Les entreprises sont les cibles d’attaques cyber toujours plus complexes. Les solutions existent, et le maître mot en la matière reste la complémentarité. Mais pour bien gérer ces outils  parfois très complexes, le recours à un service managé peut s’avérer indispensable.

The post EDR et MDR : l’externalisation, solution de gestion efficace des outils de sécurité des entreprises first appeared on UnderNews.

Le nouvel ennemi public numéro 1, alias Omicron, a visiblement donné des idées aux pirates puisqu'une nouvelle campagne de phishing essaie de tromper les utilisateurs en offrant la possibilité d'avoir un test PCR gratuit.

Le variant Omicron de la Covid-19 fait beaucoup parler de lui depuis la semaine dernière, et les pirates informatiques n'ont pas mis longtemps à réagir et à actualiser le contenu de leurs campagnes de phishing pour prendre en considération ce nouveau sujet tendance. Puisque même les personnes vaccinées pourraient être vulnérables à ce nouveau variant, utiliser l'Omicron comme sujet pour les campagnes de phishing devrait être une bonne idée.

La nouvelle campagne de phishing relayée par le magazine britannique Which montre deux modèles d'e-mails utilisés par les pirates. L'idée est de faire croire que cet e-mail provient des services de santé publics britanniques, à savoir le National Health Service (NHS). L'objectif est clair : en cliquant sur le lien contenu dans cet e-mail, vous pouvez obtenir un test PCR gratuit et ainsi contourner les restrictions. Pour essayer de gagner la confiance de l'utilisateur, l'adresse e-mail utilisée pour envoyer l'e-mail est "[email protected]".

En cliquant sur le lien contenu dans l'e-mail, l'utilisateur est redirigé vers un faux site du NHS. Ensuite, il doit saisir son nom et prénom, sa date de naissance, son adresse e-mail, son numéro de téléphone et son adresse postale ! Une fois que c'est fait, il est tout de même demandé de payer 1.24£, soit 1.46€, pour couvrir les frais d'envoi des résultats du test PCR. En plus de récupérer de nombreuses informations personnelles, l'objectif est de récupérer les numéros de carte bancaire de la victime.

Pour les personnes qui habitent en France, cet e-mail n'a pas trop de sens, car il émane du NHS et en plus il est rédigé en anglais. Mais, il ne faut pas se voiler la face : ce type d'e-mail de phishing devrait finir par arriver en France, si ce n'est pas déjà fait.

Si vous avez connaissance d'une campagne de phishing dans le même esprit que celle-ci, n'hésitez pas à partager l'information avec un commentaire.

Source

The post Nouvelle campagne de phishing Omicron : obtenez un test PCR gratuit ! first appeared on IT-Connect.

Vous avez entendu parler de la double authentification, mais vous n’êtes pas certains de ce dont il s'agit ou de comment la mettre en place ? Pas de panique, ce petit outil de sécurité est facile à adopter et peut venir sous différentes formes. [Lire la suite]

Abonnez-vous à notre chaîne YouTube pour ne manquer aucune vidéo !

L'article SMS, apps, empreintes : quelles méthodes de double authentification choisir ? est apparu en premier sur Numerama.

Le CyberScore doit entrer en vigueur en 2023. Le texte de loi qui organise ce barème semblable au NutriScore est encore en cours d'examen au Parlement. Que faut-il en retenir ? [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article CyberScore : 5 points à connaître sur la future note de sécurité des sites est apparu en premier sur Numerama.

Selon une étude de ThycoticCentrify, 57 % des entreprises ont été victimes d’incidents de sécurité liés à la divulgation de secrets DevOps. Une enquête commandée à Forrester révèle que la centralisation des secrets et l’utilisation d’outils cohérents sont la clé pour protéger les innovations dans DevOps.

The post 57 % des entreprises ont été victimes d’incidents de sécurité liés à la divulgation de secrets DevOps first appeared on UnderNews.

Le malware Emote se propage actuellement sous la forme d'un package d'installation Windows permettant d'installer la liseuse de PDF Adobe.

Emotet est un botnet/malware très connu, car il est très répandu, et en début d'année 2021, on apprenait qu'Europol avait pris le contrôle de l'infrastructure d'Emotet et que la police avait pu démanteler le réseau. Sauf qu'il y a deux semaines environ, Emotet est de nouveau entré en activité, dans une nouvelle version !

Pour être distribué, il s'appuie principalement sur deux méthodes : les e-mails d'hameçonnage et les pièces jointes malveillantes. Dès lors qu'il est en place sur un ordinateur, il va récupérer des adresses e-mails dans la boite aux lettres de la victime pour diffuser des e-mails malveillants et chercher à se propager toujours un peu plus. Quant à l'ordinateur déjà compromis, il y a de fortes chances pour qu'un ransomware soit exécuté en guise de charge utile. Cela peut-être TrickBot ou Qbot.

