Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
L'agenda de la semaine à venirA Brest les 22 et 23 novembre prochains se tiendra Super Brest 2024, un marathon créatif "pour imaginer et fabriquer ensemble ce qui constituera la ville de demain, sur des thèmes libres : arts, sciences, développement durable, urbanisme, énergie, climat, éducation, handicap, emplois, bien-être.... Ces thèmes sont en cohérence avec un ou plusieurs des 17 objectifs de développement durable fixés par les Nations Unies."
https://www.superbrest.info/Le Campus du Libre 2024 aura lieu le 23 novembre à l'université Lyon3, au campus de la "Manufacture des Tabacs". Au programme : des conférences autour du logiciel libre, de nos données et de nos pratiques numériques le matin, des install parties et des sessions de jeux l'après-midi, ainsi qu'un village associatif et entreprises.
https://www.campus-du-libre.org/TendancesLe top des 15 vulnérabilités les plus exploitées en 2023Les Five Eyes (un réseau composé des agences de renseignement étatsuniennes et de leurs alliés d'Australie, du Canada, de Nouvelle-Zélande et du Royaume-Uni) lancent un appel aux organisations du monde entier à mitiger les risques issus des 15 vulnérabilités les plus exploitées en 2023.
Il ressort de l'étude de cette liste que la majorité des failles de sécurité qui s'y trouvent ont d'abord été exploitées en tant que zero-day. Pour certains, c'est le signe d'une chute de la qualité des logiciels, pour d'autres, c'est simplement dû au fait que les attaquants gardent le secret des failles qu'ils découvrent. Quoi qu'il en soit, les acteurs malveillants gagnent du terrain en se montrant de plus en plus capables de devancer la révélation et la mitigation d'une faille de sécurité. Face à ce constat, les recommandations incluent notamment :
la révélation des vulnérabilités dès leur découverte
l'intégration des questions de sécurité dans le cycle de développement
l'emploi par l'utilisateur final d'outils de détection avancés (EDR).
https://thecyberexpress.com/zero-day-vulnerabilities/ https://www.darkreading.com/cyberattacks-data-breaches/zero-days-wins-superlative-most-exploited-vulns https://www.theregister.com/2024/11/14/five_eyes_2023_top_vulnerabilities/Un monde rIAnt… Et en effet on ritTechcrunch nous confirmait dimanche dernier que Grok – le chatbot de X (ex-Twitter) construit par xAI – jusque là réservé aux membres premium de la plateforme, allait devenir accessible aux usagers non-payants (pour le moment en Nouvelle-Zélande).
Or, la nouvelle précède de peu celle-ci : répondant en détail à la question d'un des usagers de la plateforme, Grok vient d'épingler publiquement Elon Musk (dirigeant de l'entreprise qui l'a conçu et du réseau social qui l'héberge) comme "l'un des pires vecteurs de désinformation sur X". Et d'ajouter en conclusion : "Ceci peut avoir de réelles conséquences, en particulier lors d'événements importants comme les élections." On attend avec impatience l'accès du plus grand nombre au jeu des questions-réponses à propos du patron...
Voila, ça n'était pas l'info la plus importante de la semaine, juste la plus ironique.
https://techcrunch.com/2024/11/10/x-is-testing-a-free-version-of-ai-chatbot-grok/ https://fortune.com/2024/11/14/grok-musk-misinformation-spreader/Les méfAIts de la semaine
Un scam est en cours, visant les contenus musicaux sur Spotify : glisser de la musique générée par IA au nom d'un·e artiste ou d'un groupe connu, et encaisser les royalties à leur place.
https://www.theverge.com/2024/11/14/24294995/spotify-ai-fake-albums-scam-distributors-metadataUn chercheur en IA chez TrueMedia nous explique que le nombre et les conséquences des deepfakes sont difficiles à appréhender, parce qu'ils sont très diversifiés et ultra-ciblés. Ceux qui visent une célébrité et sont relayés par la presse sont extrêment rares, et vous ne verrez pas ceux dont vous n'êtes pas la cible, parce que vous n'êtes pas sur la boucle Telegram où l'infox circule. Mais des millions d'autres gens le verront, eux.
