Une fraude nord-coréenne impliquant des domaines et financements fictifs - Actus du 15/01/2025
Découvrez comment un informaticien nord-coréen a orchestré une fraude au crowdfunding avec de faux domaines en 2016, les failles de sécurité critiques dans Rsync révélées par Google Cloud, et l'importance cruciale de la déconnexion dans la sécurité ICS/OT. Ne manquez pas notre analyse!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
Une fraude informatique impliquant un informaticien nord-coréen est liée à une arnaque au financement participatif et à de faux domaines en 2016
Des chercheurs en cybersécurité ont découvert des liens d'infrastructure entre des acteurs nord-coréens impliqués dans des escroqueries d'employés informatiques et une arnaque de financement participatif de 2016. Selon un rapport de SecureWorks, ces groupes basés à Pyongyang auraient mené des escroqueries avant l'utilisation d'employés IT. Le schéma frauduleux, révélé fin 2023, consiste à infiltrer des entreprises occidentales sous de fausses identités pour générer des revenus pour la Corée du Nord, en lien avec le Bureau général 313, une entité du Parti des travailleurs. Les travailleurs IT sont souvent envoyés en Chine et en Russie pour des entreprises de façade, comme Yanbian Silverstar, déjà sanctionnée par le Trésor américain. En octobre 2023, le gouvernement américain a saisi 17 domaines internet utilisés pour tromper des entreprises en dissimulant l'identité des travailleurs nord-coréens. SecureWorks a également établi un lien entre ces domaines et une campagne IndieGoGo de 2016, qui s'est révélée être une arnaque. Parallèlement, une alerte conjointe du Japon, de la Corée du Sud et des États-Unis a été émise concernant des cyberattaques nord-coréennes ciblant le secteur de la blockchain, ayant entraîné le vol de plus de 659 millions de dollars en cryptomonnaies en 2024.
Sources :
Les chercheurs de Google Cloud découvrent des failles dans l'outil de synchronisation de fichiers Rsync
Six vulnérabilités de sécurité ont été révélées dans l'outil Rsync, utilisé pour la synchronisation de fichiers sur les systèmes Unix. Certaines de ces failles pourraient permettre l'exécution de code arbitraire sur un client. Selon le CERT Coordination Center, des attaquants pourraient contrôler un serveur malveillant et accéder à des fichiers sensibles, comme des clés SSH, ou exécuter du code malveillant en écrasant des fichiers critiques tels que ~/.bashrc. Les vulnérabilités incluent un débordement de tampon (CVE-2024-12084), une fuite d'informations (CVE-2024-12085), une fuite de fichiers clients (CVE-2024-12086), une vulnérabilité de traversée de chemin (CVE-2024-12087), un contournement de l'option --safe-links (CVE-2024-12088) et une condition de course liée aux liens symboliques (CVE-2024-12747). Les chercheurs de Google Cloud ont découvert les cinq premières failles, tandis qu'un autre chercheur a identifié la dernière. Des correctifs ont été publiés dans la version 3.4.0 de Rsync. Pour ceux qui ne peuvent pas mettre à jour, des mesures d'atténuation sont recommandées, notamment la désactivation du support SHA et l'initialisation des variables de pile.
Sources :
La déconnexion à enjeux élevés pour la sécurité ICS/OT
Les systèmes d'ingénierie ICS/OT, essentiels pour les infrastructures critiques comme les réseaux électriques et la gestion de l'eau, nécessitent des stratégies de cybersécurité adaptées en raison de l'augmentation des cyberattaques ciblant ces environnements. Ces attaques, souvent orchestrées par des groupes étatiques ou des cybercriminels, visent à causer des dommages physiques irréversibles, soulignant les risques des systèmes interconnectés. Malgré leur importance, de nombreux systèmes ICS/OT restent insuffisamment protégés, avec seulement 31 % des organisations disposant d'un centre des opérations de sécurité (SOC) spécifique à ICS/OT. De plus, seulement 52 % des installations ont un plan de réponse aux incidents régulièrement exercé. Un déséquilibre dans l'allocation des budgets de sécurité est préoccupant, car une cyberattaque coordonnée pourrait avoir des impacts dévastateurs sur plusieurs secteurs. Il est donc crucial de réévaluer les risques, les impacts et les budgets pour aligner les dépenses de sécurité sur les fonctions critiques des technologies opérationnelles. Un livre blanc propose cinq contrôles essentiels pour une stratégie de cybersécurité ICS/OT, visant à renforcer la sécurité et l'efficacité face aux menaces actuelles. Les organisations doivent prioriser la protection de leurs systèmes d'ingénierie pour garantir la sécurité nationale et la stabilité économique.
