[Cyber] Revue de presse – Semaine 32 2023
Edito :
Bonjour et bienvenue sur notre nouvelle revue de presse dédiée à la cybersécurité ! Les nouvelles sont particulièrement riches cette semaine. Comme d’habitude une première partie est dédiée aux cyberattaques de la semaine, avec notamment celles perpétrées à l’encontre d’organismes publics, à l’instar de la Commission électorale du Royaume-Unis. Pour les articles de fond, nous écumerons la presse en partant des hautes strates de décision avec la publication de la nouvelle Loi de Programmation Militaire. Nous passerons par des sujets plus transversaux avec la sécurité du cloud ou encore la pertinence du CyberScore. Puis nous finirons vers des sujets plus légers, mais non moins inquiétants, avec une intelligence artificielle qui peut déterminer vos mots de passe à partir du bruit de votre clavier.
Bonne lecture.
Les cyberattaques dans la presse :
03/08/2023 : Le groupe de pirates informatiques mène une campagne d’attaques ciblant des entreprises et organisations à l’échelle mondiale. Les pirates exploitent des tenants compromis de Microsoft 365 et Microsoft Teams pour créer des sous-domaines « onmicrosoft.com » avec l’apparence de supports techniques légitimes. Ils envoient ensuite des messages aux utilisateurs via Microsoft Teams, les incitant à accepter une invitation de « Microsoft Identity Protection ». Ensuite, les utilisateurs sont convaincus de valider l’authentification MFA via l’application Microsoft Authenticator, ce qui permet aux pirates d’accéder aux comptes Microsoft 365 en utilisant les mots de passe déjà acquis.
04/08/2023 : Retour sur une cyberattaque du mois de juillet 2023. Une cyberattaque de grande envergure ayant ciblé 12 ministères norvégiens, exploitant des vulnérabilités dans l’Ivanti Endpoint Manager Mobile. L’attaque, identifiée en juillet, avait déjà compromis les réseaux et collecté des informations depuis au moins quatre mois. Les correctifs pour les vulnérabilités ont été publiés fin juillet. Le gouvernement norvégien enquête sur l’incident avec l’aide de la police, mais les travaux gouvernementaux continuent normalement. Les ministères touchés ont été privés de certains services mobiles, mais les ministères des Affaires étrangères, de la Défense et de la Justice n’ont pas été affectés grâce à leurs propres plateformes.
https://www.reuters.com/technology/norway-government-ministries-hit-by-cyber-attack-2023-07-24/
07/08/2023 : La mairie de Chevilly-Larue, une petite commune du Val-de-Marne en France, a été victime d’une cyberattaque menée par des pirates informatiques le 21 juillet. Les services informatiques, la messagerie électronique et la téléphonie fixe de la mairie ont été coupés par mesure de sécurité. La municipalité a mis en place des mesures temporaires pour maintenir les communications avec les administrés. Bien qu’elle ait reçu une demande de rançon de la part des attaquants, la mairie a refusé d’y donner suite.
07/08/2023 : Les hôpitaux américains Prospect Medical Holdings sont victimes d’une cyberattaque. Une cyberattaque par rançongiciel a entraîné la fermeture d’urgence et la redirection des services ambulanciers dans plusieurs États américains. L’entreprise a ouvert une enquête et collaboré avec des experts en cybersécurité pour résoudre l’incident. Le FBI enquête également et encourage les victimes à signaler l’incident sur le site ic3.gov. Les centres hospitaliers touchés ont dû passer au papier en raison de la panne informatique, affectant les opérations et les rendez-vous.
https://www.cybersecuritydive.com/news/ransomware-hospitals/690130/
08/08/2023 : Tennis Canada a subi une cyberattaque en juin, poussant à la mise en place de mesures de sécurité préventives et à l’engagement d’experts pour évaluer la situation. Bien qu’aucune preuve de compromission de données personnelles n’ait été trouvée, le Journal de Québec a rapporté que les noms, adresses, numéros d’assurance sociale et coordonnées bancaires des employés auraient été copiés par un gang de rançongiciels. Tennis Canada a confirmé l’incident et a déclaré que les données des acheteurs de billets étaient en sécurité, hébergées chez un partenaire tiers sécurisé, et que l’achat de billets restait sûr.
