Une cyberattaque d'ampleur a paralysé des dizaines de milliers de stations services en Iran. Derrière l'attaque, de nombreuses hypothèses circulent sur l'origine de ces pirates.
[Info Numerama] « La bonne alternance », une plateforme destinée à mettre en relation des personnes en recherche d'alternance avec les entreprises, a été victime d'un vol de données. Le ministère du Travail a informé les personnes concernées.
Les objets électroniques que vous achetez pour les fêtes de fin d'année peuvent contenir des vulnérabilités qu'il vaut mieux connaître (et sécuriser) avant de les offrir avec enthousiasme.
Un nouveau smartphone est un beau cadeau qu'il convient de sécuriser et organiser pour éviter un bazar de données à l'avenir. Un expert en cyber nous donne quelques conseils pour installer des barrières dès la prise en main.
Il existe bien des façons de faire déraper l’informatique des Jeux olympiques et paralympiques de Paris. Un problème dont les organisateurs sont bien conscients.
Une campagne de phishing usurpe les finances publiques et prétend par mail qu'une amende de 35 euros est à régler avant le début de l'année 2024.
La sécurité informatique est à l'aube d'une révolution avec l'arrivée des passkeys. Ces clés d'accès ambitionnent de remplacer les mots de passe. Sur bien des critères, ils leur sont supérieurs.
L’année 2024 s’annonce comme une période où la sophistication, la diversification et l’évolution constante des cybermenaces nécessiteront des stratégies de cybersécurité plus robustes et adaptatives pour protéger les individus, les entreprises et les institutions contre un paysage de menaces numériques de plus en plus complexe et hostile. Nouveaux modèles RaaS Au cours de l’année à […]
The post 2024 les grandes tendances de la cybersécurité first appeared on UnderNews.
C'est la fin pour l'app de bureau Authy. Le service qui propose son outil pour la double authentification va se concentrer à l'avenir sur Android et iOS. Les versions pour Windows, MacOS et Linux seront délaissées après le mois d'août 2024.
L’externalisation des systèmes d’information des entreprises et structures publiques est aujourd’hui une tendance en forte accélération. Dans ce contexte, les ESN voient les projets d’hébergement qui leur sont confiés se développer à grande échelle. Cependant, héberger des données ou applications ne saurait en aucun cas se limiter à un service basique et nécessite d’être réalisé […]
The post Pourquoi les certifications ISO 27001 et HDS sont-elles des éléments clé pour une ESN first appeared on UnderNews.L’intelligence artificielle a révolutionné de nombreux domaines dont celui de la cybersécurité. Cependant, cette technologie prometteuse soulève des questions en termes d’explicabilité et de transparence. Le Machine Learning (ML)a connu des avancées remarquables depuis ces dernières années. Aujourd’hui, grâce à d’énormes bases de données, des modèles de plus en plus élaborés peuvent classifier des attaques […]
The post A quoi correspond l’explicabilité des IA en cybersécurité ? first appeared on UnderNews.Le 8 décembre dernier, le parlement européen est parvenu à un accord légiférant l’utilisation de l’intelligence artificielle (IA). Ce règlement vise à promouvoir l’innovation dans le secteur mais aussi à protéger les droits fondamentaux, de la démocratie, de l’État de droit et de la durabilité environnementale face aux applications à haut risque de cette technologie. […]
The post IA Act : stimuler l’innovation tout en renforçant la cybersécurité first appeared on UnderNews.Une campagne de cyberattaque est actuellement menée par des pirates dans le but de compromettre des sites WordPress grâce à l'exploitation d'une faille de sécurité critique présente dans l'extension "Better Search Replace". Faisons le point sur cette menace.
Tout d'abord, parlons de l'extension Better Search Replace pour WordPress en elle-même. Elle facilite les opérations de modifications massives dans la base de données d'un ou plusieurs sites WordPress, notamment avec une puissante fonction de type "Rechercher et remplacer". C'est une extension relativement populaire puisqu'elle compte plus d'un million d'installations !
Il y a quelques jours, WP Engine, l'éditeur de cette extension, a mis en ligne la version 1.4.5 de cette extension dans le but de corriger la faille de sécurité critique associée à la référence CVE-2023-6933 et de type "PHP object injection".
