Une fuite de données chez Free : notre analyse d'un nouveau piratage - Actus du 23/10/2024
Découvrez les bouleversements imminents dans la sécurité des identités en 2024 avec Permiso, les alertes CISA sur les failles de Microsoft SharePoint (CVE-2024-38094), et une nouvelle méthode ingénieuse pour jailbreaker les IA. Restez informé et protégé!
Explorez les dernières actualités dans notre article de veille quotidienne. Bonne lecture !
État de la sécurité des identités de Permiso en 2024 : un bouleversement imminent dans le domaine de la sécurité des identités
La sécurité des identités est devenue une préoccupation majeure suite à des violations récentes touchant des entreprises comme Microsoft et Okta. Les organisations réalisent qu'une révision de leur approche de la sécurité des identités est nécessaire, tant sur le plan stratégique que technologique. Une enquête commandée par Permiso, menée auprès de plus de 500 professionnels de la sécurité informatique, révèle que malgré des investissements croissants, les entreprises restent préoccupées par les menaces d'identité. Les résultats montrent que 45 % des répondants ont subi un incident de sécurité lié à l'identité l'année dernière, avec des attaques par usurpation en tête des menaces. De plus, 54 % des entreprises touchées ont vu des données sensibles, telles que des informations personnelles identifiables, ciblées. La responsabilité de la sécurité des identités est souvent perçue comme limitée à la gestion des accès, avec 56 % des équipes informatiques désignées comme principales responsables. Bien que les organisations soient conscientes des risques, elles doivent améliorer leur capacité à détecter et à répondre aux menaces d'identité. Il est crucial de redéfinir la sécurité des identités comme un élément stratégique pour l'entreprise, plutôt que de la considérer uniquement comme un processus de gestion des accès.
Sources :
La CISA met en garde contre l'exploitation active de la vulnérabilité de Microsoft SharePoint (CVE-2024-38094)
Une vulnérabilité critique affectant Microsoft SharePoint, identifiée comme CVE-2024-38094 (score CVSS : 7,2), a été ajoutée au catalogue des vulnérabilités exploitées par la CISA des États-Unis. Cette faille de désérialisation permet à un attaquant authentifié avec des permissions de propriétaire de site d'injecter et d'exécuter du code à distance dans SharePoint Server. Microsoft a publié des correctifs lors de ses mises à jour de juillet 2024, mais le risque d'exploitation est accru par la disponibilité de scripts de preuve de concept (PoC) dans le domaine public. Actuellement, aucune exploitation de cette vulnérabilité n'a été rapportée dans la nature, mais les agences fédérales doivent appliquer les correctifs d'ici le 12 novembre 2024. Parallèlement, un exploit à jour a été découvert dans les processeurs mobiles de Samsung, identifié comme CVE-2024-44068 (score CVSS : 8,1), permettant une élévation de privilèges. Google a signalé que cet exploit est utilisé dans une chaîne d'exploitation pour exécuter du code arbitraire. Enfin, la CISA propose de nouvelles exigences de sécurité pour protéger les données sensibles des États-Unis, demandant une remédiation rapide des vulnérabilités connues.
Sources :
Des chercheurs révèlent une méthode de « plaisir trompeur » pour jailbreaker les modèles d'IA
Des chercheurs en cybersécurité ont mis en lumière une nouvelle technique d'attaque, nommée Deceptive Delight, qui permet de contourner les protections des modèles de langage (LLM) lors de conversations interactives. Cette méthode, développée par Palo Alto Networks, réussit à générer un contenu dangereux avec un taux de succès moyen de 64,6 % en seulement trois échanges. Contrairement aux méthodes de jailbreak traditionnelles, Deceptive Delight manipule le contexte en intégrant des instructions indésirables entre des instructions inoffensives, exploitant ainsi la capacité limitée des LLM à maintenir une attention contextuelle. Les chercheurs ont également étudié une autre méthode, le Context Fusion Attack (CFA), qui contourne les protections des LLM en filtrant et en intégrant des termes clés dans des scénarios contextuels. Les tests ont révélé que les sujets liés à la violence avaient le taux de succès le plus élevé. Pour atténuer les risques associés à Deceptive Delight, il est conseillé d'adopter des stratégies de filtrage de contenu robustes et d'améliorer la résilience des LLM. Les chercheurs soulignent que ces résultats ne signifient pas que l'IA est intrinsèquement dangereuse, mais qu'il est essentiel de mettre en place des défenses multicouches pour réduire les risques de jailbreak.
