Archives quotidiennes :

backdoor, Cybersécurité, Téléphonie

LE PARLEMENT EUROPÉEN CRITIQUE L’INACTION SUR LES LOGICIELS ESPIONS

Dans une résolution adoptée majoritairement (424 voix pour, 108 contre, et 23 abstentions), les législateurs ont ouvertement critiqué la Commission européenne pour son manque d’action contre les abus liés aux logiciels espions. Cette démarche intervient dans un contexte de plus en plus inquiet concernant la surveillance numérique au sein de l’Union Européenne (UE).

Le vote est le fruit d’un examen minutieux mené par la Commission d’enquête sur l’utilisation de Pegasus et d’autres logiciels espions de surveillance (PEGA). Cette enquête parlementaire a révélé des pratiques alarmantes d’abus de surveillance par des acteurs étatiques.

Une réponse timide de la commission

La Commission a initialement argumenté qu’elle ne pouvait empiéter sur les responsabilités de sécurité des États membres. Sophie In’t Veld, rapporteure de PEGA, a critiqué cette position, soulignant que les autorités nationales étaient elles-mêmes impliquées dans ces abus. Face à l’ampleur du problème, une association d’organisations de défense des libertés civiles et des droits de l’homme plaide pour une interdiction totale des logiciels espions dans l’UE. Les députés envisagent de lancer une deuxième enquête en 2023 pour approfondir cette question.

Des mesures pour protéger les journalistes

En septembre dernier, la Commission a proposé une législation visant à protéger les journalistes contre le ciblage par des logiciels espions. Toutefois, cette initiative fait face à de vives contestations du Conseil européen, qui cherche à réduire le niveau de protection des journalistes. Le Conseil européen a émis une position de négociation qui pourrait limiter la capacité de la Cour de justice de l’UE d’intervenir contre les États membres accusés d’espionner des journalistes.

Cette loi, en cours de négociation, est critiquée par des groupes de la société civile, qui la considèrent comme trop « édulcorée » pour être efficace.

Cybersécurité, loi

L’AUSTRALIE REVISE SA STRATÉGIE CYBERSÉCURITÉ SANS INTERDIRE LES PAIEMENTS DE RANÇONS

Le gouvernement australien a choisi de ne pas interdire les paiements de rançon dans le cadre de sa nouvelle stratégie nationale de cybersécurité, contrairement à ce qui avait été initialement envisagé.

Annoncée il y a quelques jours, la nouvelle stratégie de l’Australie face aux rançongiciels met l’accent sur une obligation de déclaration obligatoire des incidents de ransomware. L’idée, tout comme en France ou encore aux USA, alerter les autorités et ne rien cacher des infiltrations liées à une cyberattaque, dont les ransomwares. Bilan, le gouvernement australien ne souhaite plus interdire le paiement de rançon, mais contrôler au mieux.

Cette révision stratégique, dévoilée presque un an après que la ministre de l’Intérieur et de la Cybersécurité, Clare O’Neil, ait proposé de criminaliser les paiements de rançon, fait suite à plusieurs incidents majeurs affectant des entreprises australiennes. Dotée d’un budget de 587 millions de dollars australiens sur sept ans, soit plus de 350 millions d’euros, cette stratégie vise à atténuer l’impact des ransomwares, estimé à 3 milliards de dollars australiens de dommages annuels [1,8 milliard d’euros] pour l’économie du pays.

Le gouvernement australien va donc introduire une obligation pour les entreprises de signaler les attaques de ransomware. Cette mesure vise à combler le manque d’informations sur l’impact réel de ces incidents sur l’économie nationale. Le gouvernement envisage de partager des rapports anonymisés sur les tendances des ransomwares et de la cyberextorsion avec l’industrie et la communauté pour renforcer la résilience nationale contre la cybercriminalité.

L’attaque contre Medibank, l’un des plus grands fournisseurs d’assurance maladie du pays, est l’un des incidents les plus médiatisés, ayant abouti à la publication en ligne de données sensibles sur environ 480 000 personnes. O’Neil a exprimé sa préférence pour une interdiction totale des paiements de rançon afin de saper le modèle économique des cybercriminels, mais a reconnu que ce n’était pas le bon moment pour une telle mesure. Le gouvernement reconsidérera cette possibilité dans deux ans. En réponse aux attaques, le gouvernement australien a lancé l’Opération Aquila, une collaboration entre la police fédérale australienne et l’agence nationale de cyber-intelligence, pour combattre la cybercriminalité en utilisant des capacités offensives.

Parallèlement, le projet REDSPICE bénéficiera d’un financement accru pour renforcer les cybercapacités offensives du pays. Ces capacités resteront confidentielles. L’Australie, comme de nombreux autres pays, s’est engagée à ne pas payer de rançons en cas d’attaque de ses réseaux. Une annonce faîte, en novembre 2023, lors de la réunion spéciale « Ransomware » organisée par la Maison Blanche.

backdoor, Cybersécurité, Espionnae

APPLE AVERTIT LES ARMÉNIENS DE TENTATIVES DE PIRATAGE SOUTENUES PAR L’ÉTAT

Récemment, Apple a envoyé des alertes à ses clients en Arménie, les informant que leurs téléphones sont ciblés par des pirates informatiques soutenus par un État.

Le logiciel d’espionnage Pegasus est-il caché derrière l’alerte lancée par Apple, au début du mois de novembre, à l’encontre de plusieurs personnalités Arméniennes ? CyberHUB, une organisation arménienne de droits numériques qui enquête sur ces incidents, a observé une augmentation constante des infections par logiciels espions dans le pays au cours des deux dernières années. De nombreuses infections seraient liées au gouvernement azerbaïdjanais, connu pour son histoire conflictuelle avec l’Arménie, en particulier concernant la région contestée du Haut-Karabakh.

