• Shakerz
  • Posts
  • 🇷🇺 Microsoft met en garde contre des pirates russes

🇷🇺 Microsoft met en garde contre des pirates russes

Shake 〰️ 01 Juillet 2023

July 01, 2023

Salut 👋, voici ce qu’on te propose de retenir du digital et de la cyber cette semaine.

À la une :

🇷🇺 Microsoft met en garde contre les attaques massives de pirates russes visant à voler des informations d'identification,

Décode l’actu :

🗂 Des millions de dépôts GitHub vulnérables au RepoJacking,

🚨 La fonction “se connecter avec Microsoft” expose des milliers de personnes,

🇬🇧 Les entreprises réclament des changements dans le programme “Cyber Essentials” du Royaume-Uni,

🇪🇺 Accord entre la Commission et le Parlement européens pour renforcer la cybersécurité institutionnelle,

On t’explique tout ça plus bas.

Retrouve le mag :

⚖️ 3 grands types de menaces contre les cabinets d’avocats selon l’ANSSI,

💔 52 % des violations de données signalées ont été commises par des partenaires tiers,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

〰️ La reco du barman 〰️

🇷🇺 Microsoft met en garde contre les attaques massives de pirates russes

Ils volent des informations d'identification

car parked in front of building

Dans une série de tweets, Microsoft a récemment signalé une augmentation significative des attaques par vol d'informations d'identification, perpétrées par le groupe de pirates informatiques affilié à l'État russe connu sous le nom de Midnight Blizzard.

Qui est Midnight Blizzard ?

Le nom Midnight Blizzard ne vous dit peut être rien et c’est tout à fait normal. Il s’agit de la nouvelle convention de nommage des acteurs de la menace selon Microsoft, alignée sur le thème de la météo. Dans le cas présent, l’acteur de la menace en question est lié à l’état Russe et est donc catégorisé “Blizzard” selon cette nouvelle taxonomie.

Midnight Blizzard, autrefois connu sous les noms Nobelium, d'APT29, Cozy Bear, Iron Hemlock ou encore The Dukes, s'est fait connaître par la compromission de la chaîne d'approvisionnement de SolarWinds en décembre 2020. Malgré cette exposition mondiale, le groupe continue aujourd’hui d'utiliser des outils sophistiqués pour mener des attaques ciblées contre des ministères étrangers et des entités diplomatiques, ce qui démontre leur détermination à poursuivre leurs opérations et en fait un acteur particulièrement redoutable dans le domaine de l'espionnage.

Comment fonctionnent ces attaques ?

Les cibles de ces intrusions incluent des gouvernements, des fournisseurs de services informatiques, des organisations non gouvernementales (ONG) ainsi que des secteurs industriels et de défense critiques.

“Ces attaques utilisent une variété de techniques de pulvérisation de mots de passe, de force brute et de vol de jetons”, a déclaré Microsoft dans une série de tweets, ajoutant que l'acteur “a également mené des attaques de relecture de session pour obtenir un accès initial aux ressources cloud en utilisant des sessions volées probablement acquises par le biais d'une vente illicite”.

De plus, selon Microsoft, Midnight Blizzard aurait également utiliser des services de proxy résidentiels pour masquer l'adresse IP source des attaques, rendant ainsi leur détection et leur neutralisation plus difficiles pour les équipes de sécurité.

Face à cette situation alarmante, Microsoft exhorte les organisations et les utilisateurs à renforcer leurs mesures de sécurité, notamment en utilisant des mots de passe complexes, en activant l'authentification multi-factorielle et en restant vigilants face aux tentatives d'hameçonnage et d'usurpation d'identité.

⚖️ 3 grands types de menaces contre les cabinets d’avocats selon l’ANSSI

Les avocats et les cabinets d'avocats font régulièrement l'objet d'attaques informatiques de la part d'acteurs aux origines, compétences et objectifs variés. Dans son rapport intitulé “État de la menace informatique contre les cabinets d’avocats”, l’ANSSI recense 3 grands type d’attaques pesant sur les systèmes d'information des cabinets d'avocats et fournit des exemples concrets d'attaques ayant visé ce secteur en France et à l'étranger. On vous le résume en infographie 👇

〰️ Vos shots 〰️

🗂 Des millions de dépôts GitHub vulnérables au RepoJacking

Des millions de dépôts GitHub pourraient être exploités par le RepoJacking, une technique permettant à des cybercriminels de prendre le contrôle de dépôts anciens lorsque les noms d'utilisateurs des organisations ont été modifiés. Une étude du groupe de recherche Nautilus d'Aqua Security basée sur un échantillon d’1,5 millions de noms de dépôts uniques, révèle que près de 37 000 dépôts sont vulnérables, ce qui laisse penser que des millions d'autres pourraient également être exposés. Plus de 300 million selon les chercheurs.

Une attaque réussie pourrait conduire à l'exécution de code à distance, mettant en péril les environnements internes des organisations et les systèmes des clients. Aqua Security recommande aux équipes de sécurité de surveiller régulièrement leurs référentiels, de s'assurer de la propriété des anciens noms d'organisation et de prendre des mesures d'atténuation telles que l'utilisation de gestionnaires de paquets. Les experts soulignent que cette vulnérabilité est un problème de chaîne d'approvisionnement qui nécessite une attention urgente pour prévenir les attaques potentielles.

