Archives mensuelles : juillet 2023

Cybersécurité, ID, Téléphonie

Comment bloquer n’importe quel compte WhatsApp !

WhatsApp, le géant des messageries, est devenu le terrain d’une nouvelle vulnérabilité qui a touché pas moins de 2 milliards d’utilisateurs.

Une attaque de type Déni de Service (DoS) a été découverte dans le fonctionnement de WhatsApp, permettant à des personnes mal intentionnées de désactiver un compte de la messagerie appartenant à META (Facebook) en envoyant simplement une lettre au support technique. Cette faille, qui a déjà été exploitée, a généré des blocages de comptes intempestifs.

La vulnérabilité de désactivation de compte sur WhatsApp

Contrairement à ce que l’on pourrait penser, la désactivation d’un compte WhatsApp n’était pas limitée au seul propriétaire du compte. Toute personne ayant le numéro de téléphone enregistré dans le compte pouvait également envoyer une demande de désactivation au support technique. Cette demande pouvait être répétée à partir de différentes adresses e-mail, entraînant ainsi un déni de service d’une durée d’un mois. Initialement, la désactivation de compte était prévue pour les situations où un téléphone était perdu ou volé. L’utilisateur pouvait alors envoyer un e-mail au support technique avec la phrase clé « perte/vol, veuillez désactiver le compte » et le numéro de téléphone associé, ce qui bloquait l’accès pour une période de 30 jours. Cependant, pendant cette période, les contacts pouvaient toujours voir le profil du propriétaire et lui envoyer des messages, qui seraient accessibles une fois le compte réactivé sur un autre appareil.

Une faille exploitable pour les attaques DoS

La simplicité de cette procédure de désactivation a suscité des inquiétudes quant à sa vulnérabilité. Jake Moore, expert médico-légal et consultant en cybersécurité chez ESET, a mis en évidence cette faille en montrant comment un individu malveillant, connaissant simplement le numéro de téléphone de la victime, pouvait envoyer de multiples demandes de désactivation. En automatisant ce processus, une attaque DoS de 30 jours pouvait être mise en place, entraînant une interruption prolongée du compte de la victime.

Réaction de WhatsApp face à l’attaque

Suite à la révélation de cette vulnérabilité, WhatsApp a réagi rapidement pour contrer les attaques DoS. Dans un premier temps, l’option de désactivation via le support technique a été désactivée. Ensuite, toutes les demandes de désactivation ont commencé à renvoyer une confirmation de réception. Actuellement, WhatsApp exige en plus un document de confirmation du droit au numéro de téléphone spécifié avant de procéder à la désactivation. Ces mesures ont été mises en place pour réduire le risque de manipulations malveillantes.

Mesures de sécurité recommandées

Bien que WhatsApp ait pris des mesures pour résoudre cette vulnérabilité, certains utilisateurs pourraient toujours être confrontés au besoin de désactiver leur compte en cas de perte ou de vol de leur téléphone. Pour se prémunir contre de telles attaques, je vous recommande d’activer l’authentification à deux facteurs (2FA) sur WhatsApp. Cette option, qui est désactivée par défaut, ne permettra la désactivation du compte que si la demande provient de l’adresse e-mail associée au compte.

Cybersécurité, Microsoft, Mise à jour, Patch

Une vulnérabilité bien connue de Microsoft Office a été exploitée six fois plus au cours deuxième trimestre de 2023

Des chercheurs ont constaté qu’une ancienne vulnérabilité de Microsoft Office gagne en popularité auprès des attaquants, qui l’exploitent pour cibler à la fois les particuliers et les entreprises.

Depuis le début de l’année 2023, la vulnérabilité CVE-2017-11882 a été exploitée près de 500 % plus souvent, affectant des milliers de personnes. Une autre vulnérabilité connue, CVE-2018-0802, semble être devenue « l’arme » la plus en vogue chez les cybercriminels, ayant été utilisée pour cibler plus de 130 000 utilisateurs. Étant donné que les anciennes versions des programmes Microsoft sont aujourd’hui encore utilisées et qu’elles constituent une cible très attrayante pour les attaquants, il est crucial d’installer une solution de sécurité fiable et d’effectuer les mises à jour régulièrement.

