Catégories
Attaque informatique Ransomware revil Sécurité Service informatique Uncategorized

Qui est Kaseya la victime d’un « Nouveau » ransomware?

La cyberattaque qui a frappé la société informatique Kaseya le week-end dernier a contraint la chaîne de supermarchés suédoise Coop à fermer plus de 800 magasins et supérettes. L’attaque ricoche et peut toucher plus de 1 500 entreprises dans le monde. Et les marques françaises ?

Kaseya développe des solutions et des services pour les fournisseurs de services gérés (MSP). Vendredi, alors que la plupart des Américains étaient prêts à fêter le week-end du 4 juillet, l’entreprise a subi une attaque contre l’une de ses solutions, Kaseya USA. Cela permet aux utilisateurs de distribuer des mises à jour et de surveiller à distance les systèmes informatiques de leurs clients.

Cependant, il y avait une vulnérabilité sur le système. Cela avait été découvert par le DIVD, l’Institut néerlandais de détection des vulnérabilités, qui avait prévenu l’entreprise. Kaseya l’a donc corrigé et le correctif a même été validé lorsque REvil ou l’une de ses filiales a frappé et exploité la vulnérabilité zero-day pour mener son attaque. À ce stade, peu de détails ont été publiés sur ce bug, sauf qu’il était assez facile à exploiter.

Grâce à cela, le groupe de hackers a pu diffuser des fichiers malveillants sous couvert d’une mise à jour automatique de Kaseya VSA et diffuser des ransomwares aux MSP utilisant la solution mais aussi à leurs clients. Il n’est pas encore possible de savoir exactement combien d’entreprises ont été touchées par cette attaque, mais il a été estimé vendredi que plus de 1 000 d’entre elles ont vu leurs fichiers cryptés alors que REvil avance le chiffre d’un million sur son site internet.

Caisses inopérantes, magasins fermés… Une cyberattaque sans précédent est devenue sa première victime en Europe, le groupe de supermarchés suédois Coop, qui représente 20% du secteur dans le pays, a été paralysé samedi 3 juillet par la cyberattaque contre l’entreprise américaine Kaseya. , spécialiste de l’infogérance informatique. 800 magasins sont toujours fermés pendant quatre jours, les caisses enregistreuses sont bloquées et hors d’usage.

C’est par l’intermédiaire d’un de leurs sous-traitants informatiques, Visma Escom, lui-même touché par la cyberattaque, que le système informatique interne de l’entreprise suédoise a été piraté. L’attaque a également touché plusieurs pharmacies suédoises et la compagnie ferroviaire du pays. Plus précisément, les pirates ont attaqué le logiciel phare de Kaseya, « VSA », conçu pour gérer de manière centralisée les réseaux de serveurs, contrôler et sécuriser les systèmes informatiques. Ils ont choisi la méthode des ransomwares, qui consiste à installer des logiciels malveillants qui bloquent toutes les machines ou ordinateurs ciblés jusqu’à ce que leurs propriétaires paient une rançon.

Jusqu’à 1 500 entreprises impliquées
Sur ses 40 000 clients, Kaseya estime que moins de 60 clients ont été touchés. Problème, la plupart d’entre eux gardent les clients pour eux-mêmes, ce qui facilite la propagation de l’attaque.

Catégories
Attaque Etude informatique Ransomware Sécurité Service informatique

Négociateurs en recrutement chez les cybercriminels

L’écosystème des Ransomware as a service (RaaS) recrute pour forcer les victimes à payer.

Victoria Kivilevich, analyste du renseignement sur les menaces chez KELA, a publié les résultats d’une étude de tendance RaaS, affirmant que les attaques individuelles ont presque « disparu » en raison de la nature lucrative du système. Commerce de ransomwares criminels.

Les gains financiers potentiels des entreprises cherchant désespérément à déverrouiller leurs systèmes ont donné lieu à des spécialistes du chantage et ont également entraîné une énorme demande d’individus capables de prendre en charge le côté négociation d’une chaîne d’attaque.

Les ransomwares peuvent être dévastateurs non seulement pour les activités d’une entreprise, mais aussi pour sa réputation et ses résultats. Si des attaquants réussissent à toucher un fournisseur de services utilisé par d’autres entreprises, ils peuvent également être en mesure d’étendre rapidement leur surface d’attaque à d’autres appareils.

Dans un cas récent, des vulnérabilités zero-day dans des logiciels américains fournis par Kaseya ont été utilisées pendant le week-end férié américain pour compromettre les terminaux et exposer les organisations à un risque d’infection par ransomware. On estime actuellement que jusqu’à 1 500 entreprises ont été touchées.

Selon KELA, une attaque de ransomware typique comporte quatre phases : acquisition de code/malware, propagation et infection des cibles, extraction de données et/ou persistance de la maintenance sur les systèmes affectés et génération de revenus.

Il y a des acteurs dans chaque « domaine », et récemment, la demande de spécialistes de l’exploitation minière et de la génération de revenus a augmenté parmi les groupes de ransomware.

L’émergence de revendeurs en particulier dans le domaine de la monétisation est désormais une tendance dans l’espace RaaS. Selon les chercheurs du KELA, on assiste à l’émergence d’un grand nombre d’acteurs malveillants contrôlant l’aspect négociation, tout en augmentant la pression via les appels téléphoniques, les attaques par paralysie distribuée (DDoS) ou les menaces de fuite d’informations volées.

KELA suggère que ce rôle est dû à deux facteurs potentiels : le besoin pour les groupes de ransomware de s’en tirer avec une marge bénéficiaire décente et le besoin de personnes parlant anglais pour mener des négociations efficaces.

« Cette partie de l’attaque semble également être une activité externalisée, au moins pour certaines filiales et/ou développeurs », explique Kivilevich. « L’écosystème ransomware ressemble donc de plus en plus à une entreprise avec des rôles différents au sein de l’entreprise et des activités plus externalisées. »

Les courtiers d’accès initial sont également très demandés. Après avoir observé les activités du dark web et des forums pendant plus d’un an, les chercheurs affirment que le prix de l’accès aux réseaux compromis a augmenté. Certaines offres sont désormais 25 à 115% plus élevées que précédemment enregistrées, notamment lorsque le niveau administrateur de domaine a été accédé.

Ces intrus peuvent s’attendre à obtenir entre 10 et 30 % de la rançon. Il convient toutefois de noter que certains de ces courtiers ne fonctionnent pas du tout avec les ransomwares et ne se livreront qu’à des attaques ciblant d’autres cibles, telles que celles qui conduisent à la collecte de données de carte de crédit.

« Au cours des dernières années, les groupes de ransomwares ont évolué pour devenir des sociétés de cybercriminalité avec des membres ou des « employés » spécialisés dans différentes parties des attaques et différents services d’assistance », a commenté KELA. « La récente interdiction des ransomwares sur deux grands forums russophones ne semble pas affecter cet écosystème, car seule la publicité des programmes d’affiliation a été interdite sur les forums. »

LIEN

Catégories
Attaque hyères informatique Mac MacOS Mairie Orange Sécurité Service informatique

Evitez l’attaque qui efface les données d’un WD My Book Live

Ce fut une vilaine surprise pour certains utilisateurs de disques durs réseau Western Digital My Book Live dont le contenu a été automatiquement supprimé à distance dans le cadre d’une réinitialisation de leurs paramètres.

Le 23 juin, de nombreux utilisateurs de WD My Book Live ont eu une très mauvaise surprise lorsqu’ils ont découvert que toutes les données stockées sur leur disque dur réseau (NAS) avaient disparu. Et sans raison apparente, car ils n’avaient effectué aucune opération particulière. En quelques heures, les témoignages se sont multipliés en ligne et sur Twitter, prouvant qu’il ne s’agissait pas d’accidents isolés. Le forum de support de Western Digital, le fabricant de ces systèmes de stockage très populaires, s’est rapidement rempli de messages désespérés appelant à l’aide. « J’ai un WD My Book Live connecté à mon réseau local qui fonctionne bien depuis des années », écrit la personne qui a lancé le fil. « Je viens d’apprendre que toutes les données sont parties là-bas aujourd’hui : les catalogues semblent être là, mais ils sont vides. Auparavant, le volume de 2 To était presque plein : maintenant il est à pleine capacité. » Certains utilisateurs rapportent même que l’accès au NAS est désormais interdit, car l’appareil leur demande un nouveau mot de passe, qu’ils n’ont bien sûr pas. Bref, panique et catastrophe car les données supprimées sont perdues à jamais. Adieu documents, photos, vidéos et autres fichiers personnels collectés au fil des années sur ces appareils conçus uniquement pour effectuer des sauvegardes.

début Juillet WD a identifié l’erreur qui est considérée comme la source du piratage qui a entraîné la suppression de données à distance pour de nombreux utilisateurs de disques durs My Book Live. Ce bug a été introduit en 2011 par une mise à jour du firmware visant à améliorer le processus d’identification des utilisateurs. « Nous avons examiné les journaux que nous avons reçus des clients concernés pour comprendre et caractériser l’attaque. Ils montrent que les pirates sont directement connectés aux appareils My Book Live concernés à partir d’une variété d’adresses IP dans différents pays. » Explique l’entreprise.

Plus important encore, le fabricant annonce qu’une campagne gratuite de récupération de données débutera le mois prochain sans dire si toutes les personnes impliquées seront en mesure de retrouver toutes les données perdues. WD lancera également un programme de mise à niveau avantageux pour ces derniers et les encouragera à acquérir un NAS My Cloud à un prix préférentiel en échange de leur NAS My Book Live.

Pour plus d’informations, visitez la page d’assistance de Western Digital.

Catégories
Attaque hyères informatique presse prix Ransomware Sécurité Service informatique

Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo

La société Adrexo, chargée de diffuser la propagande électorale, est à la croisée des chemins depuis la semaine dernière suite à des dysfonctionnements. La communication de l’entreprise évoque notamment l’impact d’une cyberattaque, tandis que les syndicats pointent plutôt un manque de moyens. Services informatique Hyères

Un ransomware pourrait correspondre à la description des symptômes de la cyberattaques d’Adrexo

Dans un communiqué, la direction d’Adrexo évoque la cyberattaque que l’entreprise a connue fin avril pour justifier les dysfonctionnements survenus : « la direction opérationnelle de cette mission a connu des perturbations en mai lors d’une cyberattaque dont l’entreprise a été victime. « Une cyberattaque résolue maintenant, mais qui selon Adrexo aurait perturbé l’organisation de la distribution : » Avec la solution à cet incident, Adrexo s’est organisé pour qu’il soit possible à ses équipes de distribuer dans les meilleures conditions malgré la force informatique et les contraintes opérationnelles. ”.

La diffusion de la propagande électorale dans le cadre du 1er tour de l’élection régionale ne s’est pas déroulée comme prévu : de nombreux citoyens se sont plaints de ne pas avoir reçu la profession de foi des différents partis avant le 1er tour de l’élection. Adrexo est désormais dans le coup : cette filiale du groupe Hopps a remporté le marché de la diffusion de la propagande électorale lors d’un appel d’offres en janvier 2021 avec le groupe.

Mais les dysfonctionnements ont poussé plusieurs partis politiques et autorités locales à exprimer leur mécontentement. Le ministère de l’Intérieur a convoqué lundi les dirigeants des deux sociétés chargées de la distribution à venir pour s’expliquer, laissant La Poste et Adrexo communiquer sur les dysfonctionnements rencontrés.

Un communiqué de presse ne donne pas plus de détails sur la nature ou l’étendue de la cyberattaque en question, mais la société a en fait été touchée par une attaque fin avril. Plusieurs notes et messages diffusés en interne et relayés par les différents syndicats du groupe Hopps ont donné un aperçu de l’ampleur de l’attaque : elle aurait été identifiée dans le week-end du 25 avril et aurait provoqué la paralysie d’un parti. Département IT. Le 30 avril, le groupe s’est félicité de la reprise des opérations en moins de dix jours, affirmant que « le temps de régler cet incident est un exploit », tout en reconnaissant qu’il faudra du temps pour récupérer complètement les services informatiques.