08/08/2023 : La Commission électorale du Royaume-Uni a subi une cyberattaque persistante de la part « d’acteurs hostiles », qui ont eu accès à ses systèmes pendant plus d’un an. L’attaque a été découverte en octobre 2022, mais les intrus avaient initialement pénétré les systèmes en août 2021. Les assaillants ont pu obtenir des copies de registres électoraux contenant des données d’électeurs , soit pas moins de 40 millions de personnes (Oopsy Daisy).
https://www.bbc.com/news/uk-politics-66441010
09/08/2023 : Le site impots.gouv.fr en France a été victime d’une cyberattaque revendiquée par le collectif de hackers ultra-nationalistes russes, qui a utilisé une attaque par déni de service (DDoS) pour perturber la plateforme le 9 août. L’attaque consistait à inonder le site de connexions simultanées, provoquant son indisponibilité pendant une partie de la journée. Bien que l’impact ait été limité à une interruption temporaire, l’origine exacte de la panne reste inconnue et pourrait être liée à la date limite de déclaration fiscale. La direction générale des Finances publiques n’a pas encore confirmé l’origine de l’attaque.
09/09/2023 : Une fausse application pour Android appelée « Safe Chat » prétendant offrir des services de messagerie sécurisée serait en réalité un malware conçu pour voler des données sensibles. Les chercheurs en cybersécurité ont identifié cette application qui se présente comme un clone de WhatsApp. Ce malware demande des autorisations d’accès aux données personnelles et aux activités en arrière-plan à travers des messages « pop-up ». Une fois ces autorisations accordées, il interagit avec d’autres applications de messagerie comme Telegram, WhatsApp et Signal pour extraire des données telles que la géolocalisation, les SMS, les contacts et les journaux d’appels.
Articles de fond sur la cybersécurité :
Podcast dédié au Retex de la cyberattaque du CHU de Brest _ publié le 23/07/2023 : Intéressant podcast de NoLimitSecu que je recommande chaleureusement, sur l’attaque du CHU de Brest dont nous avons parlé précédemment, avec un retour du RSSI de l’organisation. A écouter.
https://www.nolimitsecu.fr/retex-incident-de-securite/
CyberScore, _ publié le 02/08/2023 : Intéressant article qui interroge le bien fondé des cyberscore qui évaluent la cybersécurité des entreprises à partir de données publiques et sources ouvertes, incluant des scans de services exposés, des analyses de réputation des IP, et des recherches sur le DarkWeb pour repérer des fuites. Les entreprises les utilisent pour surveiller leur exposition, détecter les dysfonctionnements, gérer risque fournisseur, négocier assurance cyber et évaluer réputation. Cependant, des participants ont noté des limites telles que le manque de transparence des algorithmes, l’absence de prise en compte de la complexité des systèmes d’information, et la volatilité des notes liée aux correctifs et vulnérabilités. A méditer.
https://news.dayfr.com/entreprise/2223336.html
Le Groupe Iliad présente son offre en cybersécurité _ Publié le 02/08/2023 : Iliad, maison mère de Free, a présenté sa nouvelle branche de cybersécurité, Free Pro, qui a été lancée en avril dernier suite à l’acquisition de la société française de cybersécurité ITrust. ITrust propose une solution de cybersécurité basée sur l’intelligence artificielle. La solution d’ITrust se concentre sur la protection contre les menaces actuelles, en utilisant l’IA pour anticiper des attaques complexes et réduire le temps de signalement des incidents. A suivre.
Le risque du collaborateur malveillant _ publié le 02/08/2023 : L’article met en avant la menace interne que représente le collaborateur malveillant, une source de risque souvent sous-estimée par les entreprises. Alors que les objectifs visés sont la vengeance ou d’appât du gain, les évènements redoutés pourraient être l’arrêt de l’activités des outils de production ou l’indisponibilité du système d’information. La gouvernance des identités est un aspect clé pour contrer ces risques, en mettant en œuvre des cycles de vie des identités avec des principes tels que le moindre privilège, la vérification, l’Onboarding et le suivi de carrière. La collaboration entre la Direction des systèmes d’information (DSI) et Celle des ressources humaines (DRH) est essentielle pour une gouvernance réussie, permettant de gérer efficacement les droits d’accès des collaborateurs.
