Veille cyber du 06/06/2024
Découvrez comment envoyer des SMS au 911 via RCS sur Android, l'outil d'un hacker éthique pour exploiter l'IA de Microsoft, et l'impact des cyberattaques ukrainiennes sur les ministères russes. Ne manquez pas notre article complet !
Découvrez comment envoyer des SMS au 911 via RCS sur Android, l'outil d'un hacker éthique pour exploiter l'IA de Microsoft, et l'impact des cyberattaques ukrainiennes sur les ministères russes. Ne manquez pas notre article complet !
Vous pourrez bientôt envoyer des SMS au 911 via RCS sur votre téléphone Android. Voici comment cela fonctionne
Google a annoncé aujourd'hui la possibilité d'envoyer des SMS au 911 via le service de communication enrichi (RCS) aux États-Unis. Cette fonctionnalité, développée en partenariat avec RapidSOS, permettra aux utilisateurs de Google Messages sur Android d'envoyer des messages texte à leur centre d'appels d'urgence local via RCS. Le déploiement progressif de cette nouvelle fonctionnalité cet hiver vise à améliorer la communication avec les centres d'appels d'urgence en permettant l'envoi de photos et vidéos haute résolution, la confirmation de lecture des messages et le partage de localisation précise. Google prévoit d'étendre cette fonctionnalité aux centres d'appels d'urgence américains qui ne prennent pas en charge les SMS au 911. Cette initiative vise à établir le RCS comme norme pour les services d'urgence et à encourager la collaboration avec d'autres acteurs pour offrir une messagerie d'urgence fiable à tous.
Sources :
Un pirate informatique éthique publie un outil pour exploiter l'IA de rappel de Microsoft et affirme que ce n'est pas « compliqué »
Un hacker éthique a publié un outil, TotalRecall, pour exploiter l'IA Recall de Microsoft, révélant des problèmes de sécurité potentiels. L'outil permet de voler les rappels enregistrés sur une machine Windows et d'y accéder sans chiffrement sur un autre appareil. Bien que Microsoft ait vanté la fonctionnalité Recall comme une avancée en matière d'IA pour se souvenir des actions sur un PC, des risques de sécurité subsistent. TotalRecall peut extraire des données sensibles, y compris des captures d'écran, stockées non chiffrées. Bien que Microsoft ait assuré que les captures resteraient sur l'appareil, des chercheurs en sécurité ont alerté sur les risques potentiels. TotalRecall, conçu pour une version préliminaire de Windows 11, soulève des inquiétudes quant à la confidentialité des données. Microsoft n'a pas encore répondu aux préoccupations soulevées, mais a indiqué que la fonctionnalité Recall pourrait être désactivée pour contrer toute exploitation.
Sources :
Cyberattaque : les sites des ministères russes en panne après une opération de hackers ukrainiens
Le renseignement ukrainien a revendiqué une cyberattaque contre la Russie le 5 juin 2024, touchant plusieurs ministères et services gouvernementaux. L'attaque a été menée par déni de service (DDoS), rendant les sites inaccessibles. Ce type d'attaque est souvent utilisé pour transmettre un message, comme lors d'une précédente attaque en France par le groupe Anonymous Sudan. La Russie est également régulièrement ciblée par de telles attaques, bien que sa communication à ce sujet soit limitée. L'Ukraine avait déjà revendiqué une cyberattaque contre la Russie au début de la guerre.
Sources :
PandaBuy paie une rançon au pirate informatique pour ensuite se faire extorquer à nouveau
PandaBuy, une plateforme d'achat chinoise, a payé une rançon à un pirate pour éviter la divulgation de données volées, mais a été extorquée à nouveau par le même acteur cette semaine. Le pirate, nommé 'Sanggiero', a publié 3 millions de lignes de données volées sur BreachForums, exposant des informations sensibles des clients. Malgré avoir payé une première fois, PandaBuy refuse de coopérer à nouveau, affirmant avoir corrigé les failles de sécurité. Les clients sont avertis de rester vigilants face à d'éventuelles tentatives de phishing.
Sources :
Le botnet Muhstik exploite la faille Apache RocketMQ pour étendre les attaques DDoS
Le botnet de déni de service distribué (DDoS) Muhstik exploite une faille de sécurité corrigée affectant Apache RocketMQ pour infecter des serveurs et augmenter sa portée. Muhstik cible les appareils IoT et les serveurs Linux, utilisant la cryptomonnaie et les attaques DDoS. Il exploite des vulnérabilités connues pour se propager, dont la CVE-2023-33246. Une fois la vulnérabilité exploitée, le malware télécharge le binaire Muhstik pour exécuter des attaques de type inondation. Il est crucial de mettre à jour Apache RocketMQ pour contrer cette menace. Les serveurs MS-SQL mal sécurisés sont également visés par des attaques de malware, nécessitant des mots de passe robustes et des mises à jour régulières pour prévenir les attaques.
Sources :
Cyberattaques tierces : la menace que personne ne voit venir – voici comment les arrêter
Les attaques de la chaîne d'approvisionnement sont une menace croissante pour la cybersécurité, pouvant causer des dommages importants en compromettant les systèmes informatiques et en volant des données sensibles. Ces attaques visent souvent les maillons faibles de la chaîne pour infiltrer les réseaux et causer des dommages en cascade. Selon une étude de Capterra, 61% des entreprises américaines ont été directement touchées par de telles attaques en 2023, avec des pertes estimées à 60 milliards de dollars d'ici 2025. Les motivations des cybercriminels vont de l'espionnage industriel au vol de secrets commerciaux, en passant par des objectifs politiques. Des incidents notables, comme ceux de SolarWinds et Kaseya, soulignent l'importance de mesures de sécurité rigoureuses et d'une vigilance constante pour contrer ces menaces. Il est essentiel que les organisations renforcent leurs défenses, évaluent régulièrement leurs partenaires externes et restent informées des dernières menaces pour protéger leurs opérations numériques.
Sources :
Empêchez le piratage de compte grâce à une meilleure sécurité des mots de passe
Un pirate informatique a compromis la base de données de mots de passe d'un site web et l'a mise en vente sur le dark web. En utilisant l'adresse e-mail légitime de Tom, le pirate enverra un lien de phishing ciblé à son PDG, mettant en péril les informations critiques de l'organisation. Les attaques de prise de contrôle de compte sont difficiles à arrêter car les attaquants utilisent des identifiants légitimes, imitant le comportement des utilisateurs autorisés pour éviter la détection. La sécurité des mots de passe est essentielle pour prévenir de telles attaques. L'utilisation de mots de passe faibles facilite la compromission des comptes, mais l'implémentation de l'authentification multi-facteurs et de mots de passe complexes renforce la sécurité. La détection tardive des comptes compromis permet aux attaquants de causer plus de dommages et rend la remédiation plus difficile. Les attaquants peuvent accéder à des informations sensibles et les vendre sur le dark web, mettant en danger la sécurité des réseaux et des données.
Sources :
Les pirates exploitent le logiciel légitime Packer pour propager des logiciels malveillants sans être détectés
Les acteurs de la menace exploitent de plus en plus des logiciels de conditionnement légitimes et commercialement disponibles tels que BoxedApp pour échapper à la détection et distribuer des logiciels malveillants tels que des chevaux de Troie d'accès à distance et des voleurs d'informations. Les échantillons malveillants ciblent principalement les institutions financières et les industries gouvernementales. L'utilisation de BoxedApp a connu une augmentation en mai 2023, avec des soumissions principalement en provenance de Turquie, des États-Unis, d'Allemagne, de France et de Russie. Les familles de logiciels malveillants distribuées de cette manière incluent Agent Tesla, AsyncRAT, LockBit, LodaRAT, NanoCore, Neshta, NjRAT, Quasar RAT, Ramnit, RedLine, Remcos, RevengeRAT, XWorm et ZXShell. Les avantages de BoxedApp Packer et BxILMerge en font une option attrayante pour les attaquants. D'autres packers comme NSIXloader et Kiteshield sont également utilisés pour distribuer des logiciels malveillants, notamment sur les systèmes Linux.
