Tesla : Chargeurs de voitures piratés à Pwn2Own Tokyo - Actus du 23/01/2025
Découvrez comment le malware « Magic Packet » attaque les VPN Juniper, les chargeurs Tesla piratés à Pwn2Own Tokyo, et les failles critiques des pare-feu Palo Alto. Protégez-vous face à ces menaces cybernétiques émergentes. #SécuritéInformatique #CyberSécurité #Pwn2Own
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le malware furtif « Magic Packet » cible les passerelles VPN de Juniper
Une campagne malveillante a ciblé spécifiquement les dispositifs Juniper, notamment les passerelles VPN, avec un malware nommé J-magic. Ce malware, une variante personnalisée du backdoor cd00r, ne s'active que lorsqu'il détecte un "magic packet" dans le trafic réseau. Les attaques J-magic visent des organisations dans les secteurs des semi-conducteurs, de l'énergie, de la fabrication et des technologies de l'information. Selon les chercheurs de Black Lotus Labs, cette campagne, active entre mi-2023 et mi-2024, a été conçue pour un accès à long terme et une faible détection. J-magic surveille le trafic TCP à la recherche de paquets spécifiques, en utilisant un filtre eBPF. Pour établir une connexion, l'attaquant doit résoudre un défi cryptographique basé sur une chaîne alphanumérique aléatoire, ce qui complique l'accès non autorisé. Bien que J-magic partage des similitudes techniques avec le malware SeaSpy, des différences notables rendent difficile l'établissement d'un lien entre les deux campagnes. Les chercheurs soulignent que l'utilisation croissante de ce type de malware sur des routeurs d'entreprise permet aux attaquants de rester indétectés plus longtemps, car ces dispositifs sont rarement redémarrés et manquent souvent d'outils de surveillance.
Sources :
Le chargeur de véhicule électrique Tesla a été piraté deux fois lors du deuxième jour de Pwn2Own à Tokyo
Lors du concours de hacking Pwn2Own Automotive 2025 à Tokyo, des chercheurs en sécurité ont réussi à pirater deux fois le chargeur électrique Wall Connector de Tesla, le deuxième jour de l'événement. En tout, 23 vulnérabilités zero-day ont été exploitées dans divers chargeurs EV, ainsi que dans des systèmes d'infodivertissement embarqués. La première équipe, PHP Hooligans, a utilisé une faille de comparaison de plage numérique pour prendre le contrôle du chargeur Tesla, suivie par Synacktiv, qui a utilisé une méthode innovante via le connecteur de charge. Deux collisions de bugs ont également été signalées lors des tentatives de piratage, impliquant d'autres équipes. Le concours a distribué 335 500 dollars en récompenses pour les vulnérabilités découvertes. Au total, le premier jour, 16 vulnérabilités avaient déjà été exploitées, rapportant 382 750 dollars. Les règles stipulent que tous les appareils doivent être à jour en matière de sécurité. Le concours, qui se déroule du 22 au 24 janvier, met l'accent sur les technologies automobiles, y compris les systèmes d'exploitation des voitures et les systèmes IVI. L'année précédente, lors de la première édition, les chercheurs avaient gagné 1 323 750 dollars en exploitant 49 bugs.
Sources :
Les pare-feu de Palo Alto sont vulnérables aux failles de sécurité Secure Boot Bypass et aux exploits de micrologiciel
Une évaluation approfondie de trois modèles de pare-feu de Palo Alto Networks a révélé de nombreuses vulnérabilités de sécurité connues affectant le firmware des appareils et des fonctionnalités de sécurité mal configurées. Selon le rapport d'Eclypsium, ces failles ne sont pas des problèmes obscurs, mais des vulnérabilités bien connues qui pourraient permettre aux attaquants de contourner des protections de base comme le Secure Boot et de modifier le firmware. Les modèles analysés incluent le PA-3260, le PA-1410 et le PA-415. Les vulnérabilités identifiées, regroupées sous le nom de PANdora's Box, incluent des problèmes tels que le CVE-2020-10713, qui permet un contournement du Secure Boot, et plusieurs autres affectant le firmware UEFI et le protocole TCP/IP. Eclypsium souligne que ces découvertes montrent que même les dispositifs conçus pour protéger peuvent devenir des vecteurs d'attaque s'ils ne sont pas correctement sécurisés. Les organisations doivent adopter une approche plus globale de la sécurité de la chaîne d'approvisionnement, incluant des évaluations rigoureuses des fournisseurs, des mises à jour régulières du firmware et une surveillance continue de l'intégrité des dispositifs pour mieux protéger leurs réseaux et données.
