La publication d'une mise à jour de sécurité ne signifie pas nécessairement la fin des attaques qui l'exploitent : encore faut-il que le correctif soit massivement déployé... tel est en substance le constat opéré par les chercheurs en sécurité de Fortinet, après avoir constaté la recrudescence d'attaques relatives à d'anciennes failles de sécurité, ciblant des routeurs populaires de la marque D-Link, alors que ces dernières ont été corrigées depuis près de dix ans.

« FortiGuard Labs a constaté une augmentation de l'activité de deux botnets différents en octobre et novembre 2024 », indique l'éditeur. Ces deux botnets – des réseaux de machines infectées à l'insu de leur propriétaire, utilisées ensuite dans un second temps, par exemple pour mener des attaques par déni de service – se présentent comme de vieilles connaissances.

Le premier, baptisé Ficora, est une variante de Mirai, un botnet qui avait défrayé la chronique en 2016, en alimentant une attaque dirigée contre l'infrastructure de Dyn, un prestataire chargé de la gestion de la zone DNS de nombreux sites américains. Le second, surnommé Capsaicin, n'est quant à lui qu'une énième variante d'un malware historique, Kaiten, conçu pour cibler l'environnement logiciel des routeurs.

• Une étude révèle les entrailles du botnet Mirai

Via ses outils de télémétrie, Fortinet explique avoir mesuré plusieurs pics d'activité lié à ces deux botnets. Pour Ficora, l'éditeur signale une attaque partie de serveurs basés aux Pays-bas, et des incidents répertoriés dans le monde entier, ce qui laisse supposer à ses chercheurs une attaque de type pêche au chalut, sans que ne soit visé une région du monde ou un pays particulier. L'attaque liée à Capscaicin est quant à elle centrée sur l'Asie du Sud-Est, remarque Fortinet, sans en tirer de conclusion particulière.

Le vecteur d'attaque se révèle quant à lui bien spécifique. « Ces botnets se propagent fréquemment via des vulnérabilités D-Link documentées qui permettent aux attaquants distants d'exécuter des commandes malveillantes via une action GetDeviceSettings sur l'interface HNAP (Home Network Administration Protocol) », indique Fortinet, qui rappelle que certaines de ces vulnérabilités (CVE-2015-2051, CVE-2019-10891, CVE-2022-37056 et CVE-2024-33112) ont été dévoilées il y a près de dix ans.

Parmi les routeurs susceptibles d'être touchés, Fortinet évoque le D-Link DIR-645 avec un firmware 1.04b12 ou version antérieure, le D-Link DIR-806, le D-Link GO-RT-AC750 en revA_v101b03, le GO-RT-AC750 en revB Wv200b02 ou le D-Link DIR-845L en version v1.01KRb03 et antérieures. Des modèles anciens, considérés comme « en fin de vie » par le fabricant, qui n'en assure donc plus le support. Si, du côté de l'éditeur, on invite à se tourner vers des solutions logicielles dédiées à la sécurité, le fabricant préconise quant à lui de remplacer les appareils concernés.

« D-Link recommande de cesser d'utiliser ces produits et prévient que leur utilisation continue peut présenter des risques pour les autres appareils qui y sont connectés. Si vous choisissez de continuer à utiliser ces appareils, assurez-vous qu'ils sont mis à jour avec la dernière version connue du micrologiciel [...]. De plus, les utilisateurs doivent fréquemment mettre à jour le mot de passe unique d'accès à la configuration Web de l'appareil et toujours activer le chiffrement Wi-Fi avec un mot de passe fort et unique », indique le fabricant dans ses propres bulletins de sécurité relatifs à des appareils anciens.

Les autorités américaines ont ajouté une neuvième société de télécommunications à la liste des opérateurs compromis par la vaste opération de cyberespionnage liée à la Chine et connue sous le nom de Salt Typhoon, rapporte l'agence Reuters.

• Des pirates chinois auraient espionné des systèmes d’écoutes téléphoniques américains

Anne Neuberger, conseillère adjointe à la sécurité nationale des États-Unis pour la cybersécurité et les technologies émergentes, n'a pas divulgué son identité. L'ex-directrice de la cybersécurité de la NSA a cela dit précisé que l'opérateur avait été identifié dans le cadre des efforts entrepris par les autorités et les opérateurs affectés afin de mieux comprendre les techniques utilisées par les pirates chinois pour compromettre les infrastructures de télécommunications états-uniennes.

• Tempête de cybersécurité aux États-Unis, pleins feux sur le chiffrement des communications

Anne Neuberger a souligné que les pirates chinois ont eu « un accès large et complet » aux réseaux, ce qui leur a permis de « géolocaliser des millions de personnes, d'enregistrer des appels téléphoniques à volonté », et que la mise à jour des règles de la Commission fédérale des communications (FCC) pourrait contribuer à limiter la portée et l'impact des intrusions à l'avenir.

• USA : des fonctionnaires interdits de téléphone suite au piratage chinois du système d’écoutes téléphoniques

Début décembre, Jessica Rosenworcel, la présidente de la FCC, avait proposé, en réponse aux révélations liées à Salt Typhoon, des règles exigeant que les entreprises de télécommunications soient tenues de sécuriser leurs réseaux et de présenter une certification annuelle attestant qu'ils ont mis en place un plan de protection contre les cyberattaques.

• L’administration Trump voudrait en finir avec la cyberdéfense et privilégier le « hack back »

« Nous suivrons les traces de l'Australie et du Royaume-Uni, qui ont déjà mis en place des réglementations en matière de télécommunications parce qu'ils reconnaissent que les secrets de la nation, l'économie de la nation reposent sur leur secteur des télécommunications », a expliqué Anne Neuberger ajoutant :

« lorsque j'ai discuté avec nos collègues britanniques et que je leur ai demandé : "Pensez-vous que vos réglementations auraient empêché l'attaque Salt Typhoon ?", ils m'ont répondu : "Nous l'aurions trouvé plus rapidement, nous l'aurions contenu plus rapidement, il ne se serait pas propagé aussi largement et n'aurait pas eu l'impact et n'aurait pas été découvert aussi longtemps si ces réglementations avaient été mises en place". C'est un message fort ».

Des hackers ont infecté les extensions de navigateurs Chrome de plusieurs entreprises, selon la société Cyberhaven, elle-même victime de l’attaque, et plusieurs autres experts.

Dans un article de blog, Cyberhaven indique avoir vu son extension compromise le 24 décembre, via une attaque qui semble « cibler les connexions à des plateformes de publicité et d’intelligence artificielle de médias sociaux ».

Auprès de Reuters, Jaime Blasco, cofondateur de la société Nudge Security, indique avoir repéré d’autres attaques similaires depuis quelques semaines, ciblant des extensions relatives à l'IA, la productivité et aux VPN, avec des dizaines de milliers d'utilisateurs.

Il suspecte une tentative opportuniste d’aspirer un maximum de données sensibles, via un maximum d’extensions Chrome compromises. « Il semble que ce n'était pas ciblé contre Cyberhaven, mais plutôt opportunément contre les développeurs d'extensions », précise Jaime Blasco à Techcrunch.

Sur X, Tom Hegel, chercheur à SentinelOne, avance avoir pour sa part identifié une quinzaine de noms de domaine utilisés pour compromettre autant d'extensions relatives au blocage de publicités, l'IA et Youtube, et ce depuis le printemps 2024 pour certains.

Atos a publié dimanche un communiqué relatif aux revendications d'un groupe de rançongiciels, Space Bears, qui affirmait la veille avoir réussi à compromettre la sécurité de l'une des bases de données du géant français de l'informatique.

« À ce stade, les premières analyses ne montrent aucun signe de compromission ou de rançongiciel affectant les systèmes Atos/Eviden dans aucun pays », écrit la société.

La publication de ce communiqué fait suite à la diffusion, puis au relais, samedi 28 décembre, d'un message en forme d'ultimatum émanant du groupe Space Bears. Sur la page qui liste ses victimes présumées, Space Bears affichait lundi matin un compte à rebours à 8 jours et 16 heures, avant mise en ligne d'un fichier présenté comme une « company database », sans plus de précision.

« Si vous voyez qu'un décompte tourne (...), vous avez une chance d'éviter une fuite de données », menace le groupe Space Bears sur son site, invitant les sociétés ciblées à passer par un formulaire de contact pour négocier les conditions de non-divulgation. Arrivé récemment sur la scène « ransomware », Space Bears revendique une vingtaine de victimes depuis le début de l'année, principalement des entreprises nord-américaines. De son côté, Atos précise dimanche qu' « aucune demande de rançon n’a été reçue à ce jour ».

« Néanmoins, Atos prend ces allégations très au sérieux. L’équipe de cybersécurité Atos investigue activement la situation et les informations ci-dessus seront mises à jour le cas échéant », conclut le groupe informatique, actuellement engagé dans la négociation de ses activités les plus stratégiques avec l’État français.

• La nationalisation d’Atos revient dans le débat politique