Le renseignement ukrainien a confirmé avoir lancé une cyberattaque contre les sites des ministères russes.

Le renseignement ukrainien a confirmé avoir lancé une cyberattaque contre les sites des ministères russes.

L'enseigne de prêt-à-porter française Zadig & Voltaire est victime d'une importante fuite de données : un cybercriminel a publié une base de données avec les données personnelles de plus de 600 000 clients. Faisons le point.

Rappel - Créée en 1997, Zadig & Voltaire est une marque française de prêt-à-porter, aussi bien pour les femmes que pour les hommes.

Ce mercredi 5 juin, au petit matin, un cybercriminel a publié sur un forum de hacking une base de données appartenant à l'enseigne de prêt-à-porter Zadig & Voltaire. Il s'agit de données publiées sur BreachForums, la principale "place de marché" pour l'achat et la revente de données issues de cyberattaques. Preuve que BreachForums est bien de retour après avoir été malmené par les forces de l'ordre ces dernières semaines.

Cette fuite de données contient les données personnelles de 638 726 clients de l'enseigne française. Selon les informations fournies par le cybercriminel à l'origine de la divulgation des données, ces données auraient été volées en novembre 2023. Ceci laisse entendre que la cyberattaque s'est déroulée dans les jours ou semaines précédant le vol de données.

À quoi correspondent ces données personnelles ?

Dans cette base de données, nous retrouvons diverses informations au sujet des clients de Zadig & Voltaire, notamment des noms et prénoms, des adresses e-mails, des numéros de téléphone, des adresses postales, ainsi que des dates de naissance. C'est typiquement le genre d'informations que l'on retrouve dans un fichier client.

Si vous êtes client de Zadig & Voltaire, nous vous recommandons de modifier le mot de passe de votre compte client, par précaution. Méfiez-vous également des e-mails que vous recevez, car une campagne de phishing pourrait être organisée à partir de ces informations.

En 2024, ce n'est pas la première enseigne de prêt-à-porter à subir une cyberattaque associée à une fuite de données. En avril 2024, c'est la marque "Le Slip français" qui a été victime d'un incident similaire. Un peu plus tôt dans l'année, c'était au tour d'une filiale de l'enseigne Benetton.

Source

The post Cyberattaque Zadig & Voltaire : les données personnelles de 600 000 clients publiées sur le Dark Web first appeared on IT-Connect.

Le gang de ransomware Monti a frappé fort dans le Sud de la France en faisant 3 victimes d'un coup : l'aéroport de Pau-Pyrénées, l'école de commerce de Pau ainsi que le campus numérique de la ville. Faisons le point !

Dans la nuit du dimanche 12 au lundi 13 mai 2024, un groupe de pirates nommé Monti Ransomware a mené des cyberattaques à l'encontre de trois institutions de la ville de Pau. Les pirates sont parvenus à s'introduire sur l'infrastructure de l'aéroport de Pau-Pyrénées, l'école de commerce Eklore (ex-CNPC) et le campus numérique de la ville de Pau. Il s'agit de trois institutions liées à la Chambre de Commerce et d'Industrie (CCI) Pau Béarn.

Les journalistes de Sud-Ouest sont parvenus à obtenir des informations auprès de la CCI : « Les activités ne sont pas arrêtées mais simplement en mode dégradé. Il n’y a aucun souci sur les vols à l’aéroport. Idem à l’école de commerce, où les cours ont lieu mais sans une partie des outils numériques. », peut-on lire. Une plainte a été déposée.

Des données publiées sur le Dark Web

Sur son site accessible via le Dark Web, le gang de ransomware Monti a mis en ligne des données volées lors de cette cyberattaque. Il serait question de plusieurs milliers de documents, dont des documents administratifs, des factures, des bilans RH ainsi que des informations personnelles relatives aux salariés et aux étudiants. Des données précieuses pouvant être utilisées pour mener des campagnes de phishing ou tenter d'usurper l'identité des personnes concernées.