Sources :
Attention : une fausse campagne CAPTCHA propage Lumma Stealer dans des attaques multisectorielles
Des chercheurs en cybersécurité alertent sur une nouvelle campagne de malware utilisant de fausses vérifications CAPTCHA pour diffuser le voleur d'informations Lumma. Cette campagne mondiale cible des victimes dans des pays comme l'Argentine, la Colombie, les États-Unis et les Philippines, touchant divers secteurs, notamment la santé, la banque et le marketing, avec une prédominance dans les télécommunications. L'attaque débute lorsqu'un utilisateur visite un site compromis, le redirigeant vers une page CAPTCHA fictive qui lui demande de copier une commande dans l'invite de commande Windows. Cette commande utilise le binaire mshta.exe pour télécharger et exécuter un fichier HTA à partir d'un serveur distant. Ce fichier exécute ensuite un script PowerShell qui décode et charge le payload Lumma, tout en contournant les protections d'Antimalware de Windows. Lumma, fonctionnant sur un modèle de malware-as-a-service, a été particulièrement actif ces derniers mois, rendant sa détection plus complexe. En outre, des domaines contrefaits imitant des services comme Reddit et WeTransfer ont été utilisés pour distribuer le malware. Les attaques de phishing évoluent également, exploitant des services comme Gravatar pour créer de faux profils et tromper les utilisateurs.
Sources :
Des experts découvrent une base de code partagée reliant les charges utiles des ransomwares Morpheus et HellCat
Une analyse des opérations de ransomware HellCat et Morpheus a révélé que les affiliés de ces entités criminelles utilisent un code identique pour leurs charges utiles. Selon SentinelOne, qui a examiné des artefacts téléchargés sur la plateforme VirusTotal fin décembre 2024, les échantillons de charges utiles sont identiques, à l'exception des données spécifiques aux victimes et des coordonnées des attaquants. HellCat et Morpheus, apparus respectivement en octobre et décembre 2024, partagent des caractéristiques techniques, notamment l'exclusion de certains fichiers du processus de cryptage et l'utilisation de l'API cryptographique de Windows pour la génération de clés. Un aspect notable est que ces ransomwares ne modifient pas les extensions des fichiers ciblés, bien que leur contenu soit chiffré. Les notes de rançon de HellCat et Morpheus suivent le même modèle que celui d'Underground Team, un autre groupe de ransomware. SentinelOne souligne que ces opérations semblent recruter des affiliés communs, suggérant un partage de code ou d'outils. En décembre 2024, un nombre record de 574 attaques de ransomware a été enregistré, signalant une augmentation inquiétante des acteurs agressifs dans un paysage de menaces de plus en plus fragmenté.
Sources :
Comment éliminer les menaces basées sur l’identité
Malgré des investissements considérables dans les technologies avancées et la formation des employés, les attaques basées sur les identifiants demeurent très répandues, représentant 50 à 80 % des violations de données en entreprise. Les méthodes actuelles se concentrent sur la détection et la réponse après une violation, sans prévenir les attaques. Cependant, de nouvelles technologies d'authentification offrent une solution prometteuse pour éliminer complètement les menaces liées à l'identité. Ces avancées vont au-delà de la simple réduction des risques, permettant aux organisations de neutraliser ce vecteur de menace critique. Les attaquants exploitent des identifiants valides pour naviguer librement dans les systèmes, en raison des failles des mécanismes d'authentification traditionnels, qui reposent sur des secrets partagés comme les mots de passe. Pour éradiquer ces menaces, une architecture d'authentification robuste est nécessaire, intégrant des contrôles cryptographiques forts et une validation continue. Les architectures modernes doivent également résister aux attaques de phishing en éliminant les mécanismes de vérification vulnérables. En surveillant en permanence l'environnement de l'utilisateur et en intégrant des signaux de sécurité existants, des solutions comme Beyond Identity transforment les informations sur les risques en décisions d'accès concrètes, garantissant ainsi une sécurité adaptative et conforme.
