OpenAI bloque des campagnes malveillantes mondiales utilisant l'IA - Actus du 10/10/2024
OpenAI stoppe 20 campagnes malveillantes IA, Kaspersky renforce la sécurité des infrastructures industrielles, et une faille critique menace les systèmes Linear eMerge E3. Découvrez comment protéger vos données face à ces nouvelles menaces.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
OpenAI bloque 20 campagnes malveillantes mondiales utilisant l'IA pour la cybercriminalité et la désinformation
OpenAI a annoncé avoir perturbé plus de 20 opérations malveillantes à travers le monde depuis le début de l'année, visant à exploiter sa plateforme pour des activités nuisibles. Ces opérations incluaient la création de logiciels malveillants, la rédaction d'articles, la génération de biographies pour des comptes de réseaux sociaux, et la création d'images de profil pour de faux comptes. Bien qu'OpenAI ait observé une évolution des méthodes des acteurs malveillants, l'entreprise n'a pas constaté de percées significatives dans la création de nouveaux malwares. Parmi les opérations identifiées, certaines étaient liées à des groupes comme SweetSpecter, Cyber Av3ngers et Storm-0817, qui ont utilisé les modèles d'OpenAI pour des recherches et des tentatives de phishing. OpenAI a également bloqué des réseaux générant du contenu lié aux élections aux États-Unis et en Inde, sans succès viral. Des chercheurs ont souligné que ces acteurs utilisaient souvent les modèles d'OpenAI à des étapes intermédiaires, avant de déployer des produits finis. Un rapport de Sophos a averti que l'IA générative pourrait être exploitée pour diffuser de la désinformation ciblée, permettant une automatisation accrue de la manipulation politique.
Sources :
Kaspersky présente ses solutions avancées pour garantir la sécurité du système d’information des infrastructures industrielles
Kaspersky a récemment amélioré sa solution Kaspersky Industrial CyberSecurity (KICS) pour répondre aux menaces croissantes pesant sur les technologies opérationnelles (OT) et les systèmes de contrôle industriels (ICS). Cette mise à jour inclut une plateforme XDR native spécifiquement conçue pour le secteur industriel, ainsi qu'une simplification du service Managed Detection and Response (MDR). Ces outils visent à aider les organisations dépourvues de personnel dédié à la cybersécurité à assurer des fonctions clés de sécurité opérationnelle. Face à l'augmentation des cyberattaques, Kaspersky ICS CERT a rapporté que 23,5 % des ordinateurs ICS ont été ciblés par des objets malveillants au second semestre 2024. KICS se compose de deux modules : KICS for Nodes, qui sécurise les nœuds du réseau, et KICS for Networks, qui protège les réseaux et équipements industriels. La solution prend désormais en charge de nouveaux types d'actifs pour une meilleure contextualisation des incidents. De plus, une nouvelle architecture permet de surveiller jusqu'à 100 points sur un serveur unique. Le service MDR offre une expertise essentielle aux entreprises industrielles, leur permettant de faire face à la complexité croissante des cybermenaces tout en optimisant leurs ressources internes.
Sources :
Les experts mettent en garde contre une vulnérabilité critique non corrigée dans les systèmes Linear eMerge E3
Des chercheurs en cybersécurité mettent en garde contre une vulnérabilité non corrigée dans les systèmes de contrôle d'accès Nice Linear eMerge E3, permettant l'exécution de commandes arbitraires sur le système d'exploitation. Identifiée sous le numéro CVE-2024-9441, cette faille a un score CVSS de 9,8 sur 10, selon VulnCheck. SSD Disclosure a signalé que des attaquants distants et non authentifiés peuvent exploiter cette vulnérabilité, sans qu'un correctif ou une solution de contournement ne soit encore proposé par le fournisseur. Les versions affectées incluent plusieurs itérations de l'eMerge E3, et des exploits de preuve de concept ont été publiés, suscitant des inquiétudes quant à une exploitation potentielle par des acteurs malveillants. Une autre faille critique, CVE-2019-7256, avait déjà été exploitée par un acteur connu sous le nom de Flax Typhoon, soulignant la lenteur de la réponse du fournisseur. Jacob Baines de VulnCheck ne s'attend pas à un correctif rapide pour la nouvelle vulnérabilité, conseillant aux organisations d'isoler ces dispositifs. Nice recommande de suivre des pratiques de sécurité, telles que la segmentation du réseau et la restriction d'accès à Internet.
