Numérique
Les données personnelles, cible des pirates : le portail d’offre d’emploi de McDonald’s Canada visé
Un pirate a dérobé les données personnelles (noms, adresses email, numéros de téléphone, adresses postales) de 95 000 candidats ayant postulé auprès de la chaîne de restauration rapide McDonald’s Canada. Tous les utilisateurs qui ont déposé leurs candidatures entre mars 2014 et mars 2017 sont affectés par cette fuite de données.
En savoir plus
Un logiciel espion baptisé Chrysaor, détecté sur des appareils Android
Google et Lookout ont annoncé le 3 avril 2017 avoir détecté une version Android du logiciel espion Pegasus présent chez les utilisateurs iOS. La version, baptisée "Chrysaor", est soupçonnée d'avoir été développée par la société israélienne NSO Group Technologies, également à l'origine de Pegasus. Le logiciel espion aurait été utilisé pour mener des attaques extrêmement ciblées : moins d'une quarantaine d'appareils infectés ont été détectés d'après Google et Lookout.
En savoir plus
La suite sur le piratage de comptes iCloud par le groupe "Turkish Crime Family"
Au cours des deux dernières éditions de Threat Landscape, nous avons évoqué ce piratage présumé de 200 à 300 millions de comptes iCloud par le groupe Turkish Crime Family. Le groupe avait menacé de supprimer ces comptes iCloud si une rançon ne leur était pas versée avant le 7 avril 2017. Troy Hunt a publié une analyse détaillée d’un échantillon (plus de 60 000 comptes) de la potentielle base de données de comptes iCloud. En substance, ses conclusions sont rassurantes : si le groupe détient une base de données de comptes utilisateur, ces derniers ne proviennent pas directement de la base de données d'Apple mais d'anciennes fuites de données. Entre les systèmes d'authentifications multi-facteurs, les mots de passe qui n'ont pas été réutilisés sur iCloud et les comptes protégés, le nombre de comptes iCloud réellement compromis est faible d'après Troy Hunt.
En savoir plus
Retour des Shadow Brokers : de nouveaux outils de piratage informatique de la NSA mis en ligne
Le groupe "Shadow Brokers" qui avait dérobé une série d'outils de piratage informatique de la NSA à l'été 2016 a fait un retour médiatique inattendu ce samedi 8 avril 2017. Après avoir annoncé leur retraite en janvier 2017, les "Shadow Brokers" ont dévoilé il y a quelques jours le mot de passe permettant de déchiffrer les derniers fichiers qu'ils avaient volés l'année dernière. Grâce à ce mot de passe, le chercheur en sécurité informatique "x0rz" a fait quelques découvertes intéressantes : une liste de serveurs appartenant à des entreprises et des universités du monde entier que la NSA aurait piratés et utilisés pour déployer ses malwares et lancer des attaques ; une liste de noms d'utilisateur et de mot de passe utilisés par la NSA pour ses outils et ses backdoors ; un outil baptisé "TOAST", que la NSA aurait utilisé pour supprimer les traces de son passage sur des serveurs ; un outil baptisé "PitchImpair" utilisé pour pirater des serveurs.
En savoir plus
Santé
Une attaque par ransomware vise un établissement pédiatrique aux États-Unis
ABCD Pediatrics, un établissement pédiatrique situé au Texas a été la cible d’une attaque par ransomware le 6 février 2017. Les données de patients (noms, prénoms, adresses, numéros de téléphone, numéros de sécurité sociale) ont été chiffrées mais sans demande de rançon. Les services IT de l’institut pensent qu’une fuite de données est à envisager. Elle pourrait concerner plus de 55 000 patients.
En savoir plus
Une variante du ransomware Philadelphia vise les industriels de la santé
Ce ransomware est distribué via des campagnes de spear-phishing qui visent des hôpitaux. Le message envoyé contient un lien de redirection qui pointe la victime vers un site malveillant, lequel héberge trois fichiers Word porteurs du ransomware Philadelphia. Si l'utilisateur clique sur l'un des fichiers, le ransomware s'exécute et chiffre les données. Un hôpital situé en Oregon et un autre situé au Sud-Ouest de Washington (États-Unis) ont déjà été victimes de ce malware.
Nous avons observé que le ransomware en question est proposé en vente sur le forum anglophone Alphabay du réseau TOR, au prix de 389 dollars.
En savoir plus
Bancaire
Les menaces ciblant les distributeurs automatiques de billet se généralisent sur le réseau TOR
Nous avons observé une généralisation des ventes de produits permettant la compromission de distributeurs automatiques de billets sur le réseau TOR. Cette généralisation se traduit par une augmentation du nombre de produits mis en vente, de vendeurs et de plateformes de revente. Il peut s’agir de ventes de malwares (dont les prix peuvent aller jusqu’à 7 000 dollars) ou de tutoriels à bas prix (quelques dollars) pour mettre en place les techniques de "skimming" ou de "shimming". Ces techniques consistent respectivement à placer des dispositifs directement sur les distributeurs afin d’extraire les données des cartes à puce ou à bande magnétique des clients. Ces dispositifs sont parfois directement proposés à la vente à des tarifs variant entre 1 500 et 25 000 dollars (en fonction du nombre de modèles concernés). Parmi les modèles de distributeurs automatiques visés que nous avons pu observer : NRC, Diebold et Wincor.
Des cybercriminels sont parvenus à prendre le contrôle sur le trafic Internet d'une banque brésilienne
A l’occasion du Kaspersky Security Summit 2017, des chercheurs ont indiqué que des cybercriminels étaient parvenus le 22 octobre 2016, à dévier le trafic en ligne d’une banque brésilienne pendant 5 à 6 heures consécutives. Grâce à une modification des enregistrements DNS de 36 services en ligne de cette banque, les attaquants ont redirigé les utilisateurs vers des sites Web malveillants et ont ainsi pu collecter leurs données bancaires. Le nom de la banque n’a pas été dévoilé.
En savoir plus
Mauvaises pratiques de stockage en ligne, une base de données a été récupérée par Chris Vickery
La semaine dernière, Chris Vickery a indiqué avoir téléchargé une base de données MySQL de 160 Go contenant notamment les données de 20 000 clients de la société de courtage Scottrade. La société de courtage a par la suite confirmé cette fuite de données via un communiqué officiel. La fuite serait liée à une erreur de la société Genpact (qui propose des prestations de service en management de l'entreprise) qui aurait déposé la base de données en question sur l'un de ses serveurs SQL hébergés par Amazon, sans en verrouiller l'accès. Cette situation rejoint les vagues de ransomwares orientés base de données : le volume de base de données exposées sans protection sur Internet est un problème en croissance – nous recommandons leurs cartographies régulières.
En savoir plus
Énergie
Nucléaire : le président de l’AIEA a confirmé qu’une centrale nucléaire avait été victime d’une cyberattaque
Le président de l’AIEA (Agence Internationale de l’Energie Atomique) a indiqué à l’agence de presse Reuters, sans donner d’information précise, qu’une centrale nucléaire avait été victime d’une cyberattaque. Il a affirmé que l’attaque a provoqué des perturbations mais sans incidence grave.
Aéronautique
Une campagne de phishing vise les clients de plusieurs compagnies aériennes
Une campagne de phishing visant des clients de compagnies aériennes a été détectée par le CERT US. Les messages reçus par les utilisateurs prétendent provenir d’une compagnie aérienne mais contiennent en réalité soit un malware, soit un lien qui redirige la victime vers un faux site Web d'une compagnie aérienne. L'objectif des attaquants est ensuite de pouvoir collecter les données personnelles des victimes.
En savoir plus
|