Sources :
Vous pensez être en sécurité ? 49 % des entreprises sous-estiment les risques liés au SaaS
L'article met en lumière un point aveugle critique en matière de sécurité au sein des organisations, soulignant que la culture organisationnelle est souvent négligée comme facteur de risque. Les unités commerciales, axées sur la rapidité et l'innovation, négligent souvent la sécurité, laissant les équipes de sécurité lutter pour suivre un paysage en constante évolution des applications SaaS. Cette déconnexion crée une culture où la sécurité est perçue comme un obstacle. Une enquête d'AppOmni révèle que 31 % des décideurs en sécurité ont signalé une violation de données, une augmentation par rapport à l'année précédente. Des incidents comme la violation de la chaîne d'approvisionnement chez Sisense illustrent les dangers d'une adoption décentralisée des SaaS, entraînant un manque de visibilité sur les intégrations tierces. Pour remédier à cela, les équipes de sécurité doivent collaborer proactivement avec les unités commerciales, en offrant des conseils qui favorisent l'innovation. Une solution SSPM robuste est essentielle pour gérer les configurations et détecter les menaces. En outre, la formation continue à la cybersécurité est cruciale pour sensibiliser les employés aux menaces. En intégrant des principes de Zero Trust et en surveillant les accès, les entreprises peuvent réduire les risques liés aux SaaS tout en poursuivant leurs objectifs commerciaux.
Sources :
Les gangs de ransomware utilisent la renommée de LockBit pour intimider les victimes lors des dernières attaques
Des acteurs malveillants exploitent la fonctionnalité d'accélération de transfert d'Amazon S3 dans le cadre d'attaques par ransomware, visant à exfiltrer des données des victimes vers des buckets S3 sous leur contrôle. Selon les chercheurs de Trend Micro, des échantillons de ransomware en Golang ont été déguisés en LockBit, mais il s'agit d'une manœuvre pour tirer parti de la notoriété de LockBit. Plus de 30 échantillons contenant des identifiants d'accès AWS ont été détectés, indiquant un développement actif. Bien que la méthode de livraison du ransomware reste floue, une fois exécuté, il obtient l'identifiant unique de la machine et crypte des fichiers spécifiques après les avoir exfiltrés vers AWS via S3TA. En parallèle, Gen Digital a publié un déchiffreur pour une variante de ransomware Mallox, exploitant une faille cryptographique, permettant à certaines victimes de récupérer leurs fichiers gratuitement. Les attaques par ransomware demeurent une menace majeure, avec 1 255 incidents signalés au troisième trimestre 2024. Les opérations de LockBit ont diminué suite à des actions des forces de l'ordre, tandis que d'autres groupes comme Akira ont intensifié leurs attaques, ciblant principalement les secteurs manufacturiers et techniques.
Sources :
Malware Voldemort : nous savons qui se cache derrière – Recherche Proofpoint
En août 2024, les chercheurs de Proofpoint ont découvert une campagne de cyberespionnage utilisant un logiciel malveillant nommé « Voldemort », se faisant passer pour la Direction Générale des Finances Publiques en France. Cette campagne, attribuée au groupe de menace TA415, aligné sur la Chine, visait principalement à collecter des informations auprès des organismes d'assurances. Les chercheurs ont observé plus de 20 000 messages malveillants touchant plus de 70 organisations à l'échelle mondiale, utilisant des méthodes de commande et de contrôle innovantes, comme Google Sheets. Les activités de TA415 ont également été liées à des attaques similaires ciblant des entreprises du secteur aérospatial à Taïwan et aux États-Unis. Bien que l'espionnage soit l'objectif principal, les techniques utilisées montrent des similitudes avec celles des cybercriminels motivés par des gains financiers. Proofpoint souligne que près d'un quart des cibles étaient des compagnies d'assurance, et que les caractéristiques du malware sont atypiques, suggérant une sophistication dans l'approche des acteurs malveillants. Cette recherche met en lumière l'évolution des tactiques utilisées dans le cyberespace, où les frontières entre espionnage et cybercriminalité deviennent floues.
