learn.hack.repeat

Catégorie : Data Leak Page 1 of 2

AnyDesk confirme une cyberattaque sur les serveurs de production, le code source et les clés volées

AnyDesk, logiciel de bureau à distance bien connu, a récemment reconnu une cyberattaque qui a entraîné un accès non autorisé à ses systèmes de production.

Source: AnyDesk

La faille de sécurité, détectée après une activité suspecte sur des serveurs, a conduit au vol du code source et des clés de signature du code privé. Le logiciel, populaire auprès d’entreprises telles que 7-Eleven, Comcast, Samsung et le MIT, attire également les attaquants pour qu’ils obtiennent un accès permanent aux appareils et aux réseaux compromis.

AnyDesk a réagi à l’incident en réalisant un audit de sécurité et en collaborant avec la société de cybersécurité CrowdStrike. Bien que l’entreprise ait rassuré les utilisateurs en affirmant qu’il n’y avait aucune preuve que les appareils des utilisateurs finaux aient été affectés, elle a confirmé la compromission du code source et des certifications de signature de code. AnyDesk, qui a alerté ses plus de 170 000 clients dans le monde, a pris des mesures rapides, révoquant les certificats liés à la sécurité, remplaçant les systèmes compromis et garantissant l’intégrité de la dernière version du logiciel.

Bien qu’AnyDesk ait affirmé qu’aucun jeton d’authentification n’avait été volé, elle a choisi de révoquer tous les mots de passe des portails web par mesure de précaution. L’entreprise a exhorté les utilisateurs à changer de mot de passe, en insistant sur la conception sécurisée de leurs jetons d’authentification. Le cyberincident a entraîné une panne de quatre jours, à partir du 29 janvier, au cours de laquelle les utilisateurs n’ont pas pu se connecter. AnyDesk a confirmé que la période de maintenance était liée à l’incident de cybersécurité.

En réponse à la violation, il est fortement conseillé aux utilisateurs d’AnyDesk de passer à la dernière version du logiciel, car l’ancien certificat de signature de code sera bientôt révoqué.

À ce jour, nous n’avons aucune preuve que les appareils des utilisateurs finaux ont été affectés. Nous pouvons confirmer que la situation est sous contrôle et qu’AnyDesk peut être utilisé en toute sécurité. Assurez-vous d’utiliser la dernière version, avec le nouveau certificat de signature de code.

AnyDesk

Bien que l’entreprise assure que les mots de passe n’ont pas été compromis, elle conseille aux utilisateurs de changer leurs mots de passe et de revoir les mesures de sécurité, en tenant compte de l’accès non autorisé aux systèmes de production. Cet incident vient s’ajouter à la liste croissante des cyberattaques contre des entreprises de premier plan, ce qui témoigne des défis permanents que pose le maintien de la sécurité numérique.

Cloudflare a déjà révélé qu’elle avait été piratée le jour de Thanksgiving en utilisant des clés d’authentification volées lors de la cyberattaque d’Okta l’année dernière.

Plus d’information:
https://anydesk.com/en/public-statement
https://blog.cloudflare.com/thanksgiving-2023-security-incident
https://www.bleepingcomputer.com/news/security/anydesk-says-hackers-breached-its-production-servers-reset-passwords/

Prévisions des menaces pour 2024

Alors que l’année se termine, nous entrons dans un moment de réflexion et de prospective. C’est le temps des bilans, une période où nous examinons en détail les événements de l’année qui s’achève, tout en tournant notre regard vers l’avenir. Cette transition marque non seulement la fin d’un chapitre, mais aussi le début d’un nouveau, rempli de possibilités et d’anticipations. C’est dans cet esprit que nous nous préparons à accueillir la nouvelle année, armés de leçons apprises et de prévisions éclairées pour les mois à venir.

Source: pexels.com

L’équipe de recherche et d’analyse mondiale (GReAT) de Kaspersky a surveillé plusieurs groupes de menaces persistantes avancées (APT), analysant les tendances de l’année écoulée pour voir lesquelles des prédictions pour 2023 se sont réalisées et essayer de prédire ce qui se passera en 2024. C’est une façon d’essayer d’anticiper les développements futurs pour garder une longueur d’avance sur l’évolution du paysage des menaces.

