La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseigne sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par notre Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :
  • Sécurité Android : des serveurs back-end mal configurés, le malware Judy présent sur Google Play Store
  • Le gestionnaire de mots de passe OneLogin piraté
  • Old Mutual :un accès non autorisé menace les clients
  • Santé : des pacemakers fragiles
  • Chipotle confirme le piratage de son propre système de paiement
  • Grande distribution : un malware s’attaque à Kmart
  • Des informations sur des menaces informatiques provenant de nos sources arabes et chinoises
  • Focus sur l’acteur du réseau Tor « CIPHER0007 » et le groupe « The Shadow Brokers« 
Bonne lecture et si vous souhaitez une veille ciblée sur un secteur d’activité spécifique :
Threat Intelligencecontactez-nous !

Les menaces sectorielles

Multisectorielle

Les serveurs back-end de plus de 1000 applications mobiles sans système d’authentification

Selon Appthority, de nombreux serveurs de bases de données hébergeant des données mobiles sont librement accessibles. Selon l’étude, les serveurs de back-end qui hébergent les outils de bases de données (dont Elasticsearch, Redis, MongoDB, MySQL, CouchDB ou encore Couchbase) seraient accessibles sans authentification. Ce manque de protection expose les informations stockées à des fuites ou un chiffrement. En effet, en début d’année, les données de plusieurs instances Elasticsearch ont été victimes d’attaques par ransomware.

En savoir plus

Des millions de smartphones Android touché par le malware Judy

Repéré par l’entreprise CheckPoint, le malware Judy pourrait avoir infecté entre 8.5 et 36.5 millions d’utilisateurs Android. Ce malware ne s’attaque pas aux données des utilisateurs mais réalise de la fraude au clic publicitaire. Une fois installée, l’application infectée télécharge un code JavaScript qui permet de cliquer sur les publicités via un navigateur masqué. Les 41 applications concernées ont été retirées de Google Play Store.

En savoir plus 

Retour sur la fuite de donnée Cocolis

Nous vous rapportions la semaine dernière l’incident sur le site cocolis.fr. La société indique avoir corrigé l’incident et met en avant ses futures actions auprès de ces utilisateurs sur son blog

 Numérique

OneLogin, victime d’une fuite de données

Le gestionnaire de mots de passe OneLogin a confirmé avoir été victime d’un vol de sa base de données. Les données volées auraient été stockées sur un cloud Amazon qui aurait été piraté le 31 mai dernier. La société californienne a envoyé un email à ses clients, indiquant la compromission de sa base de données par des pirates. OneLogin compte parmi ses clients 2000 entreprises dans 44 pays. D’après l’éditeur, les utilisateurs concernés sont uniquement localisés aux Etats-Unis.

En savoir plus

 Assurances

Old Mutual, victime d’un accès non autorisé

La compagnie d’assurance britannique Old Mutual a annoncé la détection d’une entrée non autorisée au sein de l’un de ses systèmes, permettant ainsi la consultation de certaines informations personnelles appartenant à plusieurs de ses clients en Afrique du Sud. Ces informations comprennent les noms, les numéros de téléphone des clients ainsi que certaines valeurs d’investissement.   

Old Mutual a affirmé qu’aucun détail transactionnel, information liées aux cartes bancaires, informations bancaires, médicales ou mots de passe n’a été consulté.

En savoir plus

Santé

Les pacemakers : 8600 failles de sécurité

Les chercheurs de la société WhiteScope ont relevé après une analyse que les unités de programmation de pacemakers de quatre grands fabricants ne correspondaient pas aux normes actuelles. Il ne s’agit pas uniquement de défibrillateurs mais aussi des composants et logiciels qui assurent le fonctionnement normal des appareils et qui permettent aux médecins d’assurer un suivi à distance. Dans la plupart des cas les failles proviennent de logiciels qui ne sont pas à jour. Certaines de ces unités de programmation n’utilisent pas d’authentification, que ce soit pour le médecin qui l’utilise ou bien pour le pacemaker qu’elles programment. Par conséquent, n’importe quelle unité de programmation peut programmer n’importe quel pacemaker de la même marque. Les chercheurs ont découvert des mots de passe en dur et des connexions USB librement accessibles.

