Piratage : et si le hacker était votre fille ? - Actus du 15/02/2025
Découvrez comment le piratage touche nos vies : et si votre fille était une hacker ? Les dangers cachés derrière les invitations WhatsApp des espions russes et l'inquiétude des parents face au piratage des bulletins scolaires. Protégez-vous dès maintenant !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Piratage : et si le hacker était votre fille ?
L'article présente le parcours atypique de Clarisse, une jeune Française qui, à seulement 16 ans, s'est engagée dans le monde du carding, une forme de fraude à la carte bancaire en plein essor. Ce phénomène, qui attire de plus en plus de jeunes, est alimenté par la promesse d'argent facile et l'adrénaline du piratage. Clarisse raconte comment elle a découvert cette activité dans sa cour de lycée, où elle a commencé à gérer des comptes volés et à offrir des cadeaux à ses amies grâce à l'argent frauduleux. Son récit met en lumière les dangers de cette vie clandestine, illustrée par l'histoire d'un ami qui a dû fuir pour échapper aux autorités. L'article soulève des questions sur l'impact de ces pratiques sur la jeunesse et la nécessité de sensibiliser les jeunes aux risques liés à la cybersécurité. Pour approfondir ce sujet, les lecteurs sont invités à suivre ZATAZ sur YouTube et à s'inscrire à leur newsletter pour rester informés des enjeux de la cybersécurité et des conseils pour protéger leurs données. Une histoire à la fois fascinante et préoccupante qui mérite d'être explorée.
Sources :
Des hackers du renseignement russe se cachent derrière ces invitations sur WhatsApp
Le rapport de Microsoft, publié le 13 février, révèle que le groupe de hackers Storm-2372, lié au Kremlin, a développé une nouvelle stratégie de piratage ciblant les utilisateurs de services de messagerie comme WhatsApp, Signal et Microsoft Teams. Leur méthode consiste à envoyer de fausses invitations à des réunions en ligne, se faisant passer pour des personnalités influentes afin d'établir une relation de confiance avec leurs victimes. Après plusieurs échanges, un appel vidéo est organisé, durant lequel un lien Microsoft Teams est envoyé. Ce lien redirige vers une page clonée des services Microsoft, incitant les utilisateurs à se connecter et à entrer leur code de double authentification. Les hackers obtiennent ainsi les identifiants, leur permettant d'accéder aux emails, données stockées dans le cloud et autres services sans nécessiter de mots de passe. Cette campagne de phishing, qui aurait débuté en août 2024, cible des gouvernements, entreprises et associations en Europe, notamment dans les secteurs de la technologie, de la défense, de l'énergie et de la santé. Microsoft recommande de rester vigilant face aux messages inattendus et d'adopter des mesures de sécurité renforcées pour protéger les systèmes.
Sources :
Piratage d’un collège : les parents s’inquiètent de la perte des bulletins !
Le collège privé La Salle en Nouvelle Aquitaine a récemment été victime d'une cyberattaque par ransomware, entraînant le vol de toutes ses données informatiques, y compris les bulletins scolaires des élèves. Cette attaque, qui exigeait une rançon de 8 000 euros, a plongé l'établissement dans l'incertitude, laissant les parents inquiets pour l'avenir scolaire de leurs enfants. Le responsable informatique a tenté de négocier avec les pirates, mais a refusé de payer, conscient qu'aucune garantie de récupération des données n'existait. La cheffe d'établissement, Fabienne Berthe, a exprimé sa désolation face à la perte de documents essentiels, soulignant l'absence de sauvegardes sécurisées. En revanche, la comptable a eu la présence d'esprit d'imprimer la comptabilité avant l'incident. Pour remédier à cette situation, le collège a décidé d'investir 25 000 euros dans des mesures de cybersécurité, incluant des sauvegardes externalisées et une formation du personnel. Cette attaque s'inscrit dans un contexte plus large, où la France a enregistré de nombreuses cyberattaques, notamment dans le secteur éducatif. Les établissements doivent désormais sensibiliser élèves et parents aux risques liés à la cybersécurité.