La divulgation des données par les pirates n'est pas une surprise : en France, les établissements publics ont pour consigne de ne pas payer la rançon demandée par les cybercriminels. Ceci est la bonne décision, mais généralement cela en résulte à la mise en ligne des données exfiltrées lors de l'attaque.

Le gang de ransomware Monti a été repéré pour la première fois en juin 2022. S'il porte un nom proche du ransomware Conti, ce n'est surement pas un hasard : le ransomware Monti partage certaines tactiques avec Conti, ce dernier ayant "fermé ses portes" en mai 2022. Ce qui a donné lieu à la naissance d'autres groupes de cybercriminels.

Source

The post Cyberattaque : le ransomware Monti fait trois victimes en France, à Pau first appeared on IT-Connect.

Grosse alerte de sécurité chez Check Point : un correctif de sécurité a été publié en urgence pour corriger une faille zero-day présente dans la fonction VPN des firewalls Check Point. Le problème : cette vulnérabilité est massivement exploitée par les pirates. Faisons le point.

En début de semaine, Check Point a mis en ligne un rapport pour évoquer une vague d'attaques visant ses firewalls. À ce moment-là, l'entreprise américaine évoquait une campagne basée sur l'utilisation de comptes locaux présents par défaut sur les firewalls et accessibles par un simple mot de passe.

• Notre article publié en début de semaine : Les pirates ciblent les VPN Check Point pour compromettre les réseaux d'entreprises !

Ces dernières heures, Check Point a fait une autre découverte à ce sujet : les pirates exploitent une faille de sécurité zero-day présente dans la fonction VPN pour compromettre les firewalls.

Désormais associée à la référence CVE-2024-24919, cette vulnérabilité est décrite de cette façon par Check Point : "La vulnérabilité permet potentiellement à un attaquant de lire certaines informations sur les passerelles connectées à Internet dont l'accès à distance VPN ou l'accès mobile est activé.", peut-on lire dans le bulletin de sécurité de l'éditeur. Elle est associée à un score CVSS v3.1 de 7.5 sur 10.

Une faille zero-day exploitée depuis le 30 avril

Cette faille de sécurité zero-day est exploitée depuis, au moins, le 30 avril 2024 : date à laquelle la société mnemonic a constaté des tentatives d'exploitation chez certains de ses clients.

D'ailleurs, le rapport mis en ligne par mnemonic apporte des précisions sur les risques associés à cette vulnérabilité qui "permet à un attaquant d'énumérer et d'extraire des hashs de mots de passe pour tous les comptes locaux, y compris le compte utilisé pour se connecter à Active Directory." - On comprend mieux l'attirance des cybercriminels pour cette faille de sécurité.

Check Point recommande d'ailleurs de renforcer la sécurité du compte permettant de lier l'appliance firewall à l'annuaire Active Directory. À juste titre, voici ce que l'on peut lire dans l'article de mnemonic : "Les mots de passe faibles peuvent être compromis, ce qui entraîne d'autres abus et des mouvements latéraux potentiels au sein du réseau."

Qui est affecté ? Comment se protéger ?

D'après le site de Check Point, les produits suivants sont affectés : CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways, Quantum Spark Appliances. Pour que l'appliance soit vulnérable, il doit y avoir une ou plusieurs fonctions d'accès distance activée (Access VPN ou Mobile Access Software Blades).

Un hotfix a été publié pour diverses versions de système, y compris pour certaines versions en fin de vie.

Check Point a publié un article de support pour guider ses clients dans l'installation du correctif de sécurité, dit "hotfix", permettant de se protéger de la CVE-2024-24919. Référez-vous à cette page pour accéder au téléchargement propre à votre version et lire les instructions de l'éditeur.

Source

The post Check Point : un correctif publié pour une zero-day dans le VPN déjà exploitée dans des attaques ! first appeared on IT-Connect.

