Archives quotidiennes :

Cybersécurité, IA

DeepSeek : 12 000 Clés API Exposées — L’IA, nouvelle faille de sécurité ?

Une récente analyse a révélé qu’environ 12 000 clés API, mots de passe et jetons d’authentification ont été accidentellement exposés lors de l’entraînement du modèle d’IA de DeepSeek sur des données accessibles en ligne. Cette fuite met en évidence les risques liés à l’utilisation de données publiques pour l’entraînement des modèles d’intelligence artificielle (IA).

Une fuite de grande ampleur

L’incident concerne un jeu de données issu de Common Crawl, une bibliothèque publique qui archive des copies de pages web du monde entier. En décembre 2024, une analyse de ce jeu de données, représentant 400 téraoctets et comprenant 47,5 millions de sites et 2,67 milliards de pages, a permis d’identifier une quantité alarmante d’informations sensibles.

Les chercheurs ont découvert près de 12 000 clés API et informations d’authentification valides. Ces clés donnaient accès à des services critiques comme Amazon Web Services (AWS), Slack et Mailchimp. Une partie des informations trouvées était directement intégrée dans le code source des pages HTML, exposée sans aucune protection.

Un cas frappant concerne une clé API de WalkScore, retrouvée 57 029 fois sur 1 871 sous-domaines différents. Cette diffusion massive d’une seule clé démontre le manque de contrôle dans la gestion des informations sensibles par certaines entreprises.

Une mauvaise gestion des clés API

L’analyse a montré que 63 % des clés d’accès étaient réutilisées dans plusieurs environnements, augmentant considérablement le risque d’attaques en cascade. Si une clé compromise est utilisée sur plusieurs services, un attaquant pourrait exploiter cette faille pour pénétrer plusieurs systèmes simultanément.

Le cas de Mailchimp est particulièrement préoccupant : plus de 1 500 clés API ont été retrouvées dans le jeu de données, directement accessibles dans le code côté client. Une clé Mailchimp exposée pourrait permettre à un pirate d’envoyer des emails de phishing depuis le compte légitime d’une entreprise, augmentant ainsi le taux de réussite des attaques.

Certaines pages web contenaient même des informations de connexion root (administrateur), offrant potentiellement à un attaquant un contrôle total sur le système cible. Une telle situation pourrait entraîner des conséquences dévastatrices, comme la perte de contrôle d’une infrastructure critique.

Le problème structurel de l’entraînement des modèles d’IA

Ce type de fuite met en lumière une faille structurelle dans le développement des modèles d’IA. Les modèles comme DeepSeek sont entraînés sur de vastes ensembles de données issues d’internet, incluant des bases de code, des forums de développeurs et des bases de données publiques. Ces ensembles de données contiennent souvent, par négligence, des informations sensibles comme des clés API ou des mots de passe.

Lorsque ces modèles sont entraînés sur des données contenant des failles de sécurité, ils peuvent reproduire ces vulnérabilités dans le code généré. Certains modèles de langage, comme GitHub Copilot, sont capables de suggérer des clés API ou des mots de passe dans le code généré, simplement parce qu’ils ont été entraînés sur des données comportant ce type d’information.

Cette capacité des modèles d’IA à « imiter » les failles de sécurité pose un défi majeur. Si un modèle reproduit ces vulnérabilités dans un code déployé en production, le risque de voir des attaques ciblées se multiplier devient réel.

Un risque de propagation des failles

L’absorption de données vulnérables par des modèles d’IA soulève le risque d’une propagation des failles à grande échelle. Si un modèle d’IA intègre des clés API ou des mots de passe dans le code qu’il génère, les conséquences pourraient être catastrophiques. Un attaquant pourrait alors exploiter ce code vulnérable pour infiltrer plusieurs systèmes, ouvrant la voie à des attaques en cascade.

Un modèle d’IA entraîné sur des données contenant des failles pourrait également influencer les développeurs à adopter des pratiques risquées, simplement en générant du code qui reproduit ces vulnérabilités.

