Risques et attaques liés à l'IA : de l'utilisation abusive à l'abus - Actus du 16/10/2024
Découvrez comment des publicités malveillantes exploitent une faille d'Internet Explorer, l'essor des clés d'accès Amazon pour 175 millions d'utilisateurs, et les risques croissants de l'IA. Protégez-vous face à ces menaces numériques.
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des publicités malveillantes ont exploité la faille zero-day d'Internet Explorer pour diffuser des logiciels malveillants
Le groupe de hackers nord-coréen ScarCruft a lancé une attaque à grande échelle en mai 2024, exploitant une vulnérabilité zero-day d'Internet Explorer pour infecter des cibles avec le malware RokRAT et exfiltrer des données. Connue sous le nom de "Code on Toast", cette campagne a utilisé des publicités pop-up appelées "Toast ads" pour réaliser des infections sans interaction utilisateur. La faille, identifiée comme CVE-2024-38178, est une vulnérabilité de type confusion dans le fichier JScript9.dll d'Internet Explorer. ScarCruft a compromis un serveur d'une agence publicitaire pour diffuser ces annonces malveillantes sur un logiciel gratuit largement utilisé en Corée du Sud. Le malware, une variante de RokRAT, exfiltre des fichiers spécifiques toutes les 30 minutes, effectue du keylogging et capture des captures d'écran. Malgré la retraite d'Internet Explorer annoncée par Microsoft en 2022, de nombreux composants restent présents dans Windows, permettant aux attaquants de découvrir de nouvelles vulnérabilités. Bien que Microsoft ait corrigé cette faille en août 2024, son adoption par les logiciels utilisant des composants obsolètes reste incertaine, exposant ainsi les utilisateurs à des attaques potentielles.
Sources :
Amazon affirme que 175 millions de clients utilisent désormais des clés d'accès pour se connecter
Amazon a annoncé que plus de 175 millions de clients utilisent désormais des passkeys pour se connecter à leurs comptes, une fonctionnalité de sécurité introduite discrètement il y a un an. Les passkeys, qui permettent une connexion six fois plus rapide que les mots de passe traditionnels, sont des identifiants numériques associés à des contrôles biométriques ou à des codes PIN, stockés sur des appareils comme des téléphones ou des clés USB de sécurité. Ce système utilise des clés cryptographiques (publiques et privées) pour authentifier les utilisateurs. Lors de la création d'une passkey, la clé privée est conservée sur une puce sécurisée de l'appareil, tandis que la clé publique est envoyée au service en ligne. Lors de la connexion, un défi cryptographique est envoyé à l'appareil de l'utilisateur, qui doit s'authentifier via un PIN ou une méthode biométrique. Les passkeys sont considérées comme plus sûres que les mots de passe, car elles ne peuvent pas être volées lors de violations de données ou d'attaques de phishing. En raison de leur succès, Amazon a étendu cette fonctionnalité à d'autres services comme AWS et Audible. Cependant, les passkeys ne sont pas portables entre appareils, bien qu'une nouvelle spécification de la FIDO Alliance vise à remédier à cela.
Sources :
De l'utilisation abusive à l'abus : risques et attaques liés à l'IA
L'article souligne l'importance croissante de l'intelligence artificielle (IA) dans le domaine de la cybersécurité, en mettant en avant que ceux qui maîtrisent l'IA remplaceront ceux qui ne le font pas. Des outils d'IA, souvent dérivés de modèles de langage public, sont utilisés pour des tâches simples comme la rédaction d'e-mails de phishing. OpenAI a récemment lancé des GPTs, des versions personnalisables de ChatGPT, permettant aux utilisateurs de créer des applications spécialisées, mais cela pose des risques de fuite d'informations sensibles. Les cybercriminels peuvent exploiter ces outils via l'ingénierie des prompts pour accéder à des données protégées. L'article mentionne également plusieurs cadres de gestion des risques liés à l'IA, comme ceux de NIST et OWASP, et identifie six composants des modèles de langage (LLM) susceptibles d'être attaqués, tels que les prompts et les données d'entraînement. Des exemples concrets illustrent ces vulnérabilités, comme un cas où un chatbot a été manipulé pour conclure une vente frauduleuse, et un autre où des deepfakes ont été utilisés pour escroquer une banque. La compréhension des tactiques des cybercriminels est essentielle pour se protéger contre ces menaces.
