Secu
Cybersécurité : le récap d’un été chaud bouillant…
Par Laurent Delattre, publié le 12 septembre 2023
Les cybercriminels ne partent pas en vacances. L’adage s’est une nouvelle fois révélé vrai. L’été a été marqué par une série de crises cyber qui ont encore des répercussions importantes en cette rentrée. Petit guide de rattrapage pour DSI et RSSI aux vacances déconnectées…
L’été 2023 a été riche en sensations du côté de la cybersécurité : Microsoft qui se fait voler ses clés, Clop qui assure la célébrité du logiciel MOVEit ou inversement, une nouvelle faille hardware dans les CPU Intel, Pôle Emploi qui fuite des millions de profils, LinkedIn qui se fait attaquer, de l’IA générative méchante, en un mot la totale… On a vu de tout et de toutes les couleurs. De quoi rendre un peu plus ardente encore la rentrée des DSI et RSSI. Petit tout tour d’horizon des principales failles, vulnérabilités, attaques et autres menaces de l’univers cyber durant l’été 2023.
Microsoft se fait voler une clé…
L’été a commencé avec une mauvaise nouvelle dont les répercussions ont animé non seulement l’été mais aussi la rentrée. Plusieurs institutions américaines et européennes ont été infiltrées après que des cybercriminels chinois du groupe Storm-0558 aient récupéré des jetons d’authentification aux comptes Outlook. Un incident de trop qui a énervé un sénateur américain (Ron Wyden) qui a obtenu que la CISA (l’ANSSI américaine) ouvre une enquête contre Microsoft pour « pratiques laxistes » ! De son côté, Microsoft s’est lancé dans une traque et une investigation de haute volée pour comprendre comment une clé d’authentification avait pu être ainsi dérobée. Au passage, l’éditeur a découvert que les hackers avaient eu accès à bien d’autres services qu’Outlook utilisant le même processus d’authentification à commencer par SharePoint, Teams, OneDrive, etc.
Après des semaines d’enquête, Microsoft a révélé cette semaine l’improbable cascade de défaillances ayant mené à cette exfiltration de clé : une très rare condition système a engendré un crash dump sur un système de signature, crash dump contenant une clé de signature ce qui n’arrive normalement jamais sauf justement dans le contexte rare survenu. Ce crash dump a alors été transféré sur l’environnement de débogage d’un ingénieur Microsoft. Or le compte de cet ingénieur a été compromis a priori après une attaque ciblée (probablement par Phishing). Et les hackers ont alors découvert les crash dumps présents sur sa machine et ont découvert la fameuse clé dans l’un d’eux… Un scénario digne d’un James Bond ! Reste que cette chaîne de défaillances risque de donner du grain à moudre au CISA et son enquête qui pourrait finalement avoir un vilain impact sur l’image de l’éditeur et la confiance de ses clients.
À LIRE AUSSI :
Le feuilleton MOVEit va encore animer la rentrée
À quoi mesure-t-on vraiment le succès d’un logiciel ? Aux nombres de ses utilisateurs victimes d’une de ses failles bien sûr ! MOVEit de Progress Software n’est probablement pas le logiciel le plus connu de la planète. Mais une série de vulnérabilités a démontré qu’il était étonnamment plus populaire qu’attendu notamment auprès de grandes entreprises ! Ainsi l’exploitation en masse des failles MOVEit par le tristement célèbre gang Cl0p aurait ainsi conduit à la compromission de plus 1167 entreprises qui se sont fait ainsi dérober des données sensibles… Et pas qu’un peu. Selon Emsisoft au moins 60 millions de profils ont ainsi été dérobés. Rien que l’entreprise de santé américaine Maximus s’est fait dérober plus de 11 millions de données confidentielles sur les clients. Si votre entreprise utilise MOVEit Transfer ou MOVEit Cloud, il est plus qu’urgent d’agir si ça n’est pas déjà fait…
Des millions de CPU troués
Depuis les tristement célèbres Spectre et Meltdown, le monde sait que les processeurs aussi peuvent avoir des failles de sécurité. Cet été, les vulnérabilités gravées au cœur des processeurs ont refait parler d’elles.
D’abord avec « Downfall », une faille au cœur des processeurs Intel Core de génération 6 à 11, soit des centaines de millions de machines impactées, qui permet à des programmes malveillants d’accéder aux zones mémoires d’autres programmes pour en voler les données sensibles, clés de chiffrement, etc. Le problème ? Le bug affecte aussi les processeurs Xeon de génération équivalente. Une horreur ! D’autant que le patch impacte notablement les performances.