Sources :
DORA : des conséquences néfastes en cas de non-conformité
Le Digital Operational Resilience Act (DORA) de l'Union européenne entrera en vigueur le 17 janvier 2025, imposant des normes de conformité en matière de cybersécurité aux institutions financières et à leurs fournisseurs, qu'ils soient basés dans l'UE ou non. Ce règlement vise à renforcer la résilience opérationnelle des services financiers dans le cadre d'une initiative plus large de l'UE pour harmoniser la cybersécurité. Fabrice de Vésian, Sales Manager chez Yubico, souligne les risques encourus par les entreprises en cas de non-respect de DORA, notamment des amendes et des atteintes à la réputation. Bien que DORA ne mentionne pas explicitement l'authentification multi-facteurs (MFA), elle exige des politiques d'authentification forte, essentielles pour réduire les cyberattaques. Les méthodes traditionnelles, comme les mots de passe à usage unique, sont de moins en moins sécurisées face aux menaces modernes. Les entreprises doivent donc adopter des solutions de MFA avancées, telles que les passkeys et les clés de sécurité physiques. La conformité à DORA nécessite une planification rigoureuse et un engagement envers la cyber-hygiène, favorisant ainsi une culture de cybersécurité proactive et une meilleure gestion des risques.
Sources :
Anne piégée par Brad Pitt : que s’est-il vraiment passé avec cette arnaque sentimentale ?
Anne, victime d'une arnaque sentimentale orchestrée par un faux Brad Pitt, a partagé son expérience dans l'émission Sept à Huit sur TF1, qui a suscité un large écho médiatique. Elle accuse la chaîne d'avoir déformé son histoire, la présentant comme naïve, alors que son entourage révèle une manipulation plus complexe impliquant plusieurs faux personnages créés par les arnaqueurs pour l'isoler. Bien qu'Anne ait demandé des preuves d'identité, elle a été trompée par des deep fakes et des messages convaincants. Le montant le plus élevé qu'elle a transféré atteint 115 000 euros, un record pour ce type d'escroquerie. Dans le podcast LEGEND, Marwan Ouarab, un hacker enquêtant sur l'affaire, explique que le brouteur a été localisé au Bénin et que des mesures sont prises pour récupérer l'argent d'Anne. Celle-ci se défend contre les accusations de naïveté, affirmant que n'importe qui aurait pu être piégé. Elle dément également des rumeurs sur des tensions avec sa fille, clarifiant que le traitement médiatique a été simpliste et injuste. Cette situation met en lumière la vulnérabilité des victimes face à des arnaques de plus en plus sophistiquées.
Sources :
Des dizaines d’entreprises visées par le credential stuffing
Récemment, Kiabi a subi une cyberattaque par credential stuffing, compromettant 20 000 comptes utilisateurs. Cette méthode, qui consiste à utiliser des identifiants volés pour accéder à d'autres services, a également touché de nombreuses entreprises françaises telles que Boulanger, Auchan, McDonald's et Carrefour. Les hackers exploitent des bases de données disponibles sur le dark web, alimentant une économie souterraine où ils perfectionnent leurs techniques. En testant massivement des identifiants via des scripts automatisés, ils obtiennent rapidement un accès non autorisé, surtout si les utilisateurs réutilisent les mêmes mots de passe. Pour contrer cette menace, l'authentification multifactorielle (MFA) et l'analyse comportementale sont essentielles pour les entreprises. Les particuliers doivent éviter de réutiliser les mots de passe et privilégier la double authentification. ZATAZ a identifié des outils de credential stuffing ciblant divers sites, soulignant l'importance de la vigilance individuelle. Les informations sensibles, une fois compromises, peuvent être utilisées pour des attaques plus ciblées. Bien que le credential stuffing ne soit pas une nouveauté, l'interconnexion croissante des hackers et le partage de leurs trouvailles sur des forums spécialisés rendent la situation préoccupante. La sécurité commence par des pratiques responsables des utilisateurs.
