Information cruciale dans la lutte contre le cybercrime : les autorités ont dévoilé l'identité de LockBitSupp, l'un des leaders du gang de cybercriminels LockBit ! Voici ce que l'on sait !

Ce lundi 6 mai 2024, les autorités avaient mis en ligne un compte à rebours pour indiquer que le 7 mai 2024 à 14:00 UTC, ils dévoileraient l'identité de LockBitSupp. Nous en parlions dans un précédent article intitulé "Opération Cronos : les autorités sur le point de révéler l'identité des membres de LockBit ?".

Par l'intermédiaire d'un communiqué, le FBI, l’Agence Nationale du Crime du Royaume-Uni et Europol ont révélé l'identité de celui qui se cache derrière le pseudo de LockBitSupp : Dmitry Khoroshev, un ressortissant russe, qui est l'un des leaders du gang de ransomware LockBit. Il n'a pas de pull à capuche, et pourtant, c'est bien lui le cybercriminel le plus recherché au monde.

"Khoroshev, alias LockBitSupp, qui vivait dans l'anonymat et offrait une récompense de 10 millions de dollars à quiconque révélerait son identité, fera désormais l'objet d'une série de mesures de gel des avoirs et d'interdiction de voyager.", peut-on lire sur le site de la NCA. C'est également le montant promis en guise de récompense à celui ou celle qui fournira des informations nécessaires permettant d'arrêter LockBitSupp. Une véritable chasse à l'homme est lancée.

Ces dernières semaines, le gang de ransomware LockBit avait décidé de faire son retour et de frapper fort. Ils sont notamment à l'origine de la cyberattaque ayant frappée l'Hôpital Simone Veil de Cannes. Il y aurait également plusieurs dizaines de victimes, dont l'Agence des Espaces Verts d’Île-de-France, la commune de Bouchaine dans le département de Maine-et-Loire ou encore l’Université Québécoise de Sherbrooke, d'après un article publié par le site Zataz.

Cette annonce des forces de l'ordre devrait perturber sérieusement l'activité du gang de ransomware et mettre une pression maximale sur LockBitSupp et ses fidèles.

LockBit : quelques chiffres clés sur les affiliés

Au sein de son article, la National Crime Agency a donné quelques chiffres clés sur l'activité autour du ransomware LockBit et de ses affiliés. En effet, LockBit fournit ce que l'on appelle un ransomware-as-a-service (RaaS) : les pirates, appelés affiliés, paient et en contrepartie, ils peuvent bénéficier des outils et de l'infrastructure permettant de réaliser des attaques.

L'article précise ceci : "Sur les 194 affiliés identifiés comme utilisant les services de LockBit jusqu'en février 2024 :

• 148 ont élaboré des attaques.
• 119 ont entamé des négociations avec les victimes, ce qui signifie qu'ils ont définitivement déployé des attaques.
• Sur les 119 qui ont entamé des négociations, 39 semblent n'avoir jamais reçu de paiement de rançon.
• 75 n'ont pas entamé de négociations et ne semblent donc pas avoir reçu de paiement de rançon."

Ceci est intéressant, et signifie que des affiliés paient LockBit mais n'exploitent pas le service de Ransomware-as-a-service.

Source

The post Les autorités révèlent l’identité de LockBitSupp, le cybercriminel le plus recherché au monde ! first appeared on IT-Connect.

TunnelVision, c'est le nom de la nouvelle vulnérabilité et technique d'attaque mise au point par des chercheurs en sécurité et qui permet de détourner le trafic des tunnels VPN ! Voici ce qu'il faut savoir !

Lorsqu'un appareil se connecte à un réseau distant via un tunnel VPN, le trafic réseau de la machine passe par ce tunnel chiffré et sécurité. En fonction de la configuration du VPN, tout le trafic pourra passer par le tunnel VPN (full VPN) ou uniquement certains flux (split VPN).

Par ailleurs, le VPN peut être utilisé pour naviguer sur Internet tout en masquant son adresse IP publique : c'est l'une des "fonctions" des VPN grands publics. C'est ce cas d'usage qui est directement affecté par la technique évoquée dans cet article.

Les chercheurs en sécurité de chez Leviathan Security ont mis en ligne un nouveau rapport au sujet d'une technique d'attaque baptisée TunnelVision. D'après eux, cette technique est exploitable depuis 2002 et elle fonctionnerait avec l'ensemble des solutions VPN.

TunnelVision et l'option DHCP 121

Pour exploiter cette vulnérabilité associée à la référence CVE-2024-3661, un attaquant doit mettre en place une configuration bien particulière sur un serveur DHCP. En effet, il doit configurer l'option DHCP n°121 nommée "Classless static route" et dont l'objectif est de distribuer une ou plusieurs routes statiques supplémentaires au client DHCP, en plus de l'adresse IP, de la passerelle, etc.

Ainsi, l'attaquant peut créer ces routes avec une priorité plus élevée que celles définies par la connexion VPN, et ainsi, détourner le trafic VPN vers la passerelle de son choix. À ce sujet, les chercheurs précisent : "TunnelVision est une technique de fuite de VPN sur le réseau local qui permet à un attaquant de lire, d'interrompre et parfois de modifier le trafic VPN à partir d'une cible sur le réseau local." - L'attaquant doit se situer sur le même réseau local que sa victime, et il doit pouvoir modifier la configuration du serveur DHCP (ou utiliser un serveur Rogue DHCP).

Le fait de détourner le trafic ne semble pas empêcher le tunnel VPN d'être actif et cela n'a pas non plus alerté la fonctionnalité de protection "kill switch" intégrée à certains VPN : "Lors de nos tests, le VPN a toujours continué à signaler qu'il était connecté, et le kill switch n'a jamais été enclenché pour interrompre notre connexion VPN.", peut-on lire.

Quels sont les systèmes impactés ? Comment se protéger ?

Windows, Linux, iOS et MacOS sont des systèmes vulnérables à cette attaque. Android, quant à lui, n'est pas concerné. Pourquoi ? Et bien parce que l'option 121 du DHCP n'est pas prise en charge !

"Nous avons observé une mesure d'atténuation de la part de certains fournisseurs de VPN qui éliminent le trafic vers les interfaces non VPN par le biais de règles de pare-feu.", peut-on lire dans le rapport. La création de règles de pare-feu sur l'appareil local est donc une façon de se protéger de cette attaque. De plus, il peut s'avérer utile d'activer certaines protections comme le DHCP Snooping.

Enfin, sachez que TunnelVision ne dépend pas du protocole VPN utilisé, donc il n'y a pas un protocole à prioriser plus qu'un autre (OpenVPN, IPsec, WireGuard, etc.). Pour approfondir le sujet, vous pouvez consulter cette page sur GitHub.

Source

The post La vulnérabilité TunnelVision affecte tous les VPN et permet de détourner le trafic ! first appeared on IT-Connect.

Vous utilisez des équipements réseau de chez HPE Aruba Networking ? Alors, vous devriez lire cet article avec attention : plusieurs failles de sécurité critiques ont été corrigées dans le système ArubaOS. Voici ce qu'il faut savoir.

