Chaque dimanche, une revue de presse de l'actu tech en général et de la cybersécurité en particulier
Opinion
Cet article de Mais où va le web ? résume la théorie du chercheur et philosophe Luciano Floridi, selon laquelle l’engouement autour de l’IA prend les allures d'une nouvelle bulle technologique. Après avoir récapitulé les éléments constitutifs de cette bulle (poids des ressources nécessaires, gains attendus non réalisés, effondrement prévisibles des modèles par la consommation de leurs propres données), l’article présente la perspective historique des travaux de Floridi en revenant sur les cinq bulles précédentes : la bulle du TLD .com, la bulle telecom, celle de la tech Chinoise, celle des crypto-actifs et la "Tech stock bubble". Il dégage ensuite leurs caractéristiques communes, avant d'ouvrir la conclusion sur les moyens d'atténuer les effets de l'éclatement inévitable de la bulle.
Tendances
La saison des tops et des récaps bat son plein à l'approche des fêtes de fin d'année.
Les prévisions et les bilans des spécialistes pour 2025
- Kapersky sort son rapport sur les cybermenaces prévisibles en 2025 : parmi les tendances les plus remarquables, le ransomware continue sa progression grâce à la cryptographie post-quantique, se généralise avec les Ransomwares as a Service, et s’aggrave d'empoisonnement des données.
- Kapersky évalue aussi les tendances des APT pour l'an prochain : ceux-ci auront davantage recours à l'IA et aux attaques BYOVD, la supply chain et les projets open source seront davantage ciblés, l'IOT sera un vecteur d'attaque de plus en plus important et les groupes d'hacktivistes auront tendance à former plus d'alliances.
- Le laboratoire de recherche d'Elastic publie son rapport annuel sur les malwares de 2024 : si l'OS le plus attaqué reste Windows, Linux est en forte progression avec un bon 32% des attaques. Le classement par familles de malwares est largement dominé par les trojans à 82% (+21% par rapport à 2023).
Failles de sécurité
HARDWARE : vulnérabilité sur les processeurs MediaTek
Les processeurs
MediaTek, présents entre autres dans plusieurs versions d'appareils Android, sont affectés par plusieurs CVEs – dont une critique – liées à des problèmes de lecture et d'écriture hors limites, de débordement de pile (stack overflow) et d'exceptions non détectées. Les risques encourus incluent l’élévation de privilèges en local et les attaques par déni de service.
IA : De nouvelles vulnérabilités liées au machine learning
Après une
première partie publiée en novembre dernier, l'équipe de chercheur de l'éditeur de logiciels Jfrog a sorti cette semaine une
nouvelle liste de dix vulnérabilités côté client, liées au machine learning et au MLOps.
LINUX : des nouvelles de la vulnérabilité BootKitty
On en sait
plus sur Bootkitty, le premier bootkit UEFI spécifique à Linux, révélé la semaine dernière par les chercheurs de l'ESET : il exploite la faille LogoFAIL, connue depuis un an. Bootkitty s'en sert pour intégrer du code shell dans des images bitmap. Ce code sert à injecter des certifications falsifiées qui autoriseront l'installation d'un chargeur au démarrage (bootloader) malveillant.
On apprend
ailleurs que le malware est en réalité un prototype venu d'un projet universitaire sud-coréen.
AWS : la vitesse d'exploitation des clés est un problème
Il n'est pas rare que des développeurs oublient des clés d'accès AWS dans leur code et que des attaquants les exploitent avant qu'elles n'en soient retirées.
Les chercheurs de Clutch Security ont réalisé un test en dispersant volontairement des clés sur différentes plateformes et forums de développeurs. Selon l'endroit où elles avaient été déposées, le temps qu'ont mis les clés à être découvertes et exploitées varie de quelques minutes à 3 à 5 jours. Seules celles sur npm et Private GitHub Gists sont restées inutilisées.
En bref
- Apple : vulnérabilité critique et activement exploitée sur Safari, de type RCE. CVE-2024-44308. Des patches sont disponibles.
- Cisco : vulnérabilité critique sur NX-OS, attribuée à un bootloader insuffisamment sécurisé qui laisse n'importe quel utilisateur charger un logiciel non vérifié. Des mises à jours gratuites sont disponibles pour les produits concernés.
- Hewlett-Packard : vulnérabilité sur la solution d'authentification Icewall, qui pourrait autoriser un attaquant à altérer les données à distance. CVE-2024-11856. Des patches sont disponibles.
- IBM : vulnérabilités critiques de type RCE sur Security Verify Access. Un patch est disponible.
- Microsoft : faille 0-day sur Windows2012 et les serveurs 2012 R2, qui permettrait à un fichier malveillant de contourner la vérification MoTW propre à NTFS. Des micropatches non-officiels ont été publiés en attendant une solution éditée par Microsoft.
- Microsoft : faille 0-day critique sur Windows, qui permet le vol des identifiants NTLM. Des micropatches non-officiels sont disponibles en attendant la solution Microsoft.
