Votre iPhone est-il infecté par un logiciel espion tel que Pegasus, Reign ou Predator ? Même si ce n'est pas à la portée de tout le monde, vous pouvez le vérifier à l'aide d'un outil créé par Kaspersky et qui va analyser les journaux de votre appareil ! Voici ce qu'il faut savoir.

Kaspersky a fait une découverte intéressante : il est possible de savoir si un iPhone est infecté par Pegasus, Reign ou Predator, trois spywares utilisés pour espionner les utilisateurs d'iPhone à leur insu, en analysant le fichier journal "Shutdown.log".

Ce fichier est utilisé par le système pour enregistrer les événements liés au redémarrage de l'appareil. Par exemple, ce fichier va permettre de connaître le temps nécessaire à l'arrêt de chaque processus, en précisant à chaque fois son PID (identifiant). Pour les chercheurs en sécurité, ce fichier contient des traces très intéressantes et plus faciles à analyser que du trafic réseau ou une sauvegarde chiffrée d'iOS.

iShutdown, un ensemble de 3 scripts Python

Le spécialiste de la cybersécurité Kaspersky a mis en ligne un ensemble de 3 scripts Python nommés iShutdown qui vont permettre d'extraire et d'analyser les journaux d'iOS. Voici les trois scripts en question :

• iShutdown_detect.py : analyse l'archive tar de Sysdiagnose à la recherche d'entrées suspectes et qui pourraient indiquer la présence d'un malware.
• iShutdown_parse.py : extraire les artefacts de Shutdown.log à partir de l'archive tar de Sysdiagnose afin d'en faire l'analyse
• iShutdown_stats.py : obtenir les statistiques liés au redémarrage à partir du fichier journal Shutdown.log (dernier redémarrage, nombre de redémarrages par mois, etc.)

Ces scripts s'adressent plutôt à des utilisateurs avertis et à l'aise avec le terminal ainsi que l'analyse de résultats. Pour accéder au dépôt GitHub d'iShutdown, vous pouvez utiliser ce lien :

• GitHub - Kaspersky - iShutdown

Les scripts iShutdown mis à disposition par Kaspersky sont un véritable outil de forensic et ils vont permettre d'analyser le fichier Shutdown.log qui peut conserver les entrées sur plusieurs années, ce qui en fait un fichier précieux pour de l'analyse.

Dans son rapport, Kaspersky explique qu'à la suite de l'infection, le smartphone doit être redémarré pour qu'il y ait des traces disponibles dans le fichier journal Shutdown.log. Sans préciser la fréquence recommandée, Kaspersky précise que "cette méthode repose sur le fait que l'utilisateur doit redémarrer son téléphone aussi souvent que possible."

Par ailleurs, les chercheurs en sécurité expliquent que si l'appareil est très long à redémarrer, c'est également un signe d'infection et ce retard pourra être détecté par l'analyse du fichier de log : "Bien que nous ayons observé des cas de téléphones non infectés avec deux ou trois notifications de retard de redémarrage, nous considérons les retards excessifs (plus de quatre) comme une autre anomalie du journal qui doit être examinée."

Cet outil devrait faire plaisir à certains d'entre vous !

Source

The post Avec iShutdown, vérifiez si votre iPhone est infecté par un logiciel espion tel que Pegasus ! first appeared on IT-Connect.

À l'occasion de son événement Samsung Unpacked 2024, le géant Samsung a dévoilé sa nouvelle gamme de smartphones Galaxy S24 ! Au-delà des caractéristiques techniques, il y a un point qui a attiré mon attention : ces modèles auront le droit à 7 ans de mises à jour Android !

Le suivi des mises à jour sur les smartphones Android, c'est un vrai sujet, et ce depuis plusieurs années. Alors que du côté d'Apple, une génération d'iPhone bénéficie déjà de 6 à 7 ans de mises à jour logicielles (iOS) avant d'être mise de côté, c'est loin d'être le cas dans l'écosystème Android. Chaque fabricant peut adopter sa propre stratégie à ce sujet, et bien souvent nous avons le droit à 2 ans ou 3 ans de mises à jour.

C'est un vrai problème, notamment pour la sécurité des appareils puisque des patchs de sécurité Android sont publiés tous les mois, mais il y a toujours beaucoup de smartphones qui ne peuvent pas en profiter. C'est également un problème en matière d'écologie, car ceci peut pousser les utilisateurs à changer d'appareils : le matériel fonctionne, mais le système est obsolète.

7 ans de mises à jour chez Samsung

Du côté de Samsung les choses vont changer : l'entreprise sud-coréenne a fait la promesse à ses utilisateurs d'assurer un suivi des mises à jour pendant 7 ans sur la nouvelle gamme de smartphones Galaxy S24. Cela veut dire que si vous achetez un Galaxy S24, vous bénéficierez des mises à jour de sécurité Android mais aussi des mises à jour majeures du système (passage sur une nouvelle version d'Android) pendant 7 années.