Sources :
ScarCruft, un Nord-Coréen, exploite une faille zero-day de Windows pour diffuser le malware RokRAT
L'acteur de menace nord-coréen connu sous le nom de ScarCruft a été lié à l'exploitation d'une vulnérabilité zero-day dans Windows, désormais corrigée, pour infecter des appareils avec le malware RokRAT. La vulnérabilité, identifiée comme CVE-2024-38178 (score CVSS : 7,5), est un bug de corruption de mémoire dans le moteur de script, permettant une exécution de code à distance via le navigateur Edge en mode Internet Explorer. Microsoft a corrigé cette faille lors des mises à jour de Patch Tuesday d'août 2024. L'exploitation réussie nécessite que l'utilisateur clique sur une URL spécialement conçue. Les centres de cybersécurité sud-coréens ASEC et NCSC ont nommé cette activité "Operation Code on Toast", en référence à des publicités pop-up souvent intégrées à des logiciels gratuits. Les attaquants ont compromis un serveur d'une agence publicitaire pour injecter du code malveillant dans le contenu des annonces. RokRAT permet des activités malveillantes variées, y compris l'accès à distance et la collecte de données d'applications populaires. ScarCruft a déjà exploité d'autres vulnérabilités dans le passé, soulignant l'évolution des capacités des organisations de piratage nord-coréennes. Les utilisateurs sont donc conseillés de mettre à jour leurs systèmes et logiciels de sécurité.
Sources :
5 techniques pour collecter des renseignements sur les cybermenaces
L'article présente des méthodes pour améliorer la détection et l'analyse des menaces informatiques à l'aide d'outils comme TI Lookup. En utilisant la méthode de pivotement, les analystes peuvent relier des indicateurs de menaces à des infrastructures et outils utilisés par des acteurs malveillants. Cela permet d'identifier des domaines associés, des ports utilisés par des malwares, et d'extraire des informations essentielles sur les menaces. Les alertes peuvent provenir de systèmes SIEM, de flux de renseignement sur les menaces ou de recherches. L'analyse des domaines aide à repérer des modèles et à découvrir des infrastructures plus larges des attaquants, notamment en examinant des sessions de sandbox où des IP ont été détectées. De plus, l'utilisation de règles YARA permet d'automatiser la détection de malwares connus et d'identifier rapidement de nouvelles variantes. ANY.RUN se distingue par sa base de données de renseignement sur les menaces, qui inclut des données en temps réel sur les artefacts de ligne de commande et les processus. L'article invite également à un webinaire sur l'amélioration des enquêtes sur les menaces, prévu pour le 23 octobre.
Sources :
Le malware bancaire Astaroth refait surface au Brésil via une attaque de spear-phishing
Une nouvelle campagne de spear-phishing ciblant le Brésil a été identifiée, diffusant un malware bancaire nommé Astaroth (ou Guildma) grâce à un JavaScript obfusqué, contournant ainsi les mesures de sécurité. Selon Trend Micro, cette campagne a touché divers secteurs, notamment l'industrie manufacturière, le commerce de détail et les agences gouvernementales. Les emails malveillants se présentent souvent comme des documents fiscaux officiels, exploitant l'urgence des déclarations de revenus pour inciter les utilisateurs à télécharger le malware. La société de cybersécurité suit cette menace sous le nom de Water Makara, tandis que le groupe d'analyse des menaces de Google (TAG) a désigné une campagne similaire sous le nom de PINEAPPLE, toutes deux utilisant des messages de phishing se faisant passer pour des entités officielles comme la Receita Federal. Les fichiers ZIP malveillants contiennent un raccourci Windows (LNK) qui abuse de mshta.exe pour exécuter des commandes JavaScript obfusquées et établir des connexions à un serveur de commande et de contrôle (C2). Bien qu'Astaroth semble être un ancien cheval de Troie bancaire, sa réémergence et son évolution en font une menace persistante. Pour atténuer les risques, il est conseillé d'appliquer des politiques de mots de passe robustes, d'utiliser l'authentification multi-facteurs (MFA) et de maintenir les solutions de sécurité à jour.
