📱Votre Android est peut-être en danger !

Salut Shaker 👋

C’est samedi, voici le Shake. Pour toi, voici ce qu’on a retenu du digital et de la cyber cette semaine. À la une : 📱 Des failles critiques découvertes dans les puces Exynos de Samsung.

On te décode l’actu :

🇨🇳 Des pirates chinois exploiteraient une vulnérabilité zero-day de Fortinet dans le cadre d’une campagne de cyber-espionnage,

🚨 Microsoft Outlook, déjà la vulnérabilité de l’année 2023 ?

👮 L’auteur d'un système de cyberfraude de plusieurs millions de dollars condamné par la justice américaine,

🇷🇺 L’homme derrière la violation de données de D.C. Health Link serait Russe,

🧾 BreachForums : clap de fin pour le plus important site de vente de données volées,

On t’explique tout ça plus bas.

Retrouve le mag :

🚙 Les nouveaux vecteurs d’attaque de l’écosystème automobile,

🚘 Les menaces de cybersécurité qui pèsent sur l'industrie automobile,

🍋 Des ingrédients à la carte pour remixer tes propres cocktails cyber à la maison ou au bureau, et, roulement de tambour… la question de la semaine !

Bonne lecture !

Signé - Aurélien, Sylvan et toute la Shakerz core team

〰️ La reco du barman 〰️

📱 Des failles critiques découvertes dans les puces Exynos de Samsung

Les chercheurs de Projet Zero de Google ont annoncé avoir découvert 18 vulnérabilités de type zero-day les puces Exynos de Samsung. Ces puces équipent une variété d’appareils, notamment des smartphone Android, Vivo et Google, des systèmes d'info-divertissement pour voitures, en passant par des wearables comme des montres connectées.

Chacune de ces vulnérabilités a une note de gravité élevée et pourrait permettre toute une variété d’attaques. La plus grave d’entre elles pourrait permettre à un attaquant qui connait le numéro de téléphone de sa cible, de compromettre à distance le téléphone sans aucune interaction de la victime.

“Les quatre plus graves de ces dix-huit vulnérabilités […] permettaient l'exécution de code à distance de l'Internet vers la Baseband”, précise l'équipe de recherche de Google.

Le baseband est le code qui contrôle la puces cellulaire des téléphones. C’est une couche de bas niveau qui sert à initier la connexion au réseau cellulaire ou encore à effectuer des appels.

Après avoir été averti par l’équipe de Google, Samsung disposait d’un délai standard de 90 jours pour révéler l’existence de ces vulnérabilités. Samsung ayant dépassé ce délai, l’équipe du Projet Zero a commencé a révélé publiquement le jeudi 16 mars des détails limités de 8 de ces 18 vulnérabilités. “Les dix autres vulnérabilités de cet ensemble n'ont pas encore atteint le délai de 90 jours, mais seront divulguées publiquement à ce moment-là si elles n'ont pas encore été corrigées”, a déclaré Google. Google s’abstient néanmoins pour le moment de révéler les détails techniques de ces vulnérabilités pour ne pas permettre à des attaquants d’utiliser ces informations pour mener des attaques sur des appareils vulnérables.

3 marques et 19 modèles de smartphones concernés

En plus des objets connectés utilisant la puce Exynos W920, comme les Samsung Galaxy Watch 4 et 5, et des véhicules utilisant la puce Exynos Auto T5123, 3 marques et 19 smartphones sont concernés par ces vulnérabilités.

• Samsung : Galaxy S22, M33, M13, M12, A71, A53, A33, A21, A13, A12 et A04

• Vivo : S16, S15, S6, X70, X60 et X30

• Google : Séries Pixel 6 et Pixel 7

Comment se protéger ?

Google a dores et déjà publié il y a quelques jours des correctifs sur la gamme Pixel visant à corriger ces vulnérabilités. L’équipe de chercheurs recommande aux autres utilisateurs de rester vigilants et d’appliquer les mises à jour lorsqu’elles seront mise à disposition de leurs appareils.

Dans l’attente que d’autres mises à jour de sécurité voient le jour, Google conseille aux utilisateurs concernés qui souhaitent se protéger de “désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil. La désactivation de ces paramètres éliminera le risque d'exploitation de ces vulnérabilités”.

Pour ce faire, rendez-vous dans l’onglet “Connexions” dans les paramètres de votre smartphone et décochez l’option "Appels Wi-Fi".

Si vous souhaitez également désactiver le voice-over LTE (VoLTE) qui permet des appels de meilleure qualité via la 4G, vous pouvez le faire également dans les paramètres "Connexions" de votre smartphone. Cela signifie cependant que vous devez choisir un réseau inférieur comme la 3G, ce qui peut affecter négativement l'expérience utilisateur avec votre appareil.

🚙 Les nouveaux vecteurs d’attaque de l’écosystème automobile

Ces dernières années, l’industrie automobile a connu de profonds bouleversements. Elle s’est numérisée, est devenue de plus en plus connectée et le marché du véhicule électrique s’est développé et démocratisé. Bien que ces changements aient répondu aux attentes des clients en matière de performances des véhicules, ils ont également exposé l'industrie à de nouvelles menaces : les cybermenaces. Celles-ci sont loin de se limiter à la voiture elle-même.

〰️ Vos shots 〰️

🇨🇳 Des pirates chinois exploiteraient une vulnérabilité zero-day de Fortinet dans le cadre d’une campagne de cyberespionnage

Selon une analyse de la société américaine de cybersécurité Mandiant, des pirates informatiques chinois présumés ont exploité une faille de sécurité de gravité moyenne dans le système d'exploitation Fortinet FortiOS pour mener une attaque de cyberespionnage. Le groupe de cybercriminels, appelé UNC3886, “est un groupe de cyberespionnage avancé doté de capacités uniques dans la manière dont il opère sur le réseau et dans les outils qu'il utilise dans ses campagnes”. Selon les chercheurs, le groupe fait partie d'une campagne plus large visant à déployer des portes dérobées sur les solutions Fortinet et VMware pour maintenir un accès permanent aux environnements virtualisés. Les chercheurs de Mandiant ont averti que le groupe de cyberespionnage est capable de manipuler les microprogrammes des pare-feux et d'exploiter des vulnérabilités zero-day. Fortinet a corrigé la vulnérabilité CVE-2022-41328 le 7 mars 2023.

🚨 Microsoft Outlook, déjà la vulnérabilité de l’année 2023 ?

Des chercheurs en sécurité ont averti que la vulnérabilité critique CVE-2023-23397 de Microsoft Outlook pourrait déjà devenir la vulnérabilité la plus importante de l'année en raison de la multiplication des exploits de type “preuve de concept” (PoC) et d'une surface d'attaque massive. Cette vulnérabilité incroyablement facile à exploiter, permet, grâce à une élévation de privilèges, à des e-mails spécialement conçus de forcer l’appareil d'une cible à se connecter à une URL distante et transmettre le hachage Net-NTLMv2 du compte Windows et ainsi usurper l’identité de l’utilisateur.

Microsoft précise que cette vulnérabilité ne nécessite aucune interaction de l’utilisateur et c’est ce qui la rend particulièrement dangereuse. Elle est déclenchée “automatiquement lorsqu'elle est récupérée et traitée par le serveur de messagerie”, avant même qu’elle ne soit lue dans le volet de prévisualisation de Microsoft Outlook. De plus, selon les informations de Bleeping Computer, cette vulnérabilité a été activement exploitée depuis près d'un an par le groupe de pirates étatique russe APT28 (également connu sous les noms de Strontium, Sednit, Sofacy et Fancy Bear). La vulnérabilité aurait permis aux cyber espions d’accéder aux réseaux d’une quinzaine d’organisations européennes militaires, logistiques et énergétiques. La vulnérabilité a depuis été corrigée par Microsoft dans son Patch Tuesday de mars 2023.

