Archives quotidiennes :

Cybersécurité, Entreprise

BlueFiles : l’outil indispensable pour sécuriser vos transferts

Le service français Bluefiles s’arme de nouvelles options permettant de sécuriser vos transferts.

Dans le monde professionnel d’aujourd’hui, la sécurité des données et des communications électroniques est une préoccupation majeure. Il existe de nombreuses solutions apportant des solutions pour répondre à ce défi, renforçant la confidentialité et la sécurité des informations échangées. Il y a un an, ZATAZ nous faisait découvrir un outil étonnant, 100% français, offrant une solution de transfert de fichiers sécurisé : Bluefiles. J’utilise d’ailleurs cette solution pour transmettre et recevoir des documents en toute sécurité. Un an plus tard, retour sur l’évolution de cette solution venue du Sud de la France.

Simplicité d’usage et intégration transparente

BlueFiles se distingue par sa capacité à s’intégrer de manière fluide dans les routines quotidiennes, notamment en se greffant sur Microsoft Outlook grâce à un complément (AddIn). Cette intégration permet aux utilisateurs de continuer à composer leurs courriers électronique et joindre des fichiers comme ils le feraient habituellement, tout en offrant la possibilité de sécuriser les envois en un clic. Une nouveauté notable réside dans l’option laissée à l’utilisateur de choisir ou non de sécuriser chaque message envoyé, renforçant ainsi la flexibilité sans compromettre la sécurité. Il est toujours possible de blinder le transfert par un mot de passe et une auto destruction selon un timing prédéterminé.

Capacités étendues de transfert de fichiers

Dans sa dernière mise à jour, BlueFiles augmente la capacité de transfert de fichiers jusqu’à 2 Go en standard, répondant ainsi aux besoins croissants de partage de fichiers volumineux dans le cadre professionnel. L’outil introduit également un système d’accusés de réception, informant l’expéditeur dès que les destinataires accèdent aux données ou téléchargent les pièces jointes. Cette fonctionnalité renforce la traçabilité et assure une meilleure responsabilité dans la gestion des informations sensibles.

Comptes partagés et anonymisation

BlueFiles innove en proposant la mise en œuvre de comptes partagés, simulant le fonctionnement des boîtes électroniques de service, tout en garantissant une traçabilité nominative des actions réalisées à partir de ces comptes. Cette fonctionnalité favorise la continuité du service et une meilleure gestion des communications au sein des équipes. Une avancée particulièrement intéressante est la possibilité de créer et de publier des formulaires réglementaires sans nécessiter de compétences en programmation. Cette option simplifie considérablement les démarches administratives et réglementaires pour les entreprises.

Le Filigrane dynamique : une innovation marquante

Pour la diffusion de documents sensibles ou personnels, BlueFiles propose une liseuse PDF en ligne sécurisée. Cette innovation permet aux destinataires de consulter les documents directement dans leur navigateur sans devoir les télécharger, offrant ainsi une couche supplémentaire de protection. Enfin, BlueFiles introduit le concept du Filigrane dynamique, inspiré de l’intelligence Corse. Cette technologie permet d’insérer des informations personnelles spécifiques à chaque destinataire, telles que leur adresse IP ou leur adresse électronique, directement dans le filigrane du document. Cette approche sensibilise les destinataires à la confidentialité des informations reçues et renforce leur responsabilité individuelle, tout en facilitant l’identification de la source en cas de fuite de données.

Cybersécurité, escroquerie, Social engineering

Opération texonto : campagne de désinformation russophone

Mise à jour d’une nouvelle vaste campagne de désinformation psychologique déployée via des courriels, visant à influencer l’opinion publique ukrainienne par la diffusion de fausses informations suggérant que la Russie prenait l’avantage dans le conflit.

Lancés en deux temps, en novembre puis fin décembre 2023, ces courriers électroniques propageaient des messages sur les coupures de chauffage, les manques de médicaments, et les pénuries de nourriture, reprenant les thèmes récurrents de la propagande russe. En outre, en octobre 2023, la société ESET a découvert une attaque par hameçonnage ciblant une entreprise de défense ukrainienne, suivie en novembre par une attaque similaire visant une agence de l’UE, utilisant de fausses pages de connexion Microsoft dans le but de dérober des identifiants de connexion à Microsoft Office 365. La similarité des infrastructures réseau utilisées pour ces différentes campagnes permet de les associer avec une grande certitude.

Avec le conflit en cours en Ukraine, des groupes pro-russes comme Sandworm se sont illustrés par des attaques visant à saboter l’infrastructure informatique ukrainienne au moyen de logiciels destructeurs. Ces derniers temps, une intensification des activités de cyber espionnage a été notée, notamment de la part du groupe Gamaredon, tristement célèbre. L’opération Texonto illustre un tournant dans l’utilisation des technologies numériques pour influencer le cours de la guerre. A noter que certains groupes, comme Killnet, se sont rabattus sur leur business de base, les fraudes bancaires. D’autres groupes sont apparus, comme NighMare, sans vraiment afficher une efficacité militaire et étatique.

