Actualité cyberattaque, cyberwar, cyberterrorisme

[dioubiban]

Enorme affaire de vol de données personnelles, professionnelles et, dans certains cas, médicales en cours des utilisateurs de MOVEit. Impact potentiellement dément. Actuellement au stade d'étude d'impact mais à priori la plus grande affaire de l'année si ce n'est plus.

La CVE: https://community.progress.com/s/articl ... -31May2023

Un article du 16 en anglais dans REUTERS

https://www.reuters.com/technology/how- ... 023-06-16/

La découverte des victimes et du préjudice n'en ai qu'à ses débuts mais ça va être une affaire retentissante (ou totalement étouffée)

la boite qui fait ce logiciel est cotée en bourse.?

[moinsdewatt]

Une nouvelle arnaque cible la plateforme d’authentification FranceConnect. Des escrocs appellent leurs victimes et se font passer pour des agents du site Web afin de leur soutirer des informations personnelles.
23 juin 2023

Gare à cette nouvelle arnaque qui vise FranceConnect, le service en ligne d’identification et d’authentification. Le site est ciblé par des escrocs qui tentent de récupérer les données personnelles de leurs victimes, selon plusieurs témoignages recueillis par CNews. Des personnes ont été victimes d’appels téléphoniques passés par des prétendus agents de FranceConnect.
........................

lire https://www.charentelibre.fr/sciences-e ... 680620.php

[slash33]

La découverte des victimes et du préjudice n'en ai qu'à ses débuts mais ça va être une affaire retentissante (ou totalement étouffée)

Il semble avec le recul que ce sera la seconde option.

[slash33]

Deux faits marquants de cette semaine:

Malakoff Mederic troué: 20 millions de données personnelles françaises subtilisées dont n° de sécurité sociale et informations commerciales dont certaines pouvant s'apparenter à des données à caractère médical. Par contre, pas d'adresse postale ou courriel. Donc on échappe au fishing de masse mais restez très vigilants si concerné.

Cloudflare est passé à deux doigts du désastre absolu en stoppant une attaque, attribuée à une organisation d'Etat non identifiée, lorsque celle-ci était sur le point d'entrer sur les serveurs centraux donnant accès à toutes les données de leurs clouds dans tous les sites du monde. Travail absolument gigantesque en cours d'investigation et d’ingénierie pouvant aboutir à revoir l'intégralité de l'architecture des milliers de centres cloud à leur disposition. Un travail dantesque.

Il semble avec le recul que ce sera la seconde option.

Ce qui a visiblement été préjudiciable (l'une des deux affaires ci-dessus est la conséquence de celle mentionnée plusieurs mois plus tôt)

[optimus maximus]

Deux faits marquants de cette semaine:

Malakoff Mederic troué: 20 millions de données personnelles françaises subtilisées dont n° de sécurité sociale et informations commerciales dont certaines pouvant s'apparenter à des données à caractère médical. Par contre, pas d'adresse postale ou courriel. Donc on échappe au fishing de masse mais restez très vigilants si concerné.

Cloudflare est passé à deux doigts du désastre absolu en stoppant une attaque, attribuée à une organisation d'Etat non identifiée, lorsque celle-ci était sur le point d'entrer sur les serveurs centraux donnant accès à toutes les données de leurs clouds dans tous les sites du monde. Travail absolument gigantesque en cours d'investigation et d’ingénierie pouvant aboutir à revoir l'intégralité de l'architecture des milliers de centres cloud à leur disposition. Un travail dantesque.

Il semble avec le recul que ce sera la seconde option.

Ce qui a visiblement été préjudiciable (l'une des deux affaires ci-dessus est la conséquence de celle mentionnée plusieurs mois plus tôt)

Le numéro de sécurité sociale ne devrait jamais se retrouver dans une base de données avec d'autres informations.
Il y a globalement un problème de sécurité au niveau des télétransmissions.
Cela nécessite de revoir toute le système depuis la carte vitale. Y a-t-il vraiment besoin que le numéro SS figure sur la carte ?
Y a-t-il vraiment besoin que ce ne numéro de sécurité sociale apparaisse et puisse être stocké dans les ordinateurs ou serveurs des médecins ?
Y a-t-il besoin que la mutuelle stocke également cette donnée ou alors juste dans un coffre-fort ?

