Planète Warez

Plusieurs milliers d’utilisateurs d’Ile-de-France Mobilités Connect sont concernés par une attaque informatique lors de laquelle les cybercriminels sont parvenus à voler les adresses e-mails et les mots de passe des comptes.

L’application Ile-de-France Mobilités Connect (anciennement Navigo Connect) regroupe plusieurs fonctions utiles pour les habitués des transports en commun en région parisienne. L’application permet de gérer son forfait, d’acheter des titres de transports, mais également de rechercher des itinéraires.

Vendredi 6 octobre 2023, Île-de-France Mobilités a annoncé que son service avait subi une cyberattaque. Un incident de sécurité qui n’est pas anodin puisque les cybercriminels sont parvenus à collecter les adresses e-mails et les mots de passe des comptes de 4 000 utilisateurs ! Grâce à ces identifiants, il est possible d’accéder aux comptes des utilisateurs.

Vu que cet incident s’est déroulé il y a plusieurs jours, vous avez peut-être déjà reçu une alerte de la part d’Île-de-France Mobilités. Si ce n’est pas déjà fait, vous devez impérativement changer votre mot de passe pour protéger votre compte. Nous ne savons pas si les comptes piratés ont été utilisés à des fins malveillantes ou non. Île-de-France Mobilités n’a pas apporté de précision à ce sujet.

Puisque les cybercriminels ont entre leurs mains une base de données avec des adresses e-mails, vous devez rester vigilant, car les adresses e-mails collectées peuvent être utilisées dans des campagnes de phishing.

Suite à cet incident de sécurité, Ile-de-France Mobilités Connect a déposé plainte auprès du Procureur de la République pour des faits de “collecte frauduleuse de données” et une notification a été envoyée à la CNIL.

Par ailleurs, Ile-de-France Mobilités a demandé à Worldline, son prestataire spécialiste de la sécurisation des paiements, de prendre les mesures techniques nécessaires pour renforcer la sécurité du système et mettre fin à cette intrusion dans le système informatique. C’est ce prestataire qui a identifié l’intrusion le 2 octobre 2023.

– Source

https://www.it-connect.fr/cyberattaque-ile-de-france-mobilites-4-000-e-mails-et-mots-de-passe-voles-par-les-pirates/

https://www.tf1info.fr/transports/pass-navigo-passe-ile-de-france-mobilite-porte-plainte-apres-le-piratage-de-milliers-de-comptes-d-usagers-donnees-personnelles-2272211.html

@Rapace c’est le principe d’un botnet, infecter une machine ou objet connecté pour s’en servir comme “lanceur” de paquet

Elles se plaignent aussi que les travailleurs actuels sont peu qualifiés

La pénurie de main-d’œuvre secouant le secteur de la cybersécurité persiste. De nouveaux rapports sur le sujet indiquent que les entreprises et les gouvernements continuent à rechercher désespérément des professionnels qualifiés pour lutter contre la montée de la cybercriminalité. Selon un rapport, le nombre de professionnels de la cybersécurité dans le monde s’élevait à 4,7 millions de personnes en 2022, mais 3,4 millions de postes restent encore à pourvoir. Le besoin de nouveaux talents qualifiés est d’autant plus pressant pour les organisations, car elles se plaignent du fait qu’une partie importante de leurs employés actuels en cybersécurité sont sous-qualifiés.

Pénurie de talents en cybersécurité : le nombre de postes à pouvoir en hausse

Les organisations publiques comme privées sont aujourd’hui confrontées à une hausse sans précédent des violations de données, conséquence directe du manque de professionnels qualifiés pouvant assurer la sécurité des données. Mais quelles sont les raisons à l’origine de cette pénurie ? Selon les experts, les pratiques héritées du passé, les budgets serrés, l’étroitesse d’esprit, le manque de diversité et le fait de considérer la cybersécurité comme un pis-aller sont autant de facteurs qui contribuent au problème. D’autres experts estiment que les entreprises ignorent quelle approche adopter en matière de cybersécurité, ouvrant ainsi la porte aux violations.

« C’est le marché lui-même qui est en cause, les entreprises étant déconnectées et irréalistes », explique Jeremy Ventura, directeur de la stratégie de sécurité et RSSI (responsable de la sécurité des systèmes d’information) de terrain pour la société de protection automatisée contre les menaces ThreatX. La pénurie de talents dans la cybersécurité se fait davantage sentir dans des pays tels que l’Inde, où la numérisation est rapide. Mais même aux États-Unis, seuls 69 % des postes dans le domaine de la cybersécurité sont pourvus. Ces statistiques proviennent de Cyberseek, un site Web qui fournit des données sur le marché de l’emploi dans ce domaine.

« Le fossé est énorme », déclare Clar Rosso, directrice générale de l’ISC2 (International Information Systems Security Certification Consortium). Selon la dernière étude d’IBM sur le sujet, les professionnels de la cybersécurité se font rares à une époque où le coût moyen d’une violation de données aux États-Unis s’élève à 4,5 millions de dollars. En outre, Fortinet, une entreprise américaine qui développe et vend des logiciels et services de cybersécurité, indique que 80 % des organisations ont subi une ou plusieurs violations qu’elles peuvent attribuer à un manque de compétences ou de sensibilisation en matière de cybersécurité. Mais ce n’est pas tout.