Sources :
Ce n’est pas par hasard qu’on demande le nom de votre chat si vous oubliez votre mot de passe
L'article aborde les défis de la cybersécurité face aux menaces modernes, notamment le chiffrement et le phishing. La confiance dans les mathématiques qui sous-tendent le chiffrement est mise à mal par l'émergence potentielle des ordinateurs quantiques, capables de déchiffrer les systèmes actuels. Le phishing exploite également cette confiance, incitant les utilisateurs à cliquer sur des liens malveillants. Pour se protéger, certaines organisations, comme celles militaires ou nucléaires, isolent physiquement leurs réseaux, mais cette méthode n'est pas infaillible, comme l'illustre l'attaque Stuxnet. La société Mailinblack propose U-Cyber 360°, un logiciel qui sécurise les communications et éduque les employés sur la cybersécurité. Ce logiciel utilise un VPN pour établir une connexion sécurisée, mais cela peut contourner les pare-feux, rendant les machines vulnérables. À l'intérieur d'un sous-réseau, la confiance est implicite, ce qui pose des risques. Une entité doit évaluer continuellement cette confiance en vérifiant l'identité des utilisateurs. L'article souligne également la difficulté de gérer les alertes de sécurité, souvent nombreuses et chronophages, rendant le travail en cybersécurité particulièrement exigeant.
Sources :
GitHub corrige une faille critique dans Enterprise Server qui permet un accès non autorisé aux instances
GitHub a publié des mises à jour de sécurité pour son serveur Enterprise (GHES) afin de corriger plusieurs problèmes, dont un bug critique permettant un accès non autorisé à une instance. Cette vulnérabilité, identifiée comme CVE-2024-9487, a un score CVSS de 9,5 sur 10. Selon GitHub, un attaquant pourrait contourner l'authentification SAML SSO grâce à une faille dans la vérification des signatures cryptographiques, permettant ainsi un provisionnement non autorisé d'utilisateurs. Ce défaut a été qualifié de régression suite à la correction de la vulnérabilité CVE-2024-4985, qui avait un score CVSS de 10,0 et a été corrigée en mai 2024. GitHub a également corrigé deux autres failles : CVE-2024-9539, une vulnérabilité de divulgation d'informations (score CVSS de 5,7), et une exposition de données sensibles dans des formulaires HTML (sans CVE). Ces vulnérabilités ont été résolues dans les versions 3.14.2, 3.13.5, 3.12.10 et 3.11.16 de GHES. En août, GitHub avait déjà corrigé une autre faille critique (CVE-2024-6800, score CVSS de 9,5). Les organisations utilisant une version vulnérable de GHES sont fortement conseillées de mettre à jour pour se protéger contre d'éventuelles menaces.
