Home Tags Posts tagged with "Cybermenace"
Tag:

Cybermenace

Divertissement

CISA et NSA sonnent l’alarme sur la porte dérobée Brickstorm utilisée par des acteurs liés à la Chine ciblant les systèmes VMware et Windows

by Antoine Girard
written by Antoine Girard

Publié le 2025-12-05 21:13:00. Les agences de cybersécurité américaine et canadienne mettent en garde les opérateurs d’infrastructures critiques contre une nouvelle porte dérobée sophistiquée, nommée Brickstorm, attribuée à des acteurs soutenus par l’État chinois. Cette menace permet un accès furtif et persistant aux systèmes, avec des risques de perturbation et de sabotage.

  • La CISA, la NSA et le Centre canadien de cybersécurité recommandent des évaluations immédiates des systèmes et une application rapide des mesures d’atténuation.
  • Brickstorm cible principalement les environnements VMware vSphere et Windows, avec une capacité à se réinstaller et à dissimuler son activité grâce à un cryptage multicouche.
  • Les attaquants utilisent Brickstorm pour voler des informations d’identification et créer des machines virtuelles malveillantes, échappant ainsi à la détection.

Une nouvelle campagne de cyberespionnage ciblant les infrastructures critiques a été révélée par la Cybersecurity and Infrastructure Security Agency (CISA) américaine, la National Security Agency (NSA) et le Centre canadien de cybersécurité. Les trois agences ont publié un avis conjoint concernant Brickstorm, une porte dérobée sophistiquée utilisée par des acteurs liés à la République populaire de Chine. Cette menace représente un risque sérieux pour la sécurité des réseaux et des données sensibles.

Brickstorm, basée sur le langage de programmation ELF Go, est conçue pour établir et maintenir un accès discret et durable aux systèmes compromis. Les différentes variantes analysées partagent des fonctionnalités communes, notamment la capacité à initier une connexion, à persister dans le système et à établir un canal de commande et de contrôle chiffré. Bien que les versions actuellement connues ciblent principalement les environnements VMware vSphere, des rapports indiquent l’existence de variantes fonctionnant sous Windows.

Une fois déployée, Brickstorm met en œuvre une série de vérifications pour assurer son fonctionnement continu. Elle dispose d’une routine d’auto-surveillance qui lui permet de se réinstaller ou de se redémarrer en cas d’interférence. Cette capacité de résilience rend la détection et l’élimination de la porte dérobée particulièrement difficiles.

Pour dissimuler ses communications, Brickstorm utilise plusieurs couches de cryptage, notamment le protocole HTTPS, les WebSockets et le TLS imbriqué. Elle exploite également le DNS sur HTTPS et imite le comportement légitime des serveurs web pour se fondre dans le trafic réseau normal. La porte dérobée offre un accès interactif au shell, permettant aux attaquants de parcourir, de modifier ou de déplacer des fichiers sur le système compromis. Certaines variantes intègrent également un proxy SOCKS, facilitant le mouvement latéral au sein du réseau et l’accès à des systèmes supplémentaires.

Les secteurs les plus touchés par Brickstorm sont les services et installations gouvernementales, ainsi que le secteur de l’informatique. Les attaquants ciblent spécifiquement les serveurs VMware vSphere, notamment les serveurs vCenter, ainsi que les systèmes Windows. Après avoir obtenu un accès initial, ils cherchent à voler des informations d’identification légitimes en effectuant des sauvegardes du système ou en capturant des données de la base de données Active Directory. Ils utilisent également les instantanés de machines virtuelles pour extraire des informations d’identification et créer des machines virtuelles malveillantes cachées.

« Cet avis souligne les graves menaces posées par la République populaire de Chine qui créent des risques et des coûts continus en matière de cybersécurité pour les États-Unis, nos alliés et les infrastructures critiques dont nous dépendons tous »,

Madhu Gottumukkala, directeur par intérim de la CISA

Madhu Gottumukkala a également souligné que les acteurs soutenus par l’État ne se contentent pas de pénétrer les réseaux, mais s’implantent durablement pour permettre un accès à long terme, des perturbations et un sabotage potentiel.

Les agences de cybersécurité recommandent aux organisations d’infrastructures critiques d’examiner attentivement le rapport complet sur Brickstorm et de mettre en œuvre immédiatement les mesures d’atténuation recommandées. Elles conseillent également de signaler toute activité suspecte. Il est crucial d’utiliser les indicateurs de compromission (IOC), les signatures de détection et les règles YARA et SIGMA développées par la CISA pour identifier et contrer cette menace.

En parallèle, la CISA et l’Australian Cyber Security Centre (ACSC) ont publié des directives communes en matière de cybersécurité pour aider les propriétaires et les opérateurs d’infrastructures critiques à intégrer l’intelligence artificielle (IA) dans leurs systèmes de technologie opérationnelle (OT), tout en minimisant les risques.

0 comments
0 FacebookTwitterPinterestEmail
Technologie et science

Les attaquants exploitent ScreenConnect et Microsoft 365 pour des violations

by Thomas Caron
written by Thomas Caron

Publié le 4 décembre 2025 à 23h05. Des chercheurs en sécurité alertent sur une recrudescence des attaques ciblant les entreprises via des outils d’accès à distance légitimes et des identifiants compromis, rendant la détection de plus en plus difficile.

  • L’exploitation de vulnérabilités dans des logiciels comme ScreenConnect permet aux attaquants d’installer des logiciels malveillants et de voler des données.
  • L’utilisation de mots de passe volés ou achetés reste une tactique privilégiée des cybercriminels pour s’infiltrer dans les systèmes d’entreprise.
  • Les activités de connexion suspectes aux comptes Microsoft 365 sont en augmentation, notamment depuis des pays non habituels.

Les entreprises sont confrontées à une nouvelle vague d’attaques sophistiquées où les cybercriminels exploitent des outils et des informations d’identification valides pour accéder illégalement aux réseaux et aux données sensibles. Selon une récente étude de Barracuda, des outils d’administration à distance, initialement conçus pour faciliter le travail des équipes informatiques, sont détournés à des fins malveillantes.

ScreenConnect, une plateforme de gestion d’appareils largement utilisée, est particulièrement visée. Les attaquants exploitent des failles de sécurité découvertes plus tôt en 2025 dans des versions obsolètes du logiciel. Ces vulnérabilités leur permettent d’installer à distance des programmes malveillants, de déployer des rançongiciels, de dérober des informations confidentielles et de se déplacer latéralement au sein du réseau de la victime. Les équipes de sécurité ont constaté que les attaquants se connectent directement aux instances ScreenConnect des entreprises ciblées, ou déploient le logiciel eux-mêmes pour y accéder. La confiance accordée à ScreenConnect au sein des réseaux d’entreprise permet à ces activités malveillantes de se dissimuler parmi les opérations légitimes.

Bien qu’une mise à jour corrigeant la vulnérabilité ait été publiée en avril 2025, les organisations qui ne l’ont pas appliquée restent exposées. Le risque est accru pour celles qui utilisent des versions obsolètes, des outils d’accès à distance non gérés, ou qui n’ont pas mis en place une authentification multifacteur (MFA) pour les comptes d’administrateur.

« La détection de ScreenConnect n’éveille pas immédiatement les soupçons »,

Mike Flouton, vice-président de la gestion des produits chez Barracuda

Parallèlement, l’utilisation de noms d’utilisateur et de mots de passe volés ou achetés sur le dark web reste une tactique courante. Une fois ces identifiants compromis utilisés avec succès, les attaquants peuvent se fondre dans l’activité normale des utilisateurs, rendant leur détection plus complexe. Barracuda observe que ces accès illégitimes sont souvent utilisés pour lancer des attaques de rançongiciels, voler des données ou établir des canaux d’accès persistants. Des comportements suspects, tels que des tentatives de connexion répétées ou simultanées, ou l’utilisation d’outils d’administration comme PsExec ou PowerShell, peuvent signaler une intrusion.

Les entreprises qui ne disposent pas de politiques de mots de passe robustes, qui ne renouvellent pas régulièrement les identifiants, ou qui ne mettent pas en place des contrôles d’authentification stricts, sont particulièrement vulnérables. Un manque de surveillance des comportements anormaux et une incapacité à détecter une activité suspecte à distance peuvent également faciliter la compromission des systèmes.

Les activités de connexion inhabituelles ciblant les comptes Microsoft 365 sont également en hausse, avec des tentatives provenant de pays situés en dehors des zones géographiques habituelles des organisations concernées. Ces attaques exploitent souvent des bases de données de mots de passe obtenues illégalement, permettant aux attaquants d’accéder aux communications de l’entreprise, aux fichiers confidentiels et de se faire passer pour des employés à des fins de phishing interne.

Les entreprises qui ne mettent pas en œuvre le blocage géographique, qui n’appliquent pas l’authentification multifacteur, ou qui ne surveillent pas attentivement les origines des connexions à leurs comptes, sont particulièrement à risque. Les attaquants sophistiqués peuvent rapidement étendre leur accès initial, augmenter leurs privilèges et lancer d’autres attaques sur l’environnement de l’entreprise.

Pour se protéger contre ces menaces, les experts de Barracuda recommandent une approche de sécurité à plusieurs niveaux. Cela inclut des mises à jour logicielles régulières, des politiques de mots de passe strictes, l’authentification multifacteur obligatoire (en particulier pour les administrateurs et les comptes d’accès à distance), et une surveillance continue des comportements anormaux. La formation des employés à la reconnaissance des tentatives de phishing et à la signalisation des anomalies est également essentielle. Des systèmes automatisés, tels que la sécurité gérée des points finaux et les plateformes avancées de détection et de réponse, peuvent aider à identifier les activités malveillantes menées via des outils fiables ou des identifiants légitimes.

Selon les conclusions de Barracuda, les organisations qui ne s’adaptent pas à l’évolution des tactiques d’attaque risquent de rester exposées à un risque accru.

« Les cybercriminels volent ou achètent des noms d’utilisateur et des mots de passe (identifiants) et les utilisent pour pénétrer dans les systèmes. Une fois à l’intérieur, ils lancent des attaques de rançongiciels ou volent des données sensibles »,

Mike Flouton, vice-président de la gestion des produits chez Barracuda

0 comments
0 FacebookTwitterPinterestEmail
Technologie et science

Silent Push met à jour sa plateforme de chasse aux menaces pour une analyse plus approfondie

by Thomas Caron
written by Thomas Caron

Publié le 17 novembre 2025 à 20h18. Silent Push a lancé une nouvelle version de sa plateforme de chasse aux menaces, la 4.11, conçue pour simplifier le travail des analystes de sécurité et leur offrir une vision plus complète de l’infrastructure utilisée par les attaquants potentiels.

  • La version 4.11 améliore les fonctionnalités de recherche et centralise les processus de sauvegarde, de surveillance et d’exportation des données.
  • L’intégration avec Splunk 3.0 permet d’analyser des indicateurs de menace sans consommer de crédits d’utilisation.
  • Une extension Chrome mise à jour permet de vérifier rapidement la réputation d’indicateurs de menace directement sur les pages web.

La mise à jour de la plateforme Silent Push vise à aider les équipes de sécurité à identifier les risques complexes qui échappent souvent aux outils d’analyse traditionnels. Cette nouvelle version met l’accent sur l’amélioration de l’expérience utilisateur, en offrant une navigation plus rapide, une plus grande flexibilité d’analyse et des informations plus approfondies pour détecter les intentions malveillantes dès le début du cycle d’attaque.