Sources :
Une vaste infection par clé USB lancée depuis la Chine est stoppée par des experts français
La clé USB représente un risque majeur pour la cybersécurité, comme l'a démontré une récente opération menée par Sekoia.io, en collaboration avec la gendarmerie, le FBI et d'autres entités. Cette initiative a permis de bloquer un malware, PlugX, qui a été diffusé depuis la Chine et a touché des milliers d'appareils dans le monde, notamment en France, au Nigeria et en Amérique latine. Environ 60 000 désinfections ont été réalisées sur plus de 5 500 dispositifs infectés. Le malware, utilisé par le groupe de hackers Mustang Panda, est principalement un outil d'espionnage, se propageant souvent via des clés USB abandonnées. Sekoia.io a réussi à acquérir un domaine lié aux hackers pour développer une méthode de désactivation à distance du malware, après avoir acheté un bouton de désactivation pour 7 dollars. PlugX, qui cible principalement des pays comme le Nigeria, l'Inde et les États-Unis, est devenu un instrument clé des campagnes de cyberespionnage à l'échelle mondiale. Cette situation souligne l'importance d'une vigilance accrue face aux menaces numériques et à l'utilisation des dispositifs de stockage amovibles.
Sources :
Le FBI supprime le malware chinois PlugX de milliers d'ordinateurs aux États-Unis
Le 14 janvier 2025, le ministère américain de la Justice a annoncé que le FBI avait supprimé le malware PlugX, contrôlé par le groupe d'espionnage chinois Mustang Panda, de plus de 4 200 ordinateurs aux États-Unis. Ce malware, qui se propageait via des clés USB, avait infecté des systèmes dans divers secteurs, ciblant notamment des entreprises maritimes européennes et des gouvernements dans la région Indo-Pacifique. Le malware maintenait sa présence sur les ordinateurs infectés en créant des clés de registre, rendant souvent les utilisateurs inconscients de l'infection. Cette opération de nettoyage, coordonnée avec les forces de l'ordre françaises et la société de cybersécurité Sekoia, a débuté en juillet 2024. Le FBI a obtenu des mandats pour supprimer PlugX, le dernier ayant expiré le 3 janvier 2025. Les actions du FBI comprenaient la suppression des fichiers et des clés de registre associés au malware, sans collecter d'informations sur les dispositifs nettoyés. PlugX, utilisé depuis 2008, est connu pour ses capacités d'espionnage et a été employé par divers groupes liés au ministère chinois de la Sécurité d'État.
Sources :
Le FBI supprime le malware PlugX de 4 250 ordinateurs piratés au cours d'une opération de plusieurs mois
Le Département de la Justice des États-Unis a annoncé que le FBI a réussi à supprimer le malware PlugX de plus de 4 250 ordinateurs infectés dans le cadre d'une opération judiciaire autorisée. PlugX, un cheval de Troie d'accès à distance, est principalement utilisé par des acteurs malveillants liés à la République populaire de Chine, permettant le vol d'informations et le contrôle à distance des appareils compromis. Un affidavit du FBI a établi un lien entre cette variante de PlugX et le groupe de hackers parrainé par l'État, Mustang Panda, qui a infiltré des milliers de systèmes informatiques depuis 2014, ciblant des victimes aux États-Unis ainsi que des gouvernements et entreprises en Europe et en Asie. L'opération de désinfection, lancée fin juillet 2024, visait à éliminer le malware, qui se propage via des dispositifs USB. Le FBI a utilisé une commande de suppression autonome, sans affecter les fonctions légitimes des appareils ciblés. Environ 59 475 charges de désinfection ont été émises pour 5 539 adresses IP dans le cadre d'un cadre légal établi pour cette opération. Cette situation illustre l'agressivité des hackers soutenus par l'État chinois, selon la procureure américaine Jacqueline Romero.
Sources :
3 failles zero-day activement exploitées et corrigées dans la dernière mise à jour de sécurité de Microsoft
Microsoft a débuté 2025 avec une mise à jour de sécurité corrigeant 161 vulnérabilités dans son portefeuille logiciel, dont trois zero-days exploités activement. Parmi ces failles, une vulnérabilité non-Microsoft (CVE-2024-7344) liée à un contournement de Secure Boot n'a pas reçu de classification de gravité. Selon la Zero Day Initiative, c'est le plus grand nombre de CVEs traités en un mois depuis 2017. Les correctifs incluent des vulnérabilités dans Windows Hyper-V NT Kernel Integration VSP (CVE-2025-21333, CVE-2025-21334, CVE-2025-21335) qui sont également exploitées, principalement dans des activités post-compromission. Microsoft a également signalé que cinq des bugs sont déjà connus du public, dont des vulnérabilités d'exécution de code à distance dans Microsoft Access et des failles d'élévation de privilèges. La vulnérabilité CVE-2025-21295 permet à des attaquants non authentifiés d'exécuter du code malveillant à distance, soulignant l'importance de patchs rapides. Une autre vulnérabilité affectant BitLocker (CVE-2025-21210) pourrait permettre la récupération d'images de veille en clair, exposant potentiellement des données sensibles. Les experts recommandent des mesures de sécurité immédiates pour atténuer ces risques.
Sources :
Des failles critiques de SimpleHelp permettent le vol de fichiers, l'escalade des privilèges et les attaques RCE
Des chercheurs en cybersécurité ont révélé plusieurs vulnérabilités dans le logiciel d'accès à distance SimpleHelp, pouvant entraîner des divulgations d'informations, une élévation de privilèges et une exécution de code à distance. Selon le rapport technique de Naveen Sunkavally de Horizon3.ai, ces failles sont faciles à exploiter. Les vulnérabilités identifiées incluent :
- CVE-2024-57727 : Une vulnérabilité de traversée de chemin non authentifiée permettant à un attaquant de télécharger des fichiers arbitraires, y compris des fichiers contenant des mots de passe hachés.
- CVE-2024-57728 : Une vulnérabilité d'upload de fichiers permettant à un utilisateur avec des privilèges d'administrateur de télécharger des fichiers sur le serveur, ce qui pourrait mener à une exécution de code à distance.
- CVE-2024-57726 : Une vulnérabilité d'élévation de privilèges permettant à un technicien à faible privilège de devenir administrateur en exploitant des vérifications d'autorisation manquantes.
Ces vulnérabilités peuvent être combinées pour prendre le contrôle du serveur SimpleHelp. Horizon3.ai a retenu des détails techniques supplémentaires en raison de la gravité des failles. Des mises à jour ont été publiées pour corriger ces problèmes, et il est recommandé aux utilisateurs de changer leurs mots de passe et de restreindre les adresses IP autorisées.
Sources :
Les mises à jour Windows de janvier peuvent échouer si Citrix SRA est installé
Microsoft a averti que les mises à jour cumulatives de Windows 11 et Windows 10 de janvier 2025 pourraient échouer si la version 2411 de Citrix Session Recording Agent (SRA) est installée sur l'appareil. Lors de ce Patch Tuesday, Microsoft a publié les mises à jour KB5050009 et KB5049981 pour corriger plusieurs vulnérabilités de sécurité, y compris des failles zero-day. Les notes de version indiquent que l'installation des mises à jour peut échouer sur les appareils avec SRA 2411. Bien que le téléchargement et l'application des mises à jour puissent se faire correctement, un message d'erreur apparaît lors du redémarrage, entraînant un retour à l'état précédent des mises à jour. Microsoft estime que ce problème touchera un nombre limité d'organisations, car SRA 2411 a été publié fin novembre, et les utilisateurs domestiques ne devraient pas être affectés. Citrix et Microsoft collaborent pour résoudre ce problème. En attendant, Citrix a proposé une solution temporaire : arrêter le service de surveillance de l'enregistrement de session, installer la mise à jour de sécurité, puis réactiver le service. Des instructions pour désactiver le service via PowerShell et l'invite de commande sont également fournies.