[moinsdewatt]

Cyberattaque : ces bons réflexes à avoir après le vol de données de 33 millions de Français

Article de Franceinfo 8 fev 2024

"C'est la plus grosse faille de sécurité en France", s'alarme Yann Padova, jeudi sur franceinfo, alors que plus de 33 millions de personnes sont touchées en France par un vol de données massif à des gestionnaires du tiers payant.

Etat civil, numéro de sécurité sociale, informations sur la mutuelle, mais pas les informations bancaires ou médicales... Une enquête a été ouverte par la Commission nationale de l'informatique et des libertés (Cnil) après un vol de données massif dans le secteur des complémentaires santé : plus de 33 millions de personnes sont touchées. "C'est la première fois qu'il y a violation d'une telle ampleur", a assuré jeudi 8 février sur franceinfo l'avocat spécialiste de la protection des données numériques et ancien secrétaire général de la Cnil, Yann Padova.

Les données volées via ces plateformes regroupent des états civils, des dates de naissance, des numéros de Sécurité sociale, le nom de l'assureur santé et les garanties du contrat souscrit, mais pas d'informations bancaires ou de données médicales, précise la Cnil. Pas de numéros de téléphone ou de mails, non plus, ce qui réduit la valeur de ces données sur le marché noir, mais qui peut quand même faciliter par la suite des tentatives d’hameçonnage.

Selon Yann Padova, "c'est la plus grosse faille de sécurité en France". "Le risque pour les personnes est assez important, notamment les escroqueries, le phishing par exemple, ou l'usurpation d'identité", a-t-il alerté.

Vigilance au moment d'ouvrir un mail
Deux opérateurs différents ont en fait été visés par une cyberattaque, à cinq jours d'intervalle. Ce ne sont pas des mutuelles directement, mais deux opérateurs chargés de gérer pour elles le tiers payant, qui ont subi fin janvier une attaque informatique : Viamedis (détenue notamment par les complémentaires Malakoff Humanis et Vyv) et Almerys. Ce qui ajoute une "difficulté" supplémentaire aux yeux de l'avocat spécialiste de la protection des données numériques, car les assurés ne peuvent pas savoir s'ils sont concernés ou non par ces fuites de données. Les deux sociétés servent d'intermédiaires entre les complémentaires et les professionnels de santé.

"Si vous trouvez qu'il y a un mail curieux qui vous est arrivé et qui a l'air de venir de votre mutuelle alors appelez-la."

Yann Padova, ancien secrétaire général de la Cnil
sur franceinfo

"Votre première démarche doit être d'appeler votre mutuelle ou votre complémentaire pour savoir si elles étaient en relation avec ces deux entreprises qui ont fait l'objet de la faille de sécurité", conseille Yann Padova. Il précise que les entreprises "ont l'obligation en droit européen d'informer les personnes" et appelle à faire preuve "de vigilance et de précaution" au moment d'ouvrir un mail notamment.

La Cnil appelle les deux plateformes à informer rapidement les assurés touchés, et ces derniers à être prudents, en cas de futures sollicitations pour des remboursements de frais de santé.

https://www.msn.com/fr-fr/actualite/fra ... 9c17b&ei=9

Je suis concerné comme tous mes collègues de la boite. On a eu confirmation par la RH.

[crispus]

Les bienfaits de la centralisation... Vite, un fichage mondial unique pour encore plus de sécurité !


Concernant les cartes vitales, on en a plusieurs millions de trop en circulation, et on a aucune idée du préjudice généré.

Et encore moins où part l'argent. Dans les années 90 on a découvert plusieurs fraudes massives à la CAF (gérées par une bande nord-africaine) pour des millions de francs... Qui ont probablement servi à financer des armes.

[slash33]

Free a été attaqué et a indiqué des accès non autorisés à un fichier à caractère personnel de tous ses abonnés. De mes sources, ils ont en réalité été hackés et se sont fait subtiliser des données commerciales. Nom, prénoms et adresse postale y figurent notamment de même visiblement que les infos sur l'abonnement et l'équipement vu la teneur du message d'avertissement que j'ai reçu de leur part.