Au cours des trois derniers mois, les cybercriminels derrière le botnet CatDDoS ont utilisé plus de 80 failles de sécurité différentes pour compromettre des appareils ! Ce botnet est ensuite utilisé pour effectuer des attaques DDoS. Faisons le point.

• Qu'est-ce qu'une attaque DDoS ?

Le botnet CatDDoS, apparu pour la première fois en août 2023 et qui est considéré comme une variante du botnet Mirai, a été observé par l'équipe de chercheurs QiAnXin XLab. Il s'avère que le botnet a été utilisé pour cibler jusqu'à 300 appareils par jour et que pour la compromission de ces derniers, il s'appuie sur pas moins de 80 vulnérabilités différentes. Certaines n'ont pas encore été identifiées et il pourrait s'agir de zero-day, d'après le rapport publié par QiAnXin XLab.

Certaines vulnérabilités sont récentes, tandis que d'autres ont été découvertes il y a plusieurs années. Parmi les produits pris pour cible, nous pouvons citer : Apache Log4j, Apache ActiveMQ, Cacti, Jenkins, les routeurs Linksys, Netgear, TP-Link et D-Link, les NAS Seagate, les contrôleurs de gestion Wi-Fi Ruckus, des équipements de chez Zyxel ou encore différents modèles de caméras notamment chez Avtech. Il y a une réelle diversité dans cette liste.

Toujours d'après ce rapport, la France fait partie des pays les plus impactés par les attaques DDoS orchestrées par CatDDoS : "Nous pouvons constater que les cibles des gangs liés à CatDDoS sont réparties dans le monde entier, en particulier aux États-Unis, en France, en Allemagne, au Brésil et en Chine." - Il peut s'agir de fournisseurs de services Cloud, d'industries, d'administrations publiques ainsi que d'organisations dans différents domaines comme la recherche scientifique, la construction, ou encore l'éducation.

Les chercheurs expliquent également que d'autres botnets sont similaires à CatDDoS et qu'ils partagent certains éléments. On pourrait presque dire qu'il y a un modèle de fonctionnement et de code qui est partagé entre plusieurs botnets.

Nous pourrions qualifier le botnet CatDDoS de botnet polymorphe, car il est capable d'effectuer des attaques DDoS en utilisant UDP, TCP et d'autres méthodes. Il n'est pas à exclure qu'il exploite la nouvelle technique baptisée DNSBomb.

Source

The post Le botnet CatDDoS exploite plus de 80 vulnérabilités pour compromettre des appareils ! first appeared on IT-Connect.

Un groupe de pirates a publié les données de l’aéroport de Pau-Pyrénées, l’école de commerce de Pau et du campus numérique de la ville. Les informations contiennent des documents administratifs ainsi que des informations sur les employés.

Un groupe de pirates a publié les données de l’aéroport de Pau-Pyrénées, l’école de commerce de Pau et du campus numérique de la ville. Les informations contiennent des documents administratifs ainsi que des informations sur les employés.

Des hackers sont parvenus à déverrouiller une Tesla Model 3 en moins d'une minute avec la fameuse technique d'antenne par relais. Le constructeur de voiture électrique travaille encore sur les moyens pour parer cette méthode.

Des hackers sont parvenus à déverrouiller une Tesla Model 3 en moins d'une minute avec la fameuse technique d'antenne par relais. Le constructeur de voiture électrique travaille encore sur les moyens pour parer cette méthode.

La Nouvelle-Calédonie a été victime d'une attaque informatique qui a touché son principal fournisseur d'accès à Internet. Une opération qui a consisté à envoyer de nombreux mails pour saturer le réseau, et qui a eu lieu alors que le président de la République Emmanuel Macron se rend sur place.

Des hackers ont infiltré le site de formation de l'influence masculiniste Andrew Tate. Les données de près d'un million d'utilisateurs sont en ligne.