Très populaires en entreprise, les équipements HPE Aruba Networking sont affectés par plusieurs failles de sécurité. L'éditeur a corrigé 10 vulnérabilités dans le système ArubaOS, dont 4 failles de sécurité critiques qui méritent une attention particulière. En exploitant ces vulnérabilités, un attaquant pourrait exécuter du code à distance en tant qu'utilisateur privilégié sur l'équipement vulnérable.

Voici la liste des vulnérabilités critiques, toutes associées à un score CVSS de 9.8 sur 10.

• CVE-2024-26305
• CVE-2024-26304
• CVE-2024-33511
• CVE-2024-33512

Il s'agit de faiblesses de type "Buffer overflow" exploitables par l'intermédiaire du protocole PAPI. Ceci implique que l'attaquant puisse communiquer avec l'attaquant sur le port 8211 en UDP afin d'envoyer une requête spéciale sur l'interface PAPI (Performance Application Programming Interface).

Aruba : quels sont les produits et versions affectés ?

Dans son bulletin de sécurité, Aruba évoque les gammes de produits suivantes :

• Mobility Conductor (anciennement Mobility Master)
• Mobility Controllers
• Aruba Central pour gérer les passerelles WLAN et les passerelles SD-WAN

Les versions suivantes d'ArubaOS sont vulnérables :

• ArubaOS 10.5.x.x : 10.5.1.0 et antérieure
• ArubaOS 10.4.x.x : 10.4.1.0 et antérieure
• ArubaOS 8.11.x.x : 8.11.2.1 et antérieure
• ArubaOS 8.10.x.x : 8.10.0.10 et antérieure

Il est également précisé que certaines versions vulnérables ne sont plus prises en charge et qu'elles ne recevront pas de mises à jour de sécurité. Voici la liste des versions en question :

• ArubaOS 10.3.x.x
• ArubaOS 8.9.x.x
• ArubaOS 8.8.x.x
• ArubaOS 8.7.x.x
• ArubaOS 8.6.x.x
• ArubaOS 6.5.4.x
• SD-WAN 8.7.0.0-2.3.0.x
• SD-WAN 8.6.0.4-2.2.x.x

Comment se protéger ?

Pour se protéger de ces vulnérabilités, le système ArubaOS doit être mis à jour vers une version qui contient les correctifs de sécurité. Voici les versions à installer pour vous protéger :

• ArubaOS 10.6.x.x : 10.6.0.0 et supérieur
• ArubaOS 10.5.x.x : 10.5.1.1 et supérieur
• ArubaOS 10.4.x.x : 10.4.1.1 et supérieur
• ArubaOS 8.11.x.x : 8.11.2.2 et supérieur
• ArubaOS 8.10.x.x : 8.10.0.11 et supérieur

Sur ArubaOS 8.X, il existe une solution alternative autre que le patch de sécurité. Elle consiste à configurer la fonction de sécurité "Enhanced PAPI" pour ne pas utiliser la clé par défaut.

Pour le moment, rien n'indique que ces vulnérabilités soient exploitées dans le cadre de cyberattaques.

Source

The post Ces 4 failles de sécurité critiques exposent le matériel Aruba à des attaques par exécution de code à distance first appeared on IT-Connect.

Il y a un véritable match entre les autorités et les cybercriminels de LockBit ! Alors le groupe de ransomware a relancé ses activités malveillantes ces dernières semaines, leur site a été remis en ligne avec un message intrigant par les membres de l'opération Cronos ! Faisons le point.

Publication des données de l'Hôpital Simone Veil de Cannes

Il y a quelques jours, nous apprenions que les cybercriminels de LockBit étaient à l'origine de la cyberattaque ayant impactée l'Hôpital Simone Veil de Cannes. Désormais, dans la soirée du 1er mai 2024, les cybercriminels ont mis en ligne les données du centre hospitalier, ce dernier n'ayant pas payé la rançon.

Ce leak contient 61 Go de données, dont des informations sensibles et personnelles, des cartes d'identité, des RIB et des bulletins de salaire. La direction de l'Hôpital Simone Veil a confirmé qu'il s'agissait bien des données du centre.

La suite de l'opération Cronos

Mais, ces dernières heures, il y a eu un nouveau rebondissement dans l’affaire Lockbit : la suite de l'opération Cronos. Souvenez-vous, en février dernier, une opération internationale, surnommée Opération Cronos, a été menée par les forces de l'ordre et organismes de 11 pays. D'ailleurs, la France a participé par l'intermédiaire de la Gendarmerie Nationale, tandis qu'il y a également eu une participation du FBI, l'Allemagne, le Japon, la Suède, le Canada, ou encore la Suisse.

Les autorités étaient parvenues à mettre à l'arrêt un total de 34 serveurs de LockBit et récupérer des données cruciales. Ceci avait permis la création d'un outil de déchiffrement pour permettre aux victimes de récupérer leurs données sans payer la rançon.

Le site vitrine de LockBit avait été remplacé par une page mise en ligne par les forces de l'ordre suite à cette opération. Depuis quelques heures, cette page est de retour, ce qui pourrait correspondre à la suite de l'opération Cronos.

Les autorités ont repris le principe du compte à rebours utilisé par les pirates pour indiquer que le 7 mai 2024 à 14:00 UTC, ils dévoileront l'identité du chef LockBitSupps et des autres membres de LockBit. Autrement dit, nous aurions enfin la réponse à cette question à 10 millions de dollars : qui se cache derrière le pseudo LockBitSupps ?

Pour le moment, tout cela est à prendre avec précautions puisque les forces de l'ordre n'ont pas communiqué sur le sujet. Les prochaines heures nous permettront surement d'en savoir plus... Peut-être d'ailleurs par l'intermédiaire du compte VX-underground sur X. D'après ce compte, un membre de LockBit a indiqué que tout cela était des mensonges... Les autorités ont-elles de nouvelles informations ou cherchent-elles à déstabiliser le groupe LockBit en lui mettant la pression ? À suivre...

Source

The post Opération Cronos : les autorités sur le point de révéler l’identité des membres de LockBit ? first appeared on IT-Connect.

Vous utilisez Dropbox ? Mauvaise nouvelle : un pirate informatique est parvenu à s'introduire sur le système de Dropbox Sign et il a volé des informations correspondantes aux clients de l'entreprise américaine. Faisons le point.

Dropbox est mondialement connue pour son service de stockage et de partage de fichiers en ligne similaire à OneDrive, Google Drive, etc... Pourtant, ce n'est pas le seul service proposé puisqu'il y en a d'autres, notamment Dropbox Sign. Anciennement appelé HelloSign, il s'agit d'un service en ligne de signature électronique. C'est ce service qui est impacté par l'incident de sécurité.

En effet, le 24 avril 2024, Dropbox a détecté un accès non autorisé à l'environnement de production de son service Dropbox Sign. Un pirate est parvenu à mettre la main sur des identifiants valides ! Grâce à ce compte compromis, Dropbox précise que le pirate a pu accéder à la base de données clients.