[sanglier78]

Pour la cyberattaque, j'ai appris que les hopitaux, la plupart des fournisseurs d'équipements réseaus et informatiques font signer une décharge, en effet, il n'y a jamais les budgets pour la mise en place de vrais certificats (et pas celui par défaut), de parefeu réglé finement (et oui cela prend du temps), en gros l'ARS choisit déliberement le risque (et oui entre un scanner et un parefeu/certificats, le directeur choisit le scanner).

[slash33]

C'est pas si simple. Il y a une réglementation spécifique s'appliquant au secteur médical et une responsabilité civile des parties qui s'engagent dans le processus. Cette décision ne se prend pas à la légère. Pour les deux dernières attaques, elles seraient de haut vol - comprendre par là d'un groupe fortement organisé, vraisemblablement de stature étatique.

[PACA]

Ce n'est probablement pas une arnaque "privée"
Su mon compte ameli j'ai reçu un courrier :

LE PAIEMENT DE VOS PARTICIPATIONS FORFAITAIRES ET FRANCHISES
Monsieur,
Pour certaines consultations, examens et produits de santé, une participation forfaitaire et une franchise sont à
la charge des assurés. Vous bénéficiez de la dispense d'avance de frais pour la plupart de vos soins. Aussi,
ces participations et franchises ne peuvent donc pas être déduites de vos remboursements et doivent alors être
réglées directement à l'Assurance Maladie (vous pouvez consulter la notice ci-jointe).
....

Qui me réclame 50 euros ?

J'ai trouvé ces explications :
https://forum-assures.ameli.fr/question ... franchises

La participation forfaitaire et la franchise médicale sont deux choses différentes, mais dans les deux cas, il s’agit de retenues effectuées sur vos remboursements, dans le but de préserver notre système de santé.

1/ Si vous avez plus de 18 ans, une participation forfaitaire de 1€ est déduite :

de toute consultation ou acte réalisé par un médecin généraliste ou spécialiste,
lors d'examens de radiologie,
lors d'analyses de biologie médicale.

Et ce, dans la limite de 4 € par jour pour un même professionnel de santé. Dans le cas de la participation forfaitaire, le montant annuel qui retenu est limité à 50 €.

2/ La franchise médicale est une somme qui est déduite des remboursements effectués par votre caisse d'assurance maladie sur les médicaments, les actes paramédicaux et les transports sanitaires. Elle est, elle aussi, plafonnée à 50 € par an.

Assurance maladie : ce qui reste à votre charge
Tous les frais médicaux ne sont pas remboursés par la Sécurité sociale. Certaines participations forfaitaires sont à la charge de l’assuré.
https://www.lafinancepourtous.com/prati ... re-charge/

La participation forfaitaire de 1 euro et la franchise médicale ne sont pas à régler lorsque vous êtes :

bénéficiaire de la Complémentaire santé solidaire (CSS) ;

bénéficiaire de l’aide médicale de l’État (AME) ;

une femme prise en charge de le cadre de la maternité (pour les examens obligatoires et la période d’exonération du 1er jour du 6ème mois de grossesse au 12ème jour après l’accouchement).

Il faut être OQTF pour avoir les soins gratuits ?
Heureusement j'ai arrêté la mutuelle depuis plusieurs années.

En fait ça ne me dérange pas, c'est infime par rapport aux soins que j'ai eu, ce qui me dérange c'est de na pas avoir été informé, je découvre ....

[wasabi]

Il faut être OQTF pour avoir les soins gratuits ?
Heureusement j'ai arrêté la mutuelle depuis plusieurs années.

En fait ça ne me dérange pas, c'est infime par rapport aux soins que j'ai eu, ce qui me dérange c'est de na pas avoir été informé, je découvre ....

c'est pas nouveau la franchise. Ils ont vos coordonnées bancaires pour rembourser, mais n'osent pas prélever les 1€ à chaque fois. En revanche dès que vous avez un pro de santé qui ne veut pas pratiquer le tiers payant alors qu'il y est obligé vu que vous êtes en ALD (cancer donc si c'est toujours le cas), il vous dit "t'inquiètes tu seras remboursé sous quelques jours alors que moi qui doit rouler en Porsche d'occasion il faudrait que j’attende au moins deux semaines, tu comprends c'est pas possible" mais en réalité tu ne le seras pas car la sécu commencera par prendre les franchises non réglées. C'est 100% mais pas vraiment 100% pour les français en ALD, juste pour l'AME.