Retour sur les prévisions de l’année dernière

  1. L’essor des attaques destructrices : le logiciel malveillant CryWiper. Verdict : partiellement atteint.
  2. Les serveurs de messagerie deviennent des cibles prioritaires. Verdict : prédiction réalisée.
  3. Le prochain WannaCry. Verdict : prédiction non réalisée.
  4. Les APT se concentrent sur les technologies, les producteurs et les opérateurs de satellites. Verdict : prédiction non réalisée.
  5. Le piratage et les fuites de données sont la nouvelle tendance noire (et sinistre). Verdict : prédiction réalisée.
  6. Davantage de groupes APT quitteront Cobalt Strike pour d’autres alternatives. Verdict : la prédiction ne s’est pas réalisée.
  7. Logiciels malveillants transmis par SIGINT. Verdict : prédiction réalisée.
  8. Piratage de drones. Verdict : prédiction non réalisée.

Horizon 2024 : Tendances et prédictions dans l’univers des APT

En s’appuyant sur une analyse approfondie des tendances en 2023, explorons les contours et les possibles évolutions du paysage des menaces persistantes avancées pour l’année prochaine.

Source: Kaspersky

Innovation en matière d’exploits sur mobiles et appareils connectés

L’année passée, l’opération Triangulation a révélé une réalité troublante : les appareils iOS, cibles d’une campagne d’espionnage sophistiquée et discrète. Cette enquête a mis en lumière cinq vulnérabilités majeures affectant non seulement les smartphones et tablettes, mais également les ordinateurs portables et même les dispositifs domestiques comme l’Apple TV et l’Apple Watch. Ce développement suggère une tendance à l’expansion des attaques avancées vers une gamme plus large d’appareils grand public et de technologies domestiques intelligentes. Et il n’y a pas que les produits iOS qui sont menacés ; d’autres appareils et systèmes d’exploitation pourraient également se retrouver dans le viseur des cybercriminels.

Les cyberattaquants redoublent de créativité en ciblant désormais des dispositifs variés comme les caméras domestiques intelligentes et les systèmes de voitures connectées. Ces appareils, qu’ils soient modernes ou plus anciens, présentent souvent des vulnérabilités dues à des failles de sécurité, des configurations inadéquates, ou des logiciels non mis à jour. Cette combinaison de faiblesses les rend particulièrement attrayants pour les pirates informatiques, qui profitent de ces lacunes pour mener des attaques simples mais efficaces.

Cette nouvelle vague d’exploits se caractérise par leur diffusion « silencieuse », à l’instar de l’opération « Triangulation » où les exploits se transmettaient discrètement via iMessage, s’activant sans aucune interaction de l’utilisateur. Dans l’année à venir, nous pourrions assister à l’émergence de nouvelles méthodes de diffusion, telles que les attaques « zéro clic » via des messageries populaires multiplateformes, ou les attaques « un clic » où l’ouverture de liens malveillants déclenche des exploits. Moins courante mais tout aussi redoutable, la méthode d’interception du trafic réseau, par exemple via des réseaux Wi-Fi, pourrait également gagner en popularité.

Pour contrer ces menaces sophistiquées, la protection des appareils personnels et professionnels est cruciale. L’utilisation de solutions comme les plateformes XDR, SIEM, et MDM, en complément des antivirus traditionnels, est essentielle. Ces outils permettent une centralisation de la collecte des données, une analyse accélérée, et une corrélation efficace des événements de sécurité provenant de diverses sources, facilitant ainsi une réponse rapide et coordonnée face à des incidents complexes.

L’émergence de nouveaux réseaux de zombies : Une menace croissante

Les logiciels et appareils utilisés tant dans les sphères professionnelles que personnelles restent vulnérables, ouvrant la porte à de graves menaces. Un nombre record de vulnérabilités, dépassant les 25 000, a été identifié en 2022, selon Statista. Cette réalité, couplée à des ressources souvent insuffisantes pour une analyse et une correction rapides des vulnérabilités, alimente les craintes d’une prolifération de réseaux de zombies à grande échelle. Ces réseaux, construits de manière furtive, pourraient lancer des attaques ciblées et redoutables.

