Un escroc marocain arrêté après une confession dans un podcast - Actus du 13/08/2024
Découvrez comment le FBI a arrêté un escroc marocain après une confession choquante dans un podcast, les nouvelles failles GhostWrite du processeur T-Head qui exposent vos appareils à des attaques, et les meilleures stratégies pour éviter votre première violation de données d'IA. Ne manquez rien !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Le FBI arrête un escroc marocain après une confession dans un Podcast
Le FBI a arrêté Idriss Qibaa, un escroc marocain vivant à Las Vegas, après qu'il se soit vanté de ses activités criminelles dans un podcast. Connu sous les pseudonymes « Dani » et « Unlocked », Qibaa a avoué avoir extorqué environ 600 000 $ par mois à plus de 200 victimes en menaçant de verrouiller leurs comptes de réseaux sociaux. Dans l'interview avec Adam Grandmaison sur le podcast No Jumper, il a révélé qu'il utilisait des menaces violentes par SMS pour contraindre ses victimes à payer. Les autorités fédérales ont été alertées par ses déclarations, ce qui a conduit à une enquête approfondie. Qibaa fait face à des accusations fédérales pour extorsion, menaces physiques, destruction de biens et harcèlement. Ses victimes, provenant de divers secteurs, ont été ciblées par des menaces de violence envers elles et leurs proches. L'arrestation de Qibaa intervient à l'approche du Def Con, un grand événement lié au hacking éthique, rappelant aux escrocs que le FBI surveille de près le monde souterrain numérique. Cette affaire souligne l'importance de la vigilance face aux activités criminelles en ligne.
Sources :
GhostWrite : de nouveaux bugs du processeur T-Head exposent les appareils à des attaques sans restriction
Une équipe de chercheurs du CISPA Helmholtz Center for Information Security en Allemagne a révélé une vulnérabilité architecturale, nommée GhostWrite, affectant les processeurs RISC-V XuanTie C910 et C920 de la société chinoise T-Head. Cette faille permettrait à des attaquants non privilégiés d'accéder librement à la mémoire des dispositifs vulnérables et de contrôler des périphériques comme les cartes réseau. GhostWrite est un bug matériel direct, distinct des attaques par canaux auxiliaires, et ne peut être corrigé qu'en désactivant environ 50 % des fonctionnalités du processeur. Les chercheurs ont identifié des instructions défectueuses dans l'extension vectorielle, qui opèrent directement sur la mémoire physique, contournant ainsi l'isolation normalement imposée par le système d'exploitation. L'attaque est rapide, fiable et peut contourner des mesures de sécurité telles que la containerisation Docker. La désactivation de l'extension vectorielle, bien que nécessaire pour atténuer GhostWrite, entraîne une réduction significative des performances du CPU, particulièrement pour les tâches nécessitant un traitement parallèle. Cette divulgation survient après que des failles similaires ont été découvertes dans les GPU Qualcomm et les processeurs AMD, soulignant des préoccupations croissantes en matière de sécurité des puces.
Sources :
Comment éviter votre première violation de données d'IA
L'utilisation croissante des copilotes d'IA générative augmente inévitablement les risques de violations de données. Un exemple récent illustre ce problème : un ancien employé a utilisé un copilot d'IA pour accéder à une base de données interne, volant des informations sensibles pour les transmettre à un concurrent. Selon une enquête de Gartner, les applications d'IA générative, comme Microsoft 365 Copilot et Salesforce Einstein Copilot, sont couramment utilisées, mais elles posent des défis de sécurité importants. Les utilisateurs, souvent avec des accès trop larges, peuvent facilement obtenir des données sensibles sans en être conscients. De plus, de nombreuses organisations ne savent pas quelles données sensibles elles détiennent, rendant difficile l'ajustement des accès. Les menaces potentielles incluent l'exfiltration rapide de données par des employés et la découverte de secrets permettant une élévation de privilèges. Pour atténuer ces risques, il est crucial de surveiller l'activité des employés, de bien étiqueter les données sensibles et de gérer les permissions. Les entreprises doivent évaluer leur exposition aux risques avant d'adopter des copilotes d'IA générative, en commençant par une évaluation gratuite des risques de données pour identifier les vulnérabilités.
Sources :
Ransom Cartel et le propriétaire du ransomware Reveton arrêtés et inculpés aux États-Unis
Le 13 août 2024, le procureur américain Philip R. Sellinger a annoncé l'arrestation de Siarhei Silnikau, propriétaire du ransomware Reveton, lors d'une opération internationale coordonnée par la National Crime Agency (NCA) au Royaume-Uni. Silnikau, arrêté en Espagne le 18 juillet 2023, est accusé d'avoir dirigé le Ransom Cartel, une opération de ransomware lancée en décembre 2021, qui a utilisé des publicités malveillantes pour infecter les ordinateurs de millions d'utilisateurs à travers le monde. Le cartel a exploité des techniques de "ransomware-as-a-service", recrutant d'autres cybercriminels sur des forums russophones. Silnikau a également utilisé des mélangeurs de cryptomonnaie pour dissimuler les paiements de rançon, compliquant ainsi les efforts des forces de l'ordre. Le malware Reveton, qui se faisait passer pour une alerte des forces de l'ordre, a causé des dommages considérables, y compris des cas tragiques de suicide par peur de poursuites judiciaires. L'opération a également inspiré d'autres cybercriminels à développer des ransomwares similaires. Silnikau a joué un rôle clé dans la création et la distribution de publicités trompeuses, exploitant des vulnérabilités pour propager des logiciels malveillants.
Sources :
Des chercheurs découvrent des vulnérabilités dans le service Azure Health Bot basé sur l'IA
Des chercheurs en cybersécurité ont identifié deux vulnérabilités dans le service Azure Health Bot de Microsoft, permettant à un acteur malveillant d'accéder à des données sensibles des patients en se déplaçant latéralement dans les environnements clients. Ces problèmes critiques, désormais corrigés par Microsoft, auraient permis d'accéder à des ressources inter-tenant au sein du service. L'Azure AI Health Bot Service est une plateforme cloud permettant aux organisations de santé de créer des assistants virtuels alimentés par l'IA pour gérer les tâches administratives et interagir avec les patients. L'étude de Tenable a mis en lumière une fonctionnalité appelée Data Connections, qui intègre des données de sources externes. Bien que des protections soient en place, des redirections mal configurées ont permis de contourner ces sécurités, donnant accès à des jetons d'accès pour des ressources internes. Une autre vulnérabilité a été découverte dans un point de terminaison lié à l'échange de données FHIR. Tenable a signalé ces failles à Microsoft, qui a rapidement déployé des correctifs. Bien qu'aucune exploitation n'ait été observée, ces vulnérabilités soulignent l'importance de la sécurité des applications web et cloud à l'ère des chatbots IA.
Sources :
Fuite de données à la Mairie des Lilas ?
Une fuite de données a été détectée à la Mairie des Lilas, une commune de la Seine-Saint-Denis, révélée par ZATAZ. Un pirate russe a prétendu avoir accédé à des documents contenant des informations sur les mariages et les naissances, affectant plus de 11 400 cas. Les fichiers, couvrant les années 2019 à 2021, incluent des données sensibles telles que les identités, numéros de téléphone et adresses électroniques des administrés. La source de cette fuite demeure incertaine, laissant planer le doute sur une éventuelle négligence de la mairie ou d'un système de sauvegarde. ZATAZ a alerté l'ANSSI et les abonnés concernés. Les implications de cette fuite sont préoccupantes, car les informations peuvent être utilisées pour des activités malveillantes telles que le vol d'identité, le phishing ciblé, et la création de faux documents. Les pirates pourraient également revendre ces données sur le dark web ou mener des escroqueries familiales. Cette situation souligne l'importance de la sécurité des données personnelles et les risques associés aux fuites d'informations sensibles. Les autorités doivent agir rapidement pour protéger les administrés et prévenir d'éventuelles exploitations frauduleuses.
Sources :
Pourquoi le Hardsec est important : de la protection des services critiques à l'amélioration de la résilience
Traditionnellement, la cybersécurité se concentrait sur la détection et la réponse aux menaces numériques telles que les malwares et le phishing. Cependant, avec l'évolution des cybermenaces, il devient crucial de prévenir les attaques avant qu'elles ne soient reconnues. C'est ici qu'intervient le concept de Hardsec, ou "Hardware Security", qui utilise des logiques et des composants matériels pour renforcer la sécurité, offrant ainsi une assurance plus élevée contre les menaces externes et internes. Les défenses basées uniquement sur des logiciels sont vulnérables et nécessitent des mises à jour constantes, laissant des failles exploitables. En revanche, l'approche Hardsec permet de créer des défenses simples et robustes, sans infrastructure complexe. Les organismes gouvernementaux et les industries réglementées, comme la défense et la finance, adoptent de plus en plus cette approche, recommandée par des entités telles que le Département de la Défense des États-Unis et le NIST. En intégrant des contrôles de sécurité matériels dans les stratégies de cybersécurité, Hardsec aide à éviter les attaques de la chaîne d'approvisionnement et à garantir la conformité réglementaire. Face à des menaces cybernétiques en constante évolution, investir dans la sécurité matérielle est essentiel pour maintenir une posture de sécurité solide et résiliente.
Sources :
C’est la rentrée, il va falloir se méfier des clics malheureux
Avec la rentrée, il est crucial de faire preuve de prudence lors de la réutilisation des ordinateurs professionnels, car des clics imprudents peuvent entraîner des problèmes majeurs, comme l'illustre le cas de l'université de Paris Saclay, récemment victime d'un ransomware. Avant de reprendre le travail, il est recommandé de suivre plusieurs étapes pour assurer la sécurité de votre appareil. D'abord, vérifiez physiquement l'ordinateur pour détecter d'éventuels dommages. Ensuite, mettez à jour le système d'exploitation et tous les logiciels, y compris l'antivirus, et assurez-vous que vos sauvegardes sont à jour. Lors de la consultation des courriels, soyez vigilant face aux messages suspects qui pourraient contenir des liens malveillants. Effectuez un scan complet avec votre antivirus et envisagez de changer vos mots de passe, surtout si vous avez été absent longtemps. Une fois ces vérifications effectuées, reconnectez votre ordinateur au réseau de l'entreprise et mettez-vous à jour sur les projets en cours. Enfin, redémarrez l'ordinateur pour garantir que toutes les modifications sont prises en compte. Ces précautions vous permettront de reprendre vos activités en toute sécurité.
Sources :
Les pirates de Dispossessor / Radar arrêtés par le FBI
Le 12 août 2024, le FBI, en collaboration avec des agences internationales, a démantelé le groupe de ransomware Dispossessor, dirigé par un cybercriminel surnommé « Brain ». Actif depuis août 2023, ce groupe ciblait principalement des petites et moyennes entreprises aux États-Unis, en Allemagne et au Brésil. L'opération a permis la saisie de 24 serveurs et de plusieurs noms de domaine utilisés pour des activités criminelles, tels que radar et dispossessor. Dispossessor se distinguait par sa méthode d'extorsion, revendant des données volées d'autres groupes de ransomware, comme LockBit, sur des forums de piratage. Le groupe exploitait des failles de sécurité, des mots de passe faibles et l'absence d'authentification multifactorielle pour accéder aux réseaux de ses victimes, dérober des données sensibles et déployer des ransomwares. En plus de la saisie des serveurs, les autorités ont pris le contrôle de sites web servant de façades pour leurs activités illégales. Cette opération, fruit d'une enquête internationale complexe, vise à perturber l'infrastructure criminelle de Dispossessor, avec des implications pour la sécurité des entreprises ciblées. Le pirate « Brain » serait basé en Europe, selon les autorités américaines.
Sources :
Le FBI ferme les serveurs du groupe de ransomware Dispossessor aux États-Unis, au Royaume-Uni et en Allemagne
Le FBI a annoncé lundi la disruption de l'infrastructure en ligne d'un groupe de ransomware émergent nommé Dispossessor (ou Radar). Cette opération a permis de démanteler plusieurs serveurs aux États-Unis, au Royaume-Uni et en Allemagne, ainsi que des domaines criminels associés. Depuis son apparition en août 2023, Dispossessor a rapidement ciblé des entreprises de taille petite à moyenne dans divers secteurs, notamment la santé, l'éducation et les services financiers, avec 43 entreprises identifiées comme victimes à l'échelle mondiale. Le groupe utilise un modèle de ransomware-as-a-service (RaaS) basé sur l'extorsion double, consistant à exfiltrer des données tout en chiffrant les systèmes des victimes. Les attaquants exploitent des failles de sécurité pour accéder aux réseaux et menacent les victimes de divulguer leurs données si elles ne paient pas. Des tendances récentes montrent une augmentation des attaques contre des organisations plus petites, souvent moins bien protégées. Parallèlement, les groupes de ransomware deviennent de plus en plus professionnels, adoptant des modèles d'affaires sophistiqués et créant des écosystèmes de collaboration. Les agences de loi intensifient leurs efforts pour contrer cette menace persistante, alors que les cybercriminels continuent d'innover.
Sources :
L'Ukraine met en garde contre une nouvelle campagne de phishing visant les ordinateurs du gouvernement
Le Computer Emergency Response Team d'Ukraine (CERT-UA) a alerté sur une nouvelle campagne de phishing se faisant passer pour le Service de sécurité d'Ukraine, visant à distribuer un malware permettant un accès à distance. Suivant l'activité sous le nom UAC-0198, plus de 100 ordinateurs, y compris ceux d'organismes gouvernementaux, auraient été infectés depuis juillet 2024. Les chaînes d'attaque impliquent l'envoi massif d'emails contenant un fichier ZIP avec un installateur MSI, dont l'ouverture entraîne le déploiement du malware ANONVNC. Ce dernier, basé sur un outil de gestion à distance open-source nommé MeshAgent, permet un accès non autorisé furtif aux hôtes infectés. Parallèlement, CERT-UA a attribué au groupe de hackers UAC-0102 des attaques de phishing utilisant des pièces jointes HTML imitant la page de connexion de UKR.NET pour voler des identifiants. L'agence a également signalé une augmentation des campagnes diffusant le malware PicassoLoader, visant à déployer Cobalt Strike Beacon sur des systèmes compromis, liées à un acteur de menace identifié comme UAC-0057. CERT-UA a noté que les cibles potentielles de UAC-0057 pourraient inclure des spécialistes de bureaux de projets et leurs "contractants" au sein des gouvernements locaux d'Ukraine.
Sources :
X fait face à des plaintes GDPR pour utilisation non autorisée de données pour la formation de l'IA
L'organisation européenne de défense de la vie privée NOYB (None of Your Business) a déposé neuf plaintes au titre du RGPD contre X, accusant la plateforme d'utiliser sans autorisation les données personnelles de plus de 60 millions d'utilisateurs en Europe pour entraîner son modèle de langage, "Grok". NOYB affirme que X n'a pas informé ses utilisateurs ni obtenu leur consentement pour cette utilisation de leurs données. Cette situation a été révélée par un utilisateur en juillet 2024, qui a remarqué une option dans les paramètres de compte permettant à X d'utiliser les publications et interactions pour "affiner" Grok. La Commission irlandaise de protection des données (DPC) a récemment annoncé un accord avec X, suspendant le traitement des données personnelles jusqu'en septembre, mais NOYB critique cette décision, la qualifiant de "timide" et soulignant l'absence d'une enquête approfondie. Les plaintes de NOYB visent à clarifier pourquoi les utilisateurs n'ont pas été informés de l'entraînement de Grok, ce qu'il advient des données déjà utilisées et pourquoi X ne demande pas de consentement explicite aux utilisateurs européens. L'organisation espère ainsi inciter à une enquête complète sur ces violations potentielles du RGPD.
Sources :
Le FBI perturbe l'opération de ransomware Dispossessor et saisit les serveurs
Le FBI a annoncé le 12 août 2024 avoir interrompu l'opération de ransomware Dispossessor, en saisissant des serveurs et des sites web grâce à une enquête internationale conjointe avec des agences britanniques et allemandes. Cette opération a permis de saisir trois serveurs aux États-Unis, trois au Royaume-Uni, 18 en Allemagne, ainsi que plusieurs domaines associés au groupe, dont dispossessor.com et radar.tld. Depuis août 2023, Dispossessor, dirigé par un acteur malveillant connu sous le nom de Brain, a ciblé des entreprises de taille petite à moyenne dans le monde entier, avec 43 victimes identifiées par le FBI. Le groupe exploitait des vulnérabilités, des mots de passe faibles et l'absence d'authentification à deux facteurs pour accéder aux réseaux des victimes, voler des données et déployer des ransomwares. Après une attaque, ils contactaient proactivement les victimes pour exiger des rançons. Initialement, Dispossessor se présentait comme un groupe d'extorsion, repostant des données volées lors d'attaques LockBit. Depuis juin 2024, ils ont intensifié leurs attaques en utilisant l'encryptor LockBit 3.0. Cette opération s'inscrit dans une série d'initiatives visant à lutter contre la cybercriminalité.
Sources :
La Corée du Sud accuse des pirates informatiques de la RPDC d'avoir volé les données techniques d'un avion espion
Le Parti du Pouvoir Populaire (PPP) de Corée du Sud a déclaré que des hackers nord-coréens ont volé des données techniques cruciales concernant les chars K2 et les avions espions "Baekdu" et "Geumgang". Cette fuite d'informations pourrait permettre à la Corée du Nord d'échapper à la surveillance militaire et de prendre un avantage stratégique. Le char K2, surnommé "Black Panther", est le principal char de combat sud-coréen, introduit en 2008, avec 260 unités en service. Les avions Baekdu et Geumgang ont été utilisés pour surveiller les activités militaires nord-coréennes. Selon des rapports, la fuite des données du K2 serait survenue lorsque des ingénieurs d'un fabricant de pièces ont transféré des plans de conception vers une entreprise concurrente. Parallèlement, un entrepreneur de défense sud-coréen a été piraté, entraînant le vol d'importantes informations techniques sur les avions espions. Le PPP appelle à des mesures de cybersécurité renforcées, y compris l'adoption d'une loi sur la cybersécurité et une révision des lois sur l'espionnage pour mieux protéger les intérêts nationaux. En avril 2024, la police nationale a averti les entreprises de défense d'une augmentation des cyberattaques nord-coréennes.
Sources :
Microsoft supprime l'application Windows Paint 3D après 8 ans
Microsoft a annoncé la fin de l'application Paint 3D, qui sera retirée du Microsoft Store en novembre 2024, après huit ans d'existence. Lancée en novembre 2016 comme remplaçante de l'application Paint, Paint 3D n'a jamais été préinstallée sur Windows 11, ce qui a conduit à sa dépréciation. Les utilisateurs sont invités à se tourner vers Paint et Photos pour l'édition d'images 2D, ainsi que vers 3D Viewer pour le contenu 3D. Bien que les installations existantes continueront de fonctionner, elles ne pourront plus être téléchargées après le 4 novembre 2024. Microsoft a récemment amélioré Paint avec de nouvelles fonctionnalités, telles qu'un outil de suppression d'arrière-plan, la prise en charge des calques et une fonction de génération d'images par IA, appelée Paint Cocreator. Cette décision intervient après que Microsoft a annoncé la dépréciation de WordPad et la suppression de l'assistant vocal Cortana dans les versions préliminaires de Windows 11. Malgré des tentatives de maintenir l'application Paint 3D en vie, l'absence d'enthousiasme des utilisateurs a conduit à cette décision finale.
Sources :
Des pirates informatiques se faisant passer pour les services de sécurité ukrainiens infectent 100 ordinateurs du gouvernement
Des hackers se faisant passer pour le Service de sécurité d'Ukraine (SSU) ont compromis plus de 100 ordinateurs de l'administration gouvernementale ukrainienne en utilisant des courriels malveillants. Le CERT-UA a révélé que ces attaques, débutées le 12 juillet 2024, ont permis l'infection avec un malware nommé AnonVNC. Les courriels contenaient des liens vers une archive Documents.zip, prétendant contenir une liste de documents requis par le SSU, mais téléchargeaient en réalité un fichier MSI malveillant. Certains échantillons de malware étaient signés avec un certificat d'une entreprise chinoise, Shenzhen Variable Engine E-commerce Co Ltd. Le CERT-UA a identifié des ordinateurs affectés parmi des organismes gouvernementaux centraux et locaux, signalant que ces cyberattaques pourraient avoir une portée plus large. Ce n'est pas la première fois qu'Ukraine subit des cyberattaques, des groupes liés à la Russie ayant déjà ciblé des infrastructures critiques, comme le chauffage à Lviv, et des fournisseurs de télécommunications. En réponse, le renseignement militaire ukrainien a également revendiqué des cyberattaques contre des entités russes. La situation souligne la vulnérabilité croissante des systèmes gouvernementaux face à des menaces cybernétiques sophistiquées.
Sources :
Le producteur d'or australien Evolution Mining touché par un ransomware
Evolution Mining, un important producteur d'or australien, a été victime d'une attaque par ransomware le 8 août 2024, affectant ses systèmes informatiques. L'entreprise a engagé des experts en cybersécurité pour remédier à la situation, et l'attaque est désormais contenue. Malgré cette perturbation, Evolution Mining, qui a produit plus de 650 000 onces d'or et 1,8 million de tonnes de cuivre en 2023, ne prévoit pas d'impact significatif sur ses opérations. Cela suggère que les systèmes critiques pour la production n'ont pas été touchés. L'entreprise, qui possède 10 millions d'onces d'or en réserves, est cotée à la Bourse australienne sous le symbole EVN. L'Australian Cyber Security Centre a été informé de l'incident, mais aucun groupe de ransomware n'a revendiqué l'attaque jusqu'à présent. De plus, Evolution Mining n'a pas précisé si des données avaient été volées, un aspect souvent associé aux attaques par ransomware. Cet incident survient après qu'une autre société minière australienne, Northern Minerals, a récemment subi une violation de données, soulignant les risques croissants auxquels le secteur est confronté en matière de cybersécurité.
Sources :
Microsoft partage une solution de contournement Outlook pour les problèmes de connexion à Gmail
Microsoft a publié une solution temporaire pour un problème connu empêchant les clients de Microsoft 365 de se connecter ou d'ajouter des comptes Gmail via Outlook classique. Les utilisateurs rencontrent des erreurs telles que "Ce navigateur ou cette application peut ne pas être sécurisé" lors de la synchronisation de leurs comptes Gmail. Il est conseillé d'essayer de se connecter via un autre navigateur en cas de problème. Ce problème peut également survenir si l'IMAP n'est pas activé pour le compte Gmail, bien que Google ait supprimé cette option en juin 2024, car l'accès IMAP est désormais toujours activé. Microsoft a annoncé qu'une mise à jour modifiant la procédure de connexion pour ouvrir une nouvelle fenêtre de navigateur est en cours de déploiement pour les utilisateurs d'Office Insider. En attendant, les clients concernés peuvent passer à Office Insider pour obtenir la solution en ajoutant une entrée REG_DWORD dans le registre. En avril, Microsoft avait également averti que Gmail bloquait certains emails d'Outlook.com, incitant Google à recommander à Microsoft de revoir ses directives pour les expéditeurs en masse afin d'améliorer la délivrabilité des emails.
Sources :
Crowdstrike reçoit le prix du pire désastre cyber de l’année
Crowdstrike a été désignée comme l'échec le plus marquant en matière de sécurité lors des Pwnie Awards 2024, qui se sont tenus à la DEF CON, la plus grande convention de hackers au monde. Cette distinction fait suite à une panne informatique mondiale survenue en juillet 2024, causée par une mise à jour défectueuse de son logiciel, entraînant l'arrêt de près de 10 millions de postes Windows et perturbant de nombreuses entreprises, y compris en France. Michael Sentonas, président de Crowdstrike, a accepté le prix en reconnaissant l'ampleur de l'erreur et l'importance d'assumer ses responsabilités. Bien qu'il ne soit pas fier de cette reconnaissance, il a souligné que cela pourrait servir de leçon pour l'avenir, en exposant le trophée au siège de l'entreprise comme un rappel constant des risques associés à la cybersécurité. Les Pwnie Awards, qui récompensent les réussites et les échecs dans le domaine de la sécurité, comportent plusieurs catégories, allant des meilleurs bugs aux pires réponses des fournisseurs. Cette situation met en lumière les défis auxquels sont confrontées les entreprises de cybersécurité dans un environnement technologique en constante évolution.