Ceci dit la plupart des mutuelles prend en charge la franchise.

Au moment de la mise en place de cette franchise, il était question de responsabiliser les patients pour éviter qu'ils surconsomment des soins inutiles. Au moment de la mettre en application, ils ont fait exactement le contraire, celui qui consomme peu se la tapera la franchise dès la première dépense, alors que celui qui se gave sera protégé par le plafond à 100€ annuel. Ils ont mis une taxe pour tout le monde, mais en veillant à protéger les fraudeurs (10 africains sur la même carte de sécu) et les hypocondriaques.

[PACA]

Je cite l'avis :

"De 2019 à 2024, le montant non retenu et dont vous restez redevable s'élève à 139,50
éventuels bénéficiaires
Pour éviter qu'un règlement en une seule fois ne déséquilibre votre budget, vous recevrez régulièrement un
avis d'un montant maximum de 50,00"

Je suis redevable de 139,50 .... payable à 50 euros par an.
Par rapport à ce que je coute en ALD c'est négligeable, il serait indécent de me plaindre sans compter l'économie de mutuelle.(La mutuelle c'est 200 euro/mois !)
Pour la chimio et la radio j'avais le taxi journalier remboursé pendant 2 mois, difficile de se plaindre.
(Pendant la période Covid le transport médical a permis à de nombreux taxis de survivre)

Edit ajout :
J'ai payé 50 euro sur ameli
Il y avait un autre rappel de 49 euro sur le même avis.... il n'en a pas voulu ?

[moinsdewatt]

Le groupe de hackers "le plus nuisible" au monde démantelé par une opération internationale

AFP•20/02/2024

Des milliers de victimes, des hôpitaux ou des mairies visés, des pertes totalisant des milliards d'euros... Le groupe de cybercriminels LockBit, présenté comme "le plus nuisible" au monde, a été démantelé lors d'une opération de police internationale, ont annoncé mardi les autorités de plusieurs pays.

"Après avoir infiltré le réseau du groupe, la NCA (agence de lutte contre la criminalité britannique, NDLR) a pris le contrôle des services de LockBit, compromettant la totalité de leur entreprise criminelle", a déclaré la NCA dans un communiqué.

Selon elle, le rançongiciel a ciblé "des milliers de victimes à travers le monde" et causé des pertes qui au total se chiffrent en milliards d'euros en comptant les rançons versées et les coût induits pour les victimes.

"Nous avons hacké les hackers", s'est félicité Graeme Biggar, directeur général de la NCA, annonçant la neutralisation de LockBit lors d'une conférence de presse à Londres.

LockBit a ciblé les infrastructures critiques et les grands groupes industriels, avec des demandes de rançon allant de cinq à 70 millions d'euros.

En 2023, le groupe a notamment attaqué l'opérateur postal britannique et un hôpital canadien pour enfants, et en France les hôpitaux de Corbeil-Essonnes et Versailles en région parisienne.

................................

https://www.boursorama.com/actualite-ec ... 8aa97c3556

[moinsdewatt]

USA-Récompense de $15 mlns pour trouver les chefs de Lockbit
REUTERS•21/02/2024 à 17:27

Les Etats-Unis proposent jusqu'à 15 millions de dollars (13,9 millions d'euros) de récompense pour toute information permettant d'identifier ou de localiser les dirigeants du réseau de cybercriminels Lockbit, a annoncé mercredi le département d'Etat.

Les polices américaine, britannique et européenne ont annoncé mardi une vaste opération policière internationale visant à frapper au coeur de l'infrastructure de Lockbit, spécialisé dans les attaques par rançongiciels ("ransonware").

Le parquet de Paris, qui a ouvert une enquête contre ce réseau en 2020, a déclaré que la France participait à cette opération internationale, Lockbit ayant fait "plus de 200" victimes dans le pays, "parmi lesquelles des hôpitaux, des mairies et des sociétés de toutes tailles".

https://www.boursorama.com/actualite-ec ... a7dabe2c13

[slash33]

Le climat actuel est aux attaques ciblées et non ciblées dont certaines de très grande échelle. De nombreux organismes privés, publics et même institutionnels en font les frais. Hier, c'était France Travail qui informait d'une intrusion le mois dernier qui a peut-être exfiltré les données privées de 40 millions d'usagers, une paille. Les réseaux des ministères sont l'objet d'attaque en masse. Si vous êtes dans les DSI, ne négligez pas vos efforts.

