⛈️ Microsoft expose 38 To de données sensibles

Salut 👋, voici ton digest du digital et de la cyber pour cette semaine.

À la une :

⛈️ Microsoft expose par erreur 38 To de données privées,

Décode l’actu :

🇦🇺 HWL Ebsworth : 65 agences gouvernementales australiennes touchées par une cyberattaque,

🎰 Une cyberattaque met au tapis les casinos et hôtels MGM Resorts,

🔓 Google Authenticator aggrave une récente intrusion d’une entreprise,

🇮🇷 Des milliers d’entreprises victimes de pulvérisation généralisée de mots de passe par des pirates iraniens,

On t’explique tout ça plus bas.

Retrouve le mag :

🦅 FIN12 : Focus sur le groupe cybercriminel aux multiples rançongiciels,

👠 Les violences numériques au cœur des priorités de l’ONU femmes,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, devine quoi… la question de la semaine.

〰️ La reco du barman 〰️

⛈️ Microsoft expose par erreur 38 To de données sensibles et privées

Près de 3 ans plus tard, une fuite de données concernant la division de recherche en IA de Microsoft a été découverte par la société Wiz, spécialisée dans la sécurité des données Cloud.

Cette fuite a été rendue possible par un employé de Microsoft, qui a partagé par inadvertance l'URL d'un espace de stockage Azure Blob mal configuré et excessivement permissif. Cette erreur a ainsi exposé un énorme espace de stockage de 38 To contenant des données sensibles.

Cette brèche a rendu accessibles des secrets de développement, notamment des mots de passe pour des services Microsoft, plus de 30 000 messages internes de Microsoft Teams provenant de 359 employés de Microsoft et des sauvegardes d’informations personnelles appartenant à des employés.

La société Wiz a signalé cet incident, lié à l'utilisation d'une fonctionnalité de Microsoft Azure appelée "jeton SAS" (Shared Access Signature) qui permet aux utilisateurs disposant d'un lien d'accéder à un référentiel de données normalement privé. Cependant, le lien en question était mal configuré, donnant accès à l'ensemble de l'instance de stockage privée, et rendant ainsi publics les fichiers et données sensibles.

Ami Luttwak, CTO et cofondateur de Wiz, souligne les risques liés aux erreurs de sécurité lors de l'utilisation de ces liens SAS, et met en garde contre les conséquences potentiellement graves de ces vulnérabilités.

Les services de stockage cloud de plus en plus menacés

Au cours des cinq dernières années, les services de stockage proposés par les principaux fournisseurs de cloud sont devenus une cible majeure pour les chercheurs en sécurité et les attaquants.

En 2017, deux espaces de stockage (Bucket) S3 d'Amazon Web Services (AWS) ont divulgué des données sensibles concernant d'anciens combattants américains et des millions d'abonnés à Time Warner Cable. En 2020, une mauvaise configuration d'un autre Bucket S3 a exposé un demi-million de documents liés à une application financière.

Microsoft Azure n’a pas été épargné : plus récemment, l'année dernière, une entreprise de sécurité a découvert que des données sur des clients potentiels pouvaient avoir été compromises en raison d'une mauvaise configuration d'un point de terminaison de stockage dans le cloud.

〰️ En image 〰️

🦅 FIN12 : Focus sur le groupe cybercriminel aux multiples rançongiciels

Le 18 septembre 2023, le CERT-FR, opéré par l'ANSSI, a émis un rapport concernant le groupe de rançongiciel FIN12, qu'il a identifié comme étant à l'origine de l'attaque perpétrée contre le Centre Hospitalier Universitaire de Brest en mars 2023.

“Les opérateurs du MOA FIN12 seraient ainsi responsables d’un nombre conséquent d’attaques par rançongiciel sur le territoire français. Entre 2020 et 2023, ils auraient utilisé les rançongiciels Ryuk et Conti, avant de prendre part aux programmes de Ransomware-as-a-Service (RaaS) des rançongiciels Hive, BlackCat et Nokoyawa. Ils auraient également utilisé les rançongiciels Play et Royal”, ajoute l‘Agence.

〰️ Vos shots 〰️

🇦🇺 HWL Ebsworth : 65 agences gouvernementales australiennes victimes indirectes d’une cyberattaque

Ce lundi 18 septembre, le Coordinateur National de la Cybersécurité, le Maréchal de l'Air Darren Goldie, a indiqué que 65 ministères et agences du gouvernement australien ont été touchées par l’attaque de rançongiciel contre le cabinet d'avocats HWL Ebsworth en avril dernier.

Ces 65 agences ne sont pas directement impliqués dans l’incident mais ont simplement utiliser les services du cabinet d’avocat. Étonnamment, dans la liste des victimes, l’on retrouve la police fédérale australienne et le ministère de l'Intérieur, tous deux impliqués dans l'enquête sur le piratage.

Cette attaque, attribuée au groupe russe ALPHV/BlackCat, a exposé 3,6 To de données, bien plus que les 1,1 To initialement revendiqués. Cela représente 2,5 millions de documents compromis, dont environ 1 million se trouvent sur le dark web.

Le Maréchal de l'Air (Air Marshal) Darren Goldie, nommé en juillet coordinateur national de la cybersécurité, prévoit de mener une analyse approfondie avec HWL Ebsworth et les parties prenantes gouvernementales pour tirer des leçons de cet incident.

Aussi dans l’actu cyber australienne : Dans le cadre d’une stratégie nationale de cybersécurité, la ministre de l’intérieur australienne, Clare O'Neill, a déclaré ce lundi que l’Australie allait construire 6 boucliers cyber autour de la nation, portant entre autres, sur l’éducation, la technologie et le partage et le blocage des menaces.

🎰 Une cyberattaque met au tapis les casinos et hôtels MGM Resorts

MGM Resorts, une société qui exploite plus de 30 hôtels et casinos dans le monde, notamment à Las Vegas, à Macao et en Chine, a été aux prises avec une cyberattaque dévastatrice qui a affecte ses opérations du 10 septembre au 21 septembre, soit 10 jours. Avec un impact financier considérable.

Les pirates, se faisant appeler ALPHV (ou encore BlackCat), ont utilisé un rançongiciel pour paralyser les systèmes de MGM, causant des pertes de revenus estimées à 8,4 millions de dollars par jour, selon David Katz, analyste de l'industrie du jeu chez Jefferies Group.

Contrairement à Caesars Entertainment, une autre société de casinos touchée par la même attaque ce mois-ci, qui aurait payé une rançon de 15 millions de dollars, la société MGM refuse, quant à elle, de payer la rançon demandée par les pirates.

Les conséquences de cette attaque sont nombreuses et sèment le chaos au sein de l’empire MGM Resorts : réservation en ligne d’hôtels et de restaurants indisponible, clés électroniques d’accès aux chambres inopérantes, machines à sous paralysées, transferts de gains retardés, paiement en espèce uniquement et retards dans les salaires…

🔓 Google Authenticator aggrave une récente intrusion dans le réseau interne d’une entreprise

L’entreprise de nocode, Retool, a récemment révélé avoir subi une faille de sécurité majeure liée à l'application Google Authenticator. L’entreprise affirme que l’application de Google a aggravé une récente intrusion dans son réseau interne en permettant aux attaquants d'accéder aux comptes de 27 clients, tous actifs dans le secteur des cryptomonnaies.

L'incident a débuté lorsque l'un des employés de Retool a cliqué sur un lien contenu dans un message texte qui prétendait provenir de l'équipe informatique de l'entreprise. Sans se douter de la supercherie, l'employé a fourni sur le site malicieux, un mot de passe temporaire à usage unique (TOTP) généré par Google Authenticator ainsi qu’un "code multifacteur supplémentaire" (MFA) lors d’un appel téléphonique se faisant passer une nouvelle fois pour le service informatique.

Selon Retool, ce qui a amplifié la gravité de l'attaque, c'est une fonction de synchronisation récemment ajoutée par Google à son Authenticator qui a permis aux attaquants de compromettre non seulement le compte de l'employé, mais également de nombreux autres comptes de l'entreprise. Retool a mis en garde contre les risques liés à la synchronisation des codes MFA dans le cloud, soulignant que si un compte Google est compromis, les codes MFA le sont également.

🇮🇷 Des pirates iraniens attaquent des milliers d’entreprises. Elles sont victimes de pulvérisation généralisée de mots de passe.

Les chercheurs en cybersécurité de Microsoft ont détecté que le groupe de pirates iraniens, Peach Sandstorm, également connu sous le nom HOLMIUM, effectue depuis février 2023 une campagne de pulvérisation massive de mots de passe contre des milliers d’organisations dans le monde entier.