Les analystes bénéficieront d’une interface remaniée qui regroupe les fonctions essentielles de sauvegarde, de surveillance et d’exportation des données en une seule vue. Ils disposent désormais d’un contrôle plus précis sur ces fonctions, avec la possibilité de modifier les paramètres de surveillance et de sélectionner les ensembles de données à exporter. Les notifications personnalisées sont également plus flexibles, avec des options de diffusion étendues via l’application, le courrier électronique, ainsi que des outils de collaboration populaires tels que Slack et Teams.

Silent Push a également mis à jour son API de langage de recherche propriétaire, en introduisant un traitement asynchrone amélioré. Cette évolution permet de gérer plus efficacement les requêtes complexes et de faciliter les enquêtes approfondies. Par ailleurs, l’intégration avec Splunk a été renforcée grâce à la prise en charge de Splunk 3.0. Les utilisateurs peuvent désormais exécuter des indicateurs stockés dans Splunk via la fonctionnalité Threat Check de Silent Push, sans impact sur leur consommation de crédits. L’application Splunk prend également en charge la création et la gestion de flux de données, ainsi que de nouveaux tableaux de bord pour une analyse plus détaillée.

L’extension Chrome de Silent Push, désormais en version 1.0.7, permet de vérifier rapidement la réputation des indicateurs de menace mentionnés sur les sites web. Elle peut générer automatiquement des requêtes à partir de ces indicateurs, permettant ainsi d’obtenir des informations complémentaires à partir des bases de données de Silent Push. Enfin, les tableaux de résultats de recherche ont été repensés pour prendre en charge de nouvelles sources de données, et l’historique des indicateurs pour les flux IOFA a été étendu. De nouveaux contrôles pour les sections Total View et WHOIS facilitent la navigation et l’accès à un contexte plus riche sur les infrastructures suspectes.

« La version 4.11 s’appuie sur notre engagement continu à améliorer l’expérience des analystes tout en élargissant la profondeur et la précision de la découverte des menaces. Nous avons axé cette version sur l’offre aux utilisateurs d’une navigation plus rapide, d’une plus grande flexibilité d’analyse et d’informations plus approfondies, afin de détecter les intentions malveillantes plus tôt dans le cycle de vie de l’attaque. »

Ken Bagnall, PDG de Silent Push

0 comments
0 FacebookTwitterPinterestEmail
Affaires

Analyse des tendances du marché des plateformes de détection de fraude par carte de crédit

by Amélie Bernard
written by Amélie Bernard

Publié le 22 octobre 2025. Le marché mondial des plateformes de détection de fraude par carte de crédit devrait connaître une croissance soutenue au cours des huit prochaines années, tirée par l’essor du commerce électronique et l’innovation constante des cybermenaces.

  • Le marché mondial des plateformes de détection de fraude par carte de crédit était estimé à 4,16 milliards de dollars en 2025.
  • Il devrait atteindre 13,29 milliards de dollars d’ici 2033, affichant un taux de croissance annuel composé (TCAC) de 15,6 %.
  • L’intégration de l’intelligence artificielle (IA) et de l’apprentissage automatique (ML) est un moteur clé de cette croissance.

La lutte contre la fraude à la carte bancaire est en pleine mutation. Selon une nouvelle étude de ResearchAndMarkets.com, le marché mondial des plateformes dédiées à la détection de ces fraudes devrait plus que tripler d’ici 2033, passant de 4,16 milliards de dollars en 2025 à 13,29 milliards de dollars. Cette expansion significative est alimentée par l’augmentation constante du volume des transactions numériques, l’adoption croissante du commerce électronique et la sophistication grandissante des cyberattaques ciblant les institutions financières et les consommateurs.

