Une base de données SFR réapparait dans le darkweb - Actus du 09/08/2024
Découvrez comment une base de données SFR refait surface sur le dark web, Proton Pass propose une nouvelle alternative de déverrouillage et un homme de Nashville est accusé par le ministère de la Justice d'aider des Nord-Coréens à décrocher des emplois tech aux États-Unis. Plongée dans les...
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une base de données SFR réapparait dans le darkweb
Une base de données contenant des informations sur 1,4 million de clients de SFR a récemment refait surface sur le dark web, selon le Service Veille ZATAZ. Un pirate informatique avait initialement proposé cette base de données à la vente sur un site russophone pour quelques centaines de dollars. Les données incluent des informations personnelles telles que l'identité, le numéro de téléphone, l'adresse physique et la géolocalisation, mais pas d'adresses électroniques. Ce vol de données pourrait être lié à une exfiltration réalisée après une attaque par rançonneurs sur Altice, la maison mère de SFR, en 2022. ZATAZ a observé que, peu après la vente initiale, la base de données a été diffusée gratuitement sur plusieurs plateformes du dark web. Ce phénomène de vente suivie d'une diffusion gratuite a également été noté pour d'autres entreprises comme LDLC et Sport2000. ZATAZ a réussi à faire fermer trois des sept espaces de stockage identifiés. Ce cas soulève des préoccupations quant à la sécurité des données et à la vulnérabilité des entreprises face aux cyberattaques.
Sources :
Proton Pass ajoute enfin une alternative au déverrouillage par mot de passe
Proton Pass, le gestionnaire de mots de passe lancé par Proton en 2023, a récemment intégré une fonctionnalité biométrique permettant de déverrouiller l'application avec une empreinte digitale, une option déjà présente chez certains concurrents. Cependant, cette fonctionnalité est réservée aux abonnés payants, dont le tarif commence à 1,99 euro par mois, laissant les utilisateurs gratuits se contenter du mot de passe maître traditionnel. D'autres gestionnaires comme Dashlane, Bitwarden, et 1Password offrent également des services premium tout en rendant certaines fonctionnalités accessibles à tous. Pour rester compétitif, Proton Pass a introduit plusieurs nouveautés, telles que la prise en charge des passkeys et un tableau de bord pour évaluer la qualité des mots de passe. En plus de ces améliorations, une gestion de l’identité en ligne a été annoncée le 8 août 2024. Dans un marché en constante évolution, les gestionnaires de mots de passe doivent innover régulièrement pour attirer et fidéliser leur clientèle. Proton Pass, bien qu'encore jeune, s'efforce de se démarquer par ses mises à jour et ses fonctionnalités, tout en naviguant entre options gratuites et payantes.
Sources :
Le ministère de la Justice accuse un homme de Nashville d'avoir aidé des Nord-Coréens à obtenir des emplois dans le secteur technologique aux États-Unis
Le Département de la Justice des États-Unis a inculpé Matthew Isaac Knoot, 38 ans, de Nashville, pour avoir dirigé une "ferme de portables" facilitant l'emploi à distance de Nord-Coréens dans des entreprises américaines et britanniques. Les accusations incluent la conspiration pour endommager des ordinateurs protégés, le blanchiment d'argent, la fraude électronique, et le vol d'identité aggravé. Si reconnu coupable, Knoot risque jusqu'à 20 ans de prison, dont un minimum de deux ans pour le vol d'identité. Selon les documents judiciaires, il aurait permis à des acteurs nord-coréens d'obtenir des emplois dans le secteur des technologies de l'information en utilisant l'identité volée d'un citoyen américain. Knoot aurait hébergé des ordinateurs portables chez lui, installé des logiciels non autorisés pour faciliter l'accès, et blanchi les paiements liés à ces emplois. Les travailleurs auraient généré plus de 250 000 dollars, causant des pertes de plus de 500 000 dollars aux entreprises victimes. Knoot est le deuxième inculpé dans ce schéma, après Christina Marie Chapman. Ce développement survient alors que le Département d'État offre une récompense pour des informations sur des individus liés aux cyberattaques iraniennes.
Sources :
La CISA met en garde contre les pirates informatiques exploitant la fonctionnalité Smart Install héritée de Cisco
La Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a averti que des acteurs malveillants exploitent la fonctionnalité Cisco Smart Install (SMI) pour accéder à des données sensibles. CISA a observé que ces adversaires acquièrent des fichiers de configuration système en abusant de protocoles disponibles sur les appareils, tout en notant l'utilisation de mots de passe faibles sur les dispositifs Cisco, ce qui les rend vulnérables aux attaques par craquage de mots de passe. Pour contrer cela, CISA recommande d'utiliser une protection de type 8 pour les mots de passe sur tous les appareils Cisco et d'examiner les conseils de la National Security Agency (NSA) concernant le protocole Smart Install. D'autres bonnes pratiques incluent l'utilisation d'algorithmes de hachage robustes, l'évitement de la réutilisation des mots de passe et l'attribution de mots de passe complexes. Parallèlement, Cisco a signalé la disponibilité publique d'un code de preuve de concept pour une vulnérabilité critique (CVE-2024-20419) affectant le Smart Software Manager On-Prem, permettant à un attaquant distant de modifier des mots de passe. Cisco a également alerté sur plusieurs failles critiques dans ses téléphones IP, soulignant la nécessité pour les utilisateurs de migrer vers des modèles plus récents, car les appareils concernés ont atteint leur fin de vie.
Sources :
Erreur sur le recrutement : un logiciel pour un sous-marin britannique a été en partie conçu en Russie
Un rapport du 2 août 2024, révélé par The Telegraph, indique qu'un logiciel utilisé dans les sous-marins britanniques a été partiellement développé en Russie et en Biélorussie, soulevant des préoccupations de sécurité. Initialement, le développement devait être réalisé par des ingénieurs britanniques, mais une partie a été externalisée à des développeurs basés à Minsk et à Tomsk. Le ministre de la Défense britannique a qualifié cette situation de risque majeur et a lancé une enquête. Celle-ci a révélé que Rolls-Royce Submarines, en charge de la flotte de sous-marins nucléaires, avait sous-traité la mise à jour du réseau à WM Reply, qui a ensuite employé des développeurs biélorusses. Des employés de WM Reply ont exprimé des inquiétudes concernant cette externalisation, mais leurs préoccupations ont été ignorées. Pour dissimuler l'identité des développeurs étrangers, des faux noms ont été utilisés, y compris ceux de citoyens britanniques décédés. Rolls-Royce a assuré que tous les travaux sous-traités avaient été soumis à des tests de sécurité rigoureux, tandis que WM Reply a nié toute mise en danger de la sécurité nationale.
Sources :
Les États-Unis démantèlent une ferme d'ordinateurs portables utilisée par des informaticiens nord-coréens infiltrés
Le 8 août 2024, le département de la Justice des États-Unis a arrêté Matthew Isaac Knoot, un homme de Nashville, accusé d'avoir aidé des travailleurs informatiques nord-coréens à obtenir des emplois à distance dans des entreprises américaines. Knoot a mis en place une "ferme de portables" où il a permis à ces travailleurs de se faire passer pour un citoyen américain, Andrew M. Il a fourni un logement pour les ordinateurs portables expédiés à son adresse et a blanchi les paiements vers des comptes nord-coréens et chinois. Les applications de bureau à distance installées par Knoot ont permis aux travailleurs nord-coréens de travailler depuis la Chine tout en apparaissant comme basés à Nashville. Entre juillet 2022 et août 2023, ces travailleurs ont généré des revenus pour le programme nucléaire de la Corée du Nord, chacun gagnant plus de 250 000 dollars. Knoot fait face à plusieurs accusations, dont la fraude et le vol d'identité, et pourrait être condamné à 20 ans de prison. Ce cas souligne la menace persistante des acteurs nord-coréens qui usurpent l'identité de personnel informatique américain, une préoccupation que le FBI a soulevée depuis 2023.