Tout au long du deuxième trimestre 2023, des chercheurs de Kaspersky ont détecté que plus de 11 000 utilisateurs ont été visés par des attaques exploitant une ancienne vulnérabilité du logiciel Microsoft Office, connue sous le nom de CVE-2017-11882. Cette vulnérabilité permet aux attaquants d’exploiter l’éditeur d’équation dans les documents Microsoft Office, pour exécuter un code malveillant sur l’appareil ciblé. Ce procédé leur permet d’installer des logiciels malveillants ou indésirables sur la machine affectée à l’insu de l’utilisateur. Pour exploiter la vulnérabilité, les attaquants peuvent procéder de plusieurs manières: soit en envoyant un fichier malveillant à une victime potentielle, soit en créant un site web avec le même type de fichier pour inciter les gens à l’ouvrir en utilisant des techniques d’ingénierie sociale.

Bien que la vulnérabilité ait été identifiée et corrigée depuis longtemps, les exploits ont augmenté de 483 % au cours du deuxième trimestre par rapport au premier trimestre de cette année. Cette tendance alarmante indique que même les anciennes vulnérabilités restent des points d’entrée efficaces pour attaquer à la fois les appareils des particuliers et les infrastructures informatiques des organisations.

Nombre d’utilisateurs attaqués via la vulnérabilité CVE-2017-11882 en 2023

« Les attaquants ont effectivement recommencé à utiliser cet exploit. Il est très probable qu’ils tentent de mettre en œuvre de nouvelles techniques d’obscurcissement afin d’échapper à la détection. Par exemple, ils pourraient essayer d’insérer de nouveaux types de données malveillantes dans les documents Microsoft Office. Toutefois, des solutions de sécurité éprouvées, conçues pour détecter les tentatives d’attaque de manière systématique, permettent de prévenir de telles attaques et de protéger les utilisateurs. Il est également essentiel d’installer les mises à jour et les correctifs des logiciels à temps« , commentent les experts.

Cette tendance a persisté au cours de cette période, les cybercriminels ayant continué à s’appuyer sur d’anciennes vulnérabilités des logiciels Microsoft comme vecteurs d’attaque. La vulnérabilité qu’ils ont le plus exploitée est CVE-2018-0802, avec laquelle ils ont ciblé plus de 130 000 personnes. L’exploitation de cette vulnérabilité suit généralement le même schéma que la CVE-2017-11882 susmentionnée, impliquant une corruption de la mémoire pouvant permettre à l’attaquant de contrôler le système à l’aide d’un fichier spécialement conçu à cet effet.

Les vulnérabilités CVE-2010-2568, CVE-2017-0199 et CVE-2011-0105 figurent également sur la liste des exploits les plus fréquemment détectés au cours du deuxième trimestre. La première implique l’exécution de code via un fichier LNK spécifiquement développé pour ces opérations, tandis que les deux dernières sont liées à la suite Microsoft Office.

Cybersécurité, Securite informatique

Comment Google renforce la sécurité de ses collaborateurs en expérimentant l’exclusion d’Internet

Récemment, Google a annoncé une initiative audacieuse visant à réduire le nombre d’attaques sur ses collaborateurs en expérimentant une approche de sécurité innovante. L’entreprise souhaite exclure temporairement certains de ses employés d’Internet.

L’idée centrale derrière cette démarche est basée sur le concept bien connu de l »air gap’ (séparation physique). Ce concept a déjà fait ses preuves dans les milieux de la sécurité informatique en rendant les serveurs de sauvegarde moins vulnérables aux attaques. Lorsqu’un serveur est déconnecté d’Internet, il devient beaucoup plus difficile pour les agresseurs d’y accéder à distance, obligeant ainsi les pirates à se trouver physiquement près de l’ordinateur pour essayer de le compromettre. Mais comment cela se traduit-il lorsqu’il s’agit de collaborateurs travaillant au sein de la plus grande entreprise Internet au monde ?