- Microsoft : vulnérabilité sur l'utilitaire de journalisation d'événements Wevtutil.exe. L'exploitation permet le vol de données. Configurer la politique d'audt avancé permet de mitiger cette faille.
- Sonicwall : de multiples vulnérabilités critiques sur la série SMA 100 permettent l'exécution de code arbitraire, le contournement de l'authentification ou la compromission de l'intégrité du système. Il n'existe aucune preuve d'exploitation active à ce jour, mais étant donné la gravité du risque, Sonicwall recommande un upgrade vers une solution plus récente.
- WordPress : vulnérabilité sur Gutenberg Editor qui permet à un attaquant ayant acquis le niveau d'accès Contributeur ou au-delà d'injecter du script malveillant dans les pages du site. CVE-2024-10178. Il est recommandé de passer à la version 3.4.0 ou plus récente, et de vérifier l'attribution des rôles et des permissions. L'utilisation d'un WAF peut renforcer la posture de sécurité.
- Django sort une mise à jour de sécurité pour des vulnérabilités critiques aux DOS CVE-2024-53907 et aux injections SQL CVE-2024-53908
MàJ, changements et nouvelles fonctionnalités
Microsoft fait pression sur ses utilisateurs tandis que Linux sort une mise à jour majeure
Microsoft reste ferme sur
les exigences de Windows 11 Experience en matière de hardware : la puce TPM 2.0 est obligatoire et le restera ! Ce module cryptographique est indispensable pour l'évolution voulue par Microsoft pour Bitlocker. La gestion des clés de chiffrement dépendent aussi de ce composant, qui les stockera à la place de Windows afin de renforcer leur protection. Il est possible d'activer cette puce sur PC, ou, si elle fait défaut, de l'installer.
Cependant, cette posture d'intransigeance risque de ne pas améliorer la perception de Windows 11, alors que
seuls 35 % des utilisateurs Windows l'ont adopté. Afin de persuader les retardataires d'acheter du matériel adapté au lieu d'installer Windows 11 sur des PC non pris en charge, Microsoft menace de faire apparaître un filigrane sur l'écran lorsque l'OS aura été installé sans les pré-requis. L'auteure de l'article partage quelques astuces pour contourner ces mesures coercitives.
Je me contenterai de rappeler que les pré-requis sont infiniment moindres pour la plupart des distributions GNU Linux...
Il se trouve justement que
la version 6.13-rcl de Linux est sortie, incluant une amélioration de la sécurité et de la stabilité.
Les nouvelles fonctionnalités de la semaine
- Les nouvelles mises à jour d'Android et de Pixel9 contiennent des améliorations concernant l'accessibilité, telles que le sous-titrage et l'audio-description automatiques. Et l'assistant Gemini aura plus d'extensions.
- Bitdefendeur annonce des améliorations sur sa plateforme XDR GravityZone, afin que celle-ci réponde mieux aux défis posés par les infrastructures cloud, diversifiées et étendues.
- Firefox expérimente l'installation en tant que navigateur par défaut sur les appareils Windows.
- Notepad++ sort sa version 8.7.2, dont la fonctionnalité la plus attendue est la possibilité d'épingler les onglets importants pour un accès plus rapide.
Attaques : les campagnes de la semaine
Ils font parler d'eux cette semaine
Les infostealers ont le vent en poupe : il y a d'abord cette vague d'attaques inquiétante sur les appareils Android par le Maas (Malware as a Service)
DroidBot. L'attaquant paie 3000$ par mois pour avoir accès aux fonctionnalités lui permettant de voler les identifiants de l'appli bancaire présente dans les appareils ciblés. 77 établissement sont ciblés,
dont dix banques françaises.
Au rayon MaaS, nous avons aussi
Celestial, un infostealer qui cible les systèmes Windows pour y voler les données de navigateur, d'applications et de portefeuilles de cryptomonnaie.
Ensuite vient la possibilité de télécharger en lieu et place d'une application de visioconférence dont le nom a varié, mais circulant actuellement sous celui de Meeten
le malware Realst : infostealer polyvalent, Realst récolte aussi bien les identifiants Telegram que les cookies de navigateur, les portefeuilles Binance ou les informations bancaires.
Si vous avez décidé de placer vos économies dans des cryptomonnaies, le risque sera que votre portefeuille soit compromis par
aiocpa, une API en Python d'apparence légitime, mais qui injecte un infostealer dans les portefeuilles de cryptomonnaie.
Enfin,
Smokeloader est de retour avec des capacités accrues : connu auparavant pour embarquer d'autres programmes malveillants, c'est maintenant avec ses propres plug-in qu'il exploite les failles de MS Office pour voler les informations de navigateurs, de clients mails, de FTP et de divers logiciels.
Actuellement ministre des Affaires Étrangères,
Jean-Noël Barrot a été victime de phishing. Après avoir cliqué sur lien douteux sur Signal, celui qui était encore ministre délégué au numérique il y a moins d'un an a refusé que l'ANSSI analyse les données de son téléphone Android. Un appareil d'ailleurs bien peu sécurisé en regard des besoins en confidentialité d'un ministre d’État.