Des chercheurs en sécurité ont identifié une nouvelle campagne d'attaques prenant pour cible les utilisateurs de l'application Foxit Reader, une visionneuse de PDF. Faisons le point sur cette menace.

Bien que Foxit Reader soit moins populaire que le lecteur de PDF de chez Adobe, il n'en reste pas moins une application très utilisée au niveau mondial. Elle est aussi bien utilisée par les particuliers que par certaines organisations. Le problème, c'est qu'elle contient ce que l'on pourrait appeler une "vulnérabilité by design" au sein de sa fonction d'affichage des alertes de sécurité.

En effet, lorsqu'une potentielle menace est détectée par Foxit Reader dans un PDF, il affiche un message d'avertissement à l'écran. Le problème, c'est que ce message peut être trompeur par l'utilisateur : s'il valide deux fois en utilisant l'option par défaut, alors l'exploit est déclenché et le code malveillant peut être exécuté. Ceci devrait être révisé de façon à ce que l'action par défaut permette de refuser l'exécution.

En tirant profit de cet exploit, un attaquant peut télécharger et exécuter un code malveillant à partir d'un serveur distant sur la machine de l'utilisateur, ce qui représente un risque important. Étant donné que cette attaque tire profit d'un exploit natif à l'application, ceci permet de rester plus facilement indétectables par les systèmes de sécurité.

Foxit Reader : des cyberattaques sont en cours

D'après le rapport publié par les chercheurs de Check Point, un groupe de cybercriminels suivi sous le nom d'APT-C-35 (DoNot Team) exploite activement cette vulnérabilité au sein de cyberattaques. "Cet exploit a été utilisé par de nombreux acteurs malveillants, dans le cadre de la cybercriminalité et de l'espionnage.", peut-on lire.

Elle est notamment utilisée pour déployer des malwares divers et variés, parmi lesquels VenomRAT, Agent-Tesla, Remcos, NjRAT, NanoCore RAT, Pony, Xworm, AsyncRAT, et DCRat.

La majorité des fichiers PDF collectés exécutaient une commande PowerShell qui téléchargeait une charge utile à partir d'un serveur distant et l'exécutait ensuite, bien qu'à certaines occasions d'autres commandes aient été utilisées.", précise le rapport.

Comment se protéger ?

La mise à jour "2024.3" va résoudre ce problème de sécurité dans Foxit Reader. Pour le moment, elle n'est pas encore disponible, donc vous devez faire attention à ne pas vous faire berner lors de l'utilisation de cette application pour ouvrir des fichiers PDF.

Source

The post Cet exploit dans Foxit Reader PDF utilisé pour infecter les PC avec des malwares ! first appeared on IT-Connect.

[Info Numerama] Le ministère des Sports et des Jeux olympiques et paralympiques nous a confirmé le piratage du compte X d'Amélie Oudéa-Castéra vendredi dernier. Le profil a été restauré depuis.

Dell informe ses clients d'une fuite de données, tandis qu'un pirate affirme détenir les informations de 49 millions de clients de l'entreprise.

Le leader du gang de hackers Lockbit nie toutes les accusations des forces des polices et affirme qu'elles se sont trompées sur son identité. Des déclarations à prendre avec des pincettes.

L'identité du leader du gang de pirate Lockbit vient d'être dévoilée par les forces de l'ordre. Ce collectif de cybercriminels est responsable des cyberattaques contre l'hôpital de Corbeil-Essonne et plus récemment, l'hôpital de Cannes.

Le Royaume-Uni a été la cible d'une cyberattaque d'origine chinoise ce 7 mai 2024. Les hackers auraient tenté de récupérer des informations sur les militaires britanniques.

Dropbox a subi une intrusion dans ses systèmes, entraînant l'exposition de données sensibles telles que les mots de passe des utilisateurs de son option « Dropbox Sign ».