Selon des documents internes relayés par le site d’information américain CNBC, Google est actuellement en train de mener une expérience ambitieuse impliquant environ 2 % de ses collaborateurs. Ces volontaires ont été choisis pour être exclus d’Internet pendant la durée de l’expérience. Cela signifie qu’ils ne peuvent pas accéder au World Wide Web et n’ont pas les privilèges root sur leurs ordinateurs. Le but ultime de cette démarche est de renforcer considérablement la sécurité des collaborateurs participants.

Des collaborateurs pas complètement déconnectés

Néanmoins, cette exclusion d’Internet ne signifie pas que les collaborateurs sont complètement déconnectés de tout support numérique. Google a pris soin de permettre l’utilisation de ses propres outils basés dans le nuage, ce qui permet aux employés de continuer à travailler de manière productive malgré l’absence d’accès à Internet. De plus, des exceptions ont été mises en place pour les collaborateurs qui ont un besoin impératif d’accéder à Internet dans le cadre de leurs tâches professionnelles.

Il est important de noter que Google a rapidement souligné sur Twitter que cette expérimentation ne deviendra pas une politique générale. Autrement dit, l’entreprise n’a pas l’intention de désactiver Internet pour l’ensemble de ses employés à l’avenir. Cependant, cette démarche est un exemple de l’approche proactive adoptée par Google pour renforcer la sécurité de ses infrastructures et de ses collaborateurs face à un paysage de cyber-menaces en constante évolution.

IOT, Mise à jour, Patch

ChatGPT devient idiot avec le temps

Une étude menée par des analystes de Stanford et de l’Université de Californie a révélé que les dernières versions des chatbots ChatGPT ont montré une détérioration de leurs performances au fil du temps.

Les chercheurs de les universités de Stanford et de Californie n’ont pas pu expliquer la raison de cette dégradation des capacités du réseau de neurones, mais il s’avère que ChatGPT devient idiot, avec le temps. L’expérience impliquait de demander à ChatGPT-3.5 et ChatGPT-4 de résoudre des problèmes mathématiques, de répondre à des questions sensibles, de rédiger du code informatique et de démontrer des compétences de raisonnement spatial avec des conseils.

En mars, la version la plus récente de l’IA pouvait identifier les nombres premiers avec une précision de 97,6 %, mais en juin, ce chiffre est tombé à 2,4 %. Pendant la même période, pourtant, le modèle de réseau neuronal antérieur avait amélioré ses performances. De même, lors de la génération de lignes de code identiques, les capacités des deux versions de ChatGPT se sont détériorées après quelques mois. En mars, l’ancien modèle fournissait des explications détaillées sur les raisons pour lesquelles il ne pouvait pas répondre à certaines questions sensibles, comme l’appartenance ethnique des personnes. Cependant, en juin, les deux versions du réseau de neurones se sont simplement excusées sans fournir d’explications.

Les experts ont recommandé aux utilisateurs et aux entreprises qui dépendent des services de chatbots basés sur des réseaux de neurones d’effectuer des analyses régulières pour s’assurer que les chatbots sont toujours à jour et ne racontent pas de bêtises.

Par ailleurs, en juillet, les développeurs de ChatGPT ont publié un nouveau plugin pour la version payante, permettant au chatbot d’analyser des données, de créer du code Python, de construire des graphiques et de résoudre des problèmes mathématiques.

Le chatbot a également été capable de réfuter scientifiquement la théorie de la « terre plate. (Etude)

Banque, Cybersécurité

Forge, filiale de Société Générale, obtient la licence de DASP

La filiale de la Société Générale, Forge, a obtenu une licence de fournisseur de services d’actifs numériques (DASP) de la part de l’Autorité des marchés financiers (AMF). L’obtention de cette licence place Forge en position avantageuse sur le marché des crypto-monnaies, offrant ainsi une nouvelle dimension à l’activité du conglomérat.

