En matière de sécurité, il est essentiel de rester informé des dernières tendances et des incidents qui menacent systèmes et données. Comme chaque mois, nous voici de retour avec une sélection de news intéressantes au sujet de la sécurité et du cloud. Nouveaux services AWS, bonnes pratiques sécurité, tendances des cyberattaques, et autres informations : pour être protégés, soyez bien informés ! 

Cybersécurité

Du rififi au royaume du ransomware

Lockbit, la petite entreprise qui ne connaît pas la crise, a extorqué plus de 110 millions aux entreprises grâce à un système de ransomware as a service bien rodé. Le groupe de cybercriminels propose en effet à ses affiliés des outils clés en main pour rançonner les entreprises.

Le FBI, Europol et la National Crime Agency ont mis un coup d’arrêt (provisoire ?) aux activités du groupe en février dernier. L’opération, menée conjointement avec 10 pays, a permis de saisir des serveurs, de bloquer des portefeuilles crypto, d’arrêter deux affiliés et surtout de fournir des outils de déchiffrement aux entreprises victimes. L’ironie de l’histoire est que les autorités ont exploité une faille PHP pour infiltrer les outils du groupe.

Plus d’informations sur l’opération Cronos dans ce fil X.

Pour autant, le 22 février, les professionnels de la cyber se retenaient de crier victoire : le réseau n’est pas totalement démantelé et tous ses responsables n’ont pas été identifiés, et encore moins arrêtés.

Et en effet, on apprenait le 26 février que Lockbit avait sorti un nouveau site vitrine. Le moins qu’on puisse dire, c’est que le PRA du groupe de hackers est au point…

A lire également ici : LockBit ransomware returns to attacks with new encryptors, servers

Une vitesse d’attaque croissante

62 minutes : c’est le temps moyen pour entrer dans un système d’information (84 minutes l’année passée), avec un record de vitesse de 2mn et 7 secondes ! Dans son dernier rapport, CrowdStrike analyse l’accélération de la vitesse des attaques, mais aussi les méthodes utilisées, notamment les vols d’identifiants.

Le rapport de CrowdStrike cite aussi la croissance des usages de la Gen AI (IA générative) pour généraliser les attaques, aussi bien de la part des hackers que des organisations soutenues par des Etats, parmi lesquels sont cités en premier lieu la Chine, la Russie et l’Iran. Une menace qui pèse de plus en plus lourd sur les processus démocratiques, et notamment les 40 élections prévues en 2024.

Les hôpitaux toujours ciblés par les hackers

La liste des établissements publics victimes de cyberattaques s’allonge chaque jour. Dernier en date, l’hôpital d’Armentières a subi une attaque qui a mené à la compromission des données sensibles de 950 000 patients.

Quelques jours plus tard, il a été confirmé que les données de 300 000 patients ont été diffusées (source Zdnet). A quand une politique publique de cybersécurité ?

50 000$ scam

Comment peut-on en venir à remettre 50 000$ en liquide dans une boîte en carton à un inconnu ?

L’hallucinante histoire de Charlotte Cowles vous fera certainement lever les yeux au ciel “mais bon sang ça sentait l’arnaque dès le départ”, pourtant elle illustre bien comment une mécanique bien rodée et un talent évident pour le social engineering peuvent faire tomber toutes les barrières et isoler la victime dans une spirale irrationnelle : 

Sécurité AWS

Comment contourner AWS Cloudtrail

Dans ce talk donné lors du BlackHat 2023, Nick Frichette, Senior security researcher chez Datadog, relate son exploration de la surface d’attaque de l’API AWS, et comment les vulnérabilités découvertes lui ont permis de contourner CloudTrail pour se logger à différents services. 

Ces vulnérabilités sont maintenant corrigées. Pour plus d’informations sur le patch, lire ce post du Daily Swig.

En cas d’identifiants compromis, briser la glace

Quelle est la conduite à tenir dans le cas où vos identifiants AWS sont compromis ? Ce document décrit les différentes étapes à suivre pour détecter et répondre à une compromission dans vos comptes AWS : 

• Préparation
• Détection et analyse
• Contention et élimination de la menace
• Actions post incident

How to

Une sélection d’articles du blog sécurité AWS :  

• Automatiser la gestion des règles pour AWS Network firewall
• Amazon GuardDuty et Shared VPC
• IAM role path

Souveraineté numérique

Depuis 2 ans déjà, AWS se positionne sur le sujet très discuté de la souveraineté numérique, aussi bien par la déclaration d’intention  (AWS Digital Sovereignty Pledge en 2022), que l’innovation hardware (AWS Nitro System) ou les nouveaux services comme AWS Control Tower. 

Plus récemment, l’entreprise a annoncé AWS Dedicated Local Zones, un type d’infrastructure entièrement managée par AWS, construite pour un client ou une communauté, et située dans un datacenter répondant aux exigences spécifiques des secteurs régulés. Enfin, AWS a annoncé fin 2023 AWS European Sovereign Cloud.

A lire ici : AWS et la souveraineté numérique