Monthly Threat Report Septembre 2024 : Une autre fuite des données massive ce mois-ci

Le Monthly Threat Report by Hornetsecurity vous donne des informations mensuelles sur les tendances de sécurité M365, les menaces basées sur les emails et des informations sur les événements actuels dans le domaine de la cybersécurité. Cette édition du rapport mensuel sur les menaces se concentre sur les données du mois d’août.

Pour rappel, il ne s'agit PAS d'une de nos éditions trimestrielles, nous renoncerons donc aux statistiques au profit des discussions sur l'actualité du secteur, des renseignements sur les menaces, et bien plus encore ! Le rapport mensuel sur les menaces d’octobre (couvrant les données de septembre) présentera une mise à jour trimestrielle des statistiques sur les menaces et fera l’objet de l’édition du mois prochain.

Ce que vous allez découvrir ce mois

  • Une fuite de données touchant le courtier National Public Data a exposé 2,9 milliards de fichiers, révélant les informations personnelles d'un nombre incalculable de personnes.
  • Les données volées lors de cette fuite chez National Public Data donneront la possibilité aux acteurs malveillants de mener des attaques de spear-phishing pointues et faciliteront la manipulation psychologique.
  • Une déclaration conjointe de plusieurs entités gouvernementales américaines met en garde les entreprises contre le danger posé par le ransomware RansomHub et fournit une liste d'actions recommandées et d'informations techniques concernant la menace.
  • Un curieux cas d'extorsion met en lumière les menaces internes à l’entreprise et le fait que ces risques peuvent exister même au sein d'équipes informatiques de confiance.
  • La dépendance excessive envers un fournisseur unique pour plusieurs services essentiels est de plus en plus préoccupante pour les entreprises.
  • Alors que la saison électorale bat son plein, les regards se tournent vers le processus électoral et la vigilance s'accroît face aux cyberattaques visant à influencer les élections.
  •  

Incidents majeurs et actualités de l'industrie

Fuite de données National Public Data

L’actualité la plus importante en matière de cybersécurité et de confidentialité du mois d’août a probablement été la fuite des données chez National Public Data. National Public Data est un courtier en données. Le bref communiqué de l’entreprise (ci-dessous) sur sa page “About us” met rapidement en évidence la gravité de cette fuite :

Toutes nos données sont mises à jour régulièrement. Nous garantissons l’actualisation et la qualité. Faites des recherches parmi des milliards de données enregistrées avec des résultats instantanés, de nombreuses recherches sont sans frais en cas de non résultat. Nos services sont actuellement utilisés par des enquêteurs privés, des sites de consultation de fichiers publics, des services de ressources humaines, des agences de placement et bien plus encore. Rejoignez-nous dès maintenant et profitez de données de qualité à des tarifs avantageux.

Le fait que NPD (National Public Data) mentionne « des milliards de données enregistrées » en même temps que l'utilisation du service par des enquêteurs privés souligne de manière ironique les conséquences dramatiques de cette fuite de données.

Selon le communiqué de presse officiel, le type de données divulguées comprend les éléments suivants :

  • Noms
  • Adresses e-mail
  • Numéros de téléphone
  • Numéros de sécurité sociale
  • Adresses postales

Bien que le nombre total de personnes touchées semble inconnu pour le moment, les sources concordantes indiquent que le butin comprend notamment :

  • 200 Go de données
  • 2,9 milliards de lignes de données
  • 134 millions d'adresses e-mail

Plus inquiétant encore, il a été constaté que les données permettaient également aux acteurs malveillants de rechercher des personnes associées à une cible donnée, comme des membres de la famille. Cela augmente le risque de tentatives de spear-phishing plus personnalisées et de manipulation psychologique plus sophistiquée.

Cette violation, combinée à d’innombrables autres au cours des dernières années, soulève quelques questions clés, comme mentionné dans le même article de Dark Reading.

  1. Pourquoi les États-Unis et d’autres pays autorisent-ils la collecte massive de données personnelles ?
  2. Pourquoi continuons-nous à utiliser des méthodes d’identification dont on peut facilement abuser, comme les numéros de sécurité sociale, pour des transactions financières importantes ?

Alors que le nombre d’incidents impliquant la fuite d’énormes quantités de données personnelles continue d’augmenter, les organismes gouvernementaux doivent commencer à se poser la question : « Combien en faut-il de plus ? ». Autrement dit, quand verrons-nous des réglementations concrètes et des dommages-intérêts appropriés imposés aux organisations qui subissent de telles fuites de données ? Par exemple, l’Australie a imposé certaines des amendes les plus sévères connues aux organisations australiennes victimes de fuites répétées :

Le projet de loi de 2022 modifiant la législation sur la protection de la vie privée augmente les pénalités maximales en cas de violations graves ou répétées de la vie privée de l'actuelle pénalité de 2,22 millions de dollars à la plus élevée des sommes suivantes :

  • 50 millions de dollars ;
  • trois fois la valeur de tout avantage obtenu grâce à l’utilisation abusive d’informations ; ou
  • 30% du chiffre d'affaires ajusté d'une entreprise au cours de la période concernée.