🚨 La fonction “se connecter avec Microsoft” expose des milliers de personnes

Une faille de sécurité majeure dans Azure AD, le service de gestion des identités et des accès basé sur le cloud de Microsoft, baptisée “nOAuth”, met en danger les organisations qui ont mis en place dans leurs environnements Microsoft Azure Active Directory, la fonction Se connecter avec Microsoft”. 

Les chercheurs de Descope ont découvert que cette vulnérabilité permet à des acteurs malveillants de prendre le contrôle complet des comptes en ligne d’une victime, de persister, d'exfiltrer des données et même d'explorer si un mouvement latéral est possible.

Les entreprises sont averties de remédier immédiatement à ce problème qui pourrait entraîner des conséquences graves, notamment la compromission de données sensibles. L'attaque exploite une mauvaise mise en œuvre de l'authentification OAuth dans Azure AD, ce qui expose les applications utilisant cette fonctionnalité à des risques de prise de contrôle de comptes. Étant donné leurs ressources souvent limitées en matière de compétences informatiques, les petites entreprises sont particulièrement vulnérables.

🇬🇧 Les entreprises réclament des changements dans le programme Cyber Essentials du Royaume-Uni

Le programme Cyber Essentials du gouvernement britannique fait face à des critiques de la part des entreprises, alors que seulement 35 000 organisations ont été certifiées jusqu'à présent, soit un pourcentage infime des quelque 5,5 millions d'entreprises du secteur privé du pays.

Cyber Essentials est un programme de certification britannique qui vise à démontrer qu'une organisation dispose d'un niveau de protection minimum en matière de cybersécurité. Il repose sur des évaluations annuelles pour maintenir la certification. Or, une évaluation du programme a révélé des préoccupations concernant la pertinence des contrôles pour certaines organisations, ainsi que des défis liés à cette approche unique qui ne tient pas compte des différences entre les types et tailles d'entreprises.

De plus, le rapport soulève également des inquiétudes quant à la motivation réelle des entreprises à obtenir la fameuse certification. De nombreuses organisations choisiraient de se faire accréditer uniquement pour remplir des exigences contractuelles vis à vis de clients du secteur public. Des appels à contribution ont été lancés pour une plus grande flexibilité, une meilleure communication, des conseils adaptés aux différentes entreprises et une réduction des coûts. Des efforts visant à renforcer la robustesse et la transparence sont également nécessaires.

🇪🇺 Accord entre la Commission et le Parlement européens pour renforcer la cybersécurité institutionnelle

La Commission européenne et le Parlement européen ont conclu un accord sur une proposition de règlement visant à renforcer la cybersécurité au sein des institutions de l'Union Européenne. Ce règlement établira “un cadre de gouvernance, de gestion et de contrôle des risques en matière de cybersécurité dans l'ensemble des entités de l'UE et créera un conseil inter-institutionnel de cybersécurité chargé de surveiller sa mise en œuvre”.

Le CERT-EU sera rebaptisée “Service de cybersécurité pour les institutions, organes et organismes de l'Union” et son mandat sera étendu. Les objectifs principaux du règlement comprennent la mise en place d'évaluations régulières de la maturité en matière de cybersécurité, la mise en œuvre de mesures de sécurité, l'amélioration de la sécurité des institutions et le partage d'informations sur les incidents avec le CERT-EU. Ce nouveau cadre vient s’ajouter à la directive SRI2 entrée en vigueur en début d’année, qui a pour but d’élever le niveau de cybersécurité dans l'ensemble de l'Union.

〰️ Dégustation 〰️

💔 52 % des violations de données signalées ont été commises par des partenaires tiers

Le rapport 2023 ForgeRock Identity Breach Report met l'accent sur les cas avérés de violations impliquant l'exposition et/ou le vol de données confidentielles, qu'il s'agisse de petites violations isolées ou de vastes quantités de données qui motivent les pirates à demander une rançon financière, à les vendre sur le dark web, voire à faire les deux simultanément.

À retenir :

  • Le nombre de brèches aux États-Unis exposant les informations d'identification des utilisateurs a augmenté de 233% par rapport à 2021.

  • 83% des attaques contre les entreprises britanniques sont dues au phishing.

  • En Allemagne, 62.9 millions de comptes d'utilisateurs ont été compromis et les données d'identité rendues publiques en 2022.

  • La sanction maximale pour les entreprises australiennes victimes d'atteintes graves ou répétées à la vie privée est de 50 millions de dollars.

Les brèches touchant des tiers constituent une menace croissante

  • Le nombre de violations par des tiers a augmenté de 136% par rapport à 2021.

  • 52% des brèches signalées proviennent de partenaires et de fournisseurs.

  • 50% des brèches chez les partenaires résulte d'un accès non autorisé.

  • 47% des violations impliquent des rançongiciels.