Sources :
SonicWall demande un correctif immédiat pour la faille critique CVE-2025-23006 en raison d'une exploitation probable
SonicWall a averti ses clients d'une vulnérabilité critique affectant ses appareils Secure Mobile Access (SMA) de la série 1000, potentiellement exploitée dans la nature en tant que zero-day. Cette faille, identifiée sous le code CVE-2025-23006, est notée 9,8 sur 10 selon le système de notation CVSS. Elle concerne une vulnérabilité de désérialisation de données non fiables avant authentification dans les consoles de gestion des appareils SMA1000, permettant à un attaquant distant non authentifié d'exécuter des commandes OS arbitraires dans certaines conditions. Il est important de noter que cette vulnérabilité n'affecte pas les produits Firewall et SMA 100. SonicWall a publié un correctif dans la version 12.4.3-02854. L'entreprise a également signalé avoir été informée d'une "exploitation active possible" par des acteurs de menace non spécifiés, incitant les clients à appliquer les correctifs rapidement pour éviter des tentatives d'attaque. SonicWall a remercié le Microsoft Threat Intelligence Center (MSTIC) pour la découverte de cette faille. Pour minimiser l'impact potentiel, il est recommandé de restreindre l'accès aux consoles de gestion à des sources de confiance.
Sources :
Nouvelle étude : l'état de l'exposition sur le Web en 2025
Une nouvelle recherche de Reflectiz révèle que 45 % des applications tierces accèdent aux informations des utilisateurs sans autorisation adéquate, et que 53 % des risques dans le secteur de la vente au détail proviennent d'une utilisation excessive d'outils de suivi. Ce rapport met en lumière les vulnérabilités auxquelles les organisations sont exposées, notamment dans les secteurs du divertissement et de la vente en ligne, où il est crucial de surveiller l'accès inutile aux données sensibles. Le terme "exposition web", défini par Gartner, décrit les risques liés à l'utilisation d'applications tierces, de dépôts CDN et d'outils open source, qui augmentent la surface d'attaque. Bien que ces outils soient nécessaires, les entreprises doivent s'assurer qu'ils n'accèdent pas à des informations personnelles, financières ou de santé sans raison valable. Les applications moins populaires sont souvent négligées et présentent un risque accru. Le rapport souligne également que le nombre de trackers déployés ne reflète pas toujours le niveau de risque, incitant les entreprises à évaluer leur utilisation des technologies de suivi. Pour réduire leur exposition, les entreprises doivent adopter une approche personnalisée, en se concentrant sur des priorités de sécurité spécifiques à leur secteur, ce qui a conduit Reflectiz à développer une technologie d'évaluation de l'exposition.
Sources :
Le malware BC lié à QakBot ajoute des fonctionnalités améliorées d'accès à distance et de collecte de données
Des chercheurs en cybersécurité ont révélé des détails sur un nouveau malware BackConnect (BC) développé par des acteurs malveillants liés au célèbre chargeur QakBot. Selon l'équipe de Cyber Intelligence de Walmart, le BC utilise des modules tels que DarkVNC et IcedID pour maintenir la persistance et exécuter des tâches. Ce module a été trouvé sur l'infrastructure qui distribuait également ZLoader, récemment mis à jour pour intégrer un tunnel DNS pour les communications de commandement et de contrôle. QakBot, initialement un cheval de Troie bancaire, a été transformé en chargeur capable de livrer des charges utiles comme des ransomwares. Après une opération de saisie d'infrastructure en 2023, des campagnes sporadiques ont continué à propager le malware. Walmart a noté que le module BC agit comme une porte dérobée autonome, collectant des informations système pour faciliter l'exploitation. Une analyse indépendante de Sophos a lié ce malware à un groupe de cybercriminels, STAC5777, qui utilise des techniques de phishing et d'ingénierie sociale pour accéder aux ordinateurs des victimes. L'interconnexion entre QakBot et Black Basta souligne un écosystème de cybercriminalité où les développeurs de QakBot soutiennent probablement les opérations de Black Basta avec de nouveaux outils.
Sources :
Cisco corrige une faille critique d'escalade des privilèges dans la gestion des réunions (CVSS 9.9)
Cisco a publié des mises à jour logicielles pour corriger une vulnérabilité critique dans la gestion des réunions, identifiée comme CVE-2025-20156, qui pourrait permettre à un attaquant distant et authentifié d'obtenir des privilèges d'administrateur. Cette faille, notée 9,9 sur 10, est due à un manque d'autorisation appropriée dans l'API REST de Cisco Meeting Management. Les versions affectées incluent la version 3.9 (corrigée dans 3.9.1) et les versions 3.8 et antérieures. Cisco a également publié des correctifs pour une vulnérabilité de déni de service (DoS) dans BroadWorks (CVE-2025-20165, score CVSS : 7,5) et une autre faille (CVE-2025-20128, score CVSS : 5,3) liée à ClamAV. Parallèlement, des agences américaines ont détaillé des chaînes d'exploitation liées à des vulnérabilités dans les applications cloud d'Ivanti, révélant des failles d'escalade de privilèges et d'injection SQL. Ces vulnérabilités ont été exploitées par des groupes de hackers étatiques pour accéder aux réseaux cibles et compromettre des données sensibles.