« Dans le cas de l’Arménie, ces avertissements signifient que le téléphone a été infecté par le logiciel espion Pegasus« , a déclaré Samvel Martirosyan, co-fondateur de CyberHUB, faisant référence à l’outil de surveillance développé par la firme israélienne NSO Group et vendu à des gouvernements du monde entier. NSO Group qui a demandé, il y a quelques jours, une demande de réunion avec la Maison Blanche pour expliquer l’importance de son outil lors du conflit entre Israël et le Hamas. Une entrevue, demandée par l’avocat de l’entreprise, qui indique d’ailleurs un élément important : le gouvernement israélien semble cautionner et utiliser Pegasus.

Bien qu’Apple n’ait pas précisé le logiciel espion utilisé ni identifié les responsables du piratage, il existe certaines preuves que la dernière vague d’infections a utilisé Pegasus, selon Natalia Krapiva, conseillère juridique et technologique chez Access Now, une organisation à but non lucratif pour les droits numériques. Cependant, elle souligne qu’il est difficile de le savoir avec certitude tant que l’enquête est en cours. Martirosyan a indiqué que le logiciel espion a probablement été installé sur ordre du gouvernement azerbaïdjanais. Pendant la guerre entre l’Arménie et l’Azerbaïdjan en 2020, le logiciel espion Pegasus a été utilisé pour cibler des journalistes, des militants, des fonctionnaires gouvernementaux et des civils arméniens. Bien que l’identité des pirates derrière ces attaques reste floue, des chercheurs suggèrent que l’Azerbaïdjan est l’un des suspects potentiels.

Le Citizen Lab de l’Université de Toronto a identifié au moins deux opérateurs présumés de Pegasus en Azerbaïdjan qui ont ciblé des individus à l’intérieur comme à l’extérieur du pays. Krapiva est également d’avis que « le suspect probable est l’Azerbaïdjan », en raison de son histoire avec Pegasus et de ses liens étroits avec Israël. Les tensions entre l’Arménie et l’Azerbaïdjan sont élevées et ont atteint un point critique en septembre lorsque l’Azerbaïdjan a lancé une offensive militaire à grande échelle au Haut-Karabakh, violant ainsi un accord de cessez-le-feu de 2020.

CyberHUB, qui enquête sur les infections par Pegasus depuis deux ans, a signalé que le nombre de piratages augmente en Arménie. Cependant, l’étendue réelle de ces piratages est difficile à déterminer, car de nombreuses victimes préfèrent ne pas rendre leurs cas publics, selon Krapiva. Elle ajoute que les utilisateurs d’Android ne reçoivent pas du tout de telles notifications. La plupart des infections surviennent lors d’escalades entre l’Arménie et l’Azerbaïdjan. Les cibles en Arménie ont inclus des politiciens de haut rang, des représentants de la société civile, des militants, des journalistes et des rédacteurs.

En septembre, l’Assemblée parlementaire du Conseil de l’Europe a qualifié l’utilisation du logiciel espion Pegasus par plusieurs pays de la région de potentiellement illégale.

Précision : Une version précédente de cet article indiquait que Pegasus avait été utilisé pour cibler des militants en Russie — il a en fait été spécifiquement utilisé contre une journaliste russe lors de son voyage en Allemagne, et elle a reçu la notification en Lettonie.

Cybersécurité, Mise à jour, Patch

L’EXPLOIT PERMETTANT DE CONTOURNER WINDOWS DEFENDER SMARTSCREEN DIVULGUÉ

Le code d’exploitation de démonstration (preuve de concept, PoC) d’une vulnérabilité critique dans Windows Defender a été rendu public.

Cette vulnérabilité, identifiée sous le nom de CVE-2023-36025, permet aux pirates informatiques de contourner efficacement la fonction de sécurité SmartScreen de Windows. Autant dire que cela risque de devenir un sérieux problème si vous n’avez pas encore mis en place le patch qui corrige cette faille.

Microsoft, conscient de l’urgence, a répondu rapidement en déployant un correctif dans sa mise à jour de novembre. Cependant, il est alarmant de constater que, avant même la publication de ce correctif, la vulnérabilité CVE-2023-36025 était déjà exploitée activement dans des cyberattaques, lui conférant ainsi le statut redouté de vulnérabilité « zero-day« .

L’exploit zero-day en question permet aux attaquants d’insérer du code malveillant en déjouant les contrôles de Windows Defender SmartScreen, sans déclencher d’alertes de sécurité. Le vecteur d’attaque implique l’utilisation de raccourcis Web (.url) spécialement conçus ou de liens vers de tels fichiers, nécessitant la participation active de la victime, souvent par le biais de clics imprudents. Un hameçonnage [du Social Engineering via un phishing] aux couleurs de votre entreprise par exemple !

Les systèmes affectés incluent Windows 10, Windows 11 et Windows Server 2008, avec une mention particulière dans l’ensemble de correctifs de novembre en raison de sa haute priorité. Le PoC récemment publié est en soi un simple fichier de raccourci Internet, mais représente un outil puissant pour exploiter la faille CVE-2023-36025. Le spécialiste à l’origine de cette publication met en garde : « Bien que ce fichier .URL conduise à un site malveillant, il peut être déguisé en raccourci inoffensif. Les attaquants peuvent distribuer un tel fichier via des e-mails de phishing ou des ressources Web compromises.« 

L’exploitation de cette vulnérabilité pourrait ouvrir la voie à une distribution massive de logiciels malveillants, des attaques de phishing réussies et diverses autres cybermenaces comme un rançongiciel [ransomware].