Planète Warez

A mon humble avis ça a du rentrer comme dans du beurre, on attend avec impatience la publication des données.

La police royale malaisienne a annoncé la saisie de BulletProftLink, célèbre plateforme de phishing-as-a-service (PhaaS) qui a fourni plus de 300 modèles de phishing

La plateforme a vu le jour en 2015, mais est devenue plus active depuis 2018 et comptait des milliers d’abonnés, certains payant pour l’accès à des lots de logs d’identification.

Les plateformes PhaaS fournissent aux cybercriminels des outils et des ressources pour effectuer des attaques de phishing via des kits et modèles «prêts à l’emploi», l’hébergement de fausses pages web, des options de personnalisation, de la récolte d’informations d’identification et des outils de reverse proxy.

La plateforme BulletProftLink a déjà été documentée. En 2020, un expert en cybersécurité Gabor Szathmari détaillait dans une série en trois parties de recherches, comment il a créé une grande confiance avec un opérateur de la plateforme, un ressortissant malaisien vivant une vie de luxe.

Un rapport Microsoft de septembre 2021, mettait en garde contre le volume élevé d’attaques de phishing que la plateforme pourrait faciliter et le grand nombre de modèles disponibles pour les acheteurs. Le service a également collecté toutes les informations d’identification que ses abonnés (1 618 à l’époque) ont volées dans des attaques de phishing.

BulletProftLink

Aidée par la police fédérale australienne et le FBI, la police malaisienne a réussi à démanteler la plateforme et à supprimer plusieurs domaines qu’elle utilisait.

La police a arrêté huit personnes le 6 novembre, dont un autodidacte qui serait le chef de l’opération. Les autorités ont également saisi des portefeuilles de cryptomonnaie contenant environ 213 000 $, des serveurs, des ordinateurs, des bijoux, des véhicules et des cartes de paiement.

Les serveurs étant confisqués, les forces de l’ordre peuvent les examiner pour identifier les utilisateurs de la plateforme, certains d’entre eux payant des frais d’abonnement de 2000$ /mois pour accéder à des lots réguliers de logs d’informations d’identification.

La société de renseignement sur la cybercriminalité Intel471 affirme qu’en avril 2023, BulletProftLink comptait 8 138 abonnés actifs avec accès à 327 modèles de pages de phishing.

– Le dashboard de BulletProftLink (Intel471)

Il s’agit d’une augmentation de cleints de l’ordre de 403% depuis le rapport de Microsoft en 2021, reflétant la popularité massive de la plate-forme dans la communauté de la cybercriminalité.

Intel 471 dit que les ressources de phishing que BulletProftLink offrait avant d’être supprimées étaient “des pages de connexion incluses pour Microsoft Office, DHL, la plateforme en ligne basée en Corée du Sud Naver et des institutions financières, notamment American Express, Bank of America, Consumer Credit Union et la Royal Bank of Canada.”

– Pages de phishing disponibles à l’achat pour les membres (Intel471)

Certaines de ces pages de phishing ont été hébergées sur des services cloud légitimes tels que Google Cloud et Microsoft Azure pour échapper aux outils de sécurité.

L’inventaire de BulletProftLink offrait également l’outil de proxy inverse Evilginx2 qui permet des attaques de phishing AITM (Adversary-In-The-Middle), qui peuvent contourner les protections d’authentification multifactorielle.

BulletProftLink était une source importante de référence pour les cybercriminels professionnels afin d’obtenir des accès privilégiées aux systèmes d’entreprises. Avec un premier pied dans leur réseau, les attaquants peuvent commencer la phase de reconnaissance et avancer vers des machines contenant des informations bien plus importantes.

– Source

https://www.bleepingcomputer.com/news/security/police-takes-down-bulletproftlink-large-scale-phishing-provider/

@Psyckofox a dit dans Les pirates iraniens lancent des attaques via malware contre le secteur technologique israélien :

Edit : pas de problème Violence, je suis 100 % ok avec toi

No hay problemas amigo @Psyckofox 😁
Sé que todo esto está cerca de tu corazón.

Ha ben je comprends mieux pourquoi ça ne fonctionnait pas hier ! Et dire qu’on m’a accusé d’avoir mal formulé ma question 🙄

Alors eux des traîtres ils vont passer un sale moment

Le groupe de piratage Sandworm parrainé par l’État Russe, a compromis onze prestataires de services de télécommunications en Ukraine entre mai et septembre 2023.

Cette information est basée sur un nouveau rapport de l’équipe ukrainienne d’intervention en cas d’urgence informatique (CERT-UA - Computer Emergency Response Team) citant des «ressources publiques» et des informations récupérées auprès de certains fournisseurs victimes de Sandworm.

L’agence déclare que les pirates russes “ont interféré” avec les systèmes de communication de 11 opérateurs de télécommunications dans le pays, ce qui a entraîné des interruptions de service et des potentielles vols de données.

Sandworm est un groupe d’espionnage très actif lié au GRU russe (forces armées). Les assaillants se sont concentrés sur l’Ukraine tout au long de 2023, en utilisant le phishing, des malwares Android, et des data-wipers.