Sources :
Kaspersky découvre une nouvelle variante du cheval de Troie Grandoreiro
Malgré l'arrestation de certains de ses administrateurs en 2024, le cheval de Troie bancaire Grandoreiro demeure actif, avec une nouvelle version allégée ciblant principalement le Mexique et une trentaine de banques. Kaspersky a révélé que Grandoreiro représente environ 5 % des attaques de chevaux de Troie bancaires, touchant plus de 1 700 banques cette année. Le Mexique a enregistré 51 000 incidents liés à ce malware. Après une opération d'INTERPOL, les créateurs de Grandoreiro ont fragmenté leur code en versions simplifiées pour continuer leurs attaques. Ces nouvelles variantes, bien que moins complexes, utilisent des techniques avancées, comme l'enregistrement des mouvements de souris pour simuler un comportement légitime et échapper aux systèmes de sécurité. De plus, Grandoreiro a introduit une méthode cryptographique inédite, le Ciphertext Stealing (CTS), pour dissimuler son code malveillant et compliquer sa détection. Actif depuis 2016, Grandoreiro a ciblé plus de 1 500 institutions financières et 276 portefeuilles de crypto-monnaies dans 45 pays, consolidant ainsi sa menace à l'échelle mondiale. Une analyse approfondie sera présentée lors du Security Analyst Summit 2024 à Bali.
Sources :
Un hacker revendique encore une fuite de données chez Free (infos client, IBAN…) : notre analyse
Un hacker a revendiqué une cyberattaque contre l'opérateur Free, affirmant avoir accès aux données personnelles de 5,1 millions de clients de la Freebox, ainsi qu'à un total de près de 19 millions de fiches clients. Sur un forum de hackers, il a partagé un échantillon de ces données, comprenant noms, prénoms, numéros de téléphone, adresses postales, identifiants Freebox et IBAN. Bien que l'opérateur n'ait pas encore confirmé cette attaque, les informations divulguées semblent corroborer une précédente fuite signalée par Free début octobre. Les experts mettent en garde contre le risque de phishing, car les données exposées peuvent être utilisées pour cibler les clients. Le forum où les données ont été publiées est connu pour être un lieu d'échange entre cybercriminels, où les fichiers volés sont souvent revendus. Free a conseillé à ses clients de rester vigilants face à d'éventuelles activités suspectes sur leurs comptes. Les cybercriminels exploitent fréquemment des fuites de données pour renforcer leur réputation dans le milieu, et il est crucial de ne pas céder à la panique face à des revendications non vérifiées.
Sources :
Rapport annuel cyber de Sysdig : le coût et l’ampleur des cyberattaques ciblant le Cloud en très forte hausse
Sysdig a publié son rapport annuel sur les cybermenaces, soulignant l'augmentation alarmante des cyberattaques ciblant le Cloud, dont le coût pourrait dépasser 100 milliards de dollars d'ici 2025. Le rapport, élaboré par l'équipe de recherche sur les menaces (TRT), révèle que les cybercriminels exploitent de plus en plus les ressources Cloud, notamment par le vol d'identifiants et l'usurpation de comptes de modèles de langage (LLM). Les pertes quotidiennes dues au détournement de ressources d'IA peuvent atteindre plus de 100 000 dollars, comme l'illustre une attaque de LLMjacking. De plus, des attaques automatisées ont permis le déploiement de plus de 500 instances de cryptominage en seulement 20 secondes. Le rapport indique également que plus de 1 500 identifiants ont été volés grâce à un logiciel open-source. Michael Clark, responsable de la TRT, souligne que la prévention seule est insuffisante face à l'évolution des tactiques des attaquants, et que les entreprises doivent renforcer leur résilience après une cyberattaque. Avec une hausse de 154 % des attaques sur un an, le rapport met en lumière la nécessité d'une vigilance accrue face à des menaces de plus en plus complexes et coûteuses.
Sources :
Célébration des 25 ans du programme CVE : Notes de Bitdefender en tant qu’autorité de numérotation CVE
Le programme CVE® (Common Vulnerabilities and Exposures) célèbre son 25e anniversaire, et Bitdefender, en tant qu’autorité de numérotation CVE depuis cinq ans, souligne son importance cruciale. Bitdefender attribue des identifiants CVE aux vulnérabilités découvertes dans ses recherches, garantissant leur documentation et leur partage au sein de la communauté de la cybersécurité. Ce programme, fondé en 1999, a évolué de 321 enregistrements à plus de 240 000, témoignant de son adoption mondiale et de la collaboration accrue entre les acteurs de la cybersécurité. Actuellement, le programme compte plus de 400 ANC dans 40 pays, avec un accent sur l'amélioration de la qualité des données et l'efficacité des réponses aux menaces. Bogdan Botezatu, directeur de la recherche chez Bitdefender, souligne que le programme CVE est essentiel pour aider les professionnels de la sécurité à évaluer et corriger rapidement les vulnérabilités, car les cybercriminels exploitent ces failles peu après leur découverte. L'intégration des données CVE dans les opérations de cybersécurité est devenue indispensable pour protéger les systèmes et réduire les risques d'attaques. Le programme continue d'évoluer pour renforcer la sécurité des écosystèmes numériques à l'échelle mondiale.
