Archives quotidiennes :

Banque, Cybersécurité

Forge, filiale de Société Générale, obtient la licence de DASP

La filiale de la Société Générale, Forge, a obtenu une licence de fournisseur de services d’actifs numériques (DASP) de la part de l’Autorité des marchés financiers (AMF). L’obtention de cette licence place Forge en position avantageuse sur le marché des crypto-monnaies, offrant ainsi une nouvelle dimension à l’activité du conglomérat.

La licence permet à Forge de mener plusieurs activités essentielles sur le marché des crypto-monnaies, y compris la négociation, la détention, l’échange, la vente et l’achat de crypto-monnaies comme monnaie légale. L’approbation de cette nouvelle activité par l’AMF est une nouvelle majeure, non seulement pour Forge mais aussi pour ses clients institutionnels.

En effet, l’annonce de cette approbation arrive à un moment particulièrement opportun. Forge est en effet un acteur majeur dans le lancement d’un stablecoin Ethereum régulé et basé sur l’euro qui a vu le jour en avril 2023. Cette approbation par l’AMF est un jalon important dans le parcours de cette initiative.

Depuis l’introduction de nouvelles réglementations sur l’octroi de licences et l’enregistrement des entreprises de crypto-monnaie par les autorités françaises en mars 2023, 87 organisations se sont enregistrées auprès de l’AMF. Parmi ces organisations figurent des filiales de poids lourds de l’industrie tels que Binance, Bitstamp, Luno et Bitpanda. Forge est le premier à obtenir une licence de DASP.

Ces nouvelles règles, plus souples que celles précédemment proposées, établissent néanmoins des normes réglementaires plus élevées pour les fournisseurs de services cryptographiques. Par exemple, les entreprises sont tenues de fournir des informations claires sur les risques et de mettre en place une politique sur les conflits d’intérêts. Les entreprises déjà agréées par l’AMF pourront continuer à opérer jusqu’à la fin de la période de transition prévue jusqu’en 2026.

Il est important de rappeler qu’en décembre 2022, la Commission européenne a annoncé son intention d’obliger les fournisseurs d’actifs virtuels à transférer les données des clients aux autorités fiscales locales. Par ailleurs, en avril, l’AMF a commencé à accélérer l’examen des demandes des entreprises de cryptographie pour se conformer aux nouvelles règles paneuropéennes prévues par la loi MiCA.

Enfin, il convient de noter que d’autres acteurs importants du secteur ont également déposé une demande de statut DASP auprès de l’AMF. C’est le cas de Circle, co-émetteur de l’USDC, en mars, et de la bourse OKX en mai. La route vers une régulation accrue et une adoption plus large des crypto-monnaies est donc clairement en marche.

Cybersécurité, Téléphonie

Les logiciels espions Cytrox et Intellexa blacklistés par les USA

Le département du commerce US met sur liste noire les logiciels espions commercialisés par les entreprises Cytrox et Intellexa. Les utilisateurs sont dorénavant considérés comme étant dans l’illégalité.

L’une des méthodes du département du commerce américain, mais aussi de l’administration fiscale de l’Oncle Sam, est de mettre sur liste noire les entreprises et/ou leurs dirigeants. Bilan, les entreprises ne peuvent plus faire du business sur le sol des USA, mais aussi avec la moindre société américaine ou ayant des appointances avec les Etats-Unis d’Amérique. Par exemple, une banque travaillant avec une société blacklistée, et travaillant avec les USA, doit stopper son interaction avec le mouton noir au risque d’être poursuivi par les autorités étasuniennes.

Dans le nouveau cas repéré, la mise sur liste noire des sociétés Cytrox et Intellexa. Ces actions constituent la première initiative majeure sur les logiciels espions depuis que Biden a publié un décret exécutif restreignant l’utilisation par le gouvernement des logiciels de surveillance. Le département américain du Commerce a ajouté à sa liste noire commerciale les fournisseurs de logiciels espions Cytrox et Intellexa. Deux entreprises liées à des opérations d’espionnage de journalistes, d’hommes politiques et d’un dirigeant de Meta en Grèce. La raison invoquée pour l’inclusion sur la liste noire est « pour le trafic de cyber-exploits utilisés pour accéder aux systèmes d’information, menaçant ainsi la vie privée et la sécurité des individus et des organisations dans le monde entier« .

La liste complète des entités incluses est Intellexa SA basée en Grèce, Cytrox Holdings Zrt. en Hongrie, Intellexa Limited en Irlande et Cytrox AD en Macédoine du Nord.