L’impact de la cyberattaque est donc encore difficile à évaluer, et le ministère de l’Intérieur ne semble pas trop s’en émouvoir : il rappelle donc que les deux entreprises sont obligées de donner suite et garantir que les dysfonctionnements ne se reproduisent pas à l’autre tour des élections régionales prévu le 27 juin. Parmi les mesures envisagées pour assurer cela, les préfets seront notamment des sous-officiers chargés d’assurer la qualité des opérations postales et le contrôle opérationnel de la diffusion de la propagande électorale au niveau départemental.

Catégories
Attaque informatique Non classé presse Ransomware Sécurité Service informatique Technologie

Ce nouveau groupe de hackers vise les diplomates européens

BackdoorDiplomacy ne coupe pas les cheveux en quatre en matière de cyberespionnage.

Ce nouveau groupe de hackers vise les diplomates européens

Un groupe de cyberattaques récemment découvert cible des diplomates européens, africains et moyen-orientaux. Mis en évidence jeudi par des chercheurs d’ESET, le groupe appelé BackdoorDiplomacy, a été lié à des attaques réussies contre des ministères des Affaires étrangères dans de nombreux pays d’Afrique, du Moyen-Orient, d’Europe et d’Asie ainsi que contre un petit sous-ensemble d’entreprises de télécommunications en Afrique et au moins un organisme de bienfaisance au Moyen-Orient.

Selon les chercheurs d’ESET, ce groupe est opérationnel depuis au moins 2017. Il cible à la fois les systèmes Linux et Windows et semble préférer exploiter les appareils vulnérables face à Internet comme vecteur d’attaque initial.

S’il trouve des serveurs Web ou des interfaces de gestion de réseau présentant des points faibles, tels que Des problèmes logiciels ou une mauvaise sécurité de téléchargement de fichiers affectent le groupe. Dans un cas observé par ESET, un bogue appelé F5 – CVE-2020-5902 – a été utilisé pour déployer une porte dérobée Linux, tandis que BackdoorDiplomacy dans un autre cas a adopté les vulnérabilités du serveur Microsoft Exchange pour déployer China Chopper, un webshell.

Bien que BackdoorDiplomacy ait été enregistré en tant que groupe de hackers à part entière, il semble avoir des connexions ou au moins quelque chose en commun avec d’autres groupes. Le protocole de chiffrement du réseau utilisé par APT est presque identique à celui utilisé par la porte dérobée Whitebird du groupe Calypso, et ce malware a été déployé contre des cibles diplomatiques au Kazakhstan et au Kirghizistan dans les années 2017-2020.

En outre, ESET pense avoir des points communs avec CloudComputating / Platinum, qui a ciblé les organisations diplomatiques, gouvernementales et militaires en Asie au cours des années précédentes. D’autres index de codage et de mécanisme sont similaires à Rehashed Rat et MirageFox – également connus sous le nom d’APT15.

Dans le cadre d’autres recherches menées ce mois-ci, Check Point Research a découvert une nouvelle porte dérobée développée par des acteurs chinois de la menace pour une période de trois ans. Le malware, appelé VictoryDll_x86.dll, a été utilisé pour compromettre un réseau appartenant au département d’État d’un gouvernement d’Asie du Sud-Est.

De temps en temps, les attaquants analysent l’appareil pour un déplacement latéral, installent une porte dérobée personnalisée et mettent en œuvre une variété d’outils pour effectuer la surveillance et le vol de données. La porte dérobée, appelée Turian, serait basée sur la porte dérobée Quarian, un malware associé à des attaques contre des cibles diplomatiques en Syrie et aux États-Unis en 2013. L’implant principal est capable de récolter et d’exfiltrer des systèmes informatiques, de prendre des captures d’écran, mais aussi d’écraser. , déplacer/supprimer ou voler des fichiers.

Certains des outils utilisés incluent EarthWorm Network Tunnel Software, Mimikatz, NetCat et des logiciels développés par la National Security Agency (NSA) des États-Unis et dévoilés par ShadowBrokers, tels que EternalBlue, DoublePulsar et EternalRocks. VMProtect a dans la plupart des cas été utilisé pour essayer de cacher les activités du groupe.

Les diplomates peuvent avoir besoin de gérer des informations sensibles transmises via des disques et des supports de stockage amovibles. Pour étendre la portée de ses activités de cyber-espionnage, BackdoorDiplomacy recherche les clés USB et tente de copier les fichiers qu’elles contiennent dans une archive protégée par mot de passe, qui est ensuite envoyée à un centre de commande et de contrôle (C2) via la porte dérobée.

Catégories
Attaque hyères informatique prix Ransomware Sécurité Service informatique

Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon

Selon les autorités américaines, JBS a été victime d’une attaque de ransomware fin mai par une « organisation criminelle probablement basée en Russie »

Les cyberattaques peuvent coûter très cher. La question devrait même être au menu de la rencontre entre Joe Biden et Vladimir Poutine le 16 juin à Genève. Pendant ce temps, le géant mondial de la viande JBS, victime d’une attaque fin mai, a déclaré mercredi avoir payé une rançon de 11 millions de dollars en bitcoins à des pirates.

Le géant mondial de la viande JBS paie aux pirates 11 millions de dollars de rançon

JBS avait déclaré aux autorités américaines qu’il était la cible d’une cyberattaque de ransomware d’une « organisation criminelle peut-être basée en Russie », selon la Maison Blanche. Les serveurs sur lesquels reposent ses systèmes informatiques en Amérique du Nord et en Australie avaient été visés, paralysant notamment les activités du groupe en Australie et suspendant certaines lignes de production aux Etats-Unis.

L’entreprise est loin d’être un cas isolé. Le groupe Colonial Pipeline, également cible d’une telle attaque début mai, a reconnu avoir versé aux pirates 4,4 millions de dollars. Lundi, les autorités américaines ont annoncé avoir récupéré une partie de la somme.

« Ce fut une décision très difficile pour notre entreprise et pour moi personnellement », a déclaré Andre Nogueira, patron de la filiale américaine, dans un communiqué. « Cependant, nous avons estimé que cette décision devait être prise pour prévenir tout risque potentiel pour nos clients », a-t-il poursuivi. « Au moment du paiement, la grande majorité des installations de l’entreprise étaient opérationnelles », a déclaré JBS, l’une des plus grandes entreprises alimentaires au monde. Il s’agissait de « s’assurer qu’aucune donnée ne soit exfiltrée » et « d’éviter des problèmes imprévus liés à l’attaque », selon le groupe.

Catégories
Armée Attaque Bitcoins informatique Ransomware Sécurité Service informatique

Pour les États-Unis, ransomwares et terrorisme c’est kif-kif

Les États-Unis veulent mettre en place une task force centrale basée à Washington qui regroupera tous les cas de ransomware. Une méthode déjà mise en place pour travailler sur les affaires de terrorisme.

Dans ce contexte chargé, les États-Unis ont indiqué qu’ils entendaient revoir leur approche de la cybercriminalité. Selon un responsable américain interrogé par Reuters, les États-Unis souhaitent mettre en place un groupe de travail centralisé basé à Washington pour coordonner les efforts des gouvernements locaux en cas de ransomware.

Les États-Unis cherchent ainsi à acquérir une vision plus large du phénomène et de l’implication des différents acteurs de l’écosystème de la cybercriminalité en obligeant les procureurs et enquêteurs à centraliser les informations découvertes lors de leur enquête dans une cellule. Cette unité aura pour objectif de collecter et de recouper des informations techniques et des détails sur les cas impliquant des ransomwares, mais aussi des cas connexes liés à l’écosystème de la cybercriminalité créé autour de cette activité : botnets, échanges de crypto-monnaie, services d’hébergement pare-balles et blanchiment d’argent seront également de la partie. les vues de ce groupe de travail spécialisé.

La méthode n’est pas nouvelle et a déjà été mise en œuvre par les États-Unis dans des affaires de terrorisme et certains phénomènes criminels qui affectent directement la sécurité nationale. La paralysie des services de Colonial Pipelines a choqué le pays et montre à quel point les attaques de ransomware peuvent affecter l’infrastructure nationale, considérée comme critique.

Aux États-Unis, les gros titres des ransomwares arrivent chaque semaine : après l’attaque qui a paralysé le Colonial Pipeline, c’est le géant de l’alimentation JBS qui a porté le plus gros fardeau du groupe Revil cette semaine. Dans le même temps, le conglomérat japonais Fujifilm a annoncé cette semaine avoir été touché par une attaque de ransomware qui l’a contraint à suspendre l’activité de son système informatique. Dans plusieurs cas, les attaquants ont réussi à extorquer des rançons aux entreprises concernées : on a appris que le pipeline colonial avait exempté une rançon de 4,4 millions de dollars pour obtenir la clé de décryptage utilisée par les pirates qui avaient paralysé son système.

En France, la récente épidémie de ransomware a incité les autorités à reconsidérer leurs méthodes d’enquête. Si les attaques de ransomwares ne sont pas traitées par le parquet national contre le terrorisme, la section J3 du parquet de Paris a en revanche une compétence nationale sur les affaires liées à la cybercriminalité, ce qui permet de centraliser les informations sur les attaques de ransomwares.

Le lieutenant-colonel Fabienne Lopez, chef du service de cyber-enquête de la gendarmerie, C3N, expliquait fin 2020 que chaque service d’enquête travaillant sur ces sujets s’était spécialisé dans différentes « familles » de ransomware, « à la demande de la section J3 du parquet de Paris ». L’échange d’informations entre les différents services est organisé, notamment par la création d’une base de données commune permettant le partage d’informations.En raison du caractère international de ces études, les enquêteurs sont également liés aux services d’Europol, qui travaillent également à leur niveau pour permettre l’échange d’informations sur les cas de ransomware. Un tournant amorcé en 2020 pour faire face à la reprise des attaques, comme le rapportait Le Monde en début d’année.

L’Anssi et les services de renseignement travaillent également de leur côté pour identifier et traquer les groupes à l’origine des cyberattaques. L’échange d’informations entre ces agences et les tribunaux est en revanche plus compliqué, mais la nouvelle loi sur le renseignement, adoptée cette semaine par l’Assemblée nationale, prévoit plusieurs articles visant à faciliter le transfert d’informations des agences et administrations publiques. pour les services de renseignement.

Catégories
Aérien informatique Sécurité Service informatique Technologie

Air India annonce le vol des données de 4,5 millions de passagers

Les noms, les numéros de carte bancaire et les informations de passeport font partie des informations volées, a déclaré la société d’État dans un communiqué.

Air India a assuré qu’elle «sécurisait» les serveurs informatiques touchés par ce vol massif tout en faisant appel à des experts en sécurité informatique. La société a également contacté les sociétés de cartes bancaires concernées.

« Nous regrettons profondément les problèmes causés et sommes satisfaits du soutien et de la confiance de nos passagers », a ajouté la compagnie.
Des pirates informatiques ont réussi à voler les données à environ 4,5 millions de passagers de la compagnie aérienne Air India, a déclaré ce dernier vendredi.

Plusieurs compagnies aériennes ont été victimes d’attaques informatiques ces dernières années. Parmi eux, British Airways a été condamnée à une amende de 28 millions de dollars l’année dernière par le régulateur britannique après avoir perdu des données à environ 400000 passagers en 2018 à la suite d’une cyberattaque.

Une amende de 700 000 $ a également été infligée à la société asiatique Cathay Pacific après une perte de données d’env. neuf millions de clients en 2018.
En mars, Air India a annoncé avoir été informée en février d’une cyberattaque par sa société de traitement de données SITA PSS. Cela concernait les données personnelles enregistrées par les passagers entre août 2011 et février 2021.

Dépannage informatique sur l’aéroport de Toulon-Hyères

La SITA, qui sous-traite une partie de l’informatique à une grande partie de l’industrie aéronautique, a déclaré à l’époque qu’elle avait été la cible d’une « attaque très sophistiquée » qui avait touché plusieurs entreprises.

Air India fait partie du groupe de compagnies aériennes Star Alliance, où SITA gère le fonctionnement de son programme de fidélité.

D’autres compagnies avaient averti leurs passagers en mars de cette cyberattaque, mais seuls les noms et le nombre de passagers membres du programme de fidélité avaient été volés.

Catégories
informatique Sécurité Service informatique

Decathlon et BlueNove ont exposé des données

Les données d’un peu plus de 7800 employés de la chaîne de magasins de sport ont été révélées après une base de données mal configurée par un fournisseur, comme l’a révélé la société VPNMentor. Un cas d’école sur la détection désordonnée d’une faille de sécurité.

Lorsqu’il s’agit de signaler des fuites de données, il est parfois préférable de se tourner vers le gestionnaire plutôt que vers le fournisseur: début mars, la société vpnMentor a découvert une base de données Amazon S3 Bucket mal configurée qui exposait plus de données. Sur 7 800 collaborateurs et clients Decathlon.

Parmi les données exposées, vpnMentor déclare avoir identifié des données personnelles – noms, prénoms, adresses e-mail, numéros de téléphone, villes et pays de résidence – et des photos ainsi que le jeton d’approbation. Si les données appartiennent aux salariés de Decathlon, la chaîne de magasins de sport n’est pas directement responsable de la configuration de cette base de données: elles ont été confiées à la société BlueNove, qui a agi en tant que prestataire du Decathlon.

Les données ont été collectées dans le cadre d’un projet de recherche interne, appelé Vision 2030, qui visait à consulter les employés et les partenaires de la chaîne de magasins sur les ambitions et les valeurs de l’entreprise au cours des 10 prochaines années. BlueNove, qui se positionne comme une société spécialisée dans «l’intelligence collective», a donc été désignée pour conduire le projet.

Malheureusement, le projet est tombé sur le radar de vpnMentor: cette société qui propose des comparaisons VPN s’est lancée dans un projet de « web mapping », qui vise essentiellement à identifier des bases de données exposant des données sur le web. L’entreprise se charge alors de contacter les entreprises concernées, et une fois le problème résolu, en profite pour publier un article sur son blog contenant tous les détails de leur découverte.

Selon le message de vpnMentor, signaler la vulnérabilité n’était pas si simple. La société affirme avoir tenté de contacter BlueNove et Amazon en mars pour leur signaler les données exposées. vpnMentor rapporte avoir échangé des e-mails avec l’équipe BlueNove sans obtenir de correctif pour l’erreur. La société explique avoir finalement contacté Decathlon le 12 avril. Deux jours plus tard, l’exposition aux données a été corrigée. Il a donc fallu attendre plus d’un mois et demi et contacter plusieurs responsables pour enfin sécuriser la base de données.

L’histoire semble différente lorsque vous demandez à BlueNove: les communications de l’entreprise expliquent qu’elle a pris connaissance de l’avertissement via un e-mail envoyé le 12 avril à l’un de ses dirigeants, qui a écrit un article sur le partenariat avec Decathlon. Un e-mail en anglais faisant référence à une « faille de sécurité importante » sans donner plus de détails, « le genre de chose qui est assez facilement classée comme spam », a commenté un porte-parole de BlueNove. Aucun autre message de BlueNove n’a été identifié, ce qui n’exclut pas la possibilité qu’un message ait été envoyé sous le radar.

Prestataire de services informatique Hyères

Concernant les données en question, BlueNove n’est pas non plus d’accord: « les données en question (noms, prénoms, adresses e-mail, villes) ne sont pas considérées comme CNIL car des données considérées comme » sensibles « . L’analyse d’impact n’a mis en évidence aucune risque pour les personnes touchées De plus, la ville ou le pays peut être lié aux emplacements des magasins Decathlon, nous ne collectons pas les adresses des participants ni leurs photos. »Les données ont donc été effectivement exposées sur le réseau, mais à première vue elles étaient non exploité par des tiers malveillants.

« Nous avons des adresses dédiées, une pour le support technique et une pour le délégué à la protection des données, qui peut être contacté pour signaler ce type de scénario », a rappelé le porte-parole de BlueNove. Ce mécanisme, qui ne semble pas avoir fonctionné comme prévu dans ce cas précis, mais vpnMentor ne précise pas dans son message les adresses utilisées pour contacter l’entreprise. Lorsque ZDNet a été interrogé sur ce sujet, la société n’avait pas répondu à nos questions au moment de la publication de cet article.

Bien que BlueNove regrette cette exposition involontaire de données, la société estime que la publication de vpnMentor n’est donc pas tout à fait exacte. Ils ne sont pas les premiers à se plaindre du signalement de failles de sécurité par l’entreprise, mais on peut toujours affirmer que personne n’aime être exposé publiquement à ses erreurs.