Cet incident de sécurité affecte uniquement Dropbox Sign : "D'un point de vue technique, l'infrastructure de Dropbox Sign est largement distincte des autres services Dropbox.", peut-on lire sur le site de Dropbox.

Que contient cette base de données ?

Cette base de données contient des informations sensibles au sujet des utilisateurs, dont le nom d'utilisateur, l'adresse e-mail, le numéro de téléphone, ainsi que le mot de passe du compte. Le précieux sésame n'est pas accessible directement en clair, car une fonction de hachage cryptographique est utilisée avant de stocker l'information.

Ce n'est pas tout ! Le cybercriminel a pu également accéder aux réglages du compte, aux données liées à l'authentification multifacteurs, aux clés d'API et aux jetons oAuth. Des informations précieuses pour faire le pont avec d'autres applications et services.

Cette fuite de données concerne aussi les utilisateurs invités, qui n'ont pas forcément un compte Dropbox Sign : "Pour ceux qui ont reçu ou signé un document via Dropbox Sign, mais qui n'ont jamais créé de compte, les adresses électroniques et les noms ont également été exposés.", peut-on lire sur le site de Dropbox.

Comment se protéger ?

Si vous utilisez Dropbox Sign, vous devez changer votre mot de passe dès que possible et effectuer une nouvelle configuration de l'application MFA pour utiliser une nouvelle clé de génération des codes TOTP. Si vous utilisez ce mot de passe sur d'autres sites, nous vous recommandons de le renouveler également.

De son côté, Dropbox a déjà pris des mesures pour protéger les comptes de ses utilisateurs : "En réponse, notre équipe de sécurité a réinitialisé les mots de passe des utilisateurs, déconnecté les utilisateurs de tous les appareils qu'ils avaient connectés à Dropbox Sign, et coordonne la rotation de toutes les clés API et des jetons OAuth."

Enfin, comme toujours, soyez vigilant, car ces informations pourraient être utilisées pour mettre en place une campagne de phishing ciblée.

Source

The post Piratage de Dropbox Sign : e-mails, mots de passe, clés d’API, etc… volés par le pirate ! first appeared on IT-Connect.

Une équipe de chercheurs en sécurité a analysé trois campagnes malveillantes s'appuyant sur des dépôts Docker Hub. D'après eux, environ 2,81 millions de dépôts sont utilisés à des fins malveillantes. Faisons le point sur cette menace.

D'après les chercheurs en sécurité de chez JFrog, environ 20 % des dépôts hébergés sur la plateforme Docker Hub contiennent du contenu malveillant, y compris des malwares. Ils ont découvert 4,6 millions de dépôts sans aucune image Docker, et donc inutilisables à partir de Docker et Kubernetes. Parmi ces dépôts, 2,81 millions ont été associés à trois campagnes malveillantes importantes lancées en mars 2021. Mais alors, quelles sont les données stockées dans ces dépôts sur Docker Hub ?

Docker Hub comme point de départ pour piéger les utilisateurs

Les cybercriminels utilisent les dépôts pour appâter les utilisateurs, en s'appuyant sur différentes techniques, dont le phishing. Par exemple, la technique baptisée "eBook Phishing" consiste à utiliser un dépôt Docker Hub pour inviter l'utilisateur à télécharger un eBook, au format PDF ou EPUB. Sauf qu'il est redirigé vers un site malveillant dont l'objectif est de collecter des numéros de cartes bancaires.

Nous pouvons citer également la technique "Downloader" où le dépôt Docker Hub est utilisé pour promouvoir des logiciels piratés ou des logiciels de triche pour les jeux-vidéos. Les cybercriminels utilisent des textes générés automatiquement et joue sur la description pour optimiser le référencement de la page. Là encore, la victime est redirigée vers un site malveillant grâce à un lien intégré à la page du dépôt. Ici, l'objectif est de déployer un malware sur la machine de la victime.

Pour rendre légitime leur lien et essayer de tromper l'utilisateur, les pirates usurpent l'identité de services de réducteurs d'URL. Par exemple, le domaine "blltly[.]com" vise à usurper l'identité du service légitime "bitly.com".

Voici un exemple :

Le graphique ci-dessous proposé par JFrog montre que le Docker Hub est activement utilisé pour des activités malveillantes. Certaines actions sont automatisées, ce qui explique le nombre conséquent de dépôts.

L'équipe de Docker a fait le ménage

La bonne nouvelle, c'est que l'équipe de modération du Docker Hub a supprimé l'ensemble des dépôts malveillants suite à l'analyse effectuée par les chercheurs de JFrog. Néanmoins, il convient de rester méfiant, car il y en a surement d'autres, et d'autres seront probablement créés par la suite.

Même si le Docker Hub est une source officielle pour le téléchargement des images Docker, c'est avant tout un espace communautaire sur lequel nous pouvons retrouver "tout et n'importe quoi". Ce n'est pas un cas isolé, puisque certains pirates exploitent la plateforme PyPI dans le cadre de leurs activités malveillantes.

Source

The post Des millions de dépôts Docker Hub utilisés pour distribuer du contenu malveillant ! first appeared on IT-Connect.

Le gang de ransomware LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes ! Cet acte malveillant s'est déroulé il y a deux semaines. Voici les dernières informations !

Souvenez-vous : dans la nuit du 15 au 16 avril 2024, l'Hôpital Simone Veil de Cannes a été victime d'une cyberattaque. Cet incident de sécurité a eu un impact important sur l'Hôpital, contraint de fonctionner en mode dégradé et de reporter certains rendez-vous.

• L'Hôpital de Cannes victime d'une cyberattaque !

Le redoutable groupe de cybercriminels LockBit est de retour ! Pourtant, il a été fortement perturbé et contrarié par l'opération Cronos menée par les forces de l'ordre de 10 pays, en février dernier. Lors de cette opération, des serveurs de LockBit ont été saisis et les autorités étaient parvenus à publier un outil de déchiffrement pour permettre à certaines victimes de récupérer leurs données. Deux mois après cette opération, les cybercriminels de LockBit s'en sont pris à cet hôpital français.

En effet, ceci semble être de l'histoire ancienne, car ce 30 avril 2024, le groupe de LockBit a revendiqué la cyberattaque contre l'Hôpital Simone Veil de Cannes. L'établissement a été référencé sur le site de LockBit :

Désormais, l'Hôpital Simone Veil de Cannes doit payer la rançon demandée par les pirates, sinon les données volées lors de la cyberattaque seront divulguées. En plus de chiffrer les données, les cybercriminels de LockBit ont pour habitude d'exfiltrer les données pour mettre la pression à leur victime. Dans le cas présent, la direction devrait avoir pour consigne de ne pas payer la rançon, donc des données seront certainement publiées.

Pour le moment, l'Hôpital Simone Veil de Cannes n'a pas confirmé ces informations. À suivre.

Source

The post LockBit revendique la cyberattaque contre l’Hôpital Simone Veil de Cannes ! first appeared on IT-Connect.

Vous utilisez un NAS QNAP ? Veillez à ce qu'il soit à jour, car plusieurs failles de sécurité critiques ont été corrigées ! Elles représentent une menace sérieuse pour votre NAS et vos données. Faisons le point.