Le manque de talents en cybersécurité n’est pas le seul problème des organisations : les travailleurs actuels seraient peu qualifiés. Un rapport publié cette année par le gouvernement britannique a révélé que 50 % des entreprises britanniques - soit 739 000 au total - manquent de compétences de base en cybersécurité, ce qui signifie que les responsables de la cybersécurité n’ont pas la confiance nécessaire pour mettre en œuvre les mesures techniques qui protègent contre les attaques numériques les plus courantes. D’autres rapports font le même constat et ajoutent que les travailleurs peu qualifiés sont souvent des portes d’entrée pour les cybercriminels.

Par ailleurs, selon les analystes du secteur, la pénurie de talents qualifiés dans le domaine de la cybersécurité se poursuit et a commencé à avoir un impact sur la capacité des entreprises à se mettre en conformité. Les entreprises doivent respecter ou maintenir la conformité, et les données des consommateurs doivent être sécurisées. Les entreprises qui ne disposent pas de ressources suffisantes pour se mettre en conformité et garantir la sécurité des données de leurs clients risquent de rencontrer des difficultés dans la commercialisation de leurs produits et services, ce qui aura un impact sur leurs aspirations à la croissance et à l’expansion.

Les causes de la pénurie de main-d’œuvre dans le secteur de la cybersécurité

Roy Zur, PDG du fournisseur de compétences numériques et de cybersécurité ThriveDX, affirme qu’à certains égards, la pénurie de compétence est un problème “auto-infligé”, car les entreprises recherchent des candidats ayant un niveau d’expérience minimum strict. « On ne peut pas résoudre le problème en ne s’occupant que des personnes en place. Les entreprises doivent changer d’état d’esprit et comprendre que pour résoudre ce problème, elles doivent ouvrir les portes », explique-t-il. Les analystes indiquent qu’un problème particulier est le manque de programmes de formation spécialisée et accélérée, malgré la forte demande des employeurs.

Selon un rapport publié cette année par Fortinet sur le déficit de compétences dans le secteur, 90 % des responsables de la cybersécurité recherchent des certifications axées sur la technologie lorsqu’ils recrutent du personnel. Selon Zur, les diplômes universitaires et collégiaux ne constituent pas un moyen efficace de former des gens dans le secteur de la cybersécurité. Zur estime que ces cursus prennent trop de temps et sont souvent trop généraux - en informatique ou en ingénierie, par exemple. En revanche, il n’a pas hésité à souligner le succès de l’unité israélienne de cyberguerre 8200, qui forme en six à huit mois des jeunes qui ont quitté l’école.

« Il faut que davantage d’entreprises du secteur privé se lancent dans ce domaine et forment les gens », déclare-t-il. De même, Rosso estime que les jeunes employés devraient rapidement être en mesure de prendre en charge le gros du travail cybernétique de base, à condition qu’ils reçoivent la formation adéquate. Elle conseille donc aux entreprises de recruter pour les compétences non techniques et l’état d’esprit, c’est-à-dire de recruter des personnes capables de résoudre des problèmes et d’avoir un esprit analytique et critique, puis de les former pour les compétences techniques. Certaines organisations ont lancé de nouveaux types de formation.

L’ISC2 a créé une nouvelle certification appelée “Certified in Cyber Security”, qui vise à former les candidats aux principes fondamentaux de la cybersécurité, tels que la réponse aux incidents et la sécurité des réseaux. Au cours de la première année, plus de 250 000 personnes se sont inscrites, un chiffre que l’ISC2 souhaite porter à 1 million au fil du temps. Les gouvernements prennent aussi des mesures. Aux États-Unis, l’administration Biden a annoncé en juillet la création d’une entité conçue pour augmenter le nombre de travailleurs qualifiés en rendant l’enseignement et la formation en cybernétique plus accessibles et plus abordables.

De son côté, le Royaume-Uni a mis en place un programme “Upskill in Cyber”, en partenariat avec l’institut de formation à la cybersécurité SANS, qui a enregistré un nombre record de demandes d’inscription. Rosso estime qu’il devrait y avoir davantage de partenariats public-privé et de collaborations intersectorielles, et souligne également la nécessité d’atteindre des objectifs à plus long terme, tels que “l’amélioration des connaissances des écoliers dans le domaine de la cybersécurité, des cadres et des membres du conseil d’administration”. Certains analystes critiquent également le comportement des entreprises en cas de violation de données.

« Alors que l’économie mondiale semble ralentir de jour en jour, supprimant de plus en plus d’opportunités d’emplois moralement sains, le risque de cybercriminalité va considérablement augmenter. Nous l’avons déjà vu. Étant donné que de nombreux cybercriminels attaquent à partir de juridictions non légales, les entreprises cherchent-elles à embaucher de véritables employés pour lutter contre la cybercriminalité, ou cherchent-elles à embaucher un bouc émissaire qui portera le chapeau lorsque l’inévitable se produira ? », peut-on lire dans les commentaires. Selon ces critiques, cela pousse certains travailleurs à fuir ce type de travail.

Les domaines faisant le plus appel aux professionnels qualifiés en cybersécurité

Selon Rosso, il existe des domaines particuliers dans lesquels la demande de compétences augmente. Il s’agit notamment de la sécurité dans le cloud, les entreprises s’orientant de plus en plus vers le cloud depuis que la pandémie a catalysé la croissance du travail à distance et hybride. En mars 2022, plus de 60 % des données des entreprises étaient déjà stockées dans le nuage. Ce pourcentage ne cesse d’augmenter à mesure que les entreprises transfèrent leurs opérations numériques dans des environnements de cloud computing. Mais en l’absence de professionnels qualifiés pour protéger l’accès aux données, les violations se multiplient également.