L'opérateur cite les données exposées suivantes : "nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone". Il précise toutefois que "les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n'existe donc aucun risque sur l'indemnisation."

On coche tous les red flags de la RGPD et ça les émeut à peine.

[henda]

40 millions d'usagers de France Travail ?

[slash33]

40 millions d'usagers de France Travail ?

Oui, ils expliquent en gros que toute personne qui a été au chômage ou potentiellement au chômage (concept qu'il va falloir m'expliquer au passage) est concernée (bref absolument tout l'historique)

[henda]

potentiellement au chômage ?

[titano]

potentiellement au chômage ?

Non-fonctionnaire quoi...

[ddv]

Je viens de voir l'alerte en me connectant sur le site de france travail. Sympa. Ils précisent que les coordonnées bancaires ne sont pas concernées. C'est bizarre, je n'y crois pas une seule seconde.

[slash33]

J'espère que vous profitez bien du week-end prolongé car il y a des chances que vous viviez l'un des plus gros shit storm vus cette dernière décennie en rentrant. Une backdoor a été découverte dans sshd (par un développeur s'étonnant du temps de réponse anormalement long de la requête). La sophistication de la manière dont elle a été introduite (le binaire était altéré dans la chaîne de tests) et l'influence du développeur agissant sous pseudo chinois qui a été nécessaire pour permettre sa diffusion laissent craindre le pire concernant d'autres briques sensibles Open Source.

Les distro debian seraient plus à risque que les autres (le binaire troué a été trouvé dans les dépots debian). Même s'il semble que les versions alpha et beta soient plus à risque que les autres, vous pouvez être certains que votre hiérarchie qui n'y pipe rien la plupart du temps va vous faire vivre un enfer.

Pour les détails techniques et références:

The malicious code (which is being tracked as CVE-2024-3094) is embedded in XZ Utils versions 5.6.0 and 5.6.1. CVSS score: 10.0

J'ai pas croisé des tonnes de CVSS 10 dans ma carrière.

Pour le côté revue de presse, une parmi d'autres:
https://thehackernews.com/2024/03/urgen ... in-xz.html

[titano]

Y'a un patch ? Je m'inquiète pour mon serveur VPN pour aller voir les sites interdits.

[henda]

La faille est peu répandue, uniquement sur les distributions bleeding edge.

[Hickson49]

Pfiou en effet. Dommage le repo sur GitHub a été suspendu, on ne peut plus voir les commits malicieux.
C'est quand même un cas d'école assez impressionnant, pas mal de personnes ont mis en lumière la partie "social engineering" pour faire pression sur le dev principal pour qu'il rajoute un random dans les maintainer de son projet.

Heureusement que le hack a été découvert avant que ça ne se retrouve dans dans plus de distro/release.

[henda]

Un clone du dépôt git ici : https://git.tukaani.org/?p=xz.git

[populous]

La backdoor n'est pas dans sshd, mais dans le projet xz (lib de compression). Et ce sont certaines distribs qui utilisent des patches qui sont touchées, car le repo principal de xz n'est pas touché.
En gros sont concernés : .deb et .rpm (debian, redhat) qui utilisent les sources corrompues. Le type de paquet est testé lors de la compilation des sources corrompues et l'infection ne se fait que sous condition.

Si dans le code (obscurci) du la liblzma on trouve un test sur argv[0] (le nom de la commande lancée), avec sshd comme cible, virtuellement n'importe quel programme est concerné.
Sur ma distrib, on commence à voir passer des tas de mises à jour de paquets compilés en statique, alors qu'elle n'est à priori pas concernée. Sauf surprise non détectée dans le code corrompu. J'imagine la panique chez debian et redhat.