Signaler des vulnérabilités ou des failles de sécurité est toujours un sujet difficile, comme le souligne Rayna Stamboliyska, vice-présidente de la gouvernance et des affaires publiques chez YesWeHack, et auteur d’un livre blanc sur la question du reporting coordonné des vulnérabilités: «dans ce cas, il faut comprendre que il n’y a pas de relation contractuelle entre les parties, ce qui complique bien entendu les choses. Ici, c’est la bonne foi des chercheurs qui entre en jeu ». Ce type de rapport peut en effet rapidement s’avérer complexe pour les deux entreprises: la victime d’une violation de données n’a aucune envie d’être présentée comme négligente avec les données de ses clients, et de l’entreprise ou du chercheur qui a découvert la brèche. La fuite peut faire face à une application légale si ses recherches sont un peu trop approfondies.

Le vol de données n’est pas le seul risque à prendre en compte dans ce type d’entreprise, on peut aussi craindre qu’un tiers ne tombe pour les données et vous fasse une mauvaise publicité: vpnMentor n’est en fait pas la seule entreprise à pratiquer ce type de reporting suivi d’un publication, et il vaut mieux se préparer à cette éventualité à l’avance. «Dans tous les cas, il y aura toujours des failles, alors soyez mieux préparé», résume Rayna Stamboliyska.

LIEN

Catégories
Attaque Ekans Entreprise de construction EvilQuest GandCrab Hakbit informatique maze NetWalker Ragnar Locker Ransomware revil Rugby Ryuk Sécurité Service informatique Shade sodinokibi SolarWinds Spectre Sunburst Technologie ThiefQuest Uncategorized

Le président des États-Unis Joe Biden signe le décret sur la cybersécurité

Cette semaine, le président des États-Unis a ordonné la création d’un comité dédié aux cyberattaques ainsi que la création de nouvelles normes de sécurité logicielle pour les agences gouvernementales.

En matière de cybercriminalité, les États-Unis ont été confrontés à une cyberattaque massive menée par le groupe Darkside. En utilisant un ransomware, les pirates ont pu fermer l’opérateur pétrolier Colonial Pipeline, qui transporte généralement près de la moitié du carburant du pays. Une attaque qui a fait souffler un vent de panique chez les Américains. Les stations-service à travers le pays ont été prises d’assaut si loin qu’elles commencent une pénurie nationale.

Si la panique n’a pas duré longtemps car le problème a été rapidement résolu, ce nouvel incident démontre clairement la fragilité de l’Oncle Sam face aux cyberattaques. C’est dans ce contexte que le président américain Joe Biden a signé mercredi 12 mai 2021 un décret qui renforcerait la sécurité du pays contre les cyberattaques.

Pour renforcer la cybersécurité aux États-Unis, Joe Biden a annoncé la création d’un comité chargé d’examiner les cyberincidents. Plus précisément, l’organisation enquêtera sur les principaux hacks qui se sont produits dans le pays pour mieux comprendre les détails de l’affaire. Ce nouveau conseil est modelé par le National Transportation Safety Board, qui est chargé d’enquêter sur les accidents aériens, ferroviaires et maritimes, et peut aider à identifier les coupables potentiels en cas d’attaques supplémentaires. Pour rappel, ce n’est pas la première fois que le gouvernement américain est confronté à une cyberattaque. En décembre dernier, un groupe de pirates informatiques a ciblé le gouvernement avec le piratage massif de SolarWinds. Sans divulguer tous les détails de l’incident, Donald Trump affirmait à l’époque avoir des preuves de l’implication russe. Il y a quelques mois à peine, c’était la Chine qui, cette fois, était soupçonnée d’avoir ordonné une cyberattaque visant le géant Microsoft.

Outre la création d’un comité dédié, Joe Biden a également annoncé la création de nouvelles normes logicielles conçues pour sécuriser plus efficacement les agences gouvernementales américaines et empêcher de nouveaux piratages. Ces nouvelles normes comprendront l’utilisation de l’authentification multifactorielle, mais également le renforcement de la sécurité des échanges entre le gouvernement et les entreprises privées.