la présence du VPN dans les paramètres, elle aide à éviter une détection immédiate. Les utilisateurs peuvent également désactiver les notifications de l'application pour plus de prudence. En parallèle, ProtonVPN a lancé un nouveau protocole appelé "Stealth", conçu pour contourner les technologies de détection comme l'Inspection Profonde des Paquets (DPI), tout en maintenant des vitesses de connexion optimales. Ce protocole est accessible à tous les utilisateurs, y compris ceux du plan gratuit, sur les plateformes Windows, macOS, iOS et Android, mais pas encore sur Linux. Cette initiative s'inscrit dans un contexte où l'utilisation des VPN augmente face à des restrictions gouvernementales croissantes. ProtonVPN se positionne ainsi comme un acteur clé pour garantir la confidentialité et la sécurité des utilisateurs dans des environnements répressifs.
Sources :
macOS Sequoia apporte de meilleures protections contre Gatekeeper et les logiciels espions
La version bêta de macOS Sequoia, attendue pour cet automne, introduit des améliorations significatives en matière de sécurité, notamment pour le système Gatekeeper et la protection contre les stalkerwares. Gatekeeper, qui vérifie la signature et la notarisation des applications téléchargées, ne permettra plus aux utilisateurs de contourner les avertissements en utilisant le clic CTRL. Désormais, pour exécuter des logiciels non signés ou non notariés, les utilisateurs devront accéder aux paramètres de sécurité dans les réglages du système. Apple recommande également aux développeurs de soumettre leurs applications pour notarisation afin de garantir leur sécurité.
De plus, les utilisateurs recevront des alertes hebdomadaires concernant les autorisations d'accès aux écrans et aux contenus audio des applications. Ces notifications informeront les utilisateurs si une application peut potentiellement surveiller leurs activités, ce qui pourrait aider à prévenir les abus liés aux stalkerwares. Bien que ces alertes puissent être perçues comme intrusives, elles représentent un progrès important pour alerter les victimes potentielles sur les logiciels malveillants installés sur leurs appareils. Apple n'a pas encore fourni d'explications détaillées sur ces nouvelles fonctionnalités.
Sources :
La faille WhatsUp RCE de Critical Progress est désormais activement exploitée
Une vulnérabilité critique de code à distance (CVE-2024-4885) dans Progress WhatsUp Gold, une application de surveillance réseau, est actuellement exploitée par des acteurs malveillants. Cette faille, notée 9.8 sur l'échelle CVSS, affecte les versions 23.1.2 et antérieures et permet à des attaquants non authentifiés d'exécuter des commandes avec des privilèges élevés. Les tentatives d'exploitation ont commencé le 1er août 2024, selon la Shadowserver Foundation, avec des exploits de preuve de concept disponibles publiquement. Progress a publié un bulletin de sécurité le 25 juin 2024, recommandant aux utilisateurs de mettre à jour vers la version 23.1.3 pour corriger cette vulnérabilité. Les administrateurs de WhatsUp Gold sont conseillés de surveiller les tentatives d'exploitation sur le point de terminaison '/NmAPI/RecurringReport' et de restreindre l'accès via des règles de pare-feu. La faille permet aux attaquants d'exécuter du code sur le serveur cible, ce qui pourrait mener à l'installation de webshells pour un accès persistant. Il est crucial que les administrateurs appliquent les mises à jour de sécurité et surveillent les activités suspectes pour protéger leurs réseaux.
Sources :
Comment sécuriser l’accès à OWA avec la MFA
L'article aborde la nécessité de sécuriser l'accès à Outlook on the Web (OWA) via l'authentification multifacteur (MFA) dans les environnements Active Directory sur site. Avec l'augmentation des accès distants à la messagerie, les administrateurs doivent protéger leurs serveurs sans contrôle direct sur les appareils utilisés. Le télétravail a favorisé l'utilisation d'applications web pour la messagerie, offrant aux utilisateurs un accès facilité tout en permettant aux entreprises de centraliser la gestion des accès. Cependant, des menaces récentes, comme l'attaque de Storm-0558, ont mis en lumière la vulnérabilité des systèmes Exchange sur site, où des cybercriminels ont réussi à falsifier des jetons d'authentification. OWA, reliant des serveurs publics, expose les entreprises à des risques accrus, surtout en raison d'une infrastructure vieillissante. Microsoft recommande l'utilisation de la MFA via Active Directory Federation Services (AD FS) ou Entra ID pour contrer ces menaces. L'article souligne que la MFA est désormais indispensable pour protéger les accès à la messagerie, car un seul identifiant compromis peut compromettre l'ensemble du système. En conclusion, la mise en œuvre de la MFA est essentielle pour sécuriser OWA face à des cyberattaques croissantes.
