• Shakerz
  • Posts
  • đŸ”„ "I like to" MOVEit nouveaux rebondissements

đŸ”„ "I like to" MOVEit nouveaux rebondissements

Shake ă€°ïž 24 Juin 2023

June 24, 2023

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

đŸ”„ Nouveaux rebondissements dans l’affaire MOVEit,

DĂ©code l’actu :

đŸ‡ȘđŸ‡ș Des sites web d’institutions bancaires europĂ©ennes touchĂ©s par une cyberattaque,

🇹🇳 Un nouvel APT chinois à la manoeuvre,

đŸ‰ïž Les puces de chiffrement chinoises infiltrĂ©es dans les rĂ©seaux sensibles occidentaux,

🛡 Amazon se lance dans l’assurance cyber,

On t’explique tout ça plus bas.

Retrouve le mag :

🧠 10 recommandations sur l’IA gĂ©nĂ©rative responsable,

😰 94% des CISOs souffrent de stress,

🍋 Des ingrĂ©dients Ă  la carte pour remixer tes propres cocktails cyber Ă  la maison ou au bureau, et, roulement de tambour
 la question de la semaine !

Bonne lecture !

ă€°ïž La reco du barman ă€°ïž

đŸ”„ Nouveaux rebondissements dans l’affaire MOVEit

text

Nous vous en parlions dans le shake du 10 juin, une vulnĂ©rabilitĂ© de type “zero-day” dĂ©couverte dans MOVEit, un logiciel de partage de fichiers sĂ©curisĂ©s avait permis au groupe de cybercriminels Cl0p de voler depuis fin mai, les donnĂ©es de “centaines d’entreprises”.

Jamais deux sans trois

Depuis la dĂ©couverte de la vulnĂ©rabilitĂ© exploitĂ©e par le groupe de ransomware Clop, l’éditeur de l’application MoveIT, n’en finit plus de dĂ©couvrir des vulnĂ©rabilitĂ©s critiques au sein de son application.

Progress Software a annoncĂ© la dĂ©couverte d’une seconde vulnĂ©rabilitĂ© critique par la sociĂ©tĂ© Huntress. SociĂ©tĂ© chargĂ©e par l’éditeur de rĂ©aliser l’audit de code de l’application aprĂšs l’affaire de la premiĂšre vulnĂ©rabilitĂ© dĂ©voilĂ©e dĂ©but juin. Cette faille de type injection SQL facilite la compromission des serveurs accessibles depuis Internet par des attaquants non authentifiĂ©s, leur permettant ainsi de modifier et d'extraire des informations clients. Il n’existe pour l’heure aucune indication que cette faille est actuellement exploitĂ©e.

Comme si cela n’était pas dĂ©jĂ  suffisant, une troisiĂšme vulnĂ©rabilitĂ© a Ă©tĂ© dĂ©couverte dans MOVEit. Cette faille, toujours de type injection SQL, pourrait “entraĂźner une escalade des privilĂšges et un accĂšs non autorisĂ© Ă  l’environnement”. 

Comme pour les prĂ©cĂ©dents cas, la sociĂ©tĂ© demande vivement Ă  ses clients de dĂ©sactiver tout le trafic HTTP et HTTPs vers MOVEit Transfer sur les ports 80 et 443 et indique Ă©galement dans son communiquĂ© qu’ils “doivent appliquer le correctif publiĂ© le 9 juin”.

La liste des victimes ne cesse de s’allonger

Depuis la mi-juin, le groupe de cybercriminels Cl0p ne cesse de faire monter la pression en dévoilant progressivement sur son site web la liste de ses victimes.

À l’heure ou l’on Ă©crit ces lignes, 26 organisations, dont des banques et des universitĂ©s, ont Ă©tĂ© ajoutĂ©es pour tenter d’inciter les victimes Ă  payer la rançon.

Parmi les nouvelles victimes connues, l’on retrouve le gĂ©ant pĂ©trolier Shell qui a depuis confirmĂ© qu’il Ă©tait une victime et Ă©galement Synlab, un fournisseur français de services de diagnostics mĂ©dicaux. Dans un communiquĂ© publiĂ© le 8 juin, l'entreprise, qui possĂšde 400 laboratoires d'analyses mĂ©dicales en France, a confirmĂ© qu'elle Ă©tait effectivement concernĂ©e par la violation. En revanche, “seulement” 4 de ses laboratoires auraient Ă©tĂ© ciblĂ©s.

