Une faille critique dans le système ASF de Microchip expose les appareils IoT à un risque d'exécution de code à distance - Actus du 23/09/2024
Découvrez comment un mème partagé par Elon Musk est lié à la propagande du Kremlin, les meilleures pratiques pour gérer le shadow IT et réduire votre surface d'attaque, ainsi qu'un récapitulatif des principales menaces et tendances de cybersécurité de la semaine dernière (16-22 septembre).
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Ce mème partagé par Elon Musk sort directement de l’usine de propagande du Kremlin
Une fuite massive de documents de la "Social Design Agency" (ASP), une organisation de propagande du Kremlin, a été révélée par plusieurs médias allemands et estoniens le 16 septembre. Dirigée par Ilya Gambashidze, l'agence est sanctionnée par l'UE et les États-Unis pour ses campagnes d'influence. Les documents, publiés après une saisie par les autorités américaines, montrent une structure organisée de désinformation, incluant des mèmes classés par pays et des stratégies de diffusion. Un mème moquant le président ukrainien Zelensky, partagé par Elon Musk, a été identifié comme une création de Sofia Zakharova, employée de l'administration Poutine. Les documents révèlent également des plans d'influence ciblant la France et l'Allemagne, avec des propositions de fausses informations, comme des accusations de terrorisme contre les Ukrainiens ou des mensonges sur des crimes fictifs. Ces révélations soulignent l'ampleur des efforts de désinformation du Kremlin, visant à influencer l'opinion publique en Europe, en utilisant des techniques similaires à celles des agences de publicité, mais avec des messages de propagande.
Sources :
Comment gérer le shadow IT et réduire votre surface d'attaque
Dans le contexte actuel des affaires, le phénomène de "shadow IT" émerge, où les employés adoptent des solutions informatiques non autorisées pour améliorer leur productivité. Bien que souvent motivé par de bonnes intentions, ce phénomène expose les organisations à des risques de sécurité, de conformité et à des coûts cachés. Des études révèlent que 85 % des entreprises subissent des incidents cybernétiques, dont 11 % sont directement liés au shadow IT. Pour atténuer ces risques, les organisations doivent adopter une approche globale. Cela inclut la compréhension des causes profondes qui poussent les employés à contourner les processus IT, l'éducation sur les dangers du shadow IT et la promotion de solutions alternatives approuvées. Il est également essentiel d'établir des politiques claires concernant l'utilisation des dispositifs et logiciels personnels. De plus, l'utilisation d'outils technologiques pour surveiller les actifs informatiques non gérés est cruciale. Ces outils permettent une découverte continue et une analyse des actifs en ligne, renforçant ainsi la posture de sécurité de l'organisation. En intégrant des solutions comme EASM, les entreprises peuvent mieux identifier et remédier aux vulnérabilités, tout en favorisant une culture de collaboration entre les équipes IT et les autres départements.
Sources :
Récapitulatif de la cybersécurité THN : principales menaces et tendances de la semaine dernière (du 16 au 22 septembre)
L'article aborde plusieurs développements récents dans le domaine de la cybersécurité. Le groupe de hackers nord-coréen Lazarus, connu sous le nom UNC2970, utilise des leurres d'emploi pour cibler des victimes dans les secteurs de l'énergie et de l'aérospatiale, déployant un nouveau malware appelé MISTPEN. Parallèlement, Europol a démantelé un réseau criminel international, iServer et Ghost, qui exploitait une plateforme de phishing pour déverrouiller des téléphones volés. Dans un autre développement, Apple a décidé de retirer sa plainte contre le groupe NSO, citant des préoccupations concernant la divulgation d'informations critiques sur les menaces. De plus, une nouvelle vague d'attaques de phishing exploite les en-têtes HTTP pour créer des pages de connexion frauduleuses. Une recherche a révélé que plus de 135 000 systèmes interrogeaient encore un ancien serveur WHOIS, compromettant ainsi la sécurité des certificats TLS/SSL. Enfin, des ressources et des webinaires sur la cybersécurité sont proposés, notamment sur les stratégies de confiance zéro pour contrer les ransomwares. L'article souligne l'importance de la vigilance face aux menaces numériques croissantes.