Sources :
Les cibles attrayantes pour les cybercriminels
Les entreprises de taille moyenne, avec un chiffre d'affaires entre 12 et 240 millions d'euros, sont des cibles privilégiées pour les cybercriminels, souvent perçues comme des portes d'entrée vers des entreprises plus grandes. Une étude de Barracuda révèle que près de la moitié des PME de 100 à 750 employés jugent leur cybersécurité inefficace, ce qui les rend vulnérables à des attaques telles que le hameçonnage et les ransomwares. Les coûts de récupération après une cyberattaque peuvent atteindre jusqu'à 1 million de dollars, un fardeau considérable pour ces entreprises. Pour se protéger, Barracuda recommande une approche en quatre étapes : prévention des menaces, détection et réponse, sécurisation des données, et protection des applications. L'utilisation d'outils d'intelligence artificielle pour vérifier les e-mails et la mise en place de pare-feu pour les applications sont essentielles. De plus, l'adoption de stratégies comme le Zero Trust Network Access (ZTNA) et le Secure Access Service Edge (SASE) est cruciale pour renforcer la sécurité. Les PME doivent également mettre en œuvre des politiques strictes de protection des données et effectuer des sauvegardes régulières pour se préparer à d'éventuelles attaques. En somme, une cybersécurité proactive est indispensable pour leur pérennité.
Sources :
BrHackeuses : Une équipe CTF de Hackers 100% féminine
Les BrHackeuses, une équipe entièrement féminine, émergent dans le domaine de l'éthical hacking, visant à promouvoir la diversité et l'inclusion dans les compétitions de Capture The Flag (CTF). Lors du Forum International de la Cybersécurité (InCyber 2024) à Lille, Aude, l'initiatrice du projet, a exprimé son désir de créer un espace où les femmes peuvent s'épanouir sans barrières. L'équipe offre des ressources, un encadrement et une communauté solidaire pour encourager les femmes à développer leurs compétences en cybersécurité. Le lancement des BrHackeuses a eu lieu lors du CTF « Une nuit pour hacker » en mars 2024, où elles ont démontré leur potentiel en se classant 3e parmi plus de 300 équipes lors du Hack 2k24. Ces expériences renforcent non seulement les compétences techniques des participantes, mais aussi la camaraderie au sein de l'équipe. Les BrHackeuses souhaitent inspirer davantage de femmes à s'impliquer dans la cybersécurité, en leur offrant un environnement propice à leur épanouissement. Elles participeront prochainement au SecSea 2k24 à La Ciotat, un événement qui allie compétition et convivialité, renforçant ainsi leur engagement envers la communauté du hacking éthique.
Sources :
Cyberattaque : les pirates vont aussi au musée
Le premier week-end d'août 2024, une cyberattaque a frappé plus de trente musées français, rappelant une attaque similaire survenue aux États-Unis en décembre 2023. Bien que les données n'aient pas été diffusées, des inquiétudes subsistent quant à leur sécurité. Les musées touchés, comme le Museum of Fine Arts de Boston, ont rencontré des interruptions de service, mais certains, tels que le Metropolitan Museum of Art, ont échappé à l'impact en hébergeant leurs propres bases de données. La vulnérabilité exploitée, identifiée par Microsoft, est considérée comme modérée, mais son exploitation peut avoir des conséquences graves. Les attaquants, souvent des groupes de ransomware, utilisent des méthodes telles que le phishing et l'exploitation de vulnérabilités non corrigées pour accéder aux systèmes. Ils cherchent à maximiser l'impact en chiffrant un grand nombre d'hôtes pour obtenir des rançons. Bien que l'accès privilégié soit nécessaire pour exploiter certaines vulnérabilités, les capacités des attaquants à escalader leurs privilèges une fois à l'intérieur d'un réseau ne doivent pas être sous-estimées. Cette situation souligne l'importance de corriger rapidement les vulnérabilités pour protéger les institutions culturelles.