👮 L’auteur d'un système de cyberfraude de plusieurs millions de dollars condamné par la justice américaine

Christian Akhatsegbe, un nigérian résidant à Atlanta en Géorgie, a été condamné à plus de sept ans de prison et à restituer plus de 2 millions de dollars pour sa participation à un système de cyber-fraude de plusieurs millions de dollars. Christian Akhatsegbe et son frère, Emmanuel, également inculpé mais en fuite, se sont livrés à des activités de phishing par e-mail, de collecte d'informations d'identification et de fraude à la facturation pour escroquer des entreprises et leur soutirer plus de 12 millions de dollars. Et comme si cela n’était pas suffisant, les deux frères ont également dérobés des centaines de milliers de dollars dans des fraudes aux prêts liées au COVID-19. Avec cette arrestation et cette condamnation, le FBI espère envoyer un message aux autres personnes qui pensent pouvoir s'en prendre à des citoyens américains et s'en tirer à bon compte, sous couvert de frontière géographique.

🇷🇺 Un Russe revendique le vol de données médicales de membres du Congrès américain

Un pirate informatique connu sous le nom de “Denfur” affirme avoir ciblé, avec un autre pirate appelé “IntelBroker”, des hommes politiques américains par allégeance à la Russie, selon une conversation en ligne avec CyberScoop. Dans cette conversation, le pirate, qui se prétend être de nationalité russe, a revendiqué la responsabilité d'une violation de données à DC Health Link signalée pour la première fois le 7 mars. Cette attaque avait attiré l’attention des médias car elle a exposé les informations médicales sensibles d'environ deux douzaines de membres du Congrès et de leurs familles, ainsi que de dizaines de milliers de résidents de la région de Washington. L’ensemble des données a été rendu public sur le forum BreachForum. Selon Denfur, l’accès aux données n’est pas le résultat d’une attaque sophistiquée, mais simplement d'une technique appelée “Google dorking” qui consiste à utiliser des requêtes Google avancées et des outils tels que Shodan, un moteur de recherche qui identifie les appareils et serveurs connectés à Internet, pour trouver des informations confidentielles qui ne devraient normalement pas être accessibles au public.

🧾 BreachForums : clap de fin pour le plus important site de vente de données volées

Il y a quelques jours, le FBI annonçait avoir interpellé Conor Brian Fitzpatrick, un individu de Peekskill dans l'État de New York, soupçonné d’avoir fondé et dirigé sous le nom de “Pompompurin” le célèbre site de violation de données “BreachForums”. Également connu sous le nom de “Breached”, BreachForums est reconnu comme étant la plateforme de prédilection du darkweb pour la distribution, le téléchargement ou la vente de données personnelles volées.

Ce mardi 21 mars, l’administrateur “Baphomet” a annoncé sur son site et sur telegram la fermeture du forum. “Ce sera ma dernière mise à jour sur Breached, car j’ai décidé de fermer le forum” écrit l’administrateur. Cette décision fait probablement echo aux risques de sécurité générés par l’arrestation du fondateur par le FBI. Dans son message, “Baphomet” indique avoir détecté des activités suspectes sur l’un des serveurs du forum, attribuées selon lui à des enquêteurs fédéraux qui ont réussi à accéder à l'un des ordinateurs de Pompompurin. Pour ces raisons et pour protéger les utilisateurs du forum dont beaucoup exercent des activités illicites, il a décidé de fermer le site. On ne va pas s’en plaindre.

〰️ Dégustation 〰️

🚘 Les menaces de cybersécurité qui pèsent sur l'industrie automobile

Le rapport 2023 Global Automotive Cybersecurity Report de la société Upstream, qui commercialise une plateforme de sécurité et de gestion des données de l’automobile, aborde les nouvelles menaces auxquelles est confrontée l’industrie automobile et examine les mesures que le secteur peut prendre pour se protéger alors que ces menaces continuent d'évoluer. Tout l’écosystème est concerné et pas uniquement les véhicules.

Que retenir de ce rapport ?

Les cyberattaques peuvent provoquer de lourdes conséquences financières et de notoriété sur les marques et fournisseurs automobiles. La perte d’informations personnelles et d’utilisation de clients peut compromettre la confiance des clients. De nouveaux vecteurs d’attaques émergent.

• Les serveurs télématiques et d'applications constituent les vecteurs de cyberattaques les plus importants pour l'année 2022, représentant 35 % des attaques. Suivent ensuite les systèmes d'accès sans clé à distance (18 %), les unités de contrôle électronique (14 %), les API automobiles et de mobilité intelligente (12 %), les systèmes d'infodivertissement (8 %), les applications mobiles (6 %) et l'infrastructure de recharge des véhicules électriques (4 %).