Un autre domaine est l’automatisation, à l’heure où l’IA évolue rapidement et peut fournir des outils sophistiqués aux pirates informatiques comme aux défenseurs. Un rapport publié en janvier indique que des chercheurs de l’entreprise américaine de cybersécurité CyberArk sont parvenus à créer un logiciel malveillant polymorphe à l’aide de ChatGPT, le chatbot d’IA d’OpenAI. Les chercheurs affirment que le logiciel malveillant généré par ChatGPT peut facilement échapper aux meilleurs produits de sécurité et rendre les mesures d’atténuation fastidieuses ; tout ceci avec très peu d’efforts ou d’investissements de la part de l’adversaire.

Ils ont mis en garde contre ce qu’ils appellent “une nouvelle vague de logiciels malveillants polymorphes faciles et bon marché capables d’échapper à certains produits de sécurité”. Dans leur rapport d’étude, les chercheurs expliquent : « en utilisant la capacité de ChatGPT à générer des techniques de persistance, des modules Anti-VM [Anti Virtual Machine] et d’autres charges utiles malveillantes, les possibilités de développement de logiciels malveillants sont vastes. Bien que nous n’ayons pas approfondi les détails de la communication avec le serveur C&C, il existe plusieurs façons de le faire discrètement sans éveiller les soupçons ».

Un rapport de CheckPoint indique que ChatGPT peut générer le code d’un logiciel malveillant capable de voler des fichiers précis sur un PC, de les compresser et de les envoyer sur un ordinateur distant. Il peut aussi générer du code pour un outil qui installe une porte dérobée sur un ordinateur et ensuite télécharge d’autres logiciels malveillants à partir de cette dernière. L’entreprise rapporte en sus que les cybercriminels peuvent s’en servir pour la mise sur pied de logiciels capables de chiffrer les fichiers du PC d’une cible. CheckPoint estime que ChatGPT ouvre ces possibilités à des individus avec de très faibles connaissances techniques.

Ces nouveaux outils et la pénurie de talents en cybersécurité font craindre le pire aux entreprises pour les années à venir. Les statistiques montrent que 52 millions de violations de données ont eu lieu dans le monde au cours du deuxième trimestre de l’année précédente. Ce problème stimule la demande de talents en cybersécurité dans tous les secteurs. Cependant, avec plus de 700 000 postes non pourvus dans ce domaine rien qu’aux États-Unis, les entreprises pourraient subir de graves pertes si elles ne trouvent pas rapidement une solution satisfaisante. Le coût d’une violation de données pourrait également augmenter à l’avenir.

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de la pénurie de talents qualifiés dans le secteur de la cybersécurité ?
Selon vous, qu’est-ce qui explique cette pénurie de talents ? L’industrie peut-elle y remédier ?
Comment l’industrie peut-elle former des talents qualifiés ? Quelles sont les politiques à mettre en place ?
Pensez-vous que les travailleurs fuient les postes dans la cybersécurité en raison des politiques des entreprises ?

Source : developpez.com

Et aller encore une partie du savoir faire français qui part à l’étranger, il va pas nous rester grand chose à force

Perso au boulot ça commence à être chaud de contourner le proxy pour la navigation.

Aucun vpn ne fonctionnent, même les proxy web

et oui les usa commencent un peu tard à se rendre compte que la Chine va leur défoncer le fiak

@michmich

Genre pire? :mouhaha:

Non. Sur iOS aucune app ne peut techniquement capturer d’infos à ton insu, car elles n’ont pas accès au matériel et doivent traverser l’OS. C’est l’OS et non l’app qui te demande la permission d’utiliser la data en 3G, le GPS, ou l’appareil photo et à travers l’OS tu auras toujours la possibilité de retirer ce droit à l’app.

Chez Android, si tu veux faire une app qui ignore les choix de l’utilisateur, tu peux facilement le faire.

Il reste les serveurs DNS racines. C’est plutôt ceux là qu’il faudrait pas faire tomber.
Mais ça mettrait quand même le dawa 😉

Oui en effet très vicieux @Ashura

@Violence a dit dans Dark Power : un nouvel acteur de la menace (ransomware) :

Il utilise un ransomware qui a pour originalité qu’il génère une clé de décryptage unique à chaque attaque, ce qui rend particulièrement difficile la création d’une règle de détection générique.

ça aussi c’est assez vicieux 😉

hop là

https://www.usine-digitale.fr/article/les-donnees-de-40-millions-d-electeurs-britanniques-potentiellement-volees-apres-une-cyberattaque.N2160527

Le gouvernement Suisse n’a même pas voulu gérer d’ID internet, il espérait même se reposer sur le privé pour ça…

Vu les dangers de la chose, mieux vaut pas s’y lancer avant d’avoir inventé un plan b, c, d, e… z en cas de piratage. Ce qui ne rendra d’ailleurs pas invisible ou inutilisables les données en fuite.

Bordel de merde, on n’est plus safe nulle part quoi qu’on fasse

J’ai testé et tout va bien 🙂

Edit: Et ce n’est pas sur une machine avec SSD :lol:

@violence le problème c’est qu’il y a dessus des applicatifs qui coûtent plusieurs dizaines de milliers d’euros. Donc comme d’hab’ les financiers repoussent au max les dépenses.

Les chercheurs en sécurité de Google sont tombé sur une vulnérabilité qui avait déjà été signalée en 2016 sans être corrigée. Quelques années plus tard, elle s’est retrouvée dans l’arsenal d’un éditeur de logiciels espion pour pirater des smartphones Android.