Intellexa est connu pour son logiciel espion Android Predator qui a été décrit par les chercheurs comme l’un des logiciels espions les plus répandus après Pegasus de la société israélienne NSO. Cytrox a également été précédemment interdit par Meta pour des opérations de surveillance sur la plate-forme. Dans le cas de Meta [Facebook] 300 comptes liés à la société Black Cube, basée en Israël, ont été supprimés. Ils fonctionnaient comme des personnages fictifs pour établir des contacts avec des cibles. La société a supprimé des centaines de comptes appartenant à des sociétés connues sous le nom de Israel Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX (basée en Inde), Cytrox et une entité inconnue en Chine.

Pendant ce temps, sur Twitter

Trois comptes Twitter semblant être liés au gouvernement chinois ont été identifiés pour diffuser de la propagande auprès du public en Amérique latine. Les chercheurs de la société de cybersécurité Nisos ont publié une analys, indiquant que malgré les efforts précédents abandonnés par la société de médias sociaux pour étiqueter les médias d’État, ces comptes ont réussi à échapper à cette mesure.

Ces comptes Twitter transmettent des messages pro-Pékin au Paraguay, au Costa Rica, au Chili et au Brésil, et ils sont probablement liés au China News Service, une branche de propagande gouvernementale active dans le monde entier. Le réseau de comptes Twitter identifié fait partie d’un réseau plus large comprenant des comptes gouvernementaux chinois, des groupes de réflexion sino-latino-américains, des journalistes autoproclamés et d’autres acteurs diffusant des messages pro-chinois similaires.

Ces trois comptes Twitter ont été créés en juillet 2021 pour le plus ancien et en novembre 2021 pour les deux autres, à une époque où Twitter étiquetait encore les comptes affiliés à des États. Cependant, en avril 2023, Twitter a suspendu l’étiquetage de ces comptes suite à des critiques concernant la manière dont elle avait qualifié la National Public Radio de « média affilié à l’État« .

L’un des comptes connectés à ces trois comptes Twitter propose un lien vers une application qui, une fois téléchargée, recueille des informations personnellement identifiables auprès des utilisateurs. Ce compte demande également des autorisations à Twitter qui pourraient donner accès aux comptes des utilisateurs ainsi qu’aux comptes de médias sociaux chinois, Weibo et Weixin (WeChat).

Les chercheurs ont averti que cela pourrait permettre au gouvernement chinois de surveiller potentiellement les récits et d’obtenir des informations sur les dissidents résidant à l’étranger, une activité déjà signalée par des acteurs liés au gouvernement chinois par d’autres moyens.

Les chercheurs ont souligné que bien qu’ils ne puissent pas établir définitivement le lien entre ces comptes Twitter et le gouvernement chinois, les comptes identifiés font des efforts pour éviter de lier directement les utilisateurs au China News Service, qui est l’organisation médiatique chinoise liée à l’État d’où provient la majorité de leur contenu lié à la Chine.

Selon un rapport de juin 2020 d’Alex Joske, un chercheur du renseignement sino-australien, le China News Service est l’un des plus grands réseaux médiatiques du Parti communiste chinois, disposant de nombreux bureaux à l’étranger.

Ces opérations en Amérique latine font partie de l’avancée majeure de la Chine dans cette région au cours des deux dernières décennies, tant sur le plan économique que technologique. Le rapport indique que la Chine a renforcé ses liens militaires avec des pays comme le Venezuela, l’Argentine, la Bolivie, l’Équateur et le Pérou, tandis que Cuba a également cherché à renforcer ses liens militaires avec la Chine, comme en témoigne la présence présumée d’une base d’espionnage chinoise sur l’île.

La Chine chercherait à influencer les perceptions politiques et culturelles dans cette zone géographique, en particulier pour contrer les perceptions défavorables suite à la pandémie de COVID-19 présumée originaire de Chine.

Bien que les comptes Twitter identifiés (« hoy_paraguay », « hoy_chile » et « hoyCosta ») aient un nombre limité d’abonnés, le réseau implique également des diplomates et des ambassades chinois. De plus, ils sont suivis par un compte en portugais (« NmqbChinaNews ») qui se concentre sur les relations sino-brésiliennes.

Cyber-attaque, Cybersécurité, DDoS

Augmentation alarmante des cyber attaques DDoS

Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !

Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.

La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.

Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.

Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.

Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.

« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.« 

Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.

Cybersécurité, Mise à jour

Des pirates Chinois font faire des économies aux clients de Microsoft Cloud

Microsoft a annoncé qu’il étendrait l’accès à un ensemble élargi de journaux de sécurité à davantage de clients sans frais supplémentaires. Cette décision fait suite aux révélations selon lesquelles des pirates basés en Chine ont exploité les vulnérabilités de l’infrastructure cloud de Microsoft pour accéder aux données de messagerie de plusieurs agences gouvernementales et fonctionnaires américains.

