📱 Le plus gros opérateur telco des USA s'est fait voler ses données

Salut 👋, j'espère que ta semaine se passe bien ! Prépare-toi à savourer THE cocktail d'actus cyber et digitales, ça va pulser !

Au programme :

La Suggestion du Barman : 📱 Violation massive de données chez AT&T
En Image : 💵 Comment les grandes entreprises du numérique dans l’IA générative ✨
Vos shots :
🇸🇬 Les banques de Singapour doivent abandonner les mots de passe à usage unique ✨
🎣 Des attaquants détournent les outils de protection des e-mails pour envoyer des liens de phishing ✨
🗼 Protocole SS7 : la menace silencieuse qui pèse sur les télécommunications mondiales ✨
🤫 Des chercheurs démontrent une technique pour éviter d'être pisté grâce au Bluetooth ✨
Pétillant : 💡 Enseignements d’une évaluation menée par la CISA contre une organisation de la branche exécutive civile fédérale
Digestif : 🌐 Un expert en cybersécurité se paye Snowflake et réinvente sa page d’accueil ✨

✨Réservé aux membres Premium

📱 Violation massive de données chez AT&T

AT&T a révélé vendredi 12 juillet une violation de données importante touchant environ 109 millions de comptes clients américains, actuels et passés. Le journal des appels et des textos a été téléchargé illicitement. Si, fort heureusement, les contenus des échanges ne sont pas disponibles, savoir avec quel numéro vous échangez (médecin spécialiste, relation, partenaire d’affaires…) peut tout de même poser de sérieux problèmes de protection de la vie privée.

Une gestion de crise et des pratiques de sécurité qui posent question

En mai 2024, AT&T aurait payé une rançon de 370 000 dollars (5,7 Bitcoins) pour s'assurer que les données volées soient supprimées. Des preuves de la transaction ont été apportées par Wired, grâce à un outil de suivi en ligne de la blockchain et par un chercheur en sécurité connu sous le nom de Reddington, qui a agi comme intermédiaire entre AT&T et le pirate. Pour autant, les données vont-elles un jour émerger ailleurs sur le dark web ?

La violation interroge également sur les politiques de conservation des données en vigueur chez AT&T. En effet, les données compromises lors de l’incident incluent des enregistrements datant de mai 2022. Pendant quel délai les entreprises de télécommunications devraient-elles conserver les journaux de communication ?

Cet incident pourrait être l’élément déclencheur obligeant les entreprises à réévaluer leurs politiques de conservation (et donc de purge) pour réduire les risques.

En amont, une vulnérabilité de fournisseurs qui, en aval, touche aussi les partenaires de AT&T

La violation de données chez AT&T, le plus grand opérateur de télécommunications des États-unis, et opérateur historique, a mis en lumière les vulnérabilités des comptes cloud mal sécurisés. AT&T fait partie des plus de 150 entreprises dont les données ont été volées lors des attaques sur des comptes Snowflake mal sécurisés en avril et mai 2024. Cet incident souligne la nécessité de mesures de sécurité strictes et d'une surveillance continue lorsque des données sensibles sont stockées en dehors du contrôle direct de l'entreprise.

Alors que les clients directs d'AT&T sont touchés, la violation affecte également les clients de divers opérateurs de réseaux mobiles virtuels (MVNO) comme Boost Mobile, Cricket et H2O Wireless, qui dépendent de l'infrastructure d'AT&T. L'interconnexion des services de télécommunication et les effets en cascade qu'une violation peut avoir sur différents prestataires de services est bien souvent sous estimée.

Pour AT&T comme de nombreuses entreprises, le début d’une nécessaire refondation de la cybersécurité dans un contexte data intensif

AT&T fait également face à des défis juridiques, y compris de possibles recours collectifs (class action) de la part des clients affectés. Aussi, la pression du gendarme américain des télécommunications va augmenter : la Federal Communications Commission (FCC) a annoncé lancé sa propre enquête sur la violation de données.

À la lumière de cette violation, AT&T et d'autres fournisseurs de télécommunications, ainsi que d'autres secteurs manipulant de grands volumes de données consommateurs, doivent réévaluer leurs cadres de sécurité pour atténuer les risques futurs et restaurer la confiance du public. Les clients, quant à eux, doivent être plus conscients des pratiques de sécurité de leurs fournisseurs de services et plaider pour des mesures de protection des données plus solides.

💡 Quand la CISA simule des attaques contre le gouvernement fédéral américain. Les enseignements.

L'Agence de Cybersécurité et de Sécurité des Infrastructures (CISA) vient de publier les enseignements issus d’une évaluation réalisée début 2023 en “red team”. L'évaluation a simulé, sans notifier préalablement l’organisation concernée, des opérations d’attaques par un État-nation. Cela pour évaluer la posture de sécurité de l'organisation et améliorer ses capacités de détection, de réponse et de chasse des menaces (threat hunting).

Les mesures défensives de l'organisation étaient insuffisantes pour détecter les activités de l'équipe rouge.

1. En février 2023, l’équipe a utilisé un bug (CVE-2022-21587, pourtant révélé en octobre 2022, et reconnu comme facile à exploiter par les attaquants) pour entrer dans un système Solaris et l’a contrôlé en ouvrant des ports SSH non standards.

2. Les mots de passe faibles et l’absence de système de connexion centralisé leur ont permis de se déplacer facilement dans le réseau.

3. Des emails de phishing ont donné accès au système Windows, et les mots de passe faibles des comptes de service ont permis un contrôle complet.

4. Ils ont trouvé et utilisé des connexions de confiance avec des organisations partenaires pour étendre leur attaque.

5. Pour éviter d’être détectés, ils ont caché des fichiers, modifié les horodatages et imité l’activité normale du réseau.

La CISA propose les enseignements suivants, utiles à toute organisation.

1. Défendre le réseau : déployer des pare-feu de réseau, des inspections approfondies de paquets et restreindre l’accès à Internet sortant pour renforcer la sécurité.

2. Segmenter le réseau et surveiller les accès : mettre en œuvre une segmentation robuste du réseau et surveiller régulièrement les accès privilégiés pour protéger les parties sensibles.

3. Plans de réponse aux incidents : développer et mettre en œuvre des plans de réponse aux incidents complets et effectuer des exercices et des simulations réguliers pour être prêts en cas d’attaque.

4. Améliorer les logiciels : éliminer les mots de passe par défaut et fournir une journalisation complète sans frais supplémentaires pour améliorer la sécurité des logiciels, en relation avec les fournisseurs de SIEM et SOAR

5. Valider les contrôles de sécurité : tester continuellement les contrôles de sécurité par rapport au cadre MITRE ATT&CK et ajuster les programmes de sécurité en fonction des données de performance.

Pour diffuser la culture cyber et digitale, partage ce Shake autour de toi 👐

À samedi pour la Carte Cyber ! ✌️