La chasse aux failles zero-day n’est pas un long fleuve tranquille. Parfois, il y a des choses qui se perdent dans les méandres. Le dernier exemple en date vient d’être livré par les chercheurs en sécurité de Google. À l’occasion de la conférence Black Hat 2022, ces derniers ont présenté une palanquée de failles zero-day utilisées par des éditeurs de logiciels de surveillance dans le but de pirater des terminaux Android.

L’une de ces failles (CVE-2021-0920) est particulièrement remarquable, car elle a fait partie d’un enchaînement de vulnérabilités très sophistiqué qui permettait d’avoir un contrôle à distance du terminal avec les privilèges d’administrateur. Cette faille se trouvait dans le module « kernel garbage collection » et été patchée en septembre 2021. Mais des recherches presque archéologiques ont montré qu’elle était déjà connue depuis au moins 2016.

Une occasion manquée

Comme le relate Gizmodo, Google a pu retrouver des échanges à ce sujet dans la liste de diffusion Linux Kernel Mailing List. Un patch avait même été proposé, mais il a été refusé faute d’accord général sur la question. L’un des développeurs du noyau de Linux écrivait ainsi :

« Pourquoi est-ce que je devrais appliquer un patch qui n’est qu’un RFC [Request For Comment, un document qui décrit une technologie en vue d’une adoption future, ndlr], qui ne dispose pas d’un message de commit convenable, où il manque une véritable signature, et qui ne bénéficie pas de validations ou de retours de la part de développeurs connus ?».

Après cela, tout le monde a oublié, sauf un éditeur de logiciels espions qui l’a intégré ni vu ni connu dans son produit. Il a fallu attendre que les attaques qui en ont découlé soient analysées par les chercheurs de Google pour que cette faille revienne sur le tapis et soit enfin colmatée. Un processus finalement assez tortueux qui laisse aux pirates trop de marges de manœuvre.

Une trentaine d’acteurs suivis à la culotte

Chez Google, le risque provenant de ces éditeurs est devenu majeur. « Auparavant, nous n’avions qu’à nous concentrer sur des menaces comme celles venant de la Chine, de la Russie ou de la Corée du Nord. Désormais, notre groupe d’analyse de la menace (Threat Analysis Group, TAG) dispose d’une équipe dédiée aux fournisseurs et aux opérateurs commerciaux (…) TAG suit activement plus de 30 fournisseurs avec différents niveaux de sophistication et d’exposition publique, vendant des exploits ou des capacités de surveillance à des acteurs étatiques », a déclaré il y a quelques semaines Shane Huntley, directrice du TAG, auprès de la Chambre des représentants des États-Unis. Et ce suivi est d’autant plus difficile que les techniques utilisées par ces acteurs sont de haut niveau, comparable à celles utilisées par les États.

Source : Gizmodo - 01.net

Le projet No More Ransom propose des outils gratuits permettant de déchiffrer 165 familles de rançongiciel

La lutte contre les rançongiciels est un véritable défi, car non seulement les attaques par rançongiciel sont extrêmement perturbatrices, mais dans de nombreux cas, les victimes choisissent de payer la demande de rançon pour obtenir une clé de déchiffrement, ce qui alimente de nouvelles attaques par rançongiciel, car les criminels savent qu’ils peuvent gagner de l’argent facilement. Un rançongiciel est un logiciel malveillant qui verrouille l’ordinateur et les appareils mobiles ou chiffre les fichiers électroniques. Lorsque cela se produit, l’utilisateur ne peut pas accéder aux données à moins de payer une rançon.

Toutefois, un système continue de lutter contre les gangs de rançongiciel et a maintenant aidé plus de 1,5 million de victimes à déchiffrer leurs machines sans céder aux demandes de rançon, empêchant ainsi qu’un montant estimé à 1,5 milliard de dollars ne finisse dans les mains des cybercriminels.
Ces chiffres ont été communiqués par Europol à l’occasion du sixième anniversaire de No More Ransom, l’initiative de lutte contre les rançongiciels lancée par les services répressifs de l’Union européenne.

Lancé pour la première fois en 2016 par Europol, la police nationale néerlandaise (Politie) et une poignée d’entreprises de cybersécurité et d’informatique avec quatre outils de déchiffrement disponibles, No More Ransom s’est développé pour offrir 136 outils de déchiffrement gratuits pour 165 variantes de rançongiciel, notamment GandCrab, REvil, Maze, et plus encore.

Les entreprises ne sont pas préparées à faire face aux rançongiciels, 35 % des victimes indiquent que leur entreprise a dû payer plus de 100 000 dollars de rançon et 20 % ont dû payer entre 1 et 10 millions dollars. Les nouvelles données d’Arcserve montrent que la moitié des décideurs informatiques interrogés par Dimensional Research ont été ciblés par des rançongiciels, 35 % indiquent que leur entreprise a dû payer plus de 100 000 dollars de rançon, et 20 % ont dû payer entre 1 et 10 millions de dollars.

Interrogées sur le niveau de confiance dans la capacité de leur équipe informatique à récupérer les données perdues lors d’une attaque par rançongiciel, moins d’un quart (23 %) des personnes interrogées se disent très confiantes dans leur capacité à récupérer les données perdues. Les petites entreprises sont encore moins confiantes : moins de 20 % d’entre elles sont très confiantes dans leur capacité à récupérer les données perdues lors d’une attaque par rançongiciel.

Les entreprises reconnaissent l’importance d’un investissement continu pour accroître la résilience des données. 92 % d’entre elles déclarent qu’elles réalisent des investissements supplémentaires pour se protéger contre les attaques par rançongiciel. Les principaux domaines d’investissement sont les suivants : logiciels de sécurité (64 %), formation et certification (50 %) et services gérés (43 %).