Le botnetting consiste à installer furtivement des logiciels malveillants sur une multitude d’appareils à l’insu de leurs propriétaires. Les groupes APT peuvent trouver cette tactique intrigante pour plusieurs raisons. D’une part, elle permet aux acteurs de la menace de dissimuler la nature ciblée de leurs attaques derrière des attaques apparemment généralisées, ce qui rend difficile pour les défenseurs de déterminer l’identité et les motivations des attaquants. En outre, les réseaux de zombies basés sur des appareils ou des logiciels grand public, ou ceux appartenant à des organisations légitimes, masquent commodément la véritable infrastructure des attaquants. Ils peuvent servir de serveurs proxy, de centres C2 (commande et contrôle) intermédiaires et, en cas de mauvaise configuration du réseau, de points d’entrée potentiels dans les organisations.

Historiquement, les réseaux de zombies ont joué un rôle clé dans diverses attaques. Par exemple, un botnet de dizaines de milliers de routeurs domestiques a été exploité pour diriger du trafic malveillant vers d’autres réseaux. Plus récemment, avec l’essor du télétravail, des campagnes APT ont ciblé des travailleurs à distance en infectant des routeurs de petites entreprises ou de bureaux à domicile. Ces attaques exploitent souvent des vulnérabilités non corrigées, rendant les appareils et les logiciels des cibles faciles. Avec la récente révélation de nombreuses vulnérabilités, il est probable que de telles stratégies se multiplient.

Outre les groupes APT, les cybercriminels peuvent aussi tirer parti des réseaux de zombies. La nature cachée de ces attaques complique leur détection, offrant aux assaillants de multiples opportunités pour s’infiltrer discrètement et s’implanter durablement au sein des infrastructures ciblées.

La résurgence des Rootkits de noyau : Défis et contournements

Malgré l’introduction de mesures de sécurité avancées par Microsoft, comme KMCS, PatchGuard, HVCI, et l’architecture Secure Kernel, les rootkits de noyau refont surface. Autrefois courants, ces attaques classiques avaient diminué grâce à ces protections. Cependant, récemment, des acteurs APT et des groupes cybercriminels ont réussi à exécuter leur code au niveau du noyau, contournant ces mécanismes. Des abus du Programme de compatibilité matérielle de Windows et des rootkits comme Netfilter et FiveSys ont été identifiés, exploités pour des activités malveillantes telles que le vol d’informations d’identification et le détournement d’achats dans les jeux.

Les tendances futures indiquent une intensification des méthodes utilisées par les acteurs de la menace. Trois vecteurs principaux sont prévus pour renforcer leurs capacités :

  1. Le développement du marché noir des certificats de véhicules électriques et des certificats de signature de code volés.
  2. Une augmentation des abus de comptes de développeurs pour signer des codes malveillants via des services de signature de code de Microsoft, notamment WHCP.
  3. La croissance continue du concept de « Bring Your Own Vulnerable Driver » (BYOVD), devenant un élément standard dans l’arsenal des techniques, tactiques et procédures (TTP) des cybermenaces actuelles.

Escalade des cyberattaques soutenues par les états en 2024

2023 a été témoin d’une intensification des conflits mondiaux, atteignant un niveau de violence inédit depuis la Seconde Guerre mondiale, d’après l’ONU. Ces conflits intègrent systématiquement des composantes cybernétiques. Les attaques APT telles que BlackEnergy en Ukraine, illustrant la cyberguerre moderne, ont eu un impact dévastateur. Le spectre des acteurs de cyberguerre s’étend des campagnes APT dans des zones de conflit à des attaques ciblées dans des tensions géopolitiques récentes, impliquant des attaques sophistiquées contre des infrastructures critiques et l’espionnage cybernétique. Cette tendance à l’implication étatique dans le cyberespace ne fera que croître.