Cibler les opérateurs télécoms

Les attaques commencent quand Sandworm effectue des reconnaissances sur les réseaux des sociétés de télécommunications en utilisant l’outil masscan pour effectuer des analyses et scans sur le réseau de la cible.

– Exemple du script masscan (CERT-UA)

Sandworm recherche principalement des ports ouverts et des interfaces RDP ou SSH non protégées qu’ils peuvent exploiter pour pénétrer le réseau.

De plus, les attaquants utilisent des outils tels que ffuf, dirbuster, gowitness et nmap pour trouver des vulnérabilités potentielles dans les services Web qui peuvent être exploitées pour y accéder.

Des comptes VPN compromis qui n’étaient pas protégés par l’authentification multifactorielle (2FA) ont également été exploités pour accéder au réseau.

Pour rendre leurs intrusions plus furtives, Sandworm utilise Dante, socks5 et d’autres serveurs proxy pour acheminer leurs activités malveillantes via d’autres serveurs dans la région Internet ukrainienne qu’ils ont compromis auparavant, ce qui le rend moins suspect.

Le rapport détaillé du CERT-UA (très intéressant au passage) à repéré deux portes dérobées dans les systèmes ISP compromis, à savoir Poemgate et Poseidon.

Poemgate capture les informations d’identification des administrateurs qui tentent de s’authentifier dans des accès compromis, offrant aux attaquants un accès à des comptes supplémentaires qu’ils peuvent utiliser pour une infiltration plus profonde du réseau.

Poseidon est une porte dérobée Linux qui, selon l’agence ukrainienne, “comprend la gamme complète d’outils de contrôle informatique à distance.”
La persistance de Poséidon est obtenue en modifiant Cron pour ajouter des jobs compromettant le système.

– Modification binaire de CRON pour ajouter de la persistance à Poséidon (CERT-UA)

Sandworm utilise l’outil Whitecat pour supprimer les traces de l’attaque et supprimer les journaux d’accès (log).

Aux dernières étapes de l’attaque, les pirates ont été repérés en train de déployer des scripts qui provoqueraient une perturbation du service, en particulier en se concentrant sur des équipements Mikrotik, et en supprimant les backups pour rendre la récupération de données plus difficile.

– Script pour altérer les appareils Mikrotik (CERT-UA)

Le CERT-UA informe que tous les fournisseurs de services du pays doivent suivre les recommandations de leur guide pour rendre plus difficile pour les cyber-intrus d’infiltrer leurs systèmes.

– Sources

https://www.bleepingcomputer.com/news/security/russian-sandworm-hackers-breached-11-ukrainian-telcos-since-may/

https://cert.gov.ua/article/6123309

Face à la montée en puissance des cyberattaques, Microsoft mise sur plus d’automatisation pour intercepter plus d’intrusion et réagir plus rapidement en cas de faille de sécurité. Il plaide aussi pour une coopération internationale renforcée.

Microsoft a connu depuis un an une multitude de failles de sécurité touchant son service cloud Azure, provoquant des critiques de la part de l’industrie sur ses pratiques en matière de transparence et remédiation. Le géant de Redmond semble avoir entendu ces plaintes et a annoncé une initiative baptisée “Secure Future” le 2 novembre 2023 qui vise à améliorer les choses.

Diviser par deux le temps de réaction face à une vulnérabilité sur le cloud

Microsoft ne le met pas particulièrement en avant dans sa communication, préférant parler de ses projets à base d’intelligence artificielle, mais il dit vouloir “diviser par deux le temps nécessaire pour corriger une vulnérabilité cloud” et compte pour cela sur des rapports plus transparents et plus cohérents concernant les cyberattaques de la part de la communauté tech.

Il va par ailleurs migrer vers un nouveau système de gestion des clés grand public et d’entreprise entièrement automatisé, doté d’une architecture conçue pour garantir que les clés restent inaccessibles même lorsque les processus sous-jacents sont compromis. Il s’appuiera aussi sur son architecture informatique confidentielle et utilisera des modules de sécurité matériels (HSM) qui stockent et protègent les clés dans le matériel et chiffrent les données au repos, en transit et pendant le calcul.

Exploiter le potentiel de l’IA

Comme évoqué plus haut, Microsoft souligne largement le potentiel de l’IA pour la sécurité. Il va étendre à ses clients les fonctionnalités d’automatisation qu’il utilise déjà au sein du Microsoft Threat Intelligence Center (MSTIC) et du Microsoft Threat Analysis Center (MTAC), ses divisions dédiées à la surveillance et à l’analyse des cybermenaces. Ces dernières suivent quotidiennement plus de 65 000 milliards de signaux et utilisent des outils d’IA pour les analyser en continu afin d’identifier les vulnérabilités et d’anticiper les cybermenaces. Cela ne se fera évidemment pas gratuitement.

Microsoft mise par ailleurs sur son “Microsoft Security Copilot”, un assistant destiné aux équipes spécialisées dans la cybersécurité dévoilé en mars dernier. Il permettrait de réagir plus rapidement en cas d’incidents, aussi bien pour en identifier l’origine que pour prendre les bonnes actions correctives.