En mars dernier, nous avons déjà publié un article au sujet de 3 failles de sécurité critiques découvertes dans le système d'exploitation utilisé par les NAS QNAP. Il s'avère que 3 autres vulnérabilités sont désormais mentionnées dans ce bulletin de sécurité et qu'une autre alerte mentionne 2 failles de sécurité découvertes à l'occasion d'une édition de la compétition de hacking Pwn2Own. L'exploitation de ces vulnérabilités peut permettre à un attaquant d'exécuter des commandes sur le NAS, ce qui pourrait lui permettre de compromettre l'appareil.

Commençons par évoquer les trois failles de sécurité critiques évoquées sur cette page :

• CVE-2024-27124 :

Cette vulnérabilité d'injection de commande pourrait permettre à des utilisateurs d'exécuter des commandes sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 7.5 sur 10.

• CVE-2024-32764 :

Cette vulnérabilité donne accès à une fonction critique du système sans authentification et pourrait permettre à des utilisateurs standards (sans privilèges élevés) d'accéder à certaines fonctions et de les utiliser, à distance. Ceci est lié au service myQNAPcloud Link. Elle est associée à un score CVSS de 9.9 sur 10.

"Un défaut de contrôle de l’authentification dans myQNAPcloud Link permet à un attaquant non authentifié, en envoyant des requêtes spécifiquement forgées, d’accéder à certaines fonctionnalités critiques.", peut-on lire sur le site du CERT Santé.

• CVE-2024-32766 :

Cette vulnérabilité d'injection de commande pourrait permettre à un attaquant non authentifié d'exécuter des commandes arbitraires sur le système du NAS, à distance, via le réseau. Elle est associée à un score CVSS de 10 sur 10.

En plus de ces 3 vulnérabilités, voici 2 autres failles de sécurité importantes patchées il y a quelques jours par QNAP :

• CVE-2023-51364, CVE-2023-51365 :

Il s'agit de deux vulnérabilités de type "path transversal" permettant à un attaquant de lire le contenu de fichiers protégés, et potentiellement, d'exposer des données sensibles via le réseau. Elles sont associées à un score CVSS de 8.7 sur 10.

Quelles sont les versions affectées ?

Voici la liste des versions affectées, pour chaque système :

• QTS 5.x et QTS 4.5.x
• QuTS hero h5.x et QuTS hero h4.5.x
• QuTScloud c5.x
• myQNAPcloud 1.0.x
• myQNAPcloud Link 2.4.x

Comment se protéger ?

Pour vous protéger de l'ensemble de ces failles de sécurité, vous devez utiliser l'une de ces versions :

• QTS 5.1.4.2596 build 20231128 et supérieur
• QTS 4.5.4.2627 build 20231225 et supérieur 
• QuTS hero h5.1.3.2578 build 20231110 et supérieur 
• QuTS hero h4.5.4.2626 build 20231225 et supérieur 
• QuTScloud c5.1.5.2651 et supérieur 
• myQNAPcloud 1.0.52 (2023/11/24) et supérieur
• myQNAPcloud Link 2.4.51 et supérieur

En complément, veillez à utiliser un mot de passe robuste sur vos comptes d'accès au NAS (activez le MFA également), sauvegardez régulièrement vos données et limitez les accès au NAS notamment l'exposition de l'appareil sur Internet.

À vos mises à jour !

The post Ces failles de sécurité peuvent permettre la compromission de votre NAS QNAP ! first appeared on IT-Connect.

La chaîne de magasins canadienne "London Drugs" est victime d'une cyberattaque majeure ! Plusieurs magasins sont actuellement fermés à cause de cet incident de sécurité ! Faisons le point.

London Drugs est une grande chaîne de magasins canadiens qui vend des produits divers et variés : des produits de beauté, des outils de jardinage ou encore des ordinateurs. Le site officiel mentionne 80 magasins pour un total de 8 000 employés.

Le 28 avril 2024, les équipes techniques de London Drugs ont fait la découverte d'une intrusion sur leur système informatique. L'information a été révélée dimanche soir dans un e-mail envoyé à CBC/Radio-Canada.

Suite à cette cyberattaque, qualifiée de problème opérationnel, des mesures ont été prises : "London Drugs a immédiatement pris des contre-mesures pour protéger son réseau et ses données", notamment en sollicitant l'aide d'experts externes. De plus, la direction a pris la décision de fermer temporairement tous ses magasins présents dans l'ouest du Canada, pour une durée indéterminée. Il s'agit d'une mesure de précaution et une conséquence de l'indisponibilité éventuelle d'une partie du système informatique. Rien qu'en Colombie-Britannique, London Drugs compte plus de 50 magasins.

Voici ce que l'on peut lire sur le compte X (Twitter) officiel de London Drugs : "À l'heure actuelle, nous n'avons aucune raison de penser que des données de clients ou d'employés ont été affectées."

Pour le moment, aucune information n'a été publiée quant à l'origine de cette attaque. Nous ignorons s'il s'agit d'un ransomware et s'il y a eu un vol de données.

Source

The post Canada – Une cyberattaque force London Drugs à fermer des dizaines de magasins ! first appeared on IT-Connect.

L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a mis en ligne un nouveau guide au sujet de la sécurité de l'IA générative ! Un document probablement attendu par de nombreuses organisations et personnes compte tenu de la popularité du sujet !

Ce guide mis en ligne par l'ANSSI est le bienvenu ! Il devrait donc être consulté par toutes les entreprises qui envisagent d'utiliser ou de concevoir une IA générative.

D'ailleurs, c'est quoi exactement l'IA générative ? L'ANSSI nous propose sa définition dans les premières pages de son guide : "L’IA générative est un sous-ensemble de l’intelligence artificielle, axé sur la création de modèles qui sont entraînés à générer du contenu (texte, images, vidéos, etc.) à partir d’un corpus spécifique de données d’entraînement." - Autrement dit, il s'agit d'une IA destinée à différents cas d'usage tels que les Chatbots, la génération de code informatique ou encore l'analyse et la synthèse d'un document.

L'ANSSI insiste sur le fait que la mise en œuvre d'une IA générative peut se décomposer en trois phases :

1 - La phase d'entraînement, à partir d'ensembles de données spécifiquement sélectionnés.

2 - La phase d'intégration et de déploiement.

3 - La phase de production où l'IA est mise à disposition des utilisateurs.

Chacune de ces phases doit être associée à des "mesures de sécurisations spécifiques", notamment en tenant compte de "la sensibilité des données utilisées à chaque étape et de la criticité du système d’IA dans sa finalité.", peut-on lire. La confidentialité et la protection des données utilisées pour l'entraînement initial de l'IA est l'un des enjeux.

Au-delà de s'intéresser à l'IA générative dans son ensemble, ce guide traite de plusieurs scénarios concrets et qui font échos à certains usages populaires actuels.

