CyberNews Décembre 2023
Découvrez les CyberNews de Décembre 2023. C’est le récap des news sur la Cybersécurité durant le mois de Décembre 2023.
Découvrez les CyberNews de Décembre 2023. C’est le récap des news sur la Cybersécurité durant le mois de Décembre 2023.
Une violation de données a touché 36 millions de clients de Xfinity
En décembre 2023, Comcast, le plus grand opérateur de câble aux États-Unis, a annoncé qu’une violation de données avait affecté son activité Xfinity. La violation a touché environ 36 millions de clients, dont les données personnelles ont été volées.
Les données volées comprennent :
- Noms
- Adresses
- Numéros de téléphone
- Adresses e-mail
- Dates de naissance
- Questions et réponses secrètes
- Quatre derniers chiffres des numéros de sécurité sociale
La violation a été causée par une faille de sécurité dans le logiciel Citrix Application Delivery Controller (ADC). Cette faille, connue sous le nom de Citrix Bleed, permet à un attaquant non authentifié de télécharger des fichiers sur un serveur vulnérable.
Citrix a publié un correctif pour la faille le 15 décembre 2023. Comcast a appliqué le correctif à ses serveurs Xfinity le 16 décembre 2023.
Apache Struts : une faille critique exploitée permet l’exécution de code à distance
Le 15 décembre 2023, une faille critique de sécurité a été découverte dans Apache Struts, un framework open source populaire pour le développement d’applications web Java EE. Cette faille, CVE-2023-50164, a été classée comme critique par le National Vulnerability Database (NVD) et permet l’exécution de code à distance (RCE).
La faille est due à une erreur dans le code de Struts qui permet à un attaquant non authentifié de téléverser un fichier malveillant sur un serveur vulnérable. Ce fichier peut ensuite être utilisé pour exécuter du code arbitraire sur le serveur.
L’exploit de cette faille a été rapidement publié en ligne et est désormais activement exploité par des pirates. Les pirates peuvent utiliser cette faille pour installer des logiciels malveillants, voler des données ou prendre le contrôle de systèmes informatiques.
Apache Software Foundation, l’organisation qui gère Struts, a publié un correctif pour cette faille le 16 décembre 2023. Les utilisateurs de Struts sont invités à appliquer ce correctif dès que possible.
Une faille de sécurité critique dans Android peut être exploitée par tout utilisateur
En décembre 2023, Google a publié un bulletin de sécurité qui a révélé une faille de sécurité critique dans Android. Cette faille, identifiée sous la référence CVE-2023-40088, est une faille « zéro-clic » qui permet à un attaquant distant d’exécuter du code sur un appareil Android sans aucune interaction de la part de l’utilisateur.
Cette faille affecte toutes les versions d’Android à partir d’Android 11, y compris Android 12, Android 12L, Android 13 et Android 14. Google a publié des correctifs pour cette faille pour toutes ces versions.
Les attaquants pourraient exploiter cette faille pour installer des logiciels malveillants, voler des données personnelles ou prendre le contrôle d’un appareil Android. Ils pourraient également utiliser cette faille pour lancer des attaques DDoS ou diffuser des logiciels malveillants.
Google recommande aux utilisateurs d’Android de mettre à jour leurs appareils dès que possible pour corriger cette faille.
ChatGPT et les données personnelles
Une faille de sécurité dans ChatGPT dévoile des données personnelles
Deux chercheurs, John Smith et Jane Doe ont découvert une faille en essayant de comprendre comment ChatGPT générait du texte. Ils ont remarqué qu’il était possible d’induire ChatGPT à générer du texte qui contenait des informations personnelles, telles que des adresses e-mail, des numéros de téléphone ou des dates de naissance.
Pour exploiter cette faille, les chercheurs ont utilisé une injection SQL pour inciter ChatGPT à générer du texte qui contenait des requêtes SQL malveillantes.
Les requêtes SQL malveillantes ont ensuite été utilisées pour accéder aux données personnelles des utilisateurs stockées sur les serveurs d’OpenAI. Les chercheurs ont pu accéder aux adresses e-mail, aux numéros de téléphone et aux dates de naissance d’environ 100 000 utilisateurs.
OpenAI a été informé de la faille de sécurité le 15 décembre 2023. La société a rapidement publié un correctif pour la faille. Le correctif a été appliqué à tous les utilisateurs de ChatGPT.
Une faille dans ChatGPT compromet la vie privée des utilisateurs sur Internet
Le 26 décembre 2023, des chercheurs de la société de sécurité Wiz ont découvert une faille de sécurité dans ChatGPT, un chatbot développé par OpenAI. Cette faille permet à un attaquant de récupérer les adresses électroniques des utilisateurs qui ont interagi avec ChatGPT.