Des avancées techniques

Microsoft travaille sur de nouvelles avancées en matière d’ingénierie logicielle fondamentale. L’entreprise assure qu’elle appliquera des processus systématiques de protection contre les cybermenaces lors du développement, des tests, du déploiement et de l’exploitation de tous les systèmes et services du groupe. De plus, elle utilisera GitHub Copilot pour auditer et tester le code source sur des scénarios de menaces avancés.

L’entreprise prévoit également le renforcement de la protection de l’identité contre les cyberattaques sophistiquées, rappelant que les menaces basées sur l’identité ont été multipliées par dix au cours de l’année écoulée. Pour ce faire, Microsoft explique qu’il appliquera un processus unifié qui vérifiera les identités et les droits d’accès de ses utilisateurs, appareils et services sur tous ses produits et plateformes.

Microsoft appelle les états à s’engager plus vigoureusement

Outre ces actions, Microsoft publie un plaidoyer qui appelle à une collaboration internationale plus poussée en matière de lutte contre les cyberattaques comme l’affirme le groupe dans son communiqué :

Tous les États devraient s’engager publiquement à ne pas créer de vulnérabilités logicielles dans les réseaux des fournisseurs d’infrastructures critiques, tels que les fournisseurs d’énergie, d’eau, de nourriture, de soins médicaux ou autres"

Il plaide par ailleurs pour un engagement plus vigoureux et affiché des nations qui amènera les pays qui franchissent ces lignes rouges à rendre davantage compte de leurs actes.

– Source

https://www.usine-digitale.fr/article/microsoft-veut-diviser-par-deux-son-temps-de-reaction-face-aux-vulnerabilites-cloud.N2190833

Je pensais que RoundCube était un vieil ersatz d’une techno utilisée par OVH, je n’aurais jamais cru que ça existait encore.

Entre les avions et les ports maritimes les hackeurs ne chôment pas en ce moment.

L’ANSSI a publié un nouveau rapport intitulé “Campagnes d’attaques du mode opératoire APT28 depuis 2021” qui revient en détail sur les techniques employées par ce groupe de cybercriminels à l’origine de nombreuses cyberattaques en France. Ce document contient également un ensemble de recommandations.

Le groupe de cybercriminels russes APT28, également appelé Fancy Bear, est à l’origine de nombreuses cyberattaques en France :

Certaines campagnes ont été dirigées contre des organisations françaises, dont des entités gouvernementales, des entreprises, des universités, ainsi que des instituts de recherche et des groupes de réflexion (think tanks)
ANSSI

L’ANSSI est intervenu sur ces incidents de sécurité afin de mener des investigations, donc ce rapport est en quelque sorte une synthèse de ce qu’ils ont appris sur APT28. “Ce document s’appuie sur des rapports techniques publiés en source ouverte et des éléments collectés durant des opérations de réponse à incident réalisées par l’ANSSI.”, précise le rapport que vous pouvez retrouver à cette adresse.

– Adresses ayant diffusé des emails exploitant la CVE-2023-23397 (ANSSI)

Le groupe APT28 a pour habitude d’effectuer sa phase de reconnaissance à l’aide de campagnes de phishing envoyées directement à partir de comptes compromis. À cela s’ajoutent des routeurs compromis, notamment de la marque Ubiquiti, utilisée pour récupérer les données exfiltrées. L’ANSSI affirme que le groupe APT28 a exploité de nombreuses vulnérabilités, y compris des failles zero-day, notamment certaines très connues. Voici quelques exemples :

La CVE-2022-30190 (Follina) dans MSDT (Microsoft Support Diagnostic Tool) Les CVE-2020-12641, CVE-2020-35730, CVE-2021-44026 dans l’application Roundcube La CVE-2023-23397 dans Outlook : "APT28 a exploité la vulnérabilité 0-day CVE-2023-23397 affectant le produit Outlook pour Windows à partir de mars 2022 et jusqu’en juin 2023."

D’ailleurs, l’ANSSI s’est intéressé à la manière dont les attaquants exploitaient la faille de sécurité CVE-2023-23397 puisqu’ils semblent particulièrement l’apprécier.

En exploitant ces vulnérabilités et en récupérant des informations au sein de fuites de données, APT28 s’est constitué une belle infrastructure d’attaque.Par ailleurs, APT28 s’appuie sur des outils de sécurité tels que Mimikatz et reGeorg lors de ses opérations, en plus d’utiliser des fournisseurs de VPN divers et variés (Surfshark, ExpressVPN, ProtonVPN, etc.).

Enfin, le rapport contient un ensemble de 17 recommandations à appliquer pour faire face à ce type de menace. L’ANSSI aborde la sécurité des échanges par e-mail, la sécurité des données d’authentification, la sécurité des postes de travail ainsi que la sécurité de l’accès aux contenus hébergés sur Internet.

Bonne lecture !

– Source

https://www.it-connect.fr/lanssi-sest-interessee-au-groupe-apt28-a-lorigine-de-nombreuses-attaques-en-france/

@Raccoon a dit dans Tests ADN : les données d’un million d’utilisateurs de 23andMe fuitent :

Un échantillon d’1 millions de données concernant principalement des juifs

Ha comme quoi tout est lié, c’était ciblé

Les pirates de Kinsing exploitent la faille Looney Tunables pour compromettre des instances Cloud

La faille de sécurité Looney Tunables présente dans une bibliothèque du noyau Linux semble intéresser certains cybercriminels. En effet, des pirates associés au groupe Kinsing ont été repérés en train de tenter d’exploiter cette vulnérabilité pour compromettre des environnements Cloud. Voici ce que l’on sait.

Pour rappel, la vulnérabilité Looney Tunables (référence CVE-2023-4911) a été découverte par les chercheurs en sécurité de chez Qualys et elle se situe dans la bibliothèque C du projet GNU : glibc. Cette bibliothèque est intégrée dans le noyau Linux. Quant à cette vulnérabilité, elle a été introduite dans la bibliothèque glibc en avril 2021 (dans glibc 2.34). En l’exploitant, un attaquant peut élever ses privilèges et devenir root sur la machine.

Dans un rapport partagé par l’entreprise Aqua, nous pouvons lire ce qui suit :

En utilisant une attaque rudimentaire mais typique d’exploitation d’une vulnérabilité dans PHPUnit, une étape de la campagne en cours de Kinsing, nous avons découvert les efforts manuels de l’acteur malveillant pour manipuler la vulnérabilité Looney Tunables (CVE-2023-4911).

Le groupe Kinsing à l’habitude d’utiliser une faille critique dans PHPUnit (CVE-2017-9841) permettant une exécution de code à distance. Elle leur permet d’avoir un accès initial à la machine cible. Ensuite, leur objectif est d’exploiter la vulnérabilité Looney Tunables pour élever leur privilège.

Dans le cas présent, les attaquants ont effectué des actions manuelles, notamment à l’aide d’un exploit codé en Python. Pas n’importe lequel puisque Kinsing récupère un exploit publié par un utilisateur surnommé @bl4sty. Sur son site, @bl4sty explique qu’il s’agit d’un “exploit d’escalade des privilèges locaux de Linux” ciblant la vulnérabilité Looney Tunables.

Habituellement, le groupe Kinsing cherche plutôt à compromettre des machines pour lancer un mineur de cryptomonnaie. Ici, les motivations sont différentes. En effet, les cybercriminels ont cherché à extraire les informations d’identifiants (credentials) du fournisseur de services Cloud afin d’effectuer d’autres actions par la suite. Dans le cas présenté par Aqua, il s’agissait d’une tentative de compromission à l’encontre d’une instance AWS (Cloud Amazon).

L’opération Kinsing pourrait se diversifier et s’intensifier dans un avenir proche, posant ainsi une menace accrue pour les environnements cloud-native.

précise le rapport d’Aqua.

– Source

https://www.it-connect.fr/les-pirates-de-kinsing-exploitent-la-faille-looney-tunables-pour-compromettre-des-instances-cloud/

Détails de l’attaque

Contrairement à leur habitude, Kinsing a testé manuellement la dernière attaque, probablement pour s’assurer qu’elle fonctionne comme prévue avant de développer des scripts d’exploitation pour automatiser la tâche.

– Exploitation de la faille CVE-2017-9841 (AquaSec)

L’exploitation de la faille PHPUnit (CVE-2017-9841) conduit à ouvrir un shell inversé sur le port 1337 sur le système compromis, que les opérateurs de Kinsing exploitent pour exécuter des commandes de reconnaissance comme uname -a et passwrd

– Ouverture d’un Shell inversé (AquaSec)

De plus, les attaquants déposent un script nommé gnu-acme.py sur le système, qui exploite la faille CVE-2023-4911 pour l’élévation de privilèges.

L’exploit de Looney Tunables est récupéré directement auprès du dépositaire du chercheur qui a sorti un PoC, sensible de cacher leurs traces.

Les attaquants téléchargent également un script PHP, qui déploie une backdoor JavaScript 'wesobase.js) qui prend en charge les étapes d’attaque suivantes.

– Payload JS

Plus précisément, la backdoor offre aux attaquants la possibilité d’exécuter des commandes, d’effectuer des actions de gestion de fichiers, de collecter des informations sur le réseau et le serveur, et d’exécuter des fonctions de chiffrement / déchiffrement.

– Collecte d’informations AWS

L’environnement de bureau GNOME est affecté par une faille de sécurité importante présente dans une bibliothèque qu’il utilise. En exploitant cette vulnérabilité, un attaquant peut exécuter du code arbitraire sur la machine Linux. Faisons le point.

GNOME est un environnement de bureau populaire pour les distributions Linux, et c’est une alternative à XFCE, KDE, etc… Il est utilisé (ou proposé) au sein de distributions Linux populaires comme Ubuntu, Debian ou encore Red Hat Enterprise Linux.

La faille de sécurité qui impacte GNOME est présente dans la bibliothèque “libcue” intégrée à l’outil d’indexation de métadonnées de fichiers Tracker Miners. Ce dernier est intégré dans les dernières versions de GNOME. En fait, libcue sert à analyser les fichiers de type “cue sheets” qui contiennent les métadonnées d’un CD ou d’un DVD (nom de la piste, durée de la piste, artiste, etc.).