Sources :
La CISA met en garde contre une exploitation active de la vulnérabilité du logiciel d'assistance SolarWinds
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a récemment ajouté une vulnérabilité critique affectant le logiciel SolarWinds Web Help Desk (WHD) à son catalogue des vulnérabilités exploitées, en raison de preuves d'exploitation active. Identifiée comme CVE-2024-28987 avec un score CVSS de 9.1, cette faille concerne des identifiants codés en dur qui peuvent être utilisés pour accéder de manière non autorisée et modifier des données. Selon CISA, cette vulnérabilité permet à un utilisateur distant et non authentifié d'accéder à des fonctionnalités internes et de modifier des informations. Les détails de cette faille ont été révélés par SolarWinds fin août 2024, suivis par des précisions techniques de la société Horizon3.ai un mois plus tard. Les attaquants peuvent ainsi lire et modifier à distance tous les détails des tickets d'assistance, souvent contenant des informations sensibles. Bien que les modalités d'exploitation dans des attaques réelles restent floues, cette annonce intervient deux mois après l'ajout d'une autre vulnérabilité dans le même logiciel. Les agences fédérales doivent appliquer les correctifs nécessaires d'ici le 5 novembre 2024 pour sécuriser leurs réseaux.
Sources :
Amazon affirme que 175 millions de clients utilisent désormais des clés d'accès pour se connecter
Amazon a annoncé que plus de 175 millions de clients utilisent désormais des passkeys pour se connecter à leurs comptes, une fonctionnalité de sécurité introduite discrètement il y a un an. Selon l'entreprise, cette méthode permet une connexion six fois plus rapide que les mots de passe traditionnels. Les passkeys sont des identifiants numériques associés à des contrôles biométriques ou à des codes PIN, stockés sur des appareils tels que des téléphones ou des clés USB de sécurité. Lors de la création d'une passkey, une clé privée est générée et conservée sur une puce sécurisée de l'appareil, tandis que la clé publique est envoyée au service en ligne. Lors de la connexion, un défi cryptographique est envoyé à l'appareil de l'utilisateur, qui doit s'authentifier via un code PIN ou une méthode biométrique. Cette approche est jugée plus sécurisée, car les clés privées ne peuvent pas être volées lors de violations de données. Bien que les passkeys soient liées à un appareil, rendant leur transfert difficile, la FIDO Alliance a récemment annoncé une nouvelle spécification pour les rendre portables entre différentes plateformes. Amazon a également étendu cette fonctionnalité à d'autres services comme AWS et Audible.
Sources :
La Finlande saisit les serveurs du marché de la drogue du dark web « Siipultie »
Le 15 octobre 2024, les douanes finlandaises ont annoncé la saisie des serveurs du marché noir « Sipultie », un site de vente de drogues sur le darknet, qui a généré un chiffre d'affaires de 1,3 million d'euros. Cette opération a été réalisée grâce à une collaboration internationale impliquant Europol, la police suédoise, les autorités polonaises et des chercheurs de Bitdefender. Sipultie, lancé en février 2023 après la fermeture de son prédécesseur « Sipulimarket », a été mis hors ligne avec une autre plateforme de vente de drogues, « Tsätti ». Les autorités ont identifié l'opérateur principal, les modérateurs et les utilisateurs, ce qui pourrait mener à des arrestations imminentes. Après la fermeture de Hydra en 2022, les communautés criminelles se sont tournées vers des plateformes plus petites et des applications mobiles. Cependant, les enquêtes se poursuivent, comme en témoignent les récentes saisies de marchés tels que Nemesis et Incognito. La lutte contre le trafic de drogues sur le darknet reste une priorité pour les forces de l'ordre, qui continuent de démanteler ces réseaux malgré leur évolution.
