Une fausse application WalletConnect sur Google Play vole les crypto-monnaies des utilisateurs d’Android - Actus du 26/09/2024
Découvrez comment Automattic bloque WP Engine, la menace d'une fausse appli WalletConnect sur Google Play et des stratégies pour gérer les alertes SIEM dans notre dernier article. Ne manquez pas les insights d'experts pour sécuriser vos crypto-monnaies et optimiser votre sécurité informatique !
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Automattic bloque l’accès de WP Engine aux ressources WordPress
Automattic a bloqué l'accès de WP Engine aux ressources de WordPress.org, interrompant ainsi les mises à jour des plugins pour les sites hébergés sur cette plateforme. Cette décision fait suite à des modifications apportées par WP Engine à une fonctionnalité essentielle de WordPress, visant à en tirer profit, ainsi qu'à son blocage du widget d'actualités du tableau de bord sur des milliers de sites pour éviter les critiques. Cette situation laisse des milliers d'utilisateurs sans mises à jour de sécurité, les exposant à des risques de piratage. Le conflit entre WP Engine et Automattic, qui possède WordPress.com et WooCommerce, s'intensifie, avec des accusations mutuelles concernant l'utilisation des ressources de WordPress.org et des atteintes à la réputation. Matt Mullenweg, co-fondateur de WordPress, a qualifié WP Engine de "cancer pour WordPress" et a annoncé que l'accès gratuit aux ressources de WordPress.org était suspendu en raison de litiges en cours. Les utilisateurs de WP Engine sont désormais invités à envisager d'autres options d'hébergement, tandis que la résolution rapide de cette crise semble peu probable. La situation soulève des préoccupations quant à la sécurité des sites et à l'impact sur les utilisateurs dépendants de WP Engine.
Sources :
Une fausse application WalletConnect sur Google Play vole les crypto-monnaies des utilisateurs d’Android
Une application frauduleuse imitant le projet légitime 'WalletConnect' a été disponible sur Google Play pendant cinq mois, accumulant plus de 10 000 téléchargements. Nommée WallConnect, cette application malveillante se présentait comme un outil Web3 léger, agissant comme un intermédiaire entre les portefeuilles de cryptomonnaies et les applications décentralisées (dApps). Contrairement à WalletConnect, qui est un protocole open-source, WallConnect a utilisé de faux avis pour améliorer son classement et attirer davantage de victimes. Une fois installée, l'application redirigeait les utilisateurs vers un site malveillant où ils étaient incités à autoriser des transactions, entraînant le vol d'informations sensibles et d'actifs numériques. Les chercheurs de Check Point ont constaté que l'application ciblait d'abord les tokens les plus précieux. Au moins 150 victimes ont été identifiées, avec des pertes dépassant 70 000 dollars, bien que seulement 20 aient laissé des avis négatifs. Check Point a signalé l'application à Google, qui l'a depuis retirée. Les utilisateurs sont avertis de faire preuve de prudence lors de la connexion de leurs portefeuilles à des services et de vérifier minutieusement les transactions avant de les approuver.
Sources :
Surchargé d'alertes SIEM ? Découvrez des stratégies efficaces dans ce webinaire animé par des experts
L'article présente un webinaire animé par Zuri Cortez et Seth Geftic, intitulé "Solving the SIEM Problem: A Hard Reset on Legacy Solutions". Il aborde les défis liés aux systèmes de gestion des informations et des événements de sécurité (SIEM), qui, bien qu'initialement conçus pour simplifier la gestion des alertes de sécurité, sont devenus source de confusion en raison du trop grand nombre d'alertes et du manque de temps pour traiter les menaces. Le webinaire propose une révision des concepts fondamentaux du SIEM, une analyse des problèmes rencontrés par les solutions traditionnelles face aux menaces modernes, et une approche innovante axée sur des informations exploitables plutôt que sur une multitude d'alertes. Les intervenants partageront des stratégies éprouvées et des solutions concrètes pour aider les organisations à mieux gérer leur sécurité et à renforcer leur défense. Ce webinaire s'adresse aussi bien aux professionnels de la sécurité expérimentés qu'à ceux qui débutent, leur offrant des outils pour transformer leur approche de la sécurité et construire un avenir plus sûr pour leur organisation.
Sources :
Des pirates informatiques nord-coréens déploient de nouveaux malwares KLogEXE et FPSpy dans des attaques ciblées
Des acteurs malveillants liés à la Corée du Nord, identifiés comme Kimsuky (également connu sous plusieurs noms tels que APT43 et Sparkling Pisces), ont été observés utilisant deux nouvelles souches de malware : KLogEXE et FPSpy. Actif depuis 2012, Kimsuky est réputé pour ses compétences en spear phishing, trompant les victimes pour qu'elles téléchargent des malwares via des courriels semblant provenir de sources fiables. KLogEXE, une version en C++ d'un keylogger basé sur PowerShell, a été associé à des campagnes ciblant des organisations japonaises. Ce malware collecte des informations sur les applications en cours d'exécution, les frappes au clavier et les clics de souris. FPSpy, quant à lui, est une variante d'un backdoor révélé par AhnLab en 2022, avec des similitudes avec un malware documenté par Cyberseason en 2020. En plus du keylogging, FPSpy peut rassembler des informations système, télécharger et exécuter d'autres charges utiles, et exécuter des commandes arbitraires. L'analyse de Palo Alto Networks a révélé des similitudes dans le code source des deux malwares, suggérant qu'ils proviennent probablement du même auteur. Les cibles principales étaient situées en Corée du Sud et au Japon, en accord avec les précédentes activités de Kimsuky.
Sources :
HPE Aruba Networking corrige des failles critiques affectant les points d'accès
HPE Aruba Networking a corrigé trois vulnérabilités critiques dans le service de l'interface de ligne de commande (CLI) de ses points d'accès Aruba, permettant à des attaquants non authentifiés d'exécuter du code à distance sur des dispositifs vulnérables. Les vulnérabilités, identifiées sous les références CVE-2024-42505, CVE-2024-42506 et CVE-2024-42507, peuvent être exploitées en envoyant des paquets spécialement conçus au port UDP (8211) du PAPI, le protocole de gestion des points d'accès d'Aruba. Ces failles affectent les points d'accès fonctionnant sous Instant AOS-8 et AOS-10. HPE a conseillé aux administrateurs d'installer les dernières mises à jour de sécurité pour prévenir d'éventuelles attaques. En attendant, un contournement temporaire consiste à activer la "sécurité de cluster" pour les dispositifs sous Instant AOS-8.x, tandis que pour AOS-10, il est recommandé de bloquer l'accès au port UDP/8211 depuis des réseaux non fiables. HPE a également confirmé que d'autres produits Aruba ne sont pas affectés et qu'aucun code d'exploitation public n'est disponible, avec aucune attaque signalée à ce jour.
Sources :
EPSS vs CVSS : quelle est la meilleure approche pour prioriser les vulnérabilités ?
Les scores CVSS fournissent une évaluation standardisée de la gravité des vulnérabilités, mais ne tiennent pas compte des données réelles sur les menaces, comme la probabilité d'exploitation. Cela complique la tâche des équipes de sécurité qui doivent déterminer quelles vulnérabilités traiter en priorité. En moyenne, ces équipes ne peuvent remédier qu'à 10-15 % des vulnérabilités ouvertes par mois, rendant la priorisation cruciale. Les scores CVSS, bien qu'utiles pour la conformité, ne reflètent pas toujours la réalité du paysage des menaces. Par exemple, une vulnérabilité avec un score élevé peut ne pas être la plus critique si elle n'est pas exploitée activement. En revanche, le modèle EPSS (Exploit Prediction Scoring System) offre une estimation quotidienne de la probabilité qu'une vulnérabilité soit exploitée dans les 30 jours. En intégrant EPSS dans la priorisation des vulnérabilités, les organisations peuvent mieux aligner leurs efforts de remédiation avec la réalité des menaces. La plateforme Intruder va bientôt proposer une fonctionnalité de priorisation des vulnérabilités basée sur EPSS, permettant aux équipes de se concentrer sur les risques les plus critiques tout en simplifiant la cybersécurité.
Sources :
Attaque de Watering Hole contre des sites kurdes diffusant des APK malveillants et des logiciels espions
Une campagne de cyberattaque, nommée SilentSelfie, a compromis jusqu'à 25 sites web liés à la minorité kurde pendant plus d'un an et demi, selon la société de cybersécurité française Sekoia. Les premières infections ont été détectées en décembre 2022. Cette attaque, de type watering hole, vise à collecter des informations sensibles en déployant quatre variantes d'un cadre de vol d'informations, allant du vol de localisation à l'enregistrement d'images via la caméra selfie. Les sites ciblés incluent des médias kurdes et des organisations politiques de gauche en Turquie et dans les régions kurdes. La méthode d'intrusion reste incertaine, et aucune entité connue n'a été identifiée comme responsable, suggérant l'émergence d'un nouveau groupe de menaces. Des attaques similaires ont été signalées par d'autres entreprises de sécurité, notamment Hunt & Hackett. Les scripts malveillants collectent des données variées des visiteurs, comme leur localisation et des informations sur leur appareil. Bien que la sophistication de cette campagne soit faible, son ampleur et sa durée sont remarquables, laissant penser qu'elle pourrait être l'œuvre d'un acteur de menace émergent avec des capacités limitées.
Sources :
Arrêtez de gonfler les internautes avec vos exigences sur les mots de passe « sécurisés »
L’Institut national des normes et de la technologie (NIST) des États-Unis recommande de ne plus imposer de règles strictes sur la composition des mots de passe. Cette nouvelle directive, qui pourrait être adoptée en France, stipule que le changement de mot de passe ne devrait intervenir qu'en cas de compromission. Le NIST souligne que les exigences de complexité, comme l'inclusion de chiffres ou de symboles, n'améliorent pas autant la sécurité que prévu. Au contraire, elles peuvent inciter les utilisateurs à créer des mots de passe prévisibles, comme « Password1 », ce qui réduit l'efficacité des mesures de sécurité. De plus, ces règles compliquent la mémorisation des mots de passe, poussant les utilisateurs à choisir des mots de passe faciles à deviner. Pour améliorer la sécurité, le NIST recommande l'utilisation de gestionnaires de mots de passe et la mise en place de l'authentification à deux facteurs. Ces outils offrent une protection supplémentaire tout en facilitant la gestion des mots de passe. En somme, le NIST prône une approche plus pragmatique et centrée sur l'utilisateur pour renforcer la sécurité en ligne.
Sources :
La dernière variante du malware Octo imite des applications populaires comme NordVPN et Chrome
Une nouvelle menace en ligne cible les utilisateurs d'Android avec un malware avancé, le Octo2, qui imite des applications populaires telles que NordVPN et Google Chrome pour tromper les utilisateurs. Selon une analyse de ThreatFabric, Octo2 est une variante améliorée du malware connu sous le nom d'Octo, qui a émergé en 2019. Ce malware a évolué au fil des ans, devenant plus sophistiqué et actif, avec une pause temporaire en 2021 avant de réapparaître en 2022. Octo2 présente une stabilité accrue des RAT, des capacités anti-analyse et anti-AV renforcées, ainsi qu'un algorithme de génération de domaine (DGA) pour une génération rapide des noms de serveurs C2. Les campagnes actuelles ciblent principalement des pays européens comme l'Italie, la Hongrie, la Moldavie et la Pologne, mais il est probable que le malware élargisse son champ d'action. Les chercheurs soulignent l'importance de télécharger des applications uniquement à partir de sources officielles, comme le Google Play Store, pour éviter les risques de malware. Les utilisateurs doivent rester vigilants et éviter les téléchargements d'applications provenant de sources non fiables.
Sources :
Rapport Zimperium 2024 : 82 % des sites de phishing ciblent désormais les appareils mobiles des entreprises
Zimperium, leader en sécurité mobile, a publié son rapport Global Mobile Threat Report 2024, révélant une hausse alarmante des menaces mobiles, notamment le « mishing » (phishing mobile). Les cybercriminels exploitent les vulnérabilités des appareils mobiles pour cibler des terminaux non sécurisés, devenant ainsi un point d'entrée majeur pour accéder aux réseaux d'entreprise. Les chercheurs de zLabs notent que 76 % des sites de phishing visant les entreprises utilisent le protocole HTTPS, trompant les utilisateurs sur la légitimité des sites. Avec 71 % des employés utilisant des smartphones pour le travail, une stratégie de sécurité multicouche est essentielle. Le rapport met également en lumière les dangers du sideloading, où les utilisateurs installent des applications en dehors des appstores officiels, augmentant de 200 % le risque de malwares. En 2023, les vulnérabilités sur Android et iOS ont considérablement augmenté, avec 1 421 CVE sur Android (+58 %) et 269 sur iOS (+10 %). Les entreprises doivent donc renforcer leur sécurité mobile pour contrer ces menaces croissantes, car la protection des appareils mobiles est désormais cruciale pour la sécurité numérique.
Sources :
Cloudflare met en garde contre des pirates informatiques liés à l'Inde ciblant des entités d'Asie du Sud et de l'Est
Un acteur de menace avancé, lié à l'Inde, connu sous le nom de SloppyLemming, a été observé utilisant divers fournisseurs de services cloud pour le vol de données d'identification, la livraison de logiciels malveillants et le contrôle à distance. Selon Cloudflare, qui suit cette activité, SloppyLemming est actif depuis au moins juillet 2021 et mène une campagne d'espionnage ciblant des pays d'Asie du Sud et de l'Est. Les cibles incluent des entités gouvernementales, des forces de l'ordre, et des secteurs de l'énergie et de l'éducation en Pakistan, Sri Lanka, Bangladesh, Chine, Népal et Indonésie. Les attaques impliquent des courriels de phishing incitant les victimes à cliquer sur des liens malveillants, menant à des pages de vol d'identifiants. L'acteur utilise un outil personnalisé, CloudPhish, pour gérer la collecte de données. Certaines attaques exploitent des vulnérabilités dans WinRAR pour exécuter du code à distance. SloppyLemming a également ciblé des départements de police pakistanais et des entités liées à la centrale nucléaire du pays. Les techniques de phishing incluent des sites imitant des institutions gouvernementales pour tromper les utilisateurs et installer des logiciels malveillants.
Sources :
Des pirates informatiques chinois infiltrent des fournisseurs d'accès Internet américains dans le cadre d'une campagne de cyberespionnage
Des acteurs menaçants soutenus par Pékin ont infiltré plusieurs fournisseurs d'accès à Internet (FAI) américains dans le cadre d'une campagne d'espionnage cybernétique visant à obtenir des informations sensibles, selon le Wall Street Journal. Cette activité est attribuée à un groupe que Microsoft appelle Salt Typhoon, également connu sous les noms de FamousSparrow et GhostEmperor. Les enquêteurs examinent la possibilité que les intrus aient accédé à des routeurs de Cisco Systems, des composants essentiels du réseau internet. L'objectif des attaques est d'établir une présence durable dans les réseaux ciblés pour collecter des données sensibles ou lancer des cyberattaques. GhostEmperor a été identifié pour la première fois en octobre 2021, ciblant des entités en Asie du Sud-Est avec un rootkit nommé Demodex. Des cibles incluent des organisations en Malaisie, Thaïlande, Vietnam, et Indonésie, ainsi que des pays comme l'Égypte et l'Afghanistan. En juillet 2024, Sygnia a révélé qu'un client avait été compromis par ce groupe en 2023. Cette révélation survient peu après que le gouvernement américain ait perturbé un botnet de 260 000 appareils, contrôlé par un autre groupe de hackers lié à Pékin.
Sources :
Mozilla accusé de suivre les utilisateurs de Firefox sans leur consentement
Le groupe européen de défense des droits numériques NOYB (None Of Your Business) a déposé une plainte auprès de l'autorité autrichienne de protection des données (DSB) contre Mozilla. Il accuse la société d'utiliser une fonctionnalité de confidentialité de Firefox, appelée "Privacy-Preserving Attribution" (PPA), pour suivre le comportement en ligne des utilisateurs sans leur consentement. Annoncée en février 2022 et activée par défaut dans la version 128 de Firefox, lancée en juillet, cette fonctionnalité, développée avec Meta, est critiquée par NOYB qui affirme qu'elle permet à Firefox de contrôler le suivi des utilisateurs sur les sites web. Bien que Mozilla prétende que PPA améliore la confidentialité en mesurant l'efficacité des publicités sans collecter de données personnelles, NOYB soutient que cela enfreint les droits des utilisateurs selon le RGPD de l'UE. Mozilla a reconnu qu'elle aurait dû mieux impliquer les parties prenantes dans ses efforts d'amélioration de la publicité en ligne. Actuellement, PPA est en phase de test limité sur le site du réseau de développeurs de Mozilla, et les utilisateurs peuvent désactiver cette fonctionnalité dans les paramètres de confidentialité de Firefox.
Sources :
Meta arrête le routage via Deutsche Telekom en raison de frais de peering de 20 millions d'euros
Meta a annoncé la fin de sa relation de peering direct avec Deutsche Telekom suite à un jugement qui obligeait l'entreprise à verser 20 millions d'euros pour continuer à utiliser son réseau. Désormais, Meta redirigera le trafic de ses plateformes (Facebook, Instagram, WhatsApp) via des fournisseurs tiers, ce qui pourrait entraîner des problèmes de latence, de congestion et de qualité de service pour les abonnés de Deutsche Telekom. Ce conflit découle d'une demande de paiement de Deutsche Telekom pour le trafic de données de Meta, après l'expiration d'un contrat antérieur. Ce contrat stipulait que Deutsche Telekom devait fournir des points d'interconnexion privés pour un montant de 5,8 millions d'euros par an. Meta a refusé de renouveler ce contrat, préférant un modèle sans règlement, tout en continuant à utiliser la connexion de peering. Après un procès, le tribunal de Cologne a statué en faveur de Deutsche Telekom, mais Meta conteste cette décision, arguant qu'elle menace la neutralité du net. Ce différend pourrait avoir des conséquences significatives pour les utilisateurs des deux entreprises, qui subiront les effets d'une redirection du trafic.