L’association inhabituelle d’espionnage, de manipulation de l’information et de faux messages médicaux rappelle les agissements de Callisto, un groupe de cyberespionnage aligné sur la Russie, dont deux membres ont été inculpés le 7 décembre 2023 par le département américain de la Justice. Bien que Callisto soit connu pour cibler des fonctionnaires gouvernementaux et des organisations militaires via des sites d’hameçonnage, aucune connexion technique directe n’a été établie entre Texonto et Callisto. Néanmoins, en raison des méthodes, cibles, et messages diffusés, Texonto est attribué avec une haute confiance à un groupe soutenu par la Russie.

Les enquêteurs ont observé la réutilisation d’un serveur de messagerie par les assaillants, initialement pour les opérations de désinformation, puis pour envoyer des spams typiques des pharmacies canadiennes, une pratique courante au sein de la communauté cybercriminelle russe. D’autres investigations ont révélé des domaines liés à l’opération Texonto et à des affaires internes russes, comme le cas d’Alexeï Navalny, opposant russe emprisonné décédé le 16 février 2024, suggérant des tentatives de cibler des dissidents russes et les partisans de Navalny.

La première salve d’emails visait à instiller le doute chez les Ukrainiens avec des messages préoccupants sur le chauffage ou des manques de médicaments, sans inclure de liens malveillants, se concentrant purement sur la désinformation. Un domaine imitant le ministère ukrainien de la Politique agricole proposait des remèdes à base de plantes en remplacement des médicaments et suggérait des recettes improbables comme du « risotto au pigeon ».

Un mois plus tard, une seconde vague d’emails a été lancée, ciblant non seulement les Ukrainiens mais aussi des citoyens d’autres pays européens, avec des messages plus sinistres incitant à des mutilations pour échapper à la conscription. Cette campagne reflète les tactiques de guerre psychologique utilisées dans les conflits.

cyberattaque, Entreprise

Santé : impossible de distribuer des médicaments à la suite d’une cyber attaque

Les opérateurs du ransomware « Blackcat » ont été identifiés comme responsables de la récente panne chez Change Healthcare, une division technologique du groupe UnitedHealth spécialisée dans le traitement des réclamations d’assurance et des paiements dans le secteur de la santé aux États-Unis. Cette cyberattaque a entraîné une perturbation nationale, interrompant la distribution des médicaments sur ordonnance pendant une durée de six jours.

Notre quotidien repose fortement sur la fiabilité des chaînes d’approvisionnement. Des attaques d’envergure comme celles qui ont touché Colonial Pipeline ou MoveIT, ainsi que celles visant des prestataires de services IT tels que Kaseya et Materna, démontrent, quelle que soit leur ampleur ou leur secteur, l’importance cruciale d’adopter une démarche collective pour renforcer la cyber-résilience des services essentiels tels que la santé, l’énergie, l’eau et les transports.

L’impact en cascade d’une compromission au sein de la chaîne d’approvisionnement [La Supply chain] peut être catastrophique. La cyber-résilience est la capacité de maintenir des opérations attendues face à des incidents cybernétiques, et pour les infrastructures essentielles, cela inclut la gestion des incidents externes.

Les entités appartenant aux infrastructures vitales doivent s’assurer qu’elles sont préparées à continuer leurs opérations malgré une attaque et évaluer régulièrement les risques liés à leur chaîne d’approvisionnement. Il est crucial d’analyser et de réévaluer les dépendances tierces. Notamment, un plan de réponse aux incidents devrait prévoir des actions à entreprendre en cas d’indisponibilité ou d’attaque externe affectant la supply chain.

Si une dépendance est critique, il est vital pour les équipes IT de consulter leurs homologues sur leurs pratiques pour assurer la continuité des opérations dans de telles situations. Ce dialogue ouvre la voie à des discussions plus poussées sur l’amélioration de la résilience globale des infrastructures critiques.

Une cyberattaque contre une organisation peut compromettre la capacité d’une autre à traiter ses données. La compromission d’une identité privilégiée dans une entreprise peut provoquer des incidents dans une autre. Les capacités à s’adapter, à anticiper et à récupérer – éléments clés de la résilience – doivent être envisagées au-delà des limites d’une seule entreprise, en identifiant et en gérant les dépendances externes. »

Le cas c’est vue aussi, dernièrement, quand Bank America a été obligé d’alerter ses clients à la suite d’une fuite de données chez son prestataire IMS. Bank of America est l’une des plus grandes banques des États-Unis avec 69 millions de clients aux États-Unis et dans plus de 35 pays à travers le monde. Selon des documents fournis au procureur général du Texas, des informations personnelles sur des clients ont été divulguées, notamment leurs noms, adresses, numéros de sécurité sociale, dates de naissance, ainsi que des données financières, notamment des numéros de compte et de carte bancaire. 57 028 clients auraient été impactés début novembre 2023.

