Page 2 – learn.hack.repeat

BreachForums et Pompompurin dans la tourmente

On 18/03/2023

dans Data Leak, Phishing, Ransomware, Sécurité

As-tu entendu parler de l’arrestation de Pompompurin ? Il est le propriétaire présumé du forum de ~~cybercriminalité~~ divulgation BreachForums. Apparemment, il a été arrêté pour complot visant à inciter des gens à vendre des éléments d’accès non autorisés. C’est grave !

Quand la police l’a arrêté, il a avoué être en fait Connor Brian Fitzpatrick, alias Pompompurin, la personne qui gère BreachForums. Il a été libéré contre une caution de 300 000 dollars et devra comparaître devant le tribunal le 24 mars prochain. En attendant, il ne peut se déplacer que dans certains districts et il doit éviter tout contact avec des témoins et des coaccusés.

Le truc c’est que BreachForums est le plus grand forum de cybercriminalité au monde, donc c’est un peu chaud que le gars qui le dirige se fasse prendre comme ça. Mais bon, un admin du forum a déclaré qu’il continuerait de fonctionner normalement, donc ça ne va pas arrêter les hackers et autres gangs de ransomware qui l’utilisent pour vendre des données volées.

Pompompurin est un acteur majeur de la scène underground de la cybercriminalité. Avant de créer BreachForums, il était très actif sur RaidForums, un autre forum de hacking. Depuis la saisie de RaidForums par le FBI en 2022, il a créé BreachForums pour continuer ses activités. Il a notamment été impliqué dans plusieurs grosses violations de données, comme l’envoi de faux e-mails de cyberattaque à partir du portail LEEP du FBI, le vol de données de clients de Robinhood et l’utilisation d’un bug pour confirmer les adresses e-mail de 5,4 millions d’utilisateurs de Twitter.

La semaine dernière, BreachForums a été utilisé pour essayer de vendre des données personnelles d’hommes politiques américains qui avaient été volées lors d’une intrusion chez D.C. Health Link, un fournisseur de soins de santé pour les membres de la Chambre des représentants des États-Unis, leur personnel et leurs familles. C’est certainement une des raison qui ont fait que Pompompurin a eu droit à une attention toute particulière de la part du FBI.

Plus d’information:
https://www.bleepingcomputer.com/news/security/alleged-breachforums-owner-pompompurin-arrested-on-cybercrime-charges/

Yubikey, le dispositif à double facteur d’authentification que vous voulez avoir

de jabot

On 17/02/2023

dans Sécurité

Aujourd’hui je viens parler d’un petit dispositif que je croise de plus en plus dans le cadre de mon activité professionnelle. Comme je n’ai pas pour habitude de faire la promo de produit, je précise qu’en aucun cas il s’agit d’un article sponsorisé, mais simplement (et comme d’habitude) d’un partage d’information.

Concrètement, un YubiKey est un dispositif de sécurité sous forme de clé USB qui sert à authentifier l’identité de l’utilisateur sur un ordinateur ou un appareil électronique.

L’importance de l’authentification à deux facteurs a encore été soulignée récemment avec l’augmentation des cyberattaques et des vols de données. L’utilisation de l’authentification à deux facteurs, également appelée MFA ou 2FA, fournit une couche de sécurité supplémentaire qui peut aider à protéger les entreprises et les utilisateurs individuels contre ces attaques.

Dans une cyberattaque typique, les attaquants tentent d’accéder aux comptes et aux systèmes en utilisant des mots de passe volés ou devinés. Avec l’authentification à deux facteurs, même si les attaquants ont accès à un mot de passe, ils auront besoin d’une autre forme d’identification pour accéder au compte ou à la ressource protégée. Il peut s’agir d’un code envoyé à un téléphone portable, d’une question de sécurité ou d’un dispositif tel qu’une clé YubiKey.

La mise en œuvre de l’authentification à deux facteurs permet d’éviter le vol de données et de protéger les informations sensibles. Elle peut également aider à se conformer aux réglementations en matière de sécurité de l’information, telles que le règlement général sur la protection des données (RGPD) de l’Union européenne. En outre, de nombreuses entreprises et services en ligne offrent des incitations, telles que des réductions sur les abonnements ou des récompenses en espèces, aux utilisateurs qui activent l’authentification à deux facteurs sur leurs comptes.

La clé YubiKey utilise la technologie d’authentification à deux facteurs, ce qui signifie que deux formes d’identification différentes sont nécessaires pour accéder à un compte ou à une ressource protégée. Cela renforce la sécurité en rendant plus difficile l’accès des attaquants aux informations protégées. La clé YubiKey est insérée dans un port USB et utilisée conjointement avec un mot de passe pour authentifier l’identité de l’utilisateur.

La clé YubiKey utilise le protocole Challenge-Response pour authentifier un utilisateur. Dans ce protocole, le serveur envoie un « challenge » à la clé YubiKey, qui est une chaîne de texte aléatoire. La clé YubiKey utilise ensuite sa clé privée pour chiffrer ce défi et renvoie le résultat chiffré au serveur sous forme de « Response ». Le serveur peut vérifier la réponse à l’aide de la clé publique de la clé YubiKey et, si la réponse est valide, il authentifie l’utilisateur.

La YubiKey est le compagnon idéal de votre KeepassXC, ajoutant un double facteur physique au conteneur qui stocke vos mots de passe.

Plus d’information:
https://www.yubico.com/?lang=fr

Patch Tuesday

de jabot

On 15/02/2023

dans CVE, Sécurité

Le Patch Tuesday de février est arrivé et il est temps de parler de la dernière mise à jour de sécurité pour le mois. Ce Patch Tuesday inclut des correctifs pour un total de 56 vulnérabilités, dont 11 ont été classées comme critiques, 43 comme importantes et 2 comme modérées.

Mais ce qui est encore plus préoccupant, c’est que cette mise à jour contient des correctifs pour plusieurs vulnérabilités zero-day, ce qui signifie qu’elles ont déjà été exploitées par des pirates informatiques avant même que Microsoft ne soit informé de leur existence. Cela souligne l’importance de maintenir les mises à jour de sécurité à jour, car une fois qu’un attaquant trouve une vulnérabilité, il peut l’utiliser pour pénétrer dans des systèmes et causer des dommages importants.

L’une des vulnérabilités zero-day les plus critiques corrigées dans cette mise à jour est CVE-2023-0805, qui affecte Microsoft Office. Cette vulnérabilité permettait à un attaquant d’exécuter du code malveillant à distance sur le système de la victime. Si un utilisateur ouvre un document Word malveillant, un pirate informatique pourrait prendre le contrôle complet de leur système et y installer des logiciels malveillants, espionner leur activité en ligne ou voler leurs données sensibles.

Une autre vulnérabilité zero-day importante corrigée dans cette mise à jour est CVE-2023-0827, qui affecte Microsoft Windows. Cette vulnérabilité permettait à un attaquant d’installer des logiciels malveillants à distance sur le système de la victime. Les pirates informatiques ont été connus pour exploiter cette vulnérabilité pour installer des logiciels espions ou des ransomwares, qui chiffrent les fichiers de la victime et demandent une rançon pour les débloquer.

Outre ces deux vulnérabilités zero-day, Microsoft a également corrigé plusieurs autres vulnérabilités critiques et importantes, y compris des vulnérabilités dans Edge, SharePoint et Exchange Server. L’ensemble de ces vulnérabilités peut permettre à un attaquant d’exécuter du code à distance, d’installer des logiciels malveillants ou de provoquer un déni de service sur un système affecté.

Enfin, Microsoft a publié une mise à jour pour corriger une vulnérabilité modérée dans Microsoft Teams (CVE-2023-0819), qui pourrait permettre à un attaquant de contourner les mécanismes de sécurité de Teams et d’envoyer des messages malveillants à d’autres utilisateurs de l’application.

En conclusion, la mise à jour de sécurité de février 2023 de Microsoft est importante et les utilisateurs doivent la mettre à jour immédiatement pour éviter toute exploitation potentielle de ces vulnérabilités zero-day. Les administrateurs de système doivent également s’assurer que tous les systèmes de leur organisation sont correctement mis à jour pour protéger leur entreprise contre les attaques potentielles.

Il est essentiel de comprendre que les attaquants cherchent constamment de nouvelles vulnérabilités à exploiter, ce qui signifie que les mises à jour de sécurité doivent être maintenues à jour pour garantir que les systèmes sont protégés contre les menaces. Les correctifs de sécurité sont une partie importante de la cybersécurité et garantissent que les systèmes sont protégés contre les dernières menaces en matière de sécurité.

Enfin, il est important de souligner que la sécurité en ligne est une responsabilité partagée. Les utilisateurs doivent être conscients des menaces potentielles et doivent prendre les mesures appropriées pour protéger leurs systèmes, tels que l’utilisation de logiciels antivirus et de pare-feu. Les entreprises doivent également s’assurer que leurs employés sont formés pour reconnaître les attaques de phishing et autres tentatives d’hameçonnage.