Dans l’avenir, on s’attend à une recrudescence des cyberattaques parrainées par des États, en parallèle avec l’intensification des tensions géopolitiques. Ces attaques cibleront non seulement les infrastructures critiques, les secteurs gouvernementaux et les entreprises de défense, mais aussi les médias, utilisés pour la contre-propagande ou la désinformation. Les pirates viseront le vol de données, la destruction d’infrastructures informatiques, et l’espionnage à long terme. On prévoit également une augmentation des campagnes de cyber-sabotage, avec des attaques ciblées contre des individus ou des groupes, impliquant la compromission de dispositifs personnels, l’utilisation de drones et de logiciels malveillants.

Hacktivisme : Une composante clé des conflits géopolitiques modernes

L’ère actuelle des conflits géopolitiques a intégré l’hacktivisme comme un élément incontournable de la cyberguerre. Les hacktivistes impactent la cybersécurité par des cyberattaques directes, telles que les attaques DDoS, le vol ou la destruction de données, et la défiguration de sites web. Ils peuvent également propager de fausses allégations de piratage, engendrant des enquêtes et une fatigue d’alerte inutiles pour les analystes SOC et les experts en cybersécurité. Les deepfakes, outils de désinformation, sont fréquemment utilisés par les hacktivistes, tout comme d’autres méthodes pour influencer l’opinion publique ou perturber les services. Dans le contexte des tensions géopolitiques actuelles, les activités hacktivistes destructrices et les campagnes de désinformation sont en augmentation.

L’essor des attaques contre la chaîne d’approvisionnement en tant que service

L’utilisation de la chaîne d’approvisionnement comme vecteur d’attaque est en hausse, avec des attaquants ciblant les fournisseurs, intégrateurs ou développeurs pour atteindre des organisations plus grandes. Les petites et moyennes entreprises, souvent moins protégées contre les attaques APT, deviennent des points d’entrée pour les pirates. Des incidents comme les brèches d’Okta, touchant des milliers de clients, illustrent cette tendance. Avec la diversification des motivations des attaquants, de la recherche de profit au cyber-espionnage, les attaques deviennent plus complexes. On observe des cas où des portes dérobées coexistent sur les mêmes machines, indiquant des attaques ciblées, notamment dans le secteur de la crypto-monnaie.

En 2024, les attaques contre la chaîne d’approvisionnement pourraient prendre de nouvelles formes, avec l’utilisation de logiciels libres pour viser des développeurs spécifiques et l’émergence d’un marché parallèle offrant des paquets d’accès à divers fournisseurs. Ces évolutions permettraient aux attaquants de sélectionner soigneusement leurs cibles pour des attaques à grande échelle, augmentant potentiellement l’efficacité et la portée des attaques contre la chaîne d’approvisionnement.

L’essor du Spear-Phishing avec l’IA générative

Avec la démocratisation des chatbots et outils d’IA générative, les acteurs malveillants développent désormais leurs propres chatbots ‘black hat’ en s’appuyant sur des modèles légitimes. Des modèles comme WormGPT, prétendument basés sur GPTJ open source, sont spécifiquement conçus pour un usage malveillant. D’autres modèles, tels que xxxGPT, WolfGPT, FraudGPT, DarkBERT, sans restrictions de contenu, offrent de nouvelles possibilités pour les attaquants exploitant ces outils dans des campagnes de phishing sophistiquées.

Source: valimail.com

L’avènement des outils d’IA générative va transformer le spear-phishing, permettant une production en masse de messages d’hameçonnage personnalisés. Ces outils offrent la capacité non seulement de rédiger rapidement des messages convaincants, mais aussi de générer des documents de phishing et d’imiter le style de communication de personnes spécifiques. Cette année, on s’attend à ce que les attaquants automatisent l’espionnage en collectant des données en ligne pour créer des messages textuels ou audio personnalisés. La sensibilisation à la cybersécurité et les mesures préventives, telles que la veille sur les menaces, la surveillance et la détection proactive, deviennent donc encore plus cruciales.

