Shake 〰️ 08 oct. 2022

Salut les Shakerz 👋

Comme chaque semaine, votre Shake hebdo est là pour vous. Avec l’essentiel de ce qu’il s’est passé en digital et en cyber.Dans l’actu : ☠️ deux nouvelles vulnérabilités découvertes sur Microsoft Exchange, 🕵🏻 Google travaille au “droit à l’oubli” de ses utilisateurs, 💸 nouveau hack massif dans le monde des cryptomonnaies.

Retrouvez aussi : 6 façons étranges pour un employé d’exposer “accidentellement” des données, le retour du mois européen de la cybersécurité, des ingrédients à la carte, et, bien évidemment, la question de la semaine.

Bonne lecture et bon week-end !

☠️ Vulnérabilités zero-day : Microsoft Exchange l’a refait…

Une fois n’est pas coutume, Microsoft a confirmé le 30 septembre avoir identifié deux nouvelles vulnérabilités zero-day. Elles sont activement exploitées depuis août 2022 sur son service de messagerie professionnelle Microsoft Exchange. 220 000 serveurs d’Exchange sont sous la menaces de pirates et aucun patch n’est encore disponible.

Deux vulnérabilités zero-day identifiées par Microsoft

Les deux vulnérabilités ont été identifiées pour la première fois par la société de cybersécurité vietnamienne GTSC. Les chercheurs ont notamment découvert que des webshells malveillants avait infecté plusieurs sites web de clients d'Exchange. Au début, l’exploit ressemblait au tristement célèbre ProxyShell zero-day de 2021 (CVE-2021-34473), mais les chercheurs ont découvert plus tard que la nouvelle vulnérabilité était encore inconnue.

La première vulnérabilité, baptisée CVE-2022-41040, falsifie les requêtes côté serveur, et la seconde nommée CVE-2022-41082 permet à un pirate qui a accès à PowerShell d’exécuter à distance du code préalablement introduit par la première vulnérabilité.

Selon Microsoft, les failles affectent uniquement les versions sur site 2013, 2016 et 2019 du serveur Exchange, tandis que les serveurs hébergés sur la plateforme cloud de Microsoft ne serait pas concernés. Néanmoins, l’avis du chercheur en sécurité Kevin Beaumont diffère de la version officielle. Il affirme que “les clients de Microsoft Exchange Online exécutant des serveurs hybrides Exchange avec Outlook Web Access (OWA) sont également à risque.” Prudence !

Ces deux nouvelles vulnérabilités viennent malheureusement s’ajouter à la longue liste de failles et d’attaques dont a été victime Microsoft Exchange depuis sa création.

Les correctifs se font attendre …

À ce jour, Microsoft n’a toujours pas livré les correctifs de ces deux vulnérabilités. Cependant, pour limiter les risques encourus par les clients , Microsoft a délivré plusieurs solutions d’atténuation le temps de développer un correctif définitif.

• Recommandations sur la détection et la chasse aux menaces pour les attaques actuellement en cours.

• Désactiver l’accès à distance à PowerShell pour les utilisateurs non administrateurs.

• Microsoft a fourni une règle de blocage des modèles d’attaques connus et a écrit un script PowerShell pour automatiser le déploiement. Cependant, plusieurs chercheurs en sécurité ont fait remarquer que la règle de blocage pouvait être facilement contournée.

Pour être alerté des dernières avancées concernant les vulnérabilités de type "zero day" signalées dans Microsoft Exchange Server, rendez-vous sur le Centre de réponse de sécurité de Microsoft.

Ça va vous surprendre !

Stratégie cyber : unique ou copie ?

Prenons l’hypothèse suivante : vous êtes expert.e cyber, risk manager ou dirigeant.e. Peut-être même CISO, DSSI ou RSSI.

Voici votre défi

Imaginez un instant que vous êtes coach d’une équipe de foot. A l’approche d’un grand match, vous devez vous assurer que l’équipe est prête. Le plus possible, mais vous « faites avec » votre budget et vos joueurs. Tout le monde n’a pas Mbappé dans son équipe et ne peut pas se payer les meilleurs préparateurs sportifs, un kiné magicien, un hypnothérapeute etc.