D'après une publication de Wordfence, une solution spécialisée dans la sécurité des sites WordPress, cette vulnérabilité pourrait permettre l'exécution de code à distance, de récupérer des données sensibles ou de supprimer des fichiers. Toujours d'après Wordfence, cette faille de sécurité n'est pas directement exploitable via l'extension Better Search Replace, mais par l'intermédiaire d'un autre plugin ou thème installé sur le même site et qui contiendrait une chaîne POP (Property Oriented Programming).
La vulnérabilité affecte toutes les versions de l'extension "Better Search Replace" jusqu'à la version 1.4.4. Vous l'aurez compris, si vous utilisez cette extension, il est fortement recommandé d'effectuer la mise à jour vers la version 1.4.5 dès que possible. C'est urgent, car au cours des dernières 24 heures, le système de Wordfence a bloqué plus de 2 000 tentatives d'exploitation de cette vulnérabilité.
Cette extension a été beaucoup téléchargée au cours des 7 derniers jours, ce qui pourrait être un signe que de nombreux administrateurs ont fait le nécessaire pour se protéger. Mais, il y a encore plusieurs milliers de sites vulnérables, car au moins 18.7% des sites Web utilisent une version antérieure à la version majeure 1.4. Sans compter les sites qui utilisent une version 1.4.X inférieure à la version 1.4.5, mais WordPress ne fournit pas de statistiques sur les versions mineures utilisées, donc c'est difficile de le savoir.
The post Les pirates exploitent une faille dans une extension WordPress avec plus d’un million d’installations first appeared on IT-Connect.
La Suède est actuellement victime d'une cyberattaque d'envergure qui impacte de nombreuses organisations et administrations du pays, ce qui complique également la vie quotidienne des Suédois. Faisons le point sur cet incident.
Dans la nuit du 19 au 20 janvier 2024, un centre de données de l'entreprise Suédois-Finlandaise Tietoevry a été ciblé par une cyberattaque lors de laquelle les pirates ont utilisé le ransomware Akira pour chiffrer une partie des systèmes, notamment des serveurs de l'infrastructure de virtualisation. Il s'agit d'une cyberattaque attribuée au gang de ransomware Akira, en lien avec la Russie.
Suite à cette intrusion, les systèmes impactés ont été isolés pour limiter la propagation de l'attaque et désormais les équipes techniques de Tietoevry travaillent sur la restauration des systèmes.
"Actuellement, Tietoevry ne peut pas dire combien de temps durera le processus de restauration dans son ensemble - compte tenu de la nature de l'incident et du nombre de systèmes spécifiques au client à restaurer, le délai total peut s'étendre sur plusieurs jours, voire plusieurs semaines.", peut-on lire dans le dernier communiqué publié par la société de service. Pendant ce temps, le quotidien des Suédois est perturbé.
La cyberattaque en Suède est un événement grave puisque l'indisponibilité des services de Tietoevry fait que de nombreux systèmes d'achat en ligne de cinémas, de boutiques, de grands magasins, ont été rendus inopérants. Suite à cet incident, certaines enseignes ont été contraintes de baisser le rideau temporairement...
Par ailleurs, certains services administratifs suédois mais également des écoles et des hôpitaux sont perturbés par cette cyberattaque. Statens Servicecenter, le système centralisé de ressources humaines utilisées par les administrations, a été paralysé, ce qui empêche les employés d'effectuer certaines actions administratives (la prise de congés, par exemple). Au total, on parle de 60 000 employés affectés et 120 administrations.
Une fois de plus, cet incident majeur montre bien que toutes les organisations et toutes les administrations doivent renforcer la sécurité de leur système pour se protéger des cyberattaques et limiter les impacts éventuels de celles-ci. N'importe quel pays peut être pris pour cible, que ce soit la Suède, la France, ou une autre nation...
The post Ransomware Akira : une cyberattaque d’envergure perturbe la vie quotidienne des Suédois ! first appeared on IT-Connect.
Depuis une dizaine de jours, une faille de sécurité critique a été dévoilée et corrigée dans GitLab : la CVE-2023-7028. Le problème, c'est qu'il y aurait encore plus de 5 000 instances exposées sur Internet et vulnérables !
La faille de sécurité CVE-2023-7028 peut être exploitée à distance par un attaquant pour réinitialiser le mot de passe d'un compte utilisateur afin d'en prendre le contrôle, sans aucune action de la part de l'utilisateur. Il suffit d'avoir accès à l'instance GitLab et de connaître le nom d'un utilisateur afin de le compromettre et d'en prendre le contrôle, à moins que le MFA soit activé et configuré sur le compte en question.