Sources :
L'outil Red Team EDRSilencer utilisé dans les attaques pour contourner la sécurité
Le 15 octobre 2024, des chercheurs de Trend Micro ont signalé l'utilisation d'un outil de red team nommé EDRSilencer dans des attaques visant à contourner les systèmes de sécurité. Cet outil open-source, inspiré de MdSec NightHawk FireBlock, permet aux attaquants de détecter et de désactiver les alertes des outils de détection et de réponse des points de terminaison (EDR). Les EDR surveillent les appareils pour détecter et répondre aux menaces cybernétiques, mais EDRSilencer utilise la plateforme de filtrage Windows (WFP) pour bloquer ou modifier le trafic réseau, perturbant ainsi la communication entre les EDR et leurs serveurs de gestion. Dans sa dernière version, EDRSilencer peut détecter et bloquer 16 outils EDR modernes, tels que Microsoft Defender et SentinelOne. Bien que certains outils puissent encore envoyer des rapports, EDRSilencer permet aux attaquants d'ajouter des filtres pour cibler d'autres processus, rendant ainsi les activités malveillantes indétectables. Trend Micro recommande de détecter EDRSilencer comme un malware et de mettre en place des contrôles de sécurité multicouches pour protéger les systèmes critiques. Les chercheurs soulignent l'importance de l'analyse comportementale et de la détection des anomalies pour contrer ces menaces.
Sources :
Le cheval de Troie bancaire TrickMo peut désormais capturer les codes PIN et les schémas de déverrouillage Android
De nouvelles variantes du cheval de Troie bancaire Android, TrickMo, ont été découvertes avec des fonctionnalités inédites permettant de voler le schéma de déverrouillage ou le code PIN d'un appareil. Selon Aazim Yaswant, chercheur en sécurité chez Zimperium, cette capacité permet aux attaquants d'opérer sur l'appareil même lorsqu'il est verrouillé. Apparue pour la première fois en 2019, TrickMo est associée au groupe cybercriminel TrickBot et peut contrôler à distance des appareils infectés, voler des mots de passe à usage unique (OTP) et afficher des écrans superposés pour capturer des identifiants. Des versions récentes du malware, révélées par Cleafy, ont amélioré leurs mécanismes d'évasion et obtenu des autorisations supplémentaires pour effectuer des actions malveillantes. Ces variantes peuvent présenter une interface utilisateur trompeuse imitant l'écran de déverrouillage de l'appareil, incitant les victimes à entrer leurs informations, qui sont ensuite envoyées à un serveur contrôlé par les attaquants. Les données volées incluent des informations bancaires et d'accès à des ressources d'entreprise. TrickMo cible une large gamme d'applications, soulignant l'importance de protéger les appareils mobiles contre les cyberattaques. Parallèlement, une campagne de malware bancaire, ErrorFather, a émergé, exploitant des codes sources de malware précédemment découverts.
Sources :
Accusé de propos racistes ? Un internaute invoque l’IA comme défense
Un internaute sur Reddit, sous le pseudonyme « FaithlessnessGold226 », a partagé son expérience après avoir été accusé de racisme au travail suite à un enregistrement audio. Ce dernier, réalisé lors d'une partie de jeux vidéo, a été transmis aux ressources humaines par un ancien ami. Lors d'une réunion avec les RH, FaithlessnessGold226 a nié avoir prononcé les insultes, suggérant que l'enregistrement était probablement généré par une intelligence artificielle. Bien que les RH aient trouvé cette explication étrange, ils ont clôturé la réunion sans sanction, l'employé devant néanmoins suivre une formation de sensibilisation. L'article souligne les défis auxquels sont confrontés les employeurs pour vérifier l'authenticité des enregistrements audio, car il n'existe pas de méthode simple pour distinguer une voix humaine d'une voix synthétisée. Des logiciels accessibles permettent de reproduire des voix à partir d'extraits audio, rendant la détection difficile. Les caractéristiques d'une voix générée par IA incluent un ton monotone, une élocution hachée et des anomalies dans le fond sonore. Cette situation met en lumière les implications éthiques et pratiques de l'utilisation croissante de l'IA dans le milieu professionnel.