La licence permet à Forge de mener plusieurs activités essentielles sur le marché des crypto-monnaies, y compris la négociation, la détention, l’échange, la vente et l’achat de crypto-monnaies comme monnaie légale. L’approbation de cette nouvelle activité par l’AMF est une nouvelle majeure, non seulement pour Forge mais aussi pour ses clients institutionnels.

En effet, l’annonce de cette approbation arrive à un moment particulièrement opportun. Forge est en effet un acteur majeur dans le lancement d’un stablecoin Ethereum régulé et basé sur l’euro qui a vu le jour en avril 2023. Cette approbation par l’AMF est un jalon important dans le parcours de cette initiative.

Depuis l’introduction de nouvelles réglementations sur l’octroi de licences et l’enregistrement des entreprises de crypto-monnaie par les autorités françaises en mars 2023, 87 organisations se sont enregistrées auprès de l’AMF. Parmi ces organisations figurent des filiales de poids lourds de l’industrie tels que Binance, Bitstamp, Luno et Bitpanda. Forge est le premier à obtenir une licence de DASP.

Ces nouvelles règles, plus souples que celles précédemment proposées, établissent néanmoins des normes réglementaires plus élevées pour les fournisseurs de services cryptographiques. Par exemple, les entreprises sont tenues de fournir des informations claires sur les risques et de mettre en place une politique sur les conflits d’intérêts. Les entreprises déjà agréées par l’AMF pourront continuer à opérer jusqu’à la fin de la période de transition prévue jusqu’en 2026.

Il est important de rappeler qu’en décembre 2022, la Commission européenne a annoncé son intention d’obliger les fournisseurs d’actifs virtuels à transférer les données des clients aux autorités fiscales locales. Par ailleurs, en avril, l’AMF a commencé à accélérer l’examen des demandes des entreprises de cryptographie pour se conformer aux nouvelles règles paneuropéennes prévues par la loi MiCA.

Enfin, il convient de noter que d’autres acteurs importants du secteur ont également déposé une demande de statut DASP auprès de l’AMF. C’est le cas de Circle, co-émetteur de l’USDC, en mars, et de la bourse OKX en mai. La route vers une régulation accrue et une adoption plus large des crypto-monnaies est donc clairement en marche.

Cybersécurité, Téléphonie

Les logiciels espions Cytrox et Intellexa blacklistés par les USA

Le département du commerce US met sur liste noire les logiciels espions commercialisés par les entreprises Cytrox et Intellexa. Les utilisateurs sont dorénavant considérés comme étant dans l’illégalité.

L’une des méthodes du département du commerce américain, mais aussi de l’administration fiscale de l’Oncle Sam, est de mettre sur liste noire les entreprises et/ou leurs dirigeants. Bilan, les entreprises ne peuvent plus faire du business sur le sol des USA, mais aussi avec la moindre société américaine ou ayant des appointances avec les Etats-Unis d’Amérique. Par exemple, une banque travaillant avec une société blacklistée, et travaillant avec les USA, doit stopper son interaction avec le mouton noir au risque d’être poursuivi par les autorités étasuniennes.

Dans le nouveau cas repéré, la mise sur liste noire des sociétés Cytrox et Intellexa. Ces actions constituent la première initiative majeure sur les logiciels espions depuis que Biden a publié un décret exécutif restreignant l’utilisation par le gouvernement des logiciels de surveillance. Le département américain du Commerce a ajouté à sa liste noire commerciale les fournisseurs de logiciels espions Cytrox et Intellexa. Deux entreprises liées à des opérations d’espionnage de journalistes, d’hommes politiques et d’un dirigeant de Meta en Grèce. La raison invoquée pour l’inclusion sur la liste noire est « pour le trafic de cyber-exploits utilisés pour accéder aux systèmes d’information, menaçant ainsi la vie privée et la sécurité des individus et des organisations dans le monde entier« .