Sources :
Les nouvelles fonctionnalités d'Android bloquent les fraudeurs des applications de téléchargement de touche pendant les appels
Google développe une nouvelle fonctionnalité de sécurité pour Android visant à protéger les utilisateurs contre les escroqueries pendant les appels téléphoniques. Cette protection anti-arnaque empêche les propriétaires de dispositifs de modifier des paramètres sensibles, tels que l'activation de l'installation d'applications provenant de sources inconnues ou l'octroi d'accès à l'accessibilité, durant un appel. Lorsqu'un utilisateur tente d'effectuer ces actions, un message d'avertissement s'affiche, indiquant que ces demandes sont souvent liées à des arnaques. Actuellement disponible dans la version Android 16 Beta 2, cette fonctionnalité vise à compliquer les tactiques utilisées par les acteurs malveillants pour diffuser des logiciels malveillants, notamment à travers des attaques appelées "telephone-oriented attack delivery" (TOAD). Ces méthodes impliquent l'envoi de SMS incitant les victimes à passer des appels, créant un faux sentiment d'urgence. L'année dernière, des recherches ont révélé que des cybercriminels utilisaient des combinaisons de messages et d'appels pour tromper les utilisateurs et leur faire installer des applications malveillantes. En réponse à ces menaces, Google a élargi les paramètres restreints pour empêcher les applications sideloadées d'accéder à des données sensibles et a mis en place des blocages automatiques dans plusieurs marchés.
Sources :
Zero Day : Une cyberattaque dévastatrice est-elle réaliste ?
Les infrastructures critiques, bien que vulnérables aux cyberattaques, ne risquent pas un effondrement systémique, selon les experts. Des incidents comme l'attaque du Colonial Pipeline en 2021, qui a perturbé l'approvisionnement en carburant sur la côte Est des États-Unis, illustrent les menaces réelles, mais leur impact reste généralement limité et localisé. Les cyberattaques, bien que préoccupantes, ne parviennent pas à compromettre durablement les systèmes sans déclencher les mécanismes de défense. Des événements marquants, tels que l'attaque contre l'Estonie en 2007, ont souligné l'importance de la cybersécurité dans les relations internationales. En janvier 2025, une cyberattaque contre le département du Trésor américain, attribuée à des hackers soutenus par la Chine, a rappelé la nécessité d'une vigilance constante. Les États et les entreprises investissent massivement pour protéger leurs infrastructures, et la coopération entre secteurs public et privé est cruciale pour renforcer la résilience. Malgré l'évolution des cybermenaces, l'idée d'un chaos numérique mondial demeure un scénario de fiction, soulignant l'importance de la préparation et de la collaboration pour prévenir de telles crises. En somme, bien que les risques existent, un effondrement total semble peu probable.
Sources :
Pourquoi l’adoption de la MFA n’est pas encore universelle : 4 défis à relever
La mise en œuvre de l'authentification multifactorielle (MFA) est essentielle pour sécuriser les accès, mais elle présente des défis notables. Bien qu'efficace pour bloquer les intrusions, la MFA peut être perçue comme une contrainte pour les utilisateurs et les entreprises. Les coûts d'abonnement des solutions tierces, souvent facturés par utilisateur, peuvent s'accumuler, surtout si la MFA entraîne une augmentation des appels au service d'assistance. De plus, l'expérience utilisateur peut souffrir, car la MFA nécessite des étapes supplémentaires qui peuvent ralentir le travail, notamment pour l'accès aux systèmes internes. L'intégration de la MFA avec les infrastructures existantes, comme Active Directory et le cloud, peut également compliquer la gestion des identités et créer des vulnérabilités. L'évolutivité est un autre enjeu, car les systèmes doivent pouvoir s'adapter à une base d'utilisateurs croissante. En outre, la dépendance à des services MFA tiers soulève des questions de disponibilité, notamment en cas de panne ou de connexion limitée. Enfin, bien que la MFA soit une barrière importante contre les accès non autorisés, elle n'est pas infaillible et peut être contournée par des attaquants expérimentés, soulignant la nécessité d'une approche de sécurité globale.