Sources :
TRIPLESTRENGTH utilise le cloud pour lutter contre le cryptojacking et les systèmes sur site pour lutter contre les ransomwares
Google a récemment identifié un acteur malveillant, TRIPLESTRENGTH, qui cible opportunément les environnements cloud pour des attaques de cryptojacking et de ransomware. Dans son 11ème rapport Threat Horizons, la division cloud de Google décrit les activités variées de cet acteur, notamment le minage de cryptomonnaies sur des ressources cloud détournées et des opérations de ransomware. TRIPLESTRENGTH utilise des identifiants volés, souvent issus de l'infection par le Raccoon information stealer, pour accéder aux instances cloud. Une fois à l'intérieur, il exploite des comptes privilégiés pour établir des ressources de calcul massives destinées au minage. Les opérations de ransomware se concentrent sur des ressources sur site, utilisant des logiciels tels que Phobos et LokiLocker. De plus, TRIPLESTRENGTH fait la promotion de services de ransomware sur des canaux Telegram, sollicitant des partenaires pour des opérations de rançon. Google a réagi en renforçant l'authentification multi-facteurs (MFA) et en améliorant la journalisation pour détecter les actions de facturation sensibles. L'entreprise souligne que même un seul identifiant volé peut permettre aux attaquants d'accéder à des applications et des données, tant sur site que dans le cloud, facilitant ainsi des attaques d'ingénierie sociale ultérieures.
Sources :
Les plugins immobiliers WordPress premium ont un impact critique sur les zero-days
Deux vulnérabilités critiques affectent le thème RealHome et les plugins Easy Real Estate pour WordPress, permettant à des utilisateurs non authentifiés d'acquérir des privilèges administratifs. Découvertes en septembre 2024 par Patchstack, ces failles n'ont pas été corrigées malgré plusieurs tentatives de contact avec le fournisseur, InspiryThemes, qui a publié trois versions sans correctifs de sécurité. La première vulnérabilité, CVE-2024-32444, concerne le thème RealHome, où une mauvaise validation des autorisations lors de l'enregistrement d'un compte permet à un attaquant de se déclarer administrateur. La seconde, CVE-2024-32555, touche le plugin Easy Real Estate, où la fonctionnalité de connexion sociale permet à un attaquant de se connecter en utilisant l'adresse e-mail d'un administrateur sans mot de passe. Les conséquences de ces exploitations incluent la manipulation de contenu et l'accès à des données sensibles. En l'absence de correctifs, il est recommandé aux propriétaires de sites d'interrompre l'utilisation de ces outils et de restreindre l'enregistrement des utilisateurs pour limiter les risques d'exploitation. La situation est urgente, car les informations sur ces vulnérabilités sont désormais publiques, incitant les acteurs malveillants à cibler les sites vulnérables.
Sources :
Une faille du CDN de Cloudflare divulgue les données de localisation des utilisateurs, même via des applications de chat sécurisées
Un chercheur en sécurité a découvert une faille dans le réseau de distribution de contenu (CDN) de Cloudflare, permettant d'exposer la localisation générale d'un utilisateur en envoyant simplement une image via des applications comme Signal et Discord. Bien que cette méthode ne permette pas un suivi précis au niveau de la rue, elle peut révéler la région géographique d'une personne, ce qui est préoccupant pour ceux qui valorisent leur vie privée, tels que les journalistes et les activistes. En revanche, cette faille pourrait aider les forces de l'ordre dans leurs enquêtes. Le chercheur, Daniel, a mis en évidence une attaque de dé-anonymisation sans interaction, exploitant un bug dans Cloudflare Workers pour forcer les requêtes à passer par des centres de données spécifiques. Bien que Cloudflare ait corrigé le bug et récompensé le chercheur, des attaques de géolocalisation demeurent possibles en utilisant un VPN. Cloudflare a déclaré que la responsabilité de désactiver le cache incombe aux utilisateurs, tandis que Signal et Discord ont rejeté la responsabilité, affirmant que cela ne relevait pas de leur mission.
