Ukraine : une cyberattaque massive paralyse la gare de Kiev - Actus du 24/03/2025
Découvrez notre article sur la récente cyberattaque en Ukraine, qui a paralysé la gare de Kiev, le lancement choquant de Vanhelsing Raas et les tendances du baromètre cybersécurité 2024 parmi une montée des cybermenaces. Informez-vous sur les nouvelles tactiques et les frais exorbitants!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Vanhelsing Raas Launch: 3 victimes, frais d'entrée de 5 000 $, multi-OS et tactiques d'extorsion double
L'opération de ransomware-as-a-service (RaaS) nommée VanHelsing, lancée le 7 mars 2025, a déjà fait trois victimes. Ce modèle permet à des participants variés, des hackers expérimentés aux novices, de s'impliquer avec un dépôt de 5 000 $. Les affiliés conservent 80 % des paiements de rançon, tandis que les opérateurs principaux en touchent 20 %. VanHelsing se distingue par son accès gratuit pour les affiliés réputés et par l'interdiction de cibler les États de la CEI. Le ransomware, basé sur C++, supprime les copies d'ombre, chiffre les fichiers avec l'extension ".vanhelsing" et modifie le fond d'écran du bureau pour afficher une note de rançon. Il utilise un modèle de double extorsion, menaçant de divulguer des données volées. Les cibles incluent des entreprises gouvernementales, manufacturières et pharmaceutiques en France et aux États-Unis. Parallèlement, d'autres groupes RaaS, comme BlackLock et Albabat, émergent, exploitant des vulnérabilités et recrutant des trafiquants pour intensifier les attaques. En février 2025, le nombre de victimes de ransomware a atteint un record historique, soulignant l'augmentation des attaques, notamment celles par chiffrement à distance, qui sont devenues courantes dans le paysage cybercriminel.
Sources :
Ukraine : une cyberattaque massive paralyse la principale gare de Kiev
Après des attaques de drones, Kiev fait face à une cyberattaque massive qui affecte le système informatique de sa gare depuis le 23 mars 2025. Ukrzaliznytsia, le gestionnaire ferroviaire, a confirmé le 24 mars que le système est toujours ciblé, mais que les trains continuent de circuler selon les horaires. L'application de réservation de billets, Ukrainian Railways, est hors ligne, mais les passagers peuvent acheter des billets aux guichets. Cette attaque, attribuée à la Russie, vise à démoraliser la population ukrainienne et s'inscrit dans une série d'attaques cybernétiques contre des infrastructures essentielles depuis le début de l'invasion en février 2022. Malgré la résilience du pays, les hackers russes ont réussi à perturber divers services, y compris des centrales électriques et des entreprises de télécommunications. Le renseignement ukrainien travaille à la restauration des données de sauvegarde. Cette offensive souligne la guerre en cours entre la Russie et l'Ukraine, qui se déroule non seulement sur le terrain, mais aussi dans le cyberespace, avec des conséquences significatives pour la vie quotidienne des Ukrainiens.
Sources :
Baromètre de la cybersécurité 2024 : Face à la forte hausse des cyberattaques, la prise de conscience progresse
Une enquête nationale menée auprès de plus de 450 décideurs, dont 51 % de PME, révèle une forte augmentation des cyberattaques (+50 % en un an). Quatre entreprises sur dix craignent une cyberattaque, une hausse de 33 % par rapport à 2023, avec le vol de données comme principale préoccupation (67 %). Les menaces les plus courantes incluent le phishing (33 %), les ransomwares (27 %) et la perte de données (24 %). En réponse, 59 % des entreprises ont augmenté leur budget cybersécurité, et 50 % ont désigné un référent sécurité. De plus, 66 % s'appuient sur des partenaires spécialisés, un chiffre doublé par rapport à l'année précédente. Le secteur public, représentant 27 % des répondants, semble mieux préparé et accorde plus d'importance à la souveraineté des systèmes. Bien que la maturité en cybersécurité soit jugée moyenne, elle progresse, avec 50 % des répondants connaissant le guide de l'ANSSI. Cependant, 77 % n'appliquent pas les pratiques essentielles. Un tiers des entreprises a subi une cyberattaque en 2024, contre un cinquième en 2023, soulignant l'urgence d'améliorer les mesures de sécurité face à des menaces de plus en plus sophistiquées.