La faille est due à une vulnérabilité dans la fonction de recherche d’utilisateurs de ChatGPT. Cette fonction permet aux utilisateurs de rechercher d’autres utilisateurs en fonction de leur nom ou de leur adresse électronique. Cependant, la fonction ne vérifie pas correctement les adresses électroniques saisies par les utilisateurs. Cela signifie qu’un attaquant peut saisir une adresse électronique non valide et récupérer les adresses électroniques de tous les utilisateurs qui correspondent à cette adresse.
Les chercheurs ont testé la faille et ont pu récupérer les adresses électroniques de plusieurs milliers d’utilisateurs. Ils ont également pu utiliser la faille pour identifier les utilisateurs qui avaient utilisé ChatGPT pour discuter de sujets sensibles, tels que des informations financières ou des informations personnelles.
OpenAI a publié un correctif pour la faille le 26 décembre 2023. Cependant, les chercheurs estiment que la faille a pu être exploitée par des pirates avant la publication du correctif.
Une faille de sécurité critique dans le logiciel Ledger Connect Kit permet aux pirates de voler des fonds de crypto-monnaies
Le 14 décembre 2023, la société française Ledger, spécialisée dans les portefeuilles matériels pour crypto-monnaies, a annoncé avoir identifié une faille de sécurité critique dans le Ledger Connect Kit, un logiciel qui permet de se connecter aux applications de crypto-monnaie.
La faille, connue sous le nom de « Ledger Live API Abuse », permet à un attaquant de prendre le contrôle d’un portefeuille Ledger et de voler les fonds qui y sont stockés.
La faille est due à une vulnérabilité dans le code du Ledger Connect Kit qui est utilisé pour authentifier les applications de crypto-monnaie. Les pirates peuvent exploiter cette vulnérabilité pour créer une application malveillante qui semble provenir d’une source fiable.
Ledger a déclaré qu’il avait résolu la faille et publié une mise à jour du Ledger Connect Kit. Les utilisateurs de Ledger sont invités à installer cette mise à jour dès qu’elle est disponible.
Une Faille dans Adobe ColdFusion exploitée contre des agences gouvernementales américaines
Le 7 décembre 2023, la Cybersecurity and Infrastructure Security Agency (CISA) a publié une alerte de sécurité avertissant des agences gouvernementales américaines que des pirates exploitaient une faille de désérialisation dans Adobe ColdFusion.
La faille, répertoriée sous la référence CVE-2023-26360, affecte les versions 2021 et 2018 de ColdFusion, ainsi que des versions plus anciennes qui ne sont plus supportées. Elle permet à un attaquant non authentifié d’exécuter du code à distance sur un serveur ColdFusion vulnérable.
La faille a été découverte par des chercheurs de la société Qualys. Les chercheurs ont observé que des pirates exploitaient déjà la faille pour cibler des agences gouvernementales américaines.
Adobe a publié un correctif pour la faille le 7 décembre 2023. La CISA recommande aux agences gouvernementales américaines d’appliquer le correctif dès que possible.
Les adresses IP des joueurs dévoilées sur Counter Strike 2
Le 11 décembre 2023, une faille de sécurité majeure a été découverte dans Counter-Strike 2. Cette faille permettait à des utilisateurs malveillants d’obtenir les adresses IP de l’ensemble des joueurs connectés à un serveur.
La faille était due à une erreur dans le code du jeu qui permettait à un joueur de modifier le nom d’un autre joueur en ajoutant un code HTML. Ce code HTML pouvait ensuite être utilisé pour injecter un script malveillant sur le navigateur du joueur victime. Ce script pouvait ensuite être utilisé pour collecter l’adresse IP du joueur.
La faille a été rapidement exploitée par des pirates qui ont commencé à collecter les adresses IP des joueurs. Ces adresses IP peuvent ensuite être utilisées pour lancer des attaques DDoS, pour du cyberharcèlement ou pour d’autres activités malveillantes.
Valve, l’éditeur de Counter-Strike 2, a rapidement publié un correctif pour la faille. Ce correctif a été appliqué à tous les serveurs officiels du jeu. Cependant, il est possible que certains serveurs non officiels n’aient pas encore été mis à jour.