Montée des services de piratage à la demande

Les groupes offrant des services de piratage contractuel deviennent plus nombreux. Ces cyber-mercenaires, spécialisés dans l’infiltration des systèmes et le vol de données, ciblent une clientèle variée comprenant des enquêteurs privés, des cabinets d’avocats, des concurrents commerciaux et des individus sans compétences techniques. Ces groupes font la publicité de leurs services et sélectionnent activement leurs cibles.

GReAT a suivi DeathStalker, un groupe qui cible spécifiquement les cabinets d’avocats et les entreprises financières, fournissant des services de piratage et agissant comme courtier en informations. Ils utilisent des techniques telles que des courriels d’hameçonnage avec des pièces jointes malveillantes pour contrôler les appareils des victimes et s’emparer de données sensibles.

Ces groupes de pirates, organisés hiérarchiquement avec des chefs et des équipes, sont actifs sur les plateformes du dark web. Ils emploient des techniques variées, comme les logiciels malveillants, le phishing et l’ingénierie sociale, tout en utilisant des communications anonymes et des VPN pour éviter la détection. Leur impact va de la violation de données à des atteintes à la réputation, et leurs services s’étendent jusqu’à l’espionnage commercial, incluant la collecte d’informations sur les concurrents, les opérations de fusion et acquisition, les plans d’expansion, et les données financières et clients.

Cette tendance des services de piratage à la demande devrait s’intensifier mondialement dans l’année à venir. Des groupes APT pourraient élargir leurs activités pour répondre à la demande croissante, cherchant à générer des revenus pour financer leurs opérations et rémunérer leurs membres.

MFT Systems : Nouvel Épicentre des Cybermenaces

Les systèmes de gestion du transfert de fichiers (MFT) sont devenus essentiels mais vulnérables dans le paysage numérique actuel. Ils facilitent l’échange de données sensibles mais attirent l’attention des cyberattaquants, notamment pour des attaques de ransomware. La sécurité accrue autour des MFT est cruciale pour protéger les informations importantes des organisations contre ces menaces croissantes.

Les attaques contre les systèmes MFT comme MOVEit et GoAnywhere en 2023 ont révélé des vulnérabilités critiques. Des incidents tels que la violation de MOVEit par le gang de ransomware Cl0p et l’exploitation de GoAnywhere de Fortra ont montré comment une seule faille peut conduire à des fuites de données, des perturbations opérationnelles et des demandes de rançon. Ces exemples soulignent l’importance de protéger les systèmes MFT contre de telles cybermenaces.

L’avenir prévoit une intensification des attaques ciblant les systèmes MFT. L’appât du gain et le potentiel de perturbation opérationnelle vont probablement augmenter la fréquence de ces attaques. Les vulnérabilités inhérentes à l’architecture complexe des MFT, surtout lorsqu’elles sont intégrées dans des réseaux d’entreprise étendus, offrent des opportunités d’exploitation aux cyberadversaires toujours plus compétents. Ainsi, les vulnérabilités des systèmes MFT pourraient devenir un vecteur de menace plus important.

La tendance actuelle indique une augmentation des risques de cyberattaques contre les systèmes MFT, menaçant la protection des données et augmentant le potentiel d’extorsion financière. Les incidents survenus en 2023 soulignent les vulnérabilités des systèmes MFT et l’importance de renforcer les mesures de cybersécurité pour protéger ces canaux critiques de transfert de données.

Il est essentiel pour les organisations d’examiner leurs systèmes MFT pour y détecter et corriger les failles de sécurité. L’adoption de solutions robustes de prévention des pertes de données (DLP), le cryptage des données sensibles, et la promotion d’une culture de sensibilisation à la cybersécurité sont des étapes clés. Ces mesures renforceront la sécurité des MFT face aux cybermenaces croissantes, essentielles pour la protection des données et la résilience opérationnelle des organisations dans un environnement de cybermenaces en constante évolution.

Les événements de 2023 sont un avertissement pour les organisations de renforcer la cybersécurité des systèmes MFT. Face à des cybermenaces de plus en plus sophistiquées, il est crucial de garantir l’intégrité et la sécurité des systèmes MFT pour contrer les menaces. Les prédictions de 2023 servent de guide pour les actions futures, et il sera intéressant de voir quelles menaces se concrétiseront et lesquelles seront évitées.