« Il est peu probable que nous soyons en mesure de déterminer avec certitude quelles informations personnelles ont été consultées à la suite de cet incident. » indiquait alors IMS ! IMS avait été bloqué par Lockbit, le 4 novembre 2023, affichant la prise d’otage de plus de 2 000 systèmes de l’entreprise. [Avec Reuters]

Chiffrement, Cybersécurité, VPN

VPN : un bug permettait de connaitre les sites web visités

L’équipe derrière le VPN ExpressVPN a émis un avertissement concernant la nécessité de retirer la fonctionnalité de split tunneling de leur logiciel. Cette décision a été prise après la découverte d’un défaut lié à cette option, lequel exposait les noms de domaines consultés par les utilisateurs.

Février 2024, un défaut a été identifié par les experts de CNET et concernait uniquement les versions de l’application ExpressVPN pour Windows (de la version 12.23.1 à la 12.72.0) distribuées entre le 19 mai 2022 et le 7 février 2024. Le problème se manifestait exclusivement chez les utilisateurs activant le split tunneling, une fonction permettant de diriger une partie du trafic internet soit via le VPN, soit en dehors, facilitant ainsi un accès local sécurisé. À cause de cette faille, les requêtes DNS des utilisateurs bypassaient l’infrastructure sécurisée d’ExpressVPN pour être redirigées vers les serveurs DNS du fournisseur d’accès internet (FAI) de l’utilisateur.

Normalement, les requêtes DNS transitent par les serveurs d’ExpressVPN empêchant les Fournisseurs d’Accès à Internet et autres entités de suivre les activités en ligne des utilisateurs. Toutefois, ce bug a conduit certaines de ces requêtes vers les serveurs DNS par défaut du système de l’utilisateur (généralement ceux du FAI), permettant ainsi de détecter les sites web consultés par l’utilisateur. Les clients sous Windows et ayant activé le split tunneling rendaient leur historique de navigation accessible. Gênant !

« Ce défaut redirigeait certaines requêtes DNS vers un serveur externe, généralement celui du FAI. Cela donnait au FAI la possibilité de connaître les domaines consultés par l’utilisateur, comme google.com, sans toutefois pouvoir accéder aux pages spécifiques, aux requêtes de recherche ou à d’autres activités en ligne. L’intégralité du trafic internet de l’utilisateur restait cryptée, rendant son contenu invisible au FAI ou à toute autre partie externe« , ont expliqué les développeurs d’ExpressVPN.

Ce problème n’aurait touché qu’environ 1 % des utilisateurs Windows et qu’il avait été observé uniquement en mode split tunneling.

Les utilisateurs ont été invités à mettre à jour leur logiciel vers la version la plus récente.

Cybersécurité, Phishing

Tendances des campagnes de phishing : les pirates aiment le mardi !

Dans le paysage évolutif de la cybersécurité, des chercheurs ont miss en évidence des tendances dans le comportement des cybercriminels, en particulier en ce qui concerne les campagnes de phishing par courrier électronique.

Des spécialistes ont identifié les tendances dominantes dans le domaine des campagnes de phishing par email pour l’année 2023. Ils ont observé que le mardi est devenu le jour favori des cybercriminels pour lancer des attaques de phishing, avec un constat que près de 98 % des malwares identifiés dans ces emails étaient dissimulés dans des pièces jointes, majoritairement sous forme d’archives .rar et .zip.

L’analyse révèle que le début de semaine, et particulièrement le mardi avec 19,7 % du volume total d’emails malveillants, est le moment choisi par les attaquants pour intensifier l’envoi d’emails de phishing. Le volume d’envois diminue progressivement après le mercredi, atteignant son niveau le plus bas le dimanche avec seulement 7,1 % des emails malveillants envoyés.

Les pièces jointes restent le vecteur principal de transmission de malwares, présentes dans 98 % des cas. En revanche, l’utilisation d’emails contenant des liens malveillants est en légère réduction, représentant un peu plus de 1,5 % des cas l’année dernière. Ceci est expliqué par le fait que télécharger un malware depuis un site externe ajoute une étape visible supplémentaire qui peut être détectée par les dispositifs de sécurité classiques.

La taille des pièces jointes malveillantes varie, mais celles pesant entre 512 Ko et 1 Mo sont les plus courantes, représentant plus de 36 % des envois de phishing. Les formats d’archive .rar, .zip et .z sont les plus utilisés pour regrouper les malwares, contenant principalement des fichiers exécutables au format PE.

On note également une baisse de l’utilisation des documents bureautiques comme vecteurs de malwares, avec une diminution notable de la part des fichiers au format .xls et .doc, ce qui suggère une diminution de l’efficacité de cette méthode due à l’amélioration des mesures de sécurité de Microsoft Office.

Parmi les malwares les plus fréquemment trouvés dans les emails malveillants de 2023, on retrouve le logiciel espion Agent Tesla, ainsi que les malwares de type FormBookFormgrabber et Loki PWS.

Une évolution qui apparait aussi dans la qualité des courriels piégés, qui exploitaient auparavant des sujets d’actualité et étaient le fait de cybercriminels professionnels ou de groupes sophistiqués. Des courriers électroniques de plus en plus conçus pour voler des données pouvant être vendues ou utilisées dans le cadre d’attaques ciblées contre des organisations.

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.