Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces par emails et les événements actuels dans le domaine de la cybersécurité. Cette édition se concentre sur les actualités du secteur pour le mois de février 2025.
Chez Hornetsecurity, nos équipes de sécurité effectuent en permanence des recherches sur les dernières menaces et techniques utilisées par les cybercriminels. L'IA occupant une place prépondérante dans l'écosystème de la sécurité, nous analysons de près ses nouveaux modèles et techniques, en particulier leur potentiel offensif et défensif.
Les chercheurs de notre équipe de sécurité ont pris connaissance de la récente sortie du nouveau LLM « o3-mini ». Voici le lien vers l'article d'OpenAI présentant ce dernier. Nos premiers tests visaient principalement à tenter de « jailbreaker » ce modèle tout juste sorti, à découvrir de nouvelles caractéristiques, comme son schéma de raisonnement, et à vérifier s'il pouvait être utilisé pour générer un outil malveillant.
Le premier prompt soumis au système, visant à explorer cette possibilité, demandait simplement la correction d’une phrase fournie. De façon surprenante, dans son schéma de raisonnement, le système a interprété cela comme une demande de création d'une « page de connexion Netflix ».
Tests de jailbreak
Le modèle a d'abord généré une page de connexion avec un design inspiré de celui de Netflix. Étonnamment, ce fichier HTML contenait du HTML, du CSS et du JavaScript sans aucune alerte de phishing, et le modèle a répondu à notre requête sans blocage ni refus. L'équipe a ensuite demandé la création de pages supplémentaires :
Chacune de ces pages devaient adopter l'esthétique de Netflix. De manière surprenante, le système a généré le code requis pour chaque page demandée par l'équipe (images disponibles ci-dessous).
À ce stade de l'expérimentation, l'équipe a demandé au modèle de générer un kit d'outils complet, avec back-end, front-end et un bot Telegram pour collecter les données et les envoyer sur un canal Telegram privé.
NOTE : nous ne partageons pas les prompts utilisés pour éviter la recréation publique de cette méthode.
Lors de la création du kit, généré par prompts successifs, le modèle a parfois refusé d'y répondre pour des raisons éthiques. Il s'est cependant avéré très simple de contourner les restrictions en reformulant les prompts pour qu'ils semblent moins malveillants et plus proches d'un projet en cours de production.
En insistant suffisamment, le modèle a produit une v1 de ce qui équivaut à un kit de phishing. Bien sûr, c'est une version alpha qui nécessiterait encore BEAUCOUP d’améliorations pour être pleinement fonctionnelle, mais l'équipe a été étonnée par la rapidité de création d'une base solide. Cette première version pouvait être déployée en quelques clics sur un serveur cloud, révélant immédiatement sa dangerosité.
Vous trouverez ci-dessous la fausse page de connexion :
Fausse page de connexion
Recueil et transfert des données vers Telegram :
Données de l'utilisateur sur Telegram
Voici une capture d'écran de la « page de paiement » :
Fausse page de paiement
Les informations de paiement sont ensuite envoyées sur Telegram :
Informations de paiement dans Telegram
Nous avons pu créer une fausse page de saisie de code OTP, un outil dangereux permettant aux hackers de voler les codes des utilisateurs. Pour reprendre les mots d'un de nos chercheurs ci-dessous :
Avec les informations de la victime, je peux maintenant lui présenter une fausse page OTP. Un hacker utiliserait ces données pour des achats en ligne ou pour ajouter la carte à Google Pay/Apple Pay. Cependant, une alerte 3D Secure serait automatiquement générée, et un code OTP authentique serait transmis à la victime. Si cette dernière n'est pas vigilante, elle pourrait cependant saisir ce code sur le site de phishing.
Fausse page OTP (Mot de passe à usage unique)
Cette première version d'un kit phishing, entièrement généré par l'IA, démontre la facilité de création de tels outils et souligne les risques considérables associés à l'IA. Elle pourrait toujours être vulnérable à des prompts bien conçus, rendant sa sécurité totale incertaine.