Plus d’information:
https://securelist.com/kaspersky-security-bulletin-apt-predictions-2024/111048/
https://www.kaspersky.fr/about/team/great
https://fr.wikipedia.org/wiki/Piratage_du_syst%C3%A8me_%C3%A9nerg%C3%A9tique_ukrainien
https://www.bitdefender.com/blog/hotforsecurity/the-emergence-of-the-fivesys-rootkit-a-malicious-driver-signed-by-microsoft/
https://www.bleepingcomputer.com/news/security/microsoft-admits-to-signing-rootkit-malware-in-supply-chain-fiasco/
https://www.bleepingcomputer.com/news/security/okta-october-data-breach-affects-all-customer-support-system-users/

BreachForums et Pompompurin dans la tourmente

As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de cybercriminalité divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !

Source: pexels.com

Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.

Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.

Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.

La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.

Plus d’information:
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/

Les mots de passe les plus utilisés en 2022

Dans le classement des mots de passe les plus courants de 2022, on observe que les utilisateurs continuent d’utiliser les classiques « password » et « 123456 ».

Source: pexels.com

NordPass a publié un rapport qui répertorie les mots de passe les plus utilisés par les utilisateurs tout au long de l’année. En collaboration avec des chercheurs indépendants, des millions d’identifiants provenant d’incidents de cybersécurité ont été évalués pour produire un classement des mots de passe les plus utilisés et les moins sûrs. Au total, plus de 3 To de données provenant de plus de 30 pays ont été analysés, principalement des continents européen et américain.

Les deux premières places sont occupées par les classiques « password » et « 123456 », utilisés respectivement par près de 5 millions et plus de 1,5 million d’utilisateurs. Ces deux mots de passe sont extrêmement faibles et ne sont pas du tout recommandés, à tel point que le temps estimé pour les deviner est inférieur à une seconde au moyen d’une attaque par dictionnaire.

Dans les 25 premiers du classement mondial, on trouve principalement des codes numériques (jusqu’à 76 % des cas), des mots simples du dictionnaire comme « invité » et des combinaisons de touches qui suivent l’ordre déterminé par leur emplacement sur le clavier comme « qwerty ». Le temps nécessaire pour obtenir tous ces mots de passe n’est que de quelques secondes. Un seul d’entre eux prendrait plus de temps car il est composé de majuscules, de minuscules et de chiffres : « D1lakiss » ; cependant, comme il ne comporte que 8 caractères, le temps nécessaire pour le casser par une attaque par force brute est d’environ 3 heures.

En remontant dans le classement, on trouve aussi des noms propres, des noms de séries et de marques comme « daniel », « Gizli » ou « samsung », et même des mots de passe de seulement 3 caractères comme « 123 », « vip » ou « usr ». La liste des 50 mots de passe les plus mauvais et les plus utilisés en 2022 est la suivante :

Top 50 mondial des mots de passe les plus courants en 2022.

Il est recommandé d’éviter d’utiliser ce type de mots de passe et de suivre une série de directives lors de l’établissement d’informations d’identification sécurisées pour les services en ligne utilisés. Certaines de ces recommandations sont :

  • Combinez des caractères de différents types : majuscules, minuscules, chiffres et symboles.
  • Utilisez une longueur appropriée pour éviter les attaques par force brute (au moins 12 caractères).
  • Évitez les mots du dictionnaire (de n’importe quelle langue), les noms propres, les noms d’animaux domestiques, les dates, les lieux ou les données personnelles, etc. et leurs combinaisons, telles que nom + date de naissance.
  • Évitez les motifs de caractères successifs sur le clavier, tels que « qwertyuiop » ou « 1qaz2wsx ».

Il existe d’autres techniques pour générer des mots de passe forts, comme la combinaison de plusieurs mots sans rapport entre eux et l’utilisation d’une règle mnémotechnique pour se souvenir de la chaîne résultante. Par exemple, les mots « hibou », « manteau », « violet », « prairie » et « nuit » génèrent le mot de passe « hiboumanteauvioletprairienuit », dont la longueur permet d’éviter les attaques par force brute et qui est aussi facile à mémoriser que d’imaginer un hibou en manteau violet dans une prairie la nuit.

Bien entendu, il faut aussi éviter de réutiliser le même mot de passe sur différents services et, surtout, ne pas les écrire sur des notes ou des post-it et les coller sur le bureau ou sous le clavier. Cela rend un mot de passe, aussi sûr soit-il, inutile.

Il est également recommandé d’utiliser des gestionnaires de mots de passe avec lesquels vous pouvez facilement générer des mots de passe sécurisés et les stocker localement sur un dispositif distinct (par exemple, une clé USB).

Plus d’information:
https://nordpass.com/fr/most-common-passwords-list/

BlueBleed : nouvelle fuite de donnée chez Microsoft

Microsoft a signalé que les informations confidentielles de certains de ses clients ont été exposées par une mauvaise configuration accessible via Internet.

La mauvaise configuration du serveur a été découverte par la société de renseignement sur les menaces de sécurité SOCRadar, qui a averti la société américaine le 24 septembre 2022, laquelle a sécurisé le serveur concerné dès la notification.

« Cette mauvaise configuration a entraîné un accès potentiel non authentifié à certaines données de transactions commerciales se rapportant à des interactions entre Microsoft et des clients potentiels, telles que la planification ou la mise en œuvre et la fourniture potentielles de services Microsoft. »

Déclarations de l’entreprise

Ils ont également ajouté que leur enquête interne n’a trouvé aucune indication que les comptes ou les systèmes des clients avaient été compromis et que les clients concernés avaient été informés directement.

Selon l’entreprise américaine, les informations exposées comprennent des noms, des adresses électroniques, le contenu des courriels, le nom de l’entreprise et des numéros de téléphone, ainsi que des fichiers liés aux affaires entre les clients concernés et Microsoft ou un partenaire Microsoft autorisé.

Redmond a ajouté que la fuite était due à une « mauvaise configuration involontaire sur un terminal qui n’est pas utilisé dans l’ensemble de l’écosystème Microsoft » et non à une faille de sécurité.

65 000 entités touchées dans le monde

De son côté, SOCRadar nuance encore et ajoute que, d’après son analyse, les données divulguées :

« Il s’agit notamment de documents de preuve d’exécution (PoE) et de déclaration de travaux (SoW), d’informations sur les utilisateurs, de commandes/de devis de produits, de détails de projets, de données PII (informations personnellement identifiables) et de documents susceptibles de révéler une propriété intellectuelle. »

SOCRadar
Outil en ligne pour rechercher des données ayant fait l’objet d’une fuite. Source: SOCradar

Les chercheurs ont baptisé cette fuite « BlueBleed », en référence aux informations sensibles divulguées par les magasins de données mal configurés dans leur ensemble, et ont créé un site web portant le même nom.

Vérifiez si vous êtes concerné par la fuite de Microsoft

Le portail de recherche de fuites de données de SOCRadar s’appelle BlueBleed et permet aux entreprises de savoir si leurs informations confidentielles ont également été exposées avec les données ayant fait l’objet de la fuite.

En plus de ce qui a été trouvé à l’intérieur du serveur mal configuré de Microsoft, BlueBleed permet également de rechercher des données collectées dans cinq autres buckets de stockage public.

Sur le seul serveur de Microsoft, SOCRadar affirme avoir trouvé 2,4 To de données contenant des informations sensibles de plus de 65 000 entreprises de 111 pays, plus de adresses emails, 133 000 projets et 548 000 utilisateurs exposés découverts en analysant les fichiers ayant fait l’objet de la fuite jusqu’à présent.

« Les acteurs de la menace qui ont pu accéder au référentiel peuvent utiliser ces informations de différentes manières pour extorquer, faire du chantage, créer des tactiques d’ingénierie sociale à l’aide des informations exposées ou simplement vendre les informations au plus offrant sur le dark web et les canaux Telegram », avertit SOCRadar.

Plus d’information:
https://socradar.io/labs/bluebleed
https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

Page 1 of 2

Fièrement propulsé par WordPress & Thème par Anders Norén