Sources :
L'assureur automobile Allstate poursuivi pour avoir suivi des conducteurs sans autorisation
Le procureur général du Texas, Ken Paxton, a intenté une action en justice contre Allstate et sa filiale Arity pour collecte illégale de données de conduite de plus de 45 millions d'Américains. Les entreprises sont accusées d'avoir payé des millions de dollars à des développeurs d'applications pour intégrer un code de suivi dans des applications populaires, recueillant ainsi des données de localisation sans le consentement des utilisateurs. Ces informations ont été utilisées pour évaluer les habitudes de conduite et ajuster les tarifs d'assurance, permettant à Allstate d'identifier les risques et de fixer les prix en conséquence. De plus, Allstate et Arity auraient vendu ces données à d'autres compagnies d'assurance. Le procès, déposé devant le tribunal de district du comté de Montgomery, mentionne l'intégration d'un logiciel de suivi dans des applications telles que Life360 et GasBuddy. Il allègue également que des données de localisation ont été achetées directement auprès de plusieurs fabricants automobiles. Les accusations portent sur des violations de la loi TDPSA, de la loi sur les courtiers de données et du code des assurances du Texas. Allstate a répondu en affirmant que ses pratiques respectent toutes les lois et réglementations.
Sources :
Les attaques de malware WP3.XYZ ajoutent des administrateurs malveillants à plus de 5 000 sites WordPress
Une nouvelle campagne de malware a compromis plus de 5 000 sites WordPress, créant des comptes administrateurs malveillants, installant un plugin nuisible et volant des données. Les chercheurs de la société de sécurité web c/side ont découvert que l'activité malveillante utilise le domaine wp3[.]xyz pour exfiltrer des données, bien qu'ils n'aient pas encore déterminé le vecteur d'infection initial. Après avoir compromis un site, un script malveillant chargé depuis le domaine wp3[.]xyz crée un compte administrateur frauduleux nommé wpx_admin avec des identifiants disponibles dans le code. Ce script installe ensuite un plugin malveillant (plugin.php) téléchargé depuis le même domaine, qui collecte des données sensibles, comme les identifiants d'administrateur, et les envoie au serveur de l'attaquant de manière obfusquée. c/side recommande aux propriétaires de sites de bloquer le domaine wp3[.]xyz à l'aide de pare-feu et d'outils de sécurité, de vérifier les comptes privilégiés et les plugins installés pour identifier toute activité non autorisée, et de renforcer les protections CSRF. L'implémentation de l'authentification multi-facteurs est également conseillée pour protéger les comptes déjà compromis.
Sources :
Le gouvernement américain affirme que la Corée du Nord a volé plus de 659 millions de dollars en crypto-monnaie l'année dernière
Selon une déclaration conjointe des États-Unis, de la Corée du Sud et du Japon, des groupes de hackers soutenus par l'État nord-coréen ont volé plus de 659 millions de dollars en cryptomonnaies au cours de l'année dernière. Ce rapport souligne que la Corée du Nord continue de cibler activement l'industrie de la blockchain, utilisant des attaques de social engineering pour déployer des malwares tels que TraderTraitor et AppleJeus. En juillet 2024, des hackers nord-coréens ont été responsables d'une violation de la plateforme WazirX, entraînant une perte de 235 millions de dollars. D'autres vols notables incluent DMM Bitcoin et Upbit. Une analyse de Chainalysis indique que les hackers nord-coréens ont volé 1,34 milliard de dollars en 2024, marquant une augmentation significative par rapport à 2023. Parallèlement, des agences gouvernementales ont mis en garde contre des travailleurs informatiques nord-coréens se faisant passer pour des employés américains, infiltrant des entreprises pour installer des malwares. Le département d'État américain offre jusqu'à 5 millions de dollars pour des informations permettant de perturber les activités de ces travailleurs. Les gouvernements conseillent aux entreprises de revoir leurs pratiques de recrutement pour éviter d'embaucher des travailleurs liés à la Corée du Nord.
Sources :
Mise à jour Windows 10 KB5049981 publiée avec une nouvelle liste de blocage BYOVD
Microsoft a publié la mise à jour cumulative KB5049981 pour Windows 10 22H2 et 21H2, intégrant une nouvelle liste de blocage des pilotes vulnérables afin de contrer les attaques BYOVD (Bring Your Own Vulnerable Driver). Cette mise à jour est obligatoire, car elle inclut les correctifs de sécurité de janvier 2025. Les utilisateurs peuvent l'installer via les paramètres de Windows Update, où elle s'installera automatiquement après vérification des mises à jour. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5371 et 21H2 vers la version 19044.5371. Il est également possible de télécharger manuellement la mise à jour depuis le Microsoft Update Catalog. Microsoft a averti qu'aucune mise à jour de prévisualisation ne sera publiée en décembre 2024, celles-ci reprenant en janvier 2025. La mise à jour KB5049981 se concentre principalement sur des correctifs de sécurité, incluant un fichier de politique de blocage des pilotes vulnérables. Cependant, des problèmes connus ont été signalés, notamment l'impossibilité de démarrer le service OpenSSH et des difficultés d'installation sur des appareils avec certains composants Citrix. Plus de détails sont disponibles dans le bulletin de support KB5049981.
Sources :
Le Patch Tuesday de janvier 2025 de Microsoft corrige 8 zero-days et 159 failles
Le Patch Tuesday de janvier 2025 de Microsoft a été publié, incluant des mises à jour de sécurité pour 159 vulnérabilités, dont huit sont des failles zero-day, avec trois activement exploitées dans des attaques. Parmi les vulnérabilités critiques, on trouve des problèmes d'élévation de privilèges, de divulgation d'informations et d'exécution de code à distance. Les trois failles zero-day activement exploitées sont liées à Windows Hyper-V, permettant à des attaquants d'acquérir des privilèges SYSTEM sur des appareils Windows. Les détails sur l'exploitation de ces vulnérabilités restent inconnus, mais elles ont été découvertes de manière anonyme. Une autre vulnérabilité, CVE-2025-21275, concerne l'installateur de paquets d'applications Windows, où un attaquant pourrait également obtenir des privilèges SYSTEM en manipulant un fichier malveillant. Microsoft a également atténué un problème lié à l'envoi de documents Microsoft Access par email, qui exposait les informations d'identification NTLM des utilisateurs. D'autres entreprises, comme Ivanti et Fortinet, ont également publié des mises à jour de sécurité pour des vulnérabilités zero-day. Ce Patch Tuesday souligne l'importance de maintenir les systèmes à jour face aux menaces croissantes.
Sources :
Mises à jour cumulatives Windows 11 KB5050009 et KB5050021 publiées
Microsoft a publié les mises à jour cumulatives KB5050009 et KB5050021 pour Windows 11, visant à corriger des vulnérabilités de sécurité et divers problèmes. Ces mises à jour, obligatoires, incluent les correctifs de sécurité du Patch Tuesday de janvier 2025 pour les versions 24H2 et 23H2. Les utilisateurs peuvent les installer via les paramètres de Windows Update ou en les téléchargeant manuellement depuis le Microsoft Update Catalog.
Les mises à jour apportent quelques nouvelles fonctionnalités, notamment une section pour les gestes tactiles, des améliorations de l'éditeur de méthode d'entrée (IME) et la possibilité de partager du contenu avec des appareils Android via l'Explorateur de fichiers. Des corrections ont également été apportées à divers éléments, tels que l'affichage des fenêtres d'application sur plusieurs moniteurs et des problèmes de l'historique du presse-papiers. De plus, des améliorations ont été faites aux fonctionnalités de reconnaissance vocale et de narration. Les numéros de version des builds changent respectivement à 26100.2605 pour 24H2 et 226x1.4602 pour 23H2. Microsoft n'a pas signalé de nouveaux problèmes liés à ces mises à jour.
Sources :
Une faille OAuth de Google permet aux attaquants d'accéder aux comptes abandonnés
Une vulnérabilité dans la fonctionnalité "Se connecter avec Google" de Google OAuth permettrait à des attaquants d'accéder aux données sensibles d'anciens employés d'entreprises défaillantes en enregistrant leurs domaines abandonnés. Découverte par des chercheurs de Trufflesecurity, cette faille a été signalée à Google en septembre 2023, mais initialement considérée comme un problème de fraude. Après une présentation à Shmoocon, Google a reconnu le risque et a récompensé les chercheurs, mais le problème reste non résolu. Les attaquants peuvent créer des comptes d'emails clonés pour se reconnecter à des services SaaS tels que Slack, Notion ou Zoom, permettant l'accès à des informations sensibles comme des documents fiscaux ou des numéros de sécurité sociale. Bien que Google ait des mécanismes d'identification uniques, une incohérence dans leur système permet aux nouveaux propriétaires de domaines d'accéder aux comptes d'anciens employés. Les chercheurs suggèrent d'introduire des identifiants immuables et d'autres mesures de sécurité, mais celles-ci pourraient engendrer des coûts et des complications techniques. Ce risque croissant concerne des millions de personnes, notamment dans le secteur technologique, où 90 % des startups sont vouées à l'échec.