• En dépit de l'utilisation de mesures de sécurité informatique avancées par les équipementiers, les attaques visant les API automobiles ont connu une hausse de 380 % en 2022, représentant 12 % de tous les incidents cyber.

• Les cyberattaques sont de plus en plus sophistiquées : 97 % des attaques sont menées à distance, dont 70 % sont perpétrées à longue distance. Nul besoin d’être proche du véhicule pour mener une cyberattaque ou pour voler une voiture sans même sa clé.

• Les cyberattaques dans l'industrie automobile ne se limitent pas aux fabricants de véhicules, mais peuvent affecter toute la chaîne d'approvisionnement et les fonctions associées. Il devient donc impératif pour les entreprises automobiles de se tourner vers une stratégie de cybersécurité plus axée sur la technologie et l'informatique, et de délaisser les modèles de sécurité centrés sur le véhicule.

〰️ Cul sec - La question 〰️

🚩 Quels sont les problèmes de sécurité posés par l’utilisation de clés USB ?

A. Les données du poste de travail peuvent être exfiltrées à l’insu de l’utilisateur, avec une clé USB spécialement conçue

B. Les données présentes sur une clé USB peuvent être corrompues

D. La clé USB (U See Better) permettre de voir plus loin (myopie) mais pas de plus près (presbytie)

C. La clé USB peut exploser

—> Réponse à la sortie du bar.

〰️ À La carte 〰️

👨🏻 Portrait - Adam Gowdiak est le fondateur et PDG du laboratoire de recherche en sécurité Security Exploration. Spécialiste de rétro-ingénierie informatique et véritable chasseur de bugs, il a à son palmarès plus de 100 bugs de sécurité découverts dans la technologie Java au cours des dernières années. Il est spécialement connu pour avoir mis Microsoft Windows à genoux en découvrant le bug MS03-026 / MS Blaster worm. Dans un post publié récemment, il interpelle Microsoft en affirmant que les contenus payants de Canal+, Fox et HBO seraient mal protégés.

💥 Cyberattaque - Dans un communiqué, la ville de Lille nous en apprend davantage sur l’intrusion du 1er mars dont elle a été victime. Il y aurait bien eu une fuite de données sur certains serveurs de la ville. Les citoyens qui ont ou ont eu recours aux services des villes de Lille, Lomme et Hellemmes sont invités à faire preuve de prudence et à changer de mot de passe. À ce jour, certains services sont toujours perturbés et les messageries électroniques des élus et agents de la Ville sont toujours désactivées. Situation qui pourrait illustrer les limites de la préparation de cette grande ville à ce type d’incident.

〰️ Cul sec - Réponse 〰️

Réponses

Les réponses A, B et C sont vraies

A. Les données du poste de travail peuvent être exfiltrées à l’insu de l’utilisateur, avec une clé USB spécialement conçue. C’est aussi une clé USB qui aurait été le vecteur d’attaque d’une des plus grandes attaques de l’histoire de la cybersécurité, l’attaque de la centrale nucléaire d’enrichissement de Natanz, en Iran, en 2010, avec le programme malveillant “Stuxnet”.

B. Les données présentes sur une clé USB peuvent être corrompues. Il ne s’agit pas d’une solution de sauvegarde fiable.

C. La clé USB peut exploser. Pas toutes les clés. Ce mois-ci, des journalistes de l’Equateur ont reçu des clés USB munies d’explosifs RDX/T4. L’une d’entre elles a explosé au visage d’un journaliste, sans toutefois, par chance, mettre en danger sa vie.

〰️ Digestif 〰️

Drink not found 🔎

Merci d’être passé ! Rendez-vous samedi prochain pour ton nouveau Shake de l’actu cyber et digitale ! 👋

👉 On a besoin de ton soutien pour diffuser à tous la culture de sécurité digitale.

Rejoins Shakerz, abonne-toi pour recevoir la newsletter hebdo. Tu aimes les Shake et tu veux en faire profiter tes potos ? Alors… 👇👇👇

Des questions ou un avis à partager ? C’est simple, il suffit de répondre à cet email et d’envoyer tes quelques lignes.

“Shake it, don’t fake it“