Vulnérabilités
Ce mois de mars a été marqué par l’apparition de plusieurs vulnérabilités critiques. L’une d’entre elles touche l’application de téléphonie PBX 3CX disponible sous Windows, MacOS, Linux, Android et iOS. Les versions 18.12.407 et 18.12.416 de 3CX DesktopApp Electron Windows et les versions 18.11.1213, 18.12.402, 18.12.407, et 18.12.416 de 3CX DesktopApp Electron MacOS contiennent en effet du code malveillant sous forme de dll établissant une connexion à un serveur de command & control (C2) contrôlé par un individu malveillant. La vulnérabilité a été référencée en tant que CVE-2023-29059 et permettrait à terme de voler les informations du navigateur de sa cible.
Le 7 mars, Fortinet partageait l’existence d’une nouvelle RCE (Exécution de commande à distance), la CVE-2023-25610 dans ses produits FortiOS versions 7.2.0 jusqu’à 7.2.3, versions 7.0.0 à 7.0.9, versions 6.4.0 à 6.4.11, versions 6.2.0 à 6.2.12 et 6.0 (toutes les versions) et FortiProxy versions 7.2.0 à 7.2.2, versions 7.0.0 à 7.0.8, versions 2.0.0 à 2.0.11, versions 1.2 (toutes versions) et versions 1.1 (toutes versions). Il s’agit d’une faille applicative de type buffer overflow ou débordement de tampon pouvant amener à minima à un déni de service jusqu’à, dans le pire des cas, à une exécution de commande à distance sans authentification.
ChatGPT
Le 24 mars, OpenAI publiait un article expliquant avoir eu à désactiver la très populaire IA suite à une vulnérabilité exposant les titres de l’historique de conversations des utilisateurs. Cette vulnérabilité était en réalité due à une vulnérabilité dite de race condition. Une race condition survient lorsque deux sections de code conçues pour être exécuté dans une même séquence sont exécutées hors séquence. Dans le cas de ChatGPT, Une connexion simultanée de deux utilisateurs différents exactement au même instant permettait à un utilisateur d’avoir dans son historique personnel celui de l’autre utilisateur. Après une investigation approfondie, OpenAI explique que cette vulnérabilité aurait potentiellement pu permettre de voler les informations de paiement d’une faible quantité de clients (1,2% d’après leurs calculs).
L’attrait particulier du public envers ChatGPT a également attiré l’attention d’individus malveillants, ces derniers en ont profité pour créer des applications mobiles, clients lourds et fausses pages sur les réseaux sociaux afin de manipuler les personnes présentant un intérêt pour l’IA et de leur faire télécharger des logiciels malveillants…
Arrestation
Le 15 mars 2023 dans l’État de New-York, Pompompurin du vrai nom Conor Brian Fitzpatrick et administrateur de Breached, l’un des plus gros forum dédiés à la vente et à la diffusion de données volées a été arrêté par le FBI. À l’origine de cette arrestation, un message de Pompompurin se vantant d’avoir enregistré un compte sur intelX, un célèbre moteur de recherche de fuites d’informations destiné aux professionnels de la cybersécurité et un signalement de la plateforme au FBI renseignant les coordonnées du compte créé. Depuis, un autre administrateur répondant au pseudonyme de Baphomet a repris les rênes du forum et celui-ci continue son activité comme si rien ne s’était passé.