https://techcrunch.com/2024/11/12/generative-disinfo-is-real-youre-just-not-the-target-warns-deepfake-tracking-nonprofit/VertexAI (la plateforme de machine learning et de développement d'IA de Google) vient de régler deux failles de sécurité qui auraient pu permettre à des acteurs malveillants d'exfiltrer les modèles appartenant à l'entreprise. Les chercheurs de Palo Alto qui on découvert la faille ont aussi proposé quelques solutions de mitigation, tout en insistant sur les dégâts potentiels d'un gain d'accès non autorisé aux LLM qui régissent les IA.
https://www.darkreading.com/cloud-security/google-ai-platform-bugs-proprietary-enterprise-llmsFaire contribuer une IA générative à une tâche impliquant les données de l'entreprise risque de mener à des pertes et des vols de propriété intellectuelle. Le phénomène n'est pas nouveau mais tend à augmenter en même temps que l'usage des IA au travail, et les bonnes pratiques en la matière peinent à se répandre.
https://www.helpnetsecurity.com/2024/11/13/ip-loss-video/Il arrive qu'un bug dans l'IA induise des comportements relevant des violences numériques. Cette semaine, c'est Gemini qui, au terme d'une logorrhée extrêmement agressive, a prié l'étudiant qui l'utilisait pour son devoir de bien vouloir mourir. S'il est vrai qu'un doute persiste sur la possibilité pour l'utilisateur d'induire (volontairement ou non) ce comportement avec le script ou un script antérieur, Google admet que les IA génératives peuvent marginalement se livrer à des débordements imprévisibles, et impossibles à mitiger. D'autres utilisateurs rapportent des incidents similaires.
https://www.theregister.com/2024/11/15/google_gemini_prompt_bad_response/ https://hackread.com/google-gemini-ai-chatbot-tells-users-to-die/Les bugs d'IA génératives, ne sont pas toujours aussi terrifiants. La plupart du temps, ils sont juste hilarants, tels les résumés de notifications sur les appareils d'Apple :
https://www.theverge.com/2024/11/12/24289939/apple-intelligence-ai-notification-summaries-awkward-funny-badCe qui est inquiétant en revanche, c'est qu'en dépit de ces piètres performances, l'IA soit imposé à marche forcée dans les moindres fonctionnalités : The Wall Street Journal s'aprête à lui confier le résumé des articles et l'IA est choisie comme solution de formation pour pallier au plus vite le manque de personnel de santé. Son rôle dans l'apprentissage paraît flou, mais il semblerait qu'elle serve surtout dans la gestion du parcours des apprenants. Malgré le ton élogieux de l'article, sa conclusion me fait froid dans le dos : "En d'autres termes, en reposant sur l'IA générative, Stepful s'assure que ses métriques ressemblent plus à une entreprise tech avec bien moins d'humains dans la boucle, qu'à un programme de formation classique." Youpi.
https://www.theverge.com/2024/11/13/24295838/the-wall-street-journal-ai-article-summaries-key-points https://techcrunch.com/2024/11/13/stepful-raises-31-5m-to-address-healthcare-staffing-shortage-with-ai-powered-training/Les nouvelles fonctionnalités de l'IAParmi les nouveautés à base d'IA qui ont capté ma curiosité pour des raisons autres qu'une promesse d'apocalypse imminente, il y a AI Granny – dAIsy de son petit nom, le robot conversationnel qui ne demande pas mieux que de faire perdre leur temps aux scammers en radotant. Lancée au Royaume-Uni par la compagnie de téléphonie mobile O2, l'objectif réel de dAIsy est de diminuer le nombre de victimes en retenant les scammers au téléphone, tout en affinant l'étude de leurs techniques d'ingénierie sociale.
https://www.theregister.com/2024/11/15/o2_ai_granny/ https://techcrunch.com/2024/11/15/ai-granny-scambaiter-wastes-telephone-fraudsters-time-with-boring-chat/ https://gizmodo.com/telecom-builds-ai-grandmother-bot-to-talk-to-phone-scammers-and-waste-their-time-2000524579Cyber Threat IntelligenceChineSalt Typhoon, un groupe lié au gouvernement chinois, a mené une cyber-attaque massive contre les infrastructures telecom étatsuniennes, ainsi que celle d'autres pays alliés. Même si la compromission de données sensibles reste à déterminer, l'opération, confirmée cette semaine par le CISA et le FBI, s'impose comme une des plus importantes campagnes de cyber-espionnage, et peut être interprété comme un signe de l'escalade des conflits numériques internationaux. Ses conséquences sont encore en cours d'évaluation. Le mode opératoire incluait l'exploitation de vulnérabilités dans les infrastructures réseau, notamment des routeurs Cisco, ainsi que l'utilisation d'IA et de techniques de machine learning.