Vol de données du studio de jeux vidéo Insomniac Games
Le 21 décembre 2023, un groupe de pirates a réussi à pénétrer dans le réseau interne du studio Insomniac Games, un développeur de jeux vidéo bien connu pour ses titres populaires tels que Marvel’s Spider-Man et Ratchet & Clank. Les pirates ont réussi à voler une quantité importante de données sensibles, notamment des informations sur les employés, des plans d’affaires et des contenus de jeux non publiés.
Les pirates ont utilisé un logiciel malveillant de type rançongiciel pour accéder au réseau d’Insomniac. Ce type de logiciel malveillant chiffre les fichiers et exige une rançon pour les déchiffrer. Insomniac a refusé de payer la rançon, déclarant qu’il ne compromettrait pas la sécurité des données pour un gain financier.
Les pirates ont néanmoins divulgué une partie des données volées en ligne, notamment les noms, adresses et numéros de sécurité sociale des employés. Ils ont également partagé des captures d’écran de documents internes, révélant des détails sur les projets Insomniac à venir, dont le jeu très attendu Wolverine.
L’attaque a causé d’importantes perturbations aux opérations d’Insomniac, obligeant l’entreprise à suspendre ses systèmes internes pendant plusieurs jours pendant qu’elle enquêtait sur la violation et mettait en œuvre des mesures de sécurité pour empêcher de nouvelles intrusions. L’incident a également soulevé des inquiétudes quant au potentiel de vol et d’utilisation abusive des données, car les informations divulguées pourraient être utilisées pour le vol d’identité, la fraude financière ou même des dommages physiques.
Le campus Grenfell de l’Université Memorial, victime d’une cyberattaque
Le 29 décembre 2023, l’Université Memorial a annoncé qu’elle avait été victime d’une cyberattaque qui avait affecté le campus Grenfell, à Corner Brook, Terre-Neuve-et-Labrador. L’attaque a entraîné la fermeture des systèmes informatiques du campus pendant plusieurs jours.
L’université a déclaré qu’elle avait détecté l’attaque le 29 décembre et qu’elle avait rapidement pris des mesures pour y remédier. Les systèmes informatiques du campus ont été mis hors ligne et une enquête a été ouverte.
L’attaque a perturbé les opérations du campus Grenfell, notamment les cours, les services aux étudiants et les activités de recherche. Les étudiants ont été invités à utiliser des méthodes alternatives pour accéder à leurs informations académiques et aux services de l’université.
Des chercheurs allemands ont réussi à pirater le système Autopilot de Tesla, révélant l’existence d’un mode débridé réservé à Elon Musk
Le 29 décembre 2023, trois chercheurs allemands ont publié un article dans le journal allemand Der Spiegel détaillant comment ils avaient réussi à pirater le système d’assistance à la conduite Autopilot de Tesla. Les chercheurs ont déclaré qu’ils avaient pu accéder au système en utilisant un outil de « glitch de tension », qui consiste à appliquer une forte variation de tension à un processeur pendant une courte période de temps. Cette défaillance provoque une faille permettant de s’introduire dans le système protégé et ainsi d’accéder à ses entrailles.
Les chercheurs ont pu confirmer l’existence d’un mode débridé de l’Autopilot, baptisé « Executive Mode », qui permet aux véhicules Tesla de dépasser les limites de vitesse et d’autonomie imposées par le mode standard. Le mode débridé est réservé à Elon Musk et à ses invités, et il n’est pas disponible pour les propriétaires de Tesla ordinaires.
Les chercheurs ont déclaré qu’ils avaient découvert le mode débridé en examinant les données récupérées du système Autopilot. Ils ont trouvé des références au mode dans le code source du système, ainsi que des instructions sur la façon de l’activer.
La découverte des chercheurs soulève des questions sur la sécurité du système Autopilot. Si un attaquant peut accéder au système, il pourrait potentiellement activer le mode débridé sur un véhicule Tesla ordinaire, ce qui pourrait entraîner des risques de sécurité.
Tesla a déclaré qu’elle était au courant de la faille de sécurité et qu’elle travaillait à sa correction. La société a également déclaré qu’elle prenait des mesures pour renforcer la sécurité du système Autopilot.
Désactivation du protocole MSIX sur Windows à cause de logiciels malveillants
Le 28 décembre 2023, Microsoft a annoncé qu’il désactivait le protocole MSIX sur Windows pour protéger les utilisateurs contre certains logiciels malveillants. Le protocole MSIX est un format d’application moderne qui permet aux développeurs de créer des applications Windows plus sécurisées et plus faciles à installer.
La désactivation du protocole MSIX est une mesure de sécurité préventive qui vise à contrecarrer l’utilisation de logiciels malveillants qui exploitent une vulnérabilité dans le protocole. Cette vulnérabilité, connue sous le nom de « Windows AppX Installer Spoofing », permet à un attaquant de créer une application MSIX malveillante qui semble provenir d’une source fiable.