Cyber-attaque, Cybersécurité

Sécurité électorale : le rôle de la CISA fragilisé par le retrait du soutien fédéral

La CISA a terminé son examen interne sur la sécurité électorale, mais refuse de rendre ses conclusions publiques. Cette décision suscite des inquiétudes parmi les responsables locaux qui craignent une fragilisation des infrastructures électorales face aux cybermenaces.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé un examen interne sur la sécurité électorale. Cependant, elle a décidé de ne pas publier les résultats, invoquant la nature confidentielle du document. Cette décision intervient dans un contexte de tension croissante, alors que le ministère de la Sécurité intérieure (DHS) a récemment mis fin au financement du Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), géré par le Center for Internet Security (CIS). Cette coupure budgétaire prive de nombreux États et collectivités locales de services essentiels en matière de cybersécurité, augmentant ainsi leur vulnérabilité face aux menaces potentielles. Les responsables électoraux locaux s’inquiètent du manque de soutien fédéral à l’approche des prochaines élections, ce qui pourrait compromettre la sécurité et l’intégrité du processus démocratique.

L’Agence de cybersécurité et de sécurité des infrastructures (CISA) a récemment terminé une évaluation interne sur la sécurité électorale, mais a choisi de ne pas en dévoiler les conclusions. Cette décision, confirmée cette semaine par un porte-parole de l’agence, soulève des inquiétudes profondes chez les responsables électoraux à travers le pays. Alors que le paysage électoral américain est marqué par une augmentation constante des menaces cybernétiques, la décision de la CISA de conserver cette évaluation comme un document confidentiel est perçue par beaucoup comme un manque de transparence qui pourrait affaiblir la capacité des juridictions locales à se défendre contre d’éventuelles attaques.

Un porte-parole de la CISA a déclaré que ce rapport est destiné à orienter les futures stratégies de l’agence en matière de protection des infrastructures critiques, mais qu’il ne sera pas rendu public. Cette déclaration a immédiatement suscité une réaction de la part des responsables électoraux et des experts en cybersécurité, qui estiment que le manque de transparence pourrait avoir des conséquences graves à l’approche des élections.

Tim Harper, analyste politique senior pour le Centre pour la démocratie et la technologie, a critiqué cette décision en affirmant que sans un accès clair aux résultats de cette évaluation, les responsables électoraux ne sauront pas quelles menaces spécifiques sont susceptibles de peser sur eux ni quelles stratégies de défense adopter. Selon lui, la CISA joue un rôle central dans la protection du processus démocratique, et le fait de priver les administrations locales d’informations cruciales pourrait nuire à la sécurité globale des élections.

La décision de la CISA de garder ces conclusions secrètes intervient dans un contexte particulièrement délicat. Les menaces contre les infrastructures électorales ont augmenté de manière significative au cours des quatre dernières années, avec une multiplication des cyberattaques, des campagnes de désinformation et des tentatives d’influence étrangère. Les juridictions locales, qui manquent souvent de ressources techniques et de personnel spécialisé, comptaient sur l’expertise et le soutien logistique de la CISA pour combler ces lacunes. Cette absence de transparence risque de creuser un fossé supplémentaire entre le gouvernement fédéral et les administrations locales, alors que la coopération entre ces deux niveaux est cruciale pour assurer la sécurité du processus électoral.

Le retrait du soutien fédéral au CIS met en péril la sécurité des élections

La fin de la coopération entre le ministère de la Sécurité intérieure (DHS) et le Center for Internet Security (CIS) a accentué la vulnérabilité des infrastructures électorales. Le CIS gérait jusqu’ici le Centre d’analyse et de partage d’informations sur l’infrastructure électorale (EI-ISAC), un programme essentiel de surveillance et de réponse aux cyberattaques. Depuis sa création en 2018, l’EI-ISAC fournissait un soutien technique de premier plan aux juridictions électorales locales, notamment grâce à la mise en place des capteurs Albert, des dispositifs capables de détecter les tentatives d’intrusion en temps réel.

La décision du DHS de mettre fin au financement du CIS a été officialisée dans une note interne datée du 14 février. Selon ce document, le département estimait que l’EI-ISAC ne correspondait plus aux objectifs stratégiques du DHS. Cette rupture de financement a eu un effet immédiat : la majorité des États sont désormais interdits, pour des raisons légales, de continuer à utiliser les services de l’EI-ISAC. Cette situation place les autorités locales dans une position délicate, les obligeant à chercher des solutions alternatives souvent plus coûteuses et moins fiables.

Scott McDonell, greffier du comté de Dane dans le Wisconsin, a exprimé sa frustration face à cette situation. Il a expliqué que son comté s’appuyait fortement sur le capteur Albert fourni par le CIS pour surveiller son réseau informatique en continu. Ce dispositif permettait de détecter immédiatement toute tentative d’intrusion et de lancer une réponse rapide pour limiter les dégâts. Désormais privé de ce soutien, McDonell envisage de faire appel à un fournisseur privé pour remplacer le capteur Albert, mais le coût de cette alternative représente un défi budgétaire majeur.