Scénarios d'attaques sur un système d'IA générative

L'ANSSI évoque également des scénarios d'attaques sur l'IA générative, telles que les attaques par manipulation, infection et exfiltration. Le schéma ci-dessous met en lumière plusieurs scénarios où l'attaquant s'est introduit à différents emplacements du SI (accès à l'environnement de développement, accès à une source de données, accès à un plugin sollicité par le système d'IA, etc.).

Sécurité de l'IA générative : les recommandations de l'ANSSI

Tout au long de ce guide, l'ANSSI a introduit des recommandations. Au total, il y a 35 recommandations à mettre en œuvre pour sécuriser l'intégralité d'un système d'IA générative. Il y a un ensemble de recommandations pour chaque phase du déploiement.

L'ANSSI insiste notamment sur l'importance de cloisonner le système d'IA, de journaliser et de filtrer les accès notamment car les plugins externes représentent un risque majeur, et de dédier les composants GPU au système d'IA. Autrement dit, l'ANSSI déconseille de mutualiser le matériel destinée à l'IA.

Pour consulter ce guide, rendez-vous sur le site de l'ANSSI :

• ANSSI - Guide - Sécurité IA générative

The post Sécurité de l’IA Générative : l’ANSSI a publié un guide ! first appeared on IT-Connect.

Environ 1 000 serveurs exposés sur Internet sont vulnérables à une faille de sécurité critique présente dans l'application CrushFTP ! Elle a déjà été exploitée par les cybercriminels en tant que zero-day ! Voici ce qu'il faut savoir.

La faille de sécurité CVE-2024-4040 dans CrushFTP

Il y a quelques jours, une faille de sécurité critique a été découverte dans l'application CrushFTP, qui, comme son nom l'indique, permet de mettre en place un serveur FTP.

Associée à la référence CVE-2024-4040, elle permet à un attaquant distant et non authentifié de lire des fichiers présents sur le serveur, d'outrepasser l'authentification pour obtenir les droits admins et d'exécuter du code arbitraire sur le serveur. Autrement dit, si un serveur est vulnérable, il peut être totalement compromis par cette faille de sécurité et un attaquant peut en prendre le contrôle.

Un rapport publié par Rapid7 met en avant le fait que cette vulnérabilité est facilement exploitable : "L'équipe de recherche sur les vulnérabilités de Rapid7 a analysée la CVE-2024-4040 et a déterminé qu'elle ne nécessite aucune authentification et exploitable de manière triviale."

Par ailleurs, d'après CrowdStrike, cette vulnérabilité a déjà été exploitée en tant que faille de sécurité zero-day dans le cadre d'attaques, notamment pour compromettre les serveurs CrushFTP de plusieurs organisations aux États-Unis.

Quelles sont les versions vulnérables ? Comment se protéger ?

La vulnérabilité CVE-2024-4040 affecte toutes les versions de CrushFTP antérieures à 10.7.1 et 11.1.0, sur toutes les plateformes sur lesquelles l'application est prise en charge. Autrement dit, pour vous protéger, vous devez passer sur l'une des deux nouvelles versions publiées par CrushFTP : 10.7.1 ou 11.1.0.

"Les versions de CrushFTP v11 inférieures à 11.1 présentent une vulnérabilité qui permet aux utilisateurs d'échapper à leur VFS et de télécharger des fichiers système. Cette vulnérabilité a été corrigée dans la version 11.1.0.", peut-on lire sur le site officiel.

Environ 1 000 serveurs vulnérables

D'après le moteur Shodan.io, il y a 5 215 serveurs CrushFTP accessibles sur Internet, aux quatre coins du globe. Néanmoins, ceci ne donne pas le nombre de serveurs vulnérables.

Pour obtenir des informations plus précises, il faut se référer la carte publiée par The Shadowserver accessible à cette adresse. La carte a été actualisée le 27 avril 2024 et elle permet de connaître le nombre de serveurs CrushFTP vulnérables par pays.

Voici quelques chiffres clés :

• États-Unis : 569
• Allemagne : 110
• Canada : 85
• Royaume-Uni : 56
• France : 24
• Australie : 20
• Belgique : 19
• Suisse : 13

Tous les administrateurs de serveurs CrushFTP sont invités à faire le nécessaire dès que possible ! Cette vulnérabilité représente un risque élevé.

Source

The post Patchez votre serveur CrushFTP pour vous protéger de cette faille de sécurité critique et exploitée ! first appeared on IT-Connect.

Il y a quelques jours, une nouvelle version d'Harden AD a été publiée ! L'occasion d'évoquer les nouveautés intégrées à la version 2.9.8 de cette solution destinée à sécuriser votre infrastructure basée sur l'Active Directory.

Au fait, c'est quoi Harden AD ?

Harden AD est le projet phare de la communauté Harden, qui est représentée par une association loi 1901 (à but non lucratif). Depuis ses premières versions, son objectif reste le même : permettre aux organisations d'améliorer la sécurité de leur système d'information en s'appuyant sur l'Active Directory.

Harden AD est là pour faire gagner du temps aux équipes techniques, en plus de leur fournir une ligne directrice grâce à toutes les règles prédéfinies dans l'outil. Ces règles sont en adéquation avec les recommandations de l'ANSSI et de Microsoft, mais elles sont également basées sur l'expérience des experts Active Directory de la communauté Harden. Autrement dit, cet outil facilite le hardening de l'Active Directory.

Si cet outil est disponible pour tout le monde, c'est parce qu'il y a cette volonté de le rendre accessible à toutes les typologies d'organisation : la sécurité d'un SI n'est pas que l'affaire des grandes organisations, et trop de TPE et PME font l'impasse sur ce sujet par manque de budgets et connaissances. Pourtant, vous le savez, de par sa fonction, l'Active Directory est la pierre angulaire de nombreux systèmes d'information.

Pour en savoir plus, consultez cet article :

• Sécurité Active Directory : comment atteindre un score de 0/100 dans PingCastle ?

Les nouveautés d'Harden AD 2.9.8

Intéressons-nous aux nouveautés introduites à la version 2.9.8 de l'édition communautaire d'Harden AD. Désormais, lors de l'exécution du script PowerShell principal, nommé "HardenAD.ps1", vous avez la possibilité de passer des paramètres ! Trois paramètres sont actuellement pris en charge :

• -EnableTask : ceci vous permet d'activer une ou plusieurs séquences de tâches, sans modifier le fichier XML de configuration. Autrement dit, l'outil peut être exécuté afin d'effectuer la configuration d'un ou plusieurs "modules".
• -DisableTask : sur le même principe que pour le paramètre précédent, mais dans le but de désactiver une ou plusieurs séquences de tâches. Si elle est combinée à l'activation, la désactivation l'emporte.
• -NoConfirmationForRootDomain : évite de valider le nom de domaine.

Par ailleurs, la fonction destinée à gérer le groupe des administrateurs locaux des machines a été révisée afin d'être découpée en trois scripts PowerShell et d'être configurée via des fichiers au format XML. Ceci laisse le choix entre l'utilisation de la configuration prédéfinie dans l'outil et la déclaration d'une configuration sur-mesure.