Le groupe
Brain Cipher, spécialisé dans le ransomware, revendique le vol d'1 To de données sensibles au cabinet de conseil Deloitte, ainsi que la connaissance des détails de leur système d'information et de ses failles de sécurité. Ils promettent de révéler bientôt un exemplede donnée en leur possession.
De son côté,
Deloitte réfute fermement les allégations des pirates. Leur porte-parole fait état d'un seul dossier client dérobé en externe, et nie toute atteinte à l'intégrité de leur système d'information.
En dehors des sentiers battus...
Une
nouvelle forme d'attaque par QR-code permet de contourner toute mesure d'isolation du navigateur : une fois la cible compromise, le malware implanté lance une requête vers une page web du serveur de l'attaquant, qui répond avec un script contenu dans un QR-code. Celui-ci est scanné et exécuté par le malware.
L'attaque par DaMAgeCard est un nouveau moyen d'accéder directement à la mémoire-système. Le vecteur de cette attaque est la nouvelle carte SD Express, qui a été conçue avec cette possibilité d'accès afin d'optimiser sa vitesse.
Le phishing toujours omniprésent
Pour contourner les solutions de sécurité, une des dernières tendances du phishing est d'envoyer un
fichier Word corrompu en pièce jointe, afin qu'ils échappent à l'analyse car défectueux. Mais quand l'utilisateur tente de lire le fichier, son logiciel lui propose de lancer la récupération et parvient à rétablir le document dans son intégralité. Celui-ci contient un QR-code qui redirige l'utilisateur vers une fausse page de connexion à MS 365, afin de voler ses identifiants.
Une campagne dans la même veine est très active en cette fin d'année :
la fausse fiche de paie ou la fausse fiche de fin d'année. Tout comme précédemment, l'email est accompagné d'une pièce jointe corrompue dont le traitement de texte lancera la récupération automatique. Le fichier récupéré contient un QR-code renvoyant vers une fausse page etc.
A l'inverse, une campagne ayant débuté au printemps dernier consiste à
envoyer une fausse candidature à une entreprise, contenant un fichier de raccourci Windows .lnk dont l'activation va aboutir au déploiement d'une porte dérobée, puis de Cobalt Strike Beacon afin de communiquer avec le serveur de l'attaquant. Cette technique est connue sous le nom de LOLBin abuse.
Panorama des cybermenaces
Russie
Deux hôpitaux anglais ont été
ciblés par une cyberattaque du groupe affilié à la Russie Inc Ransom . ces incidents se produisent une semaine après l'attaque sur le CHU de Wirral, qui a causé la disruption des services, et dont on ne connaît toujours pas l'origine.
De son côté, le Royaume-Uni a lancé un
vaste coup de filet sur le blanchiment d'argent russe, procédant à 84 arrestations.
L'APT pro-russe
BlueAlpha a investi Cloudflare afin d'utiliser le tunneling comme moyen d'obfuscation pour son malware GammaDrop. Il s'agit de cacher les communications entre les machines infectées et les serveurs C2 du groupe.
Turla(Aka Secret Blizzard), un autre APT pro-russe,
a hijacké des serveurs C2 et des postes de travail de Storm-0156, un APT pakistanais. Si l'objectif semble avoir été de déployer des portes dérobées sur des entités du gouvernement afghan, l'opération leur a permis de récupérer au passage des informations sensibles précédemment récupérées par le groupe pakistanais. Un spécialiste de chez Lumen explique que les APT et autres groupes cybercriminels sont relativement vulnérables aux attaques, parce qu'installer des solutions de sécurité entre en conflit avec la nature de leurs activités.
Kirill Parubets est un programmeur russe. Détenu et malmené par le FSB pendant deux semaines, sous l'accusation d'avoir envoyé de l'argent en Ukraine, il fit semblant d'accepter de travailler comme informateur pour le FSB, et pris la fuite dès sa libération. Là, il se rendit compte qu'un trojan avait été introduit dans son téléphone pendant sa détention, ce qui lui permit de l'étudier et d'en faire connaître les détails.
Chine
Alors que
plus de 8 opérateurs telecoms étasuniens sont compromis, et que
les telecoms américains peinent à réagir contre l'implantation de Salt Typhoon dans leur réseau, les renseignements américains rapportent que l'APT gouvernementale s'est implantée discrètement
dans les infrastructures critiques d'une douzaine d'autres pays, depuis un ou deux ans.
Selon Microsoft,
les États-Unis sont quant à eux ciblés par Storm-2077, un autre APT affilié à la Chine, et qui s'en prend aux infrastructures critiques et aux agences gouvernementales du pays.
En réaction, le FBI et le CISA
encouragent chaudement l'usage des messageries sécuriséesEarth Minotaur est un acteur émergent qui utilise une version améliorée du kit Moonshine pour installer sa porte dérobée DarkNimbus sur des appareils Android ou Windows, à travers le réseau WeChat.
Après s'être d'abord concentré sur les Ouïghours et les Tibétains, Earth Minotaur s'en prend désormais à un large panel de pays, dont la France.
C'est tout pour cette semaine, à dimanche prochain...