Sources :
Faille zéro-day Firefox : Mise à jour immédiate requise !
Mozilla a annoncé une faille de sécurité critique, CVE-2024-9680, affectant Firefox et Firefox Extended Support Release (ESR), qui est actuellement exploitée. Cette vulnérabilité, liée à une utilisation après libération dans le composant de chronologie d’animation, permet à un attaquant d'exécuter du code dans le processus de contenu. Des rapports indiquent que cette faille est déjà exploitée dans la nature. Le chercheur en sécurité Damien Schaeffer de la société ESET a découvert et signalé cette vulnérabilité. Mozilla a publié des mises à jour pour corriger le problème dans les versions suivantes : Firefox 131.0.2, Firefox ESR 128.3.1 et Firefox ESR 115.16.1. Les détails sur les méthodes d'exploitation dans des attaques réelles et l'identité des attaquants restent inconnus. Cependant, des vulnérabilités similaires pourraient être utilisées dans des attaques ciblées, comme des attaques de type « whaterhole » ou des campagnes de téléchargement malveillant incitant les utilisateurs à visiter des sites frauduleux. Les utilisateurs sont donc fortement conseillés de mettre à jour leur navigateur vers la dernière version pour se protéger contre ces menaces actives.
Sources :
- https://www.undernews.fr/alertes-securite/faille-zero-day-firefox-mise-a-jour-immediate-requise.html
6 étapes simples pour éliminer l'épuisement professionnel des analystes SOC
Pour maintenir la résilience de l'équipe et l'efficacité opérationnelle, il est crucial de prendre des mesures proactives contre le burnout et d'améliorer la rétention des employés. L'automatisation des tâches répétitives, le développement des compétences des employés et l'encouragement d'un meilleur équilibre entre vie professionnelle et personnelle sont essentiels. En déléguant les tâches fastidieuses à l'IA, les organisations permettent aux analystes de se concentrer sur des décisions stratégiques et des travaux à plus forte valeur ajoutée, ce qui réduit le burnout. L'IA fournit des résultats prêts à l'emploi, facilitant la compréhension des situations par les analystes et améliorant leur satisfaction au travail. De plus, l'IA offre une formation continue en expliquant ses conclusions et en proposant des plans d'action détaillés, permettant aux analystes d'acquérir de nouvelles compétences et de se préparer à des rôles plus avancés. L'intégration d'une interface unifiée permet aux analystes d'explorer les menaces plus efficacement, tout en réduisant la frustration liée à l'utilisation de multiples outils. En surveillant les alertes et en gérant les incidents critiques, l'IA aide à maintenir un équilibre sain entre vie professionnelle et personnelle, minimisant ainsi le burnout et assurant le bon fonctionnement des opérations de sécurité.
Sources :
« Risotto au pigeon de ville » : la fausse recette envoyée par Moscou aux Ukrainiens
Depuis le début de la guerre entre la Russie et l'Ukraine, le Kremlin intensifie ses efforts pour saper le moral des Ukrainiens, notamment en hiver. Lors d'une conférence sur la cybersécurité, Mathieu Tartare, chercheur chez ESET, a exposé les tactiques des hackers russes. Ces derniers usurpent les adresses électroniques des autorités ukrainiennes pour diffuser des campagnes de désinformation. Par exemple, en début 2024, ils se sont fait passer pour le ministère ukrainien de l'Agriculture, envoyant des e-mails proposant des recettes étranges, comme une soupe d'orties et un risotto au pigeon, tout en suggérant de diversifier l'alimentation en raison de potentielles pénuries.
Les experts d'ESET soulignent que les groupes de renseignement russes envoient un volume élevé de messages malveillants, ciblant non seulement l'Ukraine mais aussi des agents de l'Union européenne, souvent impliqués dans des discussions d'aide financière ou militaire. Les hackers adaptent leurs messages en fonction de l'actualité, rendant leurs attaques plus convaincantes. La situation souligne l'importance de la cybersécurité face à des menaces de désinformation et d'espionnage, exacerbées par le conflit en cours.