Plus de 188 partenaires du secteur privé, du secteur public, des forces de l’ordre, du monde universitaire et autres sont désormais impliqués dans le programme, qui continue à fournir de nouveaux outils de décryptage, avec un portail disponible en 37 langues pour aider les victimes d’attaques par Rançongiciel dans le monde entier.
Selon Europol, le système a aidé plus de 1,5 million de victimes à décrypter leurs appareils sans avoir à payer de rançon pour obtenir une clé de décryptage.

Toutefois, l’agence ne se fait pas d’illusions sur le fait que la bataille est gagnée, d’autant plus que les rançongiciels continuent non seulement d’être un problème, mais aussi de devenir plus dangereux et plus efficaces.

« Il nous appartient, en tant qu’Europol et autres organismes d’application de la loi, de continuer à évoluer nous aussi, de repenser nos stratégies au-delà de No More Ransom. La plateforme No More Ransom est en place et nous espérons qu’elle le restera longtemps, car elle constitue une réponse à bon nombre de ces escroqueries », a déclaré Marijn Schuurbiers, chef des opérations du Centre européen de lutte contre la cybercriminalité (EC3) d’Europol.

Les services répressifs cherchent également de nouveaux moyens de mettre fin aux attaques, notamment en perturbant les infrastructures utilisées par les cybercriminels. Europol a déjà pris des mesures contre la cybercriminalité de cette manière.

Il existe également des mesures que chacun peut prendre pour éviter d’être victime d’un rançongiciel. Europol recommande de sauvegarder régulièrement les données sur les appareils, afin de pouvoir les récupérer sans payer de rançon, de s’assurer que les logiciels de sécurité et les systèmes d’exploitation sont à jour avec les derniers correctifs de sécurité, et d’utiliser l’authentification multifactorielle pour éviter que les comptes soient piratés et utilisés pour lancer des attaques de rançongiciel.

Si elles sont victimes d’une attaque par rançongiciel, Europol leur conseille vivement de ne pas payer de rançon, mais de consulter le portail No More Ransom pour obtenir de l’aide et de signaler l’incident à la police, car chaque signalement d’une attaque par rançongiciel peut aider à mieux comprendre le fonctionnement de ce type de logiciel.

Les attaques par rançongiciel se multiplient et s’aggravent depuis des années, les demandes de rançon ont atteint des montants autrefois impensables. Si les données sont alarmantes, cela ne signifie pas que les internautes sont sans défense face aux extorqueurs de haute technologie qui orchestrent ces attaques. L’initiative No More Ransom propose plus d’une centaine d’outils de déchiffrement gratuits pour sauver les fichiers chiffrés.

Toutefois, le meilleur remède contre les rançongiciels reste la prévention diligente. Il est recommandé de :

sauvegarder régulièrement les données stockées sur les appareils électroniques ; faire attention à ses clics ; éviter d’ouvrir les pièces jointes des e-mails provenant d’expéditeurs inconnus, même s’ils semblent importants et crédibles. s’assurer que le logiciel de sécurité et le système d’exploitation sont à jour ; utiliser l’authentification à deux facteurs (2FA) pour protéger les comptes d’utilisateur ; limiter la possibilité d’exporter de grandes quantités de données d’entreprise vers des portails d’échange de fichiers externes.

Veeam Software révèle qu’en moyenne 12 % des données d’entreprise détenues par les entreprises françaises ne sont pas protégées contre les pannes imprévues, notamment les cyberattaques et les incidents techniques.

Ce constat issu du Veeam Data Protection Trends Report 2022, met en évidence le risque d’exposition des données critiques des entreprises aux acteurs malveillants, aux pannes d’infrastructure et aux erreurs humaines. Sur les 88 % de données qui sont protégées, les responsables informatiques doivent encore relever des défis pour concilier la protection dont ils disposent avec les exigences plus larges de l’entreprise.

Selon le rapport, la nécessité d’une protection moderne des données pour la continuité d’activités reste plus que jamais essentielle, les entreprises françaises devant consacrer 6 % de budget supplémentaire à l’atténuation des risques et au renforcement de la résilience en 2022.

Si vous êtes victime, ne payez pas ! Signalez le délit et consultez No More Ransom pour obtenir des outils de déchiffrement.

Sources : Europol, securite.developpez.com

@violence

J’ai failli le dire lol.
Comme Sony qui pond ce genre de procédé pour appâter les dev indépendants.
Quand ils trouvent des failles software dans les firmware des machines Sony, ils divulguent tous ça à la firme moyennant backchich au lieu de sortir la faille en public (et par la suite Sony bouche la faille avec une maj firmware)

Les failles ne nécessitent qu’un “très faible niveau de compétences pour être exploitées”

Les chercheurs en cybersécurité spécialisés dans les systèmes IoT de santé ont découvert cinq vulnérabilités graves qui peuvent être exploitées pour pirater à distance les robots mobiles autonomes TUG d’Aethon. Les robots TUG sont utilisés par des centaines d’hôpitaux en Amérique du Nord, en Europe et en Asie pour transporter des marchandises, du matériel et des fournitures cliniques. Leur rôle est de donner au personnel plus de temps pour se concentrer sur les soins aux patients. Cependant, pour pouvoir accomplir leurs tâches, les robots ont besoin d’une certaine liberté de mouvement et d’un accès aux données sensibles, ce qui peut en faire une cible intéressante pour les pirates. La société Cynerio, spécialisée dans la cybersécurité des soins de santé, a déclaré avoir découvert les bogues dans les robots TUG d’Aethon en décembre dernier, puis avoir « travaillé en étroite collaboration » avec le fabricant à partir de janvier, dans le cadre du processus de divulgation des vulnérabilités critiques de l’Agence fédérale de cybersécurité et de sécurité des infrastructures. Aethon a déclaré avoir pris des « mesures immédiates » après avoir reçu les informations de la CISA.