AMD n’a pas pu se réjouir des malheurs de son principal concurrent. Quelques jours après la découverte de Downfall, on apprenait la découverte d’une vulnérabilité “Inception” conduisant à l’exposition de données sécurisées sur les processeurs à architecture Zen 3 et Zen 4 ce qui comprend les processeurs AMD Ryzen 5000, Ryzen 7000 mais aussi les processeurs pour serveurs EPYC de 3ème et 4ème génération. Là encore le patch a un vilain impact sur les performances.
Les profils de millions de demandeurs d’emploi fuitent sur la toile
Pôle Emploi a vécu un été difficile. RGPD oblige, l’agence française a dévoilé qu’un de ses prestataires – Majorel – avait été victime d’une cyberattaque ayant entraîné la fuite de deux fichiers contenant au total 11,4 millions de données d’identification de demandeurs d’emploi (actuels et anciens). Un temps associé à la campagne d’attaques basées sur la vulnérabilité MOVEit, il semble désormais que cette fuite massive n’ait pas de lien avec la série d’attaques du gang Cl0p.
Un moteur d’invisibilité pour malwares
Les chercheurs de Trend Micro ont découvert cet été un nouveau moteur d’obfuscation qui rend les malwares quasiment indétectables aux antivirus. Dénommé BatCloak, les malwares masqués par ce moteur échapperaient à 80% des moteurs antiviraux. Une nouvelle menace qui mérite toute l’attention des analystes cyber et des RSSI.
L’IA générative passe à l’attaque
On le sait, les IA génératives peuvent être employées à des fins malveillantes. Elles sont notamment utilisées par les acteurs du Phishing pour générer des textes parfaits dans différentes langues. Elles sont aussi utilisées pour créer des codes malveillants polymorphes pour mieux passer sous les radars. Selon une étude Deep Instinct, « 75 % des professionnels de la sécurité ont constaté une augmentation des attaques au cours des 12 derniers mois, 85 % d’entre eux attribuant cette hausse à l’utilisation de l’IA générative par des acteurs malveillants ».
Parallèlement, des chercheurs sud-coréens ont publié sur Arxiv un papier de R&D autour de DarkBERT, une IA conversationnelle uniquement formée aux données disponibles sur le Dark Web, la face cachée d’Internet. De quoi avoir avec l’IA d’inquiétantes discussions sur les malwares, les techniques de compromissions, le fonctionnement des ransomwares, etc.
À LIRE AUSSI :
La fuite LastPass prend une vilaine tournure
Selon Brian Krebs, la multiplication des rapports de craquage de portefeuilles de cryptomonnaie montre que les cybercriminels ont réussi à déchiffrer les mots de passe dérobés à LastPass plus tôt cette année. En tout, 25 millions de comptes utilisateurs ont filtré avec tous leurs logins et mots de passe sous forme chiffrée mais aussi les « seed phrases » de protection des Crypto Wallets que certains utilisateurs stockés également dans LastPass.
Les Help Desk IT attaqués
Okta alerte ses clients après avoir détecté une vaste campagne de Phishing destinée à compromettre les comptes des agents des services Help Desk afin de s’emparer de comptes Super Admin pour réinitialiser les authentifications MFA d’utilisateurs à privilèges. Okta invite ses clients à prendre des mesures en commençant par informer les agents de l’existence de cette attaque, à surveiller encore plus intensément les comptes Super Admin, et à bloquer l’accès aux adresses IP suspectes.
Les comptes LinkedIn menacés
Selon les chercheurs de Cyberint, de nombreux utilisateurs LinkedIn ont perdu l’accès à leurs comptes LinkedIn ces dernières semaines suite à une campagne d’attaques. Dans certains cas les comptes ont vraiment été compromis, les cybercriminels allant jusqu’à modifier l’email et le mot de passe de connexion pour ensuite mieux attaquer les contacts des comptes piratés. Mais dans certains cas, les utilisateurs se sont retrouvés avec un compte bloqué (mais non compromis) après que l’infrastructure de sécurité de LinkedIn ait détecté un certain nombre de comportements suspicieux et automatiquement activé le blocage des comptes associés par les protéger.
Sans surprise, l’univers de la cybersécurité reste toujours aussi dynamique et toutes ces menaces doivent inviter les responsables IT à toujours plus de vigilance et de prévention…
À LIRE AUSSI :