Le match, c’est déjà demain. Il ne vous reste que peu de temps.

Mais comme vous êtes consciencieux, pro et engagé.e, vous voulez quand même vous assurer que les derniers ajustements soient faits, car même un petit détail peut faire la différence entre perdre et gagner.

Par acquis de conscience, vous décidez de vérifier que votre stratégie est la meilleure. Vous avez un accès au Web. Qu’allez-vous faire ?

Est ce que vous allez regarder les matchs remarquables des équipes adverses ? Ou bien les stratégies d’autres sports collectifs, par exemple des équipes de volley-ball ? Ou tiens, celles des équipes pros en paint-ball ? Après tout, ce sont aussi des équipes…

Quand une entreprise copie ses voisins

Ce n’est pas si absurde.

C’est bien ce que font de nombreuses entreprises en matière de stratégies de cybersécurité. Elles recopient des équipes qui sont dans d’autres sports, sur des terrains très différents. Sans s’en rendre compte. Comme si, alors que vous jouez sur un terrain de foot, vous copiez les stratégies et techniques du tennis. C’est très bien, mais rien à voir avec vous.

En cyber, un « me too » ou plagiat de stratégie peut s’avérer fatal.

Découvrez pourquoi et comment éviter les principaux écueils dans la tribune expert de cette semaine (accès abonné) par Sylvan Ravinet, expert en cybersécurité, fondateur de Shaker.media et de CaptainCyber.com

Shaker ouvre ses colonnes. Vous souhaitez recommander un dirigeant ou un expert ? Vous êtes auteur ? Répondez simplement à cet email.

🕵🏻 Google travaille au “droit à l’oubli”

Google a annoncé l’arrivée dans les mois à venir, de plusieurs mesures visant à renforcer la sécurité et l’intégrité de ses utilisateurs en ligne. Concrètement, si quelqu’un recherche votre nom, numéro de téléphone ou adresse sur le moteur de recherche, Google vous alertera et vous serez en mesure de demander le retrait des informations concernées. Les informations seront alors supprimées du moteur de recherche mais resteront tout de même présentes sur la page web qui les héberge.

🖼️ Quand le logo de Windows cache un malware

Dans un rapport publié le 29 septembre, des analystes de Symantec ont dénoncé les agissements d’un groupe de pirates nommé Witchetty (aussi connu sous le nom de LookingFrog). Il utilise un ancien logo Microsoft Windows pour y dissimuler un programme malveillant. Cette technique nommée stéganographie n’est pas nouvelle mais est rarement utilisée par les cyberattaquants. Néanmoins, celle-ci permet de transformer des fichiers image d'apparence inoffensive en véritables menaces.

🏎️ Ferrari, 7 Go de données confidentielles dévoilées en ligne

Ce lundi, le constructeur automobile italien Ferrari a confirmé que 7 Go de données, contenant plus de 11 000 fichiers internes et confidentiels avait été dérobés et publiés sur le web sans avoir constaté la moindre violation de ses systèmes. Parmi les documents publiés, on retrouve entre autres, des fiches techniques, des contrats de réservation, des manuels de réparation et des coordonnées. Le piratage serait l'oeuvre du tristement célèbre groupe RansomEXX connu pour avoir déjà piraté des dizaines d'entreprises comme la firme canadienne Bombardier ou encore la Cour de justice du Brésil.

📣 Influenceurs crypto et publicités financières sur Google, la fin approche !

Afin de lutter contre la fraude financière, le moteur de recherche a annoncé cette semaine de nouvelles règles concernant les publicités sur les services financiers en France et en Allemagne. À compter du 24 janvier 2023, la diffusion de publicités financières sera strictement réservée aux institutions et professionnels qui auront demandé et obtenu une certification délivrée par Google sous certaines conditions. Les influenceurs crypto ou spécialisés dans la finance ne pourront plus lancer de campagnes de publicité. Ces nouvelles restrictions sont déjà en vigueur au Royaume-Uni depuis septembre 2021 et auraient permis de diminuer significativement les annonces publicitaires qui promeuvent des escroqueries financières.

🪖 Des armées d’Amérique latine victimes d’un gigantesque piratage informatique

10 téraoctets de données. C’est le nombre de données (dont certaines ultrasensibles et confidentiels) dérobées aux armées du Chili, du Mexique, du Salvador, du Pérou et de Colombie par un groupe “d’hacktivistes” dénommé “Guacamaya”. Les données ont été remises à des journalistes qui ont commencé à en révéler le contenu. On y découvre, entre autres, des détails sur des opérations militaires contre les cartels de la drogue et sur la santé fragile du Président du Mexique, Andres Manuel Lopez Obrador.

💸 Nouveau hack massif dans le monde des cryptomonnaies

La blockchain Binance Smart Chain (BSC) a été victime d’un piratage spectaculaire dans la nuit du 6 au 7 octobre. Le pirate aurait exploité une vulnérabilité sur « la passerelle » de Binance pour récupérer des millions de BNB (la devise d’échange de l’application Binance). La réactivité des équipes de Binance et l’arrêt temporaire de la BSC a permis d’éviter le pire. Le pirate aurait pu s’enfuir avec plus de 550 millions de dollars. Changpeng Zhao (CZ), le fondateur et PDG de Binance a déclaré que la majorité des fonds volés ont été gelés et seraient inaccessibles. Néanmoins, le pirate serait tout de même parvenu à voler l’équivalent de 100 millions de dollars en BNB. Selon CZ, “le problème est désormais maîtrisé”.

Le Mois Européen de la Cybersécurité fait sont retour !

Comme chaque année, le mois européen de la cybersécurité fait son grand retour ! Cette édition 2022 marque la 10e année de cette initiative commune à l’Agence Européenne de cybersécurité (ENISA) et aux Etats membres. Au programme, de nombreux acteurs publics et associatifs se mobilisent en France et en Europe pour sensibiliser professionnels, particuliers et étudiants aux enjeux de la sécurité du numérique (menaces, bonnes pratiques, etc.) au travers de conférences, vidéos et campagnes de communication. Suivez l’actualité de cet évènement sur #TousSecNum #ECSM

Quel célèbre jeu vidéo a été victime d’attaques DDoS lors de son lancement cette semaine ?

A. FIFA 2023B. Overwatch 2C. Call of Duty Modern Warfare 2 D. Grand Theft Auto VI

—> Réponse à la sortie du bar.

⏪ Rewind - En octobre 2008, l’écosystème de la musique est bouleversé par le lancement officiel de la plateforme de streaming musicale Spotify. Depuis, le mode d'écoute en streaming s'est largement imposé dans l'univers musical.

👨🏻 Expert à suivre - Le physicien français Alain Aspect, a reçu ce mardi 4 octobre le prix Nobel de physique 2022. Il partage ce prix avec l'Américain John F. Clauser et l'Autrichien Anton Zeilinger, pour leurs travaux sur “la seconde révolution quantique”. Ses recherches ont trouvé des applications dans l’informatique quantique.

⚖️ Justice - Ce mercredi 5 octobre, l'ancien responsable de la sécurité informatique d'Uber, Joseph Sullivan, a été condamné pour avoir dissimulé aux autorités fédérales américaines et au grand public la cyberattaque de 2016. Les données personnelles de 57 millions d’utilisateur avait été dérobées.

Réponse B - Overwatch 2

Ce mardi 4 octobre marquait le lancement tant attendu par les joueurs du dernier né d'Activision Blizzard, Overwatch 2. Malheureusement, la licence ne semble pas avoir été uniquement victime de son succès. Le lancement d’OW 2 a tourné au cauchemar en raison de multiples attaques DDoS massives sur les serveurs du jeu vidéo. Les conséquences ? Problèmes de connexion, files d’attente interminable, erreurs de serveurs, contenus manquants et des milliers de fans déçus

Comment choisir un bon mot de passe ? 🤪

Merci d’être passé ! Rendez-vous samedi prochain pour votre nouveau Shake de l’actu cyber et digitale ! 👋

Rejoignez les Shakerz, abonnez-vous gratuitement pour recevoir la newsletter hebdomadaire et soutenir notre travail. Faites tourner !