Très connu pour son célèbre antivirus, Norton propose également un gestionnaire de mots de passe à ses clients. La mauvaise nouvelle, c'est que des pirates ont pu compromettre les comptes Norton de milliers de clients et accéder aux données du gestionnaire de mots de passe. Faisons le point.

Gen Digital, la société mère de NortonLifeLock et Symantec Corporation, a communiqué auprès de ses clients au sujet de cette campagne d'attaques de type credential stuffing. Grâce à cette technique, les pirates ont pu compromettre les comptes de milliers de clients. La technique credential stuffing consiste à utiliser des bases d'identifiants achetées sur le Dark Web ou récupérées dans le cadre d'une fuite de données, afin d'essayer de les utiliser pour se connecter sur un autre service, en l'occurrence ici les services de Norton.

Si un utilisateur est présent dans cette base d'identifiants et qu'il utilise le même nom d'utilisateur et le même mot de passe pour son compte Norton, alors les pirates ont pu accéder à son compte ! En accédant à son compte Norton, les pirates ont pu également consulter les données de son coffre-fort de mots de passe. Par ailleurs, les pirates ont pu visualiser d'autres informations comme le nom, le prénom, le numéro de téléphone et l'adresse postale.

Gen Digital a diffusé cette notification par e-mail à 6450 clients, ce qui montre l'étendue des dégâts. Toutefois, les événements ne sont pas récents puisque c'est le 12 décembre 2022 que les équipes de Norton ont détecté un nombre anormalement élevé de tentatives de connexion en échecs. Les premières compromissions de comptes ont eu lieu à partir du 1er décembre 2022. En complément, un porte-parole de Gen Digital a précisé au site BleepingComputer : "La famille Gen offre des produits et des services à environ 500 millions d'utilisateurs. Nous avons sécurisé 925 000 comptes inactifs et actifs qui ont pu être ciblés par des attaques de type credential stuffing".

Pas de compromission du système NortonLifeLock

Dans le cas présent, ce n'est pas le gestionnaire de mots de passe qui est à remettre en cause, mais plutôt l'utilisation qui en est faite. On voit bien que la réutilisation de mots de passe est, une nouvelle fois, problématique d'autant plus si le mot de passe maître du gestionnaire de mots de passe est réutilisé à droite à gauche. C'est d'autant plus vrai lorsque le MFA n'est pas activé sur le compte.

Il est important de préciser que les systèmes de Norton n'ont pas été directement compromis : "Nos propres systèmes n'ont pas été compromis. Cependant, nous sommes convaincus qu'un tiers non autorisé connaît et a utilisé votre nom d'utilisateur et votre mot de passe pour votre compte.", précise Norton.

Source

L'article Gestionnaire de mots de passe NortonLifeLock : les pirates ont pu accéder aux comptes de milliers de clients ! est disponible sur IT-Connect : IT-Connect.

I. Présentation

Dans ce tutoriel, nous allons apprendre à personnaliser le thème de l'interface Office 365 (Microsoft 365) pour intégrer le logo de votre entreprise et modifier les couleurs du thème. Ainsi, les utilisateurs vont bénéficier d'un environnement Office 365 qui respecte la charte graphique de votre entreprise, ce qui sera l'occasion de se mettre le service communication dans la poche.

Pour personnaliser la page de connexion à Office 365, je vous recommande la lecture de cet article déjà en ligne sur le site :

• Office 365 - Microsoft 365 : personnaliser la page de connexion

En personnalisant la page de connexion et le thème, l'interface Office 365 sera pleinement personnalisée aux couleurs de votre entreprise.

II. Logo et couleurs du thème Office 365

Cette modification implique de se connecter au centre d'administration Microsoft 365 avec un compte administrateur.

Une fois connecté, vous devez cliquer sur "Paramètres" à gauche (1), puis sur "Paramètres de l'organisation" (2). Ensuite, cliquez à droite sur "Profil de l'organisation" (3) et sur l'élément "Thèmes personnalisés" (4).

Sous le titre "Personnaliser Microsoft 365 pour votre organisation", cliquez sur le bouton "Ajouter un thème".

Plusieurs options s'affichent dans le but de vous permettre de personnaliser le thème graphique. Tout d'abord, vous pouvez ajouter un icône qui s'affichera en haut à gauche, à côté du bouton qui permet d'afficher la liste des applications. Typiquement, le logo de votre entreprise. Sur ce logo, il est possible d'ajouter une URL en indiquant une adresse pour l'option "Lien sur clic". Enregistrez.