Sources :
Le captcha de Telegram vous incite à exécuter des scripts PowerShell malveillants
Des acteurs malveillants exploitent l'actualité autour de Ross Ulbricht pour diriger des utilisateurs vers un canal Telegram, où ils sont incités à exécuter des scripts PowerShell infectés par des malwares. Cette attaque, identifiée par vx-underground, représente une variante de la tactique "Click-Fix", qui a gagné en popularité pour la distribution de malwares. Contrairement aux solutions de correction habituelles, cette méthode se présente comme un système de captcha que les utilisateurs doivent exécuter pour rejoindre le canal. Les comptes vérifiés d'Ulbricht sur X sont utilisés pour attirer les victimes vers ces canaux malveillants. Une fois sur Telegram, les utilisateurs rencontrent une demande de vérification d'identité nommée 'Safeguard', qui les guide à travers un processus de vérification fictif. À la fin, un mini-app Telegram copie un code PowerShell dans le presse-papiers, incitant l'utilisateur à l'exécuter. Ce code télécharge un script PowerShell qui, à son tour, récupère un fichier ZIP contenant des malwares, potentiellement un chargeur Cobalt Strike, utilisé pour accéder à distance aux ordinateurs. Les utilisateurs sont avertis de ne jamais exécuter des commandes copiées en ligne sans vérification préalable.
Sources :
Cybercriminalité : la justice française face aux pirates du numérique
Guillaume Daieff, Président de la 13ᵉ chambre du Tribunal correctionnel de Paris, a récemment partagé son expertise sur la cybercriminalité dans l'émission « Les Temps électriques » sur Amicus Radio. Il a décrit les divers profils de cybercriminels, motivés par des raisons financières, idéologiques ou par défi, et a souligné l'impact dévastateur de leurs actions. Ancien pirate informatique devenu chef d'entreprise en cybersécurité, Daieff a évoqué la complexité des cas traités, notamment ceux impliquant des hackers intermédiaires, ou grey hats, dont les actions oscillent entre éthique et illégalité. Il a également mentionné un procès marquant lié à l'extorsion de données, illustrant les défis rencontrés par la justice. Face à la sophistication croissante des cyberattaques, la justice française, notamment la 13ᵉ chambre, joue un rôle crucial dans la lutte contre ces crimes. Daieff a insisté sur l'importance de la prévention et de l'éducation pour sensibiliser les jeunes et les professionnels du numérique. Il a également soulevé des questions juridiques complexes autour du concept de hacker éthique, soulignant que la loi doit être respectée, même dans la lutte contre la cybercriminalité.
Sources :
Cisco met en garde contre une faille de déni de service avec un code d'exploitation PoC
Cisco a publié des mises à jour de sécurité pour corriger une vulnérabilité de déni de service (DoS) dans ClamAV, identifiée sous le code CVE-2025-20128. Cette faille, causée par un débordement de tampon basé sur le tas dans la routine de décryptage OLE2, permet à des attaquants distants non authentifiés de provoquer un état de DoS sur les appareils vulnérables. En exploitant cette vulnérabilité, un attaquant peut soumettre un fichier malveillant contenant du contenu OLE2 à ClamAV, entraînant l'échec du processus de scan antivirus et retardant ainsi les opérations de scan ultérieures. Cisco a précisé que, bien que le processus de scan puisse être interrompu, la stabilité globale du système ne serait pas affectée. Les produits concernés incluent le logiciel Secure Endpoint Connector pour Linux, Mac et Windows, qui intègre les journaux d'audit de Cisco Secure Endpoint dans des systèmes de gestion des informations et des événements de sécurité (SIEM). Bien qu'un code d'exploitation de preuve de concept soit déjà disponible, Cisco n'a pas signalé d'exploitation active de cette vulnérabilité. Parallèlement, d'autres failles de sécurité ont également été corrigées dans divers produits Cisco.
Sources :
Donald Trump et le cas controversé de Ross Ulbricht : grâce présidentielle pour le fondateur de Silk Road
Silk Road, créé en 2011 par Ross Ulbricht sous le pseudonyme « Dread Pirate Roberts », est devenu un marché clandestin emblématique du dark web, facilitant le commerce de drogues et d'autres activités illégales. Inspiré par des idéaux libertaires, Ulbricht a conçu Silk Road comme un espace d'échange libre, accessible via le réseau Tor et utilisant des bitcoins pour garantir l'anonymat des utilisateurs. Cependant, cette vision a rapidement dérivé vers des activités criminelles. Ulbricht a été arrêté en 2013 et condamné à la réclusion à perpétuité, malgré ses appels, où il a contesté la légalité de la collecte d'adresses IP par les enquêteurs. En 2017, la cour d'appel a confirmé sa peine, soulignant la gravité des crimes, y compris des meurtres liés à Silk Road. Le cas d'Ulbricht a suscité des débats publics, certains le considérant comme un martyr de la liberté économique. La grâce présidentielle controversée accordée par Donald Trump a ajouté une dimension supplémentaire à cette affaire, divisant encore davantage l'opinion sur la justice et la régulation du dark web. Silk Road reste un symbole des tensions entre libertés individuelles et contrôle gouvernemental.