https://www.helpnetsecurity.com/2024/11/14/cyber-espionage-telecommunications-us/ https://www.theregister.com/2024/11/14/salt_typhoon_hacked_multiple_telecom/ https://cybersecuritynews.com/chinese-hackers-us-govt-officials/ https://hackread.com/cisa-fbi-chinese-hackers-hacked-us-telecom-networks/ https://techcrunch.com/2024/11/14/us-confirms-china-backed-hackers-breached-telecom-providers-to-steal-wiretap-data/Récemment, la Chine est aussi impliquée, à travers son groupe affilié T112, dans une campagne de phishing pour distribuer Cobalt Strike. L'opération impliquait une injection JS dans le CMS d'organisations tibétaines, puis utilisait l'ingénierie sociale pour pousser l'utilisateur à télécharger le malware. Cette attaque prend place dans un contexte où la Chine intensifie ses efforts pour contrôler ses minorités ethniques et religieuses.
https://cybersecuritynews.com/china-nexus-hackers-hijack-websites/ https://gbhackers.com/china-nexus-actors-hijack-websites/Moyen-OrientLes attaques se multiplient contre Israël :
une série d'attaques par DDOS a visé les infrastructures critiques du pays, notamment le système de cartes de crédit et les stations-service. Sans qu'un groupe précis ne soit nommé, les experts israeliens pointent un mode opératoire récurrent côté iranien.
un nouveau groupe, Radwan Cyber Pal clame avoir dérobé au ministère de la sécurité nationale la totalité des données sur les occupations par des colons armés et les soldats, en plus de nombreux autres documents confidentiels. Ces affirmations, si elles sont avérées, posent question sur les protocoles de sécurité du ministère.
https://thecyberexpress.com/cyberattack-on-credit-card-systems-in-israel/ https://thecyberexpress.com/radwan-cyber-pal-alleged-cyberattack/Une opération de phishing est menée actuellement par le groupe iranien TA455. Elle cible les travailleurs de l'aéronautique en les contactant sur LinkedIn sous l'identité d'un recruteur, et en les poussant à télécharger un zip du nom de "SignedConnection.zip". Celui-ci contient en réalité un malware, ouvrant dans leur système une porte dérobée liée à un serveur C2. Les tactiques déployées lors des différentes phases de l'attaque rend incertaine leur attribution à d'autres groupes qui pourraient être impliqués.
https://www.darkreading.com/cyberattacks-data-breaches/iranian-cybercriminals-aerospace-workers-linkedin https://www.helpnetsecurity.com/2024/11/13/malicious-job-offers-aerospace/VulnérabilitésAlertesDes chercheurs ont détecté une vulnérabilité dans PostgreSQL, qui pourrait mener à des compromissions de système et des fuites de données
https://hackread.com/postgresql-vulnerability-puts-databases-at-risk/Une vulnérabilité critique du thème WPLMS de Wordpress met les sites concernés en danger de RCE par le biais d'une traversée de répertoire. Les mesures de mitigation impliquent de désactiver et de désinstaller ce thème.
https://thecyberexpress.com/critical-wplms-wordpress-theme-vulnerability/ Le système de concaténation des fichiers zip (c'est-à-dire la possibilité de grouper plusieurs archives dans un seul fichier) permet aux attaquants d'y glisser des malwares : ils échapperont de ce fait aux outils de détection et pourront être envoyés dans le système ciblé par le biais d'un phishing. Contactés, les développeurs de 7.zip refusent cependant d'y voir une faille, et ne souhaitent pas modifier cette fonctionnalité.
https://www.darkreading.com/threat-intelligence/flexible-structure-zip-archives-exploited-hide-malware-undetected Utilisés par les télétravailleurs quand ils souhaitent qu'une pause passe inaperçue de leur employeur, les simulateurs mouvements de souris peuvent être un vecteur de cybermenaces.
https://www.undernews.fr/malwares-virus-antivirus/kaspersky-met-en-garde-contre-les-simulateurs-de-souris-dordinateur-potentiellement-malveillants.html Les périphériques Epson présentent une faille qui permet aux attaquants de créer un faux compte administrateur lorsque le mot de passe admin est laissé vide, laissant de ce fait les paramètres de configuration accessibles. Il est alors possible de créer un nouveau compte qui assurera un accès persistant au système.
https://cybersecuritynews.com/epson-devices-vulnerability/Mises à jour et patches disponiblesLe projet Apache Cloudstack a publié un patch pour une vulnérabilité sévère sur ses environnements KVM.
https://cybersecuritynews.com/critical-kvm-infrastructure-vulnerabilities/ Chrome 131 est sorti avec de nombreuses mises à jours de sécurité.
https://gbhackers.com/chrome-131-released/ Trois des points d'accès wifi de chez Cisco ont une faille de sécurité critique (CVSS : 10) permettant des RCE avec privilièges administrateur. Un patch a été publié.
https://www.darkreading.com/vulnerabilities-threats/cisco-bug-command-injection-attacks La version 12.8 de Debian est sortie, et elle fixe 68 bugs et 50 failles de sécurité.
https://www.it-connect.fr/debian-12-8-bookworm-68-bugs-et-50-failles-de-securite-corrigees/ Les mises à jours de Windows 10 et 11 sont sorties.
https://www.it-connect.fr/windows-10-kb5046613-mise-a-jour-novembre-2024/ https://www.it-connect.fr/windows-11-kb5046617-et-kb5046633-novembre-2024/ L'errata 008 d'OpenBSD patche une vulnérabilité importante du client et du serveur NFS, qui pourrait mener à une instabilité et une corruption du système.
https://cybersecuritynews.com/openbsd-double-free-vulnerability/ Zoom fait savoir à ses utilisateurs que toute versoin de ses produits antérieure à 6.2.0 contient des vulnérabilités permettant RCE, DOS, et fuites de données. Il est fortement recommandé d'effectuer la mise à jour au plus tôt.
https://cybersecuritynews.com/zoom-app-vulnerability/Attaques en coursPalo AltoLe fabricant d'équipements réseaux a fait savoir en début de semaine qu'une vulnérabilité critique permettant une RCE touchait l'interface de gestion de ses pare-feux.
https://cybersecuritynews.com/pan-os-remote-code-execution-vulnerability/ En théorie, cette nouvelle devrait trouver sa place dans la rubrique "Vulnérabilités". Cependant, dès vendredi, la nouvelle de l'exploitation active de cette faille a été annoncée. Il n'y avait pas de patch disponible à cette date.
https://www.theregister.com/2024/11/15/palo_alto_networks_firewall_zeroday/Insolite...Comme d'habitude cette revue de presse est trop longue sans avoir éffleuré la moitié des sujets prévus. Je ne voudrais pas la clore sans aborder l'attaque la plus originale de la semaine : des attaquants ciblent les amateurs de chats de Bengale !
Une petite explication s'impose : il s'agit d'une attaque par empoisonnement du SEO, c'est-à-dire que l'attaquant manipule les résultats fournis par un moteur de recherche, de façon à mettre en avant des sites malveillants lors de recherches sur certains sujets dans les tendances du moment.
Or donc, un malware du nom de Gootloader a récemment empoisonné les résultats de recherche de Chrome sur le sujet du chat de Bengale, dans le but de les renvoyer vers son site contenant des liens malveillants. L'attaque a frappé du côté de l'Australie. Quand l'utilisateur clique, il télécharge un RAT (Remote Access Tool) doublé d'un infostealer.
La mesure de mitigation que je propose, c'est de chercher plutôt du côté de la SPA, où de nombreux petits chats de gouttière sont tout aussi attachants...
https://cybersecuritynews.com/gootloader-targets-bengal-cat-lovers/ https://thecyberexpress.com/seo-poisoning-australia/C'est tout pour cette semaine, à dimanche prochain !