Dans l'interface de modification du thème, vous pouvez aussi changer les couleurs. Il y a les couleurs affichées par défaut et celles affichées lorsqu'un élément est survolé ("Couleur d'accentuation"). Ce qui est pratique, c'est qu'il y a un aperçu en live du rendu final.

Une fois que le thème est mis en place, l'interface de Microsoft 365 est transformée puisque votre logo est présent et que les couleurs sont différentes. Voici un exemple :

III. Conclusion

Maintenant, à vous de jouer ! Vous pouvez créer le thème Office 365 de votre choix, d'autant plus que cela ne nécessite pas d'avoir une licence spécifique au contraire de la personnalisation de la page de connexion.

L'article Personnaliser le thème de l’interface Office 365 est disponible sur IT-Connect : IT-Connect.

D'après Fortinet, des cybercriminels exploitent activement la faille de sécurité zero-day découverte en décembre 2022 au sein de la fonction VPN SSL du système FortiOS, utilisé sur les firewalls Fortigate. Bien qu'elle soit corrigée, cette vulnérabilité est exploitée dans le cadre de cyberattaques contre des organisations gouvernementales et des cibles liées au gouvernement.

Associée à la référence CVE-2022-42475, cette faille de sécurité critique dans la fonction VPN SSL peut être exploitée par un attaquant pour exécuter du code arbitraire ou une commande sur le firewall Fortinet. De ce fait, l'attaquant peut compromettre le firewall afin d'en prendre le contrôle total. D'ailleurs, Fortinet avait demandé à ses clients d'installer le correctif en urgence compte tenu de la gravité de la vulnérabilité.

D'après les analyses de Fortinet, il y a des attaques en cours contre des cibles spécifiques, et il s'agit plus particulièrement d'organisations gouvernementales ou d'entités rattachées au gouvernement. Au sein d'une nouvelle publication, Fortinet donne des précisions sur le logiciel malveillant : "Le malware était une variante d'une charge Linux générique et personnalisée pour FortiOS." - Il s'avère que le malware s'installe sur le firewall en tant que version trojanisée du moteur de détection IPS. Il est également capable de supprimer les événements le concernant dans les journaux afin d'éviter d'être détecté : "Le logiciel malveillant modifie les processus de journalisation de FortiOS afin de manipuler les journaux pour échapper à la détection", précise Fortinet.

Même si l'on ne sait pas encore quel est le groupe de cybercriminels à l'origine de cette vague d'attaques, Fortinet précise que le malware découvert a été compilé sur une machine située dans le fuseau horaire UTC+8, ce qui correspond à certains pays comme l'Australie, la Chine, la Russie, et Singapour.

Au-delà d'exploiter la vulnérabilité CVE-2022-42475 pour compromettre l'équipement Fortinet, les attaquants ont développé un malware spécial pour FortiOS, avec des fonctionnalités avancées pour passer entre les différentes couches de détection.

Pour rappel, cette faille de sécurité affecte à la fois FortiOS et FortiProxy. Tous les détails sont disponibles sur le site officiel de Fortinet, à cette adresse. Si ce n'est pas déjà fait, vous devez mettre à jour votre appareil en urgence !

Source

L'article Fortinet : la faille dans le VPN SSL exploitée pour déployer un malware sur FortiOS ! est disponible sur IT-Connect : IT-Connect.

VALL-E, c'est le nouvel outil d'intelligence artificielle de chez Microsoft capable de reproduire la voix de n'importe quelle personne à partir d'un échantillon de seulement 3 secondes !

Alors que ChatGPT est une intelligence artificielle capable de répondre à de nombreuses questions et de générer du texte à la volée, VALL-E serait capable de reproduire la voix d'une personne ! Ce modèle d'intelligence artificielle de type Text-To-Speech correspond à de la synthèse vocale. VALL-E a suivi un entrainement intensif de 60 000 heures sur de la parole anglaise (à partir de 7000 locuteurs différents) et il est capable de préserver l'émotion et le ton de la voix, ce qui rend le résultat réaliste. Du coup, on peut croire qu'il s'agit de la personne qui parle alors qu'il s'agit de l'intelligence artificielle.