L'équipe d'Harden AD a également entamé un gros travail d'optimisation et de rationalisation sur le fichier "TasksSequence_HardenAD.xml". Il joue un rôle clé dans le fonctionnement d'Harden AD, car il référence tous les paramètres de configuration et leur valeur. Cette simplification permettra de prendre en main l'outil plus facilement et d'avoir moins de valeur à adapter manuellement.

Enfin, une nouvelle GPO a été ajoutée et une autre GPO existante a été révisée.

• HAD-UNC-Hardened-Path : une nouvelle GPO, liée à l'OU "Domain Controllers", dont l'objectif est d'activer les chemins UNC durcis pour les partages "SYSVOL" et "NETLOGON".
• HAD-LoginRestrictions-{tier} : le paramètre "Deny Network Logon" a été remplacé afin de ne plus refuser les autres comptes Admin de Tier, mais seulement le compte Guest (Invité). L'objectif étant d'apporter un peu de souplesse aux équipes techniques, tout en maintenant un niveau de sécurité pertinent et adapté. Ce paramètre impactait "quotidiennement les actions techniques, telles que l'ajout d'une imprimante sur un ordinateur ou l'application d'un rafraîchissement des stratégies de groupe à partir de la console GPMC", peut-on lire dans le changelog.

Pour en savoir plus sur cette version, et pourquoi pas tester Harden AD, rendez-vous sur le GitHub officiel :

• Accéder au GitHub d'Harden AD

The post Sécurisation de l’Active Directory – Quelles sont les nouveautés d’Harden AD 2.9.8 ? first appeared on IT-Connect.

Mercredi 24 avril 2024, l'éditeur Teclib a publié une nouvelle version de la solution GLPI : 10.0.15. Au-delà de corriger quelques bugs, cette mise à jour corrige également deux failles de sécurité ! Faisons le point.

Deux vulnérabilités de type "injection SQL" ont été découvertes dans l'application GLPI. Elles sont toutes les deux considérées comme importantes :

• CVE-2024-31456 : injection SQL à partir de la fonction de recherche dans la carte (nécessite d'être authentifié)
• CVE-2024-29889 : prise de contrôle d'un compte via une injection SQL présente dans la fonction de recherche sauvegardée

Une injection SQL peut permettre à un attaquant d'exécuter des requêtes SQL arbitraires dans la base de données de l'application. Cela peut lui permettre de lire, modifier ou supprimer des données dans l'application, et donc, de compromettre l'application.

Les versions 10.0.0 à 10.0.14 de GLPI sont affectés par ces vulnérabilités. Vous pouvez récupérer cette nouvelle version sur le GitHub du projet GLPI, via cette page, et consulter l'article publié sur le site de Teclib pour en savoir plus sur cette nouvelle version.

Les dernières mises à jour de GLPI

Voici un historique des dernières versions mineures les plus récentes de GLPI 10, avec de nombreuses failles de sécurité découvertes et corrigées :

• GLPI 10.0.14 - Sortie le 14 mars 2024 - Cette version corrige un bug gênant introduit par la version 10.0.13
• GLPI 10.0.13 - Sortie le 13 mars 2024 - Cette version corrige 6 failles de sécurité
• GLPI 10.0.12 - Sortie le 1er février 2024 - Cette version corrige 2 failles de sécurité
• GLPI 10.0.11 - Sortie le 11 décembre 2023 - Cette version corrige 3 failles de sécurité
• GLPI 10.0.10 - Sortie le 25 septembre 2023 - Cette version corrige 10 failles de sécurité

Comment effectuer la mise à jour de GLPI ?

Si vous avez besoin d'aide pour mettre à jour GLPI, référez-vous à notre tutoriel via le lien ci-dessous :

• Comment mettre à jour GLPI ?

The post Passez sur GLPI 10.0.15 pour vous protéger de 2 failles de sécurité de type « injection SQL » first appeared on IT-Connect.

Depuis novembre 2023, un groupe de pirates exploite 2 failles de sécurité zero-day présentes dans les firewalls Cisco pour compromettre des infrastructures gouvernementales dans le monde entier. Faisons le point sur cette menace.

Si vous utilisez un firewall Cisco ASA (Adaptive Security Appliance ou Cisco FTD (Firepower Threat Defense), vous devriez lire cette alerte de sécurité avec une attention particulière. Un groupe de pirates, traqués sous le nom UAT4356 par Cisco Talos, et STORM-1849 par Microsoft, a compromis des firewalls vulnérables au début du mois de novembre 2023, dans le cadre d'une campagne de cyberespionnage baptisée "ArcaneDoor".

Dans le cadre de ces attaques, le groupe de pirates a exploité deux vulnérabilités en tant que failles de sécurité zero-day :

• CVE-2024-20353 : un attaquant distant non authentifié peut provoquer un déni de service sur l'appareil.
• CVE-2024-20359 : un attaquant local authentifié peut exécuter un code arbitraire avec les privilèges "root", ce qui implique de compromettre l'appareil au préalable.

Ce n'est qu'en janvier 2024 que Cisco a pris connaissance de la campagne ArcaneDoor. Mais, d'après les chercheurs en sécurité de chez Cisco, les attaquants ont développé et testé des exploits pour ces deux failles zero-day en juillet 2023. Le vecteur d'attaque initial reste inconnu à ce jour.

Sur les appareils Cisco compromis et sur lesquels ils avaient la main, les pirates ont déployé des logiciels malveillants inconnus jusqu'ici. Le premier implant se nomme "Line Dancer" et il permet d'exécuter du code en mémoire pour désactiver la journalisation, activer l'accès distant ou encore exfiltrer les paquets capturés.

Le second implant se nomme "Line Runner" et il s'agit d'une porte dérobée persistante permettant l'exécution de code Lua sur les équipements, tout en étant discret et difficilement détectable.

Dans le rapport de Cisco Talos, nous pouvons lire : "UAT4356 a déployé deux portes dérobées dans le cadre de cette campagne, "Line Runner" et "Line Dancer", qui ont été utilisées collectivement pour mener des actions malveillantes sur la cible, notamment la modification de la configuration, la reconnaissance, la capture/exfiltration du trafic réseau et, éventuellement, le déplacement latéral."

Cisco a publié des correctifs de sécurité

Cisco a mis en ligne des correctifs de sécurité pour permettre aux entreprises de se protéger de ces failles de sécurité importantes, déjà exploitées dans le cadre de la campagne de cyberespionnage menée par le groupe UAT4356.

"Cisco recommande vivement à tous ses clients d'effectuer une mise à niveau vers les versions logicielles patchées.", peut-on lire sur le site de Cisco.

En complément de l'installation du correctif de sécurité, Cisco vous recommande de surveiller les journaux de système à la recherche d'une activité suspecte. Il peut s'agir d'un redémarrage non programmé de l'appareil, d'un changement de configuration ou encore de connexions suspectes.

Source

The post Les pirates d’ArcaneDoor ont compromis les firewalls Cisco pour accéder à des réseaux gouvernementaux ! first appeared on IT-Connect.