Sources :
Un pirate arrêté au Portugal après avoir lancé un ChatGPT malveillant
Un hacker portugais a été arrêté par la police après avoir créé WormGPT, une version malveillante de ChatGPT exploitant une vulnérabilité dans son architecture de sécurité. Ce jeune informaticien a réussi à contourner les protections d'OpenAI, permettant à WormGPT de générer des scripts malveillants sans restrictions. Utilisée pour des cyberattaques, des fraudes et d'autres activités illégales, cette intelligence artificielle a été commercialisée sur le dark web entre mars et août 2024, générant près de huit millions de requêtes en seulement 24 heures. WormGPT a permis aux cybercriminels de concevoir des malwares et de mener des campagnes de phishing à une vitesse inédite. Face aux abus de son outil, son créateur, Pedro Miguel Vieira, a finalement décidé de le supprimer, mais il était déjà trop tard. Les autorités, alertées par l'ampleur des activités criminelles, ont collaboré avec des services d'enquête européens et américains pour l'arrêter. Présenté devant un juge à Porto, il a été libéré sous conditions strictes, incluant l'interdiction d'accéder à certains sites web et l'obligation de se présenter régulièrement aux autorités. Cette affaire souligne les dangers potentiels des IA non régulées dans le domaine de la cybersécurité.
Sources :
Les pirates exploitent le contournement de l'authentification dans Palo Alto Networks Pan-OS
Des hackers exploitent une vulnérabilité récemment corrigée (CVE-2025-0108) dans les pare-feu PAN-OS de Palo Alto Networks, permettant de contourner l'authentification. Cette faille, notée comme ayant une gravité élevée, affecte l'interface web de gestion de PAN-OS et permet à un attaquant non authentifié sur le réseau d'exécuter certains scripts PHP, compromettant ainsi l'intégrité et la confidentialité des données. Dans un bulletin de sécurité publié le 12 février, Palo Alto Networks recommande aux administrateurs de mettre à jour leurs pare-feu vers des versions spécifiques pour remédier à cette vulnérabilité. PAN-OS 11.0 est également concerné, mais n'aura pas de correctif en raison de sa fin de vie. La vulnérabilité a été découverte par des chercheurs d'Assetnote, qui ont également publié des détails sur son exploitation. Les attaques ont commencé le 13 février, avec des tentatives d'exploitation enregistrées par la plateforme GreyNoise, indiquant des acteurs malveillants distincts. Actuellement, plus de 4 400 dispositifs PAN-OS exposent leur interface de gestion en ligne, rendant urgent l'application des correctifs et la restriction d'accès à ces interfaces pour prévenir les attaques.
Sources :
Nouvelle attaque «whoami» exploite Aws Ami Nom Confusion pour l'exécution du code distant
Des chercheurs en cybersécurité ont révélé une nouvelle attaque de confusion de nom, appelée whoAMI, qui permet à quiconque publiant une image de machine Amazon (AMI) avec un nom spécifique d'exécuter du code au sein d'un compte Amazon Web Services (AWS). Selon Seth Art de Datadog Security Labs, cette attaque pourrait potentiellement donner accès à des milliers de comptes. Elle s'inscrit dans le cadre des attaques de chaîne d'approvisionnement, exploitant la possibilité de publier une ressource malveillante et de tromper un logiciel mal configuré. L'attaque repose sur trois conditions : l'utilisation d'un filtre de nom, l'absence de spécification des paramètres de propriétaire lors de l'utilisation de l'API ec2:DescribeImages, et la récupération de l'image la plus récemment créée. Cela permet à un attaquant de créer une AMI malveillante qui correspond aux critères de recherche, entraînant la création d'une instance EC2 utilisant cette AMI. Bien qu'Amazon ait corrigé le problème rapidement après une divulgation responsable, la société a déclaré n'avoir trouvé aucune preuve d'abus de cette technique. Datadog a noté que 1 % des organisations surveillées étaient affectées, et des avertissements ont été émis pour prévenir l'utilisation de critères vulnérables dans Terraform.
Sources :
Le groupe Lazarus déploie l'implant Javascript Marstech1 dans des attaques de développeurs ciblées
Le groupe de menace nord-coréen connu sous le nom de Lazarus Group est lié à un implant JavaScript non documenté, nommé Marstech1, utilisé dans des attaques ciblées contre des développeurs. Cette opération, baptisée Marstech Mayhem par SecurityScorecard, a été menée via un dépôt open-source sur GitHub, associé à un profil "SuccessFriend", désormais inaccessible. L'implant, apparu fin décembre 2024, collecte des informations système et peut être intégré dans des sites web et des packages NPM, représentant un risque pour la chaîne d'approvisionnement. À ce jour, 233 victimes ont été confirmées aux États-Unis, en Europe et en Asie. Le profil mentionnait des compétences en développement web et un intérêt pour la blockchain, en phase avec les objectifs de Lazarus. L'implant modifie les paramètres des extensions de navigateurs Chromium, ciblant notamment le portefeuille MetaMask, et peut télécharger des charges supplémentaires depuis un serveur de commande et de contrôle. Des techniques d'obfuscation avancées sont utilisées pour échapper à l'analyse. Parallèlement, Recorded Future a révélé que plusieurs organisations du secteur des cryptomonnaies ont été ciblées dans le cadre de la campagne Contagious Interview, mettant en lumière les risques liés à l'embauche de travailleurs informatiques nord-coréens.
