L’actualité cyber sécurité de la semaine dernière (5 au 11 mars 2018)

de | 11 mars 2018

Voici ce que j’ai retenu de l’actualité cyber sécurité de la semaine dernière – La société Medtronic ne corrige toujours pas les vulnérabilités dans ces équipements médicaux… la société SoftBank fait pareil avec son robot NAO infecté par un ransomware pour la démo. L’industrie automobile ciblée par une attaque. La Corée du Nord n’est peut-être pas à l’origine de l’attaque contre les Jeux olympique d’hiver. Yahoo paiera 80 millions € pour les fuites de données de 2013 et 2014. Le dump des Shadow Brockers continue à livrer ses secrets avec cette fois des outils de la NSA de surveillance des groupes d’attaquants.


De nombreuses vulnérabilités dans l’équipement médical CareLink 2090 de la société Medtronic avaient été découvertes en janvier 2017 et ne sont toujours pas corrigées à date, le constructeur jugeant que ces failles ne sont pas dangereuses pour les patients. Pour rappel, cet équipement sert à la gestion des équipements cardiaques tel que les défibrillateurs ainsi qu’à la programmation des pacemakers au moment de leur implantation… Les vulnérabilités sont principalement liées à l’utilisation de la version embarquée du système d’exploitation Windows XP qui n’est plus supporté depuis 2016 !

Source :


Dans le genre “je ne corrige pas les failles de sécurité de mes produits”, la société SoftBank qui commercialise le robot NAO se distingue. Les vulnérabilités avaient été publiées dans un rapport de la société IOActive en 2017. Ces vulnérabilités n’ayant toujours pas été corrigées, les experts en sécurité de la société IOActive ont développé et infecté un robot NAO avec un ransomware spécifique… qui demande des bitcoins pour revenir à son fonctionnement normal.

Une vidéo est disponible en suivant le lien dans la source.

Source :


Les acteurs du secteur automobile ont été visés par une attaque basée sur une campagne de spear phishing qui avait pour objectif l’implantation du programme de prise de contrôle à distance des PC infecté, programme désigné par RAT (Remote Administration Tool). Le programme utilisé pour cette campagne est connu sous le petit nom FlawedAmmyy : il est en circulation depuis 2016.

L’attaque a été attribuée au groupe TA505 identifié en 2014 et connu pour les campagnes Dridex, Locky et GlobeImposter.

Source :


Le malware OlympicDestroyer qui avait rendu indisponibles certaines installations des derniers Jeux olympiques d’hiver de Pyeongchang en Corée du Sud. Grâce à des traces trouvées dans le contenu du malware ainsi que des similitudes dans les tactiques, techniques et procédures (TTP) d’attaque, celui-ci a été relié, dans un premier au groupe Lazarus connu pour ses liens avec la Corée du Nord.

Une analyse approfondie, par les experts de l’éditeur d’antivirus Kaspersky Labs, a confirmé l’existence de ces traces. Par contre, un certain nombre d’éléments trouvés dans le malware ne sont pas conformes aux TTP du groupe, comme la protection par mot de passe de son backdoor qui contient les informations sensibles du serveur de commande et de contrôle C2 (Lazarus = chaîne de caractère de plus de 30 caractère, OlympicDestroyer = utilisation du mot de passe “123”).

D’autres éléments ont été identifiés dans le malware tel que l’utilisation de NordVPN pour la protection des communications et l’hébergeur monoVM, les deux fournisseurs de services acceptant les paiements par bitcoin. Ce éléments ainsi que d’autres TTP découvert font penser à un autre groupe d’attaque désigné par Sofacy.

Cette affaire met en avant une première : l’utilisation avancée de faux TTP dans une attaque afin que celle-ci soit attribuée à autre groupe, technique qui porte le nom de “false flags”

Source :


Un accord a été trouvé entre Yahoo et les acteurs d’une action collective devant la justice (class action) suite aux deux fuites des données des utilisateurs de ses services. Le montant de l’accord s’élève à 80 millions de dollars : l’accord ne stipule pas si les poursuites s’arrêtent et les modalités d’application en cas de refus de l’accord par un des plaignants de l’action collective.

Source :


Les experts en cyber sécurité des laboratoires CrySyS Lab et Ukatemi présenteront leurs recherches sur le dump 2017 des Shadow Brokers lors du Kaspersky Security Summit qui se déroulera cette semaine à Cancun au Mexique. Les experts ont identifié des outils qui permettent à la NSA de surveiller des groupes d’attaquants, par exemple le groupe Dark Hotel APT qui est sous surveillance depuis 2011.

Ces outils sont développés par un département de la NSA dédié à la surveillance des groupes attaquant et dénommé NSA Territorial Dispute (TeDi), identifié dans le contenu du dump. TeDi a été constitué suite au vol des plans de l’avion de combat F35 en 2007, vol attribué à la Chine.

A suivre.

Source :

Une réflexion au sujet de « L’actualité cyber sécurité de la semaine dernière (5 au 11 mars 2018) »

  1. Ping : Veille Cyber N173 – 20 mars 2018 |

Les commentaires sont fermés.