Sélection de l’actualité de la semaine

 

Des  hackers ont essayé de modifier les niveaux de composés chimiques d’une station de traitements des eaux en Floride

Des hackers ont accédé au système de gestion de la station de traitement des eaux d’Oldsmar, en Floride, États-Unis, et ont augmenté les niveaux d’hydroxyde de sodium dans l’eau. Fort heureusement, l’attaque, réalisée à distance par une prise de main sur un poste connecté au système d’information industriel et ayant accès aux commandes de contrôle des niveaux des composés chimiques, a été détectée à temps et les niveaux ont été rapidement corrigés. Les attaquants ont pu prendre le contrôle d’un ordinateur via TeamViewer installé sur l’un des nombreux ordinateurs de l’usine connectés au système de contrôle. Non seulement ces ordinateurs exécutaient des versions 32 bits du système d’exploitation Windows 7, mais les machines partageaient également le même mot de passe pour l’accès à distance et auraient été exposées directement à Internet sans aucun pare-feu installé. Ce n’est pas la première fois que des criminels arrivent à avoir accès à des système d’information reliés aux systèmes de commandes de station de traitements des eaux, rappelant que la sécurisation des systèmes industriels et des opérateurs de services essentiels est encore très inégale.

 

OVH et Orange s’associent pour proposer une service Cloud multi-fournisseur

OVHcloud et Orange Business Services (OBS) ont annoncé la conclusion d’un partenariat permettant de proposer les services de conseil, d’intégration et d’infogérance d’OBS aux clients ayant fait le choix d’une infrastructure cloud d’OVH. Grâce à ce nouveau partenariat, OBS souhaite renforcer « ses propres solutions d’infrastructure » et son « offre de services complète pour accompagner les entreprises » dans la migration vers le cloud, détaille Cédric Parent, directeur général adjoint des activités cloud d’OBS. Il précise que « cette approche s’inscrit dans l’ouverture que nous prônons au sein de Gaia-X de pousser l’ensemble de l’écosystème Cloud européen à innover et travailler en complémentarité pour répondre aux besoins spécifiques des entreprises et institutions européennes« . De son côté, OVH souhaite enrichir « son portefeuille de solutions multi-cloud », tout en se félicitant de contribuer « à la consolidation d’un écosystème européen fort », pour Sylvain Rouri, le directeur commercial de la société. L’ambition affichée est de proposer une alternative aux solutions Cloud proposées par les géants américains que sont Amazon, Google ou encore Microsoft .

 

Une nouvelle technique d’attaque de phishing utilise le code Morse pour masquer les URL malveillantes

L’attaque de phishing commence par un e-mail prétendant être une facture pour une entreprise avec pour Objet : « Revenue_payment_invoice February_Wednesday 02/03/2021 ». Cet e-mail comprend une pièce jointe HTML nommée de manière à apparaître comme une facture Excel pour l’entreprise. Ces pièces jointes sont nommées au format « [nom_entreprise] _ facture_ [numéro] ._ xlsx.hTML ». Lorsque vous affichez la pièce jointe dans un éditeur de texte, vous pouvez voir qu’elle inclut du code JavaScript qui transcrit les lettres et les chiffres en code Morse (« a » devient « .- » ; « b » devient « -… », etc.). Le script appelle ensuite une fonction decodeMorse () pour décoder une chaîne de code Morse en une chaîne hexadécimale. Cette chaîne hexadécimale est ensuite décodée en balises JavaScript qui sont injectées dans la page HTML. Les scripts injectés combinés à la pièce jointe HTML permettent aux attaquants de générer une fausse feuille de calcul Excel qui indique que la connexion des cibles a expiré et les invite à saisir à nouveau leur mot de passe. Si la victime effectue l’action, le formulaire envoie le mot de passe à un site distant où les attaquants peuvent collecter les informations de connexion.

 

L’ANSSI délivre son analyse sur l’état de la menace liée aux ransomware

Le constat n’est pas positif : les attaques sont toujours plus nombreuses, plus sophistiquées, leur exécution est plus rapide, elles sont mieux préparées, et ciblent tous les acteurs, publics comme privés, peu importe le domaine d’activités – des ESN spécialisées dans la sécurité des systèmes d’information ont fait les frais des rançongiciels, comme beaucoup. Un rapport à lire pour prendre conscience ou faire prendre conscience que le risque est réel.

 

L’ANSSI détaille l’infrastructure d’attaque du groupe cybercriminel TA505

Il s’agit du second rapport établi par l’ANSSI, après celui établi en 2020, sur le Threat Actor 505. Ce dernier désigne un groupe de criminels actifs depuis 2014 et s’est notamment fait connaître pour être à l’origine de la diffusion des chevaux de troie TrickBox et Dridex ou du ransomware Locky. Dans ce rapport, l’ANSSI s’intéresse aux  campagnes de distribution de l’outil d’administration à distance SDBbot, souvent précurseur du rançongiciel Clop, décrivant l’infrastructure utilisée pour les attaques.

 

Y’a plus, je laisse ?

Une perturbation par une particule isolée a bousculé Mario dans Super Mario 64. Encore un bug dans la Matrice.