Sources :
Le bug de Firewall du pare-feu Sonicwall s'est exploité dans les attaques après la libération de POC Exploit
Une vulnérabilité critique (CVE-2024-53704) affectant les pare-feu SonicWall est exploitée par des attaquants suite à la publication d'un code d'exploitation de preuve de concept (PoC). Cette faille, identifiée par la CISA, concerne le mécanisme d'authentification SSLVPN dans les versions SonicOS 7.1.x et 8.0.0, utilisées par plusieurs modèles de pare-feu Gen 6 et Gen 7. L'exploitation réussie permet aux attaquants de détourner des sessions SSL VPN actives sans authentification, leur donnant un accès non autorisé aux réseaux ciblés. SonicWall a conseillé à ses clients de mettre à jour immédiatement le firmware de leurs pare-feu pour éviter toute exploitation. Des mesures d'atténuation ont également été proposées pour ceux qui ne pouvaient pas appliquer les mises à jour. La société Arctic Wolf a signalé avoir détecté des tentatives d'exploitation peu après la publication du PoC, soulignant la facilité d'exploitation de cette vulnérabilité. Environ 4 500 serveurs SSL VPN SonicWall non corrigés étaient exposés en ligne. SonicWall a averti que le risque d'exploitation avait considérablement augmenté et a recommandé de désactiver SSLVPN si la mise à jour n'était pas possible.
Sources :
Le jeu Piratefi malveillant infecte les utilisateurs de vapeur avec des logiciels malveillants Vidar
Un jeu gratuit nommé PirateFi sur Steam a distribué le malware Vidar à des utilisateurs non avertis. Disponible du 6 au 12 février 2025, il a été téléchargé par environ 1 500 personnes. Bien que le jeu ait reçu des critiques positives, Steam a découvert qu'il contenait des fichiers malveillants, incitant les utilisateurs à réinstaller Windows par précaution. PirateFi, développé par Seaworth Interactive, est un jeu de survie en monde low-poly impliquant la construction de bases et la collecte de ressources. Les utilisateurs touchés ont été avertis de vérifier leur système avec un antivirus à jour et de changer leurs mots de passe, car le malware compromet les informations sensibles telles que les identifiants de connexion et les portefeuilles de cryptomonnaie. Marius Genheimer de SECUINFRA a identifié le malware comme une version de Vidar, dissimulée dans un fichier nommé Pirate.exe. Bien que des mesures de sécurité aient été mises en place par Steam, comme la vérification par SMS, l'incident de PirateFi souligne que ces protections peuvent être insuffisantes. Ce cas rappelle d'autres incidents passés sur Steam où des malwares ont infiltré la plateforme, mettant en lumière les risques persistants pour les utilisateurs.
Sources :
Apple dans le viseur de la LDH. Une plainte déposée pour collecte massive de données par Siri
La Ligue des droits de l’homme (LDH) a déposé une plainte le 13 février 2023 contre des individus non identifiés, visant implicitement Apple, en raison de pratiques liées à son assistant vocal Siri. Cette action, inspirée par les révélations d’un lanceur d’alerte, soulève des accusations de violation de la vie privée, de traitement inapproprié de données personnelles et de pratiques commerciales déloyales, notamment concernant la collecte massive d’enregistrements vocaux. Benoit Grunemwald, expert en cybersécurité chez ESET France, souligne que la collecte d’informations personnelles doit se faire avec un consentement explicite et appelle à une transparence totale des entreprises sur l’utilisation de ces données. Bien qu’Apple ait une réputation de protection de la vie privée et affirme que les données de Siri ne sont ni vendues ni utilisées à des fins marketing, le contexte juridique en France est délicat. De plus, le règlement d’une affaire similaire aux États-Unis ne devrait pas influencer le jugement français, car les recours collectifs là-bas incitent souvent à des règlements amiables. Grunemwald insiste sur la nécessité d’une transparence accrue concernant la collecte et le suivi des données, un enjeu crucial à l’ère de l’intelligence artificielle.