Sources :
⚡ Recaps hebdomadaire Thn: attaque de la chaîne d'approvisionnement GitHub, logiciel malveillant AI, tactiques BYOVD, et plus
Une modification discrète d'un outil open-source populaire a ouvert la voie à une violation de la chaîne d'approvisionnement, transformant une attaque ciblée en une campagne massive qui a exposé des secrets dans de nombreux projets. Les attaquants, soupçonnés de vouloir empoisonner des projets open-source liés à Coinbase, ont diffusé une version malveillante de "tj-actions/changed-files", permettant de divulguer des secrets CI/CD. Bien que l'objectif final reste flou, il semble être motivé financièrement, visant à voler des cryptomonnaies. L'intrusion a utilisé un vecteur d'accès initial inconnu pour déployer des familles de malwares, dont ShadowPad et un implant C++ non documenté, RPipeCommander. Les hackers nord-coréens, devenus experts dans le siphonnage de fonds, ont récemment attaqué Bybit pour 1,4 milliard de dollars. Par ailleurs, des groupes criminels exploitent la cryptomonnaie pour blanchir de l'argent, rendant leurs activités plus difficiles à détecter. Les changements dans les services de communication chiffrée pourraient obliger les fournisseurs à mettre en place des portes dérobées pour permettre l'accès aux messages déchiffrés. Enfin, des outils de sécurité avancés, comme Rogue, émergent pour aider à détecter et remédier aux vulnérabilités dans les environnements AD.
Sources :
VScode Marketplace supprime deux extensions déploiement des ransomwares à un stade précoce
Des chercheurs en cybersécurité ont découvert deux extensions malveillantes sur le marché de Visual Studio Code (VSCode), nommées "ahban.shiba" et "ahban.cychelloworld", conçues pour déployer un ransomware en développement. Ces extensions ont été retirées par les responsables du marché. Selon ReversingLabs, elles contiennent un code qui invoque une commande PowerShell pour récupérer un payload depuis un serveur de commande et de contrôle (C2) et l'exécuter. Ce payload, suspecté d'être un ransomware en phase précoce, ne chiffre que les fichiers d'un dossier nommé "testShiba" sur le bureau Windows de la victime. Une fois les fichiers chiffrés, le payload affiche un message demandant le paiement d'1 ShibaCoin à ShibaWallet pour les récupérer, sans fournir d'autres instructions ni d'adresse de portefeuille, ce qui suggère que le malware est encore en développement. Cette découverte survient après que plusieurs extensions malveillantes, se faisant passer pour Zoom, ont été signalées. De plus, un package Maven malveillant a été identifié, utilisant le typosquatting pour tromper les développeurs, ce qui souligne les méthodes sophistiquées des attaquants pour infiltrer les projets de développement.
Sources :
Comment équilibrer la sécurité du mot de passe contre l'expérience utilisateur
Cet article aborde l'importance d'équilibrer la sécurité des mots de passe et l'expérience utilisateur (UX) pour éviter les risques cybernétiques. Les mesures de sécurité jugées encombrantes peuvent inciter les utilisateurs à les ignorer, augmentant ainsi les vulnérabilités. En milieu professionnel, des protocoles de cybersécurité perçus comme des obstacles à la productivité sont souvent contournés, ce qui expose les entreprises à des comportements à risque, comme le partage ou la réutilisation de mots de passe. Pour améliorer la sécurité, il est recommandé d'adopter des politiques de mots de passe axées sur la longueur plutôt que sur la complexité, en suggérant des phrases de passe composées de mots aléatoires. De plus, fournir un retour d'information dynamique lors de la création de mots de passe peut réduire le coût d'interaction pour les utilisateurs. En cas de violation de données, les équipes de sécurité doivent gérer les réinitialisations de mots de passe de manière à minimiser les désagréments, en offrant des options de durée de vie des mots de passe. En somme, il est essentiel de trouver un équilibre entre des mesures de sécurité robustes et une UX fluide pour garantir la résilience à long terme des systèmes de sécurité.
Sources :
Le fonctionnement peer-to-peer de FaceTime pose-t-il un problème de vie privée ?
L'application de messagerie vidéo FaceTime, popularisée par Steve Jobs, repose sur un système de communication peer-to-peer (P2P) qui permet aux utilisateurs de se connecter directement sans passer par les serveurs d'Apple. Bien que cette technologie vise à améliorer la fluidité des appels vidéo, elle présente des failles en matière de confidentialité. En effet, les adresses IP des utilisateurs sont échangées, ce qui, malgré le chiffrement de bout en bout, peut compromettre la discrétion des informations personnelles. Une personne malveillante pourrait potentiellement identifier un utilisateur en utilisant un faux appel FaceTime, bien que cela ne permette pas de localiser précisément l'individu. Apple pourrait envisager d'améliorer la sécurité en rendant les adresses IP moins accessibles ou en utilisant des serveurs pour anonymiser les connexions, mais cela nuirait à la rapidité des communications. Actuellement, Apple ne propose pas d'options pour masquer les adresses IP, ce qui soulève des préoccupations quant à la protection des données personnelles. En somme, bien que FaceTime ait révolutionné les appels vidéo, des questions de confidentialité demeurent, nécessitant une attention accrue de la part d'Apple.
