Bulletin d’information CYBER de votre CSIRT du 17/05/2024

Cellule de réponses aux incidents de sécurité

La cybersécurité est un enjeu crucial pour les entreprises et les organisations. Dans ce bulletin d’information, nous abordons plusieurs sujets d’actualité, tels que la fuite de données de l’hôpital de Cannes, les risques liés à l’utilisation de PDF et l’attaque dont a été victime le groupe informatique Dell. Nous rappelons également que les objets connectés et la domotique sont des cibles de choix pour les cyberattaques, et que les services de visioconférence en ligne peuvent présenter des failles de sécurité. Enfin, nous soulignons l’importance pour les entreprises de mettre en place un plan de protection de la donnée en production, et nous proposons notre aide pour les accompagner dans cette démarche.

En bref…

Fuite de données de l’hôpital de Cannes : un volume de données important divulgué en ligne

L’hôpital de Cannes a été victime d’une attaque par rançongiciel le 16 avril 2024. Les pirates informatiques du groupe Lockbit ont dérobé des données internes et exigé une rançon pour ne pas les diffuser en ligne. L’hôpital a refusé de payer la rançon, comme le recommandent les services de police.
Le 1er mai 2024, Lockbit a publié environ 60 gigaoctets de données volées, y compris des informations personnelles sensibles sur les patients de l’hôpital de Cannes, telles que des bilans de santé, des évaluations pédiatriques et psychologiques. Des données du personnel de l’hôpital ont également été diffusées. Ces données personnelles divulguées peuvent être utilisées de différentes manières, comme pour influer sur la décision d’une banque ou d’un assureur, ou pour mener des campagnes de phishing géolocalisées et très ciblées. Il est donc important de rester vigilant et de ne pas divulguer d’informations personnelles à des sources non vérifiées.
L’hôpital s’est engagé à prévenir les personnes éventuellement concernées par une diffusion d’informations personnelles. Les autorités ont également déclaré qu’elles avertiraient les personnes concernées afin de les mettre en garde contre les éventuelles arnaques qui pourraient en découler. Si vous pensez être concerné par cette fuite de données, nous vous recommandons de contacter l’hôpital de Cannes ou les autorités compétentes pour obtenir plus d’informations.
Sources:
https://www.nicematin.com/faits-divers/cartes-de-credit-bilans-de-sante-quelles-sont-les-donnees-derobees-lors-de-la-cyberattaque-contre-lhopital-de-cannes-918796
https://www.lemonde.fr/pixels/article/2024/05/03/le-groupe-lockbit-publie-des-donnees-piratees-de-l-hopital-de-cannes_6231329_4408996.html
https://www.usine-digitale.fr/article/cyberattaque-a-l-hopital-de-cannes-les-hackers-de-lockbit-publient-61-gigaoctets-de-donnees.N2212620
https://www.zdnet.fr/actualites/avec-leur-piratage-de-lhopital-de-cannes-les-cybercriminels-de-lockbit-signent-leur-retour-en-france-391321.htm

Sécurité informatique : les PDF, une menace à ne pas sous-estimer

Une vulnérabilité a été découverte dans le lecteur de PDF gratuit Foxit PDF Reader, qui compte plus de 700 millions d’utilisateurs dans le monde. Cette attaque utilise les défauts de conception des messages d’avertissement de Foxit Reader et capitalise sur les lacunes dans la conception des messages d’avertissements du logiciel, qui par défaut, activent les options les plus dangereuses. Les utilisateurs ont tendance à ignorer ces alertes et à opter pour les paramètres par défaut, ce qui permet aux acteurs de la menace de télécharger et d’exécuter une charge utile depuis un serveur distant.
Depuis début 2024, les chercheurs de Check Point ont identifié une recrudescence des attaques par PDF, qui est devenu le premier vecteur d’attaque par pièce jointe. Les services de santé sont les plus touchés, puisque 83 % de tous les fichiers malveillants sont des PDF.
Il est important de rester informé et vigilant face à ces vulnérabilités et ces menaces. Les utilisateurs de PDF doivent être particulièrement attentifs aux messages d’avertissement et aux pièces jointes suspectes. Il est également recommandé de mettre à jour régulièrement ses logiciels et de disposer d’une solution de sécurité solide pour se protéger contre les attaques et minimiser les risques.
Source:
https://www.undernews.fr/alertes-securite/alerte-a-lusage-du-pdf-une-vulnerabilite-decouverte-sur-foxit-pdf-reader-le-pdf-devient-le-principal-vecteur-dattaques-via-une-piece-jointe.html

Dell victime d’une cyberattaque : les données personnelles de 50 millions de clients dérobées