L’intelligence artificielle (IA) et l’apprentissage automatique (ML) jouent un rôle de plus en plus crucial dans ce domaine. Les organismes financiers reconnaissent l’efficacité des modèles basés sur l’IA pour analyser des schémas transactionnels complexes en temps réel et identifier les anomalies avec une précision accrue, tout en réduisant le nombre de faux positifs. Ces systèmes intelligents s’appuient sur des techniques avancées de reconnaissance de formes, d’apprentissage d’ensemble et de réseaux neuronaux, capables de s’adapter et d’évoluer en continu.

Parallèlement, l’essor des infrastructures de paiement en temps réel exige des systèmes de détection de fraude capables de réagir en quelques millisecondes. L’intégration de la protection contre la fraude directement dans les circuits de paiement est devenue une priorité pour maintenir la confiance des utilisateurs. Les plateformes utilisent désormais la biométrie comportementale, l’analyse contextuelle et l’intelligence des appareils pour évaluer la légitimité des transactions au moment où elles sont initiées, améliorant ainsi l’expérience client et réduisant les pertes financières.

Le renforcement des réglementations financières à l’échelle mondiale contribue également à cette évolution. Les autorités de régulation mettent l’accent sur l’utilisation de technologies telles que l’IA et l’analyse automatisée pour détecter les activités illicites et garantir des mécanismes de signalement efficaces. Elles encouragent les institutions financières à moderniser leurs systèmes et à adopter des outils dynamiques de détection de fraude, capables d’identifier les comportements suspects sur les réseaux financiers nationaux et internationaux.

L’authentification biométrique, avec des solutions comme la reconnaissance faciale et la numérisation d’empreintes digitales, gagne en popularité pour renforcer la sécurité et simplifier l’expérience utilisateur. Ces méthodes offrent une alternative plus sûre aux mots de passe et aux codes PIN traditionnels, plus vulnérables aux cyberattaques.

Enfin, l’émergence de l’informatique quantique représente un nouveau défi pour la sécurité des plateformes de détection de fraude. Les institutions financières et les fournisseurs de technologies doivent anticiper cette menace en réévaluant les fondements cryptographiques de leurs systèmes et en adoptant des algorithmes post-quantiques pour protéger les données financières.

Segmentation du rapport

Le rapport prévoit la croissance des revenus aux niveaux mondial, régional et national et fournit une analyse des dernières tendances de l’industrie dans chacun des sous-segments de 2021 à 2033. Les segments analysés incluent le composant, le déploiement, la technologie (IA/apprentissage automatique, mégadonnées, analyse prédictive, biométrie), l’application (surveillance des transactions, authentification client, détection de piratage de compte, rapports et surveillance), l’utilisation finale (BFSI, vente au détail et commerce électronique, gouvernement, soins de santé, télécommunication, autres) et la région.

Pour plus d’informations, consultez le rapport complet.

À propos de ResearchAndMarkets.com
ResearchAndMarkets.com est un leader mondial dans la fourniture de rapports d’études de marché et de données de marché internationales.

0 comments
0 FacebookTwitterPinterestEmail
Technologie et science

Les navigateurs IA exposent les entreprises aux cybermenaces, prévient SquareX

by Thomas Caron
written by Thomas Caron

Publié le 9 octobre 2025 à 13h56. Une étude récente met en lumière de sérieuses failles de sécurité dans les navigateurs web intégrant l’intelligence artificielle, ouvrant la porte à des compromissions de données sensibles pour les entreprises. SquareX, la société à l’origine de la recherche, alerte sur le risque croissant lié à l’adoption rapide de ces technologies.

  • Des vulnérabilités ont été identifiées dans des navigateurs IA, permettant potentiellement aux attaquants d’accéder à des comptes de messagerie et à des espaces de stockage en ligne.
  • L’automatisation des tâches par ces navigateurs peut être détournée pour diffuser des liens malveillants ou télécharger des logiciels dangereux.
  • Les systèmes de sécurité traditionnels s’avèrent insuffisants pour détecter et contrer ces nouvelles menaces spécifiques aux navigateurs IA.