La nouvelle Loi pour la Programmation Militaire est publiée au journal officiel _ Publié le 03/08/2023 : La nouvelle Loi de Programmation Militaire (LPM) du 1er août 2023, publiée au Journal Officiel, se focalise sur la cybersécurité avec une allocation de 4 milliards d’euros pour le développement d’une cyberdéfense solide. Cette initiative vise à renforcer la résilience des activités critiques du ministère, à soutenir l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et à accompagner les entreprises sensibles du secteur de la défense en cas de crise cyber nationale. La LPM met l’accent sur la coordination entre les domaines de luttes informatiques défensive (LID), offensive (LIO) et d’influence (L2I), ainsi que sur la lutte contre la désinformation et la protection des câbles sous-marins. Des mesures d’innovation, d’intelligence artificielle (IA) et de lutte contre les actions hybrides sont également prévues pour garantir une défense adaptée aux nouveaux champs de conflictualité.
https://www.solutions-numeriques.com/nouvelle-lpm-4-milliards-deuros-pour-la-cyber/
Microsoft Critiqué pour sa Gestion Tardive des Vulnérabilités Majeures en Cybersécurité _ Publié le 03/08/2023 : Microsoft fait l’objet de critiques croissantes concernant sa réactivité à corriger les vulnérabilités de sécurité critiques. Des retards dans la résolution de failles, comme celle découverte dans Azure, suscitent des inquiétudes quant à la protection des données sensibles. Malgré la défense de Microsoft, des experts et même un sénateur américain pointent du doigt des pratiques de cybersécurité jugées insuffisantes.
https://www.01net.com/actualites/cybersecurite-microsoft-est-il-negligent-ou-prudent.html
Attention, le bruit de votre clavier peut révéler vos mots de passe _ Publié le 08/08/2023 : Des chercheurs d’universités britanniques ont utilisé l’IA pour démontrer qu’une cyberattaque pouvait décoder les frappes de clavier à partir d’enregistrements audio de Zoom et de microphones de smartphones. Cette attaque, nommée « attaque par canal latéral acoustique (ASCA) », longtemps sous-estimée, devient plus préoccupante avec la montée de la vidéoconférence et des réseaux de neurones. Les chercheurs recommandent des mesures de protection telles que l’utilisation de mots de passe complexes, l’authentification à deux facteurs et la vigilance en évitant de taper près de microphones sensibles.
Cyberattaque sur les cloud : nous ne sommes pas suffisamment protégés _ Publié le 08/08/2023 : Selon le rapport annuel de Sysdig sur les menaces cloud mondiales pour 2023, il ne faut que 10 minutes entre le vol des données d’identification et le déclenchement d’une cyberattaque. L’automatisation dans le cloud facilite ces attaques instantanées, donnant aux cybercriminels la possibilité d’exploiter rapidement les failles. Les attaques cloud ciblent principalement les secteurs des télécommunications et de la finance, représentant 65 % des cas. Même si 90 % des menaces de la chaîne d’approvisionnement sont détectées, 10 % restent invisibles en utilisant des techniques d’évitement. Les attaquants, experts en automatisation et en exploitation du cloud, transforment les outils de développement en armes, mettant en évidence la nécessité de mesures de protection plus avancées.
https://www.globalsecuritymag.fr/10-minutes-suffisent-pour-lancer-une-cyberattaque-selon-Sysdig.html
Les utilisateurs d’Apple ne sont plus épargnés par les cyberattaques _ Publié le 09/08/2023 : Les utilisateurs de MacBook sont devenus une cible privilégiée des cybercriminels, avec une augmentation de 1000 % des mentions d’Apple sur le DarkWeb depuis 2019, selon un rapport d’Accenture. Les hackers ciblent désormais les ordinateurs Mac pour des attaques de ransomware, développant des malwares spécifiques pour cette plateforme. Des acheteurs proposent de fortes sommes pour la découverte de vulnérabilités, allant jusqu’à 1 million de dollars. Cette tendance reflète la démocratisation du cybercrime et Accenture prévoit une augmentation des attaques contre les utilisateurs de MacBook dans les années à venir.