Sources :
Google constate une baisse de 68 % des failles de sécurité de la mémoire Android sur 5 ans
Google a annoncé une réduction significative de 68 % des vulnérabilités liées à la sécurité mémoire sur Android au cours des cinq dernières années, passant de 76 % en 2019 à seulement 24 % en 2024. Cette amélioration est attribuée à l'adoption de langages sûrs pour la mémoire, comme Rust, pour le nouveau code, tout en maintenant le code existant avec des modifications minimales axées sur des correctifs de sécurité essentiels. Google souligne que cette approche permet de rendre le code plus sûr sans compromettre l'interopérabilité. L'entreprise a identifié quatre étapes dans la gestion des vulnérabilités de sécurité mémoire, allant de la correction réactive à la prévention par un codage sécurisé. Cette dernière méthode, qui privilégie la conception sécurisée, vise à éliminer les vulnérabilités dès leur origine. Malgré les défis posés par l'utilisation de langages non sûrs, Google et d'autres acteurs de l'industrie s'engagent à renforcer la sécurité des produits. La CISA a également recommandé aux développeurs d'utiliser des langages sûrs pour la mémoire afin de réduire les risques de sécurité. Cette stratégie a permis à Android de devenir un modèle de sécurité dans le domaine des systèmes d'exploitation mobiles.
Sources :
Le passage de Google à la programmation Rust réduit les vulnérabilités de la mémoire Android de 52 %
Google a annoncé que sa transition vers des langages sûrs pour la mémoire, comme Rust, a permis de réduire le pourcentage de vulnérabilités liées à la mémoire dans Android, passant de 76 % à 24 % en six ans. Cette approche, axée sur le "Safe Coding", diminue non seulement les risques de sécurité, mais rend également la transition plus évolutive et rentable. Les responsables de Google, Jeff Vander Stoep et Alex Rebert, ont expliqué que la majorité des vulnérabilités se trouvent dans le code récemment modifié, ce qui nécessite un changement fondamental dans le développement. Depuis 2019, Google priorise l'utilisation de langages sûrs, entraînant une baisse des vulnérabilités de 223 en 2019 à moins de 50 en 2024. Cette diminution est également attribuée à des avancées dans les méthodes de détection des vulnérabilités, passant d'une approche réactive à une approche proactive. Google met également l'accent sur l'interopérabilité entre Rust, C++ et Kotlin, plutôt que sur des réécritures de code. En collaborant avec les équipes de sécurité d'Arm, Google vise à améliorer la sécurité du logiciel et du firmware dans l'écosystème Android, en détectant proactivement les vulnérabilités avant qu'elles ne soient exploitées.
Sources :
CISA : Les pirates informatiques ciblent les systèmes industriels en utilisant des « méthodes peu sophistiquées »
Le 25 septembre 2024, la CISA a averti que des hackers ciblent les systèmes industriels critiques en utilisant des méthodes "non sophistiquées", telles que des attaques par force brute et des identifiants par défaut. Ces attaques affectent particulièrement les dispositifs de technologie opérationnelle (OT) et de systèmes de contrôle industriel (ICS), y compris ceux des infrastructures d'eau et d'eaux usées. Les dispositifs OT, qui intègrent matériel et logiciel, sont essentiels pour surveiller et contrôler les processus physiques dans divers secteurs, notamment le traitement de l'eau. La CISA a souligné que ces systèmes exposés permettent aux cybercriminels d'accéder facilement aux dispositifs et de causer des dommages. Pour se protéger, les opérateurs doivent changer les mots de passe par défaut, activer l'authentification multifactorielle et appliquer les dernières mises à jour de sécurité. En mai, la CISA avait déjà mis en garde contre des hacktivistes pro-russes ciblant des installations d'eau. Récemment, une cyberattaque à Arkansas City a contraint une installation de traitement de l'eau à fonctionner manuellement. L'EPA a également publié des recommandations pour aider les opérateurs à évaluer leurs pratiques de cybersécurité et à réduire leur exposition aux cyberattaques.