Sources :
Une grave faille de sécurité a été repérée dans Firefox
Les utilisateurs de Firefox sont fortement encouragés à mettre à jour leur navigateur suite à la découverte d'une vulnérabilité critique exploitée par des cybercriminels. Cette faille a été signalée le 9 octobre, le même jour où la mise à jour 131.0.2 a été publiée pour corriger le problème. Les versions ESR 115.16.1 et 128.3.1 ont également reçu ce correctif. Pour mettre à jour Firefox, il est généralement suffisant de redémarrer le programme, mais les utilisateurs peuvent également le faire manuellement via l'onglet « Aide » puis « À propos de Firefox ». La mise à jour est essentielle, car la faille est classée comme très grave, ayant été récemment découverte par un expert en sécurité d'ESET. Les utilisateurs doivent également rester vigilants concernant les mises à jour de l'application mobile. Cette situation souligne l'importance de maintenir les logiciels à jour pour se protéger contre les menaces en ligne. En somme, il est crucial d'agir rapidement pour garantir la sécurité de ses données et de sa navigation sur le web.
Sources :
Comment déchiffrer son trafic ? 7 étapes clés pour sécuriser son réseau !
Aujourd'hui, plus de 96 % du trafic web est chiffré, mais ce chiffrement n'assure pas la sécurité, car 93 % des attaques par malware se dissimulent dans ce trafic. Malgré cela, 76 % des entreprises croient en sa sécurité, ce qui souligne un manque de visibilité sur ce type de trafic, un problème majeur pour les organisations. Pour contrer cette vulnérabilité, il est crucial de déchiffrer le trafic afin de protéger les entreprises contre les menaces invisibles. Gigamon propose sept points clés pour un déchiffrement efficace : d'abord, connaître le volume et la direction du trafic pour optimiser les ressources de sécurité ; ensuite, comprendre les limites des solutions de déchiffrement en fonction du volume et des connexions ; puis, identifier les besoins spécifiques en matière de déchiffrement, en respectant les obligations réglementaires. Il est également important de prioriser les flux critiques à déchiffrer, d'adapter le déchiffrement à l'évolution du trafic et enfin, de rechercher des solutions de déchiffrement performantes et faciles à mettre en œuvre. Ces étapes sont essentielles pour améliorer la sécurité et la performance des systèmes d'information.
Sources :
Les cybercriminels utilisent Unicode pour masquer le skimmer mongol sur les plateformes de commerce électronique
Des chercheurs en cybersécurité ont découvert une nouvelle campagne de skimming numérique utilisant des techniques d'obfuscation Unicode pour dissimuler un skimmer appelé Mongolian Skimmer. Selon une analyse de Jscrambler, l'obfuscation du script, avec de nombreux caractères accentués, rend le code difficile à lire. Ce skimmer exploite la capacité de JavaScript à utiliser n'importe quel caractère Unicode dans les identifiants pour masquer ses fonctionnalités malveillantes. Son objectif principal est de voler des données sensibles saisies sur des pages de paiement ou d'administration d'e-commerce, qui sont ensuite exfiltrées vers un serveur contrôlé par l'attaquant. Le skimmer se manifeste généralement sous la forme d'un script en ligne sur des sites compromis, récupérant le payload depuis un serveur externe. Il tente également d'échapper aux analyses en désactivant certaines fonctions lorsque les outils de développement du navigateur sont ouverts. Jscrambler a également observé une variante de loader "inhabituelle" qui charge le script uniquement lors d'événements d'interaction utilisateur. De plus, deux groupes d'acteurs de menace semblent collaborer, partageant des commentaires dans le code source pour se répartir les bénéfices. Malgré l'apparente complexité des techniques d'obfuscation, elles restent faciles à inverser.
Sources :
La CISA met en garde contre une faille critique de Fortinet alors que Palo Alto et Cisco publient des correctifs de sécurité urgents
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité critique affectant les produits Fortinet à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. Cette vulnérabilité, identifiée comme CVE-2024-23113 (score CVSS : 9.8), concerne l'exécution de code à distance sur FortiOS, FortiPAM, FortiProxy et FortiWeb. Fortinet a averti qu'un attaquant non authentifié pourrait exécuter des commandes arbitraires via des requêtes spécialement conçues. Les agences fédérales doivent appliquer les mesures de mitigation fournies par le fournisseur d'ici le 30 octobre 2024. Parallèlement, Palo Alto Networks a signalé plusieurs failles dans Expedition, permettant à des attaquants de lire des contenus de base de données et d'écrire des fichiers. Les vulnérabilités incluent des injections de commandes et des failles XSS, avec des scores CVSS allant jusqu'à 9.9. Bien qu'aucune exploitation active ne soit confirmée, des recommandations de sécurité ont été émises. Enfin, Cisco a corrigé une faille critique dans le Nexus Dashboard Fabric Controller (CVE-2024-20432), permettant à un attaquant d'exécuter des commandes arbitraires sur des appareils gérés.