Sources :
Un pirate informatique de PowerSchool affirme avoir volé les données de 62 millions d'étudiants
Le 7 janvier 2025, PowerSchool, fournisseur de solutions logicielles pour les écoles K-12, a annoncé avoir subi une cyberattaque. Un acteur malveillant a utilisé des identifiants volés pour accéder au portail de support client de l'entreprise. Bien que PowerSchool ait fait preuve de transparence dans ses communications, il n'a pas précisé le nombre exact d'élèves et d'enseignants touchés, suscitant l'inquiétude des parents et des administrateurs scolaires. Selon des sources, le hacker aurait volé les données de 6 505 districts scolaires aux États-Unis, au Canada et ailleurs, affectant au total 62 488 628 élèves et 9 506 624 enseignants. Moins d'un quart des élèves concernés auraient vu leur numéro de sécurité sociale exposé. En réponse, PowerSchool a annoncé qu'il offrirait deux ans de services de protection d'identité et de surveillance de crédit gratuits aux personnes touchées, indépendamment de l'exposition de leurs informations. L'entreprise s'engage également à notifier les bureaux des procureurs généraux des États et les parties concernées. Un site web dédié a été mis en place pour fournir des mises à jour aux personnes affectées.
Sources :
Conduent confirme qu'un incident de cybersécurité est à l'origine de la récente panne
Le 22 janvier 2025, Conduent, un important prestataire de services aux entreprises et aux gouvernements américains, a confirmé qu'une récente panne était due à un "incident de cybersécurité". Avec plus de 31 000 employés, Conduent sert de nombreuses entreprises du Fortune 100 ainsi que plus de 600 agences gouvernementales et de transport, touchant environ 100 millions de résidents américains à travers divers programmes de santé. La panne a affecté les opérations de plusieurs États, notamment le Wisconsin et l'Oklahoma, perturbant les paiements électroniques et les cartes EBT pour de nombreuses organisations. Conduent a déclaré avoir restauré les systèmes après l'incident, mais a initialement qualifié la situation de "service interruption" avant de confirmer qu'il s'agissait d'un incident de cybersécurité. Bien que la société ait assuré que l'incident était contenu et que tous les systèmes étaient rétablis, elle n'a pas fourni de détails sur le nombre de clients touchés, la possibilité de vol de données ou d'éventuelles demandes de rançon. De plus, Conduent n'a pas encore publié de déclaration publique ou déposé de rapport auprès de la SEC concernant cette violation, rappelant un précédent incident de ransomware survenu quatre ans plus tôt.
Sources :
Trump met fin aux mandats du comité consultatif du DHS, perturbant ainsi l'examen de la cybersécurité
L'administration Trump a décidé de mettre fin à tous les membres des comités consultatifs relevant du Département de la Sécurité intérieure (DHS), selon un mémo du secrétaire par intérim Benjamine C. Huffman daté du 20 janvier 2025. Cette décision vise à éliminer le gaspillage de ressources et à recentrer les activités du DHS sur la sécurité nationale. Parmi les comités dissous figure le Cyber Safety Review Board (CSRB), qui avait critiqué Microsoft pour des erreurs ayant permis à un groupe de hackers chinois, Storm-0558, de compromettre des infrastructures en juillet 2023. Le CSRB, créé en février 2022, avait pour mission d'évaluer des événements de cybersécurité majeurs et de formuler des recommandations. Il était en cours d'investigation sur des cyberattaques récentes visant des fournisseurs de télécommunications aux États-Unis, attribuées à un groupe de hackers chinois nommé Salt Typhoon. D'autres conseils consultatifs, tels que le Conseil sur la sécurité de l'intelligence artificielle et le Conseil consultatif sur les infrastructures critiques, ont également été dissous. Cette décision a suscité des critiques, notamment de la part du sénateur Ron Wyden, qui y voit un cadeau aux espions chinois et une forme de représailles contre Microsoft.