Dans des attaques récentes, les pirates ont notamment ciblé les secteurs de l'aviation, la construction, la défense, l'éducation, l'énergie, les services financiers, la santé, le gouvernement, les satellites, et les télécommunications. Compte tenu des profils des victimes et des activités d'intrusion, la campagne viserait à collecter des renseignements pour l'État iranien selon les chercheurs de Microsoft.

En raison du volume d'activité, des tentatives persistantes d'accès à des cibles de grande valeur, et des risques associés aux activités post-compromission, Microsoft a décidé de rendre public cette campagne pour sensibiliser et aider les organisations à renforcer leur sécurité contre Peach Sandstorm.

〰️ Dégustation 〰️

👠 Les violences numériques au cœur des priorités de l’ONU femmes

À mi-chemin de l’agenda 2030 pour le développement durable et ses 17 objectifs de développement durable (ODD) adoptés par les dirigeants mondiaux en 2015, dont notamment la promotion de l'égalité des sexes, l'ONU Femmes dresse un tableau sombre de la progression de l'égalité entre hommes et femmes.

Pour renverser cette tendance alarmante et promouvoir l'égalité à tous les niveaux de la société, l'ONU Femmes a publié un rapport intitulé "Generation Equality Accountability". L'édition 2023 de ce rapport souligne à maintes reprises l'importance cruciale des questions numériques.

À retenir :

Concernant les technologies et l'innovation, l'ONU Femmes identifie quatre axes d'action impératifs :

• Combler le fossé en matière d'accès et de compétences numériques entre les sexes.

• Investir dans l'innovation et les technologies féministes, notant qu'actuellement seulement 17 % des start-ups en France, en Allemagne, en Espagne, au Royaume-Uni et en Suède sont dirigées par des équipes féminines ou mixtes.

  • En 2022, selon le baromètre annuel SISTA x BCG, seuls 7 % des fonds levés et 2 % du financement total ont été alloués à des projets exclusivement féminins.

• Établir des écosystèmes d'innovation inclusifs, transformateurs et responsables.

• Prévenir et éradiquer la violence numérique basée sur le genre, englobant les violences en ligne contre les femmes et celles facilitées par les outils numériques en général. Par exemple, en France, le Centre Hubertine Auclert estime que neuf cas de violence conjugale sur dix incluent désormais des formes de violence numérique.

〰️ Cul sec - La question 〰️

🍏 Quelles nouvelles fonctionnalités de sécurité ont été introduites dans le nouveau système d'exploitation iOS 17 ?

Propositions de réponses :

A - L’extension du mode “Lockdown” à d’autres appareils

B - La prise en charge de plusieurs profils sur Safari pour distingue vie privée et travail

C - La Boîte vocale en direct (Live VoiceMail)

D - Détecteur d'usurpation d'identité

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

💵 Pan sur TikTok - Le 15 septembre, le Comité européen de la protection des données a annoncé avoir infligé une amende de 345 millions d'euros à TikTok pour la mauvaise gestion des données des mineurs, suite à une enquête menée en 2020.

💵 Pan sur Google - Aux États-Unis, Google a accepté de payer 155 millions de dollars pour mettre fin à un litige l’accusant d'avoir trompé les utilisateurs sur la géolocalisation et l'utilisation de leurs données sans consentement. Cette amende s'ajoute à un paiement antérieur de 391,5 millions de dollars pour des allégations similaires.

👊 Cyberattaque - En août dernier, la ville de Betton, près de Rennes, 12 600 habitants, a été victime d’une cyberattaque. Après avoir exigé une rançon de 100 000 dollars (non satisfaite), les pirates ont finalement rendu publiques, le samedi 16 septembre, les informations personnelles d’environ 5 000 habitants de la commune.

🇰🇵 Cryptomonnaie - D’après de nouvelles informations, le vol d'actifs numériques sur l’échangeur de cryptomonnaie CoinEx, qui s'est produit le 12 septembre et dont nous avons parlé samedi dernier, aurait été commis par le groupe nord-coréen Lazarus. L’ampleur du piratage estimé initialement à environ 30 millions de dollars pourrait en réalité atteindre près de 70 millions de dollars. Pour mémoire, Lazarus est notamment à l’origine du plus gros cyber-braquage de l’histoire, celui de la banque nationale du Bangladesh, en 2015, où le gang étatique a effectué une tentative de vol de près d’un milliard de dollars US.

🧰 Open-source - Une boîte à outils open-source a été développée pour faciliter l'adoption sécurisée des LLM par les entreprises. Cette boîte à outils nommée “LLM Guard” est disponible gratuitement sur GitHub et a été conçue pour s’intégrer et se déployer facilement dans les environnements de production. Elle évite les “prompt injection”.

🇪🇺 Protection des données - La semaine dernière, le législateur et eurodéputé français Philippe Latombe a déposé 2 plaintes auprès de la Cour de justice de l'Union Européenne afin de faire échouer le nouvel accord de transfert de données entre l'UE et les États-Unis. Celui-ci a été annoncé le 10 juillet 2023. Ces 2 plaintes ont trouvé de l’écho particulièrement en Allemagne où l’accord fait actuellement l’objet de nombreuses critiques.

🔐 Mot de passe - Selon un sondage réalisé par Security.org auprès de 1 051 adultes américains sur la manière dont ils utilisent les mots de passe et les gestionnaires de mots de passe, un tiers des répondants déclarent désormais utiliser des gestionnaires de mots de passe, contre un sur cinq en 2022. Néanmoins, bien que cette tendance aille dans le bon sens, l’étude révèle également que 28% des utilisateurs utilisent le mot de passe principal de leur gestionnaire de mots de passe sur d'autres comptes… Autant dire que celui-ci ne leur sert pas à grand chose.

🎮 Jeu vidéo - Aux États-Unis, les autorités de régulation américaines (FTC) ont commencé à informer par email plus de 37 millions de parents potentiellement éligibles à un dédommagement concernant l’achat d’équipement virtuels à leur insu sur le célèbre jeu vidéo Fortnite. Cette décision pourrait grandement impacter le modèle économique Free-to-play sur lequel reposent de nombreux jeux-vidéos aujourd’hui.

🗣 Déclaration - Lors de la conférence mWISE organisée à Washington par Mandiant ce lundi 18 septembre, Chris Wray, le directeur du Federal Bureau of Investigation (FBI) a déclaré que la Chine disposait d'un programme de cyberespionnage bien plus vaste et plus important que celui de tous ses principaux concurrents réunis.

〰️ Cul sec - Réponse 〰️

Toutes les réponses sont justes sauf D

Ce lundi 17 septembre, Apple a publié son nouveau système d'exploitation iOS 17, qui contient de nouvelles fonctionnalités de sécurité :

• iOS 17 prendra désormais en charge le mode "Lockdown" sur un plus grand nombre d'appareils, dont notamment l’Apple Watch. Cette fonctionnalité consiste à bloquer automatiquement la connexion automatique aux réseaux Wi-Fi non sécurisés lorsque l’appareil est verrouillé et à supprimer également les données de géolocalisation des photos lorsqu'elles sont partagées avec d'autres personnes.

• Le navigateur web Safari permet désormais de créer plusieurs profils de navigation pour faciliter la séparation vie privée et vie professionnelle. L'historique, les cookies et les données en générales seront ainsi séparés par le profil.

• Toujours sur Safari, les onglets privés sont désormais verrouillés lorsqu’ils ne sont pas utilisés et empêchent les traqueurs de charger les pages. Les informations de suivi des adresses web qui peuvent être utilisées pour vous identifier seront également supprimées.

• Pour aider les utilisateurs à détecter les appels frauduleux, Apple lance la transcription en direct. Cette fonctionnalité permettra aux utilisateurs d’écouter en temps réel la transcription du message vocal laissé par l’appelant, et de décroche pendant que l’appelant laisse son message.

〰️ Digestif 〰️

🌀 Bluffant !

Ces images générés par l'IA (grâce au logiciel Illusion Diffusion) sont la nouvelle tendance virale et vous pouvez vous aussi en créer gratuitement sur la plateforme Hugging Face.

Votre Shake de l'actu cyber et digitale vous attend chaque samedi !

Vous avez un avis ou une question ? Répondez simplement à cet e-mail, nous serons ravis de vous lire !

Aidez-nous à faire grandir la culture numérique responsable. Partagez avec vos proches.

Un ami vous a transféré cette édition ? Pour nous soutenir, vous pouvez-vous abonner 👇👇👇

“Shake it, share it”