Sources :
Pourquoi les mots de passe « sans date d’expiration » peuvent être une décision risquée
Les équipes informatiques font face à une charge quotidienne liée à la réinitialisation des mots de passe via des tickets de service et des appels de support. Bien que la politique traditionnelle de réinitialisation tous les 90 jours vise à protéger contre les attaques par force brute, les avancées technologiques ont réduit le temps nécessaire pour craquer les mots de passe, incitant à une réévaluation de cette approche. Certaines organisations choisissent de ne pas faire expirer les mots de passe pour alléger la charge sur le service informatique, mais cela peut créer un faux sentiment de sécurité. Un mot de passe fort, s'il n'est jamais changé, reste vulnérable aux attaques de phishing et aux violations de données. De plus, la réutilisation des mots de passe pour des applications personnelles augmente le risque de compromission. Une enquête de LastPass révèle que 91 % des utilisateurs comprennent les risques de réutilisation, mais 59 % le font quand même. Les directives du NIST recommandent de ne pas opter pour des mots de passe à expiration illimitée sans mécanismes pour identifier les comptes compromis. Les organisations doivent adopter une stratégie intégrée pour se protéger contre les mots de passe faibles et compromis, en encourageant la création de phrases de passe robustes d'au moins 15 caractères.
Sources :
Une faille critique dans le système ASF de Microchip expose les appareils IoT à un risque d'exécution de code à distance
Une vulnérabilité critique a été révélée dans le Microchip Advanced Software Framework (ASF), identifiée sous le code CVE-2024-7490, avec un score CVSS de 9,5 sur 10. Cette faille, décrite comme un débordement de pile, résulte d'une validation d'entrée insuffisante dans l'implémentation du serveur tinydhcp d'ASF. Selon le CERT Coordination Center, cette vulnérabilité permet à une requête DHCP spécialement conçue de provoquer un débordement de pile, entraînant une exécution de code à distance. Elle affecte la version 3.52.0.2574 d'ASF et toutes les versions antérieures, et pourrait se retrouver dans de nombreux systèmes en raison de l'absence de support pour ce logiciel. Actuellement, il n'existe aucune solution ou atténuation, à l'exception du remplacement du service tinydhcp par un autre. Parallèlement, SonicWall Capture Labs a signalé une vulnérabilité zero-click (CVE-2024-20017, CVSS 9.8) touchant les chipsets Wi-Fi MediaTek, permettant également une exécution de code à distance sans interaction utilisateur. Un correctif a été publié par MediaTek en mars 2024, mais le risque d'exploitation a augmenté avec la disponibilité d'un exploit de preuve de concept depuis le 30 août 2024.
Sources :
Discord présente le protocole DAVE pour le chiffrement de bout en bout des appels audio et vidéo
Discord a annoncé le déploiement d'un nouveau protocole de cryptage de bout en bout (E2EE) pour sécuriser les appels audio et vidéo, nommé DAVE (Discord's audio and video end-to-end encryption). Ce changement, introduit la semaine dernière, concerne les appels vocaux et vidéo dans les messages directs, les groupes de messages, les canaux vocaux et les diffusions en direct. Cependant, les messages sur Discord resteront non cryptés et soumis à une modération de contenu. Discord souligne que l'ajout de fonctionnalités de confidentialité comme l'E2EE A/V est intégré à sa politique de sécurité, permettant ainsi de maintenir des protections supplémentaires. DAVE est auditable publiquement et a été examiné par Trail of Bits, utilisant des transformations encodées WebRTC et la sécurité de couche de message (MLS) pour le cryptage et l'échange de clés de groupe. Chaque trame est cryptée avec une clé symétrique par expéditeur, connue de tous les participants, mais inaccessible aux non-participants, y compris Discord. Le protocole permet également aux utilisateurs de rejoindre ou quitter des sessions sans compromettre la sécurité des médias échangés. Cette annonce intervient peu après que la GSMA a annoncé travailler sur l'implémentation de l'E2EE pour le protocole RCS.
Sources :
Assises de la Sécurité 2024 : SentinelOne mise sur l’IA et la protection du cloud
Lors des Assises de la Sécurité 2024, SentinelOne mettra en avant sa plateforme Singularity™ Cloud Native Security, axée sur la protection du cloud, l'intelligence artificielle et les évolutions de ses solutions EDR/XDR. Le cloud, devenu un terrain de jeu pour les cybercriminels, nécessite des solutions adaptées. La plateforme, lancée en mai, inclut des fonctionnalités de Cloud Infrastructure Entitlement Management (CIEM) pour gérer les droits d'accès aux ressources cloud. Des démonstrations seront proposées durant l'événement. SentinelOne présentera également sa solution Singularity AI SIEM, qui unifie et corrèle les logs pour une détection et une réponse aux incidents plus efficaces. Deux ateliers seront animés avec des témoignages de la RATP et de Sanofi. David Diallo, de la RATP, expliquera la mise en œuvre de leur stratégie cyber, soulignant le déploiement de la solution EDR de SentinelOne pour renforcer la sécurité au sein d'une organisation complexe. Jean-Marc Albert, de Sanofi, partagera son expérience sur l'intégration d'un EDR de nouvelle génération, visant à améliorer la visibilité et la réactivité de leur SOC face à des menaces variées à l'échelle mondiale. Ces interventions illustrent l'importance croissante de la cybersécurité dans le secteur.
Sources :
Un nouveau malware PondRAT caché dans des packages Python cible les développeurs de logiciels
Des acteurs malveillants liés à la Corée du Nord ont été observés utilisant des paquets Python empoisonnés pour diffuser un nouveau malware appelé PondRAT, dans le cadre d'une campagne continue. Selon les recherches de Palo Alto Networks Unit 42, PondRAT est une version allégée de POOLRAT, un backdoor macOS attribué au groupe Lazarus, utilisé lors d'attaques liées à la compromission de la chaîne d'approvisionnement 3CX l'année dernière. Ces attaques font partie d'une campagne cybernétique persistante nommée Operation Dream Job, où des cibles potentielles sont attirées par des offres d'emploi séduisantes pour les inciter à télécharger le malware. Les attaquants ont téléchargé plusieurs paquets Python malveillants sur PyPI, un dépôt populaire, et sont liés avec modération à un acteur de menace nommé Gleaming Pisces. PondRAT, qui présente des similitudes avec POOLRAT et AppleJeus, permet de télécharger et d'exécuter des fichiers, et de gérer des commandes à partir d'un serveur de commande et de contrôle. La diffusion de paquets Python légitimes mais malveillants représente un risque significatif pour les organisations, car l'installation réussie de ces paquets peut compromettre l'ensemble d'un réseau.
Sources :
Des pirates chinois exploitent une faille de GeoServer pour cibler les pays de l'APAC avec le malware EAGLEDOOR
Une menace persistante avancée (APT) suspectée, originaire de Chine, a ciblé une organisation gouvernementale à Taïwan et potentiellement d'autres pays de la région Asie-Pacifique en exploitant une vulnérabilité critique récemment corrigée dans OSGeo GeoServer GeoTools. Cette activité d'intrusion, détectée par Trend Micro en juillet 2024, est attribuée à un acteur malveillant nommé Earth Baxia. Les cibles principales semblent être des agences gouvernementales, des entreprises de télécommunications et le secteur de l'énergie aux Philippines, en Corée du Sud, au Vietnam, à Taïwan et en Thaïlande. Des documents d'appât en chinois simplifié suggèrent également que la Chine pourrait être touchée. Le processus d'infection utilise des techniques de spear-phishing et l'exploitation de la faille GeoServer (CVE-2024-36401, score CVSS : 9.8) pour déployer Cobalt Strike et un backdoor inconnu, EAGLEDOOR. Ce dernier permet la collecte d'informations et la livraison de charges utiles. Les attaques visent à déployer une variante personnalisée de Cobalt Strike, facilitant l'accès à EAGLEDOOR via le side-loading de DLL. Les données volées sont exfiltrées via curl.exe, illustrant la complexité des opérations d'Earth Baxia.
Sources :
Les hackers russes veulent vous voler votre compte ChatGPT
Un rapport de Sysdig, publié le 18 septembre, révèle que les agents conversationnels basés sur l'IA, comme ChatGPT, sont devenus des cibles pour les cybercriminels. Ces derniers cherchent à pirater des comptes pour accéder à ces technologies, en particulier dans le contexte des sanctions occidentales imposées à la Russie depuis l'escalade du conflit en Ukraine en 2022. Les entreprises technologiques, telles qu'Amazon et Microsoft, ont restreint l'accès à leurs outils pour les organisations russes, incitant les hackers à utiliser des identifiants volés pour contourner ces limitations. Des exemples incluent un étudiant russe qui a utilisé des identifiants d'Amazon Web Services pour créer un modèle de chatbot. Les experts notent également que certains pirates cherchent simplement à interagir avec ces agents conversationnels, parfois pour des raisons personnelles, comme la solitude. OpenAI a signalé des détournements de ses outils par des cybercriminels, et les chercheurs ont observé une augmentation des requêtes en russe sur ces plateformes. Ce phénomène souligne l'importance croissante des technologies d'IA et les risques associés à leur utilisation non sécurisée.