Pour corriger cette vulnérabilité, GitLab a mis en ligne de nouvelles versions pour GitLab Community Edition (CE) et Enterprise Edition (EE) : 16.7.2, 16.6.4 et 16.5.6. Pour les versions plus anciennes, GitLab a également publié d'autres correctifs dans un second temps : 16.1.6, 16.2.9 et 16.3.7.
Comme souvent, TheShadowServer a mis en ligne une carte interactive qui permet de se faire une idée de la quantité de serveurs vulnérables à l'échelle mondiale. A l'heure actuelle, on compte plus de 5 000 serveurs GitLab exposés sur Internet et vulnérable à la CVE-2023-7028. Voici quelques chiffres clés :
Si vous utilisez GitLab, ne trainez pas pour patcher votre instance : la compromission d'une instance peut être lourde de conséquences puisse qu'elle peut donner lieu à la fuite de code source, de clés d'API, ou encore permettre à l'attaquant d'infecter le code source d'une application afin de mettre en place une attaque de la chaine d'approvisionnement (supply chain attack).
De plus, il existe déjà au moins un exploit PoC disponible sur GitHub, notamment à cette adresse.
Dans le cas où votre instance GitLab est compromise, vous devez effectuer la modification des mots de passe de tous les utilisateurs, vérifier que le MFA est bien activé, mais aussi renouveler tous les certificats et clés d'API associés à vos projets afin de limiter l'impact d'une éventuelle fuite de données.
Vous pouvez approfondir ce point en lisant cette page de la documentation GitLab.
The post GitLab (CVE-2023-7028) – Plus de 5 000 serveurs exposés à des attaques, dont près de 300 en France ! first appeared on IT-Connect.
La solution open source Jenkins est affectée par plusieurs failles de sécurité critiques pour lesquelles il y a déjà des exploits PoC disponibles sur Internet. Voici ce qu'il faut savoir sur ces vulnérabilités déjà exploitées au sein d'attaques.
Pour rappel, Jenkins est une solution open source très appréciée par les développeurs et les DevOps, notamment pour mettre en place un pipeline CI/CD.
Les chercheurs en sécurité de SonarSource ont fait la découverte de deux failles de sécurité dans Jenkins : CVE-2024-23897 et CVE-2024-23898. Jenkins a été informé de la découverte de ces vulnérabilités le 13 novembre 2023.
En lisant le rapport qu'ils ont mis en ligne, on apprend que l'exploitation de ces deux vulnérabilités permet à un attaquant d'accéder aux données hébergées sur le serveur Jenkins. Dans certains cas, l'attaquant pourrait même exécuter des commandes à distance sur le serveur vulnérable.
Il y a déjà plusieurs exploits PoC disponibles pour ces vulnérabilités, et d'après certains honeypots mis en place par des chercheurs en sécurité, des cybercriminels tentent déjà d'exploiter ces failles de sécurité.
Commençons par évoquer la faille de sécurité CVE-2024-23897 jugée comme critique et qui permet à un attaquant non authentifié, et disposant de la permission "overall/read", de lire les données des fichiers présents sur le serveur. Sans cette permission, il est possible de lire les premières lignes des fichiers. SonarSource précise qu'un attaquant pourrait utiliser cette technique pour consulter le fichier "/etc/passwd" afin d'obtenir la liste des utilisateurs présents sur le système.
Ce problème de sécurité réside dans la bibliothèque args4j utilisée par Jenkins. À ce sujet, Jenkins précise : "Cet analyseur de commandes dispose d'une fonctionnalité qui remplace le caractère @ suivi d'un chemin de fichier dans un argument par le contenu du fichier (expandAtFiles). Cette fonctionnalité est activée par défaut et Jenkins 2.441 et antérieurs, LTS 2.426.2 et antérieurs ne la désactive pas."
En ce qui concerne la vulnérabilité CVE-2024-23898, elle permet à un attaquant d'exécuter des commandes à distance en incitant un utilisateur à cliquer sur un lien malveillant. Cette vulnérabilité de type "cross-site WebSocket hijacking (CSWSH)" est moins grave que la première vulnérabilité découverte par SonarSource.
En principe, les navigateurs doivent atténuer les risques liés à l'exploitation de cette vulnérabilité, mais tous les navigateurs n'appliquent pas les mêmes règles de sécurité par défaut.
Pour protéger votre serveur et vos données, vous devez mettre à jour Jenkins afin d'utiliser l'une de ces deux versions :
En complément, vous pouvez consulter le bulletin de sécurité de Jenkins sur cette page, car l'éditeur donne des informations sur les scénarios d'attaques envisageables, ainsi que des mesures d'atténuation possibles (en attendant d'installer le patch).
The post Patchez Jenkins : des exploits disponibles pour ces failles permettant l’exécution de code à distance first appeared on IT-Connect.
Nouvelle interrogation autour de la protection de la vie privée aux Etats-Unis : la NSA achète des informations personnelles sur les Internautes américains auprès de courtiers en données.
Le 25 janvier 2024, Ron Wyden, un sénateur américain, a publié une lettre ouverte au sein de laquelle il mentionne que la NSA achète des informations au sujet des citoyens américains auprès de courtiers en données. Pour rappel, la NSA est l'agence nationale américaine spécialisée dans le renseignement cyber.
Au travers de cette lettre adressée à Avril Haines, directeur du renseignement national, Ron Wyden souhaite dénoncer cette pratique illégale : "Le gouvernement américain ne devrait pas financer et légitimer une industrie douteuse dont les violations flagrantes de la vie privée des Américains sont non seulement contraires à l'éthique, mais aussi illégales.", précise-t-il dans sa lettre.
Il en a profité pour demander à ce que cette pratique soit interdite et que la NSA, ainsi que les autres agences, ne puissent pas acquérir ces données auprès de sociétés spécialisées. Il en profite pour rappeler que ceci ne peut être fait qu'après avoir obtenu le consentement des personnes concernées.
En l'occurrence ici, il s'agirait d'ensemble de données personnelles faisant référence aux habitudes de navigation des utilisateurs américains, mais aussi d'informations associées à des numéros de téléphone. La NSA s'appuierait sur ces informations dans le cadre de ses enquêtes, pour du renseignement ou de la cybersécurité.
Si Ron Wyden a publié cette lettre il y a quelques jours, ce n'est surement pas un hasard du calendrier. En effet, ceci intervient dans la foulée d'une décision de la Commission fédérale du commerce (FTC) d'interdire aux entreprises Outlogic et InMarket Media de vendre des informations de localisation précises d'utilisateurs sans leur consentement explicites. Ceci sous-entend que cette vente de données soit effectuée à des fins de ciblage publicitaire ou pour les revendre aux agences américaines, il faut le consentement de l'utilisateur.
Voilà, bien que cette annonce ne surprendra personne ou presque, Ron Wyden, lui, a mis les pieds dans le plat.
The post Vie privée aux Etats-Unis : la NSA achète illégalement des données au sujet des utilisateurs ! first appeared on IT-Connect.
L'entreprise Schneider Electric a été victime du ransomware Cactus ! Lors de cette cyberattaque, les pirates sont parvenus à voler des données sur les serveurs de l'entreprise. Voici ce que l'on sait sur cet incident.
Pour rappel, Schneider Electric est un groupe industriel français spécialisé dans les solutions énergétiques, que ce soit pour la fourniture de matériel électrique, de produits basés sur des énergies renouvelables, etc... C'est une entreprise mondialement connue, avec plus de 150 000 salariés.
Le 17 janvier 2024, la branche de Schneider Electric dédiée aux activités de développement durable a été impactée par une cyberattaque qui a eu pour conséquence de rendre indisponible la plateforme Cloud "Resource Advisor" de Schneider Electric. Ce service de Schneider Electric a pour objectif de fournir des services de conseil aux entreprises, notamment en les conseillant sur les solutions disponibles en matière d'énergies renouvelables. Bien que l'attaque s'est déroulée il y a une dizaine de jours, la plateforme reste toujours inaccessible pour les utilisateurs.
Lors de cette cyberattaque, les cybercriminels sont parvenus à voler des téraoctets de données de l'entreprise, en plus de demander le paiement d'une rançon. Le principe de la double extorsion est appliqué par les pirates : si la rançon n'est pas payée, les données seront publiées sur le Dark Web. Schneider Electric précise que les autres services ne sont pas impactés par cette cyberattaque.
Même si nous ne savons pas à quoi correspondent les données données lors de cette attaque, elles pourraient correspondre à des informations sensibles sur les systèmes de contrôle et d'automatisation industriels des clients de Schneider Electric. Parmi les clients de la branche développement durable de Schneider Electric, il y a plusieurs grandes entreprises comme Walmart, Lexmark, DHL ou encore PepsiCo.
Cette attaque a été orchestrée par le gang de ransomware Cactus, lancé en mars 2023 et particulièrement actif depuis son lancement. En effet, plus de 80 entreprises sont répertoriées sur le site de fuite de données de Cactus !