Sources :
Cisco met en garde contre des vulnérabilités RCE critiques dans les téléphones IP en fin de vie
Cisco a averti de plusieurs vulnérabilités critiques de type exécution de code à distance (RCE) dans l'interface de gestion web des téléphones IP de la série Small Business SPA 300 et SPA 500, qui sont désormais obsolètes. L'entreprise n'a pas fourni de correctifs ni de conseils de mitigation, incitant les utilisateurs à migrer vers des modèles plus récents et activement supportés. Parmi les cinq vulnérabilités divulguées, trois sont classées comme critiques (CVE-2024-20450, CVE-2024-20452, CVE-2024-20454) avec un score CVSS de 9.8, permettant à un attaquant non authentifié d'exécuter des commandes arbitraires avec des privilèges root via des requêtes HTTP malveillantes. Les deux autres vulnérabilités, classées comme de haute sévérité (CVE-2024-20451 et CVE-2024-20453), peuvent provoquer un déni de service. Les SPA 300 ont atteint leur fin de support en février 2022, tandis que les SPA 500 le feront en mai 2025 pour certains contrats. Cisco recommande de passer à des modèles comme le Cisco IP Phone 8841 ou ceux de la série 6800, et propose un programme de migration technologique pour faciliter cette transition.
Sources :
Microsoft : Exchange 2016 atteint la fin de son support étendu en octobre
Microsoft a annoncé que Exchange 2016 atteindra la fin de son support étendu le 14 octobre 2024. Après avoir atteint sa fin de support principal en octobre 2020, il est désormais crucial pour les administrateurs de commencer à décommissionner les serveurs Exchange 2016 au profit d'Exchange 2019, qui est le seul à permettre des mises à niveau sur place vers Exchange SE. Microsoft recommande de mettre les serveurs Exchange 2016 en mode maintenance pendant une semaine après la migration vers une version plus récente afin d'identifier d'éventuels problèmes. Il est essentiel de résoudre ces problèmes avant de désinstaller Exchange 2016, car une fermeture sans plan de migration adéquat peut entraîner des complications. Les administrateurs doivent s'assurer qu'il n'y a plus de connexions aux serveurs Exchange 2016 avant de les désinstaller. Microsoft a également rappelé que le support principal d'Exchange 2019 prendra fin en octobre 2025, incitant les utilisateurs à migrer vers Exchange Online ou à mettre à jour vers Exchange 2019 pour continuer à recevoir des mises à jour de sécurité. Des ressources sont disponibles sur le site de documentation de Microsoft pour aider à la migration vers Exchange Online.
Sources :
La CISA met en garde contre une faille RCE Apache OFBiz activement exploitée
La CISA (Cybersecurity & Infrastructure Security Agency) des États-Unis a émis un avertissement concernant deux vulnérabilités activement exploitées, dont une affectant Apache OFBiz, un système de planification des ressources d'entreprise open-source. La vulnérabilité, identifiée comme CVE-2024-32113, est une faille de traversée de chemin touchant les versions d'OFBiz antérieures à 18.12.13. Si elle est exploitée, elle permettrait à des attaquants d'exécuter à distance des commandes arbitraires sur des serveurs vulnérables. Les agences fédérales et les organisations d'État ont jusqu'au 28 août 2024 pour appliquer les mises à jour de sécurité ou cesser d'utiliser le produit. Une autre vulnérabilité, CVE-2024-36971, concerne un zero-day du noyau Android, également signalé par la CISA. La faille CVE-2024-32113, révélée le 8 mai 2024, résulte d'une validation insuffisante des entrées et d'une mauvaise gestion des données fournies par l'utilisateur, permettant des séquences de traversée de répertoires. De plus, une nouvelle vulnérabilité critique, CVE-2024-38856, a été découverte, affectant les versions jusqu'à 18.12.14, avec un score CVSS de 9.8, incitant à une mise à jour vers la version 18.12.15.
Sources :
Exploit publié pour un bug Cisco SSM permettant de modifier le mot de passe administrateur
Cisco a averti qu'un code d'exploitation est désormais disponible pour une vulnérabilité de gravité maximale, permettant aux attaquants de modifier n'importe quel mot de passe utilisateur sur les serveurs de licences Cisco Smart Software Manager On-Prem (SSM On-Prem) non corrigés. Ce composant de Cisco Smart Licensing gère les comptes et les licences de produits via un tableau de bord dédié sur le réseau local. La vulnérabilité, identifiée sous le numéro CVE-2024-20419, résulte d'une faiblesse dans le système d'authentification de SSM On-Prem, permettant à des attaquants non authentifiés de changer à distance les mots de passe, y compris ceux des comptes administrateurs, sans connaître les identifiants d'origine. Cisco a précisé que cette faille est due à une mauvaise mise en œuvre du processus de changement de mot de passe. Bien qu'aucune preuve d'exploitation active n'ait été trouvée, l'entreprise a conseillé aux administrateurs de mettre à jour leurs systèmes pour corriger cette vulnérabilité, car aucune solution de contournement n'est disponible. Par ailleurs, Cisco a récemment corrigé d'autres vulnérabilités critiques affectant ses appareils, renforçant ainsi l'importance des mises à jour de sécurité.
Sources :
La CISA met en garde contre les pirates informatiques qui abusent de la fonctionnalité Cisco Smart Install
Le 8 août 2024, la CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a recommandé de désactiver la fonctionnalité Cisco Smart Install (SMI) en raison de son abus par des hackers lors d'attaques récentes. Ces cybercriminels exploitent cette fonctionnalité, ainsi que d'autres protocoles, pour voler des données sensibles, notamment des fichiers de configuration système. La CISA a conseillé aux administrateurs de désactiver le protocole SMI, remplacé par la solution Cisco Network Plug and Play, afin de prévenir ces attaques. En outre, elle a suggéré de consulter les recommandations de la NSA sur l'utilisation abusive du protocole SMI et le guide de sécurité des infrastructures réseau. Des alertes antérieures avaient déjà signalé des abus de ce protocole, notamment par des groupes de hackers soutenus par la Russie. La CISA a également mis en évidence l'importance de renforcer la sécurité des mots de passe, car des mots de passe faibles facilitent les attaques. Elle recommande d'utiliser des mots de passe de type 8, conformes aux normes NIST, pour protéger les dispositifs Cisco. Les meilleures pratiques incluent le stockage sécurisé des mots de passe et l'évitement de leur réutilisation.
Sources :
Une faille de sécurité vieille de 18 ans dans Firefox et Chrome exploitée dans des attaques
Une vulnérabilité, connue sous le nom de "0.0.0.0 Day", découverte il y a 18 ans, permet à des sites malveillants de contourner la sécurité des navigateurs Google Chrome, Mozilla Firefox et Apple Safari, en interagissant avec des services sur un réseau local. Les mécanismes de protection existants, tels que le Cross-Origin Resource Sharing (CORS) et le Private Network Access (PNA), échouent à bloquer ces activités risquées. Cette vulnérabilité permet aux attaquants d'envoyer des requêtes HTTP à des adresses locales, comme 127.0.0.1, sans se soucier des réponses, ce qui peut entraîner l'exécution de code arbitraire ou des modifications de configuration. Oligo Security a identifié des campagnes exploitant cette faille, ciblant notamment des charges de travail d'IA sur des machines de développeurs. En réponse, les développeurs de navigateurs, dont Google et Apple, ont commencé à mettre en œuvre des mesures pour bloquer l'accès à 0.0.0.0 dans les versions à venir. Cependant, jusqu'à ce que ces correctifs soient déployés, les sites malveillants peuvent toujours rediriger des requêtes HTTP vers des adresses IP internes, soulignant l'importance de la vigilance en matière de sécurité.
Sources :
Des professeurs d'université pris pour cible par un groupe de cyberespionnage nord-coréen
Le groupe de cybermenaces lié à la Corée du Nord, connu sous le nom de Kimsuky, a récemment été associé à une série d'attaques ciblant le personnel universitaire, les chercheurs et les professeurs dans le but de collecter des informations. La société de cybersécurité Resilience a identifié ces activités à la fin de juillet 2024, après avoir remarqué une erreur d'opération de sécurité (OPSEC) de la part des hackers. Kimsuky, également désigné par plusieurs noms tels que APT43 et Velvet Chollima, fait partie des nombreuses équipes de cyberattaque sous l'égide du gouvernement nord-coréen. Ce groupe utilise principalement des campagnes de spear-phishing pour déployer des outils personnalisés permettant de réaliser des reconnaissances, de voler des données et d'établir un accès à distance persistant. Les attaques impliquent l'utilisation d'hôtes compromis pour déployer une version obfusquée du shell web Green Dinosaur, facilitant des opérations de fichiers. Kimsuky a également mis en place des pages de phishing imitant des portails de connexion légitimes pour capturer les identifiants des victimes. Pour se protéger, il est conseillé aux utilisateurs d'activer une authentification multi-facteurs résistante au phishing et de vérifier les URL avant de se connecter.
