Des milliers d’équipements Bluetooth sont concernés par cette énorme vulnérabilité qui a été découverte sur une puce vendue par l’un des leaders du marché, permettant à un attaquant de prendre le contrôle de l’équipement à la seule condition d’être à portée de vous et des ondes Bluetooth soient environ 10 mètres.
Bose , Sony, Jabra ou JBL font notamment partie des marques dont les produits sont touchés, mais restons calmes car il est peu probable que vous soyez concerné par cette vulnérabilité et on va voir pourquoi, mais aussi on va parler de ClickFix, d’une menace interne et d’une étude troublante sur le phishing.
Vulnérabilité sur le Bluetooth
Vous n’avez pas l’impression qu’on a tendance à oublier quelque chose en ce moment ? Comme par exemple tous les équipements Bluetooth qui gravitent autour de nous ?
Dans ta voiture ? Du Bluetooth ? Ta montre connectée ? Du Bluetooth et évidemment tes écouteurs ou ton casque ? Du Bluetooth.
Très bien, mais c’est quoi le problème alors ? Eh bien, vous ne pensiez quand même pas que tous ces constructeurs développent leur propre puce et leur propre protocole ? Évidemment que non, car ils font notamment appel à l’un des leaders dans ce domaine : Airoha.
Du coup, qu’est-ce qui se passe lorsque une giga vulnérabilité permettant à un attaquant de contrôler votre équipement à la seule condition qu’ils soient autour de vous voit le jour ? Eh bien, des centaines d’équipements sont concernés, dont voici un petit extrait !
Pour l’instant, aucun patch n’a encore été relâché, mais en plus de cela, se pose la question de comment certains équipements pourront être mis à jour et même si la vulnérabilité permet à n’importe qui de notamment contrôler la RAM de votre casque par exemple ou de s’en servir comme passerelle pour espionner vos appels, sauf si vous êtes un journaliste, un homme politique ou quelqu’un de très important, il est peu probable qu’un hacker cherche explicitement à vous nuire avec cette vulnérabilité. ([1], [2])
Sensibilisation
Coup de tonnerre dans la cyber : la sensibilisation en cyber ne servirait à rien ! Mmmmh vraiment ??
Des chercheurs de l’université de Chicago et de San Diego ont mené une grande étude sur 20 000 personnes pour comprendre si oui ou non, la sensibilisation en cybersécurité sert à quelque chose et le résultat est sans appel : non !
En réalité, vous vous doutez bien que ce n’est pas aussi simple car la véritable conclusion de cette étude c’est : ça dépend.
Pour faire simple, la sensibilisation classique, plan plan sans saveur et les tests de phishing n’ont pas démontré une efficacité particulière voire pire : certains utilisateurs ont plus tendance à tomber dans le piège en faisant le raccourci que si ces tests existent, d’autres mesures existent et ils sont donc en sécurité et peuvent donc cliquer n’importe où.
Par contre, les simulations plus dynamiques et les formations plus engageantes semblent évidemment fonctionner, et il faudrait donc plutôt se tourner vers ces solutions mais est-ce vraiment la bonne conclusion ?
Non en réalité, il faut surtout changer de paradigme et faire en sorte d’implémenter des mesures pour que les utilisateurs évoluent en sécurité dans leur environnement et avec les LLM pouvant eux aussi être manipulés pour conduire des campagnes de phishing en réponse directe aux utilisateurs, il y a encore de beaux sujets à travailler. ([3], [4], [5])
De clickFix a FileFix
Oh mais qu’est-ce qu’il se passe ? L’attaque ClickFix évolue en FileFix !
Juste pour rappel, le principe de ClickFix généralement c’est de demander à l’utilisateur de prouver qu’il n’est pas un robot avec un faux recaptcha qui va demander ensuite de copier coller une commande dans le terminal ou en faisant un petit Windows+R.
Évidemment, la commande télécharge en réalité un malware en arrière-plan mais ça c’est la version nul de cette attaque, celle pour les débutants, car une nouvelle version vient de sortir avec l’explorateur de fichier.
Alors du coup les premières étapes sont les mêmes blabla utilisateur, blabla faux recaptcha et commande à copier SAUF que cette fois, si l’utilisateur clique pour copier la commande, l’explorateur de fichier Windows s’ouvre et la commande peut directement être copiée dans la barre de l’explorateur !
Cette attaque nécessite encore moins d’étapes pour l’utilisateur et risque d’être encore plus efficace car elle ne les emmène pas dans un terminal mais sur un explorateur de fichier, application que connaissent bien les utilisateurs.
Et de notre côté, on a même aussi déjà vu une variante de cette attaque avec un QRCode risquant aussi d’être ultra efficace! ([6])
Menace Interne
Tu viens d’être licencié ? Tu ne vas quand même pas te laisser faire et partir sans rien faire ! Alors pourquoi ne pas faire comme cet Anglais et détruire le réseau de ton entreprise ?
Pour faire cours, juste après l’annonce de son licenciement, l’entreprise a oublié de désactiver le compte de l’employé qui a commencé à changer des identifiants ou encore retirer le MFA, causant selon l’entreprise un préjudice de 200 000£.
Aujourd’hui jugé, l’ancien employé a reconnu être coupable de certains de ces faits et ces petites revanches, c’est aussi dans l’armée avec un sergent aux États-Unis qui a tenté de revendre des infos à la Chine mais aussi en France avec le procès concernant Adecco que l’on n’a pas oublié mais sur lequel on n’a malheureusement que très peu d’infos.
Tout ça pour dire qu’il ne faut jamais jamais oublier tout ce que peuvent faire les menaces internes, entre fraudes, leaks ou sabotages, votre plus grande menace pourrait ne pas venir de l’extérieur. ([7], [8])
Toute l'actualité en cybersécurité, développement (WEB, Cloud) et tech sur notre chaine youtube ou en nous contactant pour réaliser une formation en présentiel dans votre entreprise !