La liste complète des entités incluses est Intellexa SA basée en Grèce, Cytrox Holdings Zrt. en Hongrie, Intellexa Limited en Irlande et Cytrox AD en Macédoine du Nord.

Intellexa est connu pour son logiciel espion Android Predator qui a été décrit par les chercheurs comme l’un des logiciels espions les plus répandus après Pegasus de la société israélienne NSO. Cytrox a également été précédemment interdit par Meta pour des opérations de surveillance sur la plate-forme. Dans le cas de Meta [Facebook] 300 comptes liés à la société Black Cube, basée en Israël, ont été supprimés. Ils fonctionnaient comme des personnages fictifs pour établir des contacts avec des cibles. La société a supprimé des centaines de comptes appartenant à des sociétés connues sous le nom de Israel Cobwebs Technologies, Cognyte, Black Cube, Bluehawk CI, BellTroX (basée en Inde), Cytrox et une entité inconnue en Chine.

Pendant ce temps, sur Twitter

Trois comptes Twitter semblant être liés au gouvernement chinois ont été identifiés pour diffuser de la propagande auprès du public en Amérique latine. Les chercheurs de la société de cybersécurité Nisos ont publié une analys, indiquant que malgré les efforts précédents abandonnés par la société de médias sociaux pour étiqueter les médias d’État, ces comptes ont réussi à échapper à cette mesure.

Ces comptes Twitter transmettent des messages pro-Pékin au Paraguay, au Costa Rica, au Chili et au Brésil, et ils sont probablement liés au China News Service, une branche de propagande gouvernementale active dans le monde entier. Le réseau de comptes Twitter identifié fait partie d’un réseau plus large comprenant des comptes gouvernementaux chinois, des groupes de réflexion sino-latino-américains, des journalistes autoproclamés et d’autres acteurs diffusant des messages pro-chinois similaires.

Ces trois comptes Twitter ont été créés en juillet 2021 pour le plus ancien et en novembre 2021 pour les deux autres, à une époque où Twitter étiquetait encore les comptes affiliés à des États. Cependant, en avril 2023, Twitter a suspendu l’étiquetage de ces comptes suite à des critiques concernant la manière dont elle avait qualifié la National Public Radio de « média affilié à l’État« .

L’un des comptes connectés à ces trois comptes Twitter propose un lien vers une application qui, une fois téléchargée, recueille des informations personnellement identifiables auprès des utilisateurs. Ce compte demande également des autorisations à Twitter qui pourraient donner accès aux comptes des utilisateurs ainsi qu’aux comptes de médias sociaux chinois, Weibo et Weixin (WeChat).

Les chercheurs ont averti que cela pourrait permettre au gouvernement chinois de surveiller potentiellement les récits et d’obtenir des informations sur les dissidents résidant à l’étranger, une activité déjà signalée par des acteurs liés au gouvernement chinois par d’autres moyens.

Les chercheurs ont souligné que bien qu’ils ne puissent pas établir définitivement le lien entre ces comptes Twitter et le gouvernement chinois, les comptes identifiés font des efforts pour éviter de lier directement les utilisateurs au China News Service, qui est l’organisation médiatique chinoise liée à l’État d’où provient la majorité de leur contenu lié à la Chine.

Selon un rapport de juin 2020 d’Alex Joske, un chercheur du renseignement sino-australien, le China News Service est l’un des plus grands réseaux médiatiques du Parti communiste chinois, disposant de nombreux bureaux à l’étranger.

Ces opérations en Amérique latine font partie de l’avancée majeure de la Chine dans cette région au cours des deux dernières décennies, tant sur le plan économique que technologique. Le rapport indique que la Chine a renforcé ses liens militaires avec des pays comme le Venezuela, l’Argentine, la Bolivie, l’Équateur et le Pérou, tandis que Cuba a également cherché à renforcer ses liens militaires avec la Chine, comme en témoigne la présence présumée d’une base d’espionnage chinoise sur l’île.

La Chine chercherait à influencer les perceptions politiques et culturelles dans cette zone géographique, en particulier pour contrer les perceptions défavorables suite à la pandémie de COVID-19 présumée originaire de Chine.

Bien que les comptes Twitter identifiés (« hoy_paraguay », « hoy_chile » et « hoyCosta ») aient un nombre limité d’abonnés, le réseau implique également des diplomates et des ambassades chinois. De plus, ils sont suivis par un compte en portugais (« NmqbChinaNews ») qui se concentre sur les relations sino-brésiliennes.

Cyber-attaque, Cybersécurité, DDoS

Augmentation alarmante des cyber attaques DDoS

Cloudflare signale une « augmentation alarmante » de la sophistication DDoS, une escalade ces derniers mois. La guerre RussoUkrainienne n’y serait pas pour rien !

Les attaques utilisées pour rendre les sites Web et les services Web inaccessibles évoluent et deviennent de plus en plus préoccupantes, a déclaré la société Cloudflare. Le deuxième trimestre de 2023 a vu « une escalade alarmante dans la sophistication » des attaques par déni de service distribuées DDoS, affirme le fournisseur de solution web, soulignant une prolifération d’attaques numériques plus ciblées conçues pour perturber des sites Web et d’autres services connectés.

La société a déclaré dans son rapport sur les menaces du deuxième trimestre qu’elle avait suivi des milliers d’attaques lancées par un consortium de groupes hacktivistes pro-russes, une augmentation des attaques ciblées sur le système de noms de domaine et un 600 % d’augmentation des attaques DDoS sur les sites Web de crypto-monnaie.

Bien que les attaques DDoS soient parfois considérées comme peu sophistiquées et plus gênantes qu’autre chose, elles peuvent être très perturbatrices. « La récupération d’une attaque DDoS peut durer beaucoup plus longtemps que l’attaque elle-même – tout comme un boxeur peut avoir besoin d’un certain temps pour se remettre d’un coup de poing au visage qui ne dure qu’une fraction de seconde« , ont écrit Omer Yoachimik et Jorge Pacheco. Une intensité, en particulier concernant les menaces dans le contexte de la guerre russe contre l’Ukraine.

Les machines virtuelles basées sur le cloud et les serveurs privés virtuels permettent des attaques plus importantes dans le cadre d’une « nouvelle génération de botnets« . Ces nouveaux botnets sont capables de fournir des milliers de fois plus de trafic que les réseaux traditionnels. Pour rappel, en février, une telle attaque a produit la plus grande attaque DDoS jamais enregistrée.

Parmi les développements préoccupants au cours des trois derniers mois, figure l’augmentation de 15 % des attaques HTTP DDoS , qui ciblent les sites Web et les passerelles tierces vers ces sites, alors même que ce type d’attaque a diminué d’année en année.

« Il semble que les acteurs de la menace derrière ces attaques aient délibérément conçu les attaques pour essayer de surmonter les systèmes d’atténuation en imitant habilement le comportement du navigateur de manière très précise, dans certains cas, en introduisant un degré élevé de randomisation sur diverses propriétés telles que les agents utilisateurs et JA3 empreintes digitales pour n’en nommer que quelques-unes, ont écrit les auteurs. Dans bon nombre de ces attaques, il semble que les acteurs de la menace essaient de maintenir leur taux d’attaque par seconde relativement bas pour essayer d’éviter la détection et de se cacher parmi le trafic légitime.« 

Microsoft a subi une telle attaque début juin dans le cadre d’un assaut plus large contre l’entreprise attribué à un groupe qu’il appelle Storm-1359, ou plus largement Anonymous Sudan. Le groupe est affilié à plusieurs réseaux d’hacktivistes pro-russes, dont Killnet, UserSec, et pourrait lui-même être un produit direct ou un groupe travaillant en collaboration avec les intérêts du gouvernement russe.

Cybersécurité, Mise à jour

Des pirates Chinois font faire des économies aux clients de Microsoft Cloud

Microsoft a annoncé qu’il étendrait l’accès à un ensemble élargi de journaux de sécurité à davantage de clients sans frais supplémentaires. Cette décision fait suite aux révélations selon lesquelles des pirates basés en Chine ont exploité les vulnérabilités de l’infrastructure cloud de Microsoft pour accéder aux données de messagerie de plusieurs agences gouvernementales et fonctionnaires américains.

Les membres du personnel de sécurité du département d’État américain ont découvert une opération d’espionnage chinoise à la mi-juin 2023 en utilisant des journaux de données anormales disponibles uniquement dans le niveau premium du service Cloud de Microsoft. Une option « payante » qui a suscité des critiques sévères à l’égard de Microsoft de la part de responsables américains et d’experts en cybersécurité. La société facturait des frais supplémentaires pour ces fonctions de sécurité essentielles.

Pour remédier à cette situation, Microsoft a décidé de modifier ses prix et de fournir « l’accès à des journaux de sécurité cloud plus étendus pour tous nos clients dans le monde sans frais supplémentaires » à partir de septembre 2023. De plus, la durée de conservation des journaux par défaut sera désormais de 180 jours, contre 90 jours auparavant.

Bien que la Cybersecurity and Infrastructure Security Agency ait qualifié cette initiative de « pas en avant significatif vers l’avancement des principes de sécurité par la conception« , certaines critiques persistent. Le sénateur Ron Wyden a déclaré que le changement de prix n’était pas suffisant pour remédier aux violations passées, soulignant que Microsoft semblait privilégier la monétisation des produits complémentaires de cybersécurité plutôt que de fournir des systèmes sécurisés de base.

Malgré cela, Microsoft a souligné qu’il était en étroite collaboration avec la CISA (2)pour répondre aux besoins de sécurité en constante évolution du monde moderne. L’enquête sur l’opération de piratage en Chine se poursuit, alors que les autorités cherchent à comprendre comment une telle attaque sophistiquée a pu se produire.

Cybersécurité, Securite informatique

Une fuite de données inattendue pour VirusTotal

Une fuite de données inattendue a secoué le monde de la cybersécurité en juin dernier. Un fichier de clients VirusTotal s’est retrouvé accidentellement sur Internet, exposant une liste de 5 600 noms, parmi lesquels figuraient des employés des services secrets américains de la NSA et des services de renseignement allemands.

VirusTotal est essentiellement une immense base de données de logiciels malveillants. Les utilisateurs peuvent soumettre des fichiers suspects ou des liens vers des sites Web douteux, qui sont ensuite comparés aux bases de données de 70 fabricants d’antivirus pour détecter toute activité suspecte. Cela a permis la création d’une archive mondiale d’outils d’attaque numérique, une précieuse bibliothèque de codes malveillants. Cependant, cette plateforme n’est pas exempte de critiques, car elle peut potentiellement exposer involontairement des données confidentielles, comme l’a averti l’Office fédéral de la sécurité de l’information (BSI) l’année dernière.

Révélations troublantes sur la liste divulguée

La liste, 5 600 clients de VirusTotal, comprend des organismes gouvernementaux de premier plan tels que le Cyber Command américain, le FBI, le département américain de la Justice, la NSA ou encore le service de renseignement allemand MAD. De nombreuses entreprises allemandes sont également concernées, notamment la Deutsche Bahn, la Bundesbank, Allianz, BMW, Mercedes-Benz et Deutsche Telekom. Cette fuite suscite des inquiétudes quant à l’utilisation abusive des données pour l’ingénierie sociale et les attaques de phishing ciblées. Alertés, pas de doute que les « clients » concernés ont changé d’adresse électronique et redoublé de prudence.

Les implications de la fuite de données

Bien que les mots de passe ne soient pas affectés par cette fuite, la liste divulguée permet d’identifier les personnes en charge de la sécurité informatique et de la lutte contre les logiciels malveillants au sein des organisations concernées. Cela pourrait ouvrir la voie à des tentatives d’attaques ciblées contre ces individus. Ce qui rend cette fuite encore plus folle, c’est que VirusTotal appartient à Google. Cette situation soulève des questions sur la sécurité et le contrôle des données chez Google.