Pour mieux vous rendre compte, vous pouvez visiter cette page officielle où il y a des exemples d'audio générés par VALL-E. Cela permet également de comparer la voix originale avec la voix imitée par l'intelligence artificielle. Tout n'est pas parfait, mais on est très loin d'avoir une voix robotisée que l'on identifie très facilement !

VALL-E, qui n'a rien à voir avec le dessin animé WALL-E (quoi que...), n'est surement pas un nom choisit par hasard ! Si l'on regarde du côté de chez OpenAI, la société derrière ChatGPT, il y a un outil nommé DALL-E capable de générée des images en s'appuyant sur l'intelligence artificielle.

Quoi qu'il en soit, espérons que VALL-E ne soit pas accessible au grand public car sinon il y a des chances que ça parte dans tous les sens... S'il n'y a pas de contrôle sur ces outils, il pourrait clairement y avoir une explosion de contenus fake. On voit déjà ce que cela donne avec les deepfakes !

A ce sujet, Microsoft précise : "Puisque VALL-E peut synthétiser la parole en conservant l'identité du locuteur, il peut comporter des risques potentiels de mauvaise utilisation du modèle, comme l'usurpation de l'identification vocale ou celle de l'identité d'un locuteur spécifique" - La firme de Redmond estime que si VALL-E devenait accessible publiquement, il devra obligatoirement un protocole pour s'assurer que le locuteur approuve l'utilisation de sa voix.

L'article VALL-E : à partir d’un échantillon de 3 secondes, cette nouvelle IA peut simuler votre voix ! est disponible sur IT-Connect : IT-Connect.

Une box sous Android TV et commercialisée sur Amazon est livrée avec un logiciel malveillant préinstallé et persistant puisqu'il est intégré au firmware !

Depuis quelques années, les box Android sont devenues très populaires, car elles permettent de bénéficier de diverses applications de streaming vidéos (Netflix, Amazon Prime Video, MyCanal, Dinsey+, etc...) à partir d'une interface agréable basée sur Android TV.

La mauvaise nouvelle, c'est qu'il existe un modèle relativement populaire qui est livré avec un logiciel malveillant ! Pour être précis, il s'agit du modèle "Android TV Box T95" équipé d'un processeur AllWinner. Cette box est commercialisée partout dans le monde via Amazon, AliExpress et d'autres sites d'e-commerce. Par exemple, elle est disponible sur amazon.fr à 50 euros environ, comme vous pourrez le constater en suivant ce lien.

Même si c'est le seul modèle malveillant identifié, il est possible qu'il y ait d'autres modèles dans le même cas : s'ils proviennent de la même marque ou s'ils partagent le même firmware.

Il pourrait s'agir du malware CopyCat

En tout cas, il faut remercier Daniel Milisic, un administrateur système canadien pour cette découverte ! Il a également décidé de régler le problème en créant un script et en mettant en ligne des instructions pour aider les utilisateurs à bloquer le malware et à stopper ses communications vers le serveur C2.

Par défaut, cette box Android accepte les connexions en Ethernet et WiFi via l'Android Debug Bridge (ADB), ce qui est une configuration suspecte. Grâce à cet accès, il est possible de manipuler les fichiers à distance, d'exécuter des commandes, d'installer des logiciels et de contrôler la box à distance. Rien que ça.

Initialement, Daniel Milisic a acheté cette box Android TV pour faire tourner l'outil Pi-Hole afin de bloquer la publicité, le contenu malveillant, etc... Et, au moment d'analyser les requêtes dans Pi-Hole, il a constaté que la box Android TV émettait des requêtes vers des adresses IP associées à un malware. D'ailleurs, il pense même que le malware en question est CopyCat, bien connu et qui a déjà affecté 14 millions d'appareils Android lors d'une précédente campagne.

Sur Internet, il suffit de regarder sur Amazon et AliExpress pour voir qu'il y a de nombreux modèles de box Android TV en provenance de marques méconnues. Comme le prix est attractif, de nombreux utilisateurs se laissent tenter et le malware présent dans la box T95 n'est peut-être pas un cas isolé... Pour le coup, il est préférable de se tourner vers une Google Chromecast, Apple TV, Amazon Fire TV, Xiaomi Mi TV Box ou encore une box DIY basée sur un Raspberry Pi !

Source

L'article Disponible sur Amazon, cette box Android TV est livrée avec un malware préinstallé ! est disponible sur IT-Connect : IT-Connect.