Sources :
Firefox Zero-Day attaqué : mettez immédiatement à jour votre navigateur
Mozilla a annoncé qu'une faille de sécurité critique affectant Firefox et Firefox Extended Support Release (ESR) est actuellement exploitée activement. Cette vulnérabilité, identifiée sous le nom CVE-2024-9680 (score CVSS : 9.8), est un bug de type use-after-free dans le composant Animation timeline. Selon un avis publié mercredi, un attaquant peut exécuter du code dans le processus de contenu en exploitant cette faille. Le chercheur en sécurité Damien Schaeffer, de la société slovaque ESET, a découvert et signalé cette vulnérabilité. Elle a été corrigée dans les versions suivantes du navigateur : Firefox 131.0.2, Firefox ESR 128.3.1 et Firefox ESR 115.16.1. Actuellement, il n'existe pas de détails sur la manière dont cette vulnérabilité est exploitée dans des attaques réelles ni sur l'identité des acteurs malveillants. Cependant, ces vulnérabilités d'exécution de code à distance pourraient être utilisées dans divers scénarios, comme des attaques de type watering hole ciblant des sites spécifiques ou des campagnes de téléchargement malveillant incitant les utilisateurs à visiter des sites frauduleux. Les utilisateurs sont donc conseillés de mettre à jour leur navigateur pour se protéger contre ces menaces actives.
Sources :
Les archives Internet piratées, une violation de données impacte 31 millions d'utilisateurs
Le 9 octobre 2024, l'Internet Archive a subi une violation de données majeure, compromettant les informations de 31 millions d'utilisateurs. Un acteur malveillant a accédé à une base de données d'authentification, révélant des adresses e-mail uniques et des mots de passe chiffrés. Un message JavaScript affiché sur le site a alerté les utilisateurs, mentionnant le service "Have I Been Pwned" (HIBP) de Troy Hunt, qui a confirmé que les données volées avaient été partagées avec lui. Hunt a contacté l'Internet Archive pour signaler la violation, mais n'a pas reçu de réponse. Le fichier SQL volé, nommé "ia_users.sql", pèse 6,4 Go et contient des informations sur des utilisateurs, dont certains sont abonnés à HIBP. Le fondateur de l'Internet Archive, Brewster Kahle, a confirmé l'incident sur X, précisant que l'attaque avait impliqué une bibliothèque JavaScript pour afficher des alertes et que des mesures de sécurité étaient en cours. Malgré ces efforts, des attaques DDoS ont continué, rendant les sites archive.org et openlibrary.org inaccessibles. Les détails sur la méthode d'intrusion et d'autres données compromises restent inconnus.
Sources :
La CISA affirme qu'une faille critique de Fortinet RCE est désormais exploitée dans les attaques
CISA a annoncé que des attaquants exploitent activement une vulnérabilité critique de FortiOS, identifiée sous le code CVE-2024-23113, permettant l'exécution de code à distance (RCE). Cette faille résulte de l'acceptation par le daemon fgfmd d'une chaîne de format contrôlée de l'extérieur, permettant à des acteurs malveillants non authentifiés d'exécuter des commandes sur des dispositifs non corrigés, sans nécessiter d'interaction utilisateur. Le daemon fgfmd, qui gère les demandes d'authentification et les messages de maintien de connexion sur FortiGate et FortiManager, est concerné. La vulnérabilité affecte FortiOS 7.0 et versions ultérieures, ainsi que d'autres produits Fortinet. Bien que Fortinet ait publié un correctif en février, CISA a ajouté cette vulnérabilité à son catalogue des vulnérabilités exploitées. Les agences fédérales américaines doivent sécuriser leurs dispositifs FortiOS d'ici le 30 octobre, conformément à une directive opérationnelle. CISA a averti que de telles vulnérabilités sont des vecteurs d'attaque fréquents et représentent des risques significatifs pour les infrastructures fédérales. En juin, le renseignement militaire néerlandais avait déjà signalé des attaques similaires par des hackers chinois sur d'autres vulnérabilités FortiOS.