L'e-mail envoyé par Emotet n'est pas le premier d'une conversation. Au contraire, le malware reprend l'une de vos conversations existantes avec l'un de vos contacts et essaie de la poursuivre, en incitant le destinataire à cliquer sur un lien. En cliquant sur le lien, on se retrouve sur une fausse page Google Drive avec un bouton pour prévisualiser le document.

En vérité, le lien qui se cache sur ce document est particulier puisqu'il s'agit d'un lien "ms-appinstaller" où l'objectif est de charger un package d'installation hébergé sur Microsoft Azure. Par exemple, le lien peut-être "ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller".

Si l'on cherche à installer le paquet, Windows demande une confirmation. Lorsque l'on regarde les informations, tout porte à croire que le paquet est sain et officiel, notamment parce que l'éditeur est "Adobe Inc" et qu'il y a l'icône de l'application. Malheureusement, ce n'est pas Adobe PDF qui est en cours d'installation, mais Emotet. En cas de validation, le malware sera téléchargé sur votre poste et une DLL sera stockée dans le dossier "temp" de votre profil utilisateur. En complément, elle sera stockée avec un nom aléatoire dans le répertoire AppData/Local du profil.

Une clé de Registre est ajoutée (dans "HKCU\Software\Microsoft\Windows\CurrentVersion\Run") de manière à exécuter automatiquement la DLL lorsque l'utilisateur ouvre sa session.

Emotet pourra ensuite agir sur votre machine, avec de fortes chances pour que cela se termine par l'exécution d'un ransomware...

Source

The post Emotet se propage sous la forme d’un paquet d’installation Adobe PDF first appeared on IT-Connect.

Kaspersky, un des leaders en sécurité informatique et confidentialité numérique, vient de lancer une politique globale de cybersécurité pour les personnes équipées de dispositifs bioniques. Une première mondiale qui vise à améliorer le bien-être des individus tout en diminuant les risques de sécurité associés.

The post Kaspersky développe une politique de cybersécurité pour les personnes équipées de dispositifs bionique first appeared on UnderNews.

Aujourd'hui, une entreprise moyenne utilise plus de 2 000 applications et services Cloud. Ce nombre est amené à croître à mesure que les entreprises prendront conscience des avantages de ces services collaboratifs en termes d'efficacité et de flexibilité. Mais l'utilisation d'applications basées sur le cloud implique certains risques.

The post Comment mettre fin au Shadow IT et garantir la sécurité des données grâce aux applications Cloud ? first appeared on UnderNews.

Les chercheurs en sécurité de chez F-Secure ont découvert deux failles de sécurité au sein des appareils multifonctions (MFP) de chez HP, et cela concerne au moins 150 modèles différents.

Alexander Bolshev et Timo Hirvonen, deux chercheurs en sécurité de chez F-Secure, ont découvert deux failles de sécurité au sein des appareils multifonctions HP. Ces failles remontent au moins à 2013 et donc pendant tout ce temps, les utilisateurs étaient exposés à des cyberattaques. Néanmoins, les chercheurs de F-Secure n'ont pas connaissance d'attaques où les hackers ont exploité ces failles de sécurité.

HP est au courant de ces vulnérabilités depuis le 29 avril 2021, suite aux informations remontées par F-Secure.

C'est quoi ces failles ? Comment protéger son imprimante ?

Ces failles de sécurité sont identifiables avec les références CVE suivantes :

• CVE-2021-39237
• CVE-2021-39238

La vulnérabilité CVE-2021-39237 nécessite un accès physique à l'imprimante pour être exploitée. En exploitant cette vulnérabilité, l'attaquant peut récupérer des informations.

La seconde vulnérabilité, CVE-2021-39238, est une faille de type "buffer overflow" et elle est un peu plus sévère, ce qui se traduit par un score CVSS de 9.3 contre 7.1 pour la première faille. En exploitant cette faille, l'attaquant peut effectuer une exécution de code à distance afin de prendre le contrôle du MFP.

Plusieurs scénarios d'attaques sont envisageables. F-Secure expose le scénario présent sur l'image ci-dessous, où un utilisateur se fait piéger en visitant un site malveillant, et ce même site exploite la vulnérabilité sur l'imprimante ciblée, ce qui lui permet de prendre le contrôle de cette imprimante et ensuite de récupérer les informations qui transitent par l'imprimante, voire même de progresser sur le réseau de la victime.

La bonne nouvelle c'est que le 1er novembre 2021, HP a publié des correctifs pour ces deux vulnérabilités critiques sous la forme de mises à jour de firmware (micrologiciel de l'imprimante).