Il est devenu clair au cours des dernières années que les entreprises ont besoin d’une incitation financière (ou d’un moyen de dissuasion) afin de prendre les mesures nécessaires pour assurer la sécurité des données personnelles.

En ce qui concerne les services publics, il est grand temps que le gouvernement fédéral américain et d'autres pays (avec des méthodes similaires) examinent des alternatives au mécanisme d'identification par numéro de sécurité sociale, facilement contourné. Plusieurs autres alternatives viables impliquant la cryptographie et la blockchain pourraient résoudre ce problème et au moins servir à rendre une partie des informations personnelles plus difficile à obtenir. En tant que société et en tant qu’acteur de la sécurité, ce sont des problèmes que nous devons résoudre dans les années à venir pour éviter l'arrivée de plus d'acteurs malveillants et le vol de plus de données personnelles.

Communiqué conjoint des agences gouvernementales concernant Ransomhub

De plus en plus souvent, le FBI, la CISA, le Centre d'échange et d'analyse d'informations multi-états (MS-ISAC) et le ministère de la Santé et des Services sociaux (HHS) alertent le public sur l'ampleur et l'étendue du ransomware RansomHub. Depuis février 2024, plus de 200 victimes ont été identifiées parmi des organisations essentielles aux Etats-Unis. Selon Bleeping Computer, certaines des victimes comprennent :

  • Rite Aid
  • Frontier Communications
  • Halliburton
  • Patelco
  • Christie’s Auction House

Notons également que le site de RansomHub a été impliqué dans la fuite de données Change Healthcare.

Les recommandations formulées par les agences font partie des recommandations courantes que nous voyons régulièrement dans le domaine de la sécurité. Cela inclut la correction régulière des vulnérabilités connues, la mise en œuvre de MFA, de VPN… etc.

Si vous êtes intéressé par une analyse détaillée de la menace, le communiqué conjoint contient une liste complète des TTP (Tactiques, Techniques et Procédures) ainsi qu’une liste complète des IOC (Indicateurs de Compromission). Les équipes de sécurité doivent se renseigner sur cette menace et se préparer en conséquence.

Des risques internes existent, même au sein de votre équipe informatique

Chaque mois, nous essayons de mettre en lumière au moins une menace moins médiatisée (mais néanmoins dangereuse). Un cas intéressant s’est produit récemment et met parfaitement en évidence les menaces internes. Généralement, celles-ci proviennent d'employés mécontents qui cherchent à nuire à l'entreprise ou à obtenir des informations à des fins monétaires. Ce qui rend ce cas si particulier, c'est que l’auteur de la menace était un ingénieur infrastructure au sein de l'équipe informatique de la société victime.

L'auteur, qui a depuis été arrêté, a bloqué les administrateurs de 254 serveurs via un certain nombre de "logic bombs" qu'il avait installées à distance vers la fin de 2023. Des demandes de rançon ont été faites, stipulant que si 750 000 dollars n'étaient pas payés, 40 serveurs du réseau de l'entreprise seraient arrêtés chaque jour. L’auteur a finalement été arrêté, en raison de recherches compromettantes sur le Web.

Cela met en évidence les risques internes, même au sein d’équipes informatiques de confiance. Une méthode que les entreprises peuvent utiliser pour éviter cela consiste à utiliser une solution PIM (Privileged Identity Management) telle que Microsoft Entra Privileged Identity Management. Le PIM permet aux équipes de sécurité d'avoir un contrôle plus granulaire sur l'accès aux ressources, y compris aux systèmes d'infrastructure critiques. Avoir recours à cette méthode aurait probablement empêché l'attaque mentionnée plus haut.

Analyse des menaces

Gestion des risques liés aux fournisseurs

Alors que les entreprises se tournent de plus en plus vers des offres centralisées de services pour leurs besoins en logiciels et applications professionnelles, un ancien concept refait surface dans l'industrie et s'applique désormais aux services numériques. Il s'agit du concept de dépendance excessive envers les fournisseurs, ou de « gestion des risques liés aux fournisseurs ». L'idée derrière ce terme est simple : plus une entreprise devient dépendante d'un seul fournisseur externe pour des fonctions commerciales essentielles, plus l'organisation est à risque si ce fournisseur rencontre des difficultés.

