Un nouveau kit de phishing « Sneaky 2FA » cible les comptes Microsoft 365 - Actus du 17/01/2025
Découvrez les failles critiques des commutateurs WGS-804HPT, l'impact des mises à niveau forcées de Windows 11 22H2/23H3 et l'essor des robots Python ciblant les serveurs PHP pour booster les plateformes de jeu. Plongez dans ces enjeux technologiques vitaux!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Des failles critiques dans les commutateurs WGS-804HPT permettent l'exploitation RCE et le réseau
Des chercheurs en cybersécurité ont révélé trois vulnérabilités dans les commutateurs industriels WGS-804HPT de Planet Technology, permettant une exécution de code à distance avant authentification sur les appareils vulnérables. Ces commutateurs, utilisés dans les systèmes d'automatisation des bâtiments et des maisons, peuvent être exploités par un attaquant pour compromettre d'autres dispositifs sur un réseau interne. L'analyse approfondie du firmware a été réalisée par Claroty, qui a identifié que les failles proviennent de l'interface dispatcher.cgi utilisée pour le service web. Les vulnérabilités incluent : CVE-2024-52558 (score CVSS : 5.3), une erreur de sous-flux d'entier permettant à un attaquant non authentifié d'envoyer une requête HTTP malformée, entraînant un crash ; CVE-2024-52320 et CVE-2024-48871 (score CVSS : 9.8), des failles d'injection de commande et de débordement de tampon, respectivement, permettant l'exécution de code à distance. L'exploitation réussie de ces failles pourrait permettre à un attaquant de détourner le flux d'exécution en intégrant un shellcode dans la requête HTTP. Suite à une divulgation responsable, Planet Technology a publié des correctifs dans la version 1.305b241111 le 15 novembre 2024.
Sources :
Microsoft lance la mise à niveau forcée des appareils Windows 11 22H2, 23H3
Microsoft a lancé le déploiement forcé de Windows 11 24H2 pour les systèmes éligibles, non gérés, utilisant les éditions Home et Pro de Windows 11 22H2 et 23H2. Selon la politique de cycle de vie de l'entreprise, le support de Windows 11 23H2 prendra fin en octobre 2025, tandis que celui de 22H2 a déjà expiré en octobre 2024. Ce déploiement automatique concerne uniquement les appareils non gérés par des départements informatiques, permettant aux utilisateurs de choisir le moment de redémarrer ou de reporter la mise à jour. Windows 11 24H2, également connu sous le nom de mise à jour 2024, a commencé à être déployé en octobre comme un remplacement complet pour les versions précédentes. Les utilisateurs peuvent vérifier manuellement la disponibilité de la mise à jour via les paramètres de Windows Update. Microsoft a également mis en place des restrictions pour éviter que la mise à jour ne soit proposée aux systèmes présentant des configurations ou des logiciels incompatibles. Un guide étape par étape et un document de support sont disponibles pour aider les utilisateurs à résoudre les problèmes liés à cette mise à jour.
Sources :
Les robots basés sur Python exploitant les serveurs PHP alimentent la prolifération des plateformes de jeu
Des chercheurs en cybersécurité ont révélé une nouvelle campagne ciblant les serveurs web exécutant des applications PHP pour promouvoir des plateformes de jeux d'argent en Indonésie. Au cours des deux derniers mois, des attaques massives menées par des bots basés sur Python ont été observées, suggérant un effort coordonné pour exploiter des milliers d'applications web. Ces attaques semblent liées à l'augmentation des sites de jeux, en réponse à un contrôle gouvernemental accru. La société Imperva a détecté des millions de requêtes provenant d'un client Python, incluant un outil open-source, GSocket, utilisé pour établir des canaux de communication entre machines. GSocket a été impliqué dans des opérations de cryptojacking et d'injection de code JavaScript malveillant pour voler des informations de paiement. Les chaînes d'attaque tentent de déployer GSocket via des web shells sur des serveurs compromis, principalement ceux utilisant le système de gestion de l'apprentissage Moodle. Les fichiers PHP livrés contiennent du code redirigeant les utilisateurs vers des sites de jeux indonésiens, comme "pktoto[.]cc". Pour se protéger, il est conseillé aux propriétaires de sites WordPress de maintenir leurs plugins à jour et de bloquer les domaines malveillants.
Sources :
Comment apporter Zero Trust à la sécurité Wi-Fi avec un portail captif basé sur le cloud ?
Les récentes violations de données soulignent l'importance cruciale d'améliorer la sécurité des infrastructures Wi-Fi pour les invités dans les environnements professionnels modernes. Les organisations doivent protéger leurs réseaux tout en offrant un accès pratique aux visiteurs et au personnel temporaire. La mise en place d'une infrastructure Wi-Fi sécurisée est essentielle pour authentifier l'accès, protéger les données et garantir la continuité des activités. Cela permet d'appliquer des contrôles d'accès stricts et de vérifier l'état de sécurité de chaque appareil. Les réseaux invités, souvent vulnérables, peuvent devenir des points d'entrée pour les attaquants. Parmi les actions recommandées figurent la segmentation du réseau, l'inventaire des actifs, le chiffrement, et l'utilisation de mécanismes d'authentification comme le Captive Portal. La plateforme Cloudi-Fi répond aux exigences de conformité grâce à des centres de données régionaux et à des processus de collecte transparents. Les solutions Zero Trust et les portails captifs basés sur le cloud offrent un contrôle d'accès centralisé et évolutif, tout en simplifiant la gestion et en renforçant la sécurité. En intégrant ces principes, les entreprises peuvent mieux protéger leurs réseaux tout en maintenant un accès fluide pour les utilisateurs autorisés, soulignant ainsi l'importance d'une sécurité Wi-Fi robuste dans le cadre de la conformité réglementaire.
Sources :
Un nouveau kit de phishing « Sneaky 2FA » cible les comptes Microsoft 365 avec un contournement du code 2FA
Des chercheurs en cybersécurité ont identifié un nouveau kit de phishing, nommé Sneaky 2FA, capable de cibler les comptes Microsoft 365 pour voler des identifiants et des codes d'authentification à deux facteurs (2FA). Détecté par la société française Sekoia en décembre 2024, ce kit est proposé comme un service de phishing (PhaaS) par un groupe criminel appelé "Sneaky Log", qui opère via un bot sur Telegram. Près de 100 domaines hébergeant des pages de phishing Sneaky 2FA ont été recensés, indiquant une adoption modérée par les acteurs malveillants. Les campagnes de phishing utilisent des e-mails liés à des reçus de paiement pour inciter les victimes à ouvrir de faux documents PDF contenant des QR codes, redirigeant vers des pages de phishing. Ces pages, souvent hébergées sur des sites WordPress compromis, sont conçues pour remplir automatiquement l'adresse e-mail de la victime. Le kit intègre des mesures anti-bot et anti-analyse, filtrant le trafic et redirigeant les utilisateurs suspects vers une page Wikipédia. Le kit est proposé à 200 $ par mois et pourrait être lié à un syndicat de phishing antérieur, le W3LL Store, suggérant une évolution des techniques de phishing.
Sources :
Les États-Unis sanctionnent un réseau de travailleurs informatiques nord-coréens soutenant des programmes d'armes de destruction massive
Le Département du Trésor américain a sanctionné deux individus et quatre entités pour leur implication présumée dans des schémas de génération de revenus illicites au profit de la République populaire démocratique de Corée (RPDC). Ces sanctions visent des travailleurs informatiques envoyés à l'étranger, qui obtiennent des contrats d'emploi en dissimulant leur identité, permettant ainsi au régime nord-coréen de percevoir jusqu'à 90 % de leurs salaires. Ces revenus, estimés à des centaines de millions de dollars par an, financent des programmes d'armement, y compris des armes de destruction massive. Parmi les entités sanctionnées figurent le Département 53 du ministère des Forces armées, des entreprises de façade comme Korea Osong Shipping Co et Chonsurim Trading Corporation, ainsi que des individus clés liés à ces opérations. Bien que ces activités aient attiré l'attention en 2023, elles existent depuis au moins 2018. Les travailleurs informatiques nord-coréens infiltrent également des entreprises de cryptomonnaie, compromettant leur sécurité et augmentant les tentatives d'extorsion. Le gouvernement américain reste déterminé à perturber ces réseaux qui soutiennent les activités déstabilisatrices du régime nord-coréen.
Sources :
Un peu de fond de teint bien placé pourrait vous aider à échapper à la reconnaissance faciale
Une étude de l'Université Cornell, publiée fin décembre 2024, révèle que des techniques simples de maquillage, comme l'application de fond de teint et de mascara, peuvent tromper les systèmes de reconnaissance faciale. Les chercheurs ont observé que l'intelligence artificielle se concentre sur des zones spécifiques du visage, telles que l'arête du nez et les lèvres, souvent éclaircies par le maquillage. En assombrissant certaines parties du visage, notamment la ligne centrale allant du front au nez et autour des yeux, il est possible de perturber la détection par les caméras. Bien que des méthodes de camouflage aient été utilisées lors des manifestations à Hong Kong en 2019, elles restent visibles et peu discrètes. David Noever, l'un des chercheurs, souligne que la reconnaissance faciale présente des avantages et des dangers, tout en avertissant que cette technologie est complexe et difficile à contourner. Emily Wenger, professeure à l’Université Duke, ajoute que les options pour échapper à la reconnaissance sont limitées, à moins de porter un masque, qui demeure la méthode la plus efficace. Cette recherche soulève des questions sur l'éthique et l'impact de la reconnaissance faciale dans notre société.
Sources :
Un groupe européen de protection de la vie privée poursuit TikTok et AliExpress pour transferts illicites de données vers la Chine
L'organisation autrichienne de protection de la vie privée, None of Your Business (noyb), a déposé des plaintes contre des entreprises telles que TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi, les accusant de violer les réglementations de protection des données de l'Union européenne en transférant illégalement les données des utilisateurs vers la Chine. Noyb demande la suspension immédiate de ces transferts, arguant que ces entreprises ne peuvent pas protéger les données des utilisateurs contre un accès potentiel du gouvernement chinois. Les plaintes ont été déposées en Autriche, en Belgique, en Grèce, en Italie et aux Pays-Bas. Kleanthi Sardeli, avocate en protection des données chez noyb, a souligné que la Chine, en tant qu'État autoritaire, n'offre pas le même niveau de protection des données que l'UE. Les entreprises concernées n'ont pas répondu aux demandes d'accès relatives au RGPD concernant la nature des transferts de données. Parallèlement, la Federal Trade Commission (FTC) des États-Unis a pris des mesures contre General Motors et GoDaddy pour des violations de la protection des données, notamment en interdisant à GM de partager des données de conducteurs sans consentement et en ordonnant à GoDaddy de renforcer ses pratiques de sécurité après plusieurs violations de données.
Sources :
Des plaintes RGPD déposées contre TikTok et Temu pour avoir envoyé des données d'utilisateurs en Chine
L'organisation non lucrative de défense de la vie privée "None of Your Business" (noyb), fondée par l'activiste autrichien Max Schrems, a déposé six plaintes contre TikTok, AliExpress, SHEIN, Temu, WeChat et Xiaomi pour transfert illégal des données des utilisateurs européens vers la Chine, en violation du Règlement général sur la protection des données (RGPD) de l'Union européenne. Les plaintes ont été soumises aux autorités de protection des données en Grèce, en Italie, en Belgique, aux Pays-Bas et en Autriche. NOYB souligne que la Chine, en tant qu'État autoritaire, ne garantit pas le même niveau de protection des données que l'UE, ce qui contrevient aux principes de transfert de données du RGPD. Les entreprises chinoises sont accusées de ne pas respecter les demandes d'accès aux données des utilisateurs européens, enfreignant ainsi l'article 15 du RGPD. NOYB demande la suspension immédiate des transferts de données vers la Chine et l'alignement des pratiques de traitement des données avec les exigences du RGPD. En cas de violations avérées, les entreprises pourraient faire face à des amendes administratives pouvant atteindre 4 % de leur chiffre d'affaires annuel mondial, soit jusqu'à 1,75 milliard de dollars pour Xiaomi et 1,35 milliard pour Temu.
Sources :
La faille du plugin W3 Total Cache expose 1 million de sites WordPress à des attaques
Une vulnérabilité grave dans le plugin W3 Total Cache, utilisé sur plus d'un million de sites WordPress, expose ces derniers à des attaques potentielles. Cette faille, identifiée sous le code CVE-2024-12365, permettrait aux attaquants d'accéder à des informations sensibles, y compris des métadonnées d'applications basées sur le cloud. Bien qu'un correctif ait été publié dans la version 2.8.2, de nombreux sites n'ont pas encore effectué la mise à jour. La vulnérabilité provient d'un manque de vérification dans la fonction ‘isw3tcadmin_page’, permettant d'accéder à des valeurs de sécurité non autorisées. Les risques incluent la falsification de requêtes côté serveur (SSRF), la divulgation d'informations et l'abus de services, ce qui pourrait affecter les performances du site et entraîner des coûts supplémentaires. Les attaquants pourraient exploiter cette faille pour rediriger des requêtes vers d'autres services, facilitant ainsi d'autres attaques. Les utilisateurs concernés sont fortement encouragés à mettre à jour vers la version 2.8.2. En outre, il est recommandé de limiter le nombre de plugins installés et d'utiliser un pare-feu d'application web pour bloquer les tentatives d'exploitation.
Sources :
Microsoft étend les tests de la fonctionnalité de protection de l'administrateur de Windows 11
Microsoft a élargi les tests de la fonctionnalité de protection des administrateurs de Windows 11, permettant aux utilisateurs Insiders d'activer cette option via les paramètres de sécurité de Windows. Introduite en octobre dans une version préliminaire, cette protection utilise un mécanisme d'élévation juste-à-temps et des invites d'authentification Windows Hello, débloquant les droits d'administrateur uniquement lorsque cela est nécessaire. Une fois activée, elle garantit que les utilisateurs administrateurs connectés disposent uniquement de permissions standard et doivent s'authentifier pour installer de nouvelles applications ou modifier le registre. Cette méthode d'authentification est conçue pour être plus difficile à contourner que le contrôle de compte utilisateur (UAC), protégeant ainsi les ressources critiques contre les malwares et les attaques. La protection des administrateurs est désactivée par défaut et doit être activée par les administrateurs informatiques ou par les utilisateurs via les paramètres de sécurité de Windows. Cette fonctionnalité est actuellement accessible aux Insiders dans le Canal Canary ayant installé la version préliminaire 27774. Microsoft prévoit également d'introduire d'autres fonctionnalités de sécurité, telles que la récupération rapide des machines et le support de la configuration de rafraîchissement, dans le cadre de son initiative de cybersécurité.
Sources :
Les États-Unis durcissent les sanctions contre l'armée nord-coréenne des informaticiens
Le 16 janvier 2025, le département du Trésor américain a imposé des sanctions à un réseau d'individus et de sociétés écrans liés au ministère nord-coréen de la Défense nationale, qui génèrent des revenus grâce à des travaux informatiques à distance illégaux. Bradley T. Smith, sous-secrétaire au Trésor par intérim, a déclaré que la Corée du Nord s'appuie sur ses milliers de travailleurs IT à l'étranger pour financer ses programmes d'armement illégaux et soutenir la Russie dans sa guerre en Ukraine. Les sanctions visent notamment les sociétés Korea Osong Shipping Co et Chonsurim Trading Corporation, ainsi que leurs dirigeants. Une entreprise chinoise, Liaoning China Trade, a également été sanctionnée pour avoir fourni des équipements électroniques à des entités nord-coréennes. Les organisations et citoyens américains ne peuvent plus effectuer de transactions avec ces entités, et leurs actifs aux États-Unis seront gelés. Le département d'État offre jusqu'à 5 millions de dollars pour des informations permettant de perturber les activités d'autres sociétés nord-coréennes. Les travailleurs IT nord-coréens, surnommés "guerriers IT", se cachent derrière de fausses identités pour obtenir des contrats à l'étranger, tout en reversant jusqu'à 90 % de leurs salaires au régime.
Sources :
La star russe Blizzard cible les comptes WhatsApp dans une nouvelle campagne de spear-phishing
Le groupe de menace russe connu sous le nom de Star Blizzard a été associé à une nouvelle campagne de spear-phishing visant les comptes WhatsApp des victimes, marquant un changement dans ses méthodes pour éviter la détection. Selon l'équipe de renseignement sur les menaces de Microsoft, les cibles de Star Blizzard incluent principalement des responsables gouvernementaux, des chercheurs en relations internationales liés à la Russie, ainsi que des personnes apportant une aide à l'Ukraine dans le cadre de la guerre avec la Russie. Actif depuis 2012, ce groupe a précédemment utilisé des e-mails de phishing pour voler des identifiants et des codes d'authentification à deux facteurs. Récemment, il a commencé à exploiter des plateformes de marketing par e-mail pour masquer ses véritables adresses d'expéditeur. En fin d'année dernière, Microsoft et le ministère américain de la Justice ont saisi plus de 180 domaines utilisés par ce groupe pour cibler des journalistes et des ONG. La campagne actuelle, qui a débuté avec un e-mail prétendant provenir d'un officiel américain, incite les victimes à rejoindre un groupe WhatsApp via un code QR défectueux, permettant ainsi à Star Blizzard d'accéder à leurs messages. Les individus dans les secteurs ciblés doivent faire preuve de prudence face à ces e-mails.
Sources :
Choisir la bonne société de gestion des risques liés aux tiers pour votre entreprise
La gestion des risques liés aux tiers est devenue essentielle pour les entreprises, car elles dépendent de plus en plus de fournisseurs, de sous-traitants et de partenaires. Ces relations, bien que cruciales pour les opérations, exposent les entreprises à des vulnérabilités pouvant nuire à leur sécurité, leur conformité et leur réputation. Les risques peuvent se manifester sous diverses formes, notamment des menaces de cybersécurité et des violations de conformité. Il est donc impératif d'évaluer la posture de sécurité des fournisseurs et de s'assurer qu'ils respectent les réglementations pertinentes, telles que le RGPD ou la norme ISO/IEC 27001. Les entreprises doivent utiliser des outils de gestion des risques tiers capables de suivre les menaces en temps réel et d'effectuer des évaluations régulières pour identifier les risques émergents. Lors du choix d'un fournisseur, il est important de considérer sa réputation, son expérience et la capacité de personnalisation de ses services. En intégrant une gestion efficace des risques tiers dans leur stratégie de cybersécurité, les entreprises peuvent non seulement protéger leurs opérations contre les menaces, mais aussi prospérer dans un environnement numérique en constante évolution.
Sources :
Biden signe un décret pour renforcer la cybersécurité nationale
Le 16 janvier 2025, le président Joe Biden a signé un décret exécutif visant à renforcer la cybersécurité des États-Unis, facilitant l'imposition de sanctions contre les groupes de hackers ciblant les agences fédérales et les infrastructures critiques. Ce décret répond à la menace persistante des gangs de ransomware, qui ont perturbé les organisations de santé américaines en cryptant des systèmes et en volant des données sensibles. Il s'inscrit dans la continuité de l'Ordre Exécutif 13694 d'Obama, qui autorise des sanctions contre les entités impliquées dans des cyberattaques menaçant la sécurité nationale. Biden a souligné que les activités malveillantes liées au cyberespace représentent une menace extraordinaire pour le pays. Le décret vise à améliorer la cybersécurité des services critiques, à sécuriser les communications gouvernementales, à promouvoir la sécurité dans l'intelligence artificielle et à aligner les investissements des agences fédérales. Selon Anne Neuberger, conseillère adjointe à la sécurité nationale, l'objectif est de rendre les cyberattaques plus coûteuses pour des pays comme la Chine, la Russie et l'Iran. Ce décret s'appuie sur les efforts précédents de l'administration Biden pour défendre le pays contre les cybermenaces.
Sources :
Le cabinet d'avocats Wolf Haldenstein déclare que 3,5 millions de personnes ont été touchées par une violation de données
Le cabinet d'avocats Wolf Haldenstein Adler Freeman & Herz LLP a annoncé avoir subi une violation de données ayant exposé les informations personnelles de près de 3,5 millions d'individus. L'incident, survenu le 13 décembre 2023, a été retardé dans son enquête en raison de complications d'analyse de données et d'expertises numériques. Le 3 décembre 2024, le cabinet a déterminé que 3 445 537 personnes étaient affectées, mais il n'a pas pu localiser les coordonnées de nombreux concernés pour leur envoyer des notifications. Les données compromises incluent des informations sensibles telles que le nom complet, le numéro de sécurité sociale, des identifiants d'employé, ainsi que des informations médicales. Bien que Wolf Haldenstein n'ait pas de preuves d'utilisation abusive des données, il met en garde contre les risques accrus de phishing et d'escroqueries. Le cabinet propose une couverture de surveillance de crédit aux personnes touchées et les encourage à rester vigilantes face aux communications non sollicitées. Il n'est pas précisé si les données appartenaient à des clients, employés ou autres. Les personnes concernées sont invitées à contacter le cabinet pour des clarifications sur l'impact de cet incident.