En savoir plus

Restauration

La chaine de restauration Chipotle confirme le piratage de son système de paiement

Dans l’édition du 2 mai de Threat Landscape, nous avons évoqué ce piratage présumé du système de paiement de la chaîne de restauration Chipotle. L’enseigne a déclaré vendredi 26 mai avoir achevé son enquête et affirme que plusieurs terminaux de point de vente de la chaîne ont été victimes d’un malware permettant d’exfiltrer les données bancaires des clients. Chipotle a suggéré à ses clients exposés de porter plainte, ou de geler leurs comptes bancaires le temps d’avoir de nouveaux identifiants. Seuls les clients ayant fait un paiement par carte bancaire aux Etats-Unis entre le 24 mars et le 18 avril 2017 sont concernés. La chaîne a mis un outil en ligne qui permet aux clients de savoir si leurs cartes ont été utilisées à leur insu.

En savoir plus

 Grande distribution 

Un malware s’attaque à une marque de grande distribution : Kmart visé

La marque de grande distribution Kmart aurait été victime d’un vol de données qui aurait exposé les données bancaires de ses clients. Plusieurs terminaux de point de vente de la marque auraient été victimes d’un malware permettant d’exfiltrer les données bancaires des clients. Kmart n’a pas précisé le nombre d’établissements concernés ni le nombre de clients impactés. Aucune autre donnée personnelle n’aurait été volée et il n’y aurait aucune preuve de compromission du site kmart.com.

En savoir plus

Écosystème régional

Écosystème chinois

Le virus Fireball fait surface sur le web

D’après un rapport de Checkpoint, le malware Fireball, diffusé par une agence de marketing chinoise, a récemment fait surface sur le web. La contamination s’étend à 250 millions de machines et impacterait 20% des systèmes d’information des entreprises à travers le monde. Le virus pourrait servir à distribuer n’importe quel autre virus car il possède des capacités de téléchargement de fichier. Le but est de faire de la fraude au clic en générant du trafic à l’insu de l’utilisateur.

En savoir plus

Écosystème moyen-oriental

Des sites gouvernementaux iraniens victimes d’un piratage

Le ministère de la communication iranien a annoncé lundi 29 mai que 35 sites web gouvernementaux dont le site de la banque centrale iranienne et l’opérateur télécom Irancell, ont été piratés. Il n’y a pas d’informations relatives aux auteurs à l’origine de l’attaque, ni à ses conséquences.

En savoir plus

Individus et Groupes

« The Shadow Brokers »

Les « Shadow Brokers » ont publié la semaine dernière un message détaillant les modalités de leur futur service « Data Dump of the Month« . L’abonnement s’élève à 100 Zcash soit 21 000$ pour bénéficier de l’exclusivité des données du groupe qui auraient été volées à la NSA. Il n’y a pas eu de précision de la part du groupe sur le contenu des bases de données à venir.

En savoir plus

« CIPHER0007″

CIPHER0007 serait probablement un chercheur en sécurité informatique connu sur le Dark Web, il a révélé en janvier 2017 deux bugs sur le marché noir Alphabay Market, l’une des plateformes anglophones les plus connues du réseau Tor, ce qui lui a permis d’accéder à plus de 200 000 messages échangés entre des vendeurs et des acheteurs de la plateforme, Le chercheur a été récompensé par l’équipe d’Alphabay.

Cipher0007 a annoncé fin mai que durant sa tentative de découverte de failles informatiques sur le site Sanctuary, un autre marché noir du réseau Tor, il a mis hors ligne le site. Cette action lui a valu la colère des internautes.

En savoir plus

 
Cette newsletter est émise par notre cellule de Threat Intelligence.
Ce service fournit à nos clients un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Nos analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.

Pour en savoir plus… Cliquez ici !