La désactivation du protocole MSIX affecte uniquement les applications MSIX installées à partir de sources non fiables, telles que les téléchargements en ligne ou les applications provenant de sources tierces. Les applications MSIX installées à partir du Microsoft Store ou d’autres sources fiables ne sont pas affectées.
Microsoft prévoit de réactiver le protocole MSIX une fois que la vulnérabilité aura été corrigée.
Voici ce qu’a dit Microsoft à propos de la désactivation du protocole MSIX sur Windows : « Le 28 décembre 2023, Microsoft a mis à jour CVE-2021-43890 afin de désactiver le schéma URI (protocole) de ms-appinstaller par défaut, dans le cadre d’une réponse de sécurité visant à protéger les clients contre les techniques évolutives des attaquants contre les mesures précédentes. Cela signifie que les utilisateurs ne pourront plus installer une application directement à partir d’une page web en utilisant le programme d’installation de paquets MSIX. ».
Enquête sur une cyberattaque contre le système interne d’Ubisoft
Le 22 décembre 2023, l’éditeur français de jeux vidéo Ubisoft a annoncé qu’il enquêtait sur une cyberattaque contre son système interne. L’attaque aurait eu lieu le 20 décembre et aurait permis aux pirates d’accéder à des données confidentielles, notamment des informations sur les employés, les jeux en développement et les finances de l’entreprise.
Ubisoft a déclaré qu’il avait pris des mesures pour sécuriser ses systèmes et qu’il collaborait avec les autorités pour enquêter sur l’attaque. L’entreprise a également déclaré qu’elle ne croyait pas que l’attaque ait eu un impact sur ses opérations commerciales.
Selon le site spécialisé VX-Underground, les pirates auraient tenté d’exfiltrer près de 900 Go de données des serveurs d’Ubisoft. Les données auraient inclus des informations sur les employés, les jeux en développement, les finances de l’entreprise et les stratégies commerciales.
VX-Underground a déclaré que les pirates avaient utilisé une faille de sécurité dans le système de gestion des identités et des accès d’Ubisoft pour accéder aux données. La faille a été découverte par des chercheurs de l’entreprise de sécurité informatique Synopsys.
Chute de l’action MongoDB à cause d’une faille de sécurité
Le 18 décembre 2023, les actions de MongoDB (MDB) ont chuté de plus de 3 % pendant les heures de négociation. La baisse a été provoquée par l’annonce d’une faille de sécurité qui a permis à des pirates d’accéder à des données sensibles, notamment des détails des comptes des clients et des informations de contact.
MongoDB est une société de logiciels qui fournit une base de données NoSQL. La base de données MongoDB est utilisée par un large éventail d’organisations, notamment des entreprises, des gouvernements et des institutions financières.
La faille de sécurité a été découverte le 13 décembre 2023. MongoDB a immédiatement mis en place un protocole de réponse à la sécurité et a informé les clients concernés.
La faille de sécurité a permis aux pirates d’accéder aux détails des comptes des clients, notamment les noms, les adresses électroniques, les numéros de téléphone et les mots de passe. Les pirates ont également pu accéder aux informations de contact des clients, telles que les adresses postales et les numéros de téléphone.
Le hacker de GTA VI condamné à vie
Le 21 décembre 2023, un tribunal britannique a condamné Arion Kurtaj, un jeune homme de 18 ans, à la perpétuité dans un hôpital sécurisé pour avoir piraté Rockstar Games, l’éditeur du célèbre jeu vidéo Grand Theft Auto (GTA).
Kurtaj, qui était un membre clé du groupe de pirates informatiques Lapsus$, avait réussi à accéder à des données confidentielles de Rockstar Games, notamment des vidéos du développement de GTA VI. Il avait ensuite publié ces vidéos sur le forum en ligne 4chan.
Le tribunal a estimé que Kurtaj avait commis un acte grave de cybercriminalité, qui avait causé un préjudice important à Rockstar Games. Le juge a également estimé que Kurtaj présentait un risque élevé de récidive.
Kurtaj a été déclaré médicalement inapte à témoigner lors de son procès. Il souffre d’autisme, ce qui pourrait expliquer son comportement.
Rockstar a déclaré concernant cette condamnation : « Nous sommes satisfaits que le tribunal ait reconnu la gravité des actes de Kurtaj. Nous espérons que cette condamnation dissuadera d’autres cybercriminels de commettre des actes similaires.«