Sources :
La CISA propose de nouvelles exigences de sécurité pour protéger les données gouvernementales et personnelles
La Cybersecurity & Infrastructure Security Agency (CISA) des États-Unis propose de nouvelles exigences de sécurité pour protéger les données personnelles des Américains et les informations gouvernementales contre les États adverses. Ces exigences s'adressent aux entités impliquées dans des transactions sensibles concernant des données personnelles ou gouvernementales américaines, en particulier celles exposées à des "pays préoccupants". Cette initiative découle de l'Ordre Exécutif 14117, signé par le président Biden, qui vise à atténuer les risques de sécurité des données. Les organisations concernées incluent des entreprises technologiques, des fournisseurs de services cloud, des entreprises de télécommunications, ainsi que des institutions financières et de défense. CISA propose des mesures de sécurité, telles que la mise à jour mensuelle de l'inventaire des actifs, la remédiation rapide des vulnérabilités, l'application de l'authentification multi-facteurs, et la protection des données par cryptage. CISA sollicite également des retours du public pour affiner sa proposition. Les commentaires peuvent être soumis via regulations.gov, en utilisant le code CISA-2024-0029. Cette initiative vise à renforcer la sécurité des données face aux menaces croissantes.
Sources :
La mise à jour Windows 10 KB5045594 corrige les bugs de l'imprimante multifonction
Microsoft a publié la mise à jour cumulative optionnelle KB5045594 pour Windows 10 22H2, qui corrige des problèmes liés aux imprimantes multifonctions et d'autres bugs. Cette mise à jour permet aux administrateurs et utilisateurs de tester les correctifs et fonctionnalités à venir avant le Patch Tuesday du mois suivant. Contrairement aux mises à jour de Patch Tuesday, celle-ci ne contient pas de correctifs de sécurité.
Parmi les nouveautés, on trouve un redesign du menu Démarrer, facilitant l'accès aux paramètres de compte, qui sera déployé progressivement. Les utilisateurs peuvent installer cette mise à jour via les paramètres de Windows Update ou la télécharger manuellement depuis le Microsoft Update Catalog.
La mise à jour inclut huit corrections, notamment pour les problèmes d'impression et d'installation de pilotes de scanner sur les MFP, ainsi que des corrections liées à la virtualisation et à l'activation des produits. Après installation, Windows 10 22H2 sera mis à jour vers la version 19045.5073. Microsoft n'a signalé aucun problème connu avec cette mise à jour.
Sources :
Des clés d'authentification AWS et Azure trouvées dans des applications Android et iOS utilisées par des millions de personnes
Un rapport de Symantec révèle que de nombreuses applications mobiles populaires pour iOS et Android contiennent des identifiants de services cloud, tels qu'Amazon Web Services (AWS) et Microsoft Azure, codés en dur et non chiffrés. Cette vulnérabilité expose les données des utilisateurs et le code source à des violations de sécurité. Les clés découvertes permettent un accès non autorisé aux bases de données et aux espaces de stockage, ce qui pourrait entraîner le vol ou la manipulation de données sensibles. Parmi les applications concernées figurent Pic Stitch, Meru Cabs et Crumbl, qui comptent des millions de téléchargements. Bien que la présence de ces applications sur un appareil ne signifie pas que les données personnelles ont été compromises, elles restent accessibles aux hackers. Symantec avait déjà alerté sur ce problème en septembre 2022, identifiant plus de 1 800 applications contenant des identifiants AWS. Les chercheurs recommandent aux développeurs d'adopter de meilleures pratiques pour protéger les informations sensibles, notamment en utilisant des variables d'environnement, des outils de gestion des secrets, et en intégrant des analyses de sécurité automatisées dès le début du processus de développement.
Sources :
La SEC accuse les entreprises technologiques d'avoir minimisé les violations de SolarWinds
La SEC a inculpé quatre entreprises technologiques – Unisys Corp, Avaya Holdings, Check Point Software et Mimecast – pour avoir trompé les investisseurs sur l'impact des violations de sécurité lors du piratage massif de SolarWinds en 2020. Selon un communiqué de presse de la SEC, ces entreprises ont fait des déclarations trompeuses concernant les risques et les intrusions liés à la cybersécurité. Unisys a également été accusé de violations des contrôles et procédures de divulgation. Pour régler les accusations, les entreprises ont accepté de payer des amendes civiles : Unisys 4 millions de dollars, Avaya 1 million, Check Point 995 000 dollars et Mimecast 990 000 dollars. L'enquête a révélé qu'Unisys, Avaya et Check Point avaient minimisé les incidents de cybersécurité dans leurs communications publiques, malgré leur connaissance des intrusions. Par exemple, Avaya a affirmé que seuls quelques courriels avaient été accédés, alors qu'au moins 145 fichiers l'avaient été. Mimecast a également sous-estimé l'attaque en ne divulguant pas la nature du code volé. Ce piratage, attribué au groupe de hackers APT29, a touché de nombreuses entreprises et agences gouvernementales américaines.