Wanted : les États-Unis offrent 10 millions de dollars

Des organismes fĂ©dĂ©raux amĂ©ricains, dont l’identitĂ© n’a pas encore Ă©tĂ© rĂ©vĂ©lĂ©e, auraient Ă©galement Ă©tĂ© visĂ©s par le gang de ransomware Clop. Le dĂ©partement de l'Ă©nergie est le seul nom rĂ©vĂ©lĂ© jusqu’à prĂ©sent, mais d’autres devraient suivre prochainement Ă©tant donnĂ© que MOVEit est utilisĂ© par de nombreuses agences.

Alors en consĂ©quence, et peut ĂȘtre par crainte que des informations sensibles soient diffusĂ©es, les États-Unis ont offert une rĂ©compense de 10 millions de dollars pour toute information permettant de relier Ă  un gouvernement Ă©tranger les membres du groupe Clop.

Toutefois, l’agence de cybersĂ©curitĂ© amĂ©ricaine (CISA) se veut rassurante : “D'aprĂšs les discussions que nous avons eues avec nos partenaires industriels au sein du Joint Cyber Defense Collaborative, ces intrusions ne sont pas utilisĂ©es pour obtenir un accĂšs plus large afin de persister dans des systĂšmes ciblĂ©s pour voler des informations spĂ©cifiques de grande valeur”.

Elle recommande néanmoins vivement, dans un avis de sécurité, aux utilisateurs et aux organisations de prendre connaissance de l'avis relatif à MOVEit Transfer, de suivre les étapes d'atténuation et d'appliquer les mises à jour nécessaires lorsqu'elles sont disponibles.

🧠 10 recommandations sur l’IA gĂ©nĂ©rative responsable

C’est le Forum Economique Mondial qui le dit :

ă€°ïž Vos shots ă€°ïž

đŸ‡ȘđŸ‡ș Des sites web d’institutions bancaires europĂ©ennes touchĂ©s par une cyberattaque

Ce lundi 19 juin, le groupe de pirates Killnet a revendiquĂ© sur son compte telegram avoir ciblĂ© l'infrastructure inter-rĂ©seau de la Banque EuropĂ©enne d'Investissement (BEI) et le Fonds EuropĂ©en d'Investissement (FEI). La BEI a confirmĂ© dans un tweet que ses sites web (eib.org et eif.org) ont Ă©tĂ© ciblĂ©s par une cyberattaque qui les a rendu temporairement indisponibles. Il pourrait s’agit d’une cyberattaque liĂ©e Ă  l’annonce, la semaine derniĂšre, d’une campagne de grande ampleur visant des institutions financiĂšres europĂ©ennes.

A l’origine de cette annonce, ce sont des pirates informatiques pro-russes (Anonymous Sudan, Killnet et REvil). En revanche, pour le moment, ces attaques ne sont que de type DDoS. Hormis la perturbation ponctuelle du site web ciblĂ©, ce type d’attaque n’a gĂ©nĂ©ralement que trĂšs peu d’impact sur le volet opĂ©rationnel de l’organisation ciblĂ©e. Un coup de com pro-Russe ?

🇹🇳 Un nouvel APT chinois à la manoeuvre

Une nouvelle campagne d'espionnage impliquant une menace persistante avancée (APT) chinoise a été découverte, avec pour cible les passerelles de sécurité de messagerie (ESG) de Barracuda Networks. Selon les chercheurs en sécurité de la filiale de Google Mandiant, cette APT, nommée UNC4841, a exploité une vulnérabilité zero-day critique (CVE-2023-2868) et utilisé trois portes dérobées distinctes pour exploiter les faiblesses inhérentes aux dispositifs de périphérie. Environ 5 % des ESG actifs de Barracuda dans le monde ont montré des signes de compromission, avec des clients notables tels que CVS Health, IBM et McKesson. Les cibles de cette campagne incluent principalement des organisations gouvernementales, avec plus de la moitié situées en Amérique du Nord, mais également des individus tels que des fonctionnaires et des universitaires d'Asie du Sud-Est. Cette découverte souligne la sophistication croissante des cyberattaques menées par des acteurs soutenus par la République populaire de Chine dans le cadre de leurs efforts d'espionnage.

đŸ‰ïž Les puces de chiffrement chinoises infiltrĂ©es dans les rĂ©seaux sensibles occidentaux

Le gouvernement amĂ©ricain met en garde le fabricant de puces de chiffrement Hualan pour ses liens suspects avec l'armĂ©e chinoise. En 2021, Hualan Microelectronics, aussi connu sous le nom de Sage Microelectronics, basĂ©e Ă  Hangzhou, en Chine, a Ă©tĂ© ajoutĂ©e Ă  la “Entity List” du Bureau de l'industrie et de la sĂ©curitĂ© du ministĂšre amĂ©ricain du commerce en raison de ses actions jugĂ©es contraires aux intĂ©rĂȘts de la politique Ă©trangĂšre amĂ©ricaine, notamment en soutenant la modernisation militaire de l'armĂ©e chinoise.