Sources :
Une campagne de malware de vol de crypto-monnaie infecte 28 000 personnes
Une campagne de malware visant à voler des cryptomonnaies a infecté plus de 28 000 personnes, principalement en Russie, mais aussi en Turquie, Ukraine et d'autres pays de la région eurasienne. Ce malware se présente comme un logiciel légitime, promu via des vidéos YouTube et des dépôts GitHub frauduleux, incitant les victimes à télécharger des archives protégées par mot de passe. Selon la société de cybersécurité Dr. Web, le malware utilise des logiciels piratés liés aux bureaux, des cheats de jeux et des bots de trading automatisés pour tromper les utilisateurs. L'infection débute par l'ouverture d'une archive auto-extractible qui contourne les antivirus. Une fois le mot de passe saisi, divers scripts et fichiers DLL sont extraits, permettant au malware de s'installer et de se cacher. Il modifie également le registre Windows pour assurer sa persistance. Deux charges utiles principales sont installées : une bibliothèque .NET pour miner des cryptomonnaies et une bibliothèque 7-Zip qui surveille le presse-papiers pour détourner des adresses de portefeuilles. Dr. Web a estimé que le clipper avait détourné 6 000 dollars de transactions. Pour éviter des pertes financières, il est conseillé de télécharger des logiciels uniquement depuis des sites officiels.
Sources :
Palo Alto Networks met en garde contre les failles de détournement de pare-feu avec un exploit public
Palo Alto Networks a averti ses clients de corriger des vulnérabilités de sécurité dans son outil Expedition, qui peuvent être exploitées pour détourner des pare-feu PAN-OS. Ces failles permettent aux attaquants d'accéder à des données sensibles, telles que des identifiants d'utilisateur, facilitant ainsi la prise de contrôle des comptes administratifs des pare-feu. Les vulnérabilités incluent des injections de commandes, du cross-site scripting (XSS) réfléchi, le stockage en clair d'informations sensibles, une authentification manquante et des injections SQL. Les identifiants CVE-2024-9463 à CVE-2024-9467 décrivent ces problèmes. Zach Hanley, chercheur en vulnérabilités, a découvert quatre de ces failles et a publié un exploit de preuve de concept qui combine une vulnérabilité d'administration avec une injection de commande pour exécuter des commandes arbitraires sur les serveurs Expedition vulnérables. Bien qu'aucune exploitation active n'ait été signalée, Palo Alto Networks recommande de mettre à jour vers la version 1.2.96 d'Expedition et de changer tous les identifiants après la mise à jour. En attendant, les administrateurs doivent restreindre l'accès réseau à Expedition.
Sources :
Mozilla corrige la faille zero-day de Firefox activement exploitée dans les attaques
Mozilla a publié une mise à jour de sécurité d'urgence pour le navigateur Firefox afin de corriger une vulnérabilité critique de type "use-after-free", actuellement exploitée dans des attaques. Cette vulnérabilité, identifiée sous le code CVE-2024-9680 et découverte par le chercheur Damien Schaeffer d'ESET, concerne les timelines d'animation, un élément de l'API Web Animations de Firefox qui gère les animations sur les pages web. Le bulletin de sécurité indique qu'un attaquant peut exécuter du code dans le processus de contenu en exploitant cette faille. Des rapports confirment que cette vulnérabilité est exploitée activement. Elle affecte les dernières versions de Firefox, y compris les versions de support étendu (ESR). Les utilisateurs sont fortement encouragés à mettre à jour vers les versions suivantes : Firefox 131.0.2, Firefox ESR 115.16.1 et Firefox ESR 128.3.1. Pour effectuer la mise à jour, il suffit d'ouvrir Firefox et d'accéder à Paramètres -> Aide -> À propos de Firefox, où la mise à jour devrait démarrer automatiquement. Un redémarrage du programme sera nécessaire pour appliquer les changements. Mozilla a déjà corrigé une vulnérabilité zero-day en 2024, soulignant l'importance de ces mises à jour de sécurité.