Bien que le terme ne soit pas nouveau, nous le voyons maintenant plus que jamais appliqué aux services cloud et aux offres numériques. Par exemple, pour les organisations qui s'appuient principalement sur la stack Microsoft, elles peuvent utiliser M365 pour la productivité et la collaboration, ainsi qu'Azure pour les besoins d'infrastructure. Que se passe-t-il lorsque Microsoft Entra tombe en panne (rare mais cela arrive) ? Vous risquez de perdre tous les systèmes de production jusqu'à ce que le problème soit résolu. Sans oublier que la résolution n’est en aucun cas sous votre contrôle.

Ce concept s'applique également aux systèmes de sécurité. Que se passe-t-il lorsque vous dépendez du même fournisseur pour vos logiciels de productivité et vos outils de sécurité ? Ce fournisseur vous communiquera-t-il un risque dû à une faille ou une vulnérabilité dans l'un de ses produits par crainte d'impacter les ventes d'un autre ? Selon le rapport d’un lanceur d'alerte, Microsoft a déjà été impliqué dans une situation similaire. Un membre de l'équipe de sécurité a signalé des problèmes concernant un bug critique à la direction, et le problème a été ignoré en raison de son impact potentiel sur les ventes. Il convient de noter que cette faille a finalement conduit à l'attaque SolarWinds en 2020.

Les équipes informatiques et de direction devraient prendre en considération les éléments mentionnés dans cette section lors du choix d'un fournisseur donné. Si vous souhaitez plus d’informations sur la minimisation des risques liés aux fournisseurs, nous avons abordé ce sujet dans un épisode récent du podcast Security Swarm.

 

La manipulation électorale

Avec plusieurs élections qui viennent de se terminer dans l'UE et la saison électorale américaine en pleine effervescence, l'industrie a beaucoup discuté de la sécurité des prochaines élections, et les préoccupations sont légitimes. Il existe des cas documentés où des acteurs malveillants ont lancé des attaques contre le processus électoral ou l'infrastructure électorale dans l'Union européenne et les États-Unis.

Il existe un certain nombre de raisons pour lesquelles des groupes d’acteurs malveillants mènent des attaques. Dans la plupart des cas, ce sont des groupes d’États-nations qui cherchent à influencer les élections dans un sens ou dans un autre. Dans d’autres cas, des groupes hacktivistes peuvent chercher à mener une attaque à haute visibilité pour tenter de faire passer leur message. Dans les deux cas, les attaques perturbent le processus démocratique.

Si vous souhaitez en savoir plus sur ce sujet, Umut Alemdar et Andy Syrewicze ont longuement discuté de ce sujet dans un épisode récent du podcast Security Swarm ci-dessous.

 

Prévisions pour les mois à venir

  • Les cyberattaques contre les infrastructures électorales vont augmenter à l'approche des élections américaines.
  • La fuite de données National Public Data va probablement relancer le débat autour de l'acquisition de grandes quantités de données personnelles. Il convient également de noter que le gouvernement américain a historiquement été lent à réagir à ces problèmes, et rien n'indique qu'il en sera différent cette fois-ci, mais nous pouvons espérer un résultat différent.

 

Recommandations mensuelles

  • Informez les personnes de votre organisation de la fuite de données National Public car ceux-ci sont susceptibles d'être ciblées par des tentatives de spear phishing. Faites-leur savoir qu'en raison du type et de la quantité de données publiées, cela pourrait conduire à des tentatives de spear phishing plus précises et convaincantes. De plus, si vous n’avez pas encore mis en œuvre une solution d’analyse d’e-mails nouvelle génération, faites-le.
  • Lisez la note concernant RansomHub mentionnée ci-dessus et appliquez toute mesure corrective ou recommandation nécessaire.
  • Si vous ne l'avez pas fait récemment, prenez le temps de considérer les risques internes à votre organisation, notamment au sein de votre équipe informatique. Mettez en place une stratégie pour parer à ce risque avec une solution comme le PIM.

 

À propos du Security Lab

Le Security Lab est une division de Hornetsecurity dédiée à l’analyse approfondie des menaces de sécurité les plus courantes et critiques, avec une spécialisation en sécurité des e-mails. L’équipe internationale de spécialistes en sécurité possède une vaste expérience en recherche en sécurité, ingénierie logicielle et science des données.

Une compréhension approfondie du paysage des menaces, fondée sur l’analyse pratique de virus réels, d’attaques de phishing, de logiciels malveillants et autres, est cruciale pour développer des contre-mesures efficaces. Les informations détaillées collectées par le Security Lab constituent la base des solutions de cybersécurité de nouvelle génération proposées par Hornetsecurity.