La signature des paquets évite certe une corruption directe par interception DNS et fourniture de paquets vérolés. Cependant, signer les paquets et penser que c'est la solution ultime ne sert à rien si on accepte les archives upstreams non-vérifiées (ce que font debian , redhat). Je ne vois pas comment améliorer le système sans dédier des gens à l'audit de code sur tout ce qui est sensible. Ce qui est déjà fait. Dans le cas présent, ça a été découvert par hasard suite à un bug dans le code corrompu , bug qui ralentissait ssh au démarrage lors de la connexion à un sshd concerné par la modification.

[WolfgangK]

Attaque très sophistiquée découverte par hasard.
Ça laisse présager de ce qui n''est pas découvert!

[Ben92]

C'est maintenant qu'on se rend compte que les systèmes Unix propriétaires( SGI, IBM Aix ,Sun...) c'était pas si mal finalement, plutôt que ce bordel qu'est Linux où n'importe qui peut écrire du code.

[henda]

Dans ton système Unix propriétaire, on n'aurait pas détecté le code malveillant introduit par un développeur sous influence voire un agent des services de renseignements.

[slash33]

Ce qui est déjà fait.

J'aimerais savoir d'où vient cette affirmation. Et si oui par qui et selon quelle périodicité. Ma réponse: ce n'est pas fait par les tiers même aux échelons supérieurs. Il n'y a ni la volonté ni les moyens de le faire.

[WolfgangK]

C'est maintenant qu'on se rend compte que les systèmes Unix propriétaires( SGI, IBM Aix ,Sun...) c'était pas si mal finalement, plutôt que ce bordel qu'est Linux où n'importe qui peut écrire du code.

Solarwinds

https://www.wired.com/story/the-untold- ... hack-ever/

[populous]

Ce qui est déjà fait.

J'aimerais savoir d'où vient cette affirmation. Et si oui par qui et selon quelle périodicité. Ma réponse: ce n'est pas fait par les tiers même aux échelons supérieurs. Il n'y a ni la volonté ni les moyens de le faire.

L'affirmation vient de la lecture personnelle de différentes mailing listes liées à de gros projets. Il y a régulièrement des ingénieurs de grosses boites qui postent leurs trouvailles. Alors qu'eux-même ne committent jamais et sont extérieurs. J'ai également deux amis chez Google Irlande qui m'ont raconté (il y a quelques années) que des audits interne avaient lieu, avec remontée hors canaux publics de problèmes potentiels. Les groses boites ont tout intérêt à solidifier les outils de base, plutôt que de partir dans des forks qui vont dévier de plus en plus de upstream, c'est purement économique. Et tu serais surpris de tout ce qui est audité, par le jeu des dépendances. Certaines personnes ne font que ça, et ça permet également aux grosses boites de pousser certaines modifications qui leurs sont profitables dans l'écosystème.
La liblzma (xz) est un coup de billard à trois bandes. Elle ne fait pas partie à proprement parler de openssh et y arrive via une dep systemd, sur certaines distribs car ce n'est pas la compression standard utilisée pour les échanges ssh. Il n'y avait donc pas les ressources nécessaires sur le sujet, car ce n'était pas jugé utile (le mainteneur était d'ailleurs proche du burn-out).

Même sur un projet comme xz, il a fallu deux ans au malfaisant pour intégrer sa touche finale, afin de passer sour les radars.
Et malgré cela, la corruption n'a tenu qu'un mois. Combien de temps pour les failles RDP de chez microsoft, qui permettaient de récupérer les mdp de domaine ? C'est resté des années.
Les malfaisances volontaires sont très rares, et repérées habituellement rapidement dans le monde de l'OSS.
L'auteur de vlc (Kempf) avait évoqué il y a quelques temps les pressions dont il faisait l'objet, pour intégrer des choses douteuses.
Il avait ajouté que même si il avait cédé, cela eut été repéré rapidement. Peut-être pour qu'on lui foute la paix. Ou peut-être que l'on peut davantage faire confiance au modèle « bazar » qu'au modèle « cathédrale » ?

Je fais bien plus confiance à mon linux ou mon openbsd qu'à cisco ou microsoft, chez qui les services américains ont leur rond de serviette.

[slash33]

D'accord donc on parle d'effort non structuré d'origine privée et d'initiatives individuelles. Je parlais davantage de task force systémique et ciblée comme il en existe dans les ministères.