Pendant 5 ans, des pirates sponsorisés par l'État chinois ont espionné le groupe automobile Volkswagen ! Pendant cette période, ils ont dérobé des milliers de documents confidentiels au sujet des futurs véhicules électriques de la marque, mais pas seulement...

19 000, c'est le nombre de documents qu'est parvenu à dérober un groupe de pirates, entre 2010 et 2015. Cette information a été révélée il y a quelques jours grâce à des journalistes allemands parvenus à obtenir des documents internes évoquant cet espionnage important. Pour être plus précis, le 20 avril 2024, les médias allemands ZDF et Der Spiegel ont publié des articles à ce sujet.

Un groupe de pirates lié à la Chine ?

Même si la Chine n'est pas directement accusée de cet acte de cyberespionnage, tout porte à croire qu'elle en est à l'origine. En effet, il y a plusieurs indices qui vont dans ce sens, notamment la méthodologie employée par les pirates et le fait que les adresses IP utilisées par les pirates soient associées à la Chine. Bien qu'il n'y ait pas de preuve réelle, voici ce que l'on peut lire dans l'article du média ZDF : "Nous avons pu remonter l'adresse IP jusqu'à Pékin, et même jusqu'à l'Armée populaire de libération (APL)."

Par ailleurs, les pirates ont utilisé deux logiciels espions habituellement utilisés par les acteurs étatiques chinois : "China Chopper" et "PlugX". Par exemple, China Chopper est un web shell découvert pour la première fois en 2012 et utilisé pour obtenir la persistance sur un système compromis.

À quoi correspondent les documents volés ?

Au total, les pirates auraient volé environ 19 000 documents. Mais, alors, à quoi correspondent-ils ? Au-delà des informations au sujet des véhicules électriques de Volkswagen, les pirates ont mis la main sur d'autres documents, car ce n'était pas leur cible initiale. Parmi les objectifs identifiés des pirates, il y avait :

• Le développement de moteurs à allumage commandé
• Le développement de boîtes de vitesses
• Les boîtes de vitesses à double embrayage

Par ailleurs, des documents relatifs aux boites de vitesses automatiques, aux travaux effectués sur les piles à combustibles ou encore l'e-Mobilité, ont été dérobés par les cybercriminels.

Cette affaire est clairement de l'espionnage industriel et les documents volés ont pu participer à donner un avantage concurrentiel à la Chine, si elle est bien à l'origine de cette attaque. Ceci est d'autant plus vrai que le groupe Volkswagen comprend également d'autres marques comme Audi, Lamborghini, MAN, Porsche, Skoda et Bentley.

Source

The post Pendant 5 ans, la Chine a espionné le groupe Volkswagen : 19 000 documents ont été volés ! first appeared on IT-Connect.

L'entreprise Hive Systems a mis en ligne la nouvelle version de son étude permettant de connaître le temps nécessaire pour "brute forcer" un mot de passe, c'est-à-dire le casser, le deviner quoi ! Alors vos mots de passe sont-ils en vert ? Réponse dans cet article !

L'algorithme bcrypt et le matériel utilisé pour les tests

Avant d'évoquer les résultats et cette fameuse matrice "Password Table", évoquons la méthodologie utilisée par les équipes de Hive Systems. Jusqu'ici, les tests étaient effectués sur des hashs de mots de passe chiffrés avec l'algorithme MD5 : ce qui n'était pas cohérent et représentatif, car il est obsolète. Mais, si Hive Systems se basait sur cet algorithme, c'est parce qu'il était encore massivement utilisé. Désormais, la "Password Table" indique le temps qu'il faut pour casser un mot de passe chiffré avec bcrypt, et non md5.

"MD5 a régné en maître pendant plusieurs années, mais bcrypt a pris la tête en 2020, 2021, 2023 et, jusqu'à présent, en 2024.", ce qui justifie le fait de basculer de md5 vers bcrypt.

Le matériel utilisé reste le même entre cette édition 2024 et l'édition 2023 : 12 cartes graphiques (GPU) RTX 4090, ce qui représente une puissance très élevée ! Hive Systems estime a fait le choix de ce matériel, car c'est "la meilleure configuration matérielle accessible au grand public." - En complément, des résultats sont donnés pour des configurations beaucoup plus musclées basées sur des GPU A100, notamment utilisées pour l'IA.

Oubliez les mots de passe de 8 caractères

À partir de différentes configurations matérielles, d'une simple RTX 2080 à une configuration monstrueuse de 10 000 GPU A100 (ChatGPT), Hive Systems a essayé de casser des mots de passe de 8 caractères plus ou moins complexes, aussi bien avec le md5 que le bcrypt. Ces résultats prouvent que le bcrypt est plus robuste que le md5, mais il montre aussi les limites des mots de passe de 8 caractères.

Voici le comparatif, avec md5 au-dessus, et bcrypt en dessous :

La matrice Password Table de 2024

Alors, en 2024, combien de temps faut-il pour casser un mot de passe ? Bien entendu, cela dépend de la longueur de ce mot de passe et du type de caractère.

Pour être "dans le vert", selon la matrice d'Hive Systems, le mot de passe doit être d'au moins 13 caractères et utiliser 4 types de caractère (nombres, majuscules, minuscules et symboles) car il faudra 11 milliards d'années pour le casser. Il faudra surement beaucoup moins de temps avec du matériel encore plus performant.

Au-delà des types de caractère, cette matrice met en avant l'importance de la longueur des mots de passe. Un mot de passe de 14 caractères, avec uniquement des lettres minuscules et majuscules, sera cassé en 766 000 années. Pour utiliser seulement ces deux types de caractère et "être dans le vert", comptez 17 caractères minimum : c'est facilement atteignable avec une passphrase.

Voici la fameuse matrice de 2024 :

Vous pouvez accéder à l'étude complète et au téléchargement en haute définition de cette Password Table en visitant cette page.

Une nouvelle fois, ce type d'étude m'encourage à vous recommander l'utilisation de passphrases plutôt que de mots de passe.

• Pourquoi faut-il préférer les passphrases aux mots de passe ?

Que pensez-vous de cette étude ?

The post En 2024, combien de temps faut-il pour casser un mot de passe ? first appeared on IT-Connect.

Tarn : la Ville d'Albi est actuellement victime d'une cyberattaque qui est déroulée dans la nuit de dimanche à lundi ! Certains services sont inaccessibles suite à cet incident de sécurité. Voici ce que l'on sait !

La Ville d'Albi a été ciblée par une cyberattaque qui s'est déroulée dans la nuit du dimanche 21 avril au lundi 22 avril 2024. Sur ses réseaux sociaux, notamment sur Facebook, la Ville d'Albi précise : "La Ville d’Albi est victime depuis ce lundi 22 avril 2024 à 6h du matin d’une attaque informatique."

Sans surprise, cette cyberattaque perturbe les activités des services publics de la Ville d'Albi (Mairie, Police municipale, État civil, Urbanisme, etc.), et directement, les Albigeoises et les Albigeois. Le communiqué officiel donne quelques précisions à ce sujet : "Les numéros de téléphone habituels, les mails et les services informatiques du quotidien sont inaccessibles pour une durée indéterminée." - Ce qui n'est pas étonnant, car l'accès à Internet a probablement été désactivé volontairement suite à cette intrusion.