Sources :
Bitdefender lance Scam Copilot, une puissante plateforme de défense contre les arnaques pour ses solutions de protection de la vie numérique
Bitdefender a lancé Scam Copilot, une nouvelle plateforme technologique alimentée par l'intelligence artificielle (IA) pour protéger les consommateurs contre les escroqueries et fraudes en ligne, qui connaissent une forte augmentation. Selon le rapport de Bitdefender sur la cybersécurité des consommateurs 2024, les escroqueries par messagerie texte sont les plus courantes, touchant près de la moitié des sondés. Scam Copilot, intégré aux solutions de protection de la vie numérique de Bitdefender, surveille et alerte les utilisateurs sur les tentatives de fraude lors de diverses activités en ligne, comme la navigation sur le Web et l'utilisation d'applications de messagerie. La plateforme utilise des technologies avancées pour détecter les escroqueries, s'adaptant continuellement aux nouvelles tactiques des cybercriminels. Ses fonctionnalités incluent une protection complète contre les escroqueries, un chatbot IA pour des conseils en temps réel, des alertes sur les escroqueries régionales et une sensibilisation accrue aux menaces. Scam Copilot vise à renforcer la sécurité des groupes à risque, tels que les seniors et les jeunes, tout en éduquant les utilisateurs sur les meilleures pratiques pour naviguer en toute sécurité dans le monde numérique. La technologie est disponible sur plusieurs systèmes d'exploitation, y compris Windows, macOS, iOS et Android.
Sources :
Une nouvelle campagne de malware utilise le chargeur PureCrypter pour diffuser le RAT DarkVision
Des chercheurs en cybersécurité ont révélé une nouvelle campagne de malware utilisant un chargeur nommé PureCrypter pour déployer un cheval de Troie d'accès à distance (RAT) appelé DarkVision RAT. Observée par Zscaler ThreatLabz en juillet 2024, cette activité implique un processus en plusieurs étapes pour livrer le payload RAT. DarkVision RAT communique avec son serveur de commande et de contrôle (C2) via un protocole réseau personnalisé et offre une large gamme de commandes, permettant des fonctionnalités telles que le keylogging, l'accès à distance, le vol de mots de passe, l'enregistrement audio et la capture d'écran. PureCrypter, disponible à la vente par abonnement depuis 2022, permet aux cybercriminels de distribuer divers malwares. Bien que le vecteur d'accès initial pour PureCrypter ne soit pas clairement défini, il utilise un exécutable .NET pour déchiffrer et lancer le chargeur Donut, qui à son tour active PureCrypter et DarkVision. Ce RAT, développé en C++ et en assembleur, est proposé à partir de 60 $ et est prisé pour ses capacités variées. Parallèlement, un nouveau chargeur de malware, Pronsis Loader, a été identifié, utilisé dans des campagnes de vol de données, et partage des similitudes avec D3F@ck Loader.
Sources :
La nouvelle proposition FIDO vous permet de déplacer en toute sécurité les clés d'accès entre les plateformes
L'Alliance FIDO a publié un projet de spécification visant à permettre le transfert sécurisé de passkeys entre différents fournisseurs. Les passkeys, qui utilisent la cryptographie à clé publique, offrent une méthode d'authentification sans mot de passe, rendant les connexions 75 % plus rapides et 20 % plus réussies par rapport aux méthodes traditionnelles. Cependant, un des principaux défis réside dans l'absence de moyens sécurisés pour transférer ces passkeys entre plateformes, entraînant un phénomène de "verrouillage" des utilisateurs à un fournisseur ou un appareil. Pour remédier à cette fragmentation et aux risques de sécurité associés, FIDO propose deux documents : le Protocole d'Échange de Credentials (CXP) et le Format d'Échange de Credentials (CXF). Le CXP décrit une méthode de transfert sécurisé utilisant l'échange de clés Diffie-Hellman et le chiffrement hybride à clé publique, tandis que le CXF établit une structure normalisée pour garantir l'interopérabilité et l'intégrité des données. Ces spécifications, élaborées avec des contributions de membres associés comme Dashlane et Google, visent à encourager l'adoption des passkeys, actuellement utilisées pour protéger plus de 12 milliards de comptes en ligne. Les projets sont encore en phase de rédaction et ouverts aux retours.