Google a rapidement supprimé la liste de la plateforme dès qu’ils ont été informés de la fuite. Ils se sont également engagés à améliorer leurs processus internes et leurs contrôles techniques pour éviter de tels incidents à l’avenir. Le BSI, tout en utilisant VirusTotal comme source d’informations, conseille aux autorités fédérales de ne pas télécharger de fichiers sur cette plateforme. Un courriel de 2022, temporairement retrouvé sur la plateforme de sécurité, montre l’importance de VirusTotal en termes de sécurité informatique et quelles informations critiques peuvent s’y retrouver. Dans ce mail, l’Association allemande pour l’ingénierie des machines et des installations (VDMA) a envoyé un lien vers un portail Web du ministère de l’Intérieur de Rhénanie-Palatinat en tant que service pour ses membres – avec le mot de passe associé.

D’autres entreprises touchées par la fuite, telles que Deutsche Telekom, ont également pris des mesures pour informer leurs employés et prévenir les éventuelles attaques.

backdoor, Cybersécurité, ID, Identité numérique

Threads : fausse application aux couleurs du Twitter de META

Le 5 juillet 2023, l’application Threads, concurrente directe de Twitter développée par Meta, a été lancée aux Etats-Unis et a atteint en quatre jours plus de 100 millions d’utilisateurs, dépassant de loin les précédents records établis par ChatGPT et TikTok. Son indisponibilité actuelle en Europe a encouragé des développeurs malveillants à créer une application jumelle portant quasiment le même nom « Threads for Insta » sur l’Apple Store.

Créée par l’entreprise SocialKit LTD, qui avait déjà créé une fausse application ChatGPT, l’application Threads for Insta reprend les codes graphiques d’Instagram, réseau social auquel la vraie application Threads est liée. Son logo ressemble fortement à celui d’Instagram et incite l’utilisateur à penser qu’il s’agit de l’application légitime. Cette application jumelle est déjà classée à la 5ème place en nombre de téléchargements sur l’Apple Store, et numéro 1 dans la rubrique des réseaux sociaux !

Autre information clé, l’application Threads for Insta indique utiliser de l’intelligence artificielle pour émettre des « threads » alors que l’application officielle ne propose pas cette fonctionnalité.

Quel danger pour les utilisateurs ?

Contrairement à la véritable application Threads, cette supercherie n’est pas gratuite : seule la période d’essai l’est et son utilisation, une fois celle-ci expirée, est payante. Si l’utilisateur n’annule pas son inscription, il sera facturé 2,99 euros par semaine, ou 29,99 euros par mois, ou bien 89,99 euros par an. Pour l’instant, aucune cyberattaque n’a été reportée suite à l’utilisation de cette application. Cependant, les utilisateurs doivent rester vigilants pour ne pas tomber dans le piège d’un hackeur.

Comment être sûr de télécharger la véritable application Threads ?

L’application n’est pour l’instant pas disponible en Europe et aucune date de sortie n’a été annoncée. Toute application dont le lancement a eu un fort impact médiatique est sujette à des tentatives d’usurpation à des fins commerciales (comme c’est le cas ici de Threads for Insta), de collection de données personnelles (revendues par la suite sur le darknet), ou dans le pire des cas, de vol de coordonnées bancaires ou d’informations permettant de lancer une campagne de phishing (ou hameçonnage, technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité).

« Afin de ne pas se faire piéger, l’utilisateur devra tout d’abord rechercher le site officiel de l’entreprise qui, lui, comportera un lien vers l’Apple Store pour effectuer le téléchargement de l’application. confirme à DataSecurityBreach.fr Cassie Leroux, Directrice Produit chez Mailinblack. Il pourra également vérifier assidûment le logo de l’application, les captures d’écran disponibles sur l’Apple Store, ainsi que les conditions générales de vente et d’utilisation.«