Sources :
Cadre Gophish utilisé dans les campagnes de phishing pour déployer des chevaux de Troie d'accès à distance
Une nouvelle campagne de phishing cible les utilisateurs russophones en utilisant un outil open-source appelé Gophish pour distribuer deux chevaux de Troie : DarkCrystal RAT (DCRat) et un nouveau RAT non documenté nommé PowerRAT. Les e-mails de phishing, rédigés en russe, contiennent des documents malveillants et des liens déguisés en Yandex Disk, ainsi que des pages HTML imitant VK, un réseau social populaire en Russie. Les attaquants exploitent Gophish pour envoyer des messages de phishing, incitant les victimes à ouvrir des documents Word malveillants ou des fichiers HTML intégrant du JavaScript. Un script PowerShell, déguisé en fichier INI, exécute PowerRAT en mémoire de l'ordinateur de la victime. PowerRAT permet de réaliser des opérations de reconnaissance système et de se connecter à des serveurs distants en Russie. En cas d'absence de réponse du serveur, il peut exécuter un script PowerShell intégré. DCRat, quant à lui, est capable de voler des données sensibles et de fournir un accès à distance au système compromis. Cofense a également alerté sur des campagnes de phishing utilisant des fichiers de disque dur virtuel pour contourner les systèmes de détection.
Sources :
Exploit publié pour la nouvelle attaque relais NTLM « WinReg » de Windows Server
Un exploit de preuve de concept a été rendu public pour une vulnérabilité dans le client Remote Registry de Microsoft, permettant de prendre le contrôle d'un domaine Windows en abaissant la sécurité du processus d'authentification. Cette vulnérabilité, identifiée sous le code CVE-2024-43532, exploite un mécanisme de repli dans l'implémentation du client WinReg, qui utilise d'anciens protocoles de transport lorsque le SMB n'est pas disponible. Un attaquant peut relayer l'authentification NTLM vers les services de certificats Active Directory (ADCS) pour obtenir un certificat utilisateur, facilitant ainsi l'authentification au domaine. La faille concerne toutes les versions de Windows Server de 2008 à 2022, ainsi que Windows 10 et 11. Découverte par le chercheur Stiv Kupchik d'Akamai, la vulnérabilité a été initialement rejetée par Microsoft avant d'être confirmée après une nouvelle soumission. Kupchik a présenté un PoC lors de la conférence No Hat en Italie, détaillant le processus d'exploitation. Le rapport d'Akamai propose également des méthodes pour détecter si le service Remote Registry est activé et recommande l'utilisation de l'Event Tracing for Windows (ETW) pour surveiller les appels RPC spécifiques.
Sources :
Un faux témoignage fabriqué depuis la Russie cible Tim Walz, le colistier de Kamala Harris
Deux semaines avant l'élection présidentielle américaine, une campagne de désinformation vise Tim Walz, colistier de Kamala Harris. Selon une enquête de Wired, un deepfake viral a été diffusé sur X (ex-Twitter) par un compte d'origine douteuse, où un homme prétend avoir été victime d'agression sexuelle par Walz lorsqu'il était entraîneur de football. Cette vidéo, relayée par des partisans pro-Trump, a atteint 4,3 millions de vues avant d'être supprimée, mais des références à cette fausse information persistent. Le Washington Post a identifié le prétendu ancien élève, Matthew Metro, qui nie avoir connu Walz. Parallèlement, une autre fausse information concernant un accident de voiture impliquant Kamala Harris a également circulé. Les opérations de désinformation, souvent orchestrées par des groupes comme Storm-1516, commencent par des récits et vidéos de faux lanceurs d'alerte, amplifiés par divers réseaux en ligne. Les recherches sur Walz ont considérablement augmenté, avec des termes tels que « Tim Walz pédophile » devenant viraux. Cette situation souligne les dangers de la désinformation en période électorale et l'impact des réseaux sociaux sur la perception publique.