Le fait d'avoir plus de mises à jour va inciter les utilisateurs à renouveler moins souvent leur smartphone : c'est une très bonne nouvelle puisque cela va permettre de réduire l'empreinte carbone de l'industrie mobile, représentée en grande partie par la phase de production des appareils. Samsung étant l'un des leaders dans ce secteur, il montre l'exemple, en quelque sorte.

Toutefois, Samsung n'est pas le premier fabricant à proposer 7 ans de mises à jour ! Il y a quelques mois, Google a pris la même décision avec ses modèles Pixel 8 et Pixel 8 Pro. Du côté de Fairphone, c'est déjà le cas également. Mais, quand on sait que Samsung écoule plus de 200 millions de smartphones par an, forcément, l'annonce fait du bruit ! C'est un bon début, mais Samsung pourrait faire mieux en prenant cette décision également pour les modèles d'autres gammes...

La nouvelle gamme Galaxy S24

Finissons par quelques mots sur la nouvelle gamme Galaxy S24 dévoilée hier soir, lors de l'événement Samsung Unpacked 2024. Cette gamme, qui a le droit à une bonne dose d'intelligence artificielle avec Galaxy AI, est constituée de trois modèles différents :

• Samsung Galaxy S24 : à partir de 899 euros
• Samsung Galaxy S24+ : à partir de 1 169 euros
• Samsung Galaxy S24 Ultra : à partir de 1 469 euros

Ces modèles seront disponibles à partir du 24 janvier et ils sont déjà en précommande (avec une réduction sur Amazon, d'ailleurs).

Vous pouvez également lire cet article sur le site officiel de Samsung.

The post Les smartphones Samsung Galaxy S24 vont bénéficier de 7 ans de mises à jour Android ! first appeared on IT-Connect.

Les cybercriminels exploitent massivement deux failles de sécurité présentes dans les solutions Ivanti Connect Secure VPN et Policy Secure ! Au niveau mondial, il y aurait déjà plus de 1 700 systèmes compromis, dont près d'une centaine en France !

La semaine dernière, la société Ivanti a mis en ligne un bulletin de sécurité au sujet de deux failles de sécurité zero-day exploitées par les cybercriminels. Ces dernières heures, la société Volexity a mis en ligne un nouvel article pour alerte sur l'exploitation massive de ces vulnérabilités : "L'exploitation de ces vulnérabilités est désormais très répandue. Volexity a pu trouver des preuves de la compromission de plus de 1 700 appareils dans le monde.", peut-on lire dans cet article.

La majorité des secteurs d'activités sont pris pour cible et Volexity précise que "la liste des cibles comprend de nombreuses entreprises Fortune 500 opérant dans divers secteurs d'activité."

Si l'on se réfère à une excellente carte publiée, une nouvelle fois, par TheShadowServer, nous pouvons constater qu'il y a 289 instances vulnérables identifiées en France. D'après une statistique relayée par le site LeMagIT, il y aurait déjà 82 systèmes Ivanti compromis identifiés à des adresses IP en France et des noms de domaine en .fr. Compte tenu du nombre d'instances vulnérables, le nombre de victimes pourrait augmenter malheureusement....!

Ivanti : CVE-2023-46805 et CVE-2024-21887

Ces vulnérabilités ont été découvertes dans deux produits de chez Ivanti : la passerelle VPN Ivanti Connect Secure (anciennement Pulse Connect Secure) et Policy Secure. Toutes les versions prises en charge sont impactées par ces failles de sécurité, à savoir les versions 9.X et 22.X.

Cette alerte fait référence aux deux vulnérabilités suivantes :

• CVE-2023-46805 correspondante à un bypass de l'authentification
• CVE-2024-21887 correspondante à une injection de commande

Lorsque la vulnérabilité CVE-2024-21887 est exploitée conjointement avec la CVE-2023-46805, l'attaquant peut exécuter du code malveillant sur le système cible sans avoir besoin de s'authentifier. Ainsi, il peut compromettre l'appareil de l'entreprise et s'intéresser ensuite au réseau interne.

Dans un rapport mis en ligne par Volexity le 10 janvier 2024, nous pouvons lire ce qui suit : "Volexity a découvert qu'un attaquant plaçait des webshells sur plusieurs serveurs web internes et externes." - L'attaquant a également mis en place un tunnel inverse à partir de l'instance Ivanti afin de pouvoir accéder à l'infrastructure compromise.

Comment se protéger ?

Dans le bulletin de sécurité d'Ivanti, nous pouvons constater que des correctifs ne sont pas encore disponibles pour toutes les versions ! D'après le tableau publié par l'éditeur, certains correctifs sont prévus pour cette semaine, d'autres pour la semaine prochaine et certains sortiront en février.

Toutefois, Ivanti met à disposition de ses clients un fichier XML qui vise à protéger les clients en attendant la mise à disposition d'un patch de sécurité : "CVE-2023-46805 et CVE-2024-21887 peuvent être atténués en important le fichier mitigation.release.20240107.1.xml via le portail de téléchargement.", peut-on lire.

En complément, vous pouvez consulter le bulletin d'alerte du CERT-FR.

Source

The post Les failles dans Ivanti Connect Secure exploitées massivement ! Près de 100 victimes en France ! first appeared on IT-Connect.

Google a mis en ligne un correctif de sécurité pour son navigateur Google Chrome dans le but de corriger la première faille de sécurité zero-day de l'année 2024 ! Ce correctif est à installer dès que possible, car la vulnérabilité est déjà exploitée par les cybercriminels. Faisons le point.

Vous êtes habitués aux alertes de sécurité émises par Google au sujet de son navigateur. Pour la première fois en 2024, Google a corrigé une faille de sécurité zero-day dans Chrome : la CVE-2024-0519. "Google a pris connaissance d'informations selon lesquelles un programme d'exploitation pour CVE-2024-0519 existe dans la nature.", peut-on lire dans le bulletin de sécurité de Google.

Cette vulnérabilité importante de type "out-of-bounds" dans la mémoire se situe dans le moteur de JavaScript V8 de Google Chrome. D'après la définition fournie sur le site du MITRE, une vulnérabilité de ce type "peut permettre à des attaquants de lire des informations sensibles à partir d'autres emplacements de la mémoire ou de provoquer un plantage." - Cette vulnérabilité pourrait être exploitée à l'aide d'une page web spécialement conçue dans ce but.

Comme à son habitude, notamment dans le but de ne pas exposer ses utilisateurs, Google n'a pas communiqué de détails techniques au sujet de cette faille de sécurité.

Au-delà de cette faille de sécurité, Google a corrigé deux autres vulnérabilités importantes : CVE-2024-0517 et CVE-2024-0518. Toutes ces vulnérabilités sont présentes dans le même composant de Chrome.

Comment se protéger ?

Pour vous protéger, c'est simple, vous devez mettre à jour le navigateur Google Chrome sur votre appareil, que ce soit sur Linux, Windows et macOS. Google a mis en ligne plusieurs versions, dont voici la liste :

• Linux : 120.0.6099.224
• Windows : 120.0.6099.224/225
• Mac : 120.0.6099.234

Pour rappel, vous pouvez déclencher la mise à jour (ou vérifier votre version actuelle) en cliquant le menu en haut à droite (trois points verticaux), puis sous "Aide", cliquez sur "A propos de Google Chrome". Le navigateur va vérifier la présence d'une nouvelle version automatiquement.

Source

The post CVE-2024-0519 – La première faille zero-day de 2024 corrigée dans Google Chrome ! first appeared on IT-Connect.

Le CHU de Nantes a été victime d'une cyberattaque dans la nuit du 14 au 15 janvier 2024 ! Voici ce que l'on sait sur cet incident de sécurité qui frappe une nouvelle fois un hôpital français.

Le CHU de Nantes, un centre hospitalier important réparti sur plusieurs sites et qui compte près de 13 000 salariés, a subi une cyberattaque. Elle a débuté dans la nuit du dimanche 14 janvier au lundi 15 janvier 2024, et les premiers signes de cet incident de sécurité ont été constatés en pleine nuit, aux alentours de 1h20.

Contrairement à certaines cyberattaques, notamment celle qui a touché le CHRU de Brest, ou celle qui a impacté l'Hôpital de Corbeil-Essonnes, celle-ci n'est pas liée à un ransomware ! C'est une attaque d'un type différent puisqu'il est question d'une attaque par déni de service distribué (DDoS).

De ce fait, cette cyberattaque a eu plusieurs conséquences sur les services du CHU de Nantes associés à Internet, avec la coupure de l'accès à Internet, de l'accès à certains outils depuis l'extérieur, l'envoi et la réception des e-mails ainsi que la prise en rendez-vous Doctolib à partir du site de l'établissement de santé. Par contre, les logiciels internes, notamment pour la gestion des soins, sont restés opérationnels. D'ailleurs, l'accès à Internet a été volontairement coupé afin de protéger l'infrastructure interne du CHU de Nantes.

Bien que l'attaque ait duré jusqu'au mardi 16 janvier 2024, elle est à présent terminée. Voici les précisions apportées par le CHU de Nantes au sujet de cet incident de sécurité : "Aucune intrusion interne ou compromission de données n’a été constatée. Après investigation des équipes informatiques, il s’agissait d’une attaque de type « déni de service distribué » qui consiste à envoyer vers la cible visée un volume très élevé de trafic pour submerger les serveurs, déstabiliser le réseau et ainsi provoquer une perte de service."

Les services sont en cours de rétablissement et un retour à la normale est prévu d'ici la fin de la semaine.

Source

The post Cybersécurité : le CHU de Nantes victime d’une attaque DDoS first appeared on IT-Connect.