Les robots mobiles sont largement utilisés dans les hôpitaux pour livrer des médicaments et des fournitures d’entretien hospitalier. Ils sont également capables d’exécuter des tâches manuelles simples. Ils sont censés être conviviaux et capables de transporter du linge de lit, de la nourriture, des échantillons de laboratoire et des médicaments dans tout l’établissement hospitalier. Ces robots, cependant, ont été jugés vulnérables à une série de problèmes qui pourrait permettre aux pirates d’accéder aux informations d’identification des utilisateurs et aux dossiers médicaux, entre autres tâches malveillantes. Toutes les vulnérabilités des robots hospitaliers menacent les patients médicaux, matériel et personnel, car ils traitent beaucoup de détails sensibles, et exigent la liberté de mouvement pour effectuer leur travail.

Les cinq vulnérabilités de sécurité, appelé JekyllBot:5 (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059) ont été corrigés dans les robots mobiles autonomes intelligents Aethon TUG. Heureusement, les vulnérabilités n’ont pas été exploitées à l’état sauvage. Les vulnérabilités ont été découverts par les chercheurs de Cynerio, une startup spécialisée dans la cybersécurité et la sécurisation des systèmes hospitaliers et de santé.

Les cinq vulnérabilités, que Cynerio appelle JekyllBot:5, ne concernent pas les robots eux-mêmes, mais les serveurs de base utilisés pour communiquer avec les robots qui traversent les couloirs des hôpitaux et des hôtels et les contrôler. Les bogues permettent aux pirates de créer de nouveaux utilisateurs disposant d’un accès de haut niveau afin de se connecter et de contrôler à distance les robots, d’accéder aux zones d’accès restreint, d’espionner les patients ou les invités à l’aide des caméras intégrées au robot ou de semer la pagaille. Asher Brass, le chercheur principal sur les vulnérabilités d’Aethon, a prévenu que l’exploitation de ces failles nécessitait « un ensemble de compétences très faible ».

Selon Cynerio, les serveurs de base sont dotés d’une interface web accessible depuis le réseau de l’hôpital, ce qui permet aux utilisateurs “invités” de visualiser en temps réel les images des caméras des robots, ainsi que leurs programmes et tâches de la journée, sans avoir besoin d’un mot de passe. Mais bien que la fonctionnalité des robots soit protégée par un compte “admin”, les chercheurs ont déclaré que les vulnérabilités de l’interface web auraient pu permettre à un pirate d’interagir avec les robots sans avoir besoin d’un mot de passe d’administrateur pour se connecter. Selon les chercheurs, l’un des cinq bogues permettait de contrôler les robots à distance à l’aide d’un contrôleur de type joystick dans l’interface Web, tandis qu’un autre bogue permettait d’interagir avec les serrures de porte, d’appeler et de prendre l’ascenseur, et d’ouvrir et de fermer les tiroirs à médicaments.

Dans la plupart des cas, le risque potentiel est limité si l’accès aux serveurs de base des robots est confiné au réseau local, limitant l’accès aux seuls employés connectés. Les chercheurs ont déclaré que le risque était bien plus grand pour les hôpitaux, les hôtels ou tout autre lieu utilisant ces robots dont le serveur de base est connecté à Internet, puisque les vulnérabilités peuvent être déclenchées de n’importe où sur Internet.

Le JekyllBot:5 les vulnérabilités pourraient permettre aux attaquants d’effectuer l’une des activités malveillantes suivantes :

voir des images en temps réel via la caméra du robot ; accéder aux dossiers médicaux des patients ; prendre des vidéos et des photos des patients et de l’intérieur de l’hôpital ; interférer avec les soins aux patients et obstruer les ascenseurs et les systèmes de verrouillage des portes de l’hôpital ; prendre le contrôle du robot et le planter ; interrompre les tâches de maintenance régulières ; perturber (ou voler) livraison robotisée de médicaments aux patients ; détourner des sessions d’utilisateurs administratifs légitimes dans le portail en ligne des robots pour injecter des logiciels malveillants via leur navigateur, et mener d’autres cyberattaques contre les membres de l’équipe informatique et de sécurité dans les établissements de santé.

JekyllBot: 5 Vulnérabilités: Description technique (CVE-2022-1066, CVE-2022-26423, CVE-2022-1070, CVE-2022-27494, et CVE-2022-1059)

CVE-2022-1066 a été évalué 8.2 de 10 à l’échelle CVSS (Common Vulnerability Scoring System). La vulnérabilité interfère avec la capacité du logiciel à effectuer une vérification d’autorisation. Par conséquent, un attaquant non authentifié peut arbitrairement ajouter de nouveaux utilisateurs avec des privilèges administratifs et supprimer ou modifier des utilisateurs existants. CVE-2022-26423, aussi noté 8.2 de 10 à l’échelle CVSS, pourrait permettre à un auteur de menace non authentifié d’accéder librement aux informations d’identification d’utilisateur hachées. CVE-2022-1070 a une note très critique de 9.8 de 10 à l’échelle CVSS. La faille permet à un attaquant non authentifié de se connecter au websocket TUG Home Base Server et de prendre le contrôle des robots vulnérables. CVE-2022-27494, avec une note de 7.6, est une vulnérabilité XSS. Selon la description officielle, "l’onglet “Rapports” de la console de gestion de flotte est vulnérable aux scripts inter-sites stockés (XSS) attaques lors de la création ou de la modification de nouveaux rapports. Enfin, CVE-2022-1059, encore avec un 7.6 évaluation, est une vulnérabilité XSS reflétée. Plus précisement, l’onglet de chargement de la console de gestion de flotte est sujet aux attaques XSS réfléchies.