Quels sont les modèles affectés ?

La liste des modèles est très longue, il y a des modèles HP LaserJet, HP PageWide, HP ScanJet, etc. Je vous invite à utiliser les liens ci-dessus pour consulter la liste des appareils affectés directement sur le site HP.

Une fois sur le site HP, il vous suffit de cliquer sur le lien "Affected products" pour afficher la liste.

Au-delà de la mise à jour du firmware...

Pour se protéger plus largement contre les vulnérabilités qui touchent les imprimantes, et au-delà d'appliquer les mises à jour de firmware, voici quelques recommandations partagées à cette occasion :

• Désactiver l'impression via USB
• Positionner les imprimantes sur un VLAN séparé, derrière un firewall
• Autoriser uniquement les connexions sortantes depuis les imprimantes vers certaines adresses IP ou VLANs (donc pas vers Internet)
• Déployer un serveur d'impression pour la communication entre les imprimantes et les postes de travail

Voici le lien vers le document "HP Printing Security Best Practices" pour creuser le sujet.

Source

The post HP : 150 modèles d’imprimantes affectés par 2 vulnérabilités vieilles de 8 ans first appeared on IT-Connect.

2022 arrive dans quelques semaines, mais les risques venant des cyberattaques restent élevés. Voici les prédictions de Regis Alix, Senior Principal Solutions Architect de Quest Software, fournisseur mondial de logiciels de gestion des systèmes et de sécurité, sur les attaques par ransomwares et celles via la chaîne d’approvisionnement.

The post Prédictions 2022 : les attaques par ransomwares et via la chaîne d’approvisionnement resteront élevées first appeared on UnderNews.

Belle infographie récapitulant une enquête menée par Cegedim Outsourcing et son partenaire SentinelOne sur 101 décideurs IT du 5/07/2021 au 2/09/2021.

The post Infographie Tendances Cybersécurité 2021 first appeared on UnderNews.

Pour les entreprises du secteur financier, la pandémie de Covid-19 a accéléré l’adoption des systèmes d’information distribués. Mais, face à la complexité croissante de gestion de ce type d’architecture réseau, de nombreux Responsables de la Sécurité des systèmes d’Informations (RSSI) ont du mal à les sécuriser efficacement.

The post Savoir gérer une architecture réseau distribuée, un impératif pour sécuriser les entreprises du secteur financier first appeared on UnderNews.

La course effrénée des cadeaux de Noël a débuté pour de nombreux Français ce vendredi 26 novembre à l’occasion du traditionnel Black Friday. Toutefois, ce week-end de promotion n’a pas seulement ravi les Français et les commerçants/e-commerçants puisqu’il a également ouvert la boîte de Pandore pour certains cybercriminels, avides des données sensibles de ces derniers.

The post Quand les cybercriminels s’invitent dans nos achats de cadeaux de Noël first appeared on UnderNews.

Kaspersky dévoile une nouvelle formation dédiée aux analystes malware dans un contexte où l’externalisation de la cybersécurité est motivée par le manque d’expertise. Selon le rapport annuel de Kaspersky sur l'économie de la sécurité informatique, près de la moitié des PME (44 %) et des grandes entreprises (50 %) européennes (contre respectivement 52 % et 56 % dans le monde) ont indiqué que le « besoin d'une expertise spécialisée » était pour elles la première raison de faire appel à des tiers pour leur sécurité en 2021.

The post Kaspersky dévoile une nouvelle formation dédiée aux analystes malware first appeared on UnderNews.

Nos smartphones ne restent rarement plus de quelques années entre nos mains avant de finir au placard. Pourtant, la durée de vie d’un téléphone peut largement dépasser les 2 à 3 ans qu’on leur accorde. Un téléphone n’est pas forcément vieux au bout de quelques dizaines de mois. [Lire la suite]

Voitures, vélos, scooters... : la mobilité de demain se lit sur Vroom ! https://www.numerama.com/vroom/vroom//

L'article Mon téléphone est-il « vieux » ? est apparu en premier sur Numerama.

À peine 30 minutes, c'est le temps qu'il faut aux pirates dans certains cas pour repérer et compromettre un serveur vulnérable mis en ligne sur Internet.

Vous n'êtes pas sans savoir que Google propose aux entreprises d'héberger leurs serveurs au sein de Google Cloud Platform, comme d'autres hébergeurs : OVHcloud, Microsoft Azure, Amazon AWS, etc... Les chercheurs en sécurité de chez Google Threat Intelligence ont analysé de près les serveurs compromis et hébergés chez Google. Suite à cette analyse, ils ont pu constater qu'un serveur vulnérable est généralement piraté en quelques heures à peine, tandis que dans certains cas, c'est beaucoup plus rapide : moins de 30 minutes !

Il s'avère que les adresses IP publiques sont continuellement scannées par les pirates, à l'aide d'outils automatiques, afin de détecter les instances cloud vulnérables. Les experts de Google vont même plus loin et affirment : "la question n'est pas de savoir si une instance Cloud vulnérable sera détectée, mais plutôt à quel moment".

Ces serveurs sont vulnérables, car la configuration est mauvaise ! Dans 48% des cas, c'est un mot de passe faible qui est à l'origine du piratage ! Ensuite, dans 26% des cas c'est une faille de sécurité qui est exploitée et dans 12% des cas, c'est un problème de configuration.

La question que l'on peut se poser, c'est : que se passe-t-il une fois que le serveur est compromis ?

Et bien, dans une grande majorité des cas, 86% pour être précis, le serveur est utilisé pour miner des cryptomonnaies. Il est fort probable qu'une grande partie de ce processus de compromission, de la détection à l'installation du logiciel de minage, soit automatisé. En effet, dans 58% des cas observés, il y a moins de 30 secondes entre le moment où le serveur est compromis et le moment où le logiciel de minage est installé.

Sinon, le serveur compromis peut être utilisé à d'autres fins : réaliser des scans de ports vers d'autres serveurs (10%), effectuer des attaques contre d'autres serveurs exposés sur Internet (8%) ou encore héberger des logiciels malveillants (6%).

Retrouvez le rapport complet de Google sur cette page : Google - Threat Horizons

The post Un serveur Cloud vulnérable peut être détecté et compromis en 30 minutes first appeared on IT-Connect.

Un nouveau Cheval de Troie d'accès à distance baptisé CronRAT et conçu pour les serveurs Linux cible les boutiques en ligne dans l'objectif de voler des données de carte de paiement.

Découvert par les chercheurs en sécurité de Sansec, le Cheval de Troie de type RAT (Remote Access Trojan), CronRAT, est particulièrement sophistiqué et doté de techniques de furtivité inédites. En effet, CronRAT génère différentes lignes dans le système de planification "cron" du serveur Linux compromis. Ce qui est étonnant, c'est que les lignes ajoutées sont prévues pour s'exécuter le 31 février : une date inexistante. La syntaxe des lignes ajoutées à la crontab sont valides, mais l'exécution de ces tâches génère une erreur. Néanmoins, cela ne se produira pas puisque le 31 février n'existe pas.

Le code du malware est caché au sein du nom des tâches et il bénéficie d'une multitude de couches de compression et du décodage en base64. Il s'agirait d'un malware codé en bash. Les chercheurs de Sansec précisent qu'il dispose de fonction d'autodestruction, de modulation du temps et d'un protocole binaire particulier pour communiquer via le port 443/TCP avec un serveur de contrôle distant.

D'après Sansec, CronRAT n'est pas détecté par les autres fournisseurs de sécurité, en tout cas pour le moment, et que pour le détecter, ils ont du réécrire une partie de leur algorithme eComscan. Sur le site d'analyse VirusTotal, les résultats sont inquiétants : 12 moteurs antivirus ont été incapables d'analyser le fichier malveillant, et pour ceux qui ont pu l'analyser, il y en a 58 qui ne l'ont pas détecté comme une menace.

Lorsque CronRAT est en place sur un site d'e-commerce, il va être en mesure de capturer les coordonnées bancaires avant qu'elles soient chiffrées, sans être détecté par les solutions de sécurité. On parle d'attaques de type Magecart. C'est pour cette raison que l'on parle d'un Cheval de Troie d'accès à distance, car il n'est pas présent directement sur le poste de la victime.

Source

The post CronRAT : un malware Linux qui est configuré pour s’exécuter le 31 février first appeared on IT-Connect.

La reconnaissance faciale consiste à identifier une personne au moyen d’une image ou d’une vidéo de son visage. La technologie recueille un ensemble de données biométriques uniques pour identifier, vérifier ou authentifier une personne. Contrairement à d’autres solutions d’identification telles que les mots de passe, la vérification e-mail ou l’identification des empreintes digitales, la reconnaissance faciale biométrique utilise des modèles mathématiques et dynamiques qui positionnent ce système comme l’un des plus sûrs.

The post Les grands principes de la reconnaissance faciale : fonctionnement et sécurité first appeared on UnderNews.

L’antivirus de Windows 10 et 11, Windows Defender fait partie des meilleures solutions de sécurité. AV-TEST lui octroie la note maximale.

The post Windows 10 et 11, quel est le meilleur antivirus ? Windows Defender décroche la note maximale appeared first on GinjFo.