Sources :
La vulnérabilité Critical Next.js permet aux attaquants de contourner les vérifications d'autorisation du middleware
Une vulnérabilité critique a été révélée dans le framework Next.js, permettant potentiellement de contourner les vérifications d'autorisation dans certaines conditions. Suivie sous le numéro CVE-2025-29927, cette faille a un score CVSS de 9,1 sur 10. Next.js a expliqué que l'utilisation d'un en-tête interne, x-middleware-subrequest, vise à éviter les boucles infinies lors des requêtes récursives. Cependant, il était possible de sauter l'exécution de middleware, ce qui permettait de contourner des vérifications essentielles, comme la validation des cookies d'autorisation, avant d'atteindre les routes. Les versions corrigées sont 12.3.5, 13.5.9, 14.2.25 et 15.2.3. En l'absence de mise à jour, il est conseillé de bloquer les requêtes externes contenant l'en-tête x-middleware-subrequest. Le chercheur en sécurité Rachid Allam, qui a découvert cette faille, a publié des détails techniques supplémentaires, soulignant l'urgence d'appliquer les correctifs. Selon JFrog, cette vulnérabilité permet aux attaquants de contourner facilement les vérifications d'autorisation, leur donnant potentiellement accès à des pages sensibles réservées aux administrateurs ou à d'autres utilisateurs privilégiés.
Sources :
Quels sont les critères pour sélectionner une entreprise de pentest
Face aux risques croissants en matière de cybersécurité, choisir une entreprise de pentest experte est crucial. Les certifications telles que OSCP, CEH ou CREST attestent d'une maîtrise technique avancée. Collaborer avec des experts ayant une expérience dans des secteurs variés, comme l'industrie ou la finance, enrichit l'analyse des vulnérabilités. La norme OWASP assure une couverture complète des menaces potentielles lors des tests applicatifs, garantissant des diagnostics adaptés à vos infrastructures. Les entreprises de développement logiciel doivent également prioriser ces tests, en s'assurant que le prestataire adapte ses outils à leurs besoins spécifiques. Les rapports fournis par des entreprises compétentes vont au-delà de la simple identification des vulnérabilités, en respectant des politiques strictes de confidentialité pour protéger les données sensibles. Il est essentiel d'éviter de choisir un prestataire uniquement sur la base du coût, car un tarif bas peut cacher des services de moindre qualité. L'utilisation d'outils automatisés, combinée à l'expertise humaine, permet d'identifier efficacement les menaces. Enfin, adopter une approche proactive avec des pentests réguliers est indispensable pour anticiper les incidents et renforcer la sécurité des systèmes face à l'évolution rapide des technologies.
Sources :
Astra (partage d'écran) de Google Gemini lance sur Android pour certains utilisateurs
Lors du Mobile World Congress 2025, Google a annoncé le déploiement de la fonctionnalité de partage d'écran et de vidéo pour Gemini Live, surnommée "Project Astra". Actuellement, certains utilisateurs, notamment ceux possédant un abonnement Gemini Advanced sur des appareils comme Xiaomi, ont commencé à voir cette fonctionnalité en action. Grâce à cette intégration, les utilisateurs peuvent partager l'écran de leur téléphone et poser des questions à l'IA sur ce qu'ils voient. Par exemple, en naviguant sur la page du PIB sur Wikipedia, ils peuvent demander à Gemini de résumer les informations ou d'expliquer des termes économiques. L'IA est capable de comprendre le contexte de la discussion, car elle peut voir les actions de l'utilisateur sur son appareil. Cette fonctionnalité est réservée aux abonnés de Gemini Advanced, dont le coût commence à 19,99 $ par mois. Les utilisateurs peuvent également demander à Gemini de lire le contenu à voix haute ou de le reformuler dans une autre langue. Cependant, certains critiques remettent en question l'efficacité de cette approche, la qualifiant de "gaspillage" et de "stupide".
Sources :
Cet antivirus de référence baisse de prix : fini les sueurs froides en cliquant sur les mails [Sponso]
Avast propose actuellement des réductions intéressantes sur ses abonnements Premium Security et Ultimate, valables jusqu'au 8 avril 2025. Le prix de la première année pour Premium Security est réduit de 55 %, à 41,88 euros, tandis que la version Ultimate est à 51,48 euros, avec une réduction de 60 %. Ces formules couvrent jusqu'à 10 appareils, qu'ils soient mobiles ou fixes, et incluent une protection antivirus et antimalware reconnue comme l'une des meilleures par AV-Test. La version Premium Security offre des fonctionnalités avancées telles qu'un pare-feu renforcé, la protection de la webcam, et la possibilité de supprimer définitivement des fichiers sensibles. En revanche, la version Ultimate inclut des outils supplémentaires comme un VPN pour masquer l'adresse IP, un bloqueur de trackers, et un utilitaire pour nettoyer les fichiers indésirables. Ces offres sont idéales pour les familles souhaitant protéger plusieurs appareils à un coût réduit. Avast se positionne ainsi comme un acteur majeur de la cybersécurité, offrant des solutions adaptées à tous les utilisateurs, tout en maintenant une interface simple et peu gourmande en ressources.