Cynerio a déclaré avoir trouvé des preuves de robots exposés à Internet dans des hôpitaux ainsi que dans des établissements fournissant des soins aux anciens combattants.Les bogues ont été corrigés dans une série de mises à jour du logiciel et du micrologiciel publiées par Aethon, après que Cynerio ait alerté l’entreprise sur ces problèmes. Aethon aurait limité les serveurs exposés à Internet afin d’isoler les robots d’éventuelles attaques à distance, et corrigé d’autres vulnérabilités liées au Web qui affectaient la station de base.

Source : Cynerio, developpez.com

Ou “faut pas faire chier gérard Lambert quand y répare sa mobylette”
A la niche!

Qui a piraté Microsoft, Nvidia, Samsung, LG Electronics et d’autres entreprises en quelques mois

Des chercheurs en cybersécurité enquêtant sur une série de piratages contre des entreprises technologiques, dont Microsoft Corp. et Nvidia Corp., ont retracé les attaques jusqu’à un jeune de 16 ans vivant dans la maison de sa mère près d’Oxford, en Angleterre. Quatre chercheurs enquêtant sur le groupe de piratage Lapsus$, au nom des entreprises qui ont été attaquées, ont déclaré qu’ils pensaient que l’adolescent était le cerveau derrière la récente série d’attaques contre les entreprises technologiques. Lapsus$ a dérouté les experts en cybersécurité alors qu’il s’est lancé dans une vague de piratages de haut niveau. La motivation derrière les attaques n’est toujours pas claire, mais certains chercheurs en cybersécurité disent croire que le groupe est motivé par l’argent et la notoriété.

Lapsus$ est un nom qui a gagné en visibilité du fait des cibles de haute valeur qu’il a pris pour cible : parmi les noms les plus significatifs figurent Samsung, Nvidia, Ubisoft, LG Electronics (deux fois) et Vodafone; il s’agit donc principalement des entreprises évoluant dans le secteur de la tech, au sens large. Et dernièrement, Lapsus$ a attaqué Microsoft, en lui dérobant des portions de code source.

Microsoft a expliqué que le groupe de cybercriminels a concentré ses efforts d’ingénierie sociale pour recueillir des connaissances sur les opérations commerciales de leur cible. Ces informations comprennent des connaissances intimes sur les employés, les structures d’équipe, les services d’assistance, les flux de travail de réponse aux crises et les relations de la chaîne d’approvisionnement. Des exemples de ces tactiques d’ingénierie sociale incluent le spam d’un utilisateur cible avec des invites d’authentification multifacteur (MFA) et l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification d’une cible.

Microsoft Threat Intelligence Center (MSTIC) évalue que l’objectif de Lapsus$ est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction.

Les actions de Lapsus$ n’ont pas été anodines pour les entreprises touchées. Le code source de plusieurs applications clés de Microsoft (son moteur de recherche Bing, son assistant virtuel Cortana, son outil cartographique Bing Maps) a été diffusé. Pour Nvidia, ce sont des informations sur ses cartes graphiques actuelles et futures et certaines technologies qui ont été exposées.

Sans doute pour empêcher les hackers de les faire chanter en s’appuyant sur ces données, Nvidia aurait riposté en se faufilant dans le système du pirate et en chiffrant les données volées. C’est ce qu’affirme une publication sur le compte twitter de Vx-underground (qui évolue dans la Threat Intelligence - une discipline basée sur des techniques du renseignement, qui a pour but la collecte et l’organisation de toutes les informations liées aux menaces du cyberespace, afin de dresser un portrait des attaquants ou de mettre en exergue des tendances), captures d’écran à l’appui :

« Le groupe d’extorsion LAPSU$, un groupe opérant en Amérique du Sud, affirme avoir pénétré par effraction les systèmes de NVIDIA et exfiltré plus de 1 To de données propriétaires. LAPSU$ affirme que NVIDIA a effectué un piratage et déclare que NVIDIA a réussi à attaquer ses machines à l’aide d’un ransomware ».

Mais les hackers ont déclaré disposer d’une sauvegarde des données, rendant ainsi vains les efforts de Nvidia : « Heureusement, nous disposions d’une sauvegarde. Mais pourquoi pensaient-ils qu’ils pouvaient se connecter à notre machine privée et installer un ransomware ? »

L’un des cerveaux de l’affaire pourrait avoir 16 ans

La police de la ville de Londres a arrêté sept adolescents en raison de leurs liens présumés avec un groupe de piratage qui serait le groupe récemment prolifique Lapsus$ : « La police de la ville de Londres a mené une enquête avec ses partenaires sur les membres d’un groupe de piratage. Sept personnes âgées de 16 à 21 ans ont été arrêtées dans le cadre de cette enquête et ont toutes été libérées sous enquête. Nos enquêtes restent en cours », a déclaré l’inspecteur-détective Michael O’Sullivan de la police de la ville de Londres dans un communiqué.

Un jeune de 16 ans d’Oxford est soupçonné d’être l’un des chefs du gang de cybercriminalité Lapsus$. Avec son surnom en ligne, “Breachbase” ou “White”, l’adolescent a gagné l’équivalent de 14 millions de dollars en Bitcoin à ce jour. Il n’a pas été précisé si celui qui est décrit comme la tête pensante du groupe figure parmi les sept interpellés.