La faille de sécurité CVE-2023-43641 est de type “1-click RCE” c’est-à-dire qu’elle permet une exécution de code en un seul clic puisqu’il suffit que l’utilisateur clique sur un lien malveillant pour que du code soit exécuté sur la machine Linux.

Kevin Backhouse, qui a fait la découverte de cette vulnérabilité, a mis en ligne de nombreux détails techniques sur son GitHub.

Il précise : “Parfois, une vulnérabilité dans une bibliothèque apparemment inoffensive peut avoir un impact important.” - Dans une démonstration, on voit qu’il clique sur un lien Web correspondant à un fichier “.cue” et le code est exécuté dès la fin du téléchargement du fichier, car le fichier est immédiatement indexé par Tracker Miners. D’autres formats sont pris en charge par cet indexeur : HTML, JPEG, PDF, etc…

Il y a un réel risque vis-à-vis de cette vulnérabilité et Kevin Backhouse est clair : “Si vous utilisez GNOME, mettez à jour dès aujourd’hui !”. Actuellement son exploit PoC complet n’est pas accessible publiquement, mais il sera mis en ligne par la suite.

La semaine dernière, une autre vulnérabilité baptisée Looney Tunables a été découverte dans Linux. Elle permet de devenir “root” sur une machine locale.

– Source

https://www.it-connect.fr/linux-avec-gnome-cette-faille-permet-une-execution-de-code-avec-un-simple-telechargement-de-fichier/

Microsoft Defender for Endpoint bénéficie d’une nouvelle fonctionnalité très intéressante lui permettant d’isoler un utilisateur compromis et utilisé par un cybercriminel afin de bloquer une cyberattaque. Cette nouveauté est dès à présent disponible en version preview public.

Désormais, Microsoft Defender for Endpoint est capable d’isoler les utilisateurs, en plus de pouvoir isoler les appareils. Bien que ces deux fonctionnalités soient en “preview public”, c’est prometteur. Dans un article complet, Microsoft a dévoilé cette nouvelle fonctionnalité :

Aujourd’hui, nous avons le plaisir d’annoncer que les clients de Microsoft Defender for Endpoint pourront désormais interrompre automatiquement les attaques d’origine humaine telles que les ransomwares dès le début de la chaîne d’exécution, sans avoir à déployer d’autres fonctionnalités.

Lors d’une attaque informatique, les humains peuvent intervenir et réaliser différentes actions pour atteindre leur objectif final, notamment les mouvements latéraux pour se déplacer d’une machine à une autre à l’aide de comptes compromis. Désormais, Microsoft Defender for Endpoint peut bloquer les tentatives de mouvements latéraux en isolant le(s) compte(s) compromis ou les identités suspectes, que ce soit sur une infrastructure Cloud ou on-premise.

Lorsqu’un compte est isolé, il devient inutilisable sur l’ensemble des machines de l’entreprise. Pour cela, Microsoft évalue un ensemble de signaux sur l’ensemble des services afin de détecter les comportements suspects et malveillants.

Lorsqu’une identité est contenue, tout dispositif avec Microsoft Defender for Endpoint bloque le trafic entrant pour des protocoles spécifiques liés aux attaques (connexions réseau, RPC, SMB, RDP) tout en autorisant le trafic légitime."

précise la documentation de Microsoft. Ces actions sont effectuées pour réduire au maximum l’impact de l’attaque.

Le tableau de bord de Defender contiendra toutes les informations nécessaires pour analyser la situation, et éventuellement, débloquer l’utilisateur. Au fil des mois, l’entreprise américaine continue d’ajouter des fonctionnalités à Microsoft Defender for Endpoint pour qu’il soit encore plus efficace et réactif face aux menaces. Dans ce cas-là, les fonctions d’isolation sont très importantes, notamment pour isoler les machines managées ou non managées ainsi que les utilisateurs.

Je vous laisse avec cette vidéo de démonstration de cette nouvelle fonctionnalité :

– Source

https://www.it-connect.fr/pour-bloquer-les-attaques-microsoft-defender-peut-auto-isoler-les-comptes-compromis/

Microsoft a lancé un nouveau programme de Bug Bounty pour tout ce qui tourne autour de l’IA avec Bing. Si vous trouvez une vulnérabilité, la récompense peut atteindre 15 000 dollars.

Le programme de Bug Bounty nommé “Microsoft AI Bounty Program” fait un focus sur l’intégration de l’intelligence artificielle via Bing dans les différentes applications et services de Microsoft :

Bing AI via bing.com dans le navigateur web (Bing Chat, Bing Chat for Enterprise et Bing Image Creator) Bing AI dans Microsoft Edge (Windows) Bing AI dans l’application Microsoft Start (iOS et Android) Bing AI dans l’application mobile Skype (iOS et Android)

L’objectif de Microsoft est de renforcer la sécurité de ses nouveaux services en permettant aux chercheurs en sécurité de trouver des vulnérabilités et d’en être récompensé par une somme d’argent pouvant atteindre 15 000 dollars. Sur son site, Microsoft précise :

Le programme Microsoft AI bounty invite les chercheurs en sécurité du monde entier à découvrir des vulnérabilités dans la nouvelle expérience Bing, innovante et alimentée par l’IA. Les soumissions qualifiées peuvent être récompensées par des primes allant de 2 000 à 15 000 dollars.

