Explorons les faits marquants de la cybersécurité qui ont retenu notre attention en avril.
Â
1- Fuite de données à l’Ordre des Infirmières et Infirmiers du Québec
Â
Des pirates informatiques ont subtilisé des renseignements personnels concernant les membres de l’Ordre des infirmières et infirmiers du Québec après une attaque par rançongiciel. Les données visées ont été retrouvées sur le dark web et incluent les coordonnées, les numéros d’assurance sociale et les dates de naissance des membres, ainsi que des documents intégraux comme des cartes d’assurance maladie et des permis de conduire. L’Ordre a confirmé une cyberattaque et une demande de rançon de 200 000 $ américains. L’enquête est toujours en cours selon La Presse.
2- Nouveau cadre pour les objets connectés au Royaume-Uni
Â
Au Royaume-Uni, une nouvelle loi entre en vigueur pour encadrer l’internet des objets. Cette loi s’applique à tout objet pouvant se connecter à l’Internet ou à un réseau et cible principalement les produits destinés aux consommateurs. Elle impose notamment des exigences accrues pour la complexité des mots de passe, établit des politiques de divulgation de vulnérabilités aux consommateurs et réglemente le signalement des incidents de sécurité. Pour plus d’info, consultez The Hacker News . Assisterons-nous bientôt à l'adoption d'un cadre similaire au Québec ? Pour en savoir plus, visitez-nous!
3- Attention au smishing roulant !
Â
Le FBI a lancé une alerte concernant une sophistiquée d’hameçonnage par SMS (smishing) visant des automobilistes. Les envoient de faux messages concernant des impayés de péage pour dérober de l’argent et des données personnelles. Active depuis mars 2024 et déjà observée dans plusieurs États, cette arnaque envoie des SMS aux victimes en prétendant qu’elles ont des dettes de péage impayées et les redirige vers des sites d'hameçonnage déguisés en services de péage légitimes. Bien que cette arnaque soit particulièrement répandue aux États-Unis, elle concerne aussi d'autres régions du monde, y compris le Canada, où des provinces comme le Québec disposent d'infrastructures  de péage comme l’A25 et l’A30. Pour se protéger, il faut toujours vérifier les dettes de péage via les sites officiels ou les numéros de service à la clientèle. Un individu averti en vaut deux !
Â
4- BatBadBut Batch !
Â
Quatre fiches de vulnérabilités (CVE-2024-1874, CVE-2024-22423, CVE-2024-24576, CVE-2024-3566) ont été attribuées à la vulnérabilité BatBadBut, identifiée par le chercheur RyotaK. Cette faille exploite la gestion des fichiers batch (. bat,. cmd) dans la variable d’environnement PATHEXT de Windows, permettant l’exécution de commandes non autorisées. Les organisations doivent examiner et mettre à jour sans tarder leurs protocoles de sécurité, appliquer les correctifs des mainteneurs de langages, et renforcer la validation des entrées pour atténuer ces risques. Pour des détails complets, consultez l’article de Security Affairs et celui de Security Week, qui offrent des aperçus complets et des mesures de sécurité suggérées.
5- Un développeur Utils
Â
Ce n’était pas un poisson d’avril ! Une vulnérabilité a été repérée par un employé de Microsoft très TRÈS attentif. Le développeur Andres Freund a remarqué une dette de quelques microsecondes sur son temps de processeur. C’est en tentant d’élucider cette anomalie qu’il a repéré et signalé une porte dérobée dans la programmation de l’application XZ Utils. Cette application, présente sur une grande majorité des systèmes, sert à compresser les données sans perte. La compromission de cette application permettrait à un acteur malicieux de faire irruption sur tous les systèmes affectés. Cette vulnérabilité n’est pas sans nous rappeler l’épisode log4j ! Un développeur bien formé est un développeur sécuritaire !
Â
Â
Suivez nous sur LinkedIn pour ne rien manquer de la cyberactu.