“Breachbase” ou “White” a été victime de doxxing (une pratique consistant à rechercher les informations sensibles de quelqu’un pour les publier sur Internet. Les pirates y ont recours pour se venger d’internautes, les harceler ou les faire chanter) sur un site Web pirate par son partenaire commercial après un différend entre eux. Les pirates ont révélé son nom, son adresse, des photos sur les réseaux sociaux et ont également publié une biographie de sa carrière de pirate.

L’administrateur de LAPSUS$, “Breachbase” ou “White”, était supposé verser à l’administrateur de Doxbin “KT” plus de 25 000*$ pour retirer son dox de son site et diffuser de la désinformation sur sa véritable identité. Voici la conversation et le motif de la publication.

4e56a5c4-cffa-407c-9747-ae68c5eb66ee-image.png

066efe43-cdbc-47d1-8997-78682dd1674c-image.png

Les chercheurs soupçonnent l’adolescent d’être à l’origine de certains des principaux piratages effectués par Lapsus$, mais ils n’ont pas été en mesure de le lier de manière concluante à tous les piratages revendiqués par Lapsus$. Les cyber-chercheurs ont utilisé des preuves médico-légales provenant des hacks ainsi que des informations accessibles au public pour lier l’adolescent au groupe de piratage.

Les chercheurs en cybersécurité suivent “White” depuis près d’un an et l’ont lié à Lapsus$ et à d’autres incidents de piratage. L’adolescent a commis de multiples erreurs qui ont aidé les chercheurs à suivre son activité sur les comptes en ligne.

Allison Nixon, responsable de la recherche à la société d’enquête sur la cybersécurité Unit 221B, a déclaré: « Nous avons son nom depuis le milieu de l’année dernière et nous l’avons identifié avant le doxxing ». Et d’ajouter : « Nous l’avons observé sur ses exploits tout au long de 2021 ».

BBC News indique avoir parlé au père de l’adolescent, qui n’était apparemment pas au courant de son implication dans le groupe : « Je n’avais jamais entendu parler de tout cela jusqu’à récemment. Il n’a jamais parlé de piratage, mais il est très doué en informatique et passe beaucoup de temps sur l’ordinateur », a déclaré le père, selon les informations de la BBC. « J’ai toujours pensé qu’il jouait. Nous essaierons de l’empêcher d’utiliser des ordinateurs ».

Le récit livré par le média anglophone surprend du fait de l’âge de celui que l’on présente comme la tête pensante de l’un des groupes les plus médiatisés ces dernières semaines. Mais cette particularité n’est pas forcément rare : au sein du collectif LulzSec, qui s’était fait connaître en 2011 avec diverses intrusions informatiques, certains membres n’avaient pas 20 ans.

Un autre membre de Lapsus$ est soupçonné d’être un adolescent résidant au Brésil, selon les enquêteurs. Une personne enquêtant sur le groupe a déclaré que les chercheurs en sécurité avaient identifié sept comptes uniques associés au groupe de piratage, ce qui indique qu’il y a probablement d’autres personnes impliquées dans les opérations du groupe.

L’adolescent est si doué pour le piratage (et si rapide) que les chercheurs ont d’abord pensé que l’activité qu’ils observaient était automatisée, a déclaré une autre personne impliquée dans la recherche.

Lapsus$ a publiquement nargué ses victimes, en divulguant son code source et ses documents internes. Lorsque Lapsus$ a révélé qu’il avait réussi à entrer par effraction dans Okta Inc., il a plongé l’entreprise dans une crise de relations publiques.

Pour mémoire, Okta est une entreprise américaine propose des solutions de gestion d’accès sécurisé (authentification) à des serveurs en ligne à ses clients. Son activité relève donc de la cybersécurité et de la protection. Parmi ses clients, on retrouve les français Engie, Foncia, ou encore La Croix Rouge française. Un piratage de ses systèmes, qui sont eux-mêmes chargés d’en sécuriser des centaines d’autres, pourrait donc avoir des répercutions majeures.

Okta a échangé avec Lapsus$ par communiqués de presse interposés, entre le 20 et le 22 mars. Tentant dans un premier temps d’éteindre l’incendie, l’entreprise a reconnu, dans son plus récent communiqué qu’une partie de ses clients avait bien été affectée.

« Après une enquête approfondie, nous en avons conclu qu’un petit pourcentage de clients, approximativement 2,5%, ont potentiellement été affectés, et dont les données ont été vues ou manipulées. Nous avons identifié ces clients et les avons contactés », a déclaré David Bradbury, directeur des ventes d’Okta, dans un communiqué publié le 22 mars. Cela représente, sur les 15 000 clients revendiqués par l’entreprise, au moins 375 d’entre eux.

17f45af7-6922-4581-b9a2-b805926ed17c-image.png

Lapsus$ est même allé jusqu’à rejoindre les appels Zoom des entreprises dont ils ont forcé l’accès, où ils ont provoqué des employés et des consultants qui ont tenté de colmater les brèches de leur piratage.

Quoiqu’il en soit, sur sa page Telegram, Lapsus$ a déclaré le 23 mars : « Certains de nos membres ont des vacances jusqu’au 30/3/2022. Nous pourrions être silencieux pendant quelques temps. Merci pour votre compréhension - nous essaierons de divulguer des trucs dès que possible ». Le 25 mars, Lapsus$ a annoncé l’arrivée d’un nouveau modérateur de chat.

23c6c54c-4317-4e79-bec4-bf2d216aa9a7-image.png

Source : securite.developpez.com