Le groupe informatique Dell a subi une cyberattaque qui a entraîné le vol de données personnelles de près de 50 millions de clients. Les informations dérobées incluent les noms, adresses, codes uniques de service des appareils, descriptions détaillées des produits achetés, dates des transactions, et les informations relatives aux garanties. Bien que Dell ait assuré que les coordonnées bancaires n’ont pas été divulguées, l’ampleur de cette exposition de données est préoccupante. Les clients américains, canadiens, indiens, chinois et australiens sont concernés. Les données volées ont été mises en vente sur le darkweb par un pirate informatique connu sous le nom de Menelik. Elles couvrent les transactions effectuées entre 2017 et 2024. Les clients de Dell doivent redoubler de vigilance face aux éventuelles fausses sollicitations au nom du support Dell et se protéger contre le social engineering.
Sources:
https://www.zataz.com/dell-confronte-a-une-cyber-intrusion-majeure-des-millions-de-clients-impactes/
https://www.silicon.fr/dell-fuite-donnees-clients-478492.html

Plus généralement

Les autorités révèlent l’identité du patron de LockBit, mais ais le groupe continue de sévir et s’adapte.

Le groupe de hackers LockBit serait dirigé par Dmitri Khoroshev, un développeur et pirate informatique russe de 31 ans. Les États-Unis, le Royaume-Uni et l’Australie ont révélé son identité et il est désormais recherché par la justice américaine pour escroquerie en bande organisée et extorsion, avec une récompense de 10 millions de dollars pour celui ou celle qui permettra de le retrouver. Il est important de souligner que, bien que son identité ait été révélée, il est toujours en liberté et en capacité d’agir. De plus, il est probable que la direction de LockBit soit assurée par plusieurs personnes et que l’arrestation d’un seul individu ne mette pas fin aux activités du groupe.
Nous constatons que, malgré les efforts des autorités pour mettre fin à ses activités, LockBit continue de se renouveler et de trouver de nouvelles façons d’attaquer ses cibles. La Cellule de cybersécurité et d’intégration des communications de l’État du New Jersey (NJCCIC) a récemment alerté sur de nouvelles tactiques déployées par le groupe, qui mène une attaque de phishing par e-mail à grande échelle depuis avril 2024 par le biais du botnet Phorpiex. Cette campagne montre que les cybercriminels peuvent réutiliser et adapter des infrastructures d’attaque existantes pour de nouveaux objectifs, même après leur démantèlement annoncé par les autorités suite à l’opération Cronos.
Cela prouve également que les vecteurs d’attaque menant à des chiffrements complets de bases de données d’entreprises restent de « simples » campagnes de phishing et donc l’importance de la sensibilisation de tous et toutes.
Sources:
https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-qui-est-dmitri-khoroshev-le-patron-russe-du-groupe-de-hackers-lockbit-dont-l-identite-vient-d-etre-revelee_6532553.html
https://www.undernews.fr/malwares-virus-antivirus/nouvelles-tactiques-deployees-par-le-groupe-de-ransomware-lockbit.html

Les objets connectés et la domotique : des cibles de choix pour les cyberattaques

Les vulnérabilités dans les objets connectés et les systèmes de domotique peuvent avoir des conséquences graves sur la sécurité et la vie privée des utilisateurs. Bitdefender a récemment identifié quatre vulnérabilités dans la plateforme IoT TUTK, utilisée par de nombreux fournisseurs d’équipements connectés, dont Roku, Wyze et Owlet. Ces vulnérabilités, lorsqu’elles sont exploitées en chaîne, permettent à un attaquant de contrôler totalement les appareils pour les espionner, diffuser des logiciels malveillants et effectuer d’autres actions malveillantes.
Il est important de souligner que les risques cyber ne se limitent pas aux ordinateurs et aux smartphones, mais concernent également tous les objets connectés et les systèmes de domotique. Les entreprises qui utilisent ces équipements doivent donc veiller à les sécuriser correctement pour éviter les conséquences néfastes d’une cyberattaque.
Les utilisateurs sont invités à s’assurer que la dernière mise à jour est installée pour corriger ces vulnérabilités.
Sources:
https://www.undernews.fr/alertes-securite/alerte-failles-cameras-iot-par-bitdefender-4-cameras-au-moins-roku-wyze-et-owlet-utilisant-la-plateforme-iot-tutk-comportent-des-vulnerabilites.html

Les failles de sécurité des services de visioconférence en ligne : l’exemple de l’armée allemande

Les services de visioconférence en ligne, tels que Webex, peuvent présenter des failles de sécurité qui permettent à des personnes malveillantes d’accéder à des informations confidentielles. C’est ce qui est arrivé à l’armée allemande, qui a utilisé Webex pour organiser des réunions importantes. Une recherche effectuée par le site d’information Zeit online a permis d’accéder à l’intitulé, la date, l’heure ou le nom de la personne invitant à plus de 6 000 réunions de la Bundeswehr sur Webex. Certaines de ces réunions étaient classifiées et concernaient des sujets sensibles tels que les missiles de longue portée Taurus réclamés par l’Ukraine ou « le champ de bataille numérique ».
Les salles de réunion virtuelles, attribuées aux 248 000 membres de la Bundeswehr, étaient facilement repérables grâce à une architecture informatique peu complexe et n’étaient pas protégées par un mot de passe. Zeit online a ainsi pu trouver la salle de réunion numérique d’Ingo Gerhartz, le chef de l’armée de l’air allemande.
Cet incident montre les risques liés à une mauvaise utilisation des services de visioconférence en ligne. Il est important de veiller à la sécurité de ces outils en utilisant des mots de passe complexes, en mettant à jour régulièrement les logiciels et en sensibilisant les utilisateurs aux bonnes pratiques de sécurité informatique.
Sources:
https://www.solutions-numeriques.com/des-milliers-de-reunions-de-larmee-allemande-ont-circule-sur-le-web/