La récompense dépend à la fois de la criticité de la vulnérabilité et de la qualité des informations techniques fournies lorsque la vulnérabilité est signalée à Microsoft. Plusieurs types de vulnérabilités sont listés par Microsoft, notamment la divulgation d’informations. Si vous parvenez à manipuler l’IA Bing pour détourner son comportement, ou outrepasser les mesures de protection de Bing (notamment pour aller fouiller dans sa mémoire et son historique en quelque sorte), vous pouvez le signaler à Microsoft.

Tout est détaillé sur cette page du site Microsoft. En tout cas, c’est très bien que Microsoft lance un programme de Bug Bounty sur ses services liés à l’IA même si tout n’est pas couvert par ce nouveau programme. La chasse aux bugs est ouverte.

– Source

https://www.it-connect.fr/microsoft-lance-un-bug-bounty-pour-son-ia-bing-la-recompense-peut-atteindre-15-000-dollars/

https://www.it-connect.fr/microsoft-lance-un-bug-bounty-pour-son-ia-bing-la-recompense-peut-atteindre-15-000-dollars/

Heureusement que c’est trop cher sinon je serais dedans, ouf sauvé

Plusieurs milliers d’utilisateurs d’Ile-de-France Mobilités Connect sont concernés par une attaque informatique lors de laquelle les cybercriminels sont parvenus à voler les adresses e-mails et les mots de passe des comptes.

L’application Ile-de-France Mobilités Connect (anciennement Navigo Connect) regroupe plusieurs fonctions utiles pour les habitués des transports en commun en région parisienne. L’application permet de gérer son forfait, d’acheter des titres de transports, mais également de rechercher des itinéraires.

Vendredi 6 octobre 2023, Île-de-France Mobilités a annoncé que son service avait subi une cyberattaque. Un incident de sécurité qui n’est pas anodin puisque les cybercriminels sont parvenus à collecter les adresses e-mails et les mots de passe des comptes de 4 000 utilisateurs ! Grâce à ces identifiants, il est possible d’accéder aux comptes des utilisateurs.

Vu que cet incident s’est déroulé il y a plusieurs jours, vous avez peut-être déjà reçu une alerte de la part d’Île-de-France Mobilités. Si ce n’est pas déjà fait, vous devez impérativement changer votre mot de passe pour protéger votre compte. Nous ne savons pas si les comptes piratés ont été utilisés à des fins malveillantes ou non. Île-de-France Mobilités n’a pas apporté de précision à ce sujet.

Puisque les cybercriminels ont entre leurs mains une base de données avec des adresses e-mails, vous devez rester vigilant, car les adresses e-mails collectées peuvent être utilisées dans des campagnes de phishing.

Suite à cet incident de sécurité, Ile-de-France Mobilités Connect a déposé plainte auprès du Procureur de la République pour des faits de “collecte frauduleuse de données” et une notification a été envoyée à la CNIL.

Par ailleurs, Ile-de-France Mobilités a demandé à Worldline, son prestataire spécialiste de la sécurisation des paiements, de prendre les mesures techniques nécessaires pour renforcer la sécurité du système et mettre fin à cette intrusion dans le système informatique. C’est ce prestataire qui a identifié l’intrusion le 2 octobre 2023.

– Source

https://www.it-connect.fr/cyberattaque-ile-de-france-mobilites-4-000-e-mails-et-mots-de-passe-voles-par-les-pirates/

https://www.tf1info.fr/transports/pass-navigo-passe-ile-de-france-mobilite-porte-plainte-apres-le-piratage-de-milliers-de-comptes-d-usagers-donnees-personnelles-2272211.html

@Rapace c’est le principe d’un botnet, infecter une machine ou objet connecté pour s’en servir comme “lanceur” de paquet

Elles se plaignent aussi que les travailleurs actuels sont peu qualifiés

La pénurie de main-d’œuvre secouant le secteur de la cybersécurité persiste. De nouveaux rapports sur le sujet indiquent que les entreprises et les gouvernements continuent à rechercher désespérément des professionnels qualifiés pour lutter contre la montée de la cybercriminalité. Selon un rapport, le nombre de professionnels de la cybersécurité dans le monde s’élevait à 4,7 millions de personnes en 2022, mais 3,4 millions de postes restent encore à pourvoir. Le besoin de nouveaux talents qualifiés est d’autant plus pressant pour les organisations, car elles se plaignent du fait qu’une partie importante de leurs employés actuels en cybersécurité sont sous-qualifiés.

Pénurie de talents en cybersécurité : le nombre de postes à pouvoir en hausse

Les organisations publiques comme privées sont aujourd’hui confrontées à une hausse sans précédent des violations de données, conséquence directe du manque de professionnels qualifiés pouvant assurer la sécurité des données. Mais quelles sont les raisons à l’origine de cette pénurie ? Selon les experts, les pratiques héritées du passé, les budgets serrés, l’étroitesse d’esprit, le manque de diversité et le fait de considérer la cybersécurité comme un pis-aller sont autant de facteurs qui contribuent au problème. D’autres experts estiment que les entreprises ignorent quelle approche adopter en matière de cybersécurité, ouvrant ainsi la porte aux violations.