Les membres du personnel de sécurité du département d’État américain ont découvert une opération d’espionnage chinoise à la mi-juin 2023 en utilisant des journaux de données anormales disponibles uniquement dans le niveau premium du service Cloud de Microsoft. Une option « payante » qui a suscité des critiques sévères à l’égard de Microsoft de la part de responsables américains et d’experts en cybersécurité. La société facturait des frais supplémentaires pour ces fonctions de sécurité essentielles.

Pour remédier à cette situation, Microsoft a décidé de modifier ses prix et de fournir « l’accès à des journaux de sécurité cloud plus étendus pour tous nos clients dans le monde sans frais supplémentaires » à partir de septembre 2023. De plus, la durée de conservation des journaux par défaut sera désormais de 180 jours, contre 90 jours auparavant.

Bien que la Cybersecurity and Infrastructure Security Agency ait qualifié cette initiative de « pas en avant significatif vers l’avancement des principes de sécurité par la conception« , certaines critiques persistent. Le sénateur Ron Wyden a déclaré que le changement de prix n’était pas suffisant pour remédier aux violations passées, soulignant que Microsoft semblait privilégier la monétisation des produits complémentaires de cybersécurité plutôt que de fournir des systèmes sécurisés de base.

Malgré cela, Microsoft a souligné qu’il était en étroite collaboration avec la CISA (2)pour répondre aux besoins de sécurité en constante évolution du monde moderne. L’enquête sur l’opération de piratage en Chine se poursuit, alors que les autorités cherchent à comprendre comment une telle attaque sophistiquée a pu se produire.

Cybersécurité, Securite informatique

Une fuite de données inattendue pour VirusTotal

Une fuite de données inattendue a secoué le monde de la cybersécurité en juin dernier. Un fichier de clients VirusTotal s’est retrouvé accidentellement sur Internet, exposant une liste de 5 600 noms, parmi lesquels figuraient des employés des services secrets américains de la NSA et des services de renseignement allemands.

VirusTotal est essentiellement une immense base de données de logiciels malveillants. Les utilisateurs peuvent soumettre des fichiers suspects ou des liens vers des sites Web douteux, qui sont ensuite comparés aux bases de données de 70 fabricants d’antivirus pour détecter toute activité suspecte. Cela a permis la création d’une archive mondiale d’outils d’attaque numérique, une précieuse bibliothèque de codes malveillants. Cependant, cette plateforme n’est pas exempte de critiques, car elle peut potentiellement exposer involontairement des données confidentielles, comme l’a averti l’Office fédéral de la sécurité de l’information (BSI) l’année dernière.

Révélations troublantes sur la liste divulguée

La liste, 5 600 clients de VirusTotal, comprend des organismes gouvernementaux de premier plan tels que le Cyber Command américain, le FBI, le département américain de la Justice, la NSA ou encore le service de renseignement allemand MAD. De nombreuses entreprises allemandes sont également concernées, notamment la Deutsche Bahn, la Bundesbank, Allianz, BMW, Mercedes-Benz et Deutsche Telekom. Cette fuite suscite des inquiétudes quant à l’utilisation abusive des données pour l’ingénierie sociale et les attaques de phishing ciblées. Alertés, pas de doute que les « clients » concernés ont changé d’adresse électronique et redoublé de prudence.

Les implications de la fuite de données

Bien que les mots de passe ne soient pas affectés par cette fuite, la liste divulguée permet d’identifier les personnes en charge de la sécurité informatique et de la lutte contre les logiciels malveillants au sein des organisations concernées. Cela pourrait ouvrir la voie à des tentatives d’attaques ciblées contre ces individus. Ce qui rend cette fuite encore plus folle, c’est que VirusTotal appartient à Google. Cette situation soulève des questions sur la sécurité et le contrôle des données chez Google.

Google a rapidement supprimé la liste de la plateforme dès qu’ils ont été informés de la fuite. Ils se sont également engagés à améliorer leurs processus internes et leurs contrôles techniques pour éviter de tels incidents à l’avenir. Le BSI, tout en utilisant VirusTotal comme source d’informations, conseille aux autorités fédérales de ne pas télécharger de fichiers sur cette plateforme. Un courriel de 2022, temporairement retrouvé sur la plateforme de sécurité, montre l’importance de VirusTotal en termes de sécurité informatique et quelles informations critiques peuvent s’y retrouver. Dans ce mail, l’Association allemande pour l’ingénierie des machines et des installations (VDMA) a envoyé un lien vers un portail Web du ministère de l’Intérieur de Rhénanie-Palatinat en tant que service pour ses membres – avec le mot de passe associé.

D’autres entreprises touchées par la fuite, telles que Deutsche Telekom, ont également pris des mesures pour informer leurs employés et prévenir les éventuelles attaques.