Sources :
Microsoft découvre la vulnérabilité CVE-2024-44243 de macOS qui permet l'installation de rootkits
Microsoft a récemment révélé une vulnérabilité de sécurité dans macOS, désormais corrigée, qui permettait à un attaquant avec des privilèges "root" de contourner la Protection de l'Intégrité du Système (SIP) et d'installer des pilotes de noyau malveillants. Cette faille, identifiée sous le code CVE-2024-44243 (score CVSS : 5.5), a été qualifiée par Apple de "problème de configuration" pouvant permettre à une application malveillante de modifier des parties protégées du système de fichiers. SIP est un cadre de sécurité conçu pour empêcher les logiciels malveillants d'altérer les zones sensibles de macOS. La vulnérabilité exploitait l'entitlement "com.apple.rootless.install.heritable" du démon Storage Kit, permettant à un attaquant de livrer un nouveau bundle de système de fichiers et de contourner les protections SIP. Les conséquences d'un contournement de SIP sont graves, car cela pourrait faciliter l'installation de rootkits et d'autres malwares. Les experts soulignent que SIP est une cible prisée pour les chercheurs en sécurité et les attaquants, et que toute exploitation réussie de cette vulnérabilité pourrait compromettre la fiabilité de l'ensemble du système d'exploitation. Les utilisateurs sont donc encouragés à mettre à jour leur système dès qu'Apple publie des correctifs de sécurité.
Sources :
La vulnérabilité OAuth de Google expose des millions de personnes via des domaines de démarrage défaillants
Une nouvelle recherche a révélé une vulnérabilité dans le processus d'authentification "Se connecter avec Google", exploitant un défaut lié à la propriété des domaines pour accéder à des données sensibles. Dylan Ayrey, co-fondateur de Truffle Security, a expliqué que l'authentification OAuth de Google ne protège pas contre l'achat d'un domaine d'une startup défaillante, permettant ainsi de recréer des comptes d'anciens employés. Bien que les anciennes données de messagerie soient inaccessibles, ces comptes peuvent être utilisés pour se connecter à divers produits SaaS, mettant en péril les données de millions d'utilisateurs américains. Les systèmes RH, contenant des informations sensibles telles que des documents fiscaux et des numéros de sécurité sociale, sont particulièrement concernés. Google a reconnu que le jeton d'identification OAuth pourrait théoriquement prévenir ce problème, mais il s'est avéré peu fiable. Bien que Google ait initialement considéré cela comme un comportement normal, il a rouvert le rapport de bogue et a attribué une récompense à Ayrey. La société recommande aux clients de suivre les meilleures pratiques de sécurité, notamment en supprimant toutes les données utilisateur lors de la fermeture d'un compte, et encourage les applications tierces à utiliser des identifiants uniques pour atténuer ce risque.
Sources :
Le FBI a supprimé le malware chinois PlugX de plus de 4 000 ordinateurs américains
Le 14 janvier 2025, le ministère américain de la Justice a annoncé que le FBI avait supprimé le malware PlugX, contrôlé par le groupe d'espionnage chinois Mustang Panda, de plus de 4 200 ordinateurs aux États-Unis. Ce malware, qui se propageait via des clés USB, avait infecté des systèmes dans divers secteurs, ciblant notamment des entreprises maritimes européennes et des gouvernements dans la région Indo-Pacifique. Le malware maintenait sa présence sur les ordinateurs infectés en créant des clés de registre qui le relançaient automatiquement au démarrage. Cette opération de nettoyage, autorisée par un tribunal, faisait partie d'une initiative mondiale dirigée par les forces de l'ordre françaises et la société de cybersécurité Sekoia, qui avait débuté en juillet 2024. Le FBI a reçu plusieurs mandats pour supprimer PlugX des ordinateurs américains, le dernier ayant expiré le 3 janvier 2025. Les actions du FBI ont consisté à supprimer les fichiers et les clés de registre associés au malware, sans collecter d'informations sur les dispositifs nettoyés. PlugX, utilisé depuis 2008, est connu pour ses capacités d'espionnage et a été employé par divers groupes liés au ministère chinois de la Sécurité d'État.