« C’est le marché lui-même qui est en cause, les entreprises étant déconnectées et irréalistes », explique Jeremy Ventura, directeur de la stratégie de sécurité et RSSI (responsable de la sécurité des systèmes d’information) de terrain pour la société de protection automatisée contre les menaces ThreatX. La pénurie de talents dans la cybersécurité se fait davantage sentir dans des pays tels que l’Inde, où la numérisation est rapide. Mais même aux États-Unis, seuls 69 % des postes dans le domaine de la cybersécurité sont pourvus. Ces statistiques proviennent de Cyberseek, un site Web qui fournit des données sur le marché de l’emploi dans ce domaine.

« Le fossé est énorme », déclare Clar Rosso, directrice générale de l’ISC2 (International Information Systems Security Certification Consortium). Selon la dernière étude d’IBM sur le sujet, les professionnels de la cybersécurité se font rares à une époque où le coût moyen d’une violation de données aux États-Unis s’élève à 4,5 millions de dollars. En outre, Fortinet, une entreprise américaine qui développe et vend des logiciels et services de cybersécurité, indique que 80 % des organisations ont subi une ou plusieurs violations qu’elles peuvent attribuer à un manque de compétences ou de sensibilisation en matière de cybersécurité. Mais ce n’est pas tout.

Le manque de talents en cybersécurité n’est pas le seul problème des organisations : les travailleurs actuels seraient peu qualifiés. Un rapport publié cette année par le gouvernement britannique a révélé que 50 % des entreprises britanniques - soit 739 000 au total - manquent de compétences de base en cybersécurité, ce qui signifie que les responsables de la cybersécurité n’ont pas la confiance nécessaire pour mettre en œuvre les mesures techniques qui protègent contre les attaques numériques les plus courantes. D’autres rapports font le même constat et ajoutent que les travailleurs peu qualifiés sont souvent des portes d’entrée pour les cybercriminels.

Par ailleurs, selon les analystes du secteur, la pénurie de talents qualifiés dans le domaine de la cybersécurité se poursuit et a commencé à avoir un impact sur la capacité des entreprises à se mettre en conformité. Les entreprises doivent respecter ou maintenir la conformité, et les données des consommateurs doivent être sécurisées. Les entreprises qui ne disposent pas de ressources suffisantes pour se mettre en conformité et garantir la sécurité des données de leurs clients risquent de rencontrer des difficultés dans la commercialisation de leurs produits et services, ce qui aura un impact sur leurs aspirations à la croissance et à l’expansion.

Les causes de la pénurie de main-d’œuvre dans le secteur de la cybersécurité

Roy Zur, PDG du fournisseur de compétences numériques et de cybersécurité ThriveDX, affirme qu’à certains égards, la pénurie de compétence est un problème “auto-infligé”, car les entreprises recherchent des candidats ayant un niveau d’expérience minimum strict. « On ne peut pas résoudre le problème en ne s’occupant que des personnes en place. Les entreprises doivent changer d’état d’esprit et comprendre que pour résoudre ce problème, elles doivent ouvrir les portes », explique-t-il. Les analystes indiquent qu’un problème particulier est le manque de programmes de formation spécialisée et accélérée, malgré la forte demande des employeurs.

Selon un rapport publié cette année par Fortinet sur le déficit de compétences dans le secteur, 90 % des responsables de la cybersécurité recherchent des certifications axées sur la technologie lorsqu’ils recrutent du personnel. Selon Zur, les diplômes universitaires et collégiaux ne constituent pas un moyen efficace de former des gens dans le secteur de la cybersécurité. Zur estime que ces cursus prennent trop de temps et sont souvent trop généraux - en informatique ou en ingénierie, par exemple. En revanche, il n’a pas hésité à souligner le succès de l’unité israélienne de cyberguerre 8200, qui forme en six à huit mois des jeunes qui ont quitté l’école.

« Il faut que davantage d’entreprises du secteur privé se lancent dans ce domaine et forment les gens », déclare-t-il. De même, Rosso estime que les jeunes employés devraient rapidement être en mesure de prendre en charge le gros du travail cybernétique de base, à condition qu’ils reçoivent la formation adéquate. Elle conseille donc aux entreprises de recruter pour les compétences non techniques et l’état d’esprit, c’est-à-dire de recruter des personnes capables de résoudre des problèmes et d’avoir un esprit analytique et critique, puis de les former pour les compétences techniques. Certaines organisations ont lancé de nouveaux types de formation.

L’ISC2 a créé une nouvelle certification appelée “Certified in Cyber Security”, qui vise à former les candidats aux principes fondamentaux de la cybersécurité, tels que la réponse aux incidents et la sécurité des réseaux. Au cours de la première année, plus de 250 000 personnes se sont inscrites, un chiffre que l’ISC2 souhaite porter à 1 million au fil du temps. Les gouvernements prennent aussi des mesures. Aux États-Unis, l’administration Biden a annoncé en juillet la création d’une entité conçue pour augmenter le nombre de travailleurs qualifiés en rendant l’enseignement et la formation en cybernétique plus accessibles et plus abordables.