Les navigateurs web dotés d’intelligence artificielle, tels que Comet, sont de plus en plus populaires auprès des entreprises. Cependant, une étude approfondie menée par SquareX révèle des failles de sécurité préoccupantes qui pourraient compromettre la confidentialité et l’intégrité des données. La recherche se concentre sur la capacité de ces navigateurs à effectuer des tâches de manière autonome, une fonctionnalité qui, paradoxalement, les rend vulnérables à diverses cyberattaques.

L’une des principales vulnérabilités exploitées concerne le protocole OAuth, largement utilisé pour l’autorisation d’accès à des services tiers. SquareX a démontré qu’un attaquant pouvait manipuler un navigateur IA, comme Comet, pour obtenir un accès complet aux comptes de messagerie et à Google Drive d’une victime, alors que le navigateur était simplement chargé d’effectuer une recherche. Cela permettrait l’exfiltration de fichiers, y compris ceux partagés avec des collaborateurs et des clients.

L’étude souligne également le danger lié à l’automatisation des tâches au sein des boîtes de réception. Dans un scénario testé, Comet a envoyé un lien malveillant à un collègue de la victime via une invitation de calendrier, ouvrant potentiellement la voie à des infections par des logiciels malveillants ou à des attaques de phishing au sein de l’entreprise. Des tests supplémentaires ont révélé que le navigateur pouvait être induit en erreur pour télécharger des logiciels malveillants connus et envoyer des informations confidentielles à des attaquants externes par courrier électronique.

Vivek Ramachandran, fondateur de SquareX, met en garde :

« Comme tout agent IA, les navigateurs IA sont conçus pour accomplir des tâches sans tenir compte de la sécurité. Il est donc facile pour les attaquants de les manipuler afin qu’ils effectuent des actions malveillantes, en les persuadant qu’il s’agit d’une étape nécessaire de leur flux de travail. Avec l’annonce par deux grands fabricants de navigateurs de leur entrée sur le marché des navigateurs IA, il est inévitable que ces outils deviennent le principal moyen d’interaction avec Internet. Sans une solution de sécurité native capable de mettre en œuvre des garde-fous tenant compte de l’identité de l’agent et de la prévention des pertes de données, des millions d’utilisateurs seront exposés. »

Les systèmes de détection et de réponse aux incidents (EDR), ainsi que les solutions Secure Access Service Edge (SASE) et Secure Service Edge (SSE), ne sont pas adaptés pour distinguer les actions effectuées par l’agent IA de celles initiées par un utilisateur humain. Du point de vue du réseau, ces deux types de requêtes apparaissent identiques, ce qui rend difficile pour les organisations d’identifier et de contrôler l’activité spécifique aux navigateurs IA.

Stephen Bennett, RSSI du groupe Domino’s Pizza Enterprises Ltd., souligne l’évolution du rôle des navigateurs :

« Les navigateurs ont toujours été notre porte d’entrée universelle sur Internet. Les navigateurs IA représentent la prochaine étape logique, où le navigateur agit de manière autonome en notre nom. Le revers de la médaille ? Nous passons d’un rôle de contrôle ferme à celui de passagers. »

La recherche de SquareX recommande le développement et le déploiement de solutions de sécurité natives pour navigateur, capables de différencier le comportement humain de celui de l’agent IA, afin de mettre en œuvre des protections de données et des contrôles d’accès efficaces. Une collaboration étroite entre les fournisseurs de sécurité, les éditeurs de navigateurs et les équipes informatiques des entreprises est essentielle pour garantir une protection robuste face à l’adoption croissante des navigateurs IA.

L’étude met en garde contre la dépendance excessive aux solutions de sécurité existantes et appelle à une action urgente de l’industrie pour faire face à ces risques émergents.

0 comments
0 FacebookTwitterPinterestEmail