Le problème ne se limite pas à la cybersécurité. Le CIS fournissait également une assistance technique précieuse aux responsables électoraux, en organisant des sessions de formation et en partageant des renseignements actualisés sur les menaces en cours. Wesley Wilcox, superviseur des élections dans le comté de Marion en Floride, a rappelé que l’EI-ISAC jouait un rôle essentiel en créant une « salle de situation » qui permettait de coordonner la réponse des différentes juridictions en cas d’attaque à grande échelle. La fin de ce soutien stratégique laisse un vide difficile à combler, surtout à l’approche des élections.

Ce retrait du soutien fédéral risque également d’exacerber les inégalités entre les juridictions électorales. Les grandes villes et les États les mieux financés pourront sans doute trouver des solutions alternatives, mais les comtés ruraux et les petites municipalités, qui dépendent largement de l’aide fédérale, risquent de se retrouver sans défense face à une menace grandissante. Le modèle de sécurité électorale américain, basé sur une coopération entre le gouvernement fédéral et les administrations locales, est désormais remis en question.

Une situation critique à l’approche des élections ?

La perte de soutien fédéral survient à un moment particulièrement critique. Les menaces pesant sur les infrastructures électorales américaines sont en constante évolution. Les cyberattaques sont de plus en plus sophistiquées et ciblées. Les services de renseignement américains ont déjà signalé une augmentation des tentatives d’ingérence étrangère dans le processus électoral, et les attaques par rançongiciel contre les systèmes informatiques locaux sont devenues monnaie courante.

L’absence de soutien fédéral pourrait également nuire à la capacité des juridictions locales à répondre efficacement aux menaces physiques. La CISA avait joué un rôle clé ces dernières années en aidant les autorités locales à renforcer la sécurité physique des bureaux de vote et en formant le personnel électoral à gérer les situations de crise. En l’absence de ces ressources, les administrations locales risquent de se retrouver mal préparées face à une situation d’urgence.

Tim Harper a mis en garde contre le risque d’une réaction en chaîne : si une attaque venait à perturber le processus électoral dans une juridiction locale, le manque de soutien technique et logistique pourrait rapidement se transformer en une crise nationale. Selon lui, la transparence est la clé pour éviter ce scénario. Il exhorte la CISA à publier son évaluation interne et à rétablir un dialogue ouvert avec les responsables électoraux.

La pression monte également du côté des associations professionnelles. Le mois dernier, l’Association nationale des secrétaires d’État a adressé une lettre à la secrétaire du DHS, Kristi Noem, pour lui demander de rétablir le financement du CIS et de maintenir le soutien technique aux juridictions locales. Les responsables électoraux estiment que le gouvernement fédéral a une responsabilité directe dans la protection du processus démocratique, et que priver les juridictions locales de ce soutien revient à affaiblir la résilience du système électoral dans son ensemble.

La sécurité des élections américaines repose sur une coopération étroite entre le gouvernement fédéral, les États et les autorités locales. Le retrait du soutien fédéral et le manque de transparence de la CISA créent un climat d’incertitude qui pourrait avoir des répercussions profondes sur la confiance des électeurs. Si ces problèmes ne sont pas rapidement résolus, les prochaines élections pourraient se dérouler dans un contexte de vulnérabilité accrue, avec un risque réel d’ingérence et de perturbation du processus électoral.

Le retrait du soutien fédéral à la cybersécurité électorale laisse les juridictions locales vulnérables à des attaques sophistiquées et à une désinformation croissante.

La décision de la CISA de garder son rapport interne confidentiel prive les responsables électoraux de renseignements stratégiques essentiels pour assurer la sécurité des élections.

Cybersécurité, Entreprise

Arnaque au faux ransomware : des lettres physiques ciblent les cadres dirigeants​

Des escrocs envoient des lettres physiques à des cadres dirigeants, prétendant appartenir au groupe de ransomware BianLian, pour extorquer des rançons allant jusqu’à 500 000 dollars.​

Une nouvelle escroquerie cible les cadres dirigeants en leur envoyant des lettres physiques prétendant provenir du groupe de ransomware BianLian. Ces lettres affirment que des données sensibles ont été volées et menacent de les publier si une rançon, payable en Bitcoin, n’est pas versée dans les dix jours. Les montants exigés varient entre 250 000 et 500 000 dollars. Les autorités américaines, notamment le FBI et la Cybersecurity and Infrastructure Security Agency (CISA), alertent sur cette menace et recommandent aux entreprises de rester vigilantes face à cette tentative d’extorsion.​