Pour aller plus loin :

Les camps de cybercriminalité en Asie : des individus contraints de commettre des escroqueries en ligne

Les camps de cybercriminalité se développent en Asie, où des individus sont contraints de commettre des escroqueries en ligne, notamment par hameçonnage. Le Myanmar est particulièrement concerné par ce phénomène, qui touche des personnes provenant de plusieurs pays d’Asie et d’Afrique. Les victimes se voient promettre des emplois bien rémunérés, mais se retrouvent piégées et forcées de participer à des escroqueries visant des personnes en Europe et en Amérique du Nord.
Ces camps alimentent l’économie florissante du Phishing-as-a-Service (PhaaS), qui permet à des attaquants sans compétences techniques avancées d’accéder à des kits de phishing pour seulement 2$ par mois. Le PhaaS augmente la sophistication des attaques et modifie le paysage de la menace.
Le rapport Threat Intelligence de TEHTRIS révèle également les agissements d’un groupe cybercriminel baptisé Codex 40, qui a compromis plus de 3 millions de comptes Facebook et de jeux en ligne, faisant plus de 39 victimes par minute sur plus de 16 000 sites de phishing.
Ces exemples montrent que les attaquants ne sont pas toujours des personnes volontairement malveillantes et que l’envers du décor de la cybercriminalité est bien plus sombre.
Sources:
https://www.undernews.fr/hacking-hacktivisme/cybercriminels-malgre-eux-des-camps-du-cybercrime-proliferent-en-asie.html

Les RSSI français font face à des défis importants en matière de cybersécurité

Les entreprises françaises résistent aux cyberattaques mais ont du mal à respecter la réglementation en matière de cybersécurité, selon une étude de Splunk, filiale de Cisco. L’étude, menée auprès de 1650 responsables de la sécurité des systèmes d’information (RSSI) dans neuf pays, montre que 56% des entreprises françaises ont trouvé plus difficile de se conformer aux exigences de conformité au cours des deux dernières années. Plus de 8 RSSI sur 10 prévoient de modifier leurs budgets pour donner la priorité à la mise en conformité aux nouvelles réglementations, plutôt qu’aux meilleures pratiques de sécurité.
Les RSSI français font face à des défis importants pour assurer la sécurité de leur entreprise. 38% d’entre eux ont cité la sophistication des menaces comme un facteur rendant la gestion de la cybersécurité plus difficile. 27% ont déclaré ne pas pouvoir consacrer suffisamment de temps à l’amélioration de la cybersécurité, reflétant un manque d’investissement à long terme. 26% ont du mal à suivre le flot continu d’alertes de sécurité. Un responsable sur trois en France a déclaré que le nombre d’outils et de fournisseurs à sa disposition était devenu trop important pour gérer efficacement la sécurité de son entreprise.
Les résultats de l’étude soulignent l’importance pour les entreprises de trouver un équilibre entre la conformité réglementaire et la sécurité informatique. Les RSSI ont besoin de plus de soutien et de ressources pour faire face aux menaces de cybersécurité de plus en plus sophistiquées.
Sources:
https://www.usine-digitale.fr/article/etude-les-entreprises-francaises-resistent-aux-cyberattaques-mais-peinent-a-respecter-la-reglementation.N2212565

Protéger le patrimoine de données des entreprises : les étapes clés

Pour protéger efficacement le patrimoine de données des entreprises, il est essentiel de mettre en place un plan de protection de la donnée en production, alliant organisation, technique et technologie.
La première étape consiste à réaliser un inventaire exhaustif des données et des applications, en évaluant leur degré de criticité et leurs usages. Cette démarche implique l’ensemble de l’entreprise et permet de définir la stratégie de protection : nature du traitement, gestion du cycle de vie, chiffrement, rétention, immuabilité.
La deuxième étape est de s’appuyer sur des outils adaptés, tels que des logiciels, des matériels et des méthodes de sécurisation. La sauvegarde des données est un élément clé de cette étape, représentant le dernier rempart contre la perte de données.
Enfin, il est important de considérer ce sujet de gouvernance comme une priorité stratégique et de faire évoluer le plan de protection en fonction des besoins et des évolutions technologiques, en s’appuyant sur des infrastructures et des solutions robustes et de confiance.
Si vous avez besoin d’aide pour mettre en place un plan de protection de la donnée en production dans votre entreprise, nous pouvons vous conseiller et vous accompagner dans cette démarche.
Sources:
https://www.undernews.fr/reseau-securite/quelques-cles-pour-assurer-une-bonne-securisation-des-donnees.html

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *