Le mois de septembre est déjà terminé. Malheureusement, les pirates ont également eu une rentrée active. Il y a eu de très nombreuses attaques ces dernières semaines. Ajoutons l’entrée en vigueur de la loi 25, et ce mois de septembre a encore été très animé du côté cybersécurité.
L’accalmie estivale étant terminée, il est très probable que vous soyez de nouveau débordés et que la cybersécurité ne soit qu’une ligne de votre immense « to do list ».
💡 Saviez-vous qu’outre les interventions ad hoc que nous faisons pour nos clients, il est possible qu’un membre de notre SWAT Team vous accompagne régulièrement? On a constaté que la plus grande difficulté des entreprises en matière de sécurité était de dégager du temps pour appliquer les recommandations de sécurité reçues. N’attendez plus, un SWAT Teamer pourrait passer, par exemple, une journée par semaine avec vous pour vous aider à appliquer le tout et sécuriser votre entreprise dès maintenant 🚀
L'actualité Cyberswat
Voulez-vous tester la vigilance de vos employés?
Depuis avril dernier, Cyberswat s’est joint à Terranova à titre de partenaire afin d’offrir à notre clientèle une solution complète, simple et efficace de sensibilisation à la cybersécurité. Nous vous offrons un programme de sensibilisation à la sécurité sur une seule plateforme Web, comprenant une bibliothèque complète contenant plus d’une trentaine de sujets de formation, déclinés en plusieurs formats éducatifs.
La plateforme vous permet également de procéder à des simulations d’hameçonnage afin de tester les connaissances de vos utilisateurs.
Vous êtes tentés par l’expérience? Terranova vous invite à participer à son Gone Phishing Tournament annuel! Ce tournoi est un évènement mondial qui vous permettra de connaitre la posture en sécurité face à l’hameçonnage de vos utilisateurs, mais aussi de situer votre organisation par rapport à d’autres organisations comparables à la vôtre.
Vous pouvez vous inscrire ici pour participer
La participation à l’évènement est gratuite. Terranova vous contactera pour la mise en place du test, et vous aurez droit à un rapport personnalisé des résultats de votre entreprise ainsi que le rapport global du Gone Phishing Tournament.
Bon tournoi!
Êtes-vous prêt à survivre à une cyberattaque?
Du 21 au 25 novembre prochain, notre partenaire Crise et Résilience donne un bootcamp « Élaborez votre gestion de cybercrise ». En 2022, il est vital d’avoir une gestion de cybercrise. Vous avez juste à inscrire une personne de chez vous, notre partenaire s’occupe du reste! À l’issue de ce bootcamp, vous disposerez d’une gestion de crise initialisée à vos couleurs.
C’est la deuxième édition de ce bootcamp et les retours ont été très élogieux, nous recommandons fortement cette formation 😊
« Spoiler alert», Jean-Philippe Racine, notre président, interviendra lors du premier jour de cette formation!
Plus d’information et inscription ici
Le Meme du mois :
Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes, avec humour 😊
L'actualité en cybersécurité
La loi 25 est désormais en vigueur
Le projet de loi 64 a fait couler beaucoup d’encre. Il est maintenant adopté comme la loi 25. Malgré une entrée en vigueur progressive jusqu’au 24 septembre 2024, les organisations ont désormais la responsabilité de mettre en œuvre certaines mesures dès maintenant :
1. Une personne responsable de la protection des renseignements personnels devra être désignée et son titre et ses coordonnées publiés sur le site Internet de l’entreprise. En l’absence de site Internet, ces renseignements doivent être accessibles par tout autre moyen approprié.
2. En présence d’un incident de confidentialité impliquant un renseignement personnel, une organisation devra :
- Prendre les mesures raisonnables pour diminuer les risques qu’un préjudice soit causé aux personnes concernées et éviter que de nouveaux incidents de même nature ne se produisent;
- Aviser la Commission d’accès à l’information du Québec (la Commission) et la personne concernée si l’incident présente un risque de préjudice sérieux;
- Tenir un registre des incidents de confidentialité, dont une copie devra être transmise à la Commission à sa demande.
3. Respecter le nouvel encadrement portant sur la communication de renseignements personnels sans le consentement de la personne concernée à des fins d’étude, de recherche ou de productions de statistiques et dans le cadre de transactions commerciales.
4. Procéder à une évaluation des facteurs relatifs à la vie privée (ÉFVP) avant de communiquer des renseignements personnels sans le consentement des personnes concernées, que ce soit aux fins d’étude, de recherche ou de production de statistiques.
5. Divulguer préalablement à la Commission la vérification ou la confirmation d’identité faite à l’aide de caractéristiques ou de mesures biométriques.
Cyberswat peut vous accompagner dans la mise en place de ces mesures. N’hésitez surtout pas à nous contacter pour qu’on regarde ensemble comment vous conformer à ces nouvelles obligations légales.
Pour en savoir plus: https://www.lesaffaires.com/techno/internet/incidents-de-confidentialite-une-regle-de-trois-avant-de-signaler/636072
Uber, victime d’une brèche majeure
Le jeudi 15 septembre, Uber a confirmé une violation de la cybersécurité à l’échelle de l’entreprise. Un attaquant nommé « Tea Pot » serait affilié au groupe de pirates “Lapsus$”, célèbre pour avoir piraté d’autres compagnies telles que NVIDIA, Samsung et Microsoft plus tôt cette année.
La méthode employée par le pirate semble être ce que l’on appelle une attaque par « fatigue MFA »: l’attaquant se fait passer pour un membre du service informatique et envoie des notifications de connexion répétées à un employé jusqu’à ce que celui-ci les approuve.
Ainsi, il a pu accéder au VPN interne et à l’ensemble des outils de collaboration (Google, Slack, HackerOne…), Uber est pour le moment en train d’investiguer sur la portée de cette brèche afin de constater l’ampleur des dégâts et impacts actuels.
Pour en savoir plus: https://www.theregister.com/2022/09/19/uber_admits_breach/
Le correcteur orthographique amélioré de Chrome et Edge envoie vos mots de passe à Google
Si vous utilisez les navigateurs Chrome et Edge, soyez vigilant. En effet, si vous activez l’option « correcteur orthographique amélioré », toutes les informations saisies incluant des renseignements personnels (noms, date de naissance, NAS, etc.) et les mots de passe (si affichés) vont transiter en clair vers les serveurs de Google et Microsoft. Inutile de vous expliquer l’enjeu de cybersécurité en arrière si ces données venaient à fuiter.
Fait à noter, de plus en plus de logiciels de correction orthographique peuvent avoir ce type de problème: Savez-vous ce que vos logiciels de correction font avec vos données?
Dans le cas qui nous concerne aujourd’hui, cette option n’est pas paramétrée par défaut, mais s’active facilement, parfois même sans qu’on s’en rendre vraiment compte. Même si ça vient limiter le risque, nous vous conseillons de vous assurer que vous et vos employés ne l’avez pas activée.
Pour en savoir plus et savoir comment vérifier si cette option est activée sur votre navigateur, vous pouvez lire cet article: https://www.journaldugeek.com/2022/09/21/chrome-et-edge-leur-correcteur-orthographique-fait-fuiter-vos-donnees/
Apple Lockdown: une nouvelle protection pour les profils critiques
Suite aux révélations de l’utilisation du logiciel espion Pegasus par la société NSO, affectant l’ensemble des systèmes d’exploitation mobiles, Apple sort une nouvelle fonctionnalité destinée à certains profils critiques (journalistes, activistes…) : le “Lockdown mode”.
Dès IOS 16, ce mode permettra de bloquer de nombreuses fonctionnalités afin d’éviter plusieurs vecteurs d’attaques venant de logiciels espions presque indétectables. En effet, la plupart des types de pièces jointes aux messages sont bloqués, certaines technologies web sont désactivées (javascript), les accessoires USB pour connecter un appareil nécessitent un écran déverrouillé. Les fonctions d’urgence, telles que les appels d’urgence SOS, ne sont pas affectées.
Ce mode est le premier proposé par un acteur majeur des téléphonies, et sera appliqué à l’ensemble de la gamme Apple prochainement.
Pour en savoir plus: https://support.apple.com/en-us/HT212650
Une faille importante sur Microsoft Teams fait grand bruit
Les applications Teams pour bureau, et ce sur Windows, macOS, Linux sont vulnérables à une faille posant un risque pour l’intégrité des communications, car Microsoft Teams stocke les jetons d’authentification en clair. Un acteur malveillant ayant déjà un accès local sur une machine pourrait récupérer le jeton d’authentification afin de s’authentifier avec le compte de l’utilisateur, y compris s’il est protégé par de l’authentification multifacteur.
Cette faille fait actuellement grand bruit, car même si Microsoft a confirmé vouloir prendre en charge la vulnérabilité éventuellement, le niveau de risque attribué par Microsoft est moins important que ce que la divulgation initiale semblait indiquer. La raison? Il faudrait préalablement que le poste de travail soit compromis afin d’être en mesure de récupérer l’information.
Pour ceux qui ne veulent pas prendre de chance, il est recommandé d’utiliser la version Web de Teams au lieu de la version bureau. Sinon, il est toujours possible d’activer certaines protections sur des solutions antivirus EDX/XDR afin de déclencher des alertes en cas d’accès suspicieux (au besoin, nous faire signe!).
En savoir plus: https://www.bleepingcomputer.com/news/security/microsoft-teams-stores-auth-tokens-as-cleartext-in-windows-linux-macs
Mises à jour du mois
| Microsoft a publié son traditionnel Patch Tuesday. Ce mois-ci, la mise à jour de sécurité corrige 63 failles parmi lesquelles deux zero-day, dont une est activement exploitée. Cette mise à jour de septembre se distingue également par la correction d’une autre vulnérabilité d’élévation de privilèges dans le module “Print Spooler” qui pourrait être exploitée pour obtenir des autorisations de niveau SYSTEM. Il est recommandé d’appliquer ces correctifs de sécurité dès que possible. |
WordPress annonce qu’à partir du 1er décembre 2022, l’équipe de sécurité ne fournira plus de mises à jour de sécurité pour les versions 3.7 à 4.0, il est donc impératif de préparer la mise à jour si ce n’est pas fait, et ce vers une version encore incluse dans les correctifs de sécurité.
Pour en savoir plus: https://wordpress.org/news/2022/09/dropping-security-updates-for-wordpress-versions-3-7-through-4-0/
WhatsApp a discrètement corrigé deux vulnérabilités Zero-Day critiques, sur les versions Android et iOS, permettant à un attaquant d’exécuter du code arbitraire à distance. Ces deux failles ont un score CVE de 10/10 et ont été identifiées par l’équipe de sécurité de WhatsApp.
Pour vous protéger, mettez votre application WhatsApp à jour.
Pour en savoir plus sur les vulnérabilités découvertes: https://gbhackers.com/new-whatsapp-0-day-vulnerabilities/
Les 19 et 20 septembre 2022, Mozilla a publié des bulletins de sécurité visant à corriger des vulnérabilités liées à de multiples produits :
- Thunderbird – version 91.13.1 & 102.3;
- Firefox ESR – version 102.3;
- Firefox – version 05.
Cyberswat recommande aux utilisateurs et aux administrateurs de consulter les pages Web ci-dessous et d’appliquer les mises à jour nécessaires.