Malgré les avertissements, une filiale d'Hualan, Initio, entreprise taïwanaise acquise en 2016, est passé entre les mailles du filet et a continué de fournir des puces de chiffrement à des fabricants occidentaux de disques durs chiffrés. Parmi leurs clients figurent des agences aérospatiales, militaires et de renseignement occidentales, ainsi que des organismes gouvernementaux américains tels que la NASA, l'OTAN, l'US Navy et d'autres.

L'utilisation de ces puces chinoises dans des réseaux sensibles soulÚve des préoccupations quant à la possibilité d'une porte dérobée permettant au gouvernement chinois d'accéder clandestinement aux secrets des agences occidentales. Bien qu'aucune porte dérobée n'ait encore été découverte, les chercheurs en sécurité et analystes de sécurité mettent en garde contre la difficulté de détecter une telle menace.

🛡 Amazon se lance dans l’assurance cyber

Amazon, le gĂ©ant du e-commerce manifeste depuis quelques annĂ©es un intĂ©rĂȘt croissant pour le secteur de l'assurance. AprĂšs avoir Ă©largi, avec un succĂšs mitigĂ©, ses activitĂ©s aux domaines de la santĂ©, de l'e-santĂ©, des assurances professionnelles et de la comparaison de contrats d'habitation, le groupe amĂ©ricain se lance dĂ©sormais dans l’assurance cyber. 

Amazon Web Services (AWS), la division cloud d'Amazon, a annoncĂ© le lancement de son programme de cyber assurance lors de sa confĂ©rence dĂ©diĂ©e au cloud et Ă  la sĂ©curitĂ© “re:Inforce 2023”. Actuellement, l’offre d’assurance d’Amazon est proposĂ©e en partenariat avec 3 assureurs et courtiers amĂ©ricains (Cowbell, Marsh et Resilience). D’autres acteurs de l’assurance devraient rejoindre le programme trĂšs prochainement.

D’aprĂšs les premiĂšres informations, l’offre d’Amazon va se concentrer d’abord sur les petites et moyennes entreprises, une cible gĂ©nĂ©ralement sous-Ă©quipĂ©e en matiĂšre de protection cyber. Pour l’heure, cette offre d’assurance est uniquement disponible aux États-Unis. Si le succĂšs est au rendez-vous, cette offre d’assurance pourrait se dĂ©velopper Ă  l’international.

ă€°ïž DĂ©gustation ă€°ïž

😰 94% des CISOs souffrent de stress liĂ© au travail

La santĂ© mentale est depuis longtemps au centre des prĂ©occupations de nombreuses organisations. Cependant, les CISOs, qui ont pour rĂŽle principal la protection de leur organisation, ont souvent tendance Ă  minimiser ou Ă  nier les problĂšmes de stress liĂ©s au travail. Pour mieux comprendre le niveau de stress des CISOs d'aujourd'hui, Cynet a menĂ© une enquĂȘte auprĂšs de 200 CISOs Ă  temps plein basĂ©s aux États-Unis et au Royaume-uni.

À retenir :

  • 94% des CISOs ressentent du stress au travail.

  • 74% des CISOs affirment que, au cours de l’annĂ©e 2022, des membres de l’équipe de sĂ©curitĂ© ont quittĂ© leur poste en raison du stress liĂ© Ă  leur travail.

  • Les taux de renouvellement des Ă©quipes de sĂ©curitĂ© ne font qu'exacerber une situation dĂ©jĂ  stressante.

  • D'aprĂšs 77% des CISOs, les initiatives importantes sont souvent nĂ©gligĂ©es en raison de la limitation de la bande passante de la direction ou du manque de ressources.

  • 93% des CISOs dĂ©clarent accorder plus de temps qu'ils ne le devraient aux tĂąches tactiques. De plus, dans 27% des cas, les CISOs consacrent la majoritĂ©, voire la totalitĂ© de leur temps, aux tĂąches tactiques et opĂ©rationnelles plutĂŽt qu'aux tĂąches stratĂ©giques et de gestion. Ces chiffres suggĂšrent que ces CISOs sont probablement incapables de suivre le rythme des Ă©volutions constantes du paysage des menaces.

  • PlutĂŽt que de mettre en place des mesures proactives pour garantir la sĂ©curitĂ© de leur entreprise, les responsables de la sĂ©curitĂ© se retrouvent souvent Ă  Ă©teindre des incendies et Ă  rĂ©agir Ă  des situations qui auraient pu ĂȘtre Ă©vitĂ©es si les bonnes personnes et les bons outils avaient Ă©tĂ© mis en place.