Un mode opératoire inédit

Contrairement aux méthodes traditionnelles des cybercriminels qui privilégient les courriels ou les messages électroniques pour leurs tentatives d’extorsion, cette arnaque se distingue par l’utilisation de lettres physiques envoyées par la poste. Les enveloppes, marquées « Time Sensitive Read Immediately » (Lecture urgente), sont adressées directement aux cadres supérieurs, souvent à leurs domiciles personnels ou professionnels. Elles contiennent une lettre prétendant que le groupe « BianLian » a infiltré le réseau de l’organisation et a dérobé des milliers de fichiers sensibles. La menace est claire : si une rançon n’est pas payée en Bitcoin dans un délai de dix jours, les données seront publiées sur des sites de fuite associés à BianLian. ​

Des indices révélateurs d’une escroquerie

Plusieurs éléments laissent penser que ces lettres sont l’œuvre d’escrocs usurpant l’identité du véritable groupe BianLian. Tout d’abord, les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux. De plus, aucune preuve concrète de vol de données n’est fournie dans les lettres, et aucun moyen de contacter les auteurs pour négocier n’est mentionné, ce qui est contraire aux pratiques habituelles des groupes de ransomware. Les autorités n’ont pas identifié de lien entre les expéditeurs de ces lettres et le groupe BianLian connu. ​

Cibles privilégiées et montants exigés

Les lettres ont principalement été envoyées à des cadres du secteur de la santé aux États-Unis, avec des demandes de rançon variant entre 150 000 et 500 000 dollars. Dans certains cas, les lettres incluent un mot de passe compromis dans la section « How did this happen? » (Comment cela est-il arrivé ?), probablement pour ajouter de la crédibilité à leur revendication. Cependant, aucune activité indicative d’une intrusion par ransomware n’a été détectée dans les organisations ciblées, ce qui suggère que cette campagne vise à exploiter la peur pour inciter les organisations à payer une rançon pour une intrusion qui n’a jamais eu lieu. ​

Les lettres contiennent une adresse de retour basée à Boston, Massachusetts, ce qui est inhabituel pour un groupe de ransomware généralement associé à des acteurs internationaux.​

Recommandations des autorités

Il est recommandé aux entreprises de prendre les mesures suivantes pour se protéger contre cette escroquerie :​

Sensibilisation interne : Informer les cadres et les employés de l’existence de cette arnaque afin qu’ils soient vigilants s’ils reçoivent de telles lettres.​

Vérification des systèmes : S’assurer que les défenses du réseau sont à jour et qu’aucune activité malveillante n’est en cours.​

Signalement : En cas de réception d’une telle lettre, contacter immédiatement les autorités de votre pays (Police Nationale, Etc.).​

Les autorités insistent sur l’importance de ne pas céder à la panique et de ne pas effectuer de paiement sans avoir vérifié la véracité des allégations. Il est essentiel de suivre les protocoles de réponse aux incidents et de collaborer avec les forces de l’ordre pour gérer la situation de manière appropriée. ​

Le véritable groupe BianLian

Le groupe BianLian est un développeur de ransomware et un groupe cybercriminel spécialisé dans l’extorsion de données, probablement basé en Russie. Depuis juin 2022, le FBI a observé que le groupe BianLian a affecté des organisations dans plusieurs secteurs d’infrastructures critiques aux États-Unis.

En Australie, l’ACSC a observé que le groupe BianLian cible principalement des entreprises privées, y compris une organisation d’infrastructure critique. Le groupe BianLian employait initialement un modèle de double extorsion dans lequel ils exfiltraient des fichiers financiers, clients, commerciaux, techniques et personnels à des fins de levier et chiffraient les systèmes des victimes. En 2023, le FBI a observé que le groupe BianLian s’est principalement orienté vers l’extorsion basée sur l’exfiltration, laissant les systèmes des victimes intacts. ​

Cette nouvelle méthode d’escroquerie souligne l’ingéniosité des cybercriminels pour exploiter la peur et l’urgence chez leurs victimes. Le Social Engineering (Ingénierie sociale), une méthode qui est vieille comme le monde est plus efficace encore grâce au numérique. Il est crucial pour les organisations de rester informées des menaces émergentes et de renforcer les protocoles de sécurité. La vigilance, la sensibilisation et la collaboration avec les autorités sont essentielles pour contrer ces tentatives d’extorsion.