En février 2025, TD Bank a confirmé une importante fuite de données, causée par un ancien employé ayant divulgué des informations client confidentielles. Ces informations comprenaient noms, coordonnées, dates de naissance, numéros de compte et historique des transactions. Bien que les numéros de sécurité sociale et les mots de passe n'aient pas été compromis, cette violation de données engendre des risques significatifs de fraude et d'usurpation d'identité. Cet incident a suscité une attention considérable, mettant en lumière les vulnérabilités persistantes au sein des établissements financiers.
Trop d'organisations négligent les menaces internes, pourtant bien réelles, qui pèsent sur leurs données personnelles. L'instauration de contrôles appropriés est primordiale pour éviter la répétition de tels événements.
Le mois de Février a connu une recrudescence des attaques de ransomware. HCRG Care Group, un prestataire privé de services de santé et sociaux, a été victime du groupe Medusa. Les hackers ont revendiqué le vol de grandes quantités de données et ont menacé de les vendre ou de les publier en ligne. Malgré la brèche, les services aux patients semblent ne pas avoir été affectés jusqu'à présent.
Patch Tuesday revient, avec son lot habituel de correctifs à intégrer pour les administrateurs système. Le Patch Tuesday de février 2025 de Microsoft a corrigé 55 failles de sécurité, dont quatre vulnérabilités zero-day. Deux de ces vulnérabilités zero-day, activement exploitées, représentaient des risques majeurs d'élévation de privilèges et de perturbation des systèmes.
Bien que cette affaire ne date pas de février, elle n'a cessé de dominer l'actualité de la cybersécurité depuis sa révélation.
Sous la pression du gouvernement britannique, qui exigeait une backdoor pour accéder aux données chiffrées, Apple a choisi de désactiver sa fonctionnalité de Protection avancée des données (ADP) pour les utilisateurs iCloud au Royaume-Uni en février 2025.
La fonctionnalité ADP permettait aux utilisateurs de crypter leurs données iCloud, les rendant inaccessibles à tous, y compris Apple et les autorités gouvernementales. La demande du gouvernement britannique a engendré une controverse majeure parmi les experts du secteur, soulevant des questions cruciales sur la vie privée des utilisateurs et la surveillance gouvernementale.
En acceptant les exigences du gouvernement britannique, Apple met en péril la protection de la vie privée des utilisateurs d'iCloud au Royaume-Uni. Bien que certains types de données, tels que les données de santé et les messages, restent chiffrés de bout en bout par défaut, la suppression de l'ADP a suscité des préoccupations concernant le risque d'abus de pouvoir de la part du gouvernement. Nous restons en veille sur ce sujet et vous informerons de tout nouveau développement.
Même si cette actualité n’est pas liée au mois de février, elle est assez grave pour y prêter attention.
Au mois de janvier 2025, Microsoft a résolu une faille critique de sécurité dans Outlook, référencée CVE-2025-21298. Cette faille, qui avait un score de gravité de 9,8/10, permettait aux hackers de propager des logiciels malveillants par email en exploitant la fonction Windows Object Linking and Embedding (OLE). Les attaquants pouvaient exécuter un code à distance juste en faisant ouvrir un email malveillant à la victime dans la prévisualisation, ce qui était particulièrement dangereux. Microsoft a déployé un correctif pour contrer cette menace et invite les utilisateurs à l’appliquer sans attendre.
Le Security Lab est une division de Hornetsecurity dédiée à l’analyse approfondie des menaces de sécurité les plus courantes et critiques, avec une spécialisation en sécurité des e-mails. L’équipe internationale de spécialistes en sécurité possède une vaste expérience en recherche en sécurité, ingénierie logicielle et science des données.
Une compréhension approfondie du paysage des menaces, fondée sur l’analyse pratique de virus réels, d’attaques de phishing, de logiciels malveillants et autres, est cruciale pour développer des contre-mesures efficaces. Les informations détaillées collectées par le Security Lab constituent la base des solutions de cybersécurité de nouvelle génération proposées par Hornetsecurity.