  • Parmi les CISO, 65% affirment que leur capacitĂ© Ă  protĂ©ger leur organisation est compromise en raison de la surcharge de travail et du stress.

ă€°ïž Cul sec - La question ă€°ïž

đŸ”” Qu’est-ce que le Media Freedom Act ?

A - Une loi américaine qui vise à protéger la liberté de la presse.

B - Un projet de loi sur la libertĂ© de la presse au sein de l’Union EuropĂ©enne.

C - Une projet de loi européen pour réguler les médias sociaux et restreindre la liberté d'expression en ligne.

D - Une loi européenne encourageant la monopolisation des médias par de grandes entreprises.

—> RĂ©ponse Ă  la sortie du bar.

ă€°ïž À La carte ă€°ïž

🚹 VulnĂ©rabilitĂ©s - Dans un avis de sĂ©curitĂ© publiĂ© ce lundi 19 juin, ASUS a avert les utilisateurs de plusieurs modĂšles de routeurs de mettre Ă  jour immĂ©diatement leur firmware pour corriger neuf vulnĂ©rabilitĂ©s de sĂ©curitĂ©, dont deux particuliĂšrement critiques.

🕾 Radar - le radar 2023 des startups cybersĂ©curitĂ© en France rĂ©alisĂ© par Wavestone en partenariat avec Bpifrance est sorti. MalgrĂ© un contexte Ă©conomique incertain, la dynamique 2023 en matiĂšre de crĂ©ation de startups et de levĂ©e de fonds est toujours positive.

👼 Arrestation - Le ministĂšre de la justice amĂ©ricain a annoncĂ© l’inculpation du ressortissant russe Ruslan Magomedovich Astamirov, pour son rĂŽle dans le dĂ©ploiement de rançongiciels LockBit et d'autres cyberattaques Ă  l'Ă©chelle mondiale. En 6 mois, il s’agit de la deuxiĂšme arrestation liĂ©e Ă  LockBit.

🩠 Malware - Une nouvelle variante du logiciel malveillant ChromeLoader, baptisĂ©e "Shampoo" se propage sur des sites web proposant des produits piratĂ©s et exploite des mĂ©canismes de persistance uniques selon les chercheurs de HP Wolf Security.

⚖ Loi - C’est officiel, le parlement europĂ©en vient de valider le projet de loi interdisant les batteries soudĂ©es sur les smartphones. On va enfin pouvoir remplacer sa batterie lorsque celle-ci ne dĂ©livre plus la performance attendue.

ă€°ïž Cul sec - RĂ©ponse ă€°ïž

RĂ©ponse B - Un projet de loi sur la libertĂ© de la presse au sein de l’Union EuropĂ©enne

Le Media Freedom Act a Ă©tĂ© annoncĂ© en septembre 2022 pour renforcer l’indĂ©pendance Ă©ditoriale, limiter la concentration des mĂ©dias et empĂȘcher l’utilisation de logiciels espions contre les mĂ©dias en Europe.

Cependant, lors de sa prĂ©sentation au Parlement europĂ©en ce mercredi 21 juin, l’article 4, qui devait empĂȘcher la surveillance Ă©lectronique des mĂ©dias, des journalistes, de leurs sources et de leurs proches, a Ă©tĂ© modifiĂ© pour inclure une clause permettant aux États membres de s’y soustraire au nom de la “sĂ©curitĂ© nationale”.

Cette modification a Ă©tĂ© critiquĂ©e par une soixantaine d’ONG qui ont signĂ© une lettre ouverte aux reprĂ©sentants des États membres. Selon certaines associations, la France aurait jouĂ© un rĂŽle important dans la rĂ©Ă©criture de cet article de loi, avec le soutien des Pays-Bas, de la RĂ©publique tchĂšque et de la GrĂšce.

Le texte n’en est pas encore Ă  sa version dĂ©finitive. Celui-ci doit encore faire l’objet de nĂ©gociations en trilogue (le Parlement, le Conseil et la Commission) aprĂšs son examen par le Parlement europĂ©en.

ă€°ïž Digestif ă€°ïž

đŸ„ł Quand TikTok fait de nos enfants des gĂ©nies crĂ©atifs

Merci d’ĂȘtre passĂ© ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser Ă  tous la culture de sĂ©curitĂ© et responsabilitĂ© digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors
 👇👇👇

Des questions ou un avis Ă  partager ? C’est simple, il suffit de rĂ©pondre Ă  cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”

Reply

or to participate.