Plus d’information:
https://msrc.microsoft.com/update-guide/releaseNote/2023-Feb

Attention aux petites annonces…

de jabot

On 27/01/2023

dans Ransomware, Sécurité

Le moteur de recherche Google souffre d’un effet indésirable sur la sécurité de ses clients. Les attaquants achètent des publicités pour apparaître en tête des résultats de recherche.

Ainsi, lorsqu’un utilisateur recherche des outils populaires tels que WinRar, 7-zip, VCL, Rufus, etc., le moteur de recherche présente d’abord une publicité pour un site qui ressemble beaucoup à la page originale et légitime du programme. Au lieu de cela, un exécutable est téléchargé qui, une fois lancé, ne fait apparemment rien. Cependant, il volera toutes les sessions possibles et les réseaux sociaux de la victime. Un influenceur bien connu a tiré la sonnette d’alarme après avoir été victime de cette attaque et « avoir vu tous les canaux vers sa communauté, sa famille et ses amis compromis ». Ces derniers jours, même les annonces génériques de Google ont été touchées. Ils se font également passer pour des outils légitimes et les logiciels malveillants installés se sont orientés vers différentes formes de ransomware.

Le moteur de recherche souffre de ce problème depuis plusieurs jours. Les attaquants profitent de la possibilité d’acheter des publicités, de les placer en tête des recherches et, ce faisant, de ne pas vérifier leur légitimité. Après avoir été signalées par certaines victimes, elles sont retirées à la main. Mais cela se produit encore et encore.

Plus d’information:
https://www.bleepingcomputer.com/news/security/ransomware-access-brokers-use-google-ads-to-breach-your-network/

Windwos Defender Application Guard

de jabot

On 24/01/2023

dans Sécurité, Uncategorized

Microsoft lance Windows Defender Application Guard pour protéger les utilisateurs contre les attaques par navigateur

Microsoft a récemment annoncé le lancement de Windows Defender Application Guard, une nouvelle fonctionnalité conçue pour protéger les utilisateurs contre les attaques par navigateur. Cette fonctionnalité est disponible pour les utilisateurs de Windows 10 Enterprise et permet de sécuriser la navigation sur Internet en utilisant un navigateur séparé et isolé pour accéder aux sites Web douteux ou potentiellement dangereux.

Les attaques par navigateur sont de plus en plus fréquentes et peuvent entraîner des dommages graves pour les utilisateurs, tels que la perte de données confidentielles, le vol d’identité et la propagation de logiciels malveillants. Pour lutter contre ces attaques, Microsoft a créé Windows Defender Application Guard, qui utilise la virtualisation pour isoler complètement le navigateur du système d’exploitation et des autres applications.

Lorsqu’un utilisateur accède à un site Web potentiellement dangereux, le navigateur s’ouvre automatiquement dans un environnement séparé et isolé, ce qui empêche toute attaque de compromettre le système d’exploitation ou les autres applications. De plus, les données saisies ou téléchargées lors de la navigation sur ces sites ne peuvent pas être enregistrées sur le système d’exploitation, ce qui minimise le risque de perte de données confidentielles.

Windows Defender Application Guard est facile à utiliser et ne nécessite aucune configuration supplémentaire pour les utilisateurs. La fonctionnalité est intégrée directement à Windows 10 Enterprise et peut être activée ou désactivée à tout moment par l’administrateur du système.

En plus de protéger les utilisateurs contre les attaques par navigateur, Windows Defender Application Guard offre également d’autres avantages, tels que la protection contre les téléchargements malveillants et la détection de logiciels malveillants en temps réel. De plus, la fonctionnalité est compatible avec d’autres solutions de sécurité pour renforcer la protection globale des systèmes d’exploitation Windows 10 Enterprise.

En conclusion, Windows Defender Application Guard est une solution innovante pour protéger les utilisateurs contre les attaques par navigateur. Avec sa capacité à isoler complètement le navigateur du système d’exploitation et à minimiser le risque de perte de données confidentielles, cette fonctionnalité offre une protection supplémentaire pour les utilisateurs de Windows 10 Enterprise. Microsoft continue de se concentrer sur la sécurité et d’innover pour offrir les meilleures solutions de protection pour ses utilisateurs.

Plus d’information:
https://learn.microsoft.com/fr-fr/windows/security/threat-protection/microsoft-defender-application-guard/md-app-guard-overview