Sources :
Google s'associe à GASA et DNS RF pour lutter contre les escroqueries en ligne à grande échelle
Google a annoncé mercredi un partenariat avec la Global Anti-Scam Alliance (GASA) et la DNS Research Federation (DNS RF) pour lutter contre les escroqueries en ligne. Cette initiative, nommée Global Signal Exchange (GSE), vise à créer des informations en temps réel sur les escroqueries et la cybercriminalité en regroupant des signaux de menace provenant de diverses sources de données. Selon Google, l'objectif est d'améliorer l'échange de signaux d'abus, permettant une identification et une interruption plus rapides des activités frauduleuses à travers différents secteurs et plateformes. La plateforme sera accessible aux organisations qualifiées, avec GASA et DNS RF gérant l'accès. Google a déjà partagé plus de 100 000 URL de marchands malveillants et plus d'un million de signaux d'escroquerie pour alimenter cette plateforme de données. L'entreprise souligne l'importance de la collaboration entre l'industrie, les entreprises, la société civile et les gouvernements pour lutter contre les acteurs malveillants. De plus, Google a mentionné que sa protection Cross-Account a été utilisée pour sécuriser 3,2 milliards d'utilisateurs. Ce développement survient peu après que Meta a annoncé un partenariat avec des banques britanniques pour combattre les escroqueries sur ses plateformes.
Sources :
Microsoft corrige un bug Word qui supprimait les documents lors de l'enregistrement
Microsoft a résolu un problème connu dans Word qui entraînait la suppression de documents pour certains utilisateurs de Windows lors de l'enregistrement. Ce bug affectait les fichiers enregistrés localement dont les noms contenaient le symbole # ou avaient une extension de fichier en majuscules, comme .DOCX ou .RTF. Le problème ne touchait que les utilisateurs de Word pour Microsoft 365, version 2409, build 18025.20104, et se produisait lorsque les utilisateurs fermaient Word après avoir enregistré leurs documents. Après avoir enregistré les modifications, les fichiers disparaissaient de leur emplacement d'origine. Microsoft a confirmé le problème la semaine dernière suite à de nombreux rapports d'utilisateurs. Dans une mise à jour, la société a annoncé que le bug avait été corrigé grâce à un changement de service, déployé pour tous les clients concernés. Pour appliquer la correction, Microsoft recommande de redémarrer toutes les applications Office. Des solutions de contournement étaient également disponibles, comme vérifier la corbeille pour les fichiers supprimés ou modifier certains paramètres dans Word. Des correctifs temporaires avaient été fournis précédemment pour d'autres problèmes affectant les applications Microsoft 365.
Sources :
Comment les SIEM et XDR open source s'attaquent aux menaces en constante évolution
Les plateformes de gestion des informations et des événements de sécurité (SIEM) et de détection et réponse étendues (XDR) sont essentielles dans les stratégies de cybersécurité des organisations. Elles collectent et analysent les données de journalisation provenant de diverses sources, telles que les pare-feu, serveurs et applications, pour détecter les incidents de sécurité. En agrégant ces données, les équipes de sécurité peuvent identifier des modèles et des anomalies, permettant de traiter les vulnérabilités avant qu'elles n'affectent les opérations. XDR améliore les capacités de SIEM en offrant une détection et une réponse aux menaces sur plusieurs couches de l'infrastructure informatique, y compris les environnements cloud et les réseaux. Contrairement à SIEM, qui se concentre sur les événements de journalisation, XDR intègre des télémetries variées pour une vue d'ensemble des menaces potentielles. Les plateformes SIEM et XDR open source, comme Wazuh, favorisent l'innovation communautaire et sont souvent plus économiques, offrant des capacités avancées sans frais de licence. Wazuh, par exemple, détecte des menaces comme AsyncRAT en surveillant les comportements système et en alertant sur des activités suspectes. Il utilise également des données de diverses sources pour identifier les logiciels obsolètes, renforçant ainsi la posture de sécurité des organisations.
Sources :
- https://www.bleepingcomputer.com/news/security/how-open-source-siem-and-xdr-tackle-evolving-threats/
La récente cyberattaque de Dr.Web revendiquée par des hacktivistes pro-ukrainiens
Un groupe de hacktivistes pro-ukrainiens a revendiqué la cyberattaque contre la société de sécurité russe Dr.Web, survenue le 14 septembre 2024. Dr.Web a confirmé avoir été contraint de déconnecter ses serveurs internes et de suspendre les mises à jour de sa base de données antivirus pendant l'enquête sur l'incident. Dans un message sur Telegram, les hacktivistes de DumpForums ont déclaré avoir eu accès aux systèmes de développement de Dr.Web pendant environ un mois, leur permettant de voler environ dix téraoctets de données, y compris des bases de données clients. Ils ont précisé avoir compromis plusieurs serveurs, dont GitLab et Confluence. En réponse, Dr.Web a reconnu la violation mais a nié que des données clients aient été volées, affirmant que l'attaque avait été rapidement stoppée. La société a également refusé de payer une rançon demandée par les attaquants. Dr.Web a insisté sur le fait que les informations publiées par les hacktivistes étaient principalement fausses et que la sécurité de ses utilisateurs n'était pas compromise. Cette attaque s'inscrit dans une série de cyberattaques ciblant des entreprises de cybersécurité russes, soutenues par des hacktivistes cherchant à soutenir l'effort de guerre ukrainien.
Sources :
Mot de passe oublié ? La solution familiale pour sécuriser vos comptes existe
Chaque octobre, le cybermoi/s sensibilise le public aux bonnes pratiques de cybersécurité, notamment l'importance des mots de passe. En 2024, la société Proton a lancé une offre familiale pour son gestionnaire de mots de passe, Proton Pass, permettant à six utilisateurs de partager un abonnement. Présenté le 9 octobre, le Pass Family coûte 6,99 euros par mois ou 4,99 euros par mois avec un abonnement annuel, soit 59,88 euros par an, contre 89,88 euros pour un abonnement mensuel. Ce service inclut des fonctionnalités similaires à celles du forfait individuel, comme la double authentification et la gestion des passkeys. Proton se positionne ainsi face à des concurrents tels que LastPass, Dashlane et 1Password, qui proposent également des formules familiales. Numerama offre un comparateur des meilleurs gestionnaires de mots de passe en 2024, mettant en avant les différences entre les produits. Un gestionnaire de mots de passe agit comme un coffre-fort numérique, facilitant la gestion des mots de passe et réduisant le risque d'utiliser les mêmes codes. Parmi les meilleurs, on trouve NordPass, 1Password et Dashlane, chacun ayant ses propres caractéristiques.
Sources :
Des chercheurs découvrent des vulnérabilités de sécurité majeures dans les bibliothèques de protocoles MMS industriels
Des vulnérabilités de sécurité ont été identifiées dans deux implémentations du protocole Manufacturing Message Specification (MMS), pouvant avoir des conséquences graves dans les environnements industriels. Selon des chercheurs de Claroty, ces failles pourraient permettre à un attaquant de provoquer un crash d'un appareil industriel ou, dans certains cas, d'exécuter du code à distance. Le MMS facilite la communication entre des dispositifs électroniques intelligents (IED) et des systèmes SCADA ou des contrôleurs logiques programmables (PLC). Cinq vulnérabilités ont été détectées dans les bibliothèques libIEC61850 de MZ Automation et TMW IEC 61850 de Triangle MicroWorks, corrigées en septembre et octobre 2022. Parmi elles, deux vulnérabilités de débordement de tampon (CVE-2022-2970 et CVE-2022-2972) ont un score CVSS de 10.0, permettant potentiellement un crash ou une exécution de code à distance. De plus, une version obsolète du protocole MMS a été trouvée dans les IED SIPROTEC 5 de Siemens, exposant à des conditions de déni de service. Claroty appelle les fournisseurs à respecter les directives de sécurité émises par la CISA, soulignant l'écart entre les exigences de sécurité modernes et les protocoles obsolètes.
Sources :
La police néerlandaise arrête l'administrateur du marché du dark web « Bohemia/Cannabia »
Les forces de l'ordre néerlandaises ont arrêté l'un des trois administrateurs du marché darknet 'Bohemia/Cannabia', connu pour la vente de drogues et les attaques par déni de service (DDoS). L'arrestation a eu lieu à l'aéroport de Schiphol à Amsterdam le 27 juin 2024, où des appareils électroniques contenant des données compromettantes et des clés d'accès à des portefeuilles Bitcoin ont été saisis. Un second administrateur a été arrêté en Irlande dans le cadre de la même opération internationale, qui a permis de saisir plus de 8 millions d'euros en cryptomonnaies. La police néerlandaise a enquêté sur cette plateforme depuis fin 2022, jusqu'à sa fermeture fin 2023, suite à des perturbations de service et à un conflit avec un développeur présumé malveillant. Les administrateurs ont "escroqué" les membres en se partageant les fonds déposés sur la plateforme. À son apogée, Bohemia/Cannabia générait plus de 12 millions d'euros de revenus par mois. Les autorités s'attendent à d'autres arrestations à mesure que de nouvelles preuves seront découvertes. L'administrateur arrêté a comparu devant le tribunal de Rotterdam, mais la procédure judiciaire en est encore à ses débuts.