De son côté, le Royaume-Uni a mis en place un programme “Upskill in Cyber”, en partenariat avec l’institut de formation à la cybersécurité SANS, qui a enregistré un nombre record de demandes d’inscription. Rosso estime qu’il devrait y avoir davantage de partenariats public-privé et de collaborations intersectorielles, et souligne également la nécessité d’atteindre des objectifs à plus long terme, tels que “l’amélioration des connaissances des écoliers dans le domaine de la cybersécurité, des cadres et des membres du conseil d’administration”. Certains analystes critiquent également le comportement des entreprises en cas de violation de données.

« Alors que l’économie mondiale semble ralentir de jour en jour, supprimant de plus en plus d’opportunités d’emplois moralement sains, le risque de cybercriminalité va considérablement augmenter. Nous l’avons déjà vu. Étant donné que de nombreux cybercriminels attaquent à partir de juridictions non légales, les entreprises cherchent-elles à embaucher de véritables employés pour lutter contre la cybercriminalité, ou cherchent-elles à embaucher un bouc émissaire qui portera le chapeau lorsque l’inévitable se produira ? », peut-on lire dans les commentaires. Selon ces critiques, cela pousse certains travailleurs à fuir ce type de travail.

Les domaines faisant le plus appel aux professionnels qualifiés en cybersécurité

Selon Rosso, il existe des domaines particuliers dans lesquels la demande de compétences augmente. Il s’agit notamment de la sécurité dans le cloud, les entreprises s’orientant de plus en plus vers le cloud depuis que la pandémie a catalysé la croissance du travail à distance et hybride. En mars 2022, plus de 60 % des données des entreprises étaient déjà stockées dans le nuage. Ce pourcentage ne cesse d’augmenter à mesure que les entreprises transfèrent leurs opérations numériques dans des environnements de cloud computing. Mais en l’absence de professionnels qualifiés pour protéger l’accès aux données, les violations se multiplient également.

Un autre domaine est l’automatisation, à l’heure où l’IA évolue rapidement et peut fournir des outils sophistiqués aux pirates informatiques comme aux défenseurs. Un rapport publié en janvier indique que des chercheurs de l’entreprise américaine de cybersécurité CyberArk sont parvenus à créer un logiciel malveillant polymorphe à l’aide de ChatGPT, le chatbot d’IA d’OpenAI. Les chercheurs affirment que le logiciel malveillant généré par ChatGPT peut facilement échapper aux meilleurs produits de sécurité et rendre les mesures d’atténuation fastidieuses ; tout ceci avec très peu d’efforts ou d’investissements de la part de l’adversaire.

Ils ont mis en garde contre ce qu’ils appellent “une nouvelle vague de logiciels malveillants polymorphes faciles et bon marché capables d’échapper à certains produits de sécurité”. Dans leur rapport d’étude, les chercheurs expliquent : « en utilisant la capacité de ChatGPT à générer des techniques de persistance, des modules Anti-VM [Anti Virtual Machine] et d’autres charges utiles malveillantes, les possibilités de développement de logiciels malveillants sont vastes. Bien que nous n’ayons pas approfondi les détails de la communication avec le serveur C&C, il existe plusieurs façons de le faire discrètement sans éveiller les soupçons ».

Un rapport de CheckPoint indique que ChatGPT peut générer le code d’un logiciel malveillant capable de voler des fichiers précis sur un PC, de les compresser et de les envoyer sur un ordinateur distant. Il peut aussi générer du code pour un outil qui installe une porte dérobée sur un ordinateur et ensuite télécharge d’autres logiciels malveillants à partir de cette dernière. L’entreprise rapporte en sus que les cybercriminels peuvent s’en servir pour la mise sur pied de logiciels capables de chiffrer les fichiers du PC d’une cible. CheckPoint estime que ChatGPT ouvre ces possibilités à des individus avec de très faibles connaissances techniques.

Ces nouveaux outils et la pénurie de talents en cybersécurité font craindre le pire aux entreprises pour les années à venir. Les statistiques montrent que 52 millions de violations de données ont eu lieu dans le monde au cours du deuxième trimestre de l’année précédente. Ce problème stimule la demande de talents en cybersécurité dans tous les secteurs. Cependant, avec plus de 700 000 postes non pourvus dans ce domaine rien qu’aux États-Unis, les entreprises pourraient subir de graves pertes si elles ne trouvent pas rapidement une solution satisfaisante. Le coût d’une violation de données pourrait également augmenter à l’avenir.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pénurie de talents qualifiés dans le secteur de la cybersécurité ?
Selon vous, qu’est-ce qui explique cette pénurie de talents ? L’industrie peut-elle y remédier ?
Comment l’industrie peut-elle former des talents qualifiés ? Quelles sont les politiques à mettre en place ?
Pensez-vous que les travailleurs fuient les postes dans la cybersécurité en raison des politiques des entreprises ?

Source : developpez.com

Et aller encore une partie du savoir faire français qui part à l’étranger, il va pas nous rester grand chose à force