Certains secteurs sont plus résistants que d'autres

  • Les attaques ciblant le secteur du commerce de détail aux États-Unis ont diminué de 67%

  • Les attaques ciblant le secteur des services financiers aux États-Unis ont diminué de 29%

  • Les brèches dans le secteur de la santé aux États-Unis ont augmenté de 50%

  • Aux États-Unis, le secteur de la santé reste le plus vulnérable avec 36% des atteintes en 2022

〰️ Cul sec - La question 〰️

🍄 Quel célèbre jeu vidéo est infecté par un cheval de Troie ?

A - Fortnite

B - The Legend of Zelda

C - Super Mario Bros 3

D - Grand Theft Auto V

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

🏢 Condamnations - en brefTwitter hack - Joseph O’Connor, le pirate britannique de 23 ans qui avait pris le contrôle, entre autres, des comptes twitter de Musk, Obama et Biden en 2020 vient d’être condamné à une peine de cinq ans d'emprisonnement, suivie de trois ans de liberté surveillée, et à payer près de 800 000 dollars.

Kendra Kingsbury, ex. analyste du FBI - Dans une affaire rappelant étrangement les accusations portées récemment contre le président américain Donald Trump, Kendra Kingsbury, une ancienne analyste du FBI vient d’être condamnée à une peine de 46 mois de prison fédérale suivis de trois ans de liberté surveillée pour avoir retenu illégalement de documents liés à la défense nationale.

JPMorgan - Le géant des services financiers JP Morgan a été condamné à une amende de 4 millions de dollars par la SEC, pour avoir effacé quelque 47 millions d'enregistrements de communications électroniques datant de 2018 et liés à sa filiale Chase Bank. D’après les conclusions de la SEC, un certain nombre de ces documents étaient des documents commerciaux qui devaient être conservés en vertu de la loi Securities Exchange Act de 1934.

🧒 IA - Des spécialistes de la sécurité des enfants s’inquiètent des milliers d'"images sexuelles d'enfants générées par l'IA" , puis partagées sur les forums pédophiles du dark web, a rapporté le Washington Post. Cette “explosion” fait craindre une normalisation de l'exploitation sexuelle des enfants.

📴 Off - Le premier ministre australien, Anthony Albanese, a conseillé le vendredi 23 juin à ses concitoyens d'éteindre leur smartphone au moins 5 minutes par jour, par mesure de cybersécurité. Le Guardian suggère que la raison est que cela “arrêtera tout logiciel espion qui pourrait fonctionner en arrière-plan sur votre appareil”. Il y a du vrai, mais cela n’est évidement pas si simple. D’ailleurs, ce n’est pas la première fois qu’une telle mesure est recommandée. En 2020, l'agence nationale de sécurité des États-Unis recommandait déjà dans ses meilleures pratiques de redémarrer les smartphones une fois par semaine pour éviter le piratage.

🔄 Mise à jour - Le navigateur web Tor, conçu pour naviguer sur le réseau Tor de façon anonyme vient de publier sa nouvelle mise à jour Tor Browser 12.5, disponible sur la page de téléchargement de Tor Browser et dans le répertoire de distribution. Retrouvez le détail des nouveautés dans le communiqué.

💵 Levée de fonds - L'éditeur français de cybersécurité Wallix a réalisé une levée de fonds de 10,5 millions d’euros pour soutenir sa croissance externe, dans le cadre de son plan “Unicorn 25”. Wallix, leader européen du marché des accès à privilèges ambitionne de générer 100 millions d’euros de chiffre d’affaires en 2025

📣 Publicité - La CNIL a infligé une amende de 40 millions d'euros à CRITEO, société spécialisée dans la publicité en ligne, pour non-respect du consentement des utilisateurs dans la publicité personnalisée.

🌤 SolarWinds - Le RSSI et le directeur financier de SolarWinds ont été informé par la SEC (Securities and Exchange Commission), qu'ils pourraient, tout comme l'entreprise, faire l'objet d'une action civile à la suite de la fameuse brèche du logiciel Orion en 2020 (SolarStorm).

〰️ Cul sec - Réponse 〰️

Réponse C - Super Mario Bros 3 - Mario Forever

Dans un billet de blog publié le vendredi 23 juin, une équipe de Cyble Research and Intelligence Labs (CRIL) révèle avoir découvert un programme d'installation pour Super Mario 3 : Mario Forever - une version Windows parfaitement légitime et gratuite du jeu Nintendo extrêmement populaire, infecté par un cheval de Troie.

En plus de contenir le jeu vidéo en question, le programme d’installation inclut également un mineur XMR conçu pour extraire la cryptomonnaie Monero, un client de minage SupremeBot et le voleur open-source Umbral.

Cette menace potentielle pourrait poser un défi pour les entreprises qui emploient des travailleurs à distance ou hybrides utilisant leurs appareils personnels à des fins professionnelles et personnelles.

〰️ Digestif 〰️

🐜 Quand la perspective nous joue des tours

D'abord, on voit une colonie d'insectes très occupés…

Il ne s’agit que d’un cours de salsa filmé par en dessous. 💃

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

L’équipe travaille dur. 👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité et responsabilité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it”

Reply

or to participate.