D'après des propos relayés par le site La Dépêche, un agent a évoqué un retour au papier et au stylo, en indiquant que "Tout a été crypté" pour reprendre les termes exacts qu'il a utilisés. S'il y a réellement eu un chiffrement des données, cela signifierait que la Ville d'Albi serait victime d'une attaque par ransomware. Il s'agit là que d'une hypothèse, car aucune information officielle n'a été publiée quant à l'origine de cette attaque.

De son côté, un syndicat a évoqué la paie des agents : s'il y a une perte de données, la paie sera identique au mois dernier et une régularisation sera effectuée plus tard. Un représentant du personnel a indiqué que cette décision avait été prise en accord avec le Trésor public.

En attendant, les équipes techniques doivent identifier l'origine de cette cyberattaque et restaurer les services afin qu'ils soient de nouveau en ligne. D'ailleurs, en réponse à cet incident de sécurité, la Ville d'Albi a sollicité l'aide de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), habituée à gérer ce type d'événement.

Récemment, ce sont la ville de Saint-Nazaire et son agglomération qui ont subi une cyberattaque, ainsi que l'hôpital Simone Veil de Cannes.

The post La Ville d’Albi victime d’une cyberattaque ! first appeared on IT-Connect.

Proton s'intéresse à la surveillance du Dark Web pour détecter les éventuelles fuites de données impliquant les utilisateurs de la solution Proton Mail. Faisons le point sur cette nouveauté !

La solution Proton Mail s'enrichit d'une nouvelle fonctionnalité permettant de protéger encore un peu plus ses utilisateurs grâce à la détection et l'analyse des fuites de données présentes sur le Dark Web.

Si par malheur, votre adresse e-mail Proton Mail est identifiée dans une fuite de données, vous recevrez une alerte dans le Centre de sécurité Proton Mail de votre compte. Celle-ci vous indiquera précisément quelles sont les informations personnelles compromises et la source de la fuite de données.

En complément, des recommandations sur la manière dont les utilisateurs peuvent se protéger seront intégrées. Autrement dit, cela vous permettra d'être réactif et de procéder à un changement immédiat de votre mot de passe sur le service impacté (et les éventuels autres services où vous utilisez le même mot de passe...).

"La détection de fuites d’identifiants vient compléter le chiffrement de bout en bout éprouvé de Proton Mail et avertit les utilisateurs en cas de brèche d'un service tiers pour lequel ils auraient utilisé leur adresse Proton Mail pour s'inscrire.", peut-on lire dans le communiqué de presse officiel. Par exemple, si vous utilisez votre adresse Proton Mail pour vous inscrire sur le service "XYZ" et que ce dernier est victime d'une fuite de données publiée sur le Dark Web, vous en serez informé.

Grâce à cette nouveauté, Proton Mail souhaite protéger ses utilisateurs et leurs données, mais aussi limiter les pertes financières : "En identifiant en informant rapidement les utilisateurs des informations d'identification compromises, Proton peut aider à prévenir les pertes financières résultant du vol d'identité et de la fraude.", peut-on lire.

Précision importante : cette nouvelle fonctionnalité sera accessible à tous les utilisateurs qui ont un abonnement payant à Proton Mail. Si vous utilisez la version gratuite de Proton Mail, vous ne pourrez pas en bénéficier. Pour en savoir plus, vous pouvez consulter cette page du blog de Proton Mail.

Dernièrement, Proton a lancé son application de bureau pour son service Proton Mail et la prise en charge des passkeys a été ajoutée à Proton Pass.

Source : communiqué de presse.

The post Proton Mail va détecter les fuites d’identifiants sur le Dark Web pour alerter ses utilisateurs first appeared on IT-Connect.

Grâce à la boutique en ligne Apple Store et à une option d'achat bien précise, des cybercriminels sont parvenus à s'emparer de plus de 400 000 dollars en 2 ans. Mais, comment ont-ils fait ?

À l'occasion d'une conférence organisée à l'événement Black Hat Asia, Gyuyeon Kim et Hyunho Cho, deux chercheurs de l’Institut de sécurité financière de Corée du Sud, ont dévoilé une vaste opération menée par des cybercriminels. Cette présentation baptisée "Operation PoisonedApple" est le fruit de plusieurs mois d'enquête.

Tout d'abord, les chercheurs ont identifié une vague de piratages ciblant une cinquantaine de centres commerciaux en ligne, notamment au Japon, grâce à l'utilisation d'une technique bien connue : le phishing. Les pages mises en ligne sont des copies des sites officiels et sont utilisés par les cybercriminels pour voler des informations personnelles au sujet des victimes, ainsi que leurs coordonnées bancaires.

"Ces groupes de cybercriminels ont utilisé diverses stratégies d'évasion pour empêcher la détection de leurs pages d'hameçonnage par les administrateurs de sites et les utilisateurs, en utilisant de multiples vulnérabilités et outils.", précise le rapport des chercheurs.

Au fil des mois, les pirates sont parvenus à collecter de nombreux numéros de cartes bancaires. Ils se sont alors demandés comment les utiliser sans attirer l'attention des forces de l'ordre ? C'est là que l'Apple Store entre en jeu.

Utilisation de petites annonces et de l'Apple Store

Pour commencer, les pirates ont publié des annonces en ligne sur un site de vente de matériel d'occasion situé en Corée du Sud. Nous pouvons imaginer que c'est l'équivalent du site « Leboncoin ». Par l'intermédiaire de ces annonces, ils ont proposé des produits Apple à des prix réduits : iPhone, Apple Watch, AirPods, etc. Compte tenu de l'attractivité des offres, de nombreux internautes ont contacté les pirates, sans le savoir, par l'intermédiaire de ces annonces.

Dès qu'un internaute effectuait un achat, les cybercriminels se servaient d'un numéro de carte bancaire volé pour commander le produit en ligne directement sur l'Apple Store. Au moment de passer la commande, les pirates ont pris soin de cocher l’option « Someone-else pickup » pour permettre à un tiers de retirer la commande ! Et là, ce fameux tiers déclaré, c'est l'acheteur qui a utilisé le site de vente de matériel d'occasion !

Finalement, l'argent de la première victime est utilisée pour passer cette commande sur l'Apple Store tandis que les pirates empochent l'argent via le site de petites annonces grâce à la seconde victime. D'ailleurs, elle ne dira rien, car elle va récupérer du matériel flambant neuf à prix réduit, tout en ignorant que la commande a été réglée avec un numéro de cartes volé...

Ce stratagème a permis aux cybercriminels de voler 400 000 dollars en deux ans. D'après les chercheurs en sécurité, les attaques sont toujours en cours et les pirates cherchent de nouvelles cibles. De son côté, Apple, refuse de coopérer en raison de réglementations internes et toujours dans la volonté de protéger la vie privée de ses utilisateurs.

Source

The post 400 000 dollars volés par des pirates en exploitant l’Apple Store first appeared on IT-Connect.