Ce n'est pas la première fois que Schneider Electric est victime d'une cyberattaque, et la précédente est relativement récente ! En effet, Schneider Electric a déjà subi un vol de données lorsque le gang de ransomware Clop a exploité une faille de sécurité critique dans MOVEit Transfer.
The post Cyberattaque : Schneider Electric, nouvelle victime du ransomware Cactus first appeared on IT-Connect.
Les écossais ont le Loch Ness, et nous, français, nous avons le Locknest, et ce n'est pas qu'une légende ! Et oui, Locknest, c'est le nom d'un nouveau gestionnaire de mots de passe physique. Il vient d'être lancé sur le marché par LockNest Group, une jeune entreprise spécialisée dans la cybersécurité. Présentation de ce produit innovant.
Le Locknest prend la forme d'une grosse clé USB qui tient dans la paume de la main et qui va vous permettre de stocker vos identifiants de façon sécurisée. Le boitier est doté d'un connecteur USB-C et du Bluetooth pour permettre une prise en charge sur divers appareils, tout en étant autonome : il n'y a aucune dépendance au Cloud ! De plus, lorsque le boitier Locknest est éteint, les données qu'il contient sont inaccessibles.
En termes de sécurité, sachez que les données stockées sur le boitier Locknest sont chiffrées avec de l'AES 256 bits, les communications bénéficient du chiffrement de bout en bout, et le boitier s'appuie sur un microcontrôleur sécurisé.
Dans le même esprit qu'un gestionnaire de mots de passe "classique", que ce soit KeePass, ou une autre solution comme Bitwarden, 1Password ou encore LastPass, vous devez déverrouiller votre coffre-fort de mots de passe pour accéder à son contenu. Mais, là, vous oubliez l'utilisation d'un mot de passe maitre très long puisque Locknest nécessite uniquement un code PIN de 7 chiffres !
"Locknest vise à modifier le comportement des utilisateurs en intégrant le moins de complexité possible. Plutôt que de miser sur une révolution technologique, les créateurs de Locknest ont préféré s’attaquer au frein le plus courant : le facteur humain. L’aspect hardware de la solution permet d’absorber une grande partie de la complexité de ce type de solutions, notamment en ne demandant qu’un PIN de 7 chiffres pour le déverrouiller, là où les solutions purement en ligne nécessitent un secret maître long et complexe.", peut-on lire dans le communiqué de presse officiel.
Lorsque l'on utilise le Locknest, tous nos identifiants sont stockés sur ce boitier et uniquement sur celui-ci. Forcément, on s'interroge : que se passe-t-il si le boitier est perdu, volé ou tout simplement s'il ne fonctionne plus ?
Sachez que vous pouvez réaliser un export chiffré de votre coffre-fort, afin d'en avoir une copie externalisée. Pour le moment, c'est à l'utilisateur de trouver une solution fiable et sécurisée pour stocker cette sauvegarde. Toutefois, la feuille de route 2024-2025 de Locknest précise : "ouverture du service de sauvegarde des données sur un serveur sécurisé, privé et français.", qui sera utilisé pour sauvegarder votre coffre-fort, et non pour la lecture des données à chaud.
Par ailleurs, le Locknest intègre un système de verrouillage automatique pour se "mettre en sécurité" et refuser les tentatives de déverrouillage lorsqu'il y a trop de tentatives infructueuses à la suite : "A la manière d’une carte bancaire, Locknest applique une pénalité sous forme de bannissement temporaire à partir de 3 erreurs de secret maître, et ce, jusqu’à ce que le bon secret maître ait été utilisé. Durant ces 10 minutes de bannissement, toute tentative d’ouverture de session sera purement ignorée."
En complément, voici d'autres informations importantes à savoir au sujet de Locknest :
Vous pouvez l'acheter sur le site officiel de Locknest, mais également sur Amazon.fr via ce lien, par exemple.
Sur le marché des clés physiques pouvant assurer la fonction de gestionnaire de mots de passe physique ou de gestionnaire d'identité numérique physique, il y a d'autres alternatives qui sont à prendre en considération. Voici quelques noms :
Qu'en pensez-vous ?
Article mis à jour le 31/01/2024 à 14h45, pour apporter des précisions sur les alternatives existantes au LockNest.
The post Voici Locknest, le tout nouveau gestionnaire de mots de passe physique et il est français ! first appeared on IT-Connect.
Connexion