Sources :
Les données chronologiques de Google Maps doivent être stockées localement sur votre appareil pour des raisons de confidentialité
Google a annoncé son intention de stocker localement les données de l'historique des trajets de Maps sur les appareils des utilisateurs au lieu de leur compte Google à partir du 1er décembre 2024. Cette décision fait suite à des mises à jour précédentes visant à limiter l'historique de localisation à trois mois par défaut, au lieu de 18 mois. Les utilisateurs pourront toujours suivre leurs trajets, mais ne pourront plus le faire sur le web, car les données seront désormais stockées sur les appareils. Google a pris cette mesure en réponse à des allégations selon lesquelles l'entreprise aurait suivi les déplacements des utilisateurs malgré la désactivation de l'historique de localisation, en exploitant les paramètres moins évidents de l'activité Web et des applications. Suite à des poursuites judiciaires, Google a accepté de verser 62 millions de dollars à des organisations à but non lucratif et a conclu des accords avec plusieurs États américains. Une action en justice similaire est en cours au Texas.
Sources :
Les pirates ciblent les développeurs Python avec un faux package "Crytic-Compilers" sur PyPI
Des chercheurs en cybersécurité ont découvert un package Python malveillant sur le dépôt PyPI, conçu pour diffuser un voleur d'informations nommé Lumma. Le package en question, crytic-compilers, une version typosquattée d'une bibliothèque légitime nommée crytic-compile, a été téléchargé 441 fois avant d'être retiré. Ce faux package imite le nom et les numéros de version de la bibliothèque réelle pour induire en erreur. Certaines versions de crytic-compilers installaient le package réel via un script setup.py modifié. La dernière version lance un exécutable sur Windows pour télécharger des charges supplémentaires, dont Lumma Stealer. Cette découverte montre que des acteurs malveillants ciblent désormais les développeurs Python via des registres open-source comme PyPI. Parallèlement, plus de 300 sites WordPress ont été compromis par des pop-ups de fausses mises à jour de Google Chrome, redirigeant vers des installeurs MSIX malveillants. Les attaquants utilisent un plugin légitime WordPress pour afficher ces pop-ups, échappant ainsi à la détection des scanners de fichiers.
Sources :
La version Linux du ransomware TargetCompany cible VMware ESXi
Une nouvelle variante Linux du ransomware TargetCompany cible les environnements VMware ESXi en utilisant un script shell personnalisé pour délivrer et exécuter des charges utiles. Cette opération de ransomware, également connue sous les noms de Mallox, FARGO et Tohnichi, s'est concentrée sur les attaques de bases de données contre des organisations principalement en Asie depuis juin 2021. Le ransomware s'assure d'avoir des privilèges administratifs avant de poursuivre sa routine malveillante. Il chiffre les fichiers avec des extensions liées à VMware et ajoute l'extension ".locked". Une note de rançon est laissée avec des instructions pour le paiement. Les attaques sont attribuées à un affilié nommé "vampire". Les chercheurs recommandent l'activation de l'authentification multifactorielle, la création de sauvegardes et le maintien des systèmes à jour.
Sources :
Le FBI récupère 7 000 clés LockBit et exhorte les victimes de ransomware à nous contacter
Le FBI a récupéré plus de 7 000 clés de décryptage LockBit et encourage les victimes de ransomwares à se manifester pour récupérer leurs données gratuitement. Cette annonce fait suite à la prise de l'infrastructure de LockBit en février 2024 lors de l'opération "Cronos". Malgré ces efforts, LockBit reste actif et cible toujours des victimes à travers le monde. Le département d'État américain offre désormais une récompense de 10 millions de dollars pour toute information menant à l'arrestation des dirigeants de LockBit.
Sources :
Google Chrome a réduit les demandes de cookies pour améliorer les performances
Google Chrome a réduit les demandes de cookies pour améliorer les performances. Une nouvelle fonctionnalité a été introduite pour changer la façon dont les cookies sont demandés, avec des tests initiaux montrant une amélioration des performances sur toutes les plateformes. Les anciennes méthodes synchrones de récupération des cookies ralentissaient le processus en raison de demandes répétées. Pour remédier à cela, Google a introduit un nouveau système appelé Shared Memory Versioning, réduisant le nombre de messages liés aux cookies de 80% et accélérant l'accès aux cookies de 60%. Cette modification a permis d'améliorer les performances jusqu'à 5% sur toutes les plateformes, permettant à davantage de sites de passer les Core Web Vitals.
