Lors du Black Friday, il n'y a pas que les commerçants qui se frottent les mains, mais aussi les hackers qui profitent de cette euphorie pour exploiter des vulnérabilités, dont par exemple l'intégration de scripts JavaScript malicieux dans les sites e-commerce Magento ayant pour objectif évidemment de vous voler de l'argent ou vos informations bancaires.

Et bien, on débrief aujourd'hui cette attaque et comme toutes les semaines dans le recap de l'actualité cyber !

Vulnérabilité

Avant de revenir sur cette attaque, je vous propose de plonger un peu dans les plus grosses vulnérabilités à connaître en commençant par celle sur 7zip.

La CVE-2024-11477 a été découverte en juin de cette année mais vient uniquement d'être rendue publique par l'éditeur car il vient juste de la patcher.

Comme souvent avec ce genre de vulnérabilité, la faille peut conduire à l'exécution de code arbitraire mais nécessite une interaction de l'utilisateur, lui valant donc cette note de 7.8.

Et pour ne pas changer évidemment, la faille est évidemment du à un manque de validation des données ce qui conduit à ce que l'on appelle un 'integer underflow', c'est à dire une valeur qui passe en dessous de sa limite autorisé.([1], [2])

Et du côté de Microsoft, ce sont trois grosses vulnérabilités qui viennent d'être patchées sur Azure, Copilot et sur son site partner.microsoft.com

Toutes les vulnérabilités sont aujourd'hui patchées et aucune action n'est requise de notre côté, mais même si Microsoft a publié ces failles pour la transparence, j'aimerais attirer votre attention sur le manque de transparence de ces derniers justement !

En effet, certaines de ces failles ont été taguées comme activement exploitées par Microsoft, sans nous donner plus de détails, alors pour la transparence, on repassera. ([3])

Et pour 7zip évidemment, n'oubliez pas de patché !

Cyber Attaque

Comme je le disais en introduction, si le Black Friday est une occasion en or pour tous les commerçants de finir leur année en beauté, c'est aussi l'occasion pour les attaquants de profiter de cette euphorie pour redoubler d'efforts sur leurs attaques !

Et justement, le Black Friday, c'est aussi sur l'e-commerce et les sites en ligne créés à l'aide de Magento ont été touchés par une attaque détectée le 26 novembre totalement aléatoirement.

L'attaque avait pour objectif de voler les cartes bancaires des clients payant sur le site infecté à travers des faux formulaires de paiement ou en récupérant directement les informations sur le vrai formulaire de paiement.

Pour cela, les attaquants ont caché dans l'un des fichiers de thème une balise JS téléchargeant un script obfuscé à partir de trois domaines (dynamicopenfonts[.]app, staticfonts[.]com, static-fonts[.]com) ne s'activant que sur les pages contenant le mot 'checkout' mais évitant les pages contenant le mot 'cart'.

Ensuite, le script a pour objectif de récupérer un maximum d'informations : nom, prénom, email, téléphone, numéro de carte qui sont ensuite envoyés sur un serveur en JSON, chiffrés avec XOR et la clé'secret' avant d'être transformés en base64.

Alors, si vous utilisez la solution Magento pour les sites de vos clients ou vous-même, pensez bien à vérifier que vous n'êtes pas affectés en faisant un petit tour des fichiers de thèmes et de votre configuration, ce qui pourra vous éviter, par exemple, un leak des données de vos clients.([4], [5])

Ransomware

Et si l'on parlait un peu de foot, car oui aujourd'hui tout le monde est concerné par la cybersécurité, avec le club italien de Bologne qui vient de subir un vol de leurs données et probablement donc un data leak à venir pour ces derniers.

À l'origine de cette attaque, le groupe RansomHub qui a volé plus de 200 Go de données, dont des éléments financiers, des dossiers médicaux des joueurs et des données confidentielles des employés mais aussi de leurs supporters et clients.

Alors cela montre bien que peu importe son domaine d'activité, il est super important de bien se protéger et se préparer, car sinon vous pouvez finir comme Stoli.([6])

Pour ceux qui ne connaissent pas le groupe stoli, il s'agit d'un énorme producteur, notamment de Vodka, qui vient de déclarer faillite aux États-Unis.

L'une des raisons de la faillite serait due aux multiples dataleaks et attaques de ransomware qu'ils ont subies cette année, rendant notamment indisponible leur ERP et une partie de leur système comptable.

Et même si beaucoup de raisons politiques viennent aussi se mêler à la faillite de l'entreprise, cela démontre bien comment un ransomware ou une cyberattaque peut déstabiliser grandement une entreprise, pour peu que vous touchiez à une partie de ces systèmes critiques. ([7])

Au-delà de la cyber

Allez, comme d'habitude, on finit par une actualité hors de la cyber mais qui concerne la tech évidemment, et aujourd'hui on parle un peu de la relation Chine / États-Unis.

Car il y a quelques jours, l'administration de Biden a annoncé le durcissement, de nouveau, des règles d'importation des semi-conducteurs en provenance de la Chine.

Évidemment ce changement de règle a des conséquences économiques assez importantes pour la Chine qui a décidé de répondre à cela en interdisant l'exportation des métaux rares vers les US, dont le gallium par exemple.

Alors évidemment, ce n'est que le début de bras de fer car sans ces matières premières, impossibles pour les États-Unis de produire leur propre puce.

L'avenir nous donnera le fin mot de cette histoire, mais en attendant, qu'est-ce que vous en pensez ?

Et vous, qu'est-ce que vous pensez de ce gros changement à venir dans l'écosystème ?

Est-ce que les États-Unis ont fait une erreur avec ce move ou est-ce que la Chine est en surréaction et quel impact sur notre économie ? Je vous laisse me donner votre avis.([8])

Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !