Tous les articles par Damien Bancal

Cybersécurité, Entreprise

Bilan de la 10ᵉ édition du baromètre du CESIN

Le 10ᵉ baromètre du CESIN révèle une décennie d’évolutions en cybersécurité, illustrant les défis des entreprises françaises face à des menaces sophistiquées, et soulignant leur résilience grâce à des stratégies défensives robustes.

Depuis dix ans, le baromètre annuel du CESIN, réalisé en collaboration avec OpinionWay, fournit un éclairage précieux sur l’état de la cybersécurité en France. À travers une enquête exclusive auprès de 401 Directeurs Cybersécurité et Responsables Sécurité des Systèmes d’Information (RSSI), ce rapport explore les tendances, défis, et innovations qui façonnent la protection numérique des entreprises. Cette 10ᵉ édition, publiée en janvier 2025, met en lumière un panorama complexe où la menace reste omniprésente mais où les organisations gagnent en maturité face aux cyberattaques. Le phishing, les attaques volumétriques, et l’émergence des deepfakes traduisent l’évolution rapide des menaces. En parallèle, les entreprises investissent dans des solutions innovantes comme le Zero Trust et l’IA, tout en intégrant la cybersécurité dans des initiatives de RSE. Ce baromètre souligne l’importance d’une vigilance constante et d’une approche collaborative pour renforcer les défenses dans un environnement numérique en mutation rapide.

ZATAZ, la référence web dédiée à la cybersécurité, revient sur le dernier rapport du Club des Experts de la Sécurité de l’Information et du Numérique (CESIN). Ce dernier a publié son 10ᵉ baromètre annuel en collaboration avec OpinionWay. Ce rapport, basé sur une enquête auprès de 401 RSSI (Responsable des Services de Sécurité Informatique) et Directeurs Cybersécurité, offre un panorama des évolutions majeures en cybersécurité dans les entreprises françaises.

Une stabilité des attaques, mais des impacts croissants

En 2024, 47% des entreprises interrogées ont déclaré avoir subi une cyberattaque significative, un chiffre stable par rapport à 2023. Le phishing reste le principal vecteur d’attaque (60%), suivi des failles exploitées (47%) et des attaques par déni de service (41%). Cependant, l’impact des attaques s’intensifie, avec une augmentation notable du vol de données (+11 points à 42%) et des perturbations opérationnelles affectant 65% des entreprises.

L’apparition des deepfakes dans le paysage des cybermenaces (9%) marque une nouvelle tendance préoccupante. Ces manipulations réalistes de voix ou d’images facilitent des attaques d’ingénierie sociale. En revanche, les attaques par ransomware diminuent (-9 points), reflétant l’efficacité croissante des outils de défense.

Adoption de technologies avancées et stratégies de défense

Les entreprises adoptent massivement des outils comme l’EDR (95% d’efficacité perçue) et l’authentification multi-facteurs (MFA). Les concepts émergents, tels que le Zero Trust (+7 points) et les VOC (+9 points), progressent également. L’adoption d’outils comme l’EASM et le CAASM améliore la visibilité sur les assets numériques, réduisant les angles morts dans les environnements cloud.

Malgré une amélioration de la maturité, seules 62% des entreprises victimes d’attaques portent plainte, soulignant un potentiel à mieux collaborer avec les autorités pour lutter contre la cybercriminalité.

Défis émergents : IA, gouvernance et RSE

L’intelligence artificielle connaît une adoption croissante, passant de 46% à 69% d’intégration dans les processus d’entreprise. Pourtant, seules 35% des organisations l’utilisent pour renforcer leur cybersécurité. La réglementation, avec des cadres comme NIS2 et DORA, impacte désormais 79% des entreprises.

Les initiatives de responsabilité sociétale des entreprises (RSE) se lient de plus en plus à la cybersécurité. Environ 77% des RSSI favorisent une culture de sécurité et de conformité, affirmant le rôle stratégique et sociétal de la cybersécurité dans les organisations modernes.

En somme, ce baromètre illustre une décennie de progrès, mais souligne la nécessité de continuer à renforcer la résilience et la collaboration pour contrer des menaces toujours plus sophistiquées.

Entreprise, IA, Justice

LinkedIn accusée de partager des données privées : une controverse autour de la confidentialité et de l’IA

LinkedIn, réseau professionnel de Microsoft, est accusé aux États-Unis d’avoir partagé des données privées d’abonnés Premium pour former des modèles d’intelligence artificielle, déclenchant une controverse sur la confidentialité des utilisateurs.

LinkedIn, plateforme professionnelle appartenant à Microsoft, est sous le feu des projecteurs après des accusations graves concernant la confidentialité des données de ses utilisateurs Premium. Ces derniers affirment que leurs messages privés auraient été partagés à des tiers, sans leur consentement explicite, pour entraîner des modèles d’intelligence artificielle (IA). Cette affaire, désormais portée devant le tribunal fédéral de San Jose en Californie, soulève de nombreuses questions sur l’éthique des pratiques de la plateforme. En août, LinkedIn aurait introduit discrètement un paramètre de confidentialité permettant de désactiver ce partage, suivi d’une mise à jour controversée de sa politique en septembre. Les plaignants réclament des réparations financières significatives, dénonçant une violation de la vie privée et un manquement aux promesses contractuelles. Cet épisode soulève des inquiétudes croissantes quant à l’impact de l’IA sur la protection des données personnelles.

Une mise en accusation fondée sur la violation de la vie privée

La plainte déposée contre LinkedIn repose sur une accusation précise : la plateforme aurait utilisé les données personnelles de ses abonnés Premium pour alimenter des modèles d’intelligence artificielle sans leur consentement éclairé. Les messages privés, souvent considérés comme inviolables par les utilisateurs, auraient été analysés et traités dans ce but. Cette situation est perçue comme une rupture de confiance entre les abonnés et LinkedIn, une entreprise qui s’est pourtant engagée publiquement à protéger la confidentialité de ses utilisateurs.

L’un des aspects les plus troublants de cette affaire réside dans l’introduction d’un paramètre de confidentialité en août dernier. Ce paramètre permettait aux abonnés de désactiver le partage de leurs données personnelles, mais il aurait été mis en place discrètement, sans notification explicite aux utilisateurs. En septembre, une mise à jour de la politique de confidentialité aurait confirmé que ces données pouvaient être utilisées à des fins d’apprentissage automatique. Cette opacité dans la communication a renforcé la colère des utilisateurs concernés.

Un autre élément central de cette affaire est l’accusation selon laquelle LinkedIn était « pleinement consciente » des violations de la vie privée qu’elle aurait commises. Cette affirmation découle des preuves apportées dans la plainte, notamment les modifications successives des paramètres de confidentialité et de la politique d’utilisation des données. Cela soulève une question cruciale : jusqu’où une plateforme professionnelle peut-elle aller dans l’exploitation des données personnelles sans franchir les limites éthiques et légales ?

Les enjeux juridiques et financiers pour LinkedIn

Sur le plan juridique, l’affaire a été portée devant le tribunal fédéral de San Jose, en Californie. La plainte exige des dommages-intérêts pour rupture de contrat et non-respect des lois californiennes sur la confidentialité des données. Une des demandes les plus marquantes concerne une compensation de 1 000 dollars par utilisateur pour violation d’une loi fédérale. Si cette indemnisation était accordée, elle pourrait représenter des millions de dollars pour LinkedIn, étant donné l’ampleur de sa base d’abonnés Premium.

Ce procès met également en lumière la manière dont les plateformes numériques interprètent les législations existantes en matière de protection des données. La Californie, avec son « California Consumer Privacy Act » (CCPA), impose des normes élevées en matière de confidentialité. Cependant, les plaignants affirment que LinkedIn n’a pas respecté ces obligations, en particulier concernant le consentement explicite et l’information des utilisateurs.

Pour LinkedIn, cette affaire pourrait avoir des conséquences importantes, non seulement en termes financiers, mais aussi sur sa réputation. La plateforme, qui revendique être un lieu sûr pour les professionnels, risque de perdre la confiance de ses utilisateurs si les accusations sont avérées. Cette perte de confiance pourrait entraîner une baisse des abonnements Premium, une source de revenus clé pour LinkedIn.

Par ailleurs, cette affaire soulève une question plus large : celle de l’utilisation des données personnelles dans le développement des technologies d’intelligence artificielle. À une époque où l’IA est de plus en plus intégrée dans les outils professionnels et personnels, les utilisateurs sont en droit de s’interroger sur la transparence des pratiques des entreprises technologiques. Microsoft, maison-mère de LinkedIn, pourrait également être impactée par cette controverse, notamment en raison de son rôle dans l’intégration de l’IA dans ses outils phares, tels que Word et Excel.

Confidentialité, IA et avenir des plateformes numériques

Cette affaire LinkedIn met en lumière un problème fondamental : l’équilibre délicat entre innovation technologique et protection des droits des utilisateurs. L’intégration de l’intelligence artificielle dans les plateformes numériques offre des opportunités inédites, mais elle pose également des défis éthiques majeurs. Les utilisateurs souhaitent profiter des avantages de l’IA sans compromettre leur vie privée.

Pour les abonnés Premium de LinkedIn, la possibilité que leurs messages privés aient été utilisés pour entraîner des modèles d’IA représente une atteinte grave à leur confiance. Ce cas met également en évidence la nécessité pour les plateformes de mettre en place des politiques claires et transparentes concernant l’utilisation des données. Les utilisateurs doivent être informés de manière proactive et avoir un contrôle total sur leurs informations personnelles.

Cette affaire pourrait également avoir un impact au-delà de LinkedIn. Les régulateurs et législateurs, déjà préoccupés par la protection des données dans un monde de plus en plus connecté, pourraient utiliser ce cas comme un exemple pour renforcer les lois existantes. À l’échelle mondiale, des initiatives telles que le Règlement général sur la protection des données (RGPD) en Europe ont déjà montré l’importance de cadres juridiques solides pour protéger les consommateurs.

Enfin, cette controverse souligne une réalité préoccupante : l’IA, bien qu’elle soit un outil puissant, dépend largement des données qu’elle consomme. Les entreprises technologiques doivent trouver des moyens d’entraîner leurs modèles sans porter atteinte à la vie privée des utilisateurs. Cela pourrait passer par des solutions telles que la fédération des données ou l’anonymisation, mais ces technologies nécessitent des investissements significatifs et un engagement ferme envers des pratiques éthiques.

Bitcoin, Cybersécurité, Entreprise

Enlèvement et libération du cofondateur de Ledger

David Balland, cofondateur de l’entreprise de cryptomonnaies Ledger, a été enlevé le 21 janvier à son domicile dans le Cher. Une mobilisation massive des forces de l’ordre a permis de libérer l’entrepreneur et sa compagne rapidement. Quinze jours plus tôt, son associé expliquait sur Youtube comment il se protégeait !

Le mardi 21 janvier, au petit matin, des individus armés ont fait irruption au domicile de David Balland et de sa compagne, à Vierzon. Les victimes ont été séparées et emmenées dans des lieux différents. Une rançon en cryptomonnaies a été réclamée à un autre cofondateur de Ledger, ce qui a alerté les autorités.

Une intervention rapide et efficace

Le mercredi 22 janvier, grâce à une première interpellation et aux enquêtes menées par les gendarmes, le lieu de séquestration de David Balland a été identifié à Châteauroux. Une opération du GIGN a permis de libérer l’entrepreneur sans effusion de sang. Cependant, celui-ci présentait des blessures graves à la main, nécessitant une hospitalisation immédiate.

La libération de la compagne

Dans la nuit suivante, les enquêteurs ont localisé la compagne de David Balland, ligotée dans un véhicule à Étampes, dans l’Essonne. Libérée sans blessure physique, elle a été prise en charge pour un suivi psychologique.

Un réseau criminel rapidement identifié

Des interpellations en série

Dix individus, âgés de 20 à 40 ans, ont été interpellés. Parmi eux, neuf hommes et une femme, pour la plupart connus des services de police. Les enquêtes ont révélé une organisation criminelle structurée, qui avait planifié chaque étape de l’enlèvement. Les ravisseurs avaient choisi d’utiliser les cryptomonnaies pour tenter de dissimuler les traces de la rançon. « La gendarmerie nationale a été saisie dans son ensemble, de la section de recherches de Bourges à l’Unité nationale Cyber. Son travail a permis la libération de David Balland le 22 janvier, celui-ci ayant été pris en charge par les secours et devant faire l’objet de soins. » comme le stipule le communiqué de presse du Parquet de Paris JUNALCO.

La traçabilité des cryptomonnaies

Grâce à la technologie blockchain, une partie des fonds réclamés a été localisée, gelée, puis saisie. Cet épisode met en avant à la fois les avantages et les limites des cryptomonnaies dans de telles situations. « les malfaiteurs ont […] réclamé le paiement d’une importante rançon en cryptomonnaie.« 

Une enquête toujours en cours

Une information judiciaire a été ouverte pour enlèvement et séquestration en bande organisée avec actes de torture et extorsion sous menace d’armes. L’enquête, supervisée par la Juridiction nationale de lutte contre la criminalité organisée (Junalco), se poursuit pour démanteler entièrement ce réseau. Les personnes arrêtées, s’ils sont reconnus coupables encourent « la réclusion criminelle a perpétuité.« 

Le rôle prévisible des cryptomonnaies

Une cible de choix pour les criminels

L’utilisation des cryptomonnaies dans cette affaire illustre une nouvelle tendance dans les activités criminelles. Ledger, entreprise spécialisée dans la sécurité des actifs numériques, gère des millions d’euros en cryptomonnaies, ce qui en fait une cible de choix.

Un avertissement qui prend tout son sens

En janvier, Eric Larchevêque, cofondateur de Ledger, avait publié une vidéo sur les précautions à prendre pour protéger l’entreprise et ses collaborateurs. Ironiquement, quelques semaines plus tard, David Balland a été kidnappé, confirmant que ces risques sont réels et imminents.

Cette affaire met en lumière l’importance des mesures de protection dans un secteur où les cyberattaques et les risques physiques sont en augmentation, sans parler de ce que vous montrez ou racontez sur Internet. « La vigilance de la presse est à saluer dans cette affaire, nombreux media ayant été attentifs à ne pas divulguer trop tôt d’informations risquant de mettre en danger la vie humaine.« 

Cybersécurité, Entreprise

Les montres connectées trahissent les sous-marins nucléaires français

Une simple application de fitness révèle des informations sensibles sur l’une des bases militaires les plus protégées de France.

L’île Longue, base stratégique de la dissuasion nucléaire française, fait face à une faille inattendue : les montres connectées. L’application de fitness Strava, utilisée par des marins, a permis de révéler des détails sur les patrouilles de sous-marins nucléaires, remettant en cause les mesures de sécurité.

La base de l’île Longue : un site ultrasensible mis en péril par la technologie grand public

Située dans la rade de Brest, l’île Longue est le cœur du dispositif de dissuasion nucléaire français. Depuis 1972, les sous-marins nucléaires lanceurs d’engins (SNLE) y stationnent avant de partir pour des missions en mer. Chacun de ces navires est capable de transporter jusqu’à 16 missiles nucléaires, incarnant une stratégie de dissuasion qui place la France parmi les grandes puissances nucléaires mondiales.

L’accès à cette base militaire est strictement contrôlé. Plus de 2 000 employés y travaillent, soumis à une identification obligatoire et à des mesures de sécurité strictes. Les appareils électroniques, notamment les smartphones, y sont interdits pour limiter les risques d’espionnage. Pourtant, malgré ces précautions, les montres connectées ont permis une fuite d’informations préoccupante.

L’application Strava, plébiscitée par des millions de sportifs dans le monde, enregistre et partage automatiquement les parcours réalisés par ses utilisateurs. Sur l’île Longue, plusieurs marins utilisaient ces montres pour suivre leurs performances sportives. Ces données, lorsqu’elles étaient partagées publiquement, ont offert des indices sur l’activité des sous-marins.

Un exemple frappant est celui de « Paul », un pseudonyme utilisé pour protéger l’identité d’un marin. En 2023, il a partagé 16 sessions de course à pied réalisées sur la base, près des docks des sous-marins. Son absence d’activité pendant deux mois, suivie d’un retour soudain, correspondait à une période de patrouille d’un sous-marin. Ces informations, croisées avec les activités d’autres marins, ont permis à des observateurs de reconstituer des mouvements sensibles.

Une problématique récurrente pour les forces armées

L’incident de l’île Longue n’est pas un cas isolé. Les applications de fitness, populaires parmi les militaires, ont déjà suscité des controverses similaires. En 2018, une carte thermique publiée par Strava a révélé les trajets de soldats américains autour de bases secrètes en Afghanistan et en Syrie.

Dans une autre affaire, en Russie, Stanislav Rjitski, capitaine de sous-marin, a été localisé puis assassiné à Krasnodar. Ses déplacements avaient été repérés via ses publications Strava, rendant possible une attaque ciblée.

Ces exemples montrent à quel point les technologies grand public peuvent devenir des outils involontaires de renseignement pour des acteurs malveillants. Le problème ne réside pas uniquement dans les applications elles-mêmes, mais aussi dans l’usage imprudent qu’en font les utilisateurs.

Sur l’île Longue, l’enquête a révélé qu’environ 450 utilisateurs de Strava ont été actifs sur la base au cours des 10 dernières années. Les données partagées, bien qu’anodines au premier abord, ont fourni des informations cruciales pour quiconque souhaite analyser les mouvements des sous-marins ou les habitudes des marins.

Les mesures envisagées face aux failles constatées

Bien que la marine française n’ait pas officiellement communiqué sur des actions spécifiques concernant l’utilisation des montres connectées, des incidents similaires survenus dans d’autres armées ont généralement conduit à des révisions des politiques de sécurité. La possibilité d’interdire l’utilisation des appareils connectés ou de restreindre davantage les paramètres de confidentialité est régulièrement évoquée dans des contextes similaires.

Le rapport initial, publié par Le Monde et relayé par le Daily Mail, indique que ces incidents résultent davantage d’une imprudence individuelle que d’une faille technologique pure. Ce manque de vigilance soulève des questions sur la sensibilisation des marins à ces risques numériques. Et ce n’est pas la première fois !

D’autres cas « d’espionnage »

La carte de chaleur de Strava révélant des bases militaires

En novembre 2017, Strava a publié une « Global Heatmap » qui visualisait deux années de données d’activités de ses utilisateurs. En janvier 2018, il a été découvert que cette carte mettait en évidence des bases militaires secrètes, y compris des bases américaines en Syrie et des bases avancées en Afghanistan. Ces informations ont suscité des préoccupations concernant la confidentialité et la sécurité des données des utilisateurs.

Identification de soldats israéliens via Strava (2024)

En novembre 2024, une enquête menée par des journalistes du journal Le Monde a révélé qu’un individu avait pu extraire méthodiquement les profils de milliers de soldats israéliens à partir de l’application Strava. En simulant de fausses activités sur des bases militaires et des sites sensibles, cette personne a réussi à identifier les militaires actifs dans ces lieux, retraçant ainsi leurs déplacements grâce aux données géolocalisées de Strava. Cette faille de sécurité a conduit le ministère de la Défense israélien à ouvrir une enquête.

Exposition des mouvements de dirigeants mondiaux

En octobre 2024, une enquête du journal Le Monde a révélé que l’application Strava avait involontairement exposé les mouvements de personnalités de haut niveau, notamment le président américain Joe Biden, l’ancienne première dame Melania Trump, et d’autres dirigeants mondiaux. Des agents de sécurité utilisant l’application ont partagé leurs itinéraires d’entraînement, permettant ainsi de déduire les emplacements et les déplacements des personnalités protégées. Le Secret Service américain a déclaré qu’aucune mesure de protection n’avait été compromise, tout en révisant ses politiques internes.

Cybersécurité, Entreprise

Une fuite de données chez Loading hébergement.

Une fuite de données a exposé les informations de 220 000 utilisateurs en Espagne, compromettant des données personnelles et des détails de projets clients hébergés par l’entreprise Loading.

Le 14 janvier 2025, une importante fuite de données a été découverte par le Service veille ZATAZ, impliquant Loading, un fournisseur de services d’hébergement basé en Espagne. Cette base de données comprend les informations personnelles et professionnelles de 220 000 utilisateurs, réparties sur 356 435 lignes. Le fichier constitué par le pirate contient des détails critiques comme les adresses électroniques, les numéros de téléphone, les commentaires clients et des informations relatives aux projets. Ce nouvel incident met une fois de plus en lumière les défis posés par la sécurité des données dans le domaine de l’hébergement web. Explorons les détails et les implications de cette fuite.

Une fuite ciblant les utilisateurs et projets clients

La base de données compromise contient des informations très spécifiques, offrant une vue d’ensemble des projets et des utilisateurs concernés. Voici une décomposition des données exposées :

Données personnelles :

Nom complet : Identité des utilisateurs.
Adresse e-mail : Points d’entrée majeurs pour des attaques de phishing.
Numéro de téléphone : Utilisable pour des arnaques téléphoniques ou des campagnes malveillantes.

Détails des projets :

Type de projet : Catégorisation des projets hébergés (e-commerce, éducatif, etc.).
Nombre de pages web : Données exploitables pour évaluer la taille et la portée des projets.
Détails marketing : Informations liées aux campagnes publicitaires META et SEM (ex. : mots-clés, types de dispositifs utilisés).

Données techniques et géographiques :

Adresses IP et URLs spécifiques : Permettent d’identifier l’origine des utilisateurs et les pages consultées.
Géolocalisation : Informations sur les villes, codes postaux et pays d’origine des utilisateurs.
Traçabilité des interactions : Horaires de contact, outils CRM utilisés, et plateformes marketing associées.

Le prix de cette base, mise en vente pour seulement 500 $, rend ces données accessibles à des acteurs malveillants prêts à exploiter des informations précieuses pour du phishing ou d’autres cyberattaques.

Qui est Loading et quel est son rôle dans le marché espagnol ?

Loading est une entreprise espagnole bien établie dans le domaine de l’hébergement web. Créée pour répondre aux besoins des entreprises et des particuliers en matière de gestion de sites internet, Loading propose des solutions variées, notamment dans l’hébergement mutualisé ; Serveurs dédiés et VPS ainsi que les solutions cloud.

Apple, Cybersécurité, Mise à jour

Crash de Docker et faille SIP sur macOS : mise à jour critique indispensable

Les utilisateurs macOS de Docker rencontrent un crash critique bloquant le lancement de l’application. Une signature de fichiers incorrecte en est la cause, mais une mise à jour est déjà disponible.

Depuis le 7 janvier, de nombreux utilisateurs de Docker sur macOS se plaignent d’un blocage inattendu de l’application. En tentant de lancer Docker, un message d’erreur signalant un code malveillant s’affiche, provoquant la panique chez certains utilisateurs. Une enquête approfondie a révélé que ces avertissements du système sont infondés, la cause réelle étant une signature incorrecte de certains fichiers du bundle Docker. Heureusement, une solution est déjà disponible avec la mise à jour vers la version 4.37.2. Toutefois, la mise en place de ce correctif n’est pas encore étendue à tous les utilisateurs. Retour sur cette crise technique et les étapes pour y remédier.

Origine du problème et conséquences

Les premiers signalements concernant le crash de Docker sur macOS sont apparus le 7 janvier 2025. Le problème a immédiatement attiré l’attention en raison de l’impact sur les flux de travail des développeurs utilisant Docker pour la gestion de conteneurs. Lors du lancement de l’application, un message d’alerte s’affichait indiquant un code potentiellement malveillant. Cette notification, générée par macOS, a rapidement été identifiée comme une fausse alerte, liée à des anomalies dans le système de certificat de macOS.

L’analyse a mis en lumière une signature incorrecte de certains fichiers du bundle Docker. Ce dysfonctionnement a perturbé les vérifications de sécurité effectuées par le système d’exploitation, interprétant ces fichiers comme potentiellement dangereux. À en juger par les informations disponibles, cette situation a entraîné un blocage complète de l’application chez de nombreux utilisateurs.

En réponse à cet incident, Docker Inc. a rapidement publié une mise à jour (4.37.2) incluant un correctif pour cette anomalie. Les utilisateurs peuvent résoudre le problème en installant cette nouvelle version. Pour les versions précédentes, des correctifs ont également été déployés sur les branches 4.32 à 4.36.

Cependant, la résolution n’est pas encore totale. La page d’état de Docker indique que certains utilisateurs n’ont pas encore effectué la mise à jour, ce qui complique l’évaluation globale de l’efficacité des correctifs.

Procédures de correction et solutions alternatives

Pour ceux qui rencontrent toujours des problèmes après la mise à jour, Docker a proposé des solutions supplémentaires. Les administrateurs systèmes peuvent utiliser un script MDM spécial pour corriger les erreurs persistantes. Ce script permet de réinitialiser certains composants de Docker et de réinstaller les binaires correctement signés.

Pour une résolution manuelle, les étapes suivantes sont nécessaires :

  1. Arrêter l’application Docker, ainsi que les services vmetd et socket.
  2. Supprimer les anciens binaires de vmetd et socket.
  3. Installer les versions corrigées de ces fichiers.
  4. Redémarrer Docker pour finaliser la procédure.

Ces opérations peuvent s’avérer chronophages pour les équipes techniques gérant un parc informatique important. D’où l’importance de privilégier la mise à jour automatique avec les fichiers signés.

Malgré ces efforts, il reste des doutes sur la stabilité globale du service. Certains utilisateurs rapportent encore des dysfonctionnements mineurs, laissant penser que le problème n’est pas entièrement résolu. À mesure que davantage d’utilisateurs adoptent les correctifs, l’impact des problèmes résiduels devrait diminuer.

Une vulnérabilité SIP révélée en parallèle

Parallèlement à cet incident, une autre menace sécuritaire a été mise en évidence sur macOS. Microsoft a découvert une vulnérabilité critique, identifiée sous le nom de CVE-2024-44243, qui permet à des attaquants locaux de contourner la protection d’intégrité du système (SIP).

SIP, ou System Integrity Protection, est un mécanisme conçu pour empêcher les programmes malveillants d’accéder à certains répertoires ou de modifier des fichiers systèmes critiques. Cette protection restreint les privilèges du compte root et limite l’accès à certains composants aux seuls processus signés par Apple.

Cependant, la faille CVE-2024-44243 permet de désactiver cette protection en exploitant une vulnérabilité dans le démon Storage Kit, qui surveille l’état des disques. Une fois exploitée, cette faille permet à des attaquants de contourner SIP et d’installer des rootkits, compromettant ainsi gravement la sécurité du système.

Apple a corrigé cette faille avec la version macOS Sequoia 15.2, publiée en décembre. Il est donc essentiel pour les utilisateurs de s’assurer que leur système est à jour. Microsoft, quant à elle, a publié les détails techniques de cette vulnérabilité afin d’informer les administrateurs systèmes et d’accélérer la mise en œuvre des correctifs.

Cybersécurité, Entreprise, IA

Phishing, applications cloud et IA générative : l’urgence d’une cybersécurité de nouvelle génération

En 2024, les clics sur des liens de phishing ont triplé, alors que l’usage des outils d’IA générative en entreprise s’intensifiait.

L’année 2024 a vu l’explosion des menaces cyber, notamment le phishing et les mauvaises pratiques liées aux applications cloud personnelles et à l’IA générative. Plusieurs rapports (Netskope, Microsoft, ZATAZ) révèlent que les clics sur des liens de phishing ont triplé, illustrant la sophistication croissante de ces attaques. En parallèle, l’adoption massive d’outils d’IA générative comme ChatGPT a accru les risques de fuites de données sensibles. Ces évolutions mettent en lumière l’urgence d’une approche nouvelle en matière de cybersécurité, mêlant outils de pointe, sensibilisation renforcée et stratégies proactives pour protéger les entreprises et leurs données. Des questions qui seront posées, à Paris, en Janvier, lors d’un rendez-vous politique autour de l’IA. (Elon Musk sera présent selon les infos de DataSecurityBreach.fr)

Phishing : une menace toujours plus sophistiquée

En 2024, les cybercriminels ont redoublé d’efforts pour perfectionner leurs attaques, entraînant une hausse de 190 % des incidents liés au phishing.

Des attaques toujours plus ciblées

Les campagnes de phishing modernes exploitent des outils sophistiqués, souvent alimentés par l’IA générative, pour créer des messages hyper-personnalisés. Les attaques se sont particulièrement concentrées sur les identifiants Microsoft, avec 42 % des attaques visant cette cible. L’utilisation d’applications cloud populaires comme Google Drive ou Microsoft OneDrive pour héberger des contenus malveillants a multiplié les points d’entrée pour les hackers.

Des techniques renforcées par l’IA

L’IA générative permet de produire des emails frauduleux d’une qualité impressionnante, rendant la détection humaine difficile. Les entreprises doivent donc s’équiper d’outils capables d’analyser les comportements pour repérer des anomalies et bloquer les tentatives de phishing en temps réel.

Prévention et formation : un duo indispensable

La sensibilisation des employés reste essentielle, mais elle doit être accompagnée de solutions technologiques robustes. Les simulations régulières de phishing et l’analyse comportementale des clics suspects sont des mesures indispensables.

L’utilisation croissante d’applications cloud personnelles par les employés, en particulier dans les environnements de travail hybrides, représente un défi majeur. En 2024, près de 88 % des organisations ont rapporté des incidents liés à des outils non autorisés.

Les applications cloud personnelles sont fréquemment utilisées pour stocker ou partager des données sensibles, ce qui expose les entreprises à des risques importants. Les données réglementées, telles que les informations financières et médicales, constituent 60 % des violations signalées, suivies par la propriété intellectuelle et les codes source.

Dans de nombreux cas, les violations sont dues à un manque de sensibilisation. Par exemple, les employés utilisent des outils gratuits, souvent peu sécurisés, pour partager des fichiers professionnels, ignorant les conséquences potentielles.

Les solutions possibles

Pour contrer ces pratiques, les entreprises doivent :

Mettre en place des politiques restrictives interdisant l’usage d’applications non approuvées.
Utiliser des outils de Cloud Access Security Broker (CASB) pour surveiller et bloquer les transferts non autorisés.
Renforcer la formation en expliquant les risques juridiques et financiers des mauvaises pratiques.
Exergue : « Les applications cloud personnelles sont un angle mort de la cybersécurité. »

La mise en place de systèmes de surveillance en temps réel et de contrôles d’accès est essentielle pour limiter les risques liés à ces usages. De plus, les entreprises doivent privilégier des solutions qui permettent une traçabilité des données et une intervention rapide en cas d’incident.

IA générative : moteur d’innovation et de risques

Les outils d’IA générative, tels que ChatGPT, sont devenus des acteurs incontournables dans le paysage professionnel. Leur adoption rapide, bien que bénéfique, présente des risques non négligeables.

L’essor des outils d’IA générative

En 2024, 94 % des entreprises utilisent des applications d’IA générative, avec une moyenne de 9,6 outils par organisation. Ces applications facilitent des tâches variées, de la rédaction de rapports au brainstorming créatif. Toutefois, leur utilisation sans contrôle strict expose les organisations à des menaces inédites.

Les risques majeurs

Les cybercriminels exploitent ces technologies pour concevoir des attaques de phishing sur mesure. Par ailleurs, les employés peuvent, par inadvertance, introduire des informations confidentielles dans ces outils, qui ne garantissent pas toujours la confidentialité des données.

Des réponses technologiques et humaines

Pour limiter ces risques, 45 % des entreprises ont déployé des solutions de prévention des pertes de données (DLP). Ces outils surveillent en permanence les interactions entre les employés et les plateformes d’IA générative. En parallèle, les organisations investissent dans des programmes de coaching en temps réel, qui alertent les utilisateurs lorsqu’ils effectuent des actions à risque.

L’avenir passe également par l’élaboration de politiques claires et par l’intégration de mesures de contrôle automatisées. Ces initiatives permettront de concilier innovation et sécurité, tout en réduisant les vulnérabilités.

Bref, face à des menaces cyber de plus en plus sophistiquées, les entreprises doivent adopter une approche proactive. DataSecuritybreach.fr rappel que cela doit inclure : L’intégration d’outils de détection avancée ; La formation continue des employés. L’élaboration de politiques claires pour l’usage des applications cloud et de l’IA.

Cybersécurité, Entreprise

Digital Operational Resilience Act : Hola, soy Dora

Le règlement DORA vise à renforcer la résilience numérique des institutions financières européennes face aux cybermenaces croissantes. Ce cadre impose des règles strictes pour une cybersécurité robuste et harmonisée.

Entrant en vigueur le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique (DORA) représente une évolution majeure dans la protection des infrastructures financières en Europe. Conçu pour répondre à la montée des cyberattaques et des dysfonctionnements numériques, il impose des exigences claires aux institutions financières ainsi qu’à leurs prestataires de services numériques. DORA s’adresse aux banques, compagnies d’assurance, entreprises d’investissement, FinTechs et gestionnaires d’actifs opérant au sein de l’Union européenne ou avec des clients dans cette région.

Le cadre, comme l’explique le Livre Blanc de Barracuda, comprend des directives sur la gestion des risques, le test de résilience, la surveillance des fournisseurs tiers, et le partage d’informations. À travers ces mesures, DORA favorise une meilleure coordination entre les acteurs, réduisant ainsi l’impact des incidents numériques. Cet article explore en détail les objectifs, les implications et les actions nécessaires pour se conformer à ce règlement.

Les objectifs et principes fondamentaux du règlement DORA

Le Digital Operational Resilience Act (DORA) repose sur un objectif principal : renforcer la résilience opérationnelle numérique des institutions financières pour protéger l’ensemble du système économique et sociétal. Il reconnaît que la dépendance croissante aux technologies numériques expose le secteur financier à des risques accrus, nécessitant une réglementation harmonisée au sein de l’Union européenne.

Objectifs clés :

Renforcer la cybersécurité des institutions financières : Chaque entité doit disposer de systèmes robustes pour prévenir, détecter, et répondre efficacement aux incidents.
Harmoniser les pratiques au sein de l’UE : Les règles uniformes facilitent la coopération et la transparence entre les États membres.
Protéger les consommateurs et les investisseurs : En réduisant les risques de perturbations et de violations de données, DORA améliore la confiance dans le secteur financier.

Cinq axes stratégiques :

Gestion des risques informatiques : Cela inclut l’identification des vulnérabilités, l’évaluation des impacts potentiels et la mise en œuvre de mesures préventives.
Tests de résilience : Les tests réguliers, tels que les simulations d’attaques, garantissent que les systèmes sont prêts à gérer des situations critiques.
Notification d’incidents : Toute perturbation majeure doit être signalée rapidement pour limiter les conséquences.
Surveillance des tiers : Les fournisseurs critiques doivent respecter les mêmes normes de sécurité.
Partage d’informations : Une coopération accrue permet de renforcer la sécurité collective.

DORA s’applique non seulement aux entreprises européennes, mais également aux entités non européennes opérant avec des clients dans l’UE. Par exemple, une entreprise technologique américaine fournissant des services cloud à une banque européenne devra également respecter ces normes. En reconnaissant que la sécurité numérique est une responsabilité partagée, DORA favorise une approche collaborative pour faire face aux cybermenaces.

Implications pour les entreprises et obligations spécifiques

Une large portée pour une réglementation exhaustive DORA cible une variété d’acteurs : banques, assurances, FinTechs, plateformes de trading, mais aussi les fournisseurs tiers de services technologiques critiques tels que les sociétés cloud. L’objectif est de réduire les vulnérabilités dans l’ensemble de la chaîne de valeur financière.

Principales obligations :

Documentation et gouvernance : Les entreprises doivent fournir des preuves tangibles de leur conformité, incluant des audits réguliers et des rapports détaillés.
Contrats renforcés avec les fournisseurs tiers : Chaque contrat doit inclure des clauses précisant les niveaux de service et les mesures de sécurité.
Formation des équipes : Le personnel doit être formé pour répondre rapidement et efficacement aux incidents.
Sanctions en cas de non-conformité Les régulateurs européens auront le pouvoir d’imposer des sanctions sévères, notamment des amendes substantielles ou des interdictions temporaires d’opérer sur le marché. Par exemple, une banque ne respectant pas les normes pourrait être tenue responsable d’une cyberattaque affectant des millions de clients.

Un cadre mondial Bien que DORA soit une initiative européenne, elle a des répercussions mondiales. De nombreuses entreprises non européennes choisissent de s’aligner sur ce règlement pour garantir leur accès au marché européen et pour bénéficier des meilleures pratiques en matière de cybersécurité.

Focus sur la chaîne d’approvisionnement Les attaques contre les tiers représentent une menace majeure. En réponse, DORA exige une surveillance accrue des fournisseurs, y compris des évaluations continues de leur sécurité et de leur conformité.

Étapes pour se conformer au règlement et exemples de meilleures pratiques

1. Identifier les entités concernées La première étape consiste à déterminer si votre entreprise est directement ou indirectement concernée par DORA. Les entreprises opérant avec des clients ou partenaires européens doivent se préparer dès maintenant.

2. Réaliser une analyse des lacunes Une évaluation complète des systèmes actuels de cybersécurité permet d’identifier les domaines nécessitant des améliorations. Cela inclut la documentation, les protocoles d’urgence et la collaboration avec les tiers.

3. Mettre en œuvre des outils technologiques avancés L’intelligence artificielle (IA) et l’apprentissage automatique jouent un rôle clé dans la détection proactive des menaces. Des solutions comme XDR (Extended Detection and Response) offrent une visibilité complète sur les infrastructures numériques.

4. Renforcer la collaboration avec les fournisseurs tiers Chaque contrat doit inclure des obligations claires sur la sécurité, conformément à l’article 30 de DORA. Par exemple, une société cloud européenne a récemment mis en place un programme de sécurité commun avec ses principaux clients, réduisant ainsi de 50 % les incidents liés à des tiers.

5. Former et tester régulièrement Les simulations d’incidents permettent de préparer les équipes et d’identifier les faiblesses. Une FinTech allemande a réalisé des tests trimestriels, réduisant ainsi le temps moyen de réponse aux incidents de 40 %.

Exemples de réussite confiée par Barracuda : une grande banque française a adopté un système de surveillance en temps réel, réduisant les intrusions détectées par des tiers de 30 % en un an. Un fournisseur de paiement numérique a mis en place un plan de continuité opérationnelle, garantissant un fonctionnement ininterrompu malgré une attaque majeure.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, DDoS

L’explosion des attaques web sur les sites de e-commerce pendant les fêtes

Durant les vacances du Nouvel An, une augmentation inquiétante des cyberattaques a été observée. Les sites de e-commerce ont particulièrement été visés par des scanners robotisés cherchant à exploiter leurs vulnérabilités.

L’alerte des experts : un pic inédit d’attaques

Les fêtes de fin d’année, période cruciale pour les ventes en ligne, ont vu une recrudescence des cybermenaces. Selon les spécialistes russes de Solar Group, une activité accrue des assaillants a débuté dès le 25 décembre pour atteindre des niveaux sans précédent jusqu’au 9 janvier. Les chiffres sont parlants : jusqu’à 48 000 attaques par heure lors des pics, soit trois fois plus que l’année précédente. Ces attaques DDoS, orchestrées par des scanners robotisés, avaient plusieurs objectifs : voler des données sensibles, collecter des informations stratégiques ou encore copier des designs de sites web.

Le phénomène ne se limite pas à la quantité. La durée des attaques a également explosé : alors qu’elles ne dépassaient généralement pas une heure en novembre, leur durée moyenne est montée à 2 à 8 heures début janvier, certaines se prolongeant même sur 24 heures.

Quel est l’intérêt des pirates ?

Les cyberattaques ne sont jamais anodines et reflètent des objectifs variés, souvent très lucratifs pour les pirates. Les cybercriminels recherchent des informations précieuses comme des numéros de carte bancaire, des identifiants ou des données personnelles qu’ils peuvent vendre sur le darknet. Certains attaquants cherchent à ralentir ou perturber le fonctionnement des sites concurrents, notamment pendant les périodes de forte activité comme les fêtes.

Une fois une faille exploitée, les bad hackers peuvent revendre cet accès à d’autres groupes criminels. En copiant des designs ou des technologies spécifiques d’un site, les pirates permettent à d’autres entreprises mal intentionnées de bénéficier de ces avancées sans effort.

En résumé, les cyberattaques sont une manière d’exploiter la fragilité des systèmes numériques pour générer des profits ou avantager des concurrents.

Comprendre le DDoS : une attaque par saturation

Un DDoS (Distributed Denial of Service) est une des armes favorites des cybercriminels. Ce type d’attaque consiste à saturer un serveur ou un site web en générant un volume massif de requêtes simultanées, rendant le service indisponible pour les utilisateurs légitimes.

Comment cela fonctionne ?

Les attaquants utilisent des botnets, réseaux d’ordinateurs infectés, pour générer un trafic énorme vers une cible spécifique. Ces ordinateurs infectés, souvent des appareils de particuliers, fonctionnent sans que leurs propriétaires soient conscients de leur rôle dans l’attaque. Le DDoS a pour effet d’interrompre les services. Les utilisateurs ne peuvent plus accéder au site. De causer des pertes financières. Chaque minute d’indisponibilité peut coûter des milliers, voire des millions, aux entreprises. De nuire à la réputation de la boutique, de l’entreprise. Les clients perdent confiance dans les plateformes victimes.

Comment les internautes participent involontairement aux DDoS ?

Saviez-vous que vous pouviez, sans même le savoir, participer à ce genre d’attaque. DataSecurityBreach.fr vous propose de regarder les signaux faibles qui pourraient vous alerter. De nombreux utilisateurs d’Internet participent parfois à des attaques DDoS sans même le savoir. Voici les principales façons dont cela peut se produire.

Cliquer sur des liens piégés : Les attaquants peuvent insérer des scripts malveillants sur des sites web compromis ou dans des emails de phishing. Lorsqu’un internaute clique dessus, son appareil peut automatiquement envoyer des requêtes vers une cible, participant à une attaque DDoS.

Télécharger des logiciels infectés : En installant des logiciels ou des applications piratées, les utilisateurs peuvent introduire des logiciels malveillants (malwares) sur leur système. Ces malwares transforment leur appareil en « zombie » dans un botnet.

Appareils connectés non sécurisés : Les objets connectés (caméras de surveillance, routeurs, etc.) mal configurés sont une porte d’entrée facile pour les pirates. Ces appareils peuvent être compromis et utilisés à l’insu de leur propriétaire.

Naviguer sur des sites infectés : Certains sites malveillants intègrent des scripts capables de détourner la puissance de l’ordinateur ou du téléphone pour participer à une attaque, souvent via une méthode appelée « cryptojacking » ou « browser-based botnet ».

Protéger son site de e-commerce : les solutions indispensables

Face à ces menaces croissantes, les sites de vente en ligne doivent adopter des mesures robustes pour sécuriser leurs infrastructures. Sans entrer dans les détails techniques, faire appels à des professionnels du secteur est indispensable. Ensuite, se pencher sur l’installation d’un Web Application Firewall (WAF). Il détecte et bloque les activités suspectes en temps réel. Ensuite, surveiller les flux réseau en continu. Une analyse des logs permet de repérer les comportements anormaux. Renforcer l’authentification aussi. L’implémentation de protocoles comme l’authentification multifactorielle réduit les risques de vol de données. Et enfin, former les équipes IT. La sensibilisation au phishing et aux méthodes d’attaque récentes est essentielle pour prévenir les erreurs humaines.

Une cybermenace qui ne faiblit pas

L’augmentation des cyberattaques en fin d’année n’est pas un phénomène isolé. Elle reflète une tendance globale où les cybercriminels profitent des périodes de forte affluence pour maximiser leurs gains. L’évolution des scanners automatisés témoigne également d’une montée en puissance des capacités techniques des attaquants.

Pour les entreprises, cette réalité impose une transformation profonde de leurs stratégies de défense. Seule une approche proactive et des investissements continus dans la cybersécurité permettront de protéger efficacement leurs actifs numériques. Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Mise à jour, Patch

Vulnérabilité zero-day impactant un outil VPN pour entreprise

Mandiant a publié aujourd’hui des détails approfondis sur une vulnérabilité zero-day critique, référencée CVE-2025-0282, récemment divulguée et corrigée par Ivanti. Cette faille affecte les appliances Ivanti Connect Secure VPN (ICS), largement utilisées pour assurer la connectivité sécurisée des entreprises.

Ivanti a détecté cette compromission grâce à son outil dédié, Integrity Checker Tool (ICT), ainsi qu’à des outils tiers de surveillance de sécurité. Selon l’analyse de Mandiant, cette vulnérabilité a été exploitée activement dans la nature dès décembre 2024, vraisemblablement par un acteur de l’espionnage lié à la Chine.

Une exploitation avancée et ciblée

Mandiant rapporte que la CVE-2025-0282 [alerte du CERT SSI France] a été utilisée par des cybercriminels. Bien qu’il ne soit pas encore possible de confirmer l’identité exacte des attaquants, les chercheurs pensent avec une confiance modérée qu’ils appartiennent au groupe connu de bad hacker sous le nom UNC5221, un acteur déjà associé à des campagnes d’espionnage numérique.

Le malware SPAWN, précédemment lié à UNC5337, a été observé dans cette nouvelle attaque. En complément, d’autres familles de malwares comme DRYHOOK et PHASEJAM ont été identifiées. Cependant, les chercheurs précisent qu’ils ne disposent pas encore de données suffisantes pour attribuer ces attaques à un ou plusieurs acteurs spécifiques.

Impacts de la vulnérabilité CVE-2025-0282

L’exploitation de cette faille permet aux attaquants de réaliser des actions critiques :

Exécution de code à distance
Les cybercriminels peuvent prendre le contrôle des systèmes affectés, compromettant ainsi l’intégrité des données et la sécurité des environnements réseau.

Déplacement latéral
Une fois la brèche initiale exploitée, les attaquants se déplacent latéralement dans les systèmes connectés pour élargir leur accès, créant des impacts potentiellement dévastateurs au-delà de l’appareil directement visé.

Installation de portes dérobées persistantes
Des backdoors sont implantées pour maintenir l’accès aux systèmes compromis. Certaines de ces portes peuvent persister même après des mises à jour, ce qui incite Ivanti à recommander une réinitialisation complète pour les clients concernés.

Tactiques avancées des attaquants
Mandiant a observé deux techniques sophistiquées utilisées par les attaquants exploitant la CVE-2025-0282 :

Déploiement de PHASEJAM

Après avoir exploité la faille, les cybercriminels déploient un malware personnalisé nommé PHASEJAM, conçu pour empêcher l’installation des mises à jour système, garantissant ainsi un accès prolongé au système compromis.

Fausse barre de progression de mise à jour
Pour éviter de susciter la méfiance des administrateurs, une fausse barre de progression de mise à jour est affichée, simulant le bon déroulement des mises à jour alors qu’en réalité, le processus est bloqué par l’attaquant.

Mesures de détection et prévention
Les versions récentes d’Ivanti Connect Secure intègrent un outil performant, l’Integrity Checker Tool (ICT), qui s’est avéré efficace pour identifier les compromissions liées à la CVE-2025-0282. Cet outil exécute régulièrement des diagnostics pour détecter des anomalies ou des comportements inhabituels.

Cependant, Mandiant a signalé des tentatives des attaquants pour manipuler le registre des fichiers vérifiés par l’ICT, y intégrant leurs propres fichiers malveillants pour contourner les mécanismes de détection.

Cette vulnérabilité zero-day met en lumière les défis constants auxquels les entreprises sont confrontées en matière de sécurité numérique. Ivanti et Mandiant recommandent aux utilisateurs de déployer les mises à jour correctives immédiatement, de surveiller leurs systèmes pour détecter des anomalies, et de réinitialiser si nécessaire.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

cyberattaque, Cybersécurité

La convention sur la cybercriminalité adoptée par l’onu

La Convention sur la cybercriminalité, approuvée par l’Assemblée générale des Nations unies après cinq années de négociations, marque un tournant majeur dans la coopération internationale. Adoptée par consensus, elle vise à mieux coordonner la lutte contre les délits informatiques. Désormais, les 193 États membres devront ratifier ce texte pour le rendre pleinement effectif.

Cette Convention, qui entrera en vigueur 90 jours après sa ratification par un nombre suffisant de pays, est conçue pour harmoniser les définitions d’infractions liées à la cybercriminalité et faciliter les enquêtes transfrontalières. Les délits informatiques, allant du vol de données à la fraude en ligne, pèsent déjà plusieurs trillions de dollars sur l’économie mondiale. L’accord propose un cadre inédit pour l’échange de preuves électroniques, la collaboration judiciaire et la mise en place de mécanismes de prévention. Les organisations internationales, dont le Bureau des Nations unies contre la drogue et le crime (UNODC), saluent cet effort historique, tout en reconnaissant les interrogations que suscite l’absence de garanties explicites sur la confidentialité et les libertés fondamentales. De grands acteurs de la technologie ainsi que des défenseurs des droits humains redoutent en effet des abus potentiels, en particulier si certains gouvernements utilisent ce traité pour renforcer leurs dispositifs de surveillance ou réprimer la société civile.

Un cadre juridique inédit

La Convention contre la cybercriminalité, élaborée à l’initiative de l’Assemblée générale de l’ONU, se veut la réponse la plus complète à ce jour face à la menace grandissante des crimes informatiques. Depuis plusieurs années, la complexité des enquêtes numériques pose de nombreux défis aux forces de l’ordre, qui peinent à appréhender des individus exploitant le caractère transfrontalier d’internet. Les États cherchaient un texte universel allant plus loin que la Convention de Budapest, jugée insuffisamment mondiale ou inadaptée pour ceux qui ne l’avaient pas signée.

Adoptée sans vote formel, la Convention actuelle reflète la volonté commune d’offrir un socle de règles partagées. Les gouvernements espèrent limiter l’existence de « paradis numériques » où les cybercriminels opèrent sans crainte, en profitant de législations nationales floues ou d’un manque de coopération internationale. Le nouveau traité définit ainsi une liste d’infractions — piratage de réseaux, phishing, diffusion de rançongiciels, blanchiment d’argent en ligne, entre autres — et suggère des standards minimaux pour l’échange de données entre autorités compétentes.

Le volet « coopération judiciaire » est au cœur de cet accord : les services d’enquête peuvent désormais réclamer de l’aide à leurs homologues étrangers afin d’obtenir des informations cruciales, comme l’identification de titulaires de comptes, l’accès aux adresses IP ou la récupération de données situées sur des serveurs hors de leurs frontières. Cette approche se veut rapide et efficace, dans un monde où chaque minute compte pour identifier les responsables de cyberattaques ou de fraudes en ligne.

Les négociateurs ont insisté sur des mécanismes devant garantir que l’entraide judiciaire respecte le droit interne de chaque pays et ne viole pas ses impératifs de sécurité nationale. Une clause permet à un État de refuser une demande de coopération s’il estime qu’elle contrevient à ses obligations constitutionnelles ou qu’elle risque de porter atteinte à ses intérêts fondamentaux. Pour les promoteurs de la Convention, ce dispositif constitue un garde-fou essentiel, même si les organisations de défense des libertés estiment qu’il pourrait se révéler insuffisant face à des usages abusifs.

L’UNODC, par la voix de sa directrice exécutive, Ghada Waly, a souligné l’importance de ce cadre mondial : les pays victimes de cyberattaques n’auront plus à se lancer dans des tractations longues et fastidieuses. L’idée est d’harmoniser le plus possible les incriminations, les procédures et la collecte de preuves, tout en proposant un accompagnement technique et logistique aux États qui manquent de ressources. Les Nations unies espèrent ainsi combler le déséquilibre qui rend certains territoires vulnérables, faute de moyens technologiques pour mettre en place des pare-feu, des logiciels de détection de malwares ou des équipes spécialisées en cyberenquête.

Les cybermenaces évoluent rapidement, et le traité inclut la possibilité de réviser régulièrement la liste des infractions couvertes, afin de tenir compte des nouvelles tendances criminelles. Avec l’essor fulgurant des ransomwares et la sophistication croissante des logiciels espions, les États se retrouvent parfois dépassés. Des groupes criminels organisés, voire des entités sponsorisées par certains régimes, orchestrent des attaques massives qui perturbent des secteurs entiers : hôpitaux, banques, infrastructures énergétiques ou systèmes gouvernementaux. Les experts soulignent que sans collaboration formalisée, les criminels exploitent les failles légales, passant d’une juridiction à l’autre pour brouiller les pistes.

Au-delà de la répression, le traité encourage des initiatives de prévention et d’éducation. Les gouvernements sont appelés à lancer des campagnes de sensibilisation, en expliquant aux citoyens comment repérer un mail suspect, protéger leurs mots de passe, sauvegarder leurs données et vérifier l’authenticité des sites web qu’ils consultent. Cet aspect préventif est jugé crucial pour réduire la surface d’attaque, car la vigilance des internautes et des entreprises demeure la première barrière contre les cyberfraudeurs.

La cérémonie de signature solennelle, prévue à Hanoi en 2025, symbolisera l’entrée dans une nouvelle ère. Une fois qu’un nombre suffisant d’États auront ratifié la Convention, ses dispositions deviendront juridiquement contraignantes pour tous les signataires, dans un délai de 90 jours. Les observateurs espèrent que cette dynamique poussera les pays à mettre à jour leurs lois internes, afin de mieux protéger leurs citoyens et de répondre efficacement aux requêtes étrangères.

Les partisans de cette Convention estiment qu’elle permettra de mieux repérer et poursuivre les individus qui se cachent derrière des attaques d’ampleur mondiale. Ils avancent que la collaboration formelle réduira les réticences politiques à transmettre des preuves, rendant plus complexes les stratégies d’anonymisation. Cependant, tout dépendra de la sincérité avec laquelle les gouvernements mettront en place ce nouveau cadre, et surtout de leur capacité à concilier lutte contre la criminalité et préservation des droits fondamentaux.

Des inquiétudes persistantes

Malgré la portée historique de ce traité, nombre d’organisations de la société civile et de groupes de défense des droits humains n’ont pas caché leur profonde préoccupation. Depuis la première ébauche de texte, en août 2023, plusieurs voix ont mis en garde contre des risques de dérive. Les critiques s’appuient sur le fait que la Convention n’inclut pas de langage clairement contraignant en matière de protection de la vie privée ou de liberté d’expression. Certains militants redoutent que des gouvernements autoritaires puissent la brandir pour renforcer leurs mécanismes de censure ou de surveillance.

Des sociétés technologiques majeures, regroupées au sein du Cybersecurity Tech Accord, ont également manifesté des réserves. Microsoft, Meta, Oracle ou encore Cisco craignent que la Convention ne serve à poursuivre des chercheurs en cybersécurité pour des motifs fallacieux. La ligne entre la découverte de vulnérabilités à des fins d’amélioration de la sécurité et l’intrusion illégale peut devenir floue si des gouvernements décident de qualifier la recherche de « piratage criminel ». Sans dispositions protectrices, cette inquiétude demeure vive dans l’industrie.

Les experts redoutent aussi que la Convention devienne un prétexte pour exiger l’accès à des données confidentielles, sans garanties suffisantes. Les plateformes hébergeant des services en ligne pourraient se retrouver contraintes de communiquer des informations sensibles à des autorités étrangères, y compris sur des utilisateurs innocents ou des opposants politiques. Le fait que le texte permette à un État de refuser une demande en cas de doute ne rassure qu’en partie. Dans la pratique, des pressions diplomatiques pourraient survenir, et certains pays pourraient accepter de transmettre des données pour maintenir de bonnes relations bilatérales.

Au sein des Nations unies, des responsables défendent la Convention en soulignant que de nombreux traités antérieurs contre la criminalité transnationale n’évoquaient pas non plus explicitement la question des droits humains, mais comprenaient des clauses générales renvoyant aux autres obligations internationales. Selon cette approche, les États demeurent liés par la Charte de l’ONU, la Déclaration universelle des droits de l’homme et les pactes relatifs aux droits civils et politiques. Ils estiment donc que la Convention cybercriminelle ne saurait justifier une violation flagrante de ces principes.

Certains gouvernements occidentaux se montrent partagés. L’administration américaine, après avoir hésité, a finalement soutenu le traité en arguant qu’il valait mieux participer à la rédaction pour en influencer le contenu et maintenir la possibilité d’amendements ultérieurs. Des parlementaires démocrates ont exprimé leurs réticences dans une lettre adressée à la Maison-Blanche, soulignant l’insuffisance de garanties portant sur la liberté d’expression et la nécessité de mieux encadrer l’intelligence artificielle pour éviter tout détournement répressif.

La question des responsabilités et des sanctions demeure cruciale. Comment faire en sorte qu’un État abuse de la Convention en toute impunité ? Les promoteurs du traité invoquent des mécanismes informels de pression diplomatique et l’attention des médias internationaux, qui pourraient dénoncer un usage disproportionné de l’accord à des fins de répression. Pourtant, l’absence d’une instance de surveillance indépendante dans ce dispositif préoccupe de nombreux militants, qui y voient la possibilité que des dérives passent sous silence.

Dans ce contexte, certaines organisations non gouvernementales prévoient de surveiller de près la mise en œuvre de la Convention. Elles entendent récolter des témoignages, compiler des données sur les demandes d’assistance transfrontalières et publier des rapports annuels pour mettre en lumière d’éventuels abus. Des initiatives similaires avaient été menées dans le passé autour de la Convention de Budapest, mais leur succès restait limité aux pays européens. Avec un texte désormais global, la tâche s’annonce plus complexe, puisqu’il faudra couvrir des juridictions très différentes.

Les inquiétudes se manifestent également sur la question du secret commercial et de la propriété intellectuelle. Dans un monde où la concurrence technologique est très forte, des entreprises craignent qu’un gouvernement exige, au nom de la lutte contre la cybercriminalité, l’accès à des codes sources, des algorithmes propriétaires ou des bases de données confidentielles. L’évolution rapide de l’intelligence artificielle soulève des enjeux inédits : un algorithme conçu pour la cybersécurité peut-il être considéré comme dangereux si un État estime qu’il facilite l’évasion numérique d’opposants ?

Les représentants onusiens ont tenté de rassurer en assurant que toute demande devrait être liée à une affaire criminelle précise, et que la Convention n’autorise pas la saisie de technologies ou de savoir-faire sans lien direct avec une enquête. Toutefois, l’expérience montre que la notion de « lien direct » reste sujette à interprétation. Lorsque la souveraineté et les intérêts nationaux s’en mêlent, la frontière entre un usage légitime du traité et une instrumentalisation politique peut se révéler ténue.

Malgré tout, le traité suscite un certain espoir : plusieurs pays d’Afrique, d’Asie ou d’Amérique latine ont indiqué leur volonté de se doter rapidement des outils nécessaires, tels que des laboratoires d’investigation numérique, des équipes spécialisées dans les rançongiciels ou la lutte contre l’exploitation en ligne. Certains États envisagent même des partenariats public-privé pour développer des centres de formation en cybersécurité. La Convention pourrait donc servir de catalyseur pour faire émerger un écosystème de compétences autour de la protection numérique, bénéfique au grand public comme au secteur économique.

Des perspectives d’avenir

Le véritable impact de la Convention contre la cybercriminalité dépendra de sa ratification et surtout de son application concrète. Chaque État devra transposer les dispositions dans son droit interne, mettre en place des procédures claires pour répondre aux demandes de coopération et garantir que les investigations menées sur son territoire respectent les principes fondamentaux de proportionnalité et de nécessité.

Les experts s’accordent à dire que la plus grande réussite de ce traité pourrait être sa capacité à renforcer la confiance internationale dans le cyberespace. En offrant un cadre de référence commun pour qualifier et poursuivre les délits informatiques, il peut réduire le risque de frictions politiques liées à des accusations mutuelles de piratage. Dans un monde où les tensions géopolitiques se cristallisent souvent autour de la question des intrusions numériques, l’existence de canaux de dialogue encadrés pourrait limiter les escalades et faciliter la diffusion d’informations fiables.

Les pays en développement, souvent en première ligne face à la cybercriminalité sans disposer des moyens nécessaires pour y faire face, aspirent à ce que la Convention leur apporte un véritable soutien technique. Les transferts de connaissances, la formation d’experts locaux, l’obtention de logiciels de détection ou de traçage des cyberattaques constituent autant d’éléments essentiels. L’ONU promet des programmes d’accompagnement, afin que le cyberespace ne demeure pas un terrain de jeu pour les seules économies puissantes.

La dimension économique ne saurait être négligée. Chaque année, les escroqueries, vols de données et sabotages informatiques pèsent lourdement sur les entreprises de toutes tailles. De grandes multinationales investissent déjà massivement dans la sécurité informatique, mais les PME et les infrastructures publiques sont plus vulnérables. En adoptant le traité, les gouvernements espèrent rassurer les investisseurs et les consommateurs, qui pourraient percevoir dans cette coordination internationale un gage de stabilité. Les interactions commerciales gagneraient en fluidité, sachant que le risque de fraude ou de vol de propriété intellectuelle est l’une des craintes majeures dans le commerce numérique transfrontalier.

Sur le plan diplomatique, la Convention ouvre une brèche pour des discussions plus approfondies sur la gouvernance d’internet. De nombreuses voix plaident pour un internet libre et ouvert, tandis que d’autres estiment nécessaire de renforcer les contrôles afin de lutter contre le cybercrime. Entre ces deux pôles, la Convention cherche un équilibre, mais il est probable que les négociations futures, ou les protocoles additionnels, réexaminent la question de la censure et de la surveillance. Certains estiment que seule une instance internationale permanente, chargée de superviser la bonne application du traité, pourrait répondre aux craintes de dérive.

L’harmonisation juridique doit aussi composer avec les spécificités culturelles et législatives. Les notions de diffamation, d’incitation à la haine ou même de pornographie diffèrent selon les pays. Certaines régulations, acceptables dans une société, pourraient être perçues comme liberticides ailleurs. Les ONG rappellent que, sans garde-fous, le champ du cybercrime pourrait s’étendre à des formes d’expression légitimes, visées par des gouvernements souhaitant étouffer la contestation.

Des entités comme Access Now, Privacy International ou Reporters sans frontières comptent poursuivre leur travail de plaidoyer, exigeant plus de transparence dans la mise en œuvre du traité. Par exemple, elles souhaitent que chaque demande d’information transfrontalière fasse l’objet d’un registre accessible à des organismes indépendants, chargés de vérifier si les enquêtes respectent les principes de droit. Une telle transparence diminuerait le risque de persécution politique ou religieuse déguisée en poursuite pour cybercrime.

L’innovation technologique, moteur de transformations rapides, risque de soulever de nouvelles questions quant à l’adaptabilité de la Convention. L’essor de l’intelligence artificielle générative, capable de créer du contenu trompeur ou de simuler des identités, pourrait conduire à la multiplication de fraudes sophistiquées. L’internet des objets (IoT) accroît la surface d’attaque, tandis que la 5G et la 6G offriront des débits plus élevés mais aussi des risques accrus si la sécurité n’est pas intégrée dès la conception des infrastructures. Les futurs protocoles additionnels, déjà évoqués dans l’architecture du traité, permettront d’ajuster en continu les champs d’action, selon les nouvelles menaces détectées.

La tenue de conférences internationales de suivi, tous les deux ou trois ans, est également prévue. Elles permettront aux parties signataires de partager leur retour d’expérience, d’évaluer l’efficacité des dispositions et, si nécessaire, de proposer des réformes. Les débats y seront certainement animés, car la cybercriminalité se retrouve à l’intersection de multiples problématiques : économie, droits humains, souveraineté, innovation, sécurité. Le succès de la Convention dépendra de la qualité du dialogue et de la volonté de parvenir à des compromis respectant à la fois la sécurité et la liberté.

La Russie, qui a introduit la résolution initiale en 2019, a promis de « coopérer pleinement » pour faire de la Convention un instrument efficace. Certains observateurs restent cependant prudents, rappelant que l’adoption du traité ne dissipe pas automatiquement les tensions géopolitiques. Les actions concrètes de chacun des 193 États membres détermineront la portée réelle de l’accord. Le texte consacre un certain nombre de principes, mais leur traduction dans la pratique requiert un effort continu, tant au niveau des gouvernements que des acteurs privés.

Enfin, le rôle des médias ne doit pas être négligé. Les journalistes spécialisés en cybersécurité, les magazines technologiques et les plateformes en ligne diffuseront régulièrement des analyses et des éclairages sur l’évolution de la Convention. L’opinion publique, de plus en plus sensible aux questions de vie privée et de sécurité, influencera l’acceptation ou la contestation de ce traité. Les États sauront qu’en cas d’abus, l’information risque de se propager très vite, exposant leur réputation à l’échelle mondiale.

Ainsi, la Convention sur la cybercriminalité présente un potentiel considérable pour endiguer la vague grandissante de délits informatiques. Elle apporte un cadre de travail commun, dessine une feuille de route pour la coopération judiciaire et promeut une éducation cybernétique plus développée. Toutefois, l’issue dépendra des choix politiques qui seront faits pour défendre les libertés individuelles, garantir la transparence et maintenir la confiance des citoyens dans un internet de plus en plus central dans la vie quotidienne.

La Convention sur la cybercriminalité, fruit d’un consensus international, marque une avancée significative dans la lutte contre les infractions numériques. En adoptant une approche coordonnée à l’échelle mondiale, les États espèrent tarir les réseaux de cybercriminels qui profitent de failles légales et de frontières peu adaptées à la réalité d’internet. L’harmonisation des législations, la facilitation de la coopération judiciaire et la mise en place de mécanismes de prévention sont autant d’éléments qui renforcent l’idée d’une réponse collective et cohérente.

Néanmoins, les préoccupations liées à la protection des droits fondamentaux et à la vie privée demeurent. L’absence de garde-fous explicites contre les dérives autoritaires ou les abus de surveillance interroge de nombreux observateurs. L’avenir du traité dépendra donc de la volonté réelle des gouvernements d’implémenter ses dispositions dans un esprit de transparence et de respect des libertés. Les mécanismes de contrôle, la pression diplomatique et l’implication des ONG seront essentiels pour éviter toute instrumentalisation.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Banque, Cybersécurité

2025 : évolutions réglementaires européennes en matière de lutte contre la criminalité financière

2025 marquera une étape majeure dans l’évolution des réglementations européennes sur la criminalité financière, l’identité numérique et la résilience opérationnelle. Ces changements exigeront une planification minutieuse de la part des institutions financières, tant au sein de l’Union européenne qu’ailleurs, pour se conformer aux nouvelles exigences.

L’Union européenne se prépare à instaurer en 2025 des réformes de grande ampleur visant à moderniser son cadre réglementaire en matière de lutte contre la criminalité financière et de renforcement des pratiques de sécurité. Parmi les évolutions notables, on trouve la mise en place de l’Autorité de lutte contre le blanchiment d’argent (AMLA), l’entrée en vigueur de nouvelles directives comme la 6AMLD, ainsi que des révisions du cadre d’identification électronique et de résilience numérique. Ces modifications visent à harmoniser les pratiques entre les États membres, à combler les lacunes existantes et à anticiper les risques émergents. L’impact de ces mesures s’étendra également aux entreprises basées hors UE, qui devront s’adapter pour rester compétitives dans un environnement international de plus en plus exigeant.

Une réforme structurelle pour combattre la criminalité financière

La mise en place de l’AMLA et la directive 6AMLD

La création de l’Autorité de lutte contre le blanchiment d’argent (AMLA) représente une étape décisive pour centraliser les efforts dans la lutte contre la criminalité financière. Prévue pour entrer en fonction le 1er juillet 2025, cette agence supervisera directement une quarantaine d’institutions financières (IF) jugées à haut risque, principalement celles ayant des opérations transfrontalières. Elle harmonisera les règles de lutte contre le blanchiment d’argent (AML) et le financement du terrorisme (CFT) à travers l’UE en introduisant un cadre unique de régulation (AMLR).

Parallèlement, la sixième directive sur le blanchiment d’argent (6AMLD) viendra renforcer les mécanismes de diligence raisonnable (KYC) et étendra la liste des entités concernées aux secteurs émergents, tels que les cryptoactifs, les clubs de football professionnels et les marchands de biens de luxe. De plus, elle limitera les paiements en espèces à 10 000 euros et imposera une meilleure transparence sur les propriétés bénéficiaires.

Les implications pour les entreprises financières

Les entreprises financières devront revoir leurs procédures de diligence raisonnable pour inclure des exigences renforcées, notamment pour les transactions impliquant des pays tiers à haut risque ou des clients fortunés. En outre, l’utilisation de processus automatisés, bien que permise, devra inclure une supervision humaine significative afin de garantir la conformité. Ces changements demanderont des investissements technologiques substantiels pour intégrer de nouveaux outils de surveillance et de reporting.

Bénéfices attendus

La création d’un cadre réglementaire harmonisé réduira les disparités entre les États membres, facilitant ainsi la coopération transfrontalière. Cela permettra non seulement de combler les lacunes juridiques qui ont longtemps été exploitées par les criminels, mais également de renforcer la confiance des consommateurs dans le système financier européen.

La numérisation au service de la résilience et de la transparence

eIDAS2 : vers une identité numérique européenne

La révision du cadre eIDAS (Electronic Identification, Authentication and Trust Services) est une étape majeure pour répondre aux besoins croissants en matière d’identité numérique. L’eIDAS2 introduit un portefeuille européen d’identité numérique (EUDI Wallet), qui permettra aux citoyens et aux entreprises de stocker et de partager leurs attributs d’identité de manière sécurisée. Ce portefeuille pourra inclure des documents tels que les cartes d’identité, les permis de conduire et les informations bancaires.

Dès 2025, les premiers portefeuilles devraient être disponibles, et les institutions financières devront s’adapter pour accepter ce moyen d’authentification d’ici 2027. En intégrant ces portefeuilles dans leurs processus d’intégration (onboarding), les institutions pourront simplifier leurs procédures tout en réduisant les risques de fraude.

Les limites et opportunités

Malgré ses avantages, l’eIDAS2 présente certaines limites, notamment l’absence d’éléments de preuve physique, comme les selfies ou les informations sur les appareils, qui sont souvent exigés par les régulateurs. Les entreprises devront combiner cette nouvelle solution avec leurs outils existants pour garantir une conformité complète aux exigences AML.

DORA : un cadre pour la résilience numérique

Adopté en 2022, le Digital Operational Resilience Act (DORA) vise à renforcer la résilience numérique des institutions financières. Ce règlement impose des exigences strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC). Les entreprises devront non seulement évaluer leurs fournisseurs de services TIC, mais également mettre en place des plans de continuité et réaliser des tests réguliers.

En cas de non-conformité, les sanctions seront élevées, ce qui incitera les entreprises à investir dans des infrastructures robustes et sécurisées. Cela inclut l’évaluation des fournisseurs critiques, tels que les services de vérification d’identité, les outils de détection des fraudes et les fournisseurs de cloud.

Face à ces réformes ambitieuses, les institutions financières doivent adopter une approche proactive pour identifier les écarts dans leurs pratiques actuelles, former leurs équipes et revoir leurs processus technologiques. Ces efforts permettront de répondre efficacement aux défis réglementaires, tout en restant compétitives dans un environnement en mutation rapide.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Mise à jour, Securite informatique

ChatGPT comme moteur de recherche : une révolution fragile face aux abus

ChatGPT, désormais doté de capacités de recherche en ligne, ouvre de nouvelles possibilités aux utilisateurs, mais révèle aussi des failles significatives. Ses vulnérabilités à la manipulation mettent en lumière les défis que doivent relever les modèles d’intelligence artificielle face aux abus.

Depuis l’ouverture de ses fonctionnalités de recherche à tous les utilisateurs, ChatGPT s’est positionné comme un assistant innovant dans le domaine des requêtes en ligne. Cependant, ce nouvel usage n’est pas exempt de risques. Les chercheurs en cybersécurité ont démontré que le chatbot peut être trompé par des techniques comme l’injection de stimuli (prompt injection), qui exploitent sa confiance en l’information fournie. Cette faille permet de manipuler ses réponses pour promouvoir des produits douteux ou diffuser des contenus potentiellement dangereux. Bien que prometteur, le système reste vulnérable, notamment face aux tactiques employées par des acteurs malveillants.

Un chatbot vulnérable à l’injection de stimuli

L’une des principales failles de ChatGPT en tant que moteur de recherche réside dans sa capacité à interpréter et à répondre aux instructions dissimulées. Cette technique, connue sous le nom de prompt injection, permet à un tiers de contrôler indirectement les réponses du chatbot. En intégrant des instructions dans des textes invisibles ou peu visibles sur une page web, les manipulateurs peuvent orienter les résultats générés par ChatGPT.

Par exemple, un site frauduleux peut afficher de faux avis positifs sur un produit en masquant ces commentaires dans le code HTML de la page. Lorsque ChatGPT consulte ce site, il interprète ces avis comme authentiques, ce qui influence sa réponse lorsqu’un utilisateur pose une question sur le produit. Pire encore, si une instruction cachée oblige le modèle à toujours promouvoir un produit, même en présence d’avertissements légitimes, le chatbot obéira sans évaluer les risques.

Cette vulnérabilité n’est pas propre à ChatGPT, mais elle illustre les limites des grands modèles de langage. Comme l’explique Karsten Nohl, expert chez Security Research Labs, ces modèles « sont très crédules, presque comme des enfants ». Leurs vastes capacités de mémoire et leur absence de subjectivité les rendent particulièrement sensibles à la désinformation dissimulée.

L’absence d’expérience face à un défi de taille

En tant que nouvel acteur dans le domaine de la recherche en ligne, ChatGPT souffre d’un manque d’expérience comparé aux moteurs traditionnels comme Google. Ce dernier a développé, au fil des années, des mécanismes sophistiqués pour ignorer les contenus cachés ou les reléguer en bas des résultats. ChatGPT, de son côté, n’a pas encore acquis cette capacité d’analyse critique, le rendant vulnérable aux pages web manipulées.

Les experts soulignent que cette limitation est aggravée par l’absence de filtres robustes pour distinguer les contenus fiables des contenus frauduleux. Contrairement à un moteur de recherche classique, ChatGPT ne hiérarchise pas les résultats en fonction de critères de fiabilité, mais s’appuie sur les données accessibles au moment de la requête. Cela le rend particulièrement sensible aux stratégies malveillantes visant à manipuler son processus décisionnel.

L’impact potentiel de ces failles

Les vulnérabilités de ChatGPT posent des risques significatifs pour les utilisateurs et les entreprises. À court terme, elles peuvent être exploitées pour promouvoir des produits contrefaits, diffuser de la désinformation ou même fournir des instructions nuisibles. Par exemple, un utilisateur cherchant des informations sur un médicament ou une technologie pourrait recevoir des recommandations basées sur des informations manipulées, mettant en danger sa sécurité ou celle de son entreprise.

À long terme, ces failles pourraient éroder la confiance dans les systèmes d’intelligence artificielle. Si les utilisateurs commencent à percevoir ChatGPT comme peu fiable, cela pourrait ralentir l’adoption de ces technologies dans des secteurs critiques, tels que la santé, la finance ou l’éducation.

Vers une intelligence artificielle plus résiliente

Pour surmonter ces défis, les développeurs d’OpenAI doivent renforcer la capacité de ChatGPT à détecter et ignorer les contenus manipulés. Cela pourrait inclure des algorithmes plus avancés pour analyser les sources, des protocoles pour limiter l’influence des contenus cachés et une transparence accrue sur la manière dont le chatbot sélectionne ses réponses.

Cependant, la responsabilité ne repose pas uniquement sur OpenAI. Les utilisateurs doivent être sensibilisés aux limites des modèles d’intelligence artificielle et adopter une approche critique lorsqu’ils interprètent les réponses fournies. Comme le souligne Karsten Nohl, il est essentiel de ne pas prendre les résultats générés par ces modèles « pour argent comptant ».

Conclusion : une technologie prometteuse à perfectionner

ChatGPT en tant que moteur de recherche représente une avancée significative, mais ses vulnérabilités actuelles rappellent que l’intelligence artificielle reste une technologie en développement. Pour éviter les abus et garantir la fiabilité de ses réponses, des efforts supplémentaires sont nécessaires, tant de la part des développeurs que des utilisateurs.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

Cybersécurité, Securite informatique, Stealer

Une campagne publicitaire malveillante exploite de faux CAPTCHA

Une campagne sophistiquée, nommée « DeceptionAds », utilise de faux CAPTCHA et des commandes PowerShell pour diffuser le malware Lumma Stealer via des réseaux publicitaires légitimes.

Une vaste campagne publicitaire, surnommée « DeceptionAds » par les chercheurs de Guardio Labs et Infoblox, a été détectée. Celle-ci diffuse le malware Lumma Stealer, conçu pour voler des données sensibles telles que mots de passe, cookies, informations bancaires et portefeuilles de cryptomonnaies. Les attaquants, dirigés par un hacker connu sous le pseudonyme « Vane Viper », utilisent des réseaux publicitaires légitimes pour tromper les utilisateurs avec de faux CAPTCHA. Les victimes sont invitées à exécuter des commandes PowerShell malveillantes sous prétexte de prouver qu’elles ne sont pas des bots.

Cette campagne est une évolution des attaques « ClickFix », où les utilisateurs étaient piégés via des pages de phishing, des sites de logiciels piratés, et même des failles GitHub. Avec plus d’un million d’affichages publicitaires par jour, cette attaque souligne les risques croissants liés à l’exploitation des réseaux publicitaires. Découvrez les mécanismes de cette menace et comment vous protéger.

Un fonctionnement ingénieux et trompeur

Les cybercriminels derrière DeceptionAds ont mis en place une stratégie complexe exploitant les réseaux publicitaires pour diffuser leur malware :

Utilisation des réseaux publicitaires légitimes :

La campagne s’appuie sur Monetag, une plateforme de publicité populaire, pour afficher des annonces sur plus de 3 000 sites web, générant plus d’un million d’affichages quotidiens. Les publicités redirigent les utilisateurs vers des pages contenant de faux CAPTCHA, via le service de suivi publicitaire BeMob, souvent utilisé à des fins légales.

Mécanisme de redirection :

Les annonces proposent des offres attractives ou des téléchargements sur des sites de contenu piraté. Après un clic, un script vérifie si l’utilisateur est humain avant de le rediriger vers une page CAPTCHA falsifiée. Cette page contient du JavaScript qui copie discrètement une commande PowerShell malveillante dans le presse-papiers de la victime.

Manipulation des victimes :

Les utilisateurs sont invités à coller et exécuter la commande dans le menu Windows Run pour « résoudre le CAPTCHA ». Cette commande télécharge et installe le malware Lumma Stealer, qui commence immédiatement à collecter des données sensibles.

Exergue 1 : Plus d’un million d’affichages publicitaires quotidiens, générant des milliers d’infections potentielles.

Les impacts de Lumma Stealer : une menace multiforme

Le malware Lumma Stealer est conçu pour voler un large éventail de données sensibles :

Données personnelles et bancaires :

Les cookies, mots de passe, informations bancaires, historiques de navigation et portefeuilles de cryptomonnaies des victimes sont ciblés. Ces données sont ensuite revendues sur le dark web ou utilisées pour des fraudes financières.

Vol de documents sensibles :

Le logiciel collecte également des fichiers texte et PDF contenant des informations confidentielles, qui peuvent être exploitées dans des attaques ciblées ou vendues.

Propagation rapide :

En utilisant des réseaux publicitaires de confiance comme Monetag et des services légitimes comme BeMob, les attaquants ont pu diffuser leur malware à grande échelle. Malgré la fermeture de 200 comptes associés à cette campagne par Monetag et l’arrêt de BeMob en quatre jours, une nouvelle vague d’activité a été détectée le 11 décembre, montrant que les hackers s’adaptent rapidement.

Prévention et enseignements : comment éviter l’infection

Face à des campagnes comme DeceptionAds, quelques mesures peuvent réduire les risques :

Toute demande d’exécution de commandes PowerShell ou autres doit être traitée avec suspicion, surtout lorsqu’elle prétend résoudre un problème ou un CAPTCHA. Les sites de téléchargement illégal collaborent souvent avec des réseaux publicitaires peu sûrs, augmentant le risque d’exposition à des campagnes malveillantes. Les extensions de navigateur comme celles proposées par Guardio Labs peuvent détecter et bloquer les redirections suspectes.

Informer les internautes sur les techniques employées par les hackers, comme les faux CAPTCHA, est crucial pour réduire leur efficacité. Les campagnes de vol de données, comme celle-ci, montrent l’importance de la vigilance en ligne. Elles rappellent également aux entreprises de publicité l’obligation de renforcer leurs processus de modération pour éviter l’exploitation de leurs plateformes par des cybercriminels.

Cette campagne malveillante illustre une nouvelle ère dans l’exploitation des réseaux publicitaires légitimes pour diffuser des malwares. La vigilance des utilisateurs et des entreprises publicitaires est essentielle pour réduire l’impact de ces menaces. Pour suivre les dernières alertes en cybersécurité et obtenir des conseils de protection, abonnez-vous à notre newsletter.

Cybersécurité, famille

L’Albanie suspend TikTok pour un an : une décision face à un drame social

L’Albanie suspendra TikTok dès 2025, après un drame impliquant des adolescents. Une mesure radicale pour protéger la jeunesse face aux dérives des réseaux sociaux.

Le gouvernement albanais a pris une décision sans précédent : suspendre TikTok pendant un an à partir de 2025. Cette annonce fait suite à un tragique événement survenu près d’une école à Tirana, où un élève de 14 ans a été tué et un autre blessé dans une rixe liée à des conflits sur les réseaux sociaux. Selon le premier ministre Edi Rama, TikTok représente une menace majeure pour les jeunes en raison de son contenu jugé nocif et de son impact sur le comportement des adolescents. En parallèle à cette suspension, des initiatives éducatives seront déployées pour sensibiliser les familles et les élèves à une utilisation responsable du numérique. Une action qui s’inscrit dans un contexte global de critiques contre TikTok, accusé de propager des contenus toxiques et de jouer un rôle problématique dans les sociétés occidentales.

TikTok : une suspension pour protéger les jeunes Albanais

Le gouvernement albanais a surpris le monde entier en annonçant la fermeture temporaire de TikTok, à partir de 2025. Cette mesure, motivée par le décès tragique d’un adolescent de 14 ans, reflète une inquiétude croissante face aux dérives des réseaux sociaux parmi les jeunes.

Edi Rama, le premier ministre, a qualifié TikTok de « voyou du quartier », soulignant le contraste entre le contenu éducatif proposé en Chine et celui, souvent jugé vulgaire ou inapproprié, diffusé ailleurs. « Pourquoi avons-nous besoin de cela ? », a-t-il interrogé devant des enseignants et des parents réunis à Tirana. Cette critique vise non seulement les contenus, mais aussi l’algorithme opaque de TikTok, accusé de piéger les utilisateurs dans des silos de contenus problématiques.

Cette fermeture s’accompagnera d’une stratégie nationale visant à promouvoir une éducation numérique plus saine. Des programmes seront mis en place pour aider les parents et les enseignants à mieux comprendre et accompagner les jeunes dans leur usage des nouvelles technologies.

Un drame social déclencheur : la jeunesse face aux réseaux

Le drame ayant conduit à la suspension de TikTok est révélateur d’un problème plus large : l’impact des réseaux sociaux sur les jeunes. La rixe mortelle entre adolescents à Tirana, initiée sur ces plateformes, a déclenché un vif débat en Albanie.

Les psychologues et éducateurs locaux mettent en garde contre les effets néfastes d’une surconsommation de contenu en ligne. TikTok, avec ses vidéos courtes et addictives, capte l’attention des utilisateurs pendant une durée moyenne de 34 heures par mois (selon We Are Social en 2024). Cette surexposition engendre des tensions et des comportements parfois violents chez les jeunes, insuffisamment encadrés par les parents et les institutions.

Les critiques de TikTok ne se limitent pas à l’Albanie. Partout dans le monde, l’application est accusée de propager de la désinformation et d’exposer les utilisateurs à des contenus inappropriés. Des pays comme l’Inde ont déjà banni la plateforme, tandis que des enquêtes sont en cours en Europe pour déterminer son rôle dans des affaires d’ingérence politique.

Une décision qui s’inscrit dans une tendance mondiale

La suspension de TikTok par l’Albanie reflète une méfiance mondiale croissante envers cette plateforme. En Australie, l’application a été interdite pour les adolescents, et aux États-Unis, elle est régulièrement accusée d’espionnage au profit de la Chine. En Europe, les autorités s’inquiètent de son influence dans des affaires politiques sensibles, comme l’annulation de l’élection présidentielle en Roumanie.

Malgré ces polémiques, TikTok reste un leader incontesté des réseaux sociaux, avec plus d’un milliard d’utilisateurs actifs dans le monde. La question se pose donc : comment concilier les aspects positifs de cette application avec les risques qu’elle engendre ?

Pour l’Albanie, la réponse semble claire : une pause pour évaluer l’impact réel de TikTok et développer des solutions éducatives adaptées. Ce choix audacieux pourrait inspirer d’autres pays à prendre des mesures similaires face aux dangers des réseaux sociaux.

La suspension de TikTok en Albanie illustre un défi mondial : protéger la jeunesse dans un environnement numérique en constante évolution. Cette initiative pourrait servir de modèle pour d’autres nations confrontées aux mêmes problématiques. Reste à savoir si un équilibre pourra être trouvé entre liberté numérique et responsabilité éducative.

Pour suivre l’actualité sur les réseaux sociaux et les initiatives en matière de cybersécurité, abonnez-vous à notre newsletter.

Apple, Entreprise, Justice

Apple accusée de surveillance intrusive

Un employé d’Apple accuse l’entreprise de surveiller la vie privée de ses salariés via iCloud et des dispositifs intrusifs, soulevant un débat sur les droits numériques.

Apple fait face à des accusations graves de la part de l’un de ses employés, Amar Bhakta, responsable de la publicité numérique depuis 2020. Ce dernier a déposé une plainte devant un tribunal californien le 1er décembre, affirmant que l’entreprise impose des pratiques de surveillance intrusive qui interfèrent avec la vie privée des employés. Selon la plainte, Apple exige que les employés relient leurs comptes iCloud personnels aux systèmes d’entreprise, ce qui permettrait à l’entreprise d’accéder à leurs e-mails, photos, vidéos et même données de localisation, y compris en dehors des heures de travail.

Le procès met également en lumière des restrictions sur la liberté d’expression des employés, des dispositifs de surveillance dans les bureaux à domicile, et des violations présumées des droits du travail californien. Apple a nié catégoriquement ces accusations, mais cette affaire relance le débat sur la vie privée des salariés dans un monde professionnel de plus en plus numérisé et connecté.

La plainte déposée par Amar Bhakta accuse Apple de pratiques de surveillance numérique invasive via sa politique de conduite commerciale (BCP). Cette politique stipule que l’entreprise peut accéder et archiver toutes les données liées aux appareils et comptes des employés, y compris leurs comptes personnels iCloud. Selon Bhakta, cette mesure donne à Apple un accès potentiel à des informations privées telles que les photos, vidéos, e-mails, et données de localisation de ses salariés, même en dehors des heures de travail.

L’affaire va plus loin, alléguant qu’Apple impose également des restrictions aux employés dans leurs communications personnelles et professionnelles. Bhakta affirme qu’il lui a été interdit de discuter de son travail sur des podcasts, et qu’Apple a exigé qu’il supprime certaines informations professionnelles de son profil LinkedIn. De plus, il dénonce l’installation de dispositifs de surveillance dans les bureaux à domicile des employés, une pratique qui enfreindrait le droit californien du travail.

Si les accusations s’avèrent fondées, cette affaire pourrait entraîner des sanctions substantielles contre Apple en vertu du California Private Attorney General Act. Apple, de son côté, nie fermement ces allégations. Un porte-parole a déclaré que l’entreprise assure une formation annuelle à ses employés sur leurs droits, notamment sur la discussion des salaires, des horaires et des conditions de travail.

Pourtant, cette plainte met en lumière une problématique plus large : celle de la surveillance numérique sur le lieu de travail moderne. Une enquête récente révèle qu’un employé sur cinq est surveillé via des outils numériques, comme des trackers d’activité ou le Wi-Fi. Cependant, aucune preuve n’indique que ces pratiques améliorent réellement la productivité, ce qui soulève des questions sur leur nécessité.

Cette affaire n’est pas un incident isolé pour Apple. L’entreprise a déjà été poursuivie par le National Labor Relations Board (NLRB) des États-Unis pour avoir imposé à ses employés des accords de confidentialité, de non-divulgation et de non-concurrence contenant des clauses jugées illégales. Ces pratiques auraient enfreint les droits fédéraux des travailleurs à s’organiser et à défendre collectivement leurs conditions de travail.

Le débat sur la frontière entre vie personnelle et vie professionnelle prend une nouvelle dimension dans un monde de plus en plus connecté. Alors que des entreprises comme Apple investissent dans des outils numériques pour accroître leur efficacité, elles risquent de brouiller les limites de la vie privée, au détriment des droits individuels de leurs employés.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Entreprise, Justice, loi

La Russie renforce les restrictions sur les hébergeurs étrangers

Roskomnadzor a restreint l’accès à de nombreux hébergeurs étrangers pour non-conformité à la législation russe. AWS et GoDaddy viennent de rejoindre la liste des interdits.

Roskomnadzor (RKN), l’autorité de régulation des communications en Russie, continue de durcir ses mesures contre les hébergeurs étrangers qui ne respectent pas les exigences de la loi dite « d’atterrissage » (loi fédérale n° 236-FZ). Après avoir limité l’accès à huit fournisseurs en mars et avril 2024, le régulateur vient de bloquer Amazon Web Services (AWS) et GoDaddy, laissant seulement Hetzner Online GmbH et FastComet hors de ces restrictions.

La loi impose aux entreprises étrangères fournissant des services en Russie d’ouvrir des bureaux locaux, de créer un compte officiel sur le site de Roskomnadzor et de fournir un formulaire de contact pour les citoyens et organisations russes. Les fournisseurs qui ne respectent pas ces obligations sont non seulement bloqués, mais leurs sites peuvent être marqués comme non conformes dans les résultats des moteurs de recherche russes, compliquant davantage leur visibilité et leur accessibilité.

Depuis le printemps 2024, Roskomnadzor a progressivement restreint l’accès aux services de huit hébergeurs étrangers, invoquant leur non-respect des dispositions prévues par la loi fédérale n° 236-FZ. Ces restrictions ont concerné des sociétés majeures, parmi lesquelles :

Kamatera Inc. (25 mars 2024)
HostGator.com LLC (29 mars 2024)
DigitalOcean LLC (10 avril 2024)
DreamHost LLC (3 avril 2024)

Conformément à la loi, ces entreprises auraient dû créer un compte personnel sur le site de Roskomnadzor. Publier un formulaire de commentaires pour les citoyens et organisations russes. Ouvrir un bureau local pour gérer leurs opérations en Russie. Les Américains et l’Europe imposent aussi ce type de contrôle.

Malgré plusieurs avertissements, les fournisseurs n’ont pas respecté les exigences de Roskomnadzor. Le ministére a d’abord utilisé des outils de sensibilisation publique, tels que des avertissements dans les résultats de recherche sur Yandex pour signaler les violations. Lorsque cela n’a pas suffi, le régulateur a imposé des restrictions totales d’accès aux ressources concernées.

Les récentes décisions de Roskomnadzor marquent une escalade dans les tensions entre le régulateur russe et les hébergeurs étrangers. En mai 2024, les sites de deux autres fournisseurs notables, Amazon Web Services (AWS) et GoDaddy, ont été bloqués pour des raisons similaires. AWS et GoDaddy avaient pourtant évité les premières vagues de restrictions, mais leur incapacité à se conformer aux obligations légales a conduit à leur inclusion dans la liste noire. Il faut dire aussi qu’avoir un bureau en Russie n’est plus possible pour Amazon Web Services ou GoDaddy.

Avec ces nouveaux ajouts, seules Hetzner Online GmbH et FastComet restent autorisées parmi les fournisseurs initialement listés par Roskomnadzor. Cependant, leur situation pourrait également changer si elles ne respectent pas rapidement les règles en vigueur. Les moteurs de recherche russes, tels que Yandex, continuent de signaler les entreprises non conformes, rendant difficile leur utilisation pour les citoyens russes.

Ces mesures s’inscrivent dans un cadre plus large visant à limiter la dépendance de la Russie aux infrastructures étrangères et à garantir que les données des utilisateurs russes soient protégées selon les normes locales. Roskomnadzor a également souligné que les hébergeurs étrangers ne pouvaient pas garantir la sécurité des données, évoquant des risques d’accès non autorisé et d’utilisation des serveurs pour diffuser des contenus interdits.

Blocages !

Facebook et Instagram : En mars 2022, Roskomnadzor a bloqué l’accès à ces plateformes, les qualifiant d' »extrémistes » après que Meta Platforms a autorisé des messages appelant à la violence contre les forces russes.

BBC News : Le site de la BBC a été bloqué en mars 2022, les autorités russes accusant les médias occidentaux de diffuser de la désinformation sur l’invasion de l’Ukraine.

Twitter : Bien que Twitter ne soit pas complètement bloqué, son accès est fortement restreint depuis mars 2022, rendant son utilisation difficile pour les internautes russes.

Deezer : Le service de streaming musical Deezer est également inaccessible en Russie depuis mars 2022, dans le cadre des restrictions sur les plateformes occidentales.

Chess.com : En avril 2022, le site d’échecs en ligne a été bloqué après la publication d’articles critiques sur l’invasion russe en Ukraine.

Applications VPN : Depuis juillet 2024, environ 25 services de VPN, dont Proton VPN, ont été retirés de l’App Store en Russie, limitant les moyens de contourner la censure.

YouTube : En août 2024, les autorités russes ont considérablement ralenti l’accès à YouTube, réduisant le débit à environ 128 kilobits par seconde, rendant la plateforme pratiquement inutilisable.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Cybersécurité, Entreprise, Microsoft, Patch

Massgrave : un crack ultime pour les licences Windows et Office ?

Le groupe de crackers Massgrave annonce avoir trouvé une méthode pour activer presque toutes les versions de Windows et Office, incluant des licences permanentes.

Le groupe de « pirate de logiciels » Massgrave (MassGravel) affirme avoir réalisé une avancée majeure dans le piratage des licences des logiciels Microsoft, permettant désormais d’activer quasiment toutes les versions de Windows et Office de manière permanente.

Selon leurs déclarations, cette nouvelle méthode fonctionne sur toutes les éditions clients et serveurs de Windows, y compris les mises à jour de sécurité étendues (ESU) et les clés de licence spécifiques à Microsoft (CSVLK). Massgrave promet ainsi une activation complète pour des versions allant de Windows Vista jusqu’à Windows 11 et Server 2025.

Cette méthode, encore en développement, pourrait également offrir un support prolongé pour Windows 10 à partir d’octobre 2025, date à laquelle le support officiel prendra fin. Les outils de Massgrave, disponibles en open source sur GitHub, illustrent une nouvelle étape dans la guerre entre Microsoft et les pirates, avec des implications majeures pour la cybersécurité.

Une fenêtre pirate pour Windows

Massgrave a récemment annoncé une méthode permettant d’activer « presque toutes les protections de licence des logiciels Windows et Office » de manière permanente. Leur nouvelle technique, basée sur une extension des solutions de contournement existantes, inclut des fonctionnalités avancées comme la prise en charge des mises à jour de sécurité étendues (ESU) et des licences en volume spécifiques (CSVLK), rendant la méthode compatible avec les dernières versions de Windows et Office. Autant dire que Microsoft pourrait voir d’un très mauvais œil cette annonce.

Depuis des années, l’activation des logiciels Microsoft nécessite une clé valide ou une licence officielle. Cependant, les solutions de contournement, souvent basées sur des lignes de commande PowerShell, permettent d’activer temporairement certaines versions. Massgrave franchit un nouveau cap en revendiquant une méthode capable d’activer définitivement Windows 8, Windows 10, et même Windows 11, ainsi que les dernières éditions d’Office, y compris Server 2025.

Les crackers annoncent également que leur outil offrira un support étendu (ESU) pour Windows 10, prévu pour octobre 2025. Cette fonctionnalité est particulièrement attirante pour les utilisateurs souhaitant prolonger la durée de vie de leurs systèmes après la fin du support officiel.

Le groupe a également souligné que leurs outils, disponibles en open source sous le projet Microsoft Activation Scripts (MAS) sur GitHub, illustrent un paradoxe intéressant : malgré la visibilité de ces projets, Microsoft n’a pris aucune mesure significative pour les bloquer. Il est même rapporté que certains ingénieurs du support Microsoft auraient utilisé les solutions de Massgrave dans des situations de dépannage. (Sic!)

La disponibilité des outils sur GitHub pose des questions sur la politique de tolérance de Microsoft envers ce type de pratiques. Alors que l’entreprise pourrait engager des actions pour limiter leur diffusion, elle semble, jusqu’à présent, adopter une posture passive. Cette situation alimente un débat sur la manière dont les grandes entreprises technologiques gèrent le piratage de leurs propres produits.

Massgrave précise que leur nouvelle méthode est encore en phase de développement et devrait être disponible dans les mois à venir.

Préoccupation pour les entreprises

Pour les entreprises, cette annonce soulève des préoccupations importantes en matière de cybersécurité et de conformité légale. D’abord le risque de se faire piéger par des logiciels crackés. Le cas des logiciels professionnels piégés par l’info stealer Redline en est un parfait exemple.

Ensuite, l’utilisation de cracks, bien qu’elle puisse sembler une solution rapide et économique, expose les utilisateurs à des risques majeurs. Ces outils peuvent inclure des malwares ou des portes dérobées, rendant les systèmes vulnérables aux attaques. De plus, l’usage de logiciels non licenciés constitue une violation des termes d’utilisation, avec des implications légales et financières potentielles.

Alors que Massgrave promet une avancée significative dans le piratage, il est crucial de rappeler que l’utilisation de ces outils n’est pas sans conséquence. Les entreprises comme les particuliers doivent se méfier des solutions « trop belles pour être vraies » et privilégier des alternatives légales pour sécuriser leurs systèmes.

Années 2010 : Premiers outils d’activation temporaire basés sur PowerShell.
2020 : Développement du projet Microsoft Activation Scripts (MAS) par Massgrave.
Décembre 2024 : Annonce d’une méthode révolutionnaire pour activer Windows et Office de manière permanente.
2025 : Prévision d’un support étendu (ESU) pour Windows 10 après la fin du support officiel.

L’annonce de Massgrave illustre les défis croissants auxquels sont confrontées les entreprises technologiques comme Microsoft face au piratage de leurs produits.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Banque, Cybersécurité

Cyberattaque contre la Banque centrale ougandaise : 16,8 millions de dollars volés

Des pirates ont infiltré la Banque centrale ougandaise, dérobant 16,8 millions de dollars. L’enquête en cours soulève des questions sur la cybersécurité et une possible collusion interne.

La Banque centrale ougandaise a été victime d’une cyberattaque qui a conduit au vol de 16,8 millions de dollars (62 milliards de shillings ougandais). Le groupe de pirates, se faisant appeler « Waste », a transféré les fonds vers des comptes à l’étranger, notamment au Japon. Si plus de la moitié des fonds volés ont été récupérés, l’incident met en lumière des failles critiques dans les systèmes financiers ougandais.

Selon New Vision, les autorités enquêtent également sur une possible collusion interne impliquant des employés de la Banque centrale et du ministère des Finances. L’enquête, menée par le département de police criminelle et le commissaire aux comptes, vise à établir les responsabilités et à renforcer la sécurité des infrastructures bancaires.

L’attaque a été revendiquée par un groupe de cybercriminels connu sous le nom de « Waste », qui aurait exploité des failles dans le système informatique de la Banque centrale pour effectuer des transferts frauduleux. Les fonds volés, en partie envoyés vers le Japon, témoignent de la portée internationale de l’attaque. Bien que la Banque centrale ait récupéré plus de la moitié du montant, la perte initiale reste une atteinte grave à sa crédibilité.

Des informations de sources locales indiquent que les pirates pourraient être basés en Asie du Sud-Est, une région où des groupes organisés exploitent régulièrement les systèmes financiers mondiaux. Cependant, une autre piste est également étudiée : celle d’une complicité interne. Plusieurs employés de la Banque centrale et du ministère des Finances ont été interrogés, renforçant l’idée que l’attaque aurait pu être facilitée de l’intérieur.

L’enquête en cours, dirigée par le département de police criminelle et le commissaire aux comptes, bénéficie également d’une collaboration internationale pour retracer les fonds et identifier les responsables. Une coopération avec les autorités japonaises.

La cyberattaque contre la Banque centrale ougandaise illustre les menaces grandissantes auxquelles sont confrontées les infrastructures financières dans un monde hyperconnecté. Les failles techniques et humaines (par le social engineering par exemple) doivent être comblées pour éviter de nouvelles attaques.

Les banques africaines, cibles de choix pour hacker ?

1. Bank of Africa (BOA) Mali – Février 2023

En février 2023, la filiale malienne de la Bank of Africa a subi une cyberattaque majeure. Le groupe de hackers nommé « Medusa » a revendiqué l’attaque, affirmant avoir extrait environ 2 téraoctets de données internes, incluant des informations sensibles sur les clients. Les cybercriminels ont exigé une rançon de 10 millions de dollars en échange de la non-divulgation des données. Malgré les dénégations initiales de la banque, des échantillons de données ont été publiés sur le dark web, confirmant l’ampleur de l’attaque.

La même année, la « Banco Sol » en Angola a été contrainte de suspendre temporairement certains services en raison d’une cyberattaque. Bien que les détails précis de l’attaque n’aient pas été entièrement divulgués, cet incident illustre la menace croissante des cyberattaques contre les institutions financières africaines.

2. State Bank of Mauritius (SBM) – Octobre 2018

En octobre 2018, la State Bank of Mauritius a été victime d’un piratage informatique ayant entraîné la perte de 2,3 millions d’euros. Les attaquants ont infiltré le système de la filiale indienne de la banque, transférant illicitement des fonds vers des comptes à l’étranger. La banque a rapidement détecté l’anomalie et a pu récupérer une partie des fonds, tout en renforçant ses mesures de sécurité par la suite.

Toujours en 2018, NSIA Banque en Côte d’Ivoire a subi un détournement de fonds par piratage informatique, entraînant une perte estimée à près de 1,2 milliard de francs CFA. Les détails spécifiques de l’attaque n’ont pas été largement divulgués, mais cet incident souligne la vulnérabilité des institutions financières face aux cybermenaces.

4. Ecobank Sénégal – Mars 2019

En mars 2019, la filiale sénégalaise d’Ecobank a déclaré avoir été victime d’une fraude informatique, avec un montant détourné s’élevant à 323 millions de francs CFA. Les cybercriminels ont exploité des failles dans le système de la banque pour effectuer des transferts frauduleux. La banque a pris des mesures pour renforcer sa cybersécurité à la suite de cet incident.

Pour suivre les évolutions de cette affaire et découvrir des conseils pour sécuriser vos données et infrastructures, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Restons vigilants face aux cybermenaces émergentes.

Argent, Entreprise

L’Iran réglemente les crypto-monnaies pour contourner les sanctions

L’Iran choisit la réglementation plutôt que l’interdiction des crypto-monnaies, visant contrer les sanctions américaines et s’aligner sur l’économie mondiale.

L’Iran, pays fortement impacté par les sanctions économiques internationales, adopte une stratégie en choisissant de réglementer les crypto-monnaies au lieu de les interdire. Selon Abdolnasser Hemmati, ministre de l’Économie et des Finances, les autorités cherchent à exploiter le potentiel des crypto-actifs pour stimuler l’emploi des jeunes, réduire l’impact des sanctions américaines et intégrer le pays dans l’économie mondiale.

La Banque centrale d’Iran jouera un rôle central en devenant l’organisme de réglementation des crypto-monnaies. Elle aidera les traders à se conformer aux lois fiscales et anti-blanchiment d’argent. Avec des investisseurs iraniens détenant entre 30 et 50 milliards de dollars en actifs cryptographiques – un tiers du marché total de l’or du pays –, cette initiative reflète un potentiel économique significatif.

En outre, des discussions sont en cours avec la Russie pour créer un stablecoin commun destiné aux transactions internationales, renforçant ainsi le rôle stratégique des crypto-monnaies pour l’Iran.

Une stratégie économique tournée vers les crypto-monnaies

L’Iran voit dans les crypto-monnaies une opportunité unique de surmonter les restrictions imposées par les sanctions américaines. Depuis 2022, les entreprises locales sont autorisées à utiliser des actifs numériques pour les transactions d’importation, une mesure destinée à contourner les blocages financiers internationaux.

En 2023, la Banque centrale d’Iran a entamé des discussions avec la Russie sur la création d’un stablecoin régional, permettant de faciliter les règlements commerciaux bilatéraux tout en réduisant la dépendance au dollar américain. Cette initiative pourrait offrir une alternative durable pour les échanges internationaux des deux pays, renforçant leur résilience économique face aux pressions occidentales.

« Les actifs cryptographiques détenus par les Iraniens représentent entre 30 et 50 milliards de dollars, un tiers de la valeur du marché de l’or national. »

Avec une grande partie des échanges cryptographiques centralisés affiliés au gouvernement, l’Iran espère utiliser ces plateformes pour attirer des investissements, encourager l’innovation et stimuler l’emploi dans les secteurs technologiques et financiers.

Un cadre réglementaire sous l’égide de la banque centrale

La Banque centrale d’Iran deviendra le principal organisme de réglementation des crypto-monnaies, orientant les politiques pour équilibrer les opportunités économiques et les risques associés. Les efforts se concentreront sur la lutte contre le blanchiment d’argent, la conformité fiscale et la création d’un environnement sûr pour les traders de crypto.

Cette approche vise à éliminer les impacts négatifs des actifs cryptographiques tout en exploitant leur potentiel économique. Le ministre de l’Économie, Abdolnasser Hemmati, a souligné que cette réglementation pourrait transformer les crypto-monnaies en outil de croissance économique, en particulier pour les jeunes Iraniens, tout en offrant une alternative pour contrer les sanctions.

« La Banque centrale iranienne guidera les traders pour respecter les lois fiscales et anti-blanchiment, favorisant un écosystème cryptographique sûr et conforme. »

En favorisant l’adoption des crypto-monnaies, l’Iran espère également intégrer son économie dans le paysage mondial, tout en réduisant sa dépendance aux systèmes financiers traditionnels. Le hic! Les pirates pourraient passer par ce biais pour blanchir l’argent volé, comme ce fût le cas avec deux entreprises Russes épinglées par la NCA britanniques.

Défis et perspectives économiques

Malgré les opportunités offertes par les crypto-monnaies, des défis subsistent. Une étude récente a révélé que la plupart des échanges cryptographiques iraniens sont affiliés au gouvernement et participent au contournement des sanctions.

Depuis 2023, le projet de stablecoin commun avec la Russie souligne une vision régionale stratégique, avec la création d’un mécanisme alternatif pour les règlements commerciaux. Ce partenariat pourrait inspirer d’autres pays cherchant à se libérer de la domination du dollar et des sanctions dans le commerce mondial.

En réglementant les crypto-monnaies, l’Iran adopte une approche visant à stimuler son économie tout en contournant les sanctions internationales. En raison des sanctions américaines, il est interdit aux plateformes internationales d’actifs numériques de fournir des services aux utilisateurs iraniens. Selon une étude diffusée en octobre 2024, il existerait 90 plateformes de trading de crypto-monnaies en activité en Iran. Parmi ceux-ci, plus de 10 fonctionnent comme des échanges centralisés avec des sites Web et des applications. Il y aurait entre 15 à 19 millions d’utilisateurs actifs.

Pour rester informé des évolutions sur les crypto-monnaies et les stratégies économiques mondiales, abonnez-vous à notre newsletter ou rejoignez notre groupe WhatsApp. Découvrez comment les nouvelles technologies redessinent l’économie mondiale.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.

Cybersécurité, Entreprise

Le géant BT cible d’une tentative de cyberattaque par le groupe Black Basta

BT Group, acteur majeur des télécommunications britanniques, confirme une tentative de cyberattaque, revendiquée par le groupe de ransomware Black Basta.

BT Group, pilier des télécommunications britanniques, a révélé une tentative de cyberattaque visant sa plateforme de conférence. Le groupe de ransomware Black Basta, apparu en 2022, a revendiqué l’incident, affirmant avoir exfiltré des données sensibles, notamment des informations personnelles sur les employés et des accords de non-divulgation.

Selon un porte-parole de BT, l’incident a été rapidement circonscrit à une partie spécifique de la plateforme, sans impact sur les services de conférence en direct ni sur les infrastructures critiques de l’entreprise. BT, qui emploie environ 100 000 personnes et génère plus de 20 milliards de livres sterling de chiffre d’affaires, collabore avec les autorités pour enquêter sur cet incident.

Black basta, un acteur redouté du ransomware

Apparu en 2022, le groupe de ransomware Black Basta est rapidement devenu une menace notable, ciblant des secteurs stratégiques tels que la santé et les infrastructures critiques. Son modèle repose sur le double extorsion : chiffrer les données des entreprises tout en menaçant de publier des informations sensibles sur leur site de fuites.

Dans le cas de BT, Black Basta prétend avoir obtenu des informations personnelles relatives aux employés ainsi que des accords de non-divulgation et d’autres documents sensibles. Bien que BT n’ait pas confirmé ces revendications, cette tentative montre que même les géants des télécommunications ne sont pas à l’abri des cybermenaces sophistiquées.

« Black Basta : un groupe de ransomware qui cible des secteurs stratégiques avec des méthodes de double extorsion. »

Les autorités américaines ont déjà émis des avertissements concernant Black Basta, en raison de son implication dans des attaques à grande échelle. Ce groupe continue d’évoluer, adoptant des techniques avancées pour contourner les défenses des entreprises et exploiter leurs vulnérabilités.

Une tentative d’attaque circonscrite mais préoccupante

BT a rapidement réagi en isolant la plateforme de conférence affectée, limitant ainsi l’impact de l’incident. L’entreprise a confirmé que les serveurs touchés ne prennent pas en charge ses services de conférence en direct et que les infrastructures critiques, telles que les centraux téléphoniques britanniques, n’ont pas été affectées.

Cependant, l’attaque soulève des questions sur la sécurité des données d’entreprise et les informations sensibles détenues par BT. Les fichiers présentés par Black Basta comme preuve de la compromission incluraient des informations personnelles sur les employés et des documents confidentiels, renforçant les préoccupations quant à l’exposition des données internes.

« L’incident illustre les risques croissants pour les entreprises gérant des infrastructures critiques. »

BT travaille activement avec les régulateurs et les forces de l’ordre pour enquêter sur cet incident et renforcer ses défenses. Cette réponse souligne l’importance de collaborations rapides et efficaces pour minimiser les impacts des cyberattaques.

Un rappel des menaces pour les infrastructures critiques

L’attaque contre BT s’inscrit dans un contexte de cybermenaces croissantes ciblant les entreprises gérant des infrastructures critiques. En tant que fournisseur historique de télécommunications au Royaume-Uni, BT joue un rôle central dans l’écosystème technologique national. Toute attaque visant ses systèmes pourrait avoir des conséquences graves pour les services dépendant de son infrastructure.

Les groupes de ransomware comme Black Basta exploitent les vulnérabilités des entreprises pour exfiltrer des données sensibles et exercer une pression financière et réputationnelle. Cette attaque met en évidence l’importance pour les entreprises stratégiques de renforcer leurs systèmes de sécurité, d’investir dans des solutions de détection avancées et de former leurs employés à reconnaître les menaces.

Cette tentative de compromission, bien que limitée dans son impact immédiat, est un rappel que les entreprises doivent rester vigilantes face à des acteurs cybercriminels toujours plus audacieux et sophistiqués.

Cette tentative de cyberattaque contre BT Group illustre une fois de plus les risques auxquels sont confrontées les entreprises gérant des infrastructures critiques. A voir maintenant si l’incident a bien été circonscrit.
Pour rester informé des cybermenaces et découvrir des solutions pour protéger votre organisation, abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp. Ensemble, préparons-nous face à l’évolution des cybermenaces mondiales !

cyberattaque, Cybersécurité

Cyberattaque chez Blue Yonder : le groupe Termite revendique le vol de 680 Go de données sensibles

Blue Yonder, géant des logiciels détenu par Panasonic, subit une cyberattaque majeure. Le gang Termite revendique 680 Go de données volées et plusieurs victimes mondiales.

Blue Yonder, fournisseur de solutions logicielles pour plus de 3 000 grandes entreprises dans 76 pays, est au cœur d’une cyberattaque revendiquée par le groupe Termite. Ce gang de ransomware, actif depuis avril, affirme avoir volé 680 Go de données, incluant des emails, documents d’assurance et informations sensibles d’entreprise. L’attaque, révélée le 21 novembre juste avant Thanksgiving, a provoqué des perturbations majeures dans les systèmes de ses clients, parmi lesquels des supermarchés, des fabricants et des entreprises comme Starbucks.

Blue Yonder, acquis par Panasonic en 2021 pour 8,5 milliards de dollars, a déclaré que plusieurs systèmes clients ont été rétablis et travaille en collaboration avec des experts en cybersécurité pour renforcer ses défenses. Cependant, cette attaque met en lumière la persistance des groupes de ransomware comme Termite, liés à la famille Babuk, et leur capacité à cibler des infrastructures critiques dans le monde entier.

Blue Yonder, une cible de choix pour le groupe termite

Blue Yonder, spécialiste des logiciels de gestion de la chaîne d’approvisionnement, est une cible stratégique. Ses solutions, utilisées par plus de 3 000 entreprises dans 76 pays, jouent un rôle clé dans la logistique, la livraison et les retours. L’impact d’une attaque sur une telle organisation dépasse ses propres systèmes, affectant directement les opérations de ses clients, dont des supermarchés et des géants comme Starbucks.

Le 21 novembre 2024, juste avant Thanksgiving, Blue Yonder a révélé qu’une cyberattaque avait compromis ses systèmes. Le gang Termite a revendiqué cette attaque, affirmant avoir volé 680 Go de données, incluant des emails, des documents financiers et des informations sensibles d’entreprise. Les déclarations de Termite soulignent leur audace, d’autant plus qu’ils ont déjà revendiqué des attaques contre des entités gouvernementales, comme celle de l’île de La Réunion.

Blue Yonder a confirmé que plusieurs clients touchés ont pu être remis en ligne, dont BIC, Starbucks et Morrisons, mais n’a pas précisé si une rançon avait été exigée. Cette attaque montre à quel point les infrastructures critiques restent vulnérables aux groupes de ransomware, qui évoluent et adaptent constamment leurs outils pour contourner les défenses.

Sainsbury’s, l’une des plus grandes chaînes de supermarchés du Royaume-Uni, a déclaré que ses services avaient été rétablis depuis qu’elle a été touchée par l’attaque par ransomware. Une autre grande chaîne de supermarchés britannique, Morrisons, a expliqué que l’attaque avait eu un impact sur les systèmes de gestion des entrepôts de l’entreprise pour les produits frais et les fruits et légumes.

Termite, un groupe de ransomware en pleine expansion

Le gang Termite, actif depuis avril 2024, a multiplié les attaques contre des cibles variées, allant d’entreprises privées à des institutions gouvernementales. Leur revendication de l’attaque contre Blue Yonder n’est pas un cas isolé : ils ont également pris pour cible l’administration de La Réunion et de nombreuses autres victimes à travers le monde, souvent sans confirmation officielle des entités touchées.

Selon les experts en cybersécurité, le code utilisé par Termite présente des similitudes avec celui de Babuk, un groupe de ransomware bien connu. Cependant, des analyses récentes menées par Trend Micro montrent que leur malware comporte encore des erreurs, ce qui suggère que le groupe est en phase d’apprentissage et d’évolution.

Les groupes comme Termite exploitent la cybercriminalité non seulement pour le gain financier, mais aussi pour semer la peur et la confusion parmi leurs victimes. Ces attaques mettent en évidence la nécessité pour les entreprises de renforcer leur cybersécurité et de collaborer avec des experts pour se protéger contre des groupes toujours plus sophistiqués. Termine est le groupe qui a attaqué le Département de La Réunion / Mayotte.

Impacts et enseignements pour les entreprises

Cette attaque rappelle l’importance cruciale de la cybersécurité pour les grandes entreprises. En 2021 déjà, Blue Yonder avait été victime d’un ransomware, montrant que les cybercriminels ciblent régulièrement les organisations qui gèrent des données sensibles ou des infrastructures critiques.

Depuis son acquisition par Panasonic en 2021 pour 8,5 milliards de dollars, Blue Yonder a renforcé sa présence sur le marché mondial. Cependant, ces gains attirent également l’attention des cybercriminels. Les conséquences d’une telle attaque peuvent être dévastatrices : perturbation des chaînes d’approvisionnement, perte de données critiques, atteinte à la réputation et, potentiellement, des coûts importants liés au paiement d’une rançon ou à la récupération des systèmes.

Les experts insistent sur l’importance d’un plan de réponse aux incidents, de la formation du personnel et de la collaboration avec des partenaires en cybersécurité pour prévenir les attaques futures. Le cas de Termite montre également que les groupes de ransomware deviennent de plus en plus agressifs et ne se limitent plus à demander une rançon, mais cherchent à maximiser leurs gains en exploitant les données volées.

Pour suivre les dernières actualités sur la cybersécurité et apprendre comment protéger votre entreprise, abonnez-vous à notre newsletter  et rejoignez notre groupe WhatsApp. Informez-vous pour anticiper les menaces et renforcer vos défenses numériques !

Cybersécurité, Entreprise

Cyberattaque ciblant une multinationale américaine : enquête sur une offensive chinoise sophistiquée

Une multinationale américaine, possédant des actifs en Chine, a été victime d’une cyberattaque sophistiquée orchestrée par des pirates chinois entre avril et août 2024.

Entre avril et août 2024, une entreprise américaine d’envergure internationale, active en Chine, a été la cible d’une cyberattaque orchestrée par un groupe de pirates chinois. Bien que le nom de l’entreprise reste confidentiel, cette attaque s’inscrit dans un contexte de cyberespionnage intensifié visant les grandes entreprises opérant sur le marché chinois.

Les experts de Symantec ont identifié des indices clairs pointant vers une stratégie élaborée impliquant des outils open source comme PowerShell, FileZilla et WinRAR, mais également des méthodes complexes comme le « Kerberoasting ».

Les assaillants ont exploité des vulnérabilités des systèmes, notamment les serveurs Exchange, pour exfiltrer des données sensibles. Cette attaque s’ajoute à une série d’actions malveillantes similaires, notamment celles du groupe Daggerfly, qui avait ciblé cette même entreprise en 2023. Une enquête approfondie révèle les tactiques et les outils utilisés, ainsi que leurs implications sur la cybersécurité mondiale.

Un scénario bien orchestré : des attaques ciblées et des outils open source

L’attaque a débuté le 11 avril 2024, marquant le point de départ d’une campagne cybercriminelle méticuleusement orchestrée. Les assaillants ont commencé par exploiter les commandes Windows Management Instrumentation (WMI) pour explorer l’infrastructure cible et collecter des données critiques. Rapidement, des techniques avancées comme le « Kerberoasting » ont été utilisées pour interroger Active Directory et obtenir des informations d’authentification.

Un des points marquants de cette attaque est l’utilisation d’outils open source bien connus dans le domaine de la cybersécurité, comme FileZilla et PuTTY, rebaptisé en « putty.exe ». Cette approche, surnommée « vivre de la terre », consiste à détourner des outils légitimes pour éviter la détection. De plus, PowerShell et WinRAR ont été mis à contribution pour compresser et exfiltrer les données, tandis que PsExec a permis une gestion à distance des ressources piratées.

Les cybercriminels ont su structurer leurs attaques en répartissant les rôles entre différentes machines, accentuant l’efficacité de leur intrusion. Cette méthodologie témoigne d’une organisation poussée, où chaque machine se voyait attribuer une tâche spécifique, qu’il s’agisse de la collecte d’informations, de l’extraction ou de la persistance réseau.

Empreintes numériques et pistes chinoises

Des éléments retrouvés sur les systèmes compromis relient directement cette attaque au groupe chinois Crimson Palace. Parmi ces indices figurent des fichiers malveillants utilisés dans des attaques similaires par ce groupe par le passé. Les pirates ont également usé d’une DLL malveillante, introduite le 13 juin via « iTunesHelper.exe », renforçant la complexité de l’attaque.

Ce type d’opération reflète une approche méthodique. L’utilisation d’outils comme Impacket démontre la maîtrise des techniques modernes de cyberespionnage. Crimson Palace est connu pour ses campagnes visant à collecter des renseignements industriels et stratégiques, notamment en exploitant les infrastructures critiques d’entreprises étrangères opérant en Chine.

L’enquête révèle aussi une résilience réseau impressionnante mise en place par les assaillants. À l’aide de modifications dans le registre, de WMI et de PsExec, ils ont établi des points d’entrée persistants pour garantir un accès prolongé, même après la découverte initiale de l’intrusion.

Des leçons à tirer pour la cybersécurité mondiale

Les outils et méthodes employés dans cette attaque illustrent une tendance préoccupante : l’adoption par les cybercriminels d’une approche hybride mêlant exploitation des vulnérabilités internes et utilisation d’outils open source. Cette combinaison leur permet d’opérer sous le radar des systèmes de détection classiques.

Les experts de Symantec insistent sur la nécessité pour les entreprises de surveiller en continu leurs infrastructures, en particulier les serveurs Exchange, souvent ciblés pour leur valeur stratégique. Par ailleurs, la sophistication de cette attaque met en lumière l’importance de la formation des équipes internes à la cybersécurité et la mise en place de politiques rigoureuses de gestion des accès.

Les entreprises doivent également investir dans des solutions de détection avancées, capables d’identifier les comportements anormaux liés aux outils open source et aux techniques comme le « Kerberoasting ». Enfin, les partenariats internationaux restent essentiels pour répondre aux menaces transnationales, en particulier face à des groupes comme Crimson Palace ou Daggerfly.

Cette attaque rappelle l’importance de rester vigilant face aux menaces cybernétiques sophistiquées. Pour approfondir vos connaissances sur la cybersécurité et suivre les dernières actualités, abonnez-vous à notre newsletter et rejoignez notre groupe WhatsApp.

backdoor, Cybersécurité, Entreprise

Les opérateurs téléphoniques refusent de fournir des données de sécurité à l’armée américaine

Les opérateurs téléphoniques américains refusent de partager avec le Pentagone les résultats de tests de sécurité, invoquant le secret professionnel.

Le refus des opérateurs téléphoniques de partager les résultats de tests de sécurité avec le Pentagone soulève des préoccupations majeures en matière de cybersécurité nationale.

Le 4 décembre 2024, une lettre révélait que des entreprises de télécommunications américaines refusaient de fournir au Département de la Défense les résultats de leurs tests et audits de sécurité numérique, invoquant le privilège avocat-client. Cette situation a suscité l’indignation de sénateurs, qui estiment que le Pentagone, en tant que l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, devrait exiger des normes de cybersécurité plus strictes de la part de ses fournisseurs.

Un refus justifié par le secret professionnel

Selon les informations divulguées par Reuters, le Pentagone a sollicité les résultats de tests et d’audits de sécurité numérique auprès des opérateurs téléphoniques avec lesquels il contracte pour des services de télécommunications. Cependant, ces entreprises ont refusé de partager ces informations, arguant qu’elles sont protégées par le privilège « avocat-client« . Cette position a été confirmée par des réponses fournies au sénateur démocrate Ron Wyden [lire].

Les réponses du Département de la Défense n’ont pas nommé spécifiquement les opérateurs concernés. Cependant, il est connu que des entreprises telles qu’AT&T, Verizon et T-Mobile fournissent des services sans fil commerciaux pour des usages non classifiés au sein du gouvernement. Ces entreprises n’ont pas immédiatement répondu aux sollicitations pour commenter cette affaire.

Une cybersécurité nationale en question

La sécurité des télécommunications américaines, en particulier via des opérateurs commerciaux, est devenue une préoccupation majeure après une série d’intrusions attribuées à des hackers chinois. Des responsables américains ont précédemment allégué qu’un groupe de hackers, surnommé « Salt Typhoon », avait dérobé des enregistrements audio téléphoniques limités, ainsi qu’une grande quantité de données d’appels. Ces enregistrements concernaient principalement des personnes dans la région de Washington.

Les autorités chinoises ont qualifié ces allégations de désinformation, affirmant que Pékin « s’oppose fermement et combat les cyberattaques et le cybervol sous toutes ses formes ». Le jeudi suivant la révélation de cette affaire, les sénateurs devaient recevoir un briefing confidentiel sur « Salt Typhoon » et son impact sur les données américaines.

Dans une lettre co-signée avec le sénateur républicain Eric Schmitt, le sénateur Wyden a exprimé son mécontentement face à cette situation. Ils ont souligné que, bien que le Pentagone soit l’un des plus grands acheteurs de services téléphoniques sans fil aux États-Unis, il n’a pas utilisé son pouvoir d’achat pour exiger des défenses cybernétiques et une responsabilité accrues de la part des opérateurs.

Implications pour la sécurité nationale

Le refus des opérateurs de partager des informations cruciales avec le Département de la Défense soulève des questions sur la capacité du gouvernement à protéger ses communications sensibles. Cette situation met en lumière la nécessité d’une collaboration renforcée entre le secteur privé et les agences gouvernementales pour assurer la sécurité des infrastructures critiques.

Les opérateurs de télécommunications ont l’obligation de protéger les données de leurs utilisateurs. En France, par exemple, le Règlement Général sur la Protection des Données (RGPD) impose aux opérateurs de mettre en place des mesures techniques et organisationnelles pour assurer la sécurité des données personnelles. Ils doivent également notifier toute violation de données à la CNIL dans les 72 heures et, si nécessaire, informer les personnes concernées.

L’accès des autorités publiques aux données conservées par les opérateurs téléphoniques est encadré par la loi. En France, par exemple, l’accès aux données de trafic des communications électroniques par les autorités publiques constitue une ingérence dans les droits fondamentaux, qui doit être proportionnée et justifiée par des motifs légitimes, tels que la prévention et la répression des infractions pénales. En France, les opérateurs de télécommunication sont tenus de conserver les données de connexion de leurs utilisateurs pendant un an à des fins de lutte contre la criminalité et le terrorisme. Cette obligation a été confirmée par le Conseil d’État, qui a jugé que la conservation généralisée des données est justifiée par la menace existante pour la sécurité nationale.

La réticence des opérateurs téléphoniques américains à partager des informations de sécurité avec le Département de la Défense met en lumière les défis complexes de la cybersécurité nationale. Il est essentiel que les entreprises et les gouvernements collaborent étroitement pour protéger les infrastructures critiques et les données sensibles. Les exemples internationaux, tels que les réglementations européennes sur la protection des données, peuvent offrir des perspectives sur la manière de concilier la sécurité nationale et la protection des droits individuels.

L’ambiance est-elle que même le FBI incite à l’utilisation de messageries chiffrées ! Dans une alerte de ce 4 décembre, la CISA (Cybersecurity and Infrastructure Security Agency), la NSA (National Security Agency), le FBI (Federal Bureau of Investigation), le Centre australien de cybersécurité (ACSC), le Centre canadien pour la cybersécurité (CCCS), et le Centre national de cybersécurité de Nouvelle-Zélande (NCSC-NZ) alertent sur une vaste campagne d’espionnage menée par des acteurs affiliés à la République populaire de Chine (RPC). Ces derniers auraient compromis les réseaux de grands fournisseurs mondiaux de télécommunications pour accéder à des informations sensibles. Cette alerte vise à fournir des pratiques exemplaires pour protéger les infrastructures et équipements critiques, tout en renforçant leur visibilité et leur durcissement face aux menaces.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

Cybersécurité, Entreprise

2025 : IA et ingénierie sociale aux mains des hackers ?

Alors que 2024 s’achève, voici les prédictions de Data Security Breach pour 2025, une année où l’Intelligence Artificielle (IA) et les attaques sur les identités promettent de redéfinir le paysage de la cybersécurité. Avec une sophistication accrue des cybermenaces, les entreprises et individus devront redoubler de vigilance face aux nouvelles formes d’ingénierie sociale et d’attaques assistées par IA.

Les plateformes cloud comme AWS, GCP, et autres environnements similaires, devenues indispensables pour les entreprises, continuent d’être des cibles de choix pour les cybercriminels. La stratégie des attaquants n’a jamais été aussi claire : compromettre des identités plutôt que des systèmes.

Les vulnérabilités liées aux identités, telles que :

Comptes à privilèges excessifs avec identifiants faibles.
Comptes d’anciens collaborateurs désactivés mais non sécurisés.
Accès dormant laissé actif après une démission.
permettent aux attaquants de s’infiltrer sans déclencher d’alertes. Une fois un compte compromis, ces acteurs malveillants peuvent « se connecter » aux ressources sensibles, sans effort ni piratage technique complexe. La sécurisation des identités devient ainsi une priorité absolue pour les entreprises en 2025.

L’IA : entre innovation et menace

Une IA plus avancée pour la détection des menaces. En 2025, les systèmes d’IA devraient atteindre de nouveaux sommets. Des modèles avancés permettront :

Une détection améliorée des menaces internes avec une précision inégalée.
Une prédiction proactive des cyberattaques, limitant leur impact avant qu’elles ne se concrétisent.
La collaboration mondiale d’IA pour instaurer des standards de sécurité réactive et proactive.

La répression de l’IA générative

Toutefois, les entreprises seront également confrontées à un revers de la médaille. En 2025, les dirigeants comprendront que l’IA générative n’apporte pas que des avantages. Nous pourrions voir apparaitre un usage restreint et contrôlé autour de cas spécifiques ayant prouvé leur utilité. Les applications non essentielles seront limitées pour éviter des dérives coûteuses et risquées. Cependant, le contrôle s’annonce déjà très compliqué et potentiellement liberticide.

Ingénierie sociale et arnaques avancées : des outils plus puissants

Ingénierie sociale sophistiquée. L’ingénierie sociale, une méthode classique d’exploitation des comportements humains, continuera d’évoluer en 2025 grâce à l’IA générative. Cette dernière permettra de :

Créer des contenus réalistes (textes, images, voix, vidéos) pour tromper les cibles.
Améliorer la personnalisation des attaques, rendant les campagnes de phishing presque indétectables.
Les acteurs malveillants pourront exploiter ces outils pour produire des contenus sophistiqués à faible coût, augmentant l’impact psychologique sur leurs victimes.

Les arnaques vocales (vishing) et les vidéos générées par IA (deepfakes) deviendront encore plus convaincantes en 2025. L’une des innovations les plus inquiétantes sera la combinaison de voix synthétiques et de deepfakes vidéo lors d’appels en temps réel. Cette technologie permettra aux cybercriminels :

D’interagir directement avec leurs victimes en simulant l’apparence et la voix d’un proche ou d’un supérieur hiérarchique.
De manipuler des employés pour autoriser des transferts de fonds ou divulguer des informations sensibles.
Multiplication des menaces assistées par IA

L’IA générative permettra des campagnes de phishing d’une précision jamais vue. Les attaques utiliseront des données publiques ou compromises pour créer des e-mails, messages ou appels authentiques et ciblés.

Exploitation des vulnérabilités à distance

Les cyberattaques à distance, comme le minage illicite de cryptomonnaies, resteront un vecteur de menace majeur. Couplées à l’IA générative, ces attaques deviendront plus complexes, contournant les mesures de sécurité traditionnelles et nécessitant des contre-mesures sophistiquées.

Se préparer aux défis cybersécurité de 2025

Les prévisions du Threat Labs soulignent que 2025 sera une année charnière pour la cybersécurité. Les entreprises et les individus devront investir dans des technologies modernes et repenser leurs stratégies pour contrer ces nouvelles menaces. Quelques axes clés pour se préparer :

Renforcer la gestion des identités et des accès : Supprimer les comptes dormants, implémenter des politiques robustes de mots de passe et activer une authentification multifactorielle.
Investir dans l’IA pour la sécurité : Intégrer des systèmes capables de détecter et de prévenir les comportements anormaux.
Sensibiliser les employés : Former les collaborateurs à reconnaître les tactiques d’ingénierie sociale, même lorsqu’elles sont sophistiquées.
Collaborer à l’échelle mondiale : Participer à des initiatives internationales pour établir des standards de sécurité contre les menaces générées par l’IA.

En 2025, le paysage de la cybersécurité sera marqué par des avancées technologiques et des menaces inédites. L’IA générative, bien qu’offrant des opportunités de protection sans précédent, sera également exploitée par des cybercriminels toujours plus inventifs.

Pour anticiper ces défis, il est essentiel de rester informé et de mettre en place des stratégies de défense modernes et adaptatives. Rejoignez la newsletter de ZATAZ MEDIA et le Groupe WhatsApp pour ne rien manquer des actualités et des conseils en cybersécurité.

article partenaire, Entreprise

Le métier de SSIAP : rôle et missions essentielles de la sécurité incendie

Le Service de Sécurité Incendie et d’Assistance à Personnes, plus connu sous son acronyme SSIAP, joue un rôle crucial dans la sécurité des établissements recevant du public (ERP) et des immeubles de grande hauteur (IGH). La sécurité des personnes et des biens, dont l’environnement informatique, en cas d’incendie ou d’incidents majeurs, est au cœur des préoccupations des agents SSIAP, chargés de veiller, prévenir et intervenir.

Mais qu’est-ce exactement le SSIAP ? Quelles sont les missions de ce service et pourquoi est-il si indispensable ? Dans cet article, nous découvrirons en profondeur les responsabilités des agents SSIAP, leur formation et leur quotidien, pour mieux comprendre leur importance dans la sécurité incendie.

Qu’est-ce que le SSIAP ?

Le SSIAP, ou « Service de Sécurité Incendie et d’Assistance à Personnes », est une qualification spécifique dédiée à la sécurité incendie, particulièrement dans les bâtiments accueillant du public et dans les immeubles de grande hauteur. SSIAP signification : cela renvoit à une spécialisation en sécurité incendie pour laquelle un personnel qualifié est formé et certifié. Les agents SSIAP sont formés pour réagir de manière efficace face aux incendies, garantir une évacuation rapide des lieux, sécuriser les installations, et fournir une assistance immédiate aux personnes en situation de danger.

Il existe trois niveaux de certification SSIAP : SSIAP 1, SSIAP 2, et SSIAP 3, chacun correspondant à un niveau de responsabilité et de compétences accru. Le SSIAP 1 forme les agents de sécurité incendie à l’exécution des tâches de base de prévention et d’intervention. Le SSIAP 2 qualifie les chefs d’équipe pour la supervision des agents, tandis que le SSIAP 3 désigne les chefs de service, chargés de la gestion globale de la sécurité incendie au sein d’un établissement.

Les missions principales d’un agent SSIAP

Les missions d’un agent SSIAP sont diversifiées et demandent une vigilance constante, une capacité d’anticipation ainsi qu’une réactivité sans faille. Dans les grandes lignes, leurs missions se répartissent en quatre grands axes : la prévention des incendies, l’assistance à personnes, l’intervention en cas d’incendie, et la gestion des installations de sécurité incendie.

  1. La prévention des incendies
    La prévention est le pilier central des missions des agents SSIAP. Avant même de devoir intervenir, ils sont chargés de veiller à ce que les normes de sécurité incendie soient respectées. Cela inclut des rondes régulières pour détecter tout risque potentiel, le contrôle des issues de secours, des dispositifs d’alarme incendie, et des extincteurs. La prévention passe également par une sensibilisation continue du personnel et des occupants aux consignes de sécurité, pour garantir une évacuation rapide et ordonnée en cas de sinistre.
  2. L’assistance à personnes
    En cas d’incendie, les agents SSIAP sont responsables de l’évacuation et de l’assistance aux personnes en situation de danger. Ils s’assurent que les procédures d’évacuation sont bien appliquées, viennent en aide aux personnes en difficulté (personnes à mobilité réduite, enfants, personnes paniquées), et veillent à leur sécurité jusqu’à ce qu’elles soient hors de danger. Leur présence et leur action immédiate sont essentielles pour réduire les risques de blessure et rassurer les occupants pendant l’évacuation.
  3. L’intervention en cas d’incendie
    Lorsqu’un incendie se déclare, la rapidité d’intervention est essentielle pour éviter sa propagation et minimiser les dégâts. Les agents SSIAP suivent une formation poussée pour éteindre les incendies avec des moyens appropriés et utiliser les équipements de sécurité tels que les extincteurs, les lances à incendie et les systèmes de désenfumage. Ils collaborent avec les pompiers en leur fournissant des informations cruciales (plans d’évacuation, accès aux points névralgiques) pour faciliter leur intervention.
  4. La gestion des installations de sécurité incendie
    Un autre aspect fondamental de leur mission est la vérification et la maintenance des installations de sécurité incendie, comme les détecteurs de fumée, les alarmes, les dispositifs de désenfumage et les portes coupe-feu. Cette surveillance régulière permet de s’assurer que ces équipements sont toujours en parfait état de fonctionnement et qu’ils répondent aux normes légales. En cas de dysfonctionnement, les agents SSIAP sont responsables de signaler et de coordonner les réparations pour éviter tout risque.

Les qualités et la formation d’un agent SSIAP

Devenir agent SSIAP nécessite de suivre une formation spécifique, réglementée par la loi. La formation SSIAP comprend des cours théoriques et pratiques pour acquérir les compétences en sécurité incendie, en évacuation, et en gestion de crise. Cette formation inclut des simulations d’incendies, des exercices d’évacuation et des études de cas pour préparer les agents aux situations les plus diverses.

Les qualités requises pour ce métier sont nombreuses : une excellente condition physique, un sens aigu de l’observation, de la rigueur, un bon esprit d’équipe, et une capacité de gestion du stress. En effet, en situation d’urgence, il est crucial pour un agent SSIAP de garder son sang-froid, de rester concentré, et de prendre des décisions rapides pour assurer la sécurité des personnes. Un bon agent SSIAP est également doté d’une grande capacité de communication, car il est en contact direct avec le public et doit savoir transmettre des consignes claires en cas d’évacuation.

Un maillon indispensable de la sécurité incendie

Les agents SSIAP sont aujourd’hui des acteurs incontournables dans la prévention et la gestion des incendies. Grâce à leur présence et à leurs actions, ils contribuent à éviter des drames humains et matériels au sein des établissements qu’ils surveillent. Ils jouent également un rôle pédagogique en sensibilisant régulièrement les occupants et en veillant à ce que les règles de sécurité soient respectées.

Ainsi, le SSIAP ne se limite pas à une simple intervention en cas d’incendie : il assure un rôle de veille, de prévention, et de sécurité permanente. En garantissant un environnement sécurisé et en étant préparés à gérer l’inattendu, les agents SSIAP incarnent une assurance de tranquillité pour les établissements recevant du public et les immeubles de grande hauteur. Leur mission est essentielle pour la protection des individus et des biens, prouvant que la sécurité incendie est bien plus qu’un simple protocole, mais un engagement quotidien au service de tous.

Banque, Entreprise

Les fuites d’informations personnelles en Russie : un pays en crise

Au cours des deux dernières années, les principales sources de fuites d’informations personnelles sur les citoyens Russes ont été les magasins en ligne et les établissements médicaux, tandis que les organismes bancaires ne représentaient que 2 % de l’ensemble des fuites.

Stanislav Kuznetsov a décrit la situation en matière de protection des données en Fédération de Russie comme « déplorable », affirmant qu’au cours de cette période, les données personnelles d’au moins 90 % de la population adulte ont été rendues publiques. Cette statistique choquante souligne la vulnérabilité des systèmes de sécurité dans plusieurs secteurs cruciaux.

La majorité des fuites proviennent de secteurs tels que le commerce en ligne et les établissements médicaux, et non des institutions bancaires.

Un pic des fuites en 2023

Le vice-président a souligné que 2023 a été l’année la plus critique pour les fuites de données confidentielles. En 2024, même si le nombre d’incidents a diminué, les conséquences restent importantes. Sberbank prévoit que les dommages économiques liés aux incidents de cybersécurité atteindront environ 1 000 milliards de roubles pour la période 2023-2024. Le montant estimé des vols par les escrocs et cybercriminels en 2024 s’élève à 250 milliards de roubles.

Cette situation alarmante montre que malgré les efforts des institutions financières, la fuite des données et le vol de fonds continuent d’afficher une tendance à la hausse.

L’essor des escroqueries téléphoniques

Entre février et mars 2024, Sberbank a enregistré un pic record de 20 millions d’appels frauduleux par jour. À l’heure actuelle, ce chiffre reste élevé, avec entre 6 et 7 millions d’appels quotidiens. Les escrocs, de plus en plus habiles, perfectionnent leurs techniques et adoptent des approches toujours plus sophistiquées pour tromper leurs victimes. Un représentant d’une institution financière a déclaré qu’au cours des deux dernières années, les données personnelles d’au moins 90 % de la population adulte de la Fédération de Russie étaient devenues librement accessibles sur Internet.

La majorité des appels frauduleux proviennent de numéros masqués ou internationaux, renforçant la difficulté de leur détection par les victimes.

Malgré cela, les systèmes de sécurité des banques bloquent actuellement environ 99 % des tentatives de transfert frauduleux. Cette statistique montre l’efficacité relative des mesures prises par les institutions financières, mais aussi la nécessité de rester vigilant face aux nouvelles méthodes des criminels.

Amende en cas de fuite de données

Le chef du ministère russe du Développement numérique, Maksut Shadayev, a déclaré que la décision d’introduire des amendes en cas de fuite de données confidentielles serait prise par la Douma d’État et le gouvernement de la Fédération de Russie avant la fin de cette année. Le ministre a fait la déclaration correspondante lors de son discours lors de l’événement en cours SOC Forum 2024.

Maksut Shadayev a déclaré qu’aujourd’hui le volume total des fuites d’informations personnelles sur les citoyens russes dépasse toutes les limites acceptables. À cet égard, on s’attend à ce que les autorités russes décident d’introduire des amendes négociables pour de tels incidents de sécurité de l’information avant la fin de 2024, d’autant plus que le projet de loi correspondant a déjà été adopté en première lecture à la Douma d’État.

Le ministre du Développement numérique, lors de son discours, a également souligné qu’en Russie, il était depuis longtemps nécessaire d’introduire des mesures économiques sérieuses visant à empêcher les fuites de données confidentielles. De plus, nous parlons non seulement des données personnelles des citoyens russes, mais également des informations sur les entreprises, qui présentent également un grand intérêt pour les fraudeurs et les cybercriminels. Maksut Shadayev est convaincu que les entreprises devraient assumer une responsabilité financière importante dans les fuites d’informations confidentielles, surtout si elles concernent les données personnelles des citoyens russes.

Pour rester informé des évolutions en matière de cybersécurité, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

backdoor, Bitcoin, Cybersécurité

BlueNoroff : la nouvelle menace contre les cryptomonnaies sur macOS

Le groupe nord-coréen BlueNoroff, spécialisé dans les cyberattaques ciblant les sociétés de cryptomonnaies, a lancé une campagne massive baptisée Hidden Risk. Utilisant un malware multi-étapes sophistiqué, ce groupe vise les systèmes macOS en exploitant un mécanisme de persistance indétectable par les dernières versions de l’OS.

BlueNoroff utilise des e-mails de phishing pour attirer ses victimes, exploitant l’intérêt croissant autour des actualités liées aux crypto-monnaies. Les messages se présentent comme des communications d’influenceurs reconnus, renforçant ainsi leur crédibilité aux yeux des destinataires. Chaque e-mail contient un lien soi-disant associé à un document PDF informatif sur les événements récents, mais qui redirige en réalité vers le domaine contrôlé par les attaquants, « delphidigital[.]org ».

Point clé : le phishing reste une des méthodes les plus efficaces pour infiltrer des systèmes et accéder à des données sensibles.

Les experts de SentinelLabs ont découvert que le malware déployé par BlueNoroff utilise un mécanisme de persistance novateur qui ne déclenche aucune alerte sur les dernières versions de macOS. Ce logiciel malveillant ouvre un shell distant sur les appareils compromis, permettant aux cybercriminels d’effectuer des actions à distance sans que l’utilisateur ne le soupçonne.

L’URL malveillante est configurée pour distribuer un document apparemment inoffensif sur le Bitcoin ETF, mais elle sert également à déployer un package d’application intitulé « Le risque caché derrière la nouvelle flambée des prix du Bitcoin« .

La première étape de l’attaque repose sur une application compte-gouttes signée et notariée avec un identifiant de développeur Apple légitime, « Avantis Regtech Private Limited (2S8XHJ7948)« , qui a été révoqué par Apple depuis. Une fois lancé, le programme télécharge un faux fichier PDF à partir d’un lien Google Drive, l’ouvrant dans une visionneuse standard pour occuper la victime, tandis qu’en arrière-plan, la charge utile principale est téléchargée depuis « matuaner[.]com ».

cette campagne s’appuie sur un document de recherche authentique de l’Université du Texas, soulignant le niveau de détail et de planification de l’attaque.

BlueNoroff, déjà connu pour ses vols de cryptomonnaies, met en œuvre des stratégies de plus en plus complexes, ciblant directement l’écosystème macOS qui, jusqu’ici, restait moins affecté par ce type d’attaques. Cette campagne met en lumière la nécessité pour les entreprises et les utilisateurs de rester vigilants et de renforcer leur sécurité.

Pour rester informé des dernières alertes de cybersécurité et des menaces, inscrivez-vous à notre newsletter ou rejoignez le groupe WhatsApp de DataSecurityBreach.

Cybersécurité, Entreprise

Compromettre les données d’identification

Les attaques visant à compromettre les données d’identification se multiplient, avec plus de 600 millions de tentatives chaque jour.

Les cyberattaques axées sur le vol de données d’identification connaissent une croissance exponentielle. Chaque jour, ce ne sont pas moins de 600 millions d’attaques qui ciblent des comptes personnels et professionnels. L’obtention d’un premier accès est le point de départ de nombreuses cyberattaques majeures.

Les pirates mènent ces attaques pour voler les données d’accès aux réseaux sociaux, comptes bancaires et professionnels. Cet accès initial ouvre la voie à des stratégies plus complexes, telles que le phishing, l’installation de logiciels espions ou de rançongiciels.

Les mots de passe : la cible principale

Selon les statistiques, près de 99 % des attaques contre les données d’identification impliquent la compromission d’un mot de passe. Les logiciels spécialisés utilisés par les attaquants permettent de déchiffrer ces mots de passe de manière automatisée, augmentant ainsi le nombre total d’attaques.

L’avènement de l’IA et des logiciels d’automatisation a radicalement changé la donne pour les pirates informatiques. Ils n’ont plus besoin de tenter manuellement de deviner les mots de passe, car un programme le fait pour eux en un temps record. Ainsi, le volume d’attaques peut être multiplié grâce à la capacité du logiciel à traiter simultanément de nombreux mots de passe.

L’avenir des cyberattaques et la riposte nécessaire

Une augmentation de 15 à 20 % par an du nombre d’attaques, alimentée par l’amélioration constante des outils automatisés pourrait rapidement apparaitre. Pour se protéger, datasecuritybreach.fr recommande de renforcer la sécurité des comptes par :

  • L’utilisation de mots de passe complexes et leur mise à jour régulière.
  • L’adoption de la technologie MFA (authentification multi-facteurs).
  • La segmentation régulière du réseau.
  • La limitation et la répartition stricte des droits d’accès.

Le modèle « Zéro confiance » : une tendance de sécurité à surveiller

Une tendance majeure pour 2025 sera l’adoption croissante du modèle de « zéro confiance ». Ce modèle prévoit l’absence d’accès par défaut aux éléments de l’infrastructure informationnelle. Bien que cette approche minimise les risques de fuites de données et d’opérations malveillantes, elle peut ralentir les processus métiers si la configuration des accès est mal gérée.

backdoor, Cybersécurité

Augmentation des attaques de comptes Azure par pulvérisation de mots de passe depuis août 2023

Depuis août 2023, Microsoft a observé une intensification des attaques de pirates ciblant les comptes Azure en utilisant la technique de pulvérisation de mots de passe (brute force).

Ces attaques furtives, souvent couronnées de succès, sont associées au botnet CovertNetwork-1658, connu également sous les noms de xlogin et Quad7 (7777). Ce botnet est principalement composé de routeurs TP-Link SOHO infectés par des portes dérobées et fonctionnant comme relais.

La durée moyenne d’activité des nœuds de ce botnet est d’environ 90 jours. Les attaques par ‘brute force’, pulvérisation de mots de passe est un terme amusant pour traduire brute force, impliquent simultanément environ 8 000 adresses IP, et dans 80 % des cas, chaque adresse effectue une tentative de piratage par jour.

Pour installer une porte dérobée, les attaquants exploitent des vulnérabilités dont la nature exacte reste incertaine. Une fois l’exploit réalisé, l’appareil est configuré pour fonctionner comme proxy.

Les informations d’identification compromises par CovertNetwork-1658 sont ensuite utilisées pour lancer des attaques ciblées. Le piratage des comptes cloud Azure permet aux cybercriminels de progresser plus en profondeur dans le réseau, d’établir des points d’ancrage à l’aide de RAT (Remote Access Trojans) et de commencer à voler des données.

Cette activité est particulièrement prisée par un groupe de cybercriminels opérant en Amérique du Nord et en Europe, surveillé par Microsoft sous le nom de Storm-0940.

L’activité de CovertNetwork-1658 a toutefois diminué ces derniers mois, probablement en raison de l’attention accrue de la communauté de la sécurité de l’information, notamment à travers les publications Sekoia, par exemple, consacrées à Quad7.

Les opérateurs du botnet auraient décidé de mettre à jour leur infrastructure en modifiant leurs empreintes numériques pour échapper à la détection et revenir à une activité plus discrète.

Pendant ce temps, avec l’IA, chasse au 0Day

Les experts de GreyNoise ont identifié deux vulnérabilités zero-day dans les caméras réseau PTZ (panoramique/inclinable/zoom).

Ils ont été aidés en cela par un outil d’IA spécialement créé pour les besoins de la cyberintelligence. L’assistant intelligent intégré au système Honeypot de chasse aux menaces répondait clairement au trafic suspect. L’analyse a révélé qu’il s’agissait d’une tentative d’exploitation automatisée.

La vulnérabilité critique CVE-2024-8956 est causée par une mise en œuvre incorrecte des mécanismes d’authentification et permet l’accès aux noms d’utilisateur, aux mots de passe hachés (MD5), aux données de configuration et à d’autres informations confidentielles. La vulnérabilité CVE-2024-8957 ouvre la possibilité d’injection de commandes. Lorsqu’il est utilisé conjointement avec CVE-2024-8956, il vous permet de prendre le contrôle de la caméra à distance et sans authentification, de visualiser et d’arrêter le flux vidéo en temps réel, d’apporter des modifications et également de connecter l’appareil à un botnet DDoS.

Les problèmes concernent les caméras PTZ haute résolution avec des versions de micrologiciel inférieures à 6.3.40, en particulier pour les appareils de PTZOptics, Multicam Systems SAS et SMTAV Corporation basés sur des processeurs SoC Hisilicon Hi3516A. Ils sont souvent utilisés dans des installations critiques : production robotique, établissements médicaux, agences gouvernementales (par exemple, dans les salles d’audience), ainsi que pour des présentations en ligne et des vidéoconférences. (Greynoise)

Cybersécurité, Securite informatique

Les cybercriminels abandonnent les liens dans les emails malveillants au profit des pièces jointes

Les distributeurs de logiciels malveillants par courrier électronique ont presque cessé d’utiliser des liens. Selon les statistiques, au troisième trimestre 2024, 99,1 % des mails malveillants contenaient une pièce jointe, le plus souvent sous la forme d’un fichier archivé. Les analystes expliquent ce changement par le désir de réduire les frais.

L’utilisation d’URL nécessite la création ou la location d’un stockage Web pour le code malveillant, tandis que les pièces jointes sont moins susceptibles d’éveiller des soupçons et sont plus directes à manipuler. Bilan, les pirates réfléchissent avec leur argent : combien va coûter une attaque, combien doit leur rapporter cette attaque.

Bien que l’usage des liens dans les envois de masse ait considérablement diminué, cette méthode reste prisée lors des attaques ciblées. Dans ces cas, les attaquants dressent le profil d’une victime potentielle et peuvent vérifier qui clique sur un lien et dans quelles conditions. Sur la base des résultats de leur social engineering, les attaquants peuvent fournir une charge utile malveillante ou un fichier factice.

Les fichiers d’archives, principalement aux formats ZIP et RAR, sont les types de pièces jointes malveillantes les plus courants. La part des fichiers PDF et DOCX a augmenté de 2,4 points de pourcentage par rapport au deuxième trimestre, atteignant 8,8 %, tandis que l’utilisation des fichiers XLS a notablement diminué. Ces documents contiennent souvent des logiciels espions tels que Formbook. AgentTesla, un autre logiciel malveillant très répandu dans les canaux de courrier électronique, a vu sa présence multipliée par quatre au cours de la même période, surpassé par Formbook et le cheval de Troie multifonctionnel DarkGate.

Lorsqu’on analyse la répartition par classe de logiciels malveillants, les logiciels espions fournis en tant que service (Malware-as-a-Service, MaaS) restent les plus populaires, représentant 63 % des envois malveillants, bien que ce chiffre soit en baisse de 8 points de pourcentage par rapport au trimestre précédent. La part des programmes de téléchargement est passée de 10 % à 23 %, tandis que celle des portes dérobées a chuté à 8 %.

Enfin, la popularité des services de messagerie gratuits parmi les cybercriminels continue de diminuer, ne représentant plus que 2,6 % des mails malveillants, plus de la moitié étant envoyés depuis des adresses Gmail. Les attaquants créent également des domaines spécifiques (COM, FR, NET, ORG) et utilisent le spoofing pour dissimuler leur véritable identité.

Cybersécurité, Mise à jour

Nvidia met en garde contre des vulnérabilités critiques dans ses cartes graphiques

Aprés des failles sérieuses pour Android de Google, c’est au tour de NVIDIA, le géant de la carte graphique, d’alerter de problèmes de sécurité visant certains de ses hardwares.

Dans un récent rapport de sécurité, le principal développeur de GPU et SoC, Nvidia, met en garde les utilisateurs contre les vulnérabilités critiques de ses cartes graphiques.

La récente publication de la mise à jour du pilote 566.03 de Nvidia corrige un certain nombre de vulnérabilités critiques qui menacent la sécurité des propriétaires de cartes graphiques Nvidia. Parmi les vulnérabilités les plus dangereuses figure CVE-2024-0126, avec un score CVSS de 8,2, qui pourrait permettre aux attaquants d’exécuter du code arbitraire, d’élever les privilèges et de voler des données sur les appareils vulnérables. Cette vulnérabilité affecte les cartes graphiques des séries Nvidia RTX, Quadro, NVS et Tesla, ainsi que les produits GeForce sur les systèmes Windows et Linux.

Les vulnérabilités CVE-2024-0117, CVE-2024-0118 et d’autres ont également été découvertes, qui permettent à des utilisateurs non privilégiés d’interférer avec le système, provoquant des plantages et pouvant potentiellement obtenir un accès complet aux données.

Les pirates utilisant ces vulnérabilités peuvent obtenir un accès non autorisé aux systèmes de l’entreprise en exécutant du code à distance et en obtenant des privilèges élevés. Cela peut entraîner une fuite de données confidentielles, un sabotage des processus métier et de graves perturbations des services critiques. De plus, de telles attaques peuvent provoquer des temps d’arrêt, endommager les réseaux d’entreprise et nuire à la situation financière et à la réputation d’une entreprise si les données des clients sont compromises.

Android, backdoor, Cybersécurité

Google signale de nouvelles vulnérabilités critiques dans Android

Google a alerté la communauté sur une exploitation active de la vulnérabilité CVE-2024-43093, découverte dans le framework Android. Cette vulnérabilité permet aux attaquants d’accéder de manière non autorisée aux répertoires sensibles « Android/data », « Android/obb » et « Android/sandbox » ainsi qu’à leurs sous-répertoires. Bien que les détails spécifiques des attaques n’aient pas encore été rendus publics, Google souligne que l’exploitation reste limitée à des cibles précises.

Outre cette vulnérabilité, Google a mis en lumière la CVE-2024-43047, une autre faille critique exploitée activement. Celle-ci est associée aux chipsets Qualcomm et résulte d’une erreur d’utilisation après libération (use-after-free) dans le processeur de signal numérique (DSP), menant potentiellement à une corruption de la mémoire. Cette vulnérabilité a été confirmée par les chercheurs de Google Project Zero ainsi que par Amnesty International le mois dernier.

Bien que Google n’ait pas encore clarifié si les deux vulnérabilités pouvaient être exploitées conjointement pour créer une chaîne d’attaques, la possibilité qu’elles soient utilisées à des fins d’espionnage ciblant des membres de la société civile est évoquée.

La vulnérabilité CVE-2024-43093 est la deuxième faille critique du framework Android activement exploitée cette année, suivant de près la CVE-2024-32896, corrigée cet été. Initialement, cette dernière affectait uniquement les appareils Pixel, mais il a été révélé plus tard qu’une plus large gamme d’appareils Android était concernée.

APT, backdoor, Cybersécurité

Les pirates nord-coréens utilisent une nouvelle variante de FASTCash pour cibler les distributeurs de billets

Une nouvelle menace émerge dans le monde de la cybersécurité alors que des pirates informatiques nord-coréens exploitent une variante Linux du malware FASTCash pour infiltrer les systèmes de commutation de paiement des institutions financières et effectuer des retraits d’espèces non autorisés aux distributeurs automatiques (DAB). Ce développement marque une extension des capacités de ce malware, initialement conçu pour les systèmes Windows et IBM AIX (Unix), désormais adapté aux distributions Linux, notamment Ubuntu 22.04 LTS.

Le malware FASTCash a été utilisé pour la première fois en 2016 pour voler des fonds à des institutions financières en Asie et en Afrique. Il permettait aux pirates de manipuler les systèmes bancaires et d’autoriser des retraits massifs et simultanés aux DAB. En 2017, FASTCash a permis le retrait simultané d’espèces dans 30 pays, suivi d’un incident similaire en 2018 dans 23 autres pays.

L’attaque repose sur l’exploitation des commutateurs de paiement, des systèmes centraux qui gèrent la communication entre les guichets automatiques, les terminaux de paiement (PoS) et les banques. En interférant avec les messages de transaction ISO8583, un protocole utilisé pour traiter les paiements par carte de crédit et de débit, les pirates peuvent modifier les réponses aux transactions et approuver des retraits d’argent, même lorsque le compte de la carte n’a pas suffisamment de fonds.

Variante Linux de FASTCash

Repérée pour la première fois en juin 2023 par le chercheur en sécurité HaxRob sur VirusTotal, cette variante Linux présente des similarités avec les versions Windows et AIX. Le malware se dissimule sous la forme d’une bibliothèque partagée, injectée dans un processus actif sur les serveurs de la banque à l’aide de l’appel système ptrace. Il se connecte ensuite aux fonctions réseau du système, permettant aux pirates de manipuler les messages de transaction.

Plus précisément, FASTCash intercepte les transactions refusées pour insuffisance de fonds, remplaçant les réponses de « rejet » par des réponses « approuvées ». Ces réponses modifiées permettent aux mules d’argent, travaillant en collaboration avec les pirates, de retirer des sommes importantes aux DAB, allant de 350 à 875 dollars.

Une menace furtive et en constante évolution

L’un des aspects les plus inquiétants de cette nouvelle variante Linux est sa capacité à contourner les mécanismes de sécurité des systèmes de détection de malware. Lorsqu’elle est apparue sur VirusTotal, elle n’a été détectée par aucune solution de sécurité, ce qui a permis aux pirates d’opérer sans être perturbés.

En plus de cette version Linux, une nouvelle version de FASTCash pour Windows a été repérée sur VirusTotal en septembre 2024, démontrant que les attaquants continuent d’améliorer et de diversifier leur arsenal pour cibler plusieurs systèmes d’exploitation.

Le malware FASTCash a longtemps été attribué au groupe de hackers nord-coréen Hidden Cobra, également connu sous le nom de Lazarus ou APT38. Ce groupe est soupçonné d’être responsable de vols massifs d’argent et de cyberattaques sophistiquées visant les institutions financières du monde entier, notamment un vol de plus de 1,3 milliard de dollars.

En 2020, le US Cyber Command a relancé les avertissements concernant la menace de FASTCash 2.0, signalant une intensification des activités de Lazarus. Par ailleurs, en 2021, des accusations ont été portées contre trois ressortissants nord-coréens impliqués dans ces stratagèmes, soulignant le lien entre ce groupe de cybercriminels et le gouvernement nord-coréen.

Le gouvernement américain a montré du doigt, en 2021, plusieurs pirates informatiques Nord-Coréens qui semblent être cachés derrière ces nouvelles cyberattaques. Le ministère américain de la Justice affichait alors deux citoyens nord-coréens associés au groupe de hackers Lazarus (alias Hidden Cobra, Dark Seoul et APT28). L’acte d’accusation s’étendait également aux accusations déposées en 2018 contre Park Jin Hyok (alias Jin Hyok Park et Pak Jin Hek), le pirate informatique nord-coréen qui serait responsable des attaques massives du ransomware WannaCry en 2017 contre la Banque centrale du Bangladesh en 2016 ou encore la société Sony (vengeance pour le fait que le studio ait sorti le film « The Interview »). Park se retrouvait alors fiché avec Jon Chang Hyok et Kim Il. Les malveillants auraient aussi créé une fausse société de cryptomonnaie et le token Marine Chain.

Le ministère américain de la Justice estime que ce système permettait aux utilisateurs d’acheter des options dans des navires maritimes, et que la Corée du Nord pouvait à terme avoir accès aux fonds des investisseurs et contourner les sanctions américaines.

Cybersécurité, Entreprise

CISA et FBI alertent sur les bonnes pratiques sécurité dans les logiciels

Le monde numérique repose sur une infrastructure vaste et complexe de logiciels qui régissent presque tous les aspects de la vie moderne. Cependant, cette dépendance croissante aux produits logiciels expose également les infrastructures critiques, les entreprises et les particuliers à des risques de sécurité potentiellement dévastateurs.

Le 26 octobre 2024, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis, en collaboration avec le Federal Bureau of Investigation (FBI), a dévoilé une série de recommandations sur les pratiques de sécurité à éviter dans le développement des produits logiciels, appelées « mauvaises pratiques » (« Bad Practices »). Ces pratiques représentent des faiblesses importantes dans les produits finaux et compromettent leur sécurité et leur fiabilité.

Dans un contexte où la cybersécurité est un impératif pour le bon fonctionnement des infrastructures critiques, la CISA et le FBI invitent le public, les professionnels de la cybersécurité, et les fabricants de logiciels à contribuer en partageant leurs commentaires et suggestions sur ce document de bonnes pratiques. Cette initiative, intitulée « Secure by Design », vise à encourager une approche proactive où la sécurité est intégrée dans les produits dès leur conception.

Les « Mauvaises Pratiques » Identifiées

Les directives mises en avant par la CISA et le FBI identifient des pratiques courantes dans le développement de produits, qui sont souvent négligées en matière de sécurité et exposent les systèmes à des vulnérabilités graves. L’une des principales préoccupations est la manière dont les développeurs abordent la sécurité au cours du cycle de vie des produits, en particulier les choix de conception, les configurations par défaut et les failles de sécurité non corrigées.

Les pratiques jugées comme les plus risquées incluent :

Absence de sécurisation par défaut : Dans de nombreux cas, les produits logiciels sont expédiés sans configuration de sécurité active par défaut, laissant ainsi aux utilisateurs la responsabilité de mettre en place eux-mêmes des paramètres de sécurité adéquats.
Stockage et Transmission des Données Non Sécurisées : L’utilisation de méthodes non sécurisées pour le stockage ou la transmission de données sensibles, telles que des mots de passe ou des informations d’identification personnelle, ouvre la porte aux cyberattaques.
Absence de Mises à Jour Automatiques ou de Patches Réguliers : Les produits qui ne disposent pas de mécanismes automatiques pour les mises à jour de sécurité sont particulièrement vulnérables, car les utilisateurs ne sont souvent pas informés des mises à jour critiques, augmentant ainsi les risques d’attaques réussies.
Les Dangers pour les Infrastructures Critiques
Ces pratiques concernent en premier lieu les infrastructures critiques, un ensemble de systèmes essentiels pour le bon fonctionnement d’une société, comme l’approvisionnement en énergie, les télécommunications et les soins de santé. Les cyberattaques ciblant ces infrastructures peuvent entraîner des conséquences potentiellement désastreuses, y compris des pannes de courant, des interruptions de services de communication, et des atteintes à la sécurité des patients dans les hôpitaux. La CISA et le FBI soulignent que les produits logiciels destinés à ces infrastructures devraient bénéficier d’une attention de sécurité renforcée.

Ces mauvaises pratiques représentent également un risque pour les petites et moyennes entreprises (PME) qui, souvent, n’ont pas les ressources pour se protéger efficacement des menaces de cybersécurité. En utilisant des produits vulnérables, les PME exposent non seulement leur propre système, mais peuvent également servir de point d’entrée pour des attaques de plus grande ampleur visant des entreprises partenaires ou des réseaux plus larges.

« Secure by Design » : Intégrer la Sécurité dès la Conception

La campagne « Secure by Design » de la CISA et du FBI met l’accent sur une approche proactive de la sécurité dans la conception des produits. Cette approche incite les développeurs à prévoir des mesures de sécurité dès le début du processus de création d’un produit. L’idée est de ne pas considérer la sécurité comme une simple mise à jour ou un patch appliqué en fin de cycle, mais comme un élément fondamental intégré dans chaque phase de développement. Les recommandations encouragent les entreprises technologiques et les développeurs à adopter des pratiques comme :

Des Paramètres de Sécurité par Défaut : Assurer que les produits sont configurés de manière sécurisée dès l’installation, pour éviter que les utilisateurs finaux n’aient à modifier manuellement ces paramètres.
Des Protocoles de Chiffrement Solides : Utiliser des méthodes de chiffrement de pointe pour le stockage et la transmission des données sensibles, réduisant ainsi le risque de compromission.
Des Mises à Jour Automatisées et Simples d’Accès : Faciliter la gestion des mises à jour de sécurité en intégrant des processus automatisés qui alertent les utilisateurs en temps réel des correctifs nécessaires.
En agissant ainsi, la CISA et le FBI espèrent que les produits sécurisés dès la conception deviendront une norme, non seulement pour les infrastructures critiques, mais aussi pour tous les secteurs qui reposent sur des technologies numériques avancées.

Commentaires Publics et Implication de l’Industrie

L’une des étapes clés de cette initiative est l’appel aux commentaires publics, ouvert jusqu’au 16 décembre 2024. Cet appel invite les fabricants de logiciels, les experts en cybersécurité, ainsi que toute partie prenante du domaine à examiner les directives publiées et à contribuer par des suggestions. L’objectif est de créer une base de pratiques sécurisées partagées et appliquées par l’ensemble de l’industrie.

Cet effort collaboratif vise à renforcer la sécurité à tous les niveaux, de la petite entreprise à la grande infrastructure critique, pour développer une cyber-résilience commune. L’implication de l’industrie dans ce processus est essentielle pour s’assurer que ces pratiques de sécurité soient non seulement adoptées, mais aussi constamment améliorées et adaptées aux menaces émergentes.

La Responsabilité Partagée pour un Futur Plus Sûr

En somme, la publication de ces mauvaises pratiques par la CISA et le FBI représente une étape significative vers un renforcement de la cybersécurité globale. En encourageant des pratiques sécurisées dès la conception des produits, cette initiative vise à réduire les risques auxquels les infrastructures et les utilisateurs sont confrontés. Les commentaires publics permettront d’enrichir et de peaufiner ces recommandations, et d’établir un consensus sur les meilleures pratiques en matière de développement de logiciels.

Pour les entreprises, développeurs, et utilisateurs finaux, cette démarche de la CISA et du FBI rappelle que la sécurité numérique est une responsabilité partagée. Le respect de ces directives contribuera à la construction d’un écosystème numérique plus sûr et plus résilient, dans lequel chaque acteur joue un rôle crucial pour se prémunir contre les cybermenaces.

Cybersécurité, Entreprise, Social engineering

La nouvelle arnaque nord-coréenne : extorsion de fonds par de faux travailleurs informatiques

Une nouvelle forme de cybercriminalité nord-coréenne inquiète les entreprises américaines et britanniques : l’infiltration d’agents nord-coréens sous couvert de travailleurs informatiques. Grâce à des identités volées ou falsifiées, ces individus accèdent à des informations sensibles et, une fois découverts, extorquent des rançons à leurs employeurs.

L’arnaque des faux travailleurs informatiques n’est pas nouvelle, mais ce qui est inédit, c’est la tactique d’extorsion qui s’est développée au sein de ces opérations. Les agents, souvent employés comme sous-traitants informatiques dans de grandes entreprises, commencent par voler des données sensibles dès leur embauche. Lorsqu’ils sont licenciés pour des performances insuffisantes ou démasqués, ces agents menacent de rendre publiques les informations volées à moins de recevoir une rançon.

Par exemple, un sous-traitant a commencé à exfiltrer des données dès les premiers jours de son contrat en 2024. Après son licenciement, l’entreprise a reçu des demandes de rançon à six chiffres en cryptomonnaie. L’agent a envoyé des preuves du vol de données à travers des e-mails provenant de plusieurs adresses anonymes.

Un programme massif et organisé

Ces extorsions sont la partie émergée d’un vaste programme d’infiltration mené par le gouvernement nord-coréen. Depuis plusieurs années, les États-Unis et d’autres pays occidentaux mettent en garde les entreprises contre le recrutement de faux travailleurs informatiques, souvent opérant depuis la Chine ou la Russie, mais se faisant passer pour des résidents locaux grâce à des infrastructures de fermes d’ordinateurs portables. Le programme, qui ciblait initialement les entreprises de cryptomonnaie, s’est élargi aux entreprises du Fortune 100 et à des secteurs variés comme les technologies de l’information, les systèmes de chaîne d’approvisionnement, ou encore la production de puces électroniques.

Selon James Silver, directeur de la sécurité de Secureworks, ces agents ne se contentent pas d’extorquer de l’argent. Ils sont également intéressés par des informations sensibles, allant de la propriété intellectuelle aux données militaires et financières. Cela permet à la Corée du Nord de financer ses programmes militaires tout en profitant d’un flux de revenus via les rançons demandées aux entreprises.

Cependant, certaines de ces infiltrations semblent cibler des données qui ne sont pas traditionnellement d’intérêt pour Pyongyang, ce qui laisse penser qu’il pourrait y avoir une collaboration avec d’autres acteurs, comme la Chine. Stephen Schmidt, directeur de la sécurité chez Amazon, a mentionné lors d’une conférence que certaines informations exfiltrées semblaient plus utiles à Pékin qu’à Pyongyang, suggérant une éventuelle relation d’échange d’informations entre les deux nations.

Techniques utilisées par les agents nord-coréens

Les faux travailleurs nord-coréens utilisent plusieurs méthodes pour éviter d’être démasqués. Ils masquent souvent leur adresse IP et dirigent leurs ordinateurs portables professionnels vers des centres de calcul situés à l’étranger. Ils exploitent des outils tels que Chrome Remote Desktop ou AnyDesk pour accéder à distance aux systèmes de leurs employeurs.

Un autre indice de leur activité frauduleuse réside dans leur réticence à participer à des appels vidéo, souvent demandés par les entreprises pour vérifier l’identité des employés. Pour contourner ce problème, ces agents ont commencé à utiliser des outils comme SplitCam, qui permet de gérer plusieurs conversations vidéo en même temps à partir d’une seule webcam, brouillant ainsi davantage leur identité.

Les recherches menées ont révélé une tendance au partage d’identités parmi les agents nord-coréens. Dans certains cas, plusieurs individus semblent utiliser la même adresse e-mail ou CV pour postuler à différents postes. Lorsqu’un agent est démasqué ou licencié, il est parfois remplacé par un autre individu du même réseau, ce qui complique la tâche des entreprises pour identifier les véritables responsables.

Les défis de la détection et les risques pour les entreprises

Les entreprises touchées par ces infiltrations se trouvent confrontées à des défis majeurs. L’utilisation de faux profils, combinée à des méthodes de travail à distance, rend la détection des agents malveillants particulièrement difficile. Il a été observé que les agents nord-coréens mettent à jour fréquemment leurs informations bancaires et utilisent des services comme Payoneer pour éviter les systèmes de contrôle traditionnels. Cela permet de masquer les flux financiers et de rendre plus difficile l’identification des transactions suspectes.

De plus, ces agents travaillent souvent en réseau, se recommandant les uns les autres auprès des entreprises et partageant des identités et des outils pour faciliter l’infiltration. Dans certains cas, une seule personne peut adopter plusieurs identités ou utiliser différents styles de communication pour tromper ses employeurs.

Le risque pour les entreprises ne se limite plus à la perte de données ou à l’extorsion financière. Le vol de propriété intellectuelle, en particulier dans les secteurs technologiques et militaires, peut avoir des conséquences graves sur la sécurité nationale, en plus des pertes économiques. Les entreprises qui embauchent par inadvertance ces agents nord-coréens se retrouvent souvent dans des situations délicates, où elles doivent non seulement gérer les répercussions internes mais aussi les risques de réputation et de responsabilité légale.

La combinaison de cybercriminalité, d’espionnage industriel, et d’extorsion à grande échelle fait de ce phénomène un défi croissant pour les entreprises à travers le monde. Avec des méthodes de plus en plus sophistiquées et une expansion rapide de leurs cibles, les acteurs nord-coréens posent une menace sérieuse que les forces de l’ordre internationales peinent à contenir.

Avez-vous embauché un agent nord-coréen sans le savoir ? 

Parmi les comportements suspects observés, si un employé insiste pour utiliser ses propres appareils, évite de se présenter à la webcam, et modifie fréquemment ses services de paiement, il pourrait s’agir d’un agent nord-coréen infiltré. Ces tactiques sont utilisées par Nickel Tapestry, un groupe soutenu par l’État nord-coréen, pour placer de faux travailleurs dans des entreprises commerciales basées aux États-Unis, au Royaume-Uni, et en Australie.

Utilisation d’équipements personnels : Les faux employés demandent souvent à utiliser leur propre ordinateur portable ou une infrastructure de bureau virtuel pour éviter de se connecter avec l’équipement de l’entreprise, ce qui complique la surveillance de leurs activités.
Camouflage de leur emplacement : Certains employés font envoyer leur équipement de travail à des adresses anonymes ou utilisent des fermes d’ordinateurs portables masquées par des adresses IP américaines.
Évitement des appels vidéo : Lorsqu’ils sont contraints d’utiliser les appareils de l’entreprise, ces agents invoquent des « problèmes techniques » pour éviter de se présenter lors des réunions en visioconférence. Dans certains cas, ils utilisent même des logiciels de clonage vidéo pour simuler leur présence.

Une infiltration bien orchestrée

Les agents de Nickel Tapestry ne se contentent pas de travailler seuls. Ils créent des réseaux entiers de faux employés et de fausses entreprises, fournissant des références professionnelles crédibles et gérant les paiements. Si un agent est découvert ou licencié, il est rapidement remplacé par un autre, permettant ainsi au système de continuer à fonctionner sans interruption. Les documents et CV utilisés par ces agents présentent souvent des similitudes dans leur style d’écriture, laissant supposer que plusieurs personnages sont contrôlés par une seule et même personne, ou par un groupe coordonné. Pour éviter d’être repérés par les banques, ces agents mettent à jour leurs comptes bancaires de manière régulière ou utilisent des services de paiement numérique comme Payoneer, qui a indiqué travailler de manière proactive pour lutter contre cette menace.

Le programme de cybercriminalité nord-coréen : une source de revenus vitale

L’infiltration des entreprises étrangères est devenue une source de revenus essentielle pour la Corée du Nord, qui est soumise à de sévères sanctions internationales limitant ses débouchés économiques. En 2022, le FBI, le département du Trésor et le département d’État des États-Unis ont publié un avertissement public, qualifiant le programme d’infiltration des travailleurs informatiques nord-coréens de « source de revenus cruciale » pour le régime de Pyongyang.

Les agents nord-coréens placés dans des entreprises occidentales, mais opérant en réalité depuis la Chine ou la Russie, peuvent gagner jusqu’à 300 000 dollars par an, ce qui représente un revenu dix fois supérieur à celui d’un ouvrier moyen en Corée du Nord.

Ces fonds servent à financer les projets militaires du pays, notamment son programme d’armement nucléaire. Le dirigeant nord-coréen, Kim Jong Un, a investi massivement dans les infrastructures informatiques et la formation des informaticiens du pays. De nombreux Nord-Coréens reçoivent des diplômes en informatique via des programmes rigoureux mis en place dans des centres de recherche régionaux, tant en Corée du Nord qu’à l’étranger. (treasury.gov)

Cybersécurité

Microsoft avertit ses clients d’une perte de journaux critiques due à un bug

Microsoft a récemment averti plusieurs entreprises clientes d’une perte de journaux critiques en raison d’un bug technique, affectant la période du 2 au 19 septembre.

Les journaux de sécurité sont cruciaux pour la surveillance des accès non autorisés et des activités suspectes. Le bug qui a touché plusieurs services de Microsoft, notamment Microsoft Entra, Azure Logic Apps, Microsoft Sentinel, et Azure Monitor, a couvert une période de 15 jours, du 2 au 19 septembre 2024. Les organisations s’appuient sur ces enregistrements pour détecter des cybermenaces, et leur absence pourrait compliquer l’analyse des données et la sécurité globale des systèmes.

Parmi les services touchés, Microsoft Entra a subi des lacunes dans les tentatives de connexion enregistrées, compromettant la surveillance des accès réseau. Azure Logic Apps et Azure Monitor ont rapporté des pertes dans les données de télémétrie et les journaux de ressources. Pour Microsoft Sentinel, qui gère les journaux de sécurité, les échecs de journalisation compliquent la détection des menaces, rendant plus difficile l’identification de comportements malveillants.

Origines du bug

Selon Microsoft, ce problème est survenu alors que l’entreprise tentait de résoudre un autre dysfonctionnement lié à son service de collecte de journaux. Bien que les détails techniques restent limités, Microsoft a travaillé à résoudre ce nouveau bug dès qu’il a été découvert.

Les entreprises concernées s’appuient sur ces journaux pour assurer la cybersécurité et surveiller les anomalies dans les comportements réseau. L’absence de données pendant cette période pourrait rendre les systèmes vulnérables et ralentir l’investigation en cas d’attaque cybernétique. Les failles dans des services comme Azure Virtual Desktop et Power Platform compliquent également l’accès aux données d’analyse essentielles pour le bon fonctionnement des opérations informatiques.

Microsoft, dans son communiqué, a affirmé qu’il prenait l’incident très au sérieux. La société travaille activement à résoudre les problèmes sous-jacents et assure que des mesures supplémentaires sont mises en place pour éviter de futures interruptions de ce type. L’entreprise conseille à ses clients de vérifier leurs systèmes et de renforcer leurs protocoles de sécurité pour combler les potentielles lacunes créées par la perte des journaux. (business insider)

Entreprise

Discord interdit en Russie, Kaspersky interdit sur Google Play

Une nouvelle plateforme communautaire interdite en Russie. Discord ne fonctionne plus pour les internautes Russes. Pendant ce temps, Kaspersky est banni du Google Store.

La plateforme populaire de communication vocale et de messagerie Discord a été officiellement bloquée en Russie, marquant une nouvelle étape dans les efforts du gouvernement pour renforcer le contrôle sur l’espace Internet du pays. Roskomnadzor, l’agence russe de régulation des communications, a expliqué que ce blocage était dû au non-respect des lois russes sur le stockage des données sur le territoire national et le filtrage des contenus. Selon Roskomnadzor, Discord aurait ignoré à plusieurs reprises les avertissements concernant la localisation des serveurs et l’accès aux données des utilisateurs, ce qui, selon l’agence, constitue une menace pour la sécurité nationale. Le service a également souligné que la plateforme permettait une communication anonyme qui pourrait être exploitée à des fins d’extrémisme et de terrorisme.

Dans ce contexte, la Russie exige que toutes les plateformes stockant des données personnelles localisent ces informations sur des serveurs russes et les rendent accessibles aux autorités en cas d’enquête, notamment dans le cadre de la lutte contre l’extrémisme et le terrorisme. Roskomnadzor a réitéré que la protection des citoyens russes contre les violations de leurs données personnelles et la préservation de la souveraineté informationnelle du pays sont des priorités. Le blocage de Discord, tout comme celui d’autres plateformes internationales, entre dans cette logique.

La décision de bloquer Discord a eu des répercussions immédiates et significatives sur la communauté en ligne russe. Bien que la plateforme soit largement connue pour son utilisation dans les jeux vidéo, elle est également devenue un outil essentiel pour de nombreux professionnels et étudiants, en particulier pour les réunions de travail, les échanges de projets et même les formations à distance. Selon Downdetector, les premiers problèmes d’accès à Discord ont été signalés le matin du 8 octobre. Plus tard dans la journée, Roskomnadzor a confirmé que la plateforme avait été bloquée. Le blocage de Discord s’ajoute à une série d’interdictions similaires visant d’autres plateformes populaires telles que LinkedIn, Google News et, plus récemment, Instagram, sous prétexte de non-respect des lois russes sur la cybersécurité et la protection des données.

Pour de nombreux utilisateurs russes, le blocage de Discord représente un coup dur, notamment pour ceux qui l’utilisent comme un outil de communication clé dans le cadre de leurs activités professionnelles ou personnelles. De nombreuses personnes ont exprimé leur frustration face à cette décision, tandis que d’autres recherchent déjà des solutions pour contourner le blocage, notamment par l’utilisation de VPN. Alors que les réactions varient, une question demeure : comment cette série de blocages affectera-t-elle l’avenir du numérique en Russie et la place des grandes plateformes internationales dans ce paysage de plus en plus restreint ?

Pendant ce temps, Kaspersky, l’éditeur d’antivirus Russe, se retrouvait éjecté de la boutique de Google. Les produits Kaspersky Lab tels que Kaspersky Endpoint Security et VPN & Antivirus de Kaspersky ne sont plus disponibles au téléchargement sur Google Play aux États-Unis et dans plusieurs autres régions du monde. Les forums officiels de Kaspersky ont confirmé le problème et indiqué que l’entreprise étudiait actuellement les raisons pour lesquelles ses applications ne sont plus disponibles sur le Google Play Store.

Entreprise, Justice, RGPD

Marriott et Starwood : un règlement de 52 millions de dollars pour violation de données personnelles

Marriott International, ainsi que sa filiale Starwood Hotels, ont accepté de verser 52 millions de dollars dans le cadre d’un règlement suite à une série de violations de données ayant exposé les informations personnelles de 344 millions de clients.

Le parcours de Marriott et Starwood en matière de sécurité des données est marqué par trois violations majeures. En juin 2014, une première faille chez Starwood a compromis les informations relatives aux cartes de paiement des clients, une fuite qui est restée non détectée pendant 14 mois. L’ampleur de cet incident a augmenté le risque pour des millions de clients, dont les informations étaient à la merci des cybercriminels.

Un deuxième incident s’est produit en juillet 2014, révélant cette fois 339 millions de dossiers clients, dont 5,25 millions de numéros de passeport non cryptés. Ce n’est qu’en septembre 2018 que cette faille a été découverte, laissant les clients dans une situation de vulnérabilité prolongée. Ces deux événements, antérieurs à l’acquisition de Starwood par Marriott, ont néanmoins rendu ce dernier responsable de la protection des données à la suite de l’intégration.

En septembre 2018, Marriott a également été directement touché par une attaque. Cette fois, les informations personnelles de 5,2 millions de clients ont été compromises, incluant les noms, adresses e-mail, numéros de téléphone, dates de naissance et informations liées aux comptes de fidélité. Bien que cet incident ait eu lieu en 2018, la fuite n’a été découverte qu’en février 2020, mettant en évidence des failles dans la détection et la gestion des incidents de cybersécurité.

Les conséquences du règlement pour Marriott et ses clients

Cet accord intervient après plusieurs incidents de sécurité, dont certains remontent à 2014, avant même l’acquisition de Starwood par Marriott en 2016. Outre l’amende, Marriott devra mettre en place un programme de cybersécurité complet, offrir aux clients la possibilité de supprimer leurs données personnelles et limiter la quantité d’informations stockées.

Pour faire face aux répercussions de ces violations, Marriott a accepté de verser 52 millions de dollars aux autorités de 49 États américains. L’entreprise devra également instaurer des mesures de sécurité renforcées, parmi lesquelles l’implémentation d’un programme complet de protection des données, des audits tiers réguliers, et des limitations strictes quant aux données clients stockées. Ces efforts visent à empêcher de futurs incidents similaires, en assurant que seules les informations nécessaires sont conservées et en offrant aux clients la possibilité de demander la suppression de leurs données personnelles.

Cet accord, bien que coûteux pour Marriott, constitue un signal fort quant à l’importance de la cybersécurité dans un monde de plus en plus connecté. Avec plus de 7 000 hôtels répartis dans 130 pays, Marriott est une entreprise qui gère une quantité massive de données personnelles. La multiplication des attaques informatiques visant les grandes entreprises a souligné l’urgence d’investir dans des systèmes de protection robustes et d’assurer une vigilance constante face aux menaces cybernétiques.

La Federal Trade Commission (FTC) des États-Unis, qui a surveillé de près les différentes violations, a souligné que les entreprises doivent non seulement protéger les données de leurs clients, mais également être en mesure de détecter rapidement toute faille de sécurité pour minimiser les risques. Le cas de Marriott illustre parfaitement l’importance de la détection précoce : une fuite restée inaperçue pendant plusieurs mois, voire années, expose non seulement l’entreprise à des sanctions sévères, mais surtout met en danger les informations sensibles de millions de personnes.

Des changements structurels pour une meilleure gestion des données

L’une des principales mesures prises par Marriott dans le cadre de cet accord est l’audit régulier de ses systèmes de sécurité par des tiers. Cette pratique permettra de garantir que les nouvelles politiques de sécurité mises en place sont effectivement respectées et fonctionnent efficacement. Limiter la quantité de données stockées est également une réponse directe aux violations antérieures, où des informations non nécessaires étaient conservées, augmentant inutilement les risques en cas de piratage.

Offrir aux clients la possibilité de supprimer leurs données personnelles est une autre mesure significative, permettant une transparence accrue et un contrôle direct sur les informations partagées. Ce droit de suppression répond aux attentes croissantes en matière de protection des données dans le cadre des législations internationales, telles que le Règlement général sur la protection des données (RGPD) en Europe.

Cybersécurité, Entreprise

Piratage chez MediCheck : des données médicales sensibles divulguées par le groupe Killsec

Un nouvel épisode de cyberattaque par ransomware frappe durement la Belgique. Le groupe de hackers Killsec a publié plus de 50 000 documents contenant des informations médicales sensibles sur des patients belges.

Ces données ont été dérobées après une intrusion en ligne dans les systèmes de MediCheck, une entreprise spécialisée dans les contrôles médicaux pour des entreprises comme bpost, H&M, et Lidl. La fuite concerne des informations telles que les noms et adresses des patients, des médecins-contrôles, ainsi que des données sur les symptômes médicaux et les médicaments prescrits.

Les pirates du groupe Killsec ont initialement exigé une rançon pour éviter la publication de ces documents. Bien que MediCheck ait d’abord affirmé ne pas vouloir entrer en contact avec les hackers, des négociations ont finalement eu lieu. Ces discussions n’ont pas abouti, et, en conséquence, toutes les données dérobées ont été publiées sur le dark web. Ces informations incluent des données confidentielles concernant l’absentéisme justifié ou non des employés, ce qui soulève des inquiétudes majeures quant à la vie privée et la confidentialité des dossiers médicaux en Belgique.

L’impact de la fuite et la réaction de MediCheck

Cette fuite de données compromet sérieusement la sécurité des informations médicales en Belgique. Dina De Haeck, CEO de MediCheck, a reconnu la gravité de l’incident en affirmant que son entreprise avait « beaucoup appris » de ce piratage. Depuis l’attaque, MediCheck a renforcé ses mesures de sécurité en collaboration avec le Centre pour la cybersécurité Belgique et a annoncé la mise en place d’un audit de sécurité trimestriel. Malgré le silence qui a entouré l’entreprise après l’incident, MediCheck prévoit de relancer ses activités la semaine prochaine, après avoir renforcé ses systèmes.

Le précédent avec Penbox

Il est important de noter que ce n’est pas la première fois que Killsec s’attaque à une entreprise belge. Le mois dernier, le groupe avait dérobé des données à Penbox, une autre entreprise belge. Toutefois, Penbox avait réussi à éviter la divulgation de ces informations en payant une rançon pour récupérer les données volées. Cette affaire montre que Killsec continue d’exploiter des failles dans les systèmes de sécurité des entreprises, renforçant ainsi l’importance de mesures de cybersécurité accrues pour prévenir de telles attaques. (Le Vif)

Bitcoin, Cybersécurité, Entreprise

Ça pirate à tout-va dans le monde de la cryptomonnaie.

Une série d’attaques majeures secoue l’écosystème des crypto-monnaies et des services financiers

Ces dernières semaines, l’écosystème des crypto-monnaies et des services financiers a été frappé par une série d’attaques massives, affectant plusieurs plateformes de premier plan à travers le monde. Indodax, BingX, Truflation et MoneyGram figurent parmi les victimes les plus marquantes de ces incidents de cybersécurité, qui ont entraîné des pertes cumulées de plusieurs millions de dollars. Ces événements soulignent la vulnérabilité des systèmes numériques et la nécessité croissante de renforcer la sécurité dans l’univers des actifs numériques et des services financiers en ligne.

L’attaque contre Indodax : plus de 22 millions de dollars en crypto-monnaies volés

Le 10 septembre 2024, l’échange de crypto-monnaies Indodax, basé en Indonésie, a été frappé par une cyberattaque qui a conduit au vol de plus de 22 millions de dollars en divers jetons numériques. Selon des rapports publiés par les experts en cybersécurité de Slowmist et CertiK, l’attaque a ciblé les portefeuilles chauds de la plateforme – ces portefeuilles qui sont connectés en permanence à Internet pour permettre un accès rapide aux fonds et aux transactions. Bien que cette fonctionnalité soit essentielle pour faciliter l’expérience utilisateur, elle présente également des risques accrus de vulnérabilité face aux cyberattaques.

Plus de 14 millions de dollars en Ethereum (ETH)
2,4 millions de dollars en Tron (TRX)
1,4 million de dollars dans d’autres actifs cryptographiques

L’attaque contre Indodax est l’une des plus importantes en termes de montant dérobé cette année. Elle a jeté un froid sur l’industrie des crypto-monnaies, suscitant des inquiétudes quant à la sécurité des actifs détenus sur les plateformes d’échange. Bien que la société ait immédiatement pris des mesures pour renforcer ses mesures de sécurité et protéger les fonds restants, cet incident met en lumière les failles persistantes dans les systèmes de sécurité des portefeuilles chauds.

BingX : une perte colossale de plus de 44 millions de dollars

À peine quelques jours après l’attaque contre Indodax, un autre échange de crypto-monnaies majeur a été ciblé. BingX, une plateforme de crypto-monnaies basée à Singapour, a révélé avoir subi une cyberattaque qui a entraîné la perte de plus de 44 millions de dollars en actifs numériques.

L’attaque a été découverte après que les spécialistes en sécurité de la blockchain ont commencé à enregistrer des retraits anormalement élevés sur la plateforme. En réponse, BingX a suspendu temporairement ses opérations, expliquant qu’il s’agissait d’une « maintenance du portefeuille ». Cependant, l’entreprise a rapidement confirmé que cette suspension était en réalité due à la détection d’un accès réseau anormal, ce qui a mis en lumière la gravité de la situation.

La suspension des travaux et des transactions a généré une onde de choc parmi les utilisateurs de la plateforme, soulevant des questions sur la sécurité des fonds déposés. À ce jour, BingX n’a pas encore fourni de détails sur la manière dont l’attaque a été menée, ni sur la manière dont l’entreprise prévoit de compenser les pertes subies. Cependant, cette attaque est l’une des plus importantes survenues cette année en termes de pertes financières.

Truflation : une attaque ciblant la trésorerie et les portefeuilles personnels

Le 25 septembre 2024, une nouvelle attaque a secoué la sphère des crypto-monnaies. Cette fois, c’est Truflation, une plateforme blockchain spécialisée dans la fourniture de données financières, qui a été prise pour cible. Selon des informations partagées par le chercheur en sécurité blockchain ZachXBT, environ 5 millions de dollars ont été volés au cours de cette attaque, principalement à partir de la trésorerie de la plateforme et des portefeuilles personnels de certains de ses membres.

L’incident a été détecté lorsque Truflation a observé des activités anormales sur ses systèmes, indiquant un accès non autorisé à ses fonds. Les hackers semblent avoir utilisé des techniques avancées pour contourner les mesures de sécurité de la plateforme et s’approprier les actifs cryptographiques. Truflation a rapidement réagi en renforçant ses contrôles de sécurité, mais l’incident montre à quel point même les projets les plus réputés peuvent être vulnérables.

Ce type d’attaque soulève des préoccupations importantes quant à la protection des fonds au sein des plateformes décentralisées, et met en avant l’importance de systèmes de sécurité encore plus robustes, particulièrement lorsqu’il s’agit de protéger des trésoreries conséquentes.

MoneyGram : perturbation majeure des services de transfert d’argent

Le secteur financier traditionnel n’a pas été épargné par cette vague d’attaques. Le 20 septembre 2024, MoneyGram, un géant des services de transfert d’argent, a suspendu l’ensemble de ses opérations en raison d’un cyber-incident d’envergure. Les services en ligne et hors ligne de MoneyGram ont cessé de fonctionner, plongeant ses millions d’utilisateurs dans l’incertitude.

Le 22 septembre, MoneyGram a confirmé que cette suspension était la conséquence directe d’une cyberattaque ayant compromis les données personnelles de ses clients ainsi que des informations sur leurs transactions. Bien que la société ait indiqué qu’elle enquêtait sur l’incident, elle n’a pas encore fourni de détails quant au nombre exact d’utilisateurs touchés ni à l’ampleur des données compromises.

L’impact de cette attaque est profond. MoneyGram, étant un acteur majeur dans le secteur des transferts d’argent, dessert des millions de personnes à travers le monde. La perturbation de ses services pendant plusieurs jours a non seulement affecté des transactions financières cruciales, mais a également semé le doute sur la capacité de l’entreprise à protéger les données sensibles de ses utilisateurs. Bien que le système soit progressivement remis en ligne, la réputation de MoneyGram pourrait être durablement affectée par cet incident.

Ces attaques successives montrent clairement que l’ère numérique, et en particulier le secteur des crypto-monnaies, reste une cible privilégiée pour les cybercriminels. Les attaques contre Indodax, BingX, Truflation, et MoneyGram mettent en lumière la sophistication croissante des menaces auxquelles ces plateformes doivent faire face.

Bitcoin, Cybersécurité

Telegram : les transactions crypto dans la ligne de mire

Telegram vient d’ajouter une nouveauté dans sa FAQ qui ne plaira pas aux pirates !

Depuis l’arrestation en août 2024 de Pavel Durov, cofondateur de Telegram, les groupes de pirates sur la plateforme sont en panique. La FAQ de Telegram précise désormais que l’application Wallet, utilisée pour les transactions en cryptomonnaies, est prête à divulguer les informations des utilisateurs aux forces de l’ordre.

Bien que Telegram ne gère pas directement Wallet, cette mise à jour de la politique de confidentialité intervient après l’arrestation de Durov et signale un changement dans la gestion de l’anonymat pour les transactions effectuées via la plateforme.

Cybersécurité, Entreprise

Anti-spoofing d’entreprise : Apple sonne la fin du « game » ?

Une nouvelle fonctionnalité pour les utilisateurs Apple permet de distinguer un appel d’une véritable entreprise du spam et des arnaques.

Apple va mettre en place, dans quelques semaines, une option dédiée à contrer les escroqueries et les tentatives d’usurpation d’identité des entreprises. Les sociétés vérifiées via l’option « Business Caller ID » pourront afficher leur logo, leur nom et leur service directement sur l’écran d’appel des appareils Apple. Toute entreprise vérifiée peut s’inscrire sur Apple Business Connect, sans que la taille, l’emplacement géographique ou la présence d’un bureau ne soient des facteurs limitants. La vérification est basée sur l’identifiant Apple.
Le lancement de cette nouvelle fonctionnalité est prévu pour 2025.

Banque, Cybersécurité, loi

Fausse musique et hack de streaming pour 10 millions de dollars !

Les autorités américaines ont récemment inculpé Michael Smith, 52 ans, pour avoir orchestré une fraude aux services de streaming d’une valeur de plus de 10 millions de dollars. Smith aurait utilisé des technologies d’intelligence artificielle (IA) pour générer des centaines de milliers de chansons et les diffuser via des plateformes telles que Spotify, Apple Music, YouTube Music et Amazon Music.

Smith fait face à plusieurs chefs d’accusation, notamment fraude électronique, complot en vue de commettre une fraude électronique et blanchiment d’argent. Chaque accusation pourrait entraîner jusqu’à 20 ans de prison s’il est reconnu coupable. En plus de produire de la musique via IA, Smith aurait manipulé le nombre d’écoutes à l’aide de robots, ce qui lui a permis de percevoir des redevances frauduleuses sur les diffusions.

Selon les autorités, cette fraude aurait duré de 2017 à 2024. Smith aurait utilisé des milliers de comptes fictifs créés à partir d’adresses électroniques achetées pour mettre en œuvre son stratagème. À l’aide d’un logiciel développé en interne, il diffusait en continu ses propres compositions générées par IA, en imitant l’activité de véritables utilisateurs répartis dans plusieurs régions afin de ne pas éveiller les soupçons.

Pour rendre son opération plus crédible et passer sous le radar des plateformes de streaming, Smith a mis en place une stratégie méticuleuse. Il veillait à ne jamais diffuser un morceau trop de fois et choisissait soigneusement des noms d’artistes et de chansons générés par IA afin qu’ils se fondent dans la masse des véritables groupes musicaux. Parmi les exemples cités, des artistes fictifs comme Callous Post et Calorie Screams ont vu leurs morceaux, aux titres étranges tels que Zygotic Washstands et Zymotechnical, inonder les plateformes de streaming.

Les documents d’enquête révèlent que Smith avait commencé en téléchargeant ses propres compositions originales sur les services de streaming, mais ses revenus modestes l’ont incité à passer à la musique générée par IA. En 2018, il s’est associé à un dirigeant anonyme d’une société spécialisée en musique IA et à un promoteur de musique pour créer une vaste bibliothèque de contenu musical produit artificiellement. Bien que les documents judiciaires ne détaillent pas précisément la technologie utilisée pour générer ces morceaux, il est clair que Smith a exploité la flexibilité et la rapidité de production de l’IA pour contourner les systèmes de détection de fraude.

Des millions d’écoutes et des millions de dollars

Le stratagème s’est avéré extrêmement lucratif. Dans des messages internes, Smith a affirmé qu’il pouvait diffuser ses morceaux jusqu’à 661 440 fois par jour, générant ainsi potentiellement 3 307,20 dollars quotidiennement, soit environ 1,2 million de dollars par an. Au plus fort de son activité, Smith contrôlait plus de 1 000 comptes automatisés, chacun hébergeant plusieurs bots destinés à augmenter artificiellement les écoutes de ses morceaux.

En juin 2019, Smith gagnait environ 110 000 dollars par mois, partageant une partie de ces revenus avec ses complices. En 2023, il se vantait d’avoir accumulé 4 milliards de streams et récolté un total de 12 millions de dollars de royalties depuis 2019. Smith a réussi à tromper les services de streaming pendant plusieurs années en manipulant leurs algorithmes et en exploitant les failles de leurs systèmes de surveillance. Cependant, en 2018, lorsque qu’une société de distribution de musique a commencé à signaler des abus dans l’industrie du streaming, Smith a nié toute implication, affirmant qu’il n’y avait « absolument aucune fraude ».

Le procureur Damian Williams a condamné les actions de Smith, déclarant que son stratagème frauduleux lui avait permis de percevoir des millions de dollars de redevances qui auraient dû revenir aux musiciens, auteurs-compositeurs et détenteurs de droits d’auteur légitimes. Un détournement des ressources et des revenus des artistes et créateurs respectant les règles du jeu.

Cybersécurité, double authentification, Entreprise

Remplacer les mots de passe tous les mois ? Plus utile selon le NIST

La sécurité des mots de passe reste un enjeu majeur dans la protection des systèmes numériques et des données sensibles. Le guide du NIST, « Special Publication 800-63B », aborde en détail les pratiques à suivre pour garantir une gestion et une utilisation des mots de passe conformes aux normes de sécurité modernes.

Le National Institute of Standards and Technology (NIST) est l’autorité fédérale américaine. Sa mission, mettre en place des normes technologiques qui s’appliquent aux entreprises américaines. Ses recommandations dépassent les frontière et font, la plupart du temps, référence à l’échelle mondiale. Le guide SP 800-63B du National Institute of Standards and Technology place l’authentification au cœur de la protection des systèmes d’information avec quelque chamboulement. Le NIST rappelle que l’authentification est subdivisée en trois niveaux d’assurance, appelés AAL (Authentication Assurance Levels), qui varient en fonction du niveau de sécurité nécessaire :

AAL1 : Authentification à faible niveau d’assurance, généralement un mot de passe seul.
AAL2 : Authentification nécessitant au moins deux facteurs (par exemple, mot de passe et un facteur physique comme un smartphone ou une clé de sécurité).
AAL3 : Authentification à très haut niveau d’assurance, requérant des méthodes robustes et cryptographiquement sécurisées.

L’un des aspects critiques du SP 800-63B concerne la gestion des mots de passe à tous les niveaux d’authentification.

Traditionnellement, les politiques de sécurité exigeaient des mots de passe complexes, avec des règles telles que l’obligation d’inclure des caractères spéciaux, des chiffres et des majuscules. Le NIST recommande un changement d’approche radical. Plutôt que de forcer la complexité, le guide encourage à privilégier des mots de passe plus longs (au moins 8 caractères) qui sont plus faciles à retenir pour les utilisateurs mais plus difficiles à deviner pour les attaquants. Les mots de passe de 64 caractères ou plus sont autorisés, et les restrictions de complexité doivent être minimisées pour encourager l’utilisation de phrases de passe.

Une autre recommandation du NIST consiste à abandonner les politiques de changement de mot de passe régulier, qui peuvent avoir des effets contre-productifs. Lorsqu’on oblige les utilisateurs à changer leurs mots de passe trop fréquemment, cela les conduit souvent à choisir des mots de passe plus simples ou à réutiliser des variantes faciles à deviner. Bilan, le NIST préconise de ne pas imposer de changement de mot de passe à moins qu’il y ait une raison spécifique, comme la détection d’une compromission. Cela permet de diminuer le stress des utilisateurs tout en garantissant une meilleure protection des comptes.

Désactivation des contraintes inutiles

Le guide déconseille également l’utilisation de règles de composition restrictives qui refusent certains caractères ou qui exigent des combinaisons spécifiques. Cela inclut également la désactivation des systèmes qui empêchent les utilisateurs de copier-coller ou de générer automatiquement des mots de passe, une pratique courante avec les gestionnaires de mots de passe. Le but est de faciliter la création de mots de passe sécurisés tout en réduisant le fardeau cognitif sur les utilisateurs. Le NIST recommande que les mots de passe proposés par les utilisateurs soient vérifiés par rapport à des listes de mots de passe compromis, communément disponibles après des violations de données. Cela inclut les mots de passe courants, les mots de passe exposés et les termes prévisibles associés à des informations personnelles. En bloquant l’utilisation de ces mots de passe connus, le risque de compromission est considérablement réduit. A noter que le Service Veille ZATAZ, entreprise Française, est capable de vous alerter lors de la compromission des informations de votre entreprise, dont les mots de passe.

Les attaques par force brute, où un pirate (ou ses logiciels automatisés) tente d’essayer toutes les combinaisons possibles de mots de passe, restent une menace constante. Le NIST suggère des mesures pour limiter ces tentatives, comme l’introduction de temporisations après un certain nombre d’échecs de connexion. De nombreux sites utilisent cette solution, dont Data Security Breach. L’utilisation d’authentification multi-facteurs est également une défense efficace contre ces types d’attaques, car le hacker malveillant doit non seulement deviner un mot de passe, mais également obtenir un second facteur, ce qui est « quasiment » impossible rapidement et efficacement. Le NIST recommande l’authentification multi-facteurs (MFA) comme méthode essentielle pour garantir une sécurité accrue. Le MFA combine généralement un mot de passe avec quelque chose que l’utilisateur possède (comme un téléphone ou une clé de sécurité) ou quelque chose qu’il est (comme une empreinte digitale). Concernant la biométrie (contrôle par l’empreinte palmaire, l’iris, Etc), le NIST encourage à ne pas utiliser la biométrie comme unique facteur.

Algorithmes de hachage obsolètes

Le NIST déconseille de stocker les mots de passe en texte clair ou sous une forme faiblement protégée, comme les algorithmes de hachage obsolètes (par exemple, MD5 ou SHA-1). Il est essentiel d’utiliser des méthodes modernes de protection des mots de passe comme l’algorithme de hachage sécurisé PBKDF2 ou Argon2, qui ralentissent le processus de vérification hors ligne, rendant les attaques par force brute beaucoup plus difficiles. Les gestionnaires de mots de passe sont fortement recommandés par le NIST pour gérer la complexité de la création et de la mémorisation des mots de passe. Ces outils permettent aux utilisateurs de créer des mots de passe longs et uniques pour chaque service sans avoir à s’en souvenir, ce qui réduit le risque de réutilisation de mots de passe. Le guide suggère d’encourager les utilisateurs à adopter ces outils comme une solution viable pour renforcer leur sécurité personnelle.

Pour conclure, le NIST rappelle la base de la cyber : éducation ! L’un des éléments clés de la sécurité des mots de passe est la sensibilisation des utilisateurs. Les meilleures pratiques en matière de sécurité peuvent être inefficaces si les utilisateurs ne sont pas bien formés. Le NIST insiste sur l’importance de campagnes de sensibilisation pour encourager l’utilisation de phrases de passe, de gestionnaires de mots de passe et de l’authentification multi-facteurs. Il est également crucial que les utilisateurs comprennent les risques liés aux attaques par phishing et à la compromission de leurs identifiants.

article partenaire, Entreprise

4 conseils pour choisir une batterie pour votre ordinateur

La batterie est l’un des éléments indispensables pour le fonctionnement d’un ordinateur portable. Elle offre la liberté et la mobilité aux utilisateurs en raison de son autonomie. Cependant, cet accessoire est disponible en plusieurs marques. De même, les caractéristiques varient selon chaque modèle. Dans cet article, nous vous présentons les paramètres à prendre en compte pour choisir une bonne batterie pour votre ordinateur portable.

Pour acheter une batterie originale pour votre ordinateur portable, la première indication est la marque. Sachez qu’une batterie ne peut pas alimenter toutes les marques d’ordinateur. Pour chaque appareil, il existe une batterie spécifique.  Si votre ordinateur est de marque Apple, par exemple, seule une batterie Apple peut l’alimenter. Ce principe est valable pour toutes les autres fabrications.

Un autre indice pour reconnaître rapidement la batterie idéale pour votre ordinateur est de trouver le numéro de produit de l’ancienne batterie. En effet, chaque batterie possède un code d’identification unique. Celui-ci est souvent une combinaison de chiffres et de lettres. Votre mission est de choisir une nouvelle batterie ayant la même référence que l’ancienne.

Vérifier la capacité de la batterie

Une autre caractéristique à prendre en compte pour choisir la batterie de votre ordinateur portable est sa capacité. C’est l’élément qui détermine l’autonomie de votre ordinateur. Plus la capacité de la batterie est importante, plus votre appareil fonctionnera plus longtemps. À titre indicatif, une batterie de 4400 mAh peut alimenter votre ordinateur pendant 48 h.

Le choix de la capacité de votre batterie dépend de vos besoins. Si vous devez utiliser votre ordinateur uniquement pour travailler au bureau ou à la maison, une batterie de capacité moyenne peut vous convenir. En revanche, si vous utilisez l’appareil en dehors de votre bureau, l’idéal est de privilégier une batterie dotée d’une grande capacité.

Tenir compte de la tension de la batterie

La tension est un autre indicateur à vérifier avant d’acheter une nouvelle batterie pour votre ordinateur portable. La plupart des appareils disponibles aujourd’hui sur le marché fonctionnent avec des batteries dont la tension est comprise entre 7,2 V et 14,8 V. Il est donc essentiel de bien vérifier le voltage correspondant à votre ordinateur pour éviter de choisir une batterie incompatible.

En réalité, un ordinateur qui nécessite un voltage plus bas ne fonctionnera pas avec une batterie de haute tension. Par exemple, vous ne pouvez pas utiliser une batterie de 4,8 V pour un ordinateur qui n’en demande que 7,2 V. En revanche, une petite différence de tension est acceptable. Par exemple, 14,4 V et 14,8 V sont considérés comme la même tension.

Choisir une batterie ayant un grand nombre de cellules

Le nombre de cellules est un critère étroitement lié à la capacité de la batterie. Plus le nombre de cellules est élevé, plus la capacité est importante. De manière générale, 80 % des ordinateurs actuels possèdent entre 3 et 6 cellules.

Toutefois, si vous souhaitez utiliser votre ordinateur le plus longtemps possible, il est conseillé de choisir une batterie ayant 9 à 12 cellules. Cependant, une batterie avec un nombre important de cellules est plus lourde et coûte aussi cher.

Bitcoin, Cybersécurité

Rapport du FBI sur la fraude aux cryptomonnaies : alerte face à la montée des délits

En 2023, la fraude aux cryptomonnaies a atteint des niveaux préoccupants, selon le rapport du FBI. Le Centre de plaintes pour la criminalité sur Internet (IC3) a enregistré plus de 69 000 plaintes liées aux cryptomonnaies, représentant des pertes estimées à 5,6 milliards de dollars. Bien que ces plaintes ne représentent que 10 % des signalements de fraudes financières, les pertes associées à ces cas représentent près de 50 % des pertes totales signalées.

La cryptomonnaie est de plus en plus exploitée dans des escroqueries variées, telles que les fraudes à l’investissement, les escroqueries au support technique, les arnaques amoureuses, ou encore les stratagèmes d’usurpation d’identité gouvernementale. Cependant, la fraude à l’investissement en cryptomonnaies s’est imposée comme la plus répandue et la plus dommageable, causant plus de 3,9 milliards de dollars de pertes en 2023.

La sophistication croissante des fraudes cryptographiques

Le directeur du FBI, Christopher Wray, a exprimé son inquiétude face à la montée en sophistication de ces escroqueries. Il a mis en avant la nécessité d’une vigilance publique accrue, affirmant que la signalisation des fraudes, même en l’absence de pertes financières, est essentielle pour aider le FBI à détecter les nouvelles tendances criminelles et à informer le public.

Les escroqueries liées aux cryptomonnaies suivent souvent un schéma d’ingénierie sociale sophistiqué, dans lequel les victimes sont manipulées pour investir de l’argent dans des opportunités fictives. Voici les étapes typiques d’une fraude à l’investissement en cryptomonnaie :

Cibler les victimes : Les escrocs utilisent diverses méthodes pour attirer leurs victimes, notamment via les réseaux sociaux, les SMS ou les sites de rencontres.

Instaurer la confiance : Une fois la victime approchée, les escrocs cherchent à établir une relation de confiance en flattant et en sympathisant avec leurs difficultés.

Le pitch d’investissement : Après avoir gagné la confiance de la victime, les fraudeurs introduisent l’idée d’un investissement « lucratif », souvent dans des secteurs comme le trading de cryptomonnaies ou le mining.

Investissement initial : Les victimes sont incitées à ouvrir des comptes sur des plateformes légitimes, puis à transférer des fonds vers des plateformes frauduleuses.

Augmentation de l’investissement : Les premières transactions semblent fructueuses, encourageant les victimes à investir davantage. Les escrocs peuvent même autoriser des retraits partiels pour renforcer la confiance.

Le piège final : Lorsque les victimes tentent de retirer tous leurs fonds, elles sont bloquées sous prétexte de frais ou d’impôts supplémentaires à payer. Ce dernier stratagème permet aux criminels de soutirer davantage d’argent avant de disparaître.

La réponse du FBI : Virtual Assets Unit (VAU)

En réponse à cette vague de criminalité, le FBI a renforcé ses capacités d’enquête sur les fraudes liées aux cryptomonnaies en 2022 en créant la Virtual Assets Unit (VAU). Cette équipe spécialisée utilise des technologies de pointe pour analyser la blockchain, suivre les transactions suspectes et saisir les actifs virtuels.

Le FBI encourage les victimes, même celles n’ayant subi aucune perte, à signaler les escroqueries via le portail IC3 (ic3.gov). Ces signalements sont essentiels pour suivre l’évolution des stratagèmes et protéger le public.

Conseils pour éviter les arnaques liées aux cryptomonnaies

Pour se prémunir contre les arnaques en cryptomonnaies, voici quelques conseils :

Méfiez-vous des communications non sollicitées via SMS, réseaux sociaux ou autres canaux proposant des opportunités d’investissement.
Vérifiez de manière indépendante les conseils d’investissement, en particulier s’ils proviennent de contacts en ligne que vous n’avez jamais rencontrés en personne.
Soyez attentif aux signaux d’alerte, tels que les demandes de communication via des applications comme WhatsApp ou Telegram.
Évitez les plateformes d’investissement qui semblent trop belles pour être vraies ou qui imitent des institutions légitimes.
Ne répondez jamais à des demandes de paiements en cryptomonnaie provenant de prétendues agences gouvernementales.

Pourquoi les criminels exploitent-ils les cryptomonnaies ?

La nature décentralisée des cryptomonnaies, combinée à la rapidité et à l’irréversibilité des transactions, en fait une cible attrayante pour les criminels. Les transactions sans supervision d’un tiers sont difficiles à annuler, permettant ainsi aux malfaiteurs de déplacer de grosses sommes d’argent à travers les frontières avec une traçabilité minimale. Bien que la blockchain permette de suivre les transactions, il est difficile de récupérer les fonds lorsque ceux-ci sont transférés dans des pays aux lois anti-blanchiment d’argent peu strictes.

cyberattaque, Cybersécurité

Les cybercriminels de RansomHub utilisent TDSSKiller pour contourner les systèmes de sécurité

Les attaques par ransomware continuent d’évoluer avec l’ingéniosité des cybercriminels, et les méthodes de contournement des systèmes de sécurité se sophistiquent. RansomHub, un groupe de pirates notoire, exploite un outil légitime de Kaspersky Lab, TDSSKiller, pour désactiver les services de détection et de réponse des points finaux (EDR) sur les systèmes qu’ils ciblent.

Ce détournement des outils de cybersécurité souligne un défi majeur dans la lutte contre les ransomwares : l’utilisation d’outils authentiques et signés pour masquer des intentions malveillantes.

TDSSKiller, développé par Kaspersky Lab, est à la base un logiciel de sécurité conçu pour détecter et éliminer les rootkits et bootkits, des types de malwares difficiles à identifier et à éliminer. Ces programmes malveillants peuvent contourner les mesures de sécurité traditionnelles et s’intégrer profondément dans le système, ce qui rend leur élimination complexe.

Cependant, comme le rapporte Bleeping Computer, RansomHub a détourné l’utilisation de cet outil pour interagir avec les services au niveau du noyau du système infecté, désactivant ainsi les services anti-malware tels que MBAMService de Malwarebytes. Ce processus se fait via un script de ligne de commande ou un fichier batch, ce qui permet aux cybercriminels de désactiver les mécanismes de défense critiques et de s’assurer que leur présence sur le système reste inaperçue.

Comment RansomHub utilise LaZagne pour l’exfiltration des informations d’identification

Après avoir désactivé les systèmes de défense via TDSSKiller, les pirates de RansomHub passent à la collecte d’informations d’identification. Ils exploitent l’outil LaZagne, un autre programme légitime, pour extraire les informations de connexion stockées dans les bases de données d’applications. Cet outil peut accéder à des identifiants provenant de navigateurs, de clients de messagerie, de bases de données ou encore de logiciels de gestion de mots de passe.

Une fois les informations d’identification récupérées, les pirates peuvent se déplacer latéralement dans le réseau, escaladant leurs privilèges pour prendre le contrôle de nouveaux systèmes et y installer d’autres malwares ou finaliser une attaque de ransomware. Malwarebytes a enquêté sur une attaque où LaZagne avait généré 60 fichiers contenant des données volées, preuve de l’étendue des informations que ces cybercriminels peuvent exfiltrer.

Les implications pour les entreprises : vigilance et renforcement des défenses

L’utilisation d’outils légitimes dans des attaques malveillantes est particulièrement problématique pour les équipes de sécurité. TDSSKiller est signé avec un certificat valide, ce qui rend sa détection par des logiciels de sécurité standard difficile. Les solutions de sécurité doivent donc être adaptées pour reconnaître des comportements suspects, même s’ils émanent d’outils légitimes. Cela inclut l’analyse comportementale avancée et la mise en place de restrictions plus strictes quant à l’utilisation d’outils tels que TDSSKiller ou LaZagne dans des environnements sensibles. Malwarebytes a souligné que les attaquants de RansomHub ont cherché à dissimuler leurs traces en supprimant des fichiers après avoir exfiltré des données d’identification, un comportement typique visant à éviter la détection post-incident.

Cybersécurité, Entreprise

Cybersécurité : la menace interne

Le FBI a récemment émis une alerte sur une menace de plus en plus courante et souvent négligée : la menace interne. Si les entreprises se concentrent principalement sur les attaques externes, il apparaît que les cybercriminels trouvent de nouveaux moyens d’infiltrer les systèmes de sécurité des organisations en se faisant passer pour des employés.

Une menace interne qui prend une nouvelle dimension avec l’exemple concret de Kyle, un faux employé nord-coréen, qui a réussi à contourner toutes les étapes de recrutement, jusqu’à pénétrer le réseau d’une entreprise. En juillet, KnowBe4 a levé le voile sur un cas inquiétant. L’entreprise avait recruté un employé, appelé Kyle, qui semblait remplir toutes les qualifications nécessaires.

Cependant, dès que Kyle a connecté son PC au réseau de l’entreprise, une vague de malwares a immédiatement été détectée. Le helpdesk a tenté de joindre l’utilisateur, mais celui-ci est resté silencieux. Après une enquête approfondie, il est apparu que Kyle n’était en réalité qu’un faux employé – un agent nord-coréen ayant utilisé une fausse photo générée par l’IA pour tromper les recruteurs. Cette infiltration a mis en lumière un schéma de fraude bien rodé : des fermes d’ordinateurs portables aux États-Unis permettent aux agents nord-coréens de se connecter aux serveurs internes des entreprises depuis l’étranger, camouflant ainsi leur localisation réelle.

Une menace en plein essor aux États-Unis

Et Kyle n’est pas un cas isolé. Le FBI a récemment averti que ce type de menace se propageait aux États-Unis, avec des centaines, voire des milliers de cas similaires recensés depuis 2022 et 2023. Ces infiltrations par des agents étrangers montrent clairement que la cybercriminalité interne est un problème persistant et que les entreprises ne peuvent plus se permettre de sous-estimer ce risque. Face à cette menace croissante, il est essentiel pour les entreprises d’adopter une approche proactive pour renforcer leurs défenses internes. Bien que certaines mesures de sécurité soient déjà en place, d’autres actions peuvent être prises pour limiter les risques d’infiltration.

Les recruteurs doivent désormais redoubler de vigilance, notamment en matière de vérification des antécédents. Même pour des postes en full remote, il est important d’exiger la présence physique des candidats lors du processus de recrutement et régulièrement après leur embauche. La mise en place d’un système de détection des comportements inhabituels est cruciale. Cela peut être aussi simple que de surveiller des paramètres tels que les volumes de données transférées ou les horaires de connexion, ou d’utiliser des technologies avancées comme l’UEBA (User and Entity Behavior Analytics) pour identifier des anomalies plus subtiles. La gestion des droits d’accès aux informations est souvent un point faible dans la sécurité des entreprises. Il est impératif de limiter l’accès aux données sensibles et de s’assurer que chaque employé n’ait accès qu’à ce qui est nécessaire à son travail.

Il est recommandé de constituer une équipe spécifiquement chargée de traiter les incidents liés aux menaces internes. Cette équipe pourra gérer les cas de manière discrète, sans que les informations sensibles ne circulent librement dans le SOC (Security Operations Center) ou dans les tickets ouverts, afin d’éviter des fuites d’informations. Une red team dédiée à la « menace interne » devrait être incluse dans les budgets de cybersécurité pour l’année 2025. Cette équipe spécialisée pourrait simuler des scénarios d’infiltration afin d’identifier les failles potentielles dans les processus de recrutement et de sécurité des entreprises.

Protéger la vie privée tout en assurant la sécurité

Bien que ces mesures soient cruciales, il est tout aussi important de respecter les droits à la vie privée des employés. Les entreprises doivent donc équilibrer la protection contre les menaces internes avec les préoccupations en matière de protection des données personnelles. Pour ce faire, elles peuvent s’inspirer des pratiques éprouvées dans le domaine de la lutte contre la fraude, où des protocoles de sécurité sont en place depuis longtemps tout en préservant les droits des individus.

La menace interne représente un défi croissant pour les entreprises, en particulier avec des cybercriminels capables de se faire passer pour des employés légitimes. L’exemple de Kyle, l’agent nord-coréen infiltré, souligne à quel point ces attaques peuvent être sophistiquées et difficiles à détecter. Mais attention, l’employé malveillant n’est pas obligatoirement venu de pays étranger. Il peut être aussi un « simple » malveillant comme a pu le vivre l’entreprise CapGemini, en France, en 2024.

Chiffrement, Cybersécurité, Entreprise

Entreprise : tentative d’extorsion de données en interne

Le 27 août 2024, Daniel Ryan, un résident de Kansas City, Missouri, âgé de 57 ans, a été arrêté pour tentative d’extorsion de données suite à une opération de cyber-chantage menée contre son ancien employeur, une entreprise industrielle basée dans le comté de Somerset, New Jersey. Cet événement marquant soulève des questions cruciales sur la sécurité des systèmes informatiques et les vulnérabilités internes que certaines entreprises doivent affronter.

Un ancien employé devient cybercriminel

Daniel Ryan, un ancien ingénieur en infrastructures, a été inculpé de trois chefs d’accusation : extorsion par menace de dommages à un ordinateur protégé, dommages intentionnels à un système informatique protégé, et fraude électronique. Ces charges résultent d’une tentative de sabotage et d’extorsion visant à paralyser le réseau informatique de l’entreprise, à moins qu’une somme non spécifiée ne soit versée.

L’arrestation de Ryan met en lumière l’importance de la confiance placée dans les employés ayant accès à des informations sensibles. L’ancien employé, après avoir quitté son poste, a réussi à conserver un accès non autorisé aux systèmes de l’entreprise, exploitant cette faille pour lancer son attaque.

Tentative d’extorsion : un scénario de chaos planifié

L’affaire a débuté lorsque Ryan a envoyé plusieurs lettres de menace à des employés de l’entreprise le 25 novembre 2023, affirmant que le réseau de l’entreprise avait été compromis. Dans ces lettres, il indiquait que tous les administrateurs IT avaient été « exclus ou supprimés » du réseau et que les sauvegardes de données avaient été détruites. Plus alarmant encore, Ryan menaçait de fermer 40 serveurs par jour pendant une période de 10 jours si l’entreprise refusait de se plier à ses exigences.

Cette menace, visant à paralyser totalement l’activité de l’entreprise, souligne l’impact potentiel d’une cyberattaque initiée de l’intérieur, une menace souvent négligée par les entreprises.

L’enquête, menée par le ministère américain de la Justice (DoJ), a révélé que Daniel Ryan avait réussi à obtenir un accès à distance non autorisé au réseau de l’entreprise, en utilisant un compte administrateur. Il a configuré plusieurs tâches malveillantes, incluant la modification des mots de passe des administrateurs et l’arrêt des serveurs, compromettant ainsi la stabilité du réseau.

L’enquête a également découvert que Ryan avait utilisé des outils de hacking bien connus comme Sysinternals Utilities PsPasswd pour changer les mots de passe de l’administrateur de domaine et des comptes locaux, modifiant ces derniers pour qu’ils deviennent TheFr0zenCrew!. Cette modification lui a donné un contrôle quasi total sur les systèmes informatiques de l’entreprise.

De plus, Ryan avait mis en place une machine virtuelle cachée qui lui permettait d’accéder à distance aux systèmes de l’entreprise, dissimulant ses traces grâce à des techniques sophistiquées comme l’effacement des journaux Windows. Les autorités ont également découvert des recherches effectuées par Ryan sur la façon de changer les mots de passe administrateurs à travers des lignes de commande.

Procès et sanctions sévères

Daniel Ryan, après son arrestation, a immédiatement comparu devant la justice. Pour les trois chefs d’accusation retenus contre lui, il risque une peine maximale de 35 ans de prison et une amende de 750 000 dollars. Ce cas de cybercriminalité met en lumière la sévérité des peines encourues pour les crimes liés à l’extorsion et à la fraude électronique, ainsi que l’importance d’une sécurisation renforcée des systèmes IT, même après le départ d’un employé.

L’arrestation de Daniel Ryan est un rappel frappant des dangers internes auxquels les entreprises sont confrontées en matière de cybersécurité. Il est impératif que les entreprises mettent en place des procédures strictes de contrôle d’accès, en particulier lorsque des employés quittent l’organisation, afin de minimiser les risques d’abus. Des systèmes de surveillance renforcés, associés à des pratiques de cybersécurité rigoureuses, sont essentiels pour prévenir de telles attaques internes à l’avenir.

En résumé, la tentative infructueuse d’extorsion de Daniel Ryan démontre les risques liés à une mauvaise gestion des accès IT et souligne la nécessité de rester vigilant face aux menaces internes. Le secteur de la cybersécurité doit continuer à évoluer pour faire face à ces défis en constante mutation, garantissant ainsi la protection des données critiques des entreprises.

Emploi, Entreprise, Wordpress

Enregistrement obligatoire des blogueurs avec plus de 10 000 abonnés : ce qu’il faut savoir

Le Service fédéral de surveillance des communications, des technologies de l’information et des communications de masse (Roskomnadzor) Russe a publié le premier document officiel sur l’enregistrement des blogueurs ayant une audience de 10 000 abonnés ou plus.

Selon ce document, les blogueurs ayant une telle audience sont tenus de s’inscrire auprès de Roskomnadzor dans un registre spécial et de fournir des informations sur :

Nom complet du blogueur (propriétaire de la page personnelle).
Date de naissance.
Données de passeport ou données d’un autre document d’identification.
Adresse email.
Numéro de téléphone du contact.
Le nom du réseau social ou de la plateforme (par exemple, VKontakte, Telegram, YouTube, etc.).
Un lien vers une page personnelle ou un compte comptant plus de 10 000 abonnés.
Confirmation que le nombre d’abonnés dépasse le seuil des 10 000 personnes.
Informations sur le fournisseur d’hébergement et l’adresse IP (le cas échéant).
La nature du contenu.
Les blogueurs s’engagent également à vérifier l’exactitude des informations publiées et à ne pas enfreindre les lois de la Fédération de Russie (par exemple, les lois sur les fausses nouvelles et l’extrémisme). En cas de violation, ils s’exposent à des amendes ou à d’autres sanctions prévues par la législation de la Fédération de Russie. À son tour, Roskomnadzor a la possibilité de surveiller les informations diffusées par les principaux blogueurs pour garantir leur conformité avec les lois russes.

Statistiques

Les statistiques sur le nombre de blogueurs en Russie comptant plus de 10 000 abonnés changent constamment. Ainsi, les blogueurs comptant plus de 10 000 abonnés sont classés parmi les micro-influenceurs, qui représentent une part importante du marché. En 2022, il y avait environ 1,5 million de blogueurs en Russie avec différents niveaux d’abonnés. Parmi eux, les micro-influenceurs (10 000 à 50 000 abonnés) représentent plus de 50 %, les influenceurs intermédiaires (50 000 à 100 000 abonnés) – environ 20 %.

Les chiffres exacts changent constamment, mais le total des blogueurs avec une audience de plus de 10 000 personnes peut être estimé à des centaines de milliers uniquement sur les principales plateformes : VKontakte, Odnoklassniki, Telegram, LiveJournal, Pikabu, Pinterest, Rutube, Yandex.Zen, Twich, Discorde et Yappy. Des plateformes telles qu’Instagram et TikTok, qui sont bloquées en Russie (mais accessibles via un VPN), pourraient également tomber sous le coup de ces règles si elles opèrent officiellement en Russie.

A noter que Roskomnadzor a supprimé le document de son portail quelques heures aprés sa diffusion.

backdoor, Cybersécurité

Un ingénieur découvre une porte dérobée dans des cartes sans contact d’un fabricant chinois

Quarkslab, une entreprise française spécialisée dans la cybersécurité offensive et défensive, a annoncé la découverte d’une porte dérobée présente dans des millions de cartes sans contact fabriquées par Shanghai Fudan Microelectronics Group Co. Ltd., un des principaux fabricants de puces en Chine. Les cartes concernées sont largement utilisées dans les transports publics et l’industrie hôtelière à travers le monde.

Les cartes MIFARE* sont une marque bien connue pour une large gamme de produits de circuits intégrés sans contact, produits et licenciés par NXP Semiconductors N.V. (NASDAQ: NXPI). Les circuits intégrés sans contact MIFARE ont une distance de lecture/écriture typique de 10 cm et sont utilisés dans plus de 750 villes, dans plus de 50 pays, et dans plus de 40 applications différentes à travers le monde, y compris les paiements sans contact, la billetterie de transport et le contrôle d’accès. La gamme de produits a rencontré un immense succès, avec plus de 12 milliards de cartes sans contact et à double interface vendues, selon le vendeur.

Dès 2010, plus de 3,7 milliards de cartes avaient été fabriquées et déployées à travers le monde.

Selon NXP en 2019, lors de son 25e anniversaire, plus de 1,2 milliard de personnes dans plus de 750 villes à travers le monde utilisaient quotidiennement des produits MIFARE.

La famille de cartes MIFARE Classic*, lancée à l’origine en 1994 par Philips Semiconductors (aujourd’hui NXP Semiconductors), est largement utilisée et a été soumise à de nombreuses attaques au fil des années. Les vulnérabilités de sécurité permettant des attaques dites « card-only » (attaques nécessitant l’accès à une carte mais pas au lecteur correspondant) sont particulièrement préoccupantes car elles peuvent permettre aux attaquants de cloner des cartes, ou de lire et de modifier leur contenu, simplement en se trouvant à proximité physique d’elles pendant quelques minutes. Au fil des années, de nouvelles versions de la famille MIFARE Classic* ont été développées pour contrer les différents types d’attaques découvertes par les chercheurs en sécurité.

En 2020, le FM11RF08S, une nouvelle variante de MIFARE Classic*, a été lancée par Shanghai Fudan Microelectronics, le principal fabricant chinois de puces « compatibles MIFARE » non licenciées. Cette variante comporte des contre-mesures spécifiques conçues pour déjouer toutes les attaques « card-only » connues et gagne progressivement des parts de marché à l’échelle mondiale. De nombreuses organisations utilisent ces cartes sans savoir qu’il s’agit de produits Fudan, car elles sont étiquetées MIFARE.

Lors de recherches en sécurité, Philippe Teuwen, chercheur en sécurité chez Quarkslab, a identifié des caractéristiques idiosyncratiques intéressantes des cartes FM11RF08S. Tout d’abord, il a découvert une attaque capable de casser les clés des cartes FM11RF08S en quelques minutes si elles sont réutilisées sur au moins trois secteurs ou trois cartes. Des recherches supplémentaires ont révélé une porte dérobée matérielle qui permet l’authentification avec une clé inconnue.

Il a ensuite utilisé cette nouvelle attaque pour obtenir (« craquer ») cette clé secrète et a découvert qu’elle est commune à toutes les cartes FM11RF08S existantes. Avec la connaissance de la porte dérobée et de sa clé, il a conçu une méthode pour casser toutes les clés d’une carte FM11RF08S en environ 15 minutes si les 32 clés sont diversifiées, beaucoup moins de temps si seulement quelques clés sont définies. Ensuite, il a trouvé une porte dérobée similaire, protégée par une autre clé, dans la génération précédente de cartes (FM11RF08). Après avoir également craqué cette seconde clé secrète, il a découvert que cette clé est commune à toutes les cartes FM11RF08, ainsi qu’à d’autres modèles du même fabricant (FM11RF32, FM1208-10), et même à certaines anciennes cartes de NXP Semiconductors N.V. (NASDAQ: NXPI) et d’Infineon Technologies AG (FSE: IFX / OTCQX: IFNNY).

« Les technologies de communication en champ proche (NFC) sont largement déployées dans le monde entier et ont de nombreuses utilisations aujourd’hui. Elles sont la pierre angulaire de certaines applications critiques telles que les transports publics, l’identification personnelle, le contrôle d’accès physique et les systèmes de paiement, et elles sont omniprésentes dans l’industrie hôtelière. Mais même des technologies matures qui ont été étudiées pendant des décennies et dont la sécurité a été améliorée au fil du temps peuvent être sujettes à des attaques ou à des manipulations par différents types d’acteurs malveillants« , a déclaré Fred Raynal, PDG de Quarkslab. « La découverte de Philippe réaffirme la nécessité pour les organisations de réaliser régulièrement des audits de sécurité approfondis des technologies sans contact qu’elles utilisent. Ce besoin est particulièrement aigu pour les organisations ayant des chaînes d’approvisionnement complexes, où les attaques sur la chaîne d’approvisionnement peuvent représenter une menace sérieuse dans leur modèle de menace.« 

Bien que, sans accès préalable à une carte affectée, la porte dérobée nécessite seulement quelques minutes de proximité physique avec la carte pour mener une attaque, une entité en position de réaliser une attaque sur la chaîne d’approvisionnement pourrait exécuter de telles attaques instantanément et à grande échelle.

Quarkslab a publié un résumé des conclusions sur le blog de l’entreprise. La nouvelle attaque et toutes les découvertes associées ont été révélées dans un article de recherche publié vendredi dernier, le 16 août, sur l’archive de cryptologie ePrint de l’International Association for Cryptologic Research (IACR).

Les outils associés ont été intégrés dans le projet open-source Proxmark3, permettant aux utilisateurs potentiellement affectés de tester leurs cartes.

Cybersécurité, Mise à jour

Ma classe à la rentrée ? Le reveal piégé !

Une escroquerie en ligne, loin d’être nouvelle, cible les parents et les élèves impatients de découvrir avec qui ils partageront leur prochaine rentrée scolaire. Le site « RevealClasse » se présente sous une apparence trompeuse, reprenant les codes visuels des sites gouvernementaux français, notamment l’utilisation des couleurs tricolores et des logos similaires à ceux de la police.

La Gendarmerie Nationale a alerté, en plein été 2024, l’apparition d’un site frauduleux exploitant la curiosité des futurs collégiens et lycées. Une arnaque qui fait son apparition chaque année. La référence des blogs sur la cybersécurité, ZATAZ.COM, en révèle chaque année depuis plus de 20 ans ! Voici trois exemples en 2017 ; 2019 ou encore 2023.

Le faux site repéré par la Gendarmerie.

La Gendarmerie rappelle que ce faux site à trois missions :

  1. Collecte d’informations : Les utilisateurs sont invités à saisir leurs nom, prénom, ville et nom de l’établissement scolaire. Cette étape donne l’illusion de légitimité et de sécurité.
  2. Vérification fallacieuse : Une fois les informations saisies, une liste partielle apparaît, avec des noms floutés. Pour accéder à la liste complète, les utilisateurs doivent prouver qu’ils ne sont pas des robots en accomplissant des « missions » comme l’installation d’applications ou la participation à des jeux-concours.
  3. Escroquerie finale : Malgré toutes ces étapes, les utilisateurs ne reçoivent jamais la liste attendue. À la place, leurs informations personnelles sont volées, les exposant à divers types de fraudes.

La jeune génération : une cible facile

Contrairement aux idées reçues, une étude britannique récente a révélé que les jeunes de moins de 20 ans sont plus vulnérables aux arnaques en ligne que les personnes de plus de 55 ans. Bien que cette génération soit fortement connectée aux réseaux sociaux et aux outils numériques, elle ne détecte pas toujours les pièges en ligne. Il est crucial de ne jamais divulguer d’informations personnelles sur des sites suspects. En cas de doute, contactez votre brigade de gendarmerie ou la brigade numérique. Vous pouvez également signaler ces arnaques sur le site officiel : www.internet-signalement.gouv.fr. La vigilance est de mise pour éviter de tomber dans les pièges tendus par ces cyberdélinquants, surtout lorsque cela concerne la sécurité des informations personnelles des enfants.

Cybersécurité, Mise à jour

Signal, Instagram et Roblox interdits sur Internet

Le ministère des télécommunications Russe fait interdire l’utilisation de la messagerie Signal sur le territoire Russe. Roblox et Instagram en Turquie.

La Russie a annoncé l’interdiction de la messagerie Signal, qui utilise un chiffrement de bout en bout rendant les communications entre utilisateurs inaccessibles aux autorités. Cette mesure s’inscrit dans un renforcement de la législation russe visant à contrôler les services internet étrangers. Roskomnadzor, l’autorité de régulation, a déclaré que Signal enfreint les lois en ne se conformant pas aux exigences de lutte contre le terrorisme et l’extrémisme.

Suite à cette annonce, de nombreux utilisateurs en Russie ont signalé que le service était devenu indisponible. Depuis l’invasion de l’Ukraine par la Russie en 2022, Roskomnadzor a déjà bloqué des milliers de sites internet non approuvés par le gouvernement, renforçant ainsi son contrôle sur l’accès à l’information en ligne. L’interdiction de Signal s’ajoute à cette liste croissante de services restreints en Russie, accentuant la censure et limitant les moyens de communication sécurisés pour les citoyens.

A noter que Signal fonctionne parfaitement, avec un VPN.

De son côté, Telegram fonctionne toujours sur le sol Russe.

Pendant ce temps, en Turquie, Instagram vient d’être de nouveau autorisé après une dizaine de jours de blocage. « À la suite de nos négociations avec les responsables d’Instagram, nous débloquerons l’accès […] après qu’ils se soient engagés à répondre à nos demandes« , indique le ministre des Transports et des infrastructures sur son compte X. Instagram avait été accusé de plusieurs « maux » allant de « censure » en passant par diffusion de « contenus illicites ».

Une autre plateforme ludique et communautaire a été bloquée en Turquie : Roblox. Selon le ministre turc de la Justice, Yilmaz Tunç, il existe un risque d’incitation à la maltraitance des mineurs sur ce jeu vidéo.

« Comme l’exige notre constitution, l’État est tenu de prendre les mesures nécessaires pour protéger nos enfants. L’utilisation de la technologie à des fins négatives ne peut être acceptée », a déclaré le ministre turc de la Justice. Parent, jouez au jeu avec vos enfants, cela vous donnera une vraie idée du contenu et des interactions avec la communauté locale. Cela pourrait éviter de colpoter de fausses informations de « sortie d’école » comme ce fût le cas, en 2018, avec un faux message de la police du Kent trés largement diffusé et déformé.

Banque, Cybersécurité

Les opérateurs téléphoniques inclus dans la lutte contre la fraude bancaire en Russie

Depuis le 25 juillet 2024, les banques russes ont commencé à restituer aux clients les fonds volés par les fraudeurs dans le cadre d’un nouveau système antipiratage de carte bancaire. Les opérateurs téléphoniques sont impliqués dans la chasse aux pirates.

Les banques russes ont l’obligation, depuis le 25 juillet, de rembourser les fonds volés par des pirates informatiques dans les 30 jours suivant la réception de la demande correspondante du client. Comme l’a expliqué un représentant de la Banque centrale, l’objectif principal est de lutter contre le vol de fonds, notamment en utilisant des techniques et des méthodes d’ingénierie sociale. Il a ajouté que le document établit un ensemble de mécanismes visant à encourager les banques à améliorer la qualité de leurs systèmes antifraude. Ainsi, selon la Banque centrale, en 2023, les banques n’ont restitué à leurs clients que 8,7 % des 15,8 milliards de roubles volés (plus de 170 millions d’euros).

Comment se déroulera le remboursement ? Si un client de la banque (particulier) a détecté un vol de fonds, il doit le signaler à la banque. La banque de l’expéditeur doit alors vérifier la demande et restituer le montant total des fonds volés dans un délai de 30 jours après réception de la demande du client dans les cas suivants :

  • si la banque a autorisé le transfert de fonds vers un compte frauduleux, qui se trouve dans la base de données spéciale de la Banque de Russie « Sur les cas et tentatives de transfert de fonds sans le consentement du client ». La Banque centrale collecte cette base de données sur la base des données reçues des banques et autres opérateurs de systèmes de paiement. Elle contient des informations sur les transactions terminées, les payeurs et les destinataires des fonds. Dans le même temps, les établissements de crédit ont trouvé dans cette base de données des données provenant de magasins légaux, y compris des chaînes de vente au détail fédérales et régionales, et ont averti la Banque centrale du blocage forcé des paiements qui leur étaient destinés ;
  • si la banque n’a pas envoyé de notification au client concernant le virement, qui a été effectué sans le consentement du client ;
  • si le client a perdu la carte ou si elle a été utilisée sans son consentement, la banque doit restituer les fonds à condition que le client ait été informé de ces faits. Si le client n’a pas averti la banque de la perte de contrôle de la carte, la banque ne pourra pas rembourser les fonds. Dans ce cas, le délai de retour d’un virement transfrontalier est également précisé – 60 jours.

Les opérateurs téléphoniques en appui Les banques devront également bloquer les transactions suspectes pendant deux jours et pendant ce temps contacter le client pour s’assurer qu’il effectue un transfert d’argent volontairement et non sous l’influence de fraudeurs. Sont considérées comme transactions suspectes celles qui sont effectuées sur un compte ou un appareil à partir de la base de données de la Banque centrale si les paramètres du transfert d’argent sont atypiques pour le client (par exemple, le volume des fonds envoyés, le lieu de la transaction, etc.).

Depuis le 25 juillet, de nouveaux signes de transferts suspects se sont ajoutés. L’un de ces facteurs est l’information des opérateurs mobiles sur les conversations téléphoniques périodiques et longues, ainsi que l’augmentation du nombre de SMS avant l’envoi d’un transfert. Un transfert d’argent vers un compte depuis la base de données de la Banque centrale sera bloqué strictement pendant deux jours, même si le client a confirmé la transaction. Autrement dit, la banque ne pourra traiter le virement qu’après l’expiration de ce délai. Dans tous les autres cas, la banque est tenue d’effectuer le virement immédiatement après avoir reçu la confirmation du client.

Banque, Bitcoin, Cybersécurité

Arnaques crypto : nouvelle méthode de drainage des fonds sur le réseau TON

Les arnaques en crypto-monnaies continuent d’évoluer, exploitant la confiance des utilisateurs et les technologies de pointe pour dérober des fonds.

Une nouvelle méthode de détournement de crypto-monnaies sur le réseau TON a récemment été mise en lumière, utilisant une technique connue sous le nom de « drainer ». Voici comment fonctionne cette arnaque et les précautions à prendre pour se protéger.

Le « drainer » est une technique simple mais efficace pour détourner des fonds en crypto-monnaies. Le processus commence lorsque la victime, souvent appelée « mammouth » dans le jargon des arnaqueurs, se connecte à une application ou un site web malveillant. Ce site peut sembler légitime et demande à l’utilisateur de connecter son portefeuille crypto, tel que Tonkeeper ou @wallet.

Une fois le portefeuille connecté, l’application demande à l’utilisateur d’approuver une transaction. Cette demande d’approbation est souvent masquée ou déguisée pour ne pas éveiller de soupçons. L’utilisateur, pensant qu’il s’agit d’une action bénigne, donne son accord. En réalité, il autorise le transfert de tous ses fonds vers le portefeuille des arnaqueurs. (Exemple d’arnaque dans la vidéo ci-dessous).

Exemple récent d’arnaque

Dans le nouveau rapport lié au cybercrime diffusé par le Ministère de l’Intérieur Français, le 30 juillet, le « drainage » est dans le collimateur des autorités. Récemment, une telle arnaque a permis de détourner 50 000 dollars en quelques clics. Les fonds volés comprenaient des tokens ANON, Gram, et un numéro virtuel acheté deux semaines auparavant pour 12 000 dollars. Vous pouvez voir les détails de la transaction sur le réseau TON via ce lien. Les Etats-Unis, par exemple et comme a pu vous le révéler DataSecuritybreach.fr, viennent de condamner un milliardaire Chinois, en exil aux USA, pour escroquerie à la cryptomonnaie.

Les arnaqueurs derrière cette méthode cherchent actuellement à étendre leurs opérations et recrutent de nouveaux partenaires. Ils proposent de collaborer sans nécessiter d’investissements initiaux ou de vendre des « drainers » prêts à l’emploi pour ceux qui souhaitent se lancer dans cette activité illicite. Ils opèrent principalement sur des forums de la dark web avec un garant pour assurer les transactions. « Nous invitons chacun à rejoindre notre équipe et à gagner de l’argent sans investissement dans le projet scam le plus prometteur du web3. » a pu lire le blog ZATAZ, le spécialiste mondialement reconnu sur toutes les questions de lutte contre le cybercrime.

Comment fonctionne le Drainer ?

Le drainer fonctionne de manière assez simple : sous n’importe quel prétexte (air drop, loterie, etc.), la personne lance un bot Telegram, connecte son portefeuille via le protocole Ton Connect, par exemple Tonkeeper. Le drainer des voyous 2.0 prend en charge n’importe quel portefeuille. Ensuite, une transaction est envoyée, elle peut être acceptée ou refusée. « Si vous confirmez, vous envoyez les TON et tous les autres actifs cryptographiques au portefeuille du propriétaire du drainer. […] Notre objectif est d’attirer la personne dans notre bot, qui peut être déguisé en n’importe quoi : une copie d’un projet célèbre existant, l’obtention d’un actif précieux, des distributions, etc. Lorsque la personne appuie sur le bouton, une approbation lui est demandée, et après sa confirmation, tous les actifs nous sont transférés. » indiquent les pirates.

Comment se Protéger

Vérifiez les applications et sites web
Avant de connecter votre portefeuille crypto à une application ou un site web, assurez-vous qu’ils sont légitimes et bien réputés. Recherchez des avis et des témoignages d’autres utilisateurs.

Lire attentivement les demandes d’approbation
Ne vous précipitez pas pour approuver des transactions ou des demandes d’accès à votre portefeuille. Lisez attentivement ce qui est demandé et assurez-vous de comprendre les implications.

Utilisez des portefeuilles sécurisés
Préférez les portefeuilles avec des mesures de sécurité avancées et des options de validation multiple des transactions.

Méfiez-vous des offres trop belles pour être vraies
Les arnaques proposent souvent des gains rapides et faciles. Soyez sceptique face à ces offres et ne partagez jamais vos informations sensibles.

Éducation et vigilance
Restez informé des dernières arnaques en crypto-monnaies et éduquez-vous sur les pratiques de sécurité. La vigilance est votre meilleure défense contre les arnaques.

Banque, Bitcoin

Un Milliardaire Chinois en exil reconnu coupable d’escroquerie 2.0

Guo Wengui, un milliardaire chinois exilé aux USA connu pour ses virulentes critiques du Parti communiste chinois et ses liens étroits avec les conservateurs américains, a été reconnu coupable escroqué ses abonnés en ligne de centaines de millions de dollars.

Guo, également connu sous les noms de « Miles Kwok » et « Ho Wan Kwok », a attiré un nombre conséquent d’abonnés en ligne grâce à ses vidéos YouTube où il critiquait le gouvernement communiste chinois. Les procureurs fédéraux de Manhattan l’ont accusé d’avoir amassé plus d’un milliard de dollars en promettant à ses abonnés qu’ils ne subiraient aucune perte s’ils investissaient dans ses nombreuses entreprises et projets de cryptomonnaie.

Les accusations portées contre Guo détaillent comment il aurait utilisé cet argent pour financer un style de vie opulent, incluant l’achat d’une maison dans le New Jersey, d’une Lamborghini rouge et d’un yacht de luxe. Après un procès de sept semaines, Guo a été reconnu coupable de neuf des douze chefs d’accusation, incluant le complot de racket et la fraude électronique. Le procureur américain Damian Williams a déclaré que Guo risque plusieurs décennies de prison, avec une sentence prévue pour le 19 novembre 2024 par la juge de district américaine Analisa Torres.

Une Fraude de Grande Envergure

Guo a été arrêté en mars 2023 à New York, accusé d’avoir mené un « stratagème tentaculaire et complexe » de 2018 à 2023. Les procureurs ont affirmé que Guo et son partenaire commercial Kin Ming Je avaient sollicité plus d’un milliard de dollars d’investissements en faisant de fausses déclarations. Ils ont promis des retours sur investissement démesurés aux victimes qui investissaient dans des entités telles que GTV Media, Himalaya Farm Alliance, G|CLUBS et Himalaya Exchange.

Les fonds récoltés ont été utilisés comme une « tirelire personnelle » par Guo pour maintenir son style de vie extravagant aux États-Unis. Des achats somptueux incluaient une maison, une Bugatti personnalisée pour 4,4 millions de dollars, une Ferrari à 3,5 millions de dollars, un yacht de 37 millions de dollars.

Kin Ming Je, un citoyen de Hong Kong et du Royaume-Uni, est toujours en fuite, accusé de 11 chefs d’accusation similaires à ceux de Guo, et risque jusqu’à 20 ans de prison supplémentaires pour obstruction à la justice. Yanping Wang, une autre co-conspiratrice connue sous le nom de « Yvette Wang », a également été arrêtée et inculpée de fraude électronique, de fraude en valeurs mobilières et de blanchiment d’argent.

Un personnage controversé

Guo Wengui était autrefois l’une des personnes les plus riches de Chine avant de quitter le pays en 2014 pour demander l’asile aux États-Unis, accusant les responsables chinois de corruption. Il a gagné une large audience en ligne en alignant ses déclarations politiques contre le régime chinois avec des opportunités d’investissement attrayantes. En 2017, il a demandé l’asile aux États-Unis, ses avoirs ayant été saisis par les gouvernements chinois et hongkongais dans le cadre d’enquêtes pour blanchiment d’argent.

Guo est également connu pour ses liens avec Steve Bannon, ancien conseiller de Donald Trump. Bannon a été arrêté en août 2020 sur le yacht de Guo dans une affaire de fraude non liée, avant d’être gracié par Trump. Plus récemment, Bannon a commencé à purger une peine de quatre mois de prison pour avoir défié une assignation à comparaître de la commission de la Chambre enquêtant sur l’attaque du Capitole le 6 janvier 2021. (USA Today)

Banque, Bitcoin

Au cours des cinq dernières années, 100 milliards de dollars de cryptomonnaies illicites ont transité

Depuis 2019, les échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales.

La conclusion à laquelle sont parvenus les chercheurs de la société Chainalysis, a de quoi laisser pantois. Ils ont découvert que les sites dédiés aux échanges de cryptomonnaies ont reçu au moins 100 milliards de dollars provenant d’adresses liées à des activités illégales. Un tiers de ce montant s’est retrouvé sur des plateformes faisant l’objet de sanctions internationales, y compris Garantex.

Garantex est une plateforme d’échange de cryptomonnaies fondée en 2019 et initialement enregistrée en Estonie. Elle permet le trading de diverses cryptomonnaies, y compris Bitcoin, Ether, et des stablecoins comme USDT et USDC. La plateforme offre aux utilisateurs la possibilité d’acheter et de vendre des actifs numériques en utilisant des devises fiduciaires telles que les roubles, les dollars et les euros, avec des services comme des plateformes P2P et des options de dépôt/retrait en espèces sans commission​.

Cependant, Garantex a été impliqué dans des controverses importantes et des problèmes juridiques. En avril 2022, l’Office of Foreign Assets Control (OFAC) du département du Trésor des États-Unis a sanctionné Garantex pour ses liens avec des activités illicites, notamment la facilitation d’opérations de blanchiment d’argent pour le blackmarket Hydra (aujourd’hui fermé), le plus grand marché darknet mondial de biens et services illégaux. Hydra était connu pour ses opérations étendues dans la cybercriminalité, le trafic de drogue et d’autres activités illicites, utilisant souvent des cryptomonnaies pour les transactions​.

Les sanctions contre Garantex faisaient partie d’un effort plus large visant à perturber les réseaux de cybercriminalité et de financement illicite opérant depuis la Russie. La plateforme d’échange a été accusée de permettre des transactions pour des groupes de ransomware et d’autres entités criminelles, avec plus de 100 millions de dollars de transactions liées à des activités illicites. Cela incluait des fonds provenant d’opérations de ransomware et de marchés darknet comme Hydra​.

Selon les chercheurs, ce chiffre témoigne d’un manque de coopération internationale dans la lutte contre le blanchiment d’argent. Chainalysis a également souligné que ces données pourraient ne représenter que la partie émergée de l’iceberg, car elles incluent uniquement les sommes totales transférées de sources illégales vers des services d’échange de cryptomonnaies. Le volume des transactions entre intermédiaires ne peut pas être calculé. L’entreprise affirme qu’une part significative de l’argent sale est désormais stockée et transférée non pas en cryptomonnaies traditionnelles comme le Bitcoin ou l’Ethereum, mais en stablecoins. Ces derniers représentent la majorité du volume total des transactions illégales. Les stablecoins sont devenus le moyen privilégié pour ces transactions illicites, malgré la capacité des émetteurs à geler les fonds, comme l’a fait Tether avec environ 1,5 milliard de dollars d’USDT.

L’année 2022 a enregistré le montant le plus élevé, avec 30 milliards de dollars de cryptomonnaies illicites.

Cybersécurité, IA

GPT-4 et l’analyse financière : une révolution en marche ?

Une étude récente a révélé que le GPT-4 d’OpenAI pourrait analyser les états financiers et, dans certains cas, prédire les performances futures d’une entreprise mieux qu’un analyste humain.

Menée par trois chercheurs de la Booth School of Business de l’Université de Chicago — Alex Kim, Maximilian Muhn et Valeri Nikolaev — cette étude soulève des questions sur l’avenir de l’analyse financière et le rôle potentiel de l’IA dans ce domaine. Les chercheurs ont déterminé si GPT-4 pouvait analyser les états financiers uniquement en se basant sur les chiffres, sans aucun contexte textuel. Pour ce faire, ils ont exclu des éléments comme la section « Management Discussion and Analysis » (MD&A) des rapports trimestriels. Leur objectif principal était d’évaluer la capacité des grands modèles linguistiques (LLM) à comprendre et synthétiser des données purement financières.

L’étude a examiné plus de 150 000 observations liées à 15 000 sociétés entre 1968 et 2021. En comparant les performances des analystes financiers et de GPT-4, ils ont découvert que les analystes humains avaient une précision de 53 % dans leurs prévisions sur un mois concernant l’orientation des bénéfices futurs. Lorsque GPT-4 a analysé des états financiers anonymisés sans aucune information textuelle et avec une simple invite, il a obtenu un score légèrement inférieur à celui des analystes, avec une précision de 52 %. Cependant, lorsque les chercheurs ont utilisé une invite de commande de chaîne de pensée, fournissant plus d’instructions et de conseils, le modèle a atteint une précision de 60 %.

Ces résultats montrent que, lorsqu’il est correctement guidé, GPT-4 peut surpasser les analystes humains, même sans les informations textuelles souvent cruciales dans les rapports financiers. Cela démontre la capacité de l’IA à traiter des données complexes et à fournir des analyses précises, surtout lorsqu’elle est assistée par des instructions détaillées.

L’IA, l’analyse financière et la Fraude au Président

L’étude souligne que l’analyse et la prévision financières nécessitent jugement, bon sens et intuition, des qualités qui peuvent dérouter à la fois les humains et les machines. Ni les analystes humains ni GPT-4 n’ont réussi à atteindre une précision proche de 100 % dans leurs analyses, en partie à cause de la complexité inhérente à ces tâches.

Mustafa Suleiman, cofondateur de DeepMind, a souligné que les assistants IA pourraient devenir une ressource précieuse et accessible pour tous dans un avenir proche. Cependant, la recherche de Kim, Muhn et Nikolaev indique que les analystes humains ne seront probablement pas remplacés par l’IA dans l’immédiat. Pour l’instant, l’IA sert de complément aux capacités humaines, offrant des outils qui peuvent améliorer la précision des analyses financières. Les chercheurs ont également noté que le GPT-4 pouvait mieux analyser les grandes entreprises, comme Apple, en raison de leur moindre idiosyncrasie par rapport aux petites entreprises, dont les performances peuvent varier en fonction de facteurs imprévisibles comme les essais cliniques pour les sociétés de biotechnologie.

Bien que les LLM, y compris GPT-4, puissent être biaisés, les chercheurs ont constaté que le modèle se comportait généralement bien en moyenne. Les biais peuvent être subtils et variés, mais la performance globale du modèle suggère une capacité de prévision raisonnablement fiable.

Vous comprenez pourquoi aujourd’hui, il est impassable d’utiliser ce genre de d’outil pour rédiger/corriger un rapport lié à votre entreprise. Des monstres numériques, comme ChatGPT sont capables de fournir la moindre information à qui saura les demander.

Chiffrement, cryptage, Cybersécurité, quantique

Premières connexions quantique en Belgique

Un pas vers une communication ultra-sécurisée : Les premières connexions de Distribution de Clés Quantiques (QKD) ont été déployées en Belgique.

La Belgique en avant sur son temps. Le royaume vient de mettre en place ses premières connexions de Distribution de Clés Quantiques (QKD). Le projet BeQCI a installé trois connexions initiales dans le cadre de son réseau QKD.

BeQCI est une initiative belge au sein du projet européen plus large EuroQCI, se concentrant sur la distribution de clés quantiques (QKD). Elle vise à pallier les limitations des systèmes QKD existants en déployant diverses technologies QKD, y compris DV-QKD, MDI-QKD, CVQKD et QKD par satellite, interfacées dans différentes topologies. Grâce à la collaboration avec les services publics fédéraux, les hôpitaux, les banques, les centres de recherche, les universités et les ONG, BeQCI cherche à comprendre la demande du marché et à démontrer la fiabilité et les avantages du QKD. En favorisant les liens transfrontaliers, BeQCI contribue à la construction d’une infrastructure de communication quantique sécurisée, assurant une distribution robuste des clés de chiffrement pour une cybersécurité renforcée en Europe et au-delà.

Les 3 connexions incluent :
Une connexion entre deux campus de l’université de Gand (UGent).
Une connexion entre Redu et Transinne, utilisée par l’ESA et le CETIC.
Une connexion entre deux centres de données Belnet.

QKD est une forme de cryptographie basée sur la technologie quantique, rendant impossible l’observation ou la copie des données sans détection. Cela garantit la sécurité des informations même face aux futurs ordinateurs quantiques.
Le projet BeQCI, en collaboration avec Belnet, imec et UGent.

La Distribution de Clés Quantiques (Quantum Key Distribution, QKD) est une méthode de communication sécurisée qui utilise les principes de la mécanique quantique pour distribuer des clés cryptographiques entre deux parties. Voici un aperçu de son fonctionnement et de ses avantages :

Bits Quantiques (Qubits) : La QKD utilise des bits quantiques, ou qubits, qui peuvent exister dans plusieurs états simultanément grâce au principe de superposition quantique.
Intrication (Entanglement) : Deux qubits peuvent être intriqués, ce qui signifie que l’état de l’un est directement lié à l’état de l’autre, peu importe la distance qui les sépare.
Principe d’Incertitude d’Heisenberg : En mécanique quantique, toute mesure d’un système quantique perturbe inévitablement ce système. Cela signifie qu’une tentative d’interception des clés quantiques sera détectée par les parties légitimes.

Protocole BB84

Le protocole BB84, développé par Charles Bennett et Gilles Brassard en 1984, est l’un des premiers et des plus célèbres protocoles de QKD. Voici comment il fonctionne :
Préparation des Qubits : L’émetteur (Alice) envoie des qubits à travers un canal quantique en utilisant différentes bases de polarisation (par exemple, rectiligne ou diagonale).

Mesure des Qubits : Le récepteur (Bob) mesure les qubits en choisissant aléatoirement entre les mêmes bases de polarisation. Environ la moitié des mesures de Bob seront dans la bonne base.

Annonce Publique : Alice et Bob communiquent sur un canal classique pour comparer les bases utilisées. Ils conservent seulement les bits où ils ont utilisé les mêmes bases.
Extraction de la Clé : Après la comparaison, les bits restants constituent une clé partagée secrète.

Avantages de la QKD

Sécurité Inconditionnelle : La QKD offre une sécurité théorique inconditionnelle basée sur les lois de la physique quantique plutôt que sur des hypothèses mathématiques.

Détection d’Espionnage : Toute tentative d’interception perturbera les qubits et sera détectée, permettant aux parties de savoir si la clé a été compromise.

Longue Durée de Vie des Clés : Les clés générées par QKD peuvent rester sécurisées même avec l’avènement des ordinateurs quantiques, contrairement à de nombreux systèmes cryptographiques classiques.

Distance et Atténuation : Les qubits peuvent être facilement perturbés ou perdus sur de longues distances, limitant actuellement la portée des systèmes QKD.

Infrastructure : La mise en place d’une infrastructure QKD est coûteuse et complexe, nécessitant des équipements spécialisés comme des détecteurs de photons uniques.

Intégration : L’intégration des systèmes QKD avec les réseaux de communication classiques pose des défis techniques.

Hacking

Un hacker exploite une faille dans Apple Vision Pro pour libérer des araignées virtuelles

Ryan Pickren, un chercheur en sécurité bien connu pour ses exploits précédents, a découvert une vulnérabilité significative dans le casque de réalité virtuelle Apple Vision Pro.

Amis geeks arachnophobes, voici le produit high-tech fait pour vous. Soit vous n’aurez plus jamais peur des araignées, soit vous allez mourir d’un arrêt cardiaque. Une faille, initialement classée par Apple comme un problème de déni de service (DoS), permettait en réalité de créer des objets 3D animés et sonores sans l’autorisation de l’utilisateur, ce qui pouvait remplir une pièce de centaines d’araignées virtuelles et de chauves-souris hurlantes.

La vulnérabilité, identifiée sous le code CVE-2024-27812, réside dans le traitement de contenu web par VisionOS, le système d’exploitation du casque Vision Pro. Bien que VisionOS soit conçu pour restreindre les applications non autorisées, Ryan Pickren, un chercheur en sécurité bien connu pour ses exploits précédents, a découvert que la fonctionnalité ARKit Quick Look, utilisée pour afficher des objets 3D dans Safari, n’était pas correctement sécurisée. Cela permettait à un site web malveillant de générer des objets 3D animés qui persistent même après la fermeture de Safari.

Démonstration de l’attaque

Pickren a démontré cette faille en créant un scénario où des araignées et des chauves-souris virtuelles envahissent la pièce, visibles à travers le casque Vision Pro. Ces objets restent en place jusqu’à ce qu’ils soient supprimés manuellement, rendant l’expérience utilisateur extrêmement perturbante et stressante. Apple a pris connaissance de cette vulnérabilité et a publié des correctifs dans la version 1.2 de VisionOS.

Cybersécurité, Mise à jour, Patch

Une vulnérabilité zero-day pour des caméras en vente

Les « inventeurs » de 0day préfèrent vendre leurs créations directement dans le dark web plutôt que de passer par des brokers ou des programmes de bug bounty. Une vulnérabilité pour caméra IP est vendue 400 000 dollars.

Il y a quelques semaines, la référence de l’actualité dédiée à la cybersécurité et au monde des pirates informatiques ZATAZ.COM, expliquait l’apparition de vendeurs de 0day dans le dark web et le web de maniére moins discrète qu’à l’accoutumé. D’habitude, ces « inventeurs » de failles inconnues se voulaient plus cachés, préférant passer par des brokers (Zerodium, Operation Zero, etc.) ou des programmes de bug bounty pouvant rémunérer à hauteur de dizaines de milliers de dollars la faille.

Source : veillezataz.com

Les créateurs de 0day préfèrent, dorénavant, vendre directement. Sur le forum BreachForums par exemple, après la vente d’un présumé exploit pour Android, voici la vente d’une vulnérabilité pour les caméras IP de la société Dahua. Ce fabricant est le plus grand en Chine, et ses produits sont largement vendus dans le monde.. « La vulnérabilité permet un accès illimité à toutes les fonctions de la caméra, y compris la possibilité de gestion et de contrôle complets« , indique ce commerçant malveillant. Ce vendeur réclame au minimum 400 000 dollars pour cette « rare opportunité d’accéder à une solution clé sur le marché de la surveillance« . Il est également prêt à fournir aux acheteurs potentiels une description technique détaillée et une preuve de concept fonctionnelle. Difficile de savoir si ces ventes de 0day ont un véritable intérêt ou ne sont que des escroqueries.

Source : veillezataz.com

Pirater des caméras, pourquoi ?

En janvier 2024, des hackers russes ont piraté des webcams résidentielles à Kyiv pour recueillir des renseignements sur les systèmes de défense aérienne de la ville avant de lancer une attaque de missiles. Les pirates ont manipulé les angles des caméras pour surveiller les infrastructures critiques et ont diffusé les images en direct sur YouTube. Cet incident a conduit l’Ukraine à ordonner aux opérateurs de webcams de cesser les diffusions en direct​.

Source : veillezataz.com

En 2016, le fabricant suédois de caméras de sécurité Axis Communications a subi une attaque cybernétique majeure. Les pirates ont exploité une faille dans le logiciel des caméras pour accéder de manière non autorisée aux flux vidéo.

L’accès non autorisé aux flux de caméras peut entraîner des violations importantes de la vie privée, avec des séquences pouvant être utilisées pour le chantage ou d’autres fins malveillantes. Comme vu dans l’incident de Kyiv, des caméras compromises peuvent fournir des renseignements précieux à des acteurs hostiles, impactant ainsi la sécurité nationale. La correction des vulnérabilités et la mitigation des dommages causés par ces attaques peuvent être coûteuses pour les entreprises et les gouvernements. De telles violations peuvent entraîner une perte de confiance dans la sécurité et la fiabilité des systèmes de surveillance.

Source : veillezataz.com
Cybersécurité, DDoS, IOT

Réinitialisation Rapide : des hackers ont trouvé un moyen de lancer des attaques DDoS puissantes

Pourquoi autant de DDoS ces derniers temps ? Les cybercriminels exploitent activement la vulnérabilité Réinitialisation Rapide pour mener des blocages numériques.

Août 2023, une vulnérabilité critique dans le protocole HTTP/2, connue sous le nom de CVE-2023-44487 ou Réinitialisation Rapide, est découverte. Cette vulnérabilité est capable de provoquer des attaques de type « déni distribué de service » (DDoS). Un problème sérieux pour les services Internet qui a attiré l’attention des cybercriminels.

HTTP/2 a introduit de nombreuses améliorations par rapport à la version précédente du protocole, notamment le multiplexage de flux, ce qui permet d’ouvrir plusieurs flux via une seule connexion TCP. Cependant, la vulnérabilité Réinitialisation Rapide exploite le mécanisme d’annulation de flux, en utilisant des cadres RST_STREAM pour perturber le fonctionnement du serveur.

Lorsque l’utilisateur accède à un site web prenant en charge HTTP/2, une seule connexion est utilisée pour plusieurs ressources, ce qui améliore l’efficacité de l’interaction. Cependant, cette capacité ouvre la porte à l’exploitation de vulnérabilités, car une seule connexion peut générer de nombreuses requêtes, augmentant la charge sur le serveur. Pour atténuer ce problème, HTTP/2 prévoit un mécanisme de limitation du nombre de flux simultanés actifs, empêchant les clients de surcharger le serveur.

L’exploitation de Réinitialisation Rapide consiste pour un attaquant à envoyer un cadre RST_STREAM immédiatement après avoir envoyé une requête. Cela force le serveur à commencer à traiter la requête, mais à l’annuler rapidement. Bien que la requête soit annulée, la connexion HTTP/2 reste active, permettant à l’attaquant de répéter l’attaque en créant de nouveaux flux. En conséquence, le serveur dépense des ressources à traiter des requêtes annulées, ce qui peut mener à un déni de service et à un blocage fatal.

La vulnérabilité Réinitialisation Rapide [CVE-2023-44487] a causé des attaques DDoS massives et distribuées. Des grandes entreprises telles que Google, AWS et Cloudflare ont signalé des vagues d’attaques atteignant des centaines de millions de requêtes par seconde. Ces attaques ont été réalisées avec des botnets relativement petits, soulignant la gravité de la vulnérabilité.

Entreprise

Ce qu’il faut savoir sur les totems d’affichage dynamique d’intérieur

Dans un monde où la communication visuelle prend de plus en plus d’importance, les totems d’affichage dynamique d’intérieur se révèlent être des outils indispensables pour capter l’attention et transmettre efficacement des messages. Utilisés dans divers secteurs, allant des centres commerciaux aux salons professionnels, ces dispositifs technologiques offrent une multitude de possibilités. Voici ce que vous devez savoir sur le totem d’affichage dynamique d’intérieur.

Qu’est-ce qu’un totem d’affichage dynamique ?

Un totem d’affichage dynamique est une borne numérique, généralement de forme verticale, équipée d’un écran haute définition. Ces dispositifs sont conçus pour diffuser des contenus multimédias variés tels que des vidéos, des images, des textes ou des animations. Grâce à leur design élégant et leur capacité à captiver l’attention, les totems sont devenus des éléments clés dans les stratégies de communication visuelle.

Les avantages des totems d’affichage dynamique d’intérieur

1. Attention et Engagement

Les totems d’affichage dynamique attirent naturellement l’attention grâce à leurs écrans lumineux et animés. Ils sont particulièrement efficaces pour capter l’intérêt des passants dans des environnements souvent surchargés d’informations visuelles, comme les centres commerciaux ou les halls d’exposition.

2. Flexibilité du contenu

Contrairement aux affiches statiques, les totems permettent de diffuser un contenu dynamique et modifiable en temps réel. Les messages peuvent être ajustés instantanément pour s’adapter à l’audience ou à des événements spécifiques. Cette flexibilité est un atout majeur pour les campagnes marketing, les annonces promotionnelles ou les informations institutionnelles.

3. Interactivité

De nombreux totems sont équipés de technologies tactiles, permettant une interaction directe avec les utilisateurs. Cette interactivité peut enrichir l’expérience client, fournir des informations personnalisées et même recueillir des données sur les préférences des utilisateurs.

4. Impact environnemental réduit

En remplaçant les affiches papier par des supports numériques, les entreprises réduisent leur consommation de papier et leur empreinte écologique. De plus, les contenus numériques peuvent être mis à jour sans coût supplémentaire de production, contrairement aux affiches traditionnelles.

Applications courantes des totems d’affichage dynamique

1. Marketing et publicité

Les totems sont largement utilisés dans les campagnes publicitaires pour promouvoir des produits, des services ou des événements. Leur capacité à diffuser des contenus attrayants et leur flexibilité en font des outils de choix pour les marketeurs.

2. Information et orientation

Dans les lieux publics comme les gares, les aéroports ou les centres commerciaux, les totems servent souvent de points d’information et d’orientation. Ils fournissent des cartes interactives, des horaires ou des informations sur les services disponibles.

3. Événements et salons professionnels

Lors des salons et événements professionnels, les totems sont utilisés pour diffuser des présentations, des vidéos de démonstration ou des messages de bienvenue. Ils contribuent à renforcer l’image de marque et à engager les participants.

4. Secteur éducatif

Dans les écoles et les universités, les totems d’affichage dynamique sont utilisés pour communiquer des informations importantes, des annonces d’événements ou des messages de sécurité.

Comment choisir un totem d’affichage dynamique ?

Lors du choix d’un totem d’affichage dynamique, plusieurs critères doivent être pris en compte :

  • Taille et résolution de l’écran : Selon l’emplacement et la distance de visionnage, il est crucial de choisir un écran de taille appropriée et de haute résolution pour assurer une bonne lisibilité.
  • Capacités interactives : Si l’interactivité est un critère important, il faut opter pour des modèles équipés de technologies tactiles.
  • Robustesse et design : Les totems doivent être suffisamment robustes pour résister à une utilisation intensive et leur design doit s’intégrer harmonieusement dans l’environnement.
  • Facilité de mise à jour : Les systèmes de gestion de contenu doivent être intuitifs et permettre une mise à jour facile et rapide des contenus.

En conclusion, les totems d’affichage dynamique d’intérieur sont des outils puissants pour améliorer la communication visuelle et l’engagement des utilisateurs. Leur flexibilité, leur interactivité et leur impact visuel en font des alliés précieux dans de nombreux domaines. Pour maximiser leur efficacité, il est essentiel de choisir un modèle adapté à ses besoins spécifiques et à son environnement d’utilisation.

Cybersécurité, Entreprise, IA

Le rôle de l’IA dans la Cybersécurité : entre Menaces et opportunités

L’ère numérique actuelle connaît une évolution rapide, et l’intelligence artificielle (IA) en est un acteur majeur. Selon le McKinsey Global Institute, l’IA générative pourrait apporter entre 2,6 et 4,4 milliards de dollars à l’économie mondiale chaque année, augmentant l’impact économique de l’IA de 15 à 40 %. Cependant, cette avancée s’accompagne de risques significatifs, notamment dans le domaine de la cybersécurité​​.

Notre partenaire Barracuda revient dans un nouveau livre blanc sur Le rôle de l’IA dans la Cybersécurité. L’IA modifie profondément le paysage des menaces en cybersécurité. Depuis la fin de 2022, les attaques de phishing ont augmenté de 1265 %, et celles ciblant les identifiants de 967 %. Cette montée en puissance coïncide avec le lancement de ChatGPT et d’autres outils d’IA générative, facilitant la création d’e-mails de phishing convaincants et difficiles à distinguer des messages légitimes​​.

Data Security Breach a retrouvé dans ce livre blanc à télécharger ICI plusieurs points d’exploitations de l’Intelligence Artificielle par les cybercriminels.
D’abord, le Phishing/Spear phishing/Spoofing : L’IA permet de générer des e-mails de phishing personnalisés et contextuellement pertinents, augmentant le taux de succès des attaques​​.
La génération de malwares : Des outils comme WormGPT permettent de créer des malwares adaptatifs capables d’échapper aux mesures de sécurité traditionnelles​​.
Les Deepfakes / fausses informations : Les vidéos et enregistrements audio falsifiés peuvent usurper l’identité de dirigeants pour extorquer des fonds ou diffuser des malwares​​.

Ensuite, localisation de contenu : L’IA permet de créer des contenus de phishing adaptés culturellement et linguistiquement, rendant les attaques plus convaincantes​​.

Enfin, le vol d’accès et d’identifiants : Les outils d’IA facilitent le bourrage d’identifiants et la création de fausses pages de connexion pour voler les informations sensibles​​.

Cependant, l’IA offre également des opportunités pour renforcer la cybersécurité. Elle peut aider à protéger les entreprises en détectant les anomalies, en identifiant les tentatives d’accès non autorisées et en automatisant les réponses aux incidents. Les solutions basées sur l’IA, telles que Barracuda Email Threat Scanner et Barracuda XDR, utilisent l’apprentissage automatique pour analyser les schémas de menace et améliorer la sécurité globale des systèmes d’information​​.

Cybersécurité, santé

Un sac poubelle remplis de données de santé retrouvé dans la rue

Des informations confidentielles sur les patients d’un espace de santé retrouvées dans une poubelle !

Une nouvelle faille de protection des données impliquant le NHS au Royaume-Uni est attribuée à un étudiant en médecine qui aurait placé trop de confiance dans ses sacs poubelles. Une enquête a été lancée suite à la découverte de données médicales confidentielles éparpillées dans une ruelle de Jesmond, un quartier aisé de Newcastle, dans le nord-est de l’Angleterre. L’étudiant en médecine aurait jeté les documents dans ses déchets domestiques, qui ont été placés dehors pour la collecte, mais par un moyen ou un autre, les documents se sont retrouvés dans une ruelle adjacente à Lonsdale Terrace, où ils ont été découverts par un passant.

Il semble que les documents et les données appartenaient à au moins deux patients et comprenaient une lettre envoyée au médecin d’un patient portant la mention « Privé et Confidentiel« .

Les informations incluaient des détails personnels et sensibles sur les patients. Le Dr Rajesh Nadkarni a déclaré qu' »un étudiant en médecine en stage chez CNTW était en possession d’informations cliniques confidentielles dans le cadre de son travail de stage. […] Tous les étudiants en médecine reçoivent une formation sur la gouvernance de l’information, et les étudiants en stage chez CNTW assistent à une séance d’accueil et reçoivent un dossier d’information qui souligne l’importance de la confidentialité, ainsi que nos politiques et processus qui soutiennent cela.« 

Un peu comme les soignants que je peux croiser et qui continuent de s’envoyer par courriel ou messageries des informations de santé sensibles parce que « C’est plus pratique » ! (TR)

cryptolocker, Cybersécurité, Entreprise

Vente du code source du Ransomware INC

Depuis août 2023, le ransomware INC, fonctionnant sous le modèle Ransomware-as-a-Service (RaaS), fait parler de lui. Le code source a été mis en vente sur le darknet.

Par le passé, des entreprises notables comme la division américaine de Xerox Business Solutions, la division philippine de Yamaha Motor, et le National Health Service of Scotland (NHS) ont été touchées par le ransomware Ransomware INC. Le code source du ransomware est en vente, mais il semblerait aussi qu’une scission soit survenue au sein du groupe de hackers. Un individu surnommé salfetka a proposé les versions Windows et Linux/ESXi d’INC sur des forums de hackers, demandant 300 000 $ et limitant l’offre à trois acheteurs potentiels.

Les annonces de vente que le Service Veille ZATAZ a repéré mentionnent des détails techniques, comme l’utilisation d’AES-128 en mode CTR et l’algorithme Curve25519 de Donna, cohérents avec les analyses publiques précédentes des échantillons de INC Ransom.

Actif sur les forums de hackers depuis mars 2024, salfetka avait tenté d’acheter l’accès au réseau d’une organisation pour 7 000 $ et avait proposé une part de la rançon lors d’une future attaque. Sa signature inclut les URL des anciennes et nouvelles pages de INC Ransom, suggérant un lien avec le ransomware. Du moins tente-t-il de le faire croire.

Le 1er mai 2024, le groupe a annoncé sur son ancien site web qu’il déménageait vers un nouveau blog avec une adresse Tor, l’ancien site devant fermer dans deux à trois mois.

Un nouveau site qui reste sobre et affichant peu d’informations. Les divergences entre les deux sites pourraient indiquer un changement de direction ou une scission en différents groupes. Salfetka référant aux deux sites comme étant ses projets pourrait signifier qu’il est associé aux deux et que le nouveau blog a été créé pour maximiser les profits de la vente.

A moins qu’une infiltration des autorités se soit chargée de faire tomber ces criminels.

Cybersécurité

Les gestionnaires de mots de passe : Comment ça marche ? Outil utile ? Limites ?

Dans un monde de plus en plus numérique, la sécurité de nos informations personnelles devient une priorité. Les gestionnaires de mots de passe sont des outils essentiels pour aider à protéger ces informations. Cet article explore leur fonctionnement, leur utilité, leurs limites et donne des exemples de logiciels populaires.

Comment ça marche ?

Les gestionnaires de mots de passe sont des applications conçues pour stocker et gérer les mots de passe de manière sécurisée. Ils fonctionnent en créant un « coffre-fort » crypté où tous vos mots de passe sont enregistrés. Voici les principales étapes de leur fonctionnement :

Création et stockage de mots de passe : Lors de la création d’un compte sur un site web, le gestionnaire de mot de passe propose de générer un mot de passe fort et unique. Ce mot de passe est ensuite enregistré dans la base de données cryptée de l’application.

Autofill : Lors de votre prochaine visite sur le site, le gestionnaire de mots de passe remplira automatiquement le champ du mot de passe, après avoir été déverrouillé par votre mot de passe principal.

Cryptage : Les mots de passe sont stockés dans une base de données cryptée, accessible uniquement par un mot de passe principal, qui doit être sécurisé et mémorisé par l’utilisateur.

Synchronisation : Les gestionnaires de mots de passe offrent souvent la synchronisation entre plusieurs appareils, permettant d’accéder aux mots de passe depuis un smartphone, une tablette ou un ordinateur.

Un outil utile ?

Les gestionnaires de mots de passe présentent plusieurs avantages qui en font des outils précieux. Un peu comme un antivirus gratuit pour android. :

Sécurité améliorée : En générant et stockant des mots de passe forts et uniques, ils réduisent le risque de piratage lié à l’utilisation de mots de passe faibles ou réutilisés.

Gain de temps : Avec la fonction d’autofill, vous n’avez plus besoin de vous souvenir de chaque mot de passe ou de les saisir manuellement.

Organisation : Ils permettent de centraliser et d’organiser les mots de passe, les informations de carte bancaire et autres données sensibles.

Alertes de sécurité : Certains gestionnaires de mots de passe vous avertissent si vos mots de passe sont faibles, réutilisés ou s’ils figurent dans des bases de données de mots de passe compromis.

Limites des gestionnaires de mots de passe

Malgré leurs nombreux avantages, les gestionnaires de mots de passe ne sont pas sans défauts :

Dépendance au mot de passe principal : La sécurité de tous vos mots de passe dépend de la robustesse de votre mot de passe principal. Si ce dernier est compromis, tous vos comptes peuvent être à risque.

Vulnérabilité aux attaques : Bien que les gestionnaires de mots de passe utilisent des techniques de cryptage avancées, ils ne sont pas infaillibles. Une faille dans l’application peut potentiellement exposer vos mots de passe.

Accès aux appareils : Si vous perdez l’accès à votre appareil ou si celui-ci est volé, un accès non autorisé à votre gestionnaire de mots de passe peut devenir problématique, surtout si une double authentification n’est pas utilisée.

Complexité pour certains utilisateurs : Les utilisateurs moins à l’aise avec la technologie peuvent trouver difficile de configurer et d’utiliser un gestionnaire de mots de passe.

Banque, Bitcoin, Cybersécurité

Risques croissants des cyberattaques pour la stabilité financière mondiale

Dans un récent rapport sur la stabilité financière, le Fonds Monétaire International (FMI) a consacré un chapitre entier à l’analyse de l’impact des cyberattaques sur l’environnement financier. Les cyberattaques sophistiquées et fréquentes qui compromettent de plus en plus la stabilité financière mondiale ?

Ce document, qui fait partie d’une trilogie de rapports, met en lumière une menace croissante : les cyberattaques sophistiquées et fréquentes qui compromettent de plus en plus la stabilité financière mondiale. Le FMI avertit que le risque de pertes extrêmes dues à ces cyberattaques est également en augmentation, soulignant l’urgence de la situation. Au cours des deux dernières décennies, et plus particulièrement depuis 2020, les cyberincidents sont devenus de plus en plus fréquents. Le rapport note une hausse significative des incidents malveillants, tels que la cyberextorsion et les violations de données. Cette augmentation a été exacerbée par la pandémie de COVID-19, doublant presque les incidents par rapport à la période pré-pandémique.

Les cyberincidents imposent des coûts énormes aux entreprises. Depuis 2020, les pertes directes déclarées s’élèvent à près de 28 milliards de dollars, avec des milliards de dossiers volés ou compromis. Toutefois, le coût total, incluant les pertes indirectes, pourrait représenter entre 1 % et 10 % du PIB mondial.

Le secteur financier, cible de choix

Le secteur financier est particulièrement vulnérable aux cyber-risques. Près d’un cinquième des incidents de cybersécurité signalés au cours des deux dernières décennies concernaient ce secteur. Les banques sont les cibles les plus fréquentes, suivies par les compagnies d’assurance et les gestionnaires d’actifs. Depuis 2004, les institutions financières ont signalé des pertes directes totalisant près de 12 milliards de dollars, dont 2,5 milliards de dollars entre 2020 et 2023. Le FMI souligne qu’un incident grave dans une grande institution financière pourrait menacer sérieusement la stabilité macrofinancière, provoquant une perte de confiance, une perturbation des services critiques et exploitant l’interconnectivité entre technologie et finance.

Comment les cyber-risques affectent la stabilité macrofinancière
Les cyberincidents peuvent avoir plusieurs impacts sur la stabilité macrofinancière :

Perte de Confiance : Une violation de données peut entraîner une perte de confiance du public dans l’institution visée, menant à des retraits massifs de dépôts et des paniques bancaires, augmentant ainsi le risque de liquidité et potentiellement la solvabilité de l’institution.

Perturbation des Infrastructures Critiques : Si un cyberincident touche une institution ou une infrastructure de marché financier difficile à remplacer, les risques pour la stabilité financière peuvent rapidement se matérialiser. Par exemple, une attaque contre une grande banque impliquée dans le système de paiement pourrait déstabiliser l’ensemble du système financier.

Propagation par Interconnectivité : Les liens technologiques et financiers entre institutions peuvent propager les effets d’un cyberincident à travers tout le système financier. Par exemple, une attaque sur un fournisseur de services cloud clé peut avoir des répercussions sur toutes les entreprises utilisant ce service.

Les cyberincidents peuvent également affecter les institutions non financières, comme les infrastructures critiques (réseaux électriques), perturbant ainsi le fonctionnement des institutions financières et amplifiant les risques macroéconomiques.

Technologies émergentes et cyber-risques accrus

Les technologies émergentes, bien qu’offrant des avantages considérables, peuvent également accroître les cyber-risques. L’intelligence artificielle (IA), par exemple, peut améliorer la détection des fraudes mais peut aussi être utilisée par des acteurs malveillants pour créer des attaques plus sophistiquées, telles que des deepfakes. En janvier 2024, des escrocs ont utilisé cette technologie pour tromper des employés d’une entreprise multinationale, leur faisant transférer 26 millions de dollars. L’émergence de l’informatique quantique pose également des défis. Cette technologie pourrait potentiellement déchiffrer les algorithmes de chiffrement actuels, augmentant ainsi les vulnérabilités des systèmes financiers face aux cyberattaques.

Impact économique des cyberincidents

Les pertes directes signalées par les entreprises à la suite de cyberincidents sont généralement modestes, avec un coût médian d’environ 400 000 dollars par incident. Cependant, certains incidents ont causé des pertes se chiffrant en centaines de millions de dollars, menaçant la liquidité et la solvabilité des entreprises.

Les pertes extrêmes dues aux cyberincidents continuent d’augmenter. Depuis 2017, la perte maximale médiane dans un pays au cours d’une année donnée a atteint 141 millions de dollars. En moyenne, un cyberincident devrait coûter 2,5 milliards de dollars tous les 10 ans.

Les pertes directes ne reflètent souvent pas le coût économique total d’un cyberincident. Les entreprises ne déclarent pas toujours les pertes indirectes, telles que la perte d’activité, l’atteinte à la réputation ou les investissements en cybersécurité. Les marchés boursiers peuvent offrir une estimation plus précise de ces coûts, car ils réagissent aux attentes futures des investisseurs concernant la valeur de l’entreprise.

Facteurs de cyberincidents

Comprendre les facteurs à l’origine des cyberincidents est crucial pour élaborer des politiques de cybersécurité efficaces. Les entreprises les plus grandes, les plus rentables et les plus numérisées sont plus susceptibles d’être ciblées. Les tensions géopolitiques augmentent également le risque de cyberattaques, tandis que les capacités de cybergouvernance et les réglementations strictes peuvent aider à prévenir les cyberincidents.

L’analyse montre que la numérisation et les tensions géopolitiques augmentent significativement le risque de cyberincidents. Les entreprises utilisant massivement le travail à distance pendant la pandémie de COVID-19 ont également vu une augmentation des cyberincidents.

Le système financier est particulièrement vulnérable aux cyber-risques en raison de trois caractéristiques clés :

Concentration du marché : Les services financiers, comme les services de paiement, sont souvent concentrés entre quelques grandes institutions, rendant tout incident potentiellement dévastateur pour l’ensemble du système.

Dépendance aux fournisseurs tiers : Les institutions financières dépendent de plus en plus de fournisseurs de services informatiques tiers, augmentant les risques de propagation des cyberincidents à travers le système.

Interconnectivité : Les institutions financières sont fortement interconnectées, amplifiant la contagion des cyberincidents et leurs impacts potentiellement systémiques.

Les fintechs ajoutent de nouveaux risques, augmentant l’exposition du système financier aux cybermenaces grâce à leurs opérations numériques et à leur interconnectivité. Les attaques contre les crypto-actifs et les plateformes de finance décentralisée sont en augmentation, ajoutant de nouvelles vulnérabilités au système financier.

Le système financier mondial fait face à des cyber-risques croissants, nécessitant des politiques et des cadres de gouvernance adaptés. Les cadres politiques de cybersécurité dans les économies émergentes et en développement restent souvent inadéquats. Une enquête du FMI de 2021 révèle que seuls 47 % des pays interrogés ont mis en place des politiques de cybersécurité spécifiques au secteur financier.

Les résultats montrent que les pays doivent renforcer leurs capacités réglementaires pour faire face aux cyber-risques. Les stratégies de cybersécurité nationales et du secteur financier doivent être améliorées, et une meilleure coordination entre les parties prenantes est nécessaire.

Bref, les cyber-risques constituent une menace croissante pour la stabilité financière mondiale. Les incidents malveillants sont de plus en plus fréquents et peuvent parfois causer des pertes extrêmes comme peut vous le prouver ZATAZ, depuis plus de 25 ans. Bien qu’il n’y ait pas encore eu de cyberattaque systémique dans le secteur financier, les risques augmentent avec la numérisation et les tensions géopolitiques accrues. (IMF)

Cybersécurité, IA

Nouveau moyen de communication Anonyme avec des Chatbots lancé par DuckDuckGo

Le moteur de recherche DuckDuckGo a récemment dévoilé une innovation dans le domaine de la communication numérique : une nouvelle fonctionnalité baptisée DuckDuckGo AI.

Comme détaillé sur leur site officiel Spread Privacy, le service gratuit DuckDuckGo AI offre la possibilité de dialoguer avec divers chatbots intelligents tout en garantissant une anonymité complète.

L’un des aspects les plus remarquables de DuckDuckGo AI est son engagement envers la confidentialité des utilisateurs. Les développeurs ont pris des mesures rigoureuses pour assurer que les données des dialogues ne seront pas utilisées pour entraîner des modèles linguistiques. Pendant la communication, l’adresse IP des utilisateurs est masquée, les modèles ne voyant que l’adresse IP de DuckDuckGo. Cette méthode empêche les chatbots d’identifier les interlocuteurs, renforçant ainsi la confidentialité des échanges. DuckDuckGo AI indique ne pas conserver les historiques de conversation. Seules des copies anonymisées temporaires sont maintenues, et elles sont supprimées au bout de 30 jours. Cette approche garantit que les utilisateurs peuvent interagir avec les chatbots sans craindre pour la sécurité de leurs données personnelles.

Diversité des modèles linguistiques

DuckDuckGo AI supporte actuellement plusieurs modèles linguistiques de pointe, dont : GPT-3.5 Turbo d’OpenAI ; Claude 3 Haiku d’Anthropic ; Meta Llama 3 ; Mixtral 8x7B ; Des choix permettant aux utilisateurs d’expérimenter différents styles et capacités de dialogue. DuckDuckGo prévoit d’étendre cette liste à l’avenir, offrant ainsi encore plus de choix aux utilisateurs. Actuellement en phase de bêta-test, DuckDuckGo AI est accessible gratuitement, avec des quotas journaliers limités. Pour ceux qui souhaitent utiliser l’outil de manière plus intensive, une souscription sera nécessaire. Cette phase de test permettra aux développeurs de peaufiner le service avant son lancement officiel, en s’assurant qu’il réponde aux attentes et aux exigences des utilisateurs.

Augmentation de l’utilisation de l’IA dans les crimes liés aux cryptomonnaies

Pendant ce temps, l’IA gagne du terrain chez les vilains ! Elliptic, une entreprise spécialisée dans la sécurité des cryptomonnaies, rapporte une augmentation de l’utilisation de l’intelligence artificielle (IA) dans les activités criminelles liées aux cryptomonnaies. Le rapport identifie cinq principales typologies de ces crimes que ZATAZ vous a regroupé.

Deepfakes et Matériel Publicitaire : utilisation de l’IA générative pour créer des deepfakes et du matériel publicitaire trompeur pour des escroqueries.
Escroqueries et Manipulation de Marché : lancement de tokens IA, plateformes d’investissement, schémas de Ponzi et fraudes romantiques.
Exploitation de Vulnérabilités : utilisation de grands modèles de langage pour détecter des failles dans le code et développer des exploits.
Arnaques et Désinformation : échelle des arnaques crypto et campagnes de désinformation amplifiées par des outils IA.
Darknet et Documents Contrefaits : création de vidéos factices et de documents contrefaits pour passer les procédures KYC sur les plateformes crypto.

Les spécialistes ont analysé 18 cas réels, notamment l’utilisation de deepfakes de personnalités comme Elon Musk et Brad Garlinghouse pour promouvoir des airdrops frauduleux. Les escroqueries romantiques, où les criminels utilisent l’IA pour améliorer les scénarios, sont également en hausse. Les criminels créent de faux sites Web et des supports marketing, y compris de fausses publications dans des magazines réputés, pour rendre les arnaques plus crédibles. Sur le darknet, des services proposent la création de faux documents d’identité pour ouvrir des comptes sur des plateformes de cryptomonnaies.

Cybersécurité, Entreprise

Thales équipe les forces armées irlandaises en systèmes radios logicielles

Thales vient de remporter un contrat majeur pour équiper l’ensemble des Forces armées irlandaises en systèmes radios logicielles et services associés.

Le système radio SquadNet se distingue par sa compacité, sa légèreté et sa facilité d’utilisation, avec une autonomie de 24 heures, le rendant idéal pour les fantassins. En plus de fournir des communications vocales sécurisées, il permet l’affichage de la localisation et le partage des données. SquadNet offre également des capacités de recharge des batteries et de programmation radio, et a déjà été adopté par les forces armées autrichiennes, témoignant de sa fiabilité et de son efficacité sur le terrain.

Les radios SYNAPS, développées dans le cadre du programme CONTACT en France, représentent le plus grand programme de radios logicielles en Europe. Le contrat inclut la fourniture de l’ensemble de la gamme SYNAPS : des radios portatives (SYNAPS-H) pour les forces terrestres, des radios véhiculaires (SYNAPS-V) pour équiper les véhicules de l’armée de Terre et les navires des forces navales, ainsi que des radios aéronautiques (SYNAPS-A) pour les divers aéronefs de l’Air Corps. Ces radios sont déjà en service, notamment au sein des forces armées belges, démontrant leur robustesse et leur performance.

En plus des équipements radio, le contrat intègre la fourniture de services digitaux destinés à assurer la maintenance de l’ensemble des équipements livrés, garantissant ainsi une performance continue et fiable des systèmes de communication. L’Irlande a fait le choix stratégique de systèmes radios favorisant l’interopérabilité avec les nations partenaires déployées outre-mer, grâce à l’utilisation de la forme d’ondes GEOMUX, largement répandue en Europe, et de la forme d’onde ESSOR HDR1, réputée pour son haut débit, sa résilience et sa sécurité.

Les premières livraisons, incluant le premier lot de radios SquadNet, débuteront dès le deuxième trimestre 2024, marquant le début d’une nouvelle ère de modernisation et d’efficacité pour les communications des Forces armées irlandaises.

Ce contrat avec Thales reflète l’engagement de l’Irlande à renforcer ses capacités de défense tout en s’assurant une intégration harmonieuse avec ses alliés européens, garantissant ainsi une réponse coordonnée et efficace face aux défis contemporains.

Argent, Justice

Europol : le minage est utilisé pour le blanchiment de revenus illicites

Selon les données récentes fournies par Europol, le service de police de l’Union européenne, les criminels exploitent les opérations de minage de cryptomonnaies pour dissimuler l’origine de leurs revenus illicites. Cette méthode, en apparence légitime, permet non seulement de blanchir l’argent de manière efficace, mais aussi de générer des bénéfices supplémentaires.

Le minage de cryptomonnaies, processus par lequel de nouvelles unités de monnaie numérique sont créées, est une activité essentielle pour le maintien des réseaux blockchain. Cependant, cette technologie est détournée par des criminels pour masquer l’origine de leurs fonds obtenus illégalement. En investissant dans l’extraction de cryptomonnaies, les fraudeurs peuvent convertir de l’argent sale en actifs numériques, rendant ainsi plus difficile la traçabilité des fonds par les autorités.

Les pools de minage : un outil pour les criminels

Les analystes d’Europol ont identifié des activités suspectes dans certains pools de minage. Ces pools, qui regroupent les ressources de plusieurs mineurs pour augmenter les chances de découvrir de nouveaux blocs, sont parfois utilisés par des escrocs pour lancer des pyramides financières. Un exemple notable est le réseau BitClub, qui promettait des gains grâce à des pools de minage inexistants. Des investisseurs dupés ont ainsi perdu des centaines de millions d’euros.

L’impact des technologies blockchain de deuxième niveau

Les solutions blockchain de deuxième niveau, conçues pour améliorer l’évolutivité et réduire les frais de transaction, posent également des défis pour les forces de l’ordre. Europol souligne que l’utilisation de preuves à divulgation nulle et de protocoles de deuxième niveau complique le suivi des mouvements de fonds sur la blockchain. Ces technologies permettent des transactions plus rapides et moins coûteuses, mais elles rendent également les activités criminelles plus difficiles à détecter.

Le rapport d’Europol indique que les technologies de deuxième niveau, bien qu’avantageuses pour les utilisateurs de cryptomonnaies légitimes, créent des obstacles supplémentaires pour les enquêtes policières. Les transactions utilisant des preuves à divulgation nulle, par exemple, permettent de prouver qu’une transaction est valide sans révéler les détails de celle-ci, compliquant ainsi le travail des enquêteurs. Europol ne détaille pas les problèmes spécifiques engendrés par ces technologies, mais il est clair que la sophistication croissante des outils de dissimulation de transactions exige des méthodes d’investigation plus avancées. Les forces de l’ordre doivent constamment s’adapter pour rester à la hauteur des innovations technologiques utilisées par les criminels.

La sensibilisation et la réglementation comme outils de prévention

Ce premier rapport sur le chiffrement du Hub d’Innovation de l’UE pour la Sécurité Intérieure fournit une analyse complète du chiffrement du point de vue législatif, technique et développemental. Il aborde également des processus judiciaires spécifiques et des décisions de justice concernant le contournement du chiffrement dans les enquêtes criminelles, en particulier en ce qui concerne l’admissibilité des preuves.

Au cours des dernières années, le débat entre la protection des données et l’interception légale a évolué. Alors que les technologies de protection de la vie privée comme le chiffrement de bout en bout (E2EE) et les systèmes de services de communication enrichis (RCS) peuvent empêcher les forces de l’ordre d’accéder aux preuves numériques, diverses initiatives internationales plaident pour une approche équilibrée qui maintienne la cybersécurité et la vie privée sans entraver l’interception légale.

DataSecurityBreach.fr a repéré trois grands points : technologie, législation et financement.

Du côté de la législation, par exemple, le paquet de preuves électroniques vise à améliorer l’accès des forces de l’ordre aux preuves électroniques mais n’oblige pas les fournisseurs de services à déchiffrer les données. Plusieurs décisions de justice, comme celles en France et en Allemagne, ont créé des précédents pour l’utilisation de preuves issues de communications chiffrées. Les législations nationales, comme l’article 558 du Code de procédure pénale néerlandais, permettent désormais aux forces de l’ordre de contraindre les suspects à déverrouiller des appareils dans certaines conditions.

En 2020, les autorités françaises ont réussi à infiltrer le réseau EncroChat, un service de communication chiffré largement utilisé par les criminels. La Cour de cassation française a jugé que les données obtenues par cette infiltration étaient admissibles en tant que preuves dans les affaires criminelles, malgré les objections concernant la vie privée et la légalité de l’opération. Cette décision a permis l’utilisation de communications chiffrées interceptées comme preuves légales dans les enquêtes criminelles, établissant un précédent important en matière de collecte et d’utilisation de preuves numériques.

En allemagne, toujours pour le cas d’EncroChat, le Bundesgerichtshof (Cour fédérale de justice) a confirmé que les données d’EncroChat obtenues par les autorités françaises pouvaient être utilisées comme preuves dans les procédures pénales allemandes. La cour a statué que les preuves obtenues à l’étranger par des moyens légaux étaient admissibles en Allemagne.

Au Pays-Bas, en 2020, les autorités néerlandaises ont utilisé des données interceptées d’EncroChat et SkyECC pour enquêter sur des réseaux criminels. La Cour suprême des Pays-Bas a statué que les preuves obtenues par les autorités canadiennes (SkyECC) et françaises (EncroChat) pouvaient être utilisées dans les procédures judiciaires néerlandaises, confirmant la légalité de l’utilisation de ces preuves.

En Italie, les autorités ont utilisé des données de SkyECC pour enquêter sur des réseaux criminels. La Cour de cassation italienne a statué que les preuves obtenues par Europol et les autorités étrangères étaient admissibles, mais a également souligné l’importance de permettre aux défendeurs de contester la méthode de collecte des preuves pour garantir un procès équitable.

Ensuite, les technologies. L’informatique Quantique est cité dans le rapport d’Europol. Bien qu’aucun ordinateur quantique ne pose actuellement une menace réelle pour le chiffrement, le potentiel de cette technologie à casser les protocoles cryptographiques nécessite une préparation à la cryptographie post-quantique. La cryptomonnaie est affichée comme permettant de blanchir les produits du crime. L’utilisation de monnaies de confidentialité et de preuves à divulgation nulle complique la traçabilité des transactions illicites. La réglementation et la coopération des échanges et des fournisseurs de portefeuilles sont cruciales pour les forces de l’ordre comme le rapporte le rapport d’Europle. Les données biométriques sont protégées dans les cadres juridiques, mais des vulnérabilités existent.

Des technologies comme le chiffrement homomorphe progressent pour mieux sécuriser les systèmes biométriques. Europol revient aussi sur le chiffrement DNS et les nouveaux protocoles comme DoT et DoH qui permettent de chiffrer les requêtes DNS, posant des défis à l’accès légal au trafic DNS. Même son de cloche avec les technologies de Télécommunication. Le chiffrement dans les réseaux 4G et 5G complique l’interception légale.

Le dernier point affiche la recherche et le financement. Le rapport met en lumière les lacunes de la recherche actuelle et la nécessité de financements pour relever les défis liés aux technologies de chiffrement. L’UE a alloué des ressources significatives pour la recherche dans l’informatique quantique, le chiffrement biométrique et d’autres domaines pertinents. Les forces de l’ordre doivent se tenir au courant des avancées technologiques et développer de nouvelles techniques d’enquête. La coopération avec les fournisseurs de technologies et le respect des lois sur la protection de la vie privée sont essentiels pour des enquêtes criminelles efficaces. L’équilibre entre le chiffrement et l’accès légal reste une question contentieuse. Une approche multifacette, incluant le développement de politiques, la coopération internationale et l’innovation technologique, est nécessaire pour relever ces défis. [Europol]

Cybersécurité, Mise à jour, Patch

Google Chrome corrige sa deuxième vulnérabilité exploitable de 2024

Google a publié une mise à jour de Chrome pour corriger une nouvelle vulnérabilité Zero Day. Selon la société, cette faille est activement exploitée dans des cyberattaques.

Identifiée sous le nom CVE-2024-4671 [Gravité élevée], cette vulnérabilité concerne un problème dans le navigateur Chrome. Google a découvert cette faille grâce à un chercheur anonyme le 7 mai 2024. Dans un communiqué officiel, le géant de l’Internet a confirmé que les développeurs étaient conscients de l’exploitation de CVE-2024-4671 dans des attaques réelles. Aucun détail supplémentaire n’a été fourni.

Il est fortement recommandé à tous les utilisateurs d’installer la dernière version de Google Chrome : 124.0.6367.201/.202 pour Windows et macOS, et 124.0.6367.201 pour Linux. « Google est conscient qu’un exploit pour CVE-2024-4671 existe dans la nature. » affiche Google dans son alerte.

Depuis le début de l’année, Google a déjà corrigé deux vulnérabilités Zero Day. La première, identifiée en janvier sous le nom CVE-2024-0519, affectait les moteurs JavaScript et WebAssembly V8, permettant un accès mémoire hors limites.

Le « Stable channel » (canal stable) est l’une des versions de distribution de Google Chrome, conçue pour offrir aux utilisateurs une expérience de navigation fiable et sécurisée.

Le canal stable a été mis à jour vers la version 124.0.6367.201/.202 pour Mac et Windows et 124.0.6367.201 pour Linux, qui sera déployée dans les jours/semaines à venir. Une liste complète des modifications apportées dans cette version est disponible dans le journal des modifications.

L’accès aux détails des bogues et aux liens peut être restreint jusqu’à ce que la majorité des utilisateurs aient installé la mise à jour. « Nous maintiendrons également les restrictions si le bogue existe dans une bibliothèque tierce dont dépendent d’autres projets, mais qui n’ont pas encore été corrigés. » explique Google.

Entreprise

Les mystères de la disparition des fichiers sur votre NAS : comprendre les causes et prévenir les pertes de données

Avez-vous déjà eu l’impression que des fichiers disparaissent mystérieusement de votre NAS (Network Attached Storage) sans aucune explication apparente ?

Cette expérience frustrante est malheureusement assez commune et peut être causée par divers facteurs. Comprendre ces causes peut vous aider à prévenir la perte de données précieuses. Heureusement, il existe des solutions concrètes pour récupérer les informations perdues, comme avec la récupération de donnée NAS avec un expert comme Data LabCenter.

Dans cet article, nous explorerons plusieurs scénarios possibles de disparition de fichiers sur votre NAS, avec des exemples concrets.

  1. Erreurs humaines :
    • Exemple : Suppression accidentelle de fichiers.
    • Scénario : En naviguant à travers les dossiers sur votre NAS, vous pouvez accidentellement supprimer un fichier ou un dossier important.
    • Solution préventive : Activez la corbeille sur votre NAS pour pouvoir récupérer les fichiers supprimés par erreur.
  1. Défaillance matérielle :
    • Exemple : Panne du disque dur.
    • Scénario : Un disque dur défectueux dans votre NAS peut entraîner la perte de données si les fichiers y sont stockés.
    • Solution préventive : Effectuez régulièrement des sauvegardes sur des périphériques externes ou dans le cloud pour éviter de perdre toutes vos données en cas de défaillance matérielle.
  2. Corruption des données :
    • Exemple : Corruption du système de fichiers.
    • Scénario : Des erreurs inattendues peuvent corrompre le système de fichiers de votre NAS, ce qui peut entraîner la perte de données ou leur inaccessibilité.
    • Solution préventive : Utilisez des outils de surveillance de l’intégrité des données et effectuez des vérifications régulières du système de fichiers pour détecter et corriger les erreurs dès qu’elles se produisent.
  3. Attaques malveillantes :
    • Exemple : Ransomware.
    • Scénario : Votre NAS peut être infecté par un ransomware qui crypte vos fichiers et demande une rançon pour les récupérer.
    • Solution préventive : Maintenez votre NAS à jour avec les derniers correctifs de sécurité, utilisez des mots de passe forts et mettez en place des pare-feux pour réduire les risques d’attaques malveillantes.
  4. Accès non autorisé :
    • Exemple : Utilisation de mots de passe faibles.
    • Scénario : Des personnes non autorisées peuvent accéder à votre NAS en devinant ou en piratant vos mots de passe, puis supprimer ou modifier des fichiers.
    • Solution préventive : Utilisez des mots de passe complexes et changez-les régulièrement. Limitez également l’accès aux fichiers sensibles en configurant des autorisations appropriées.
  5. Problèmes de réseau :
    • Exemple : Déconnexion du NAS du réseau.
    • Scénario : Des interruptions de réseau ou des problèmes de connectivité peuvent entraîner la perte temporaire de l’accès à votre NAS et, par conséquent, des fichiers peuvent sembler avoir disparu.
    • Solution préventive : Assurez-vous que votre NAS est correctement connecté au réseau et surveillez les problèmes de connectivité réseau.

En conclusion, la disparition de fichiers sur votre NAS peut être attribuée à divers facteurs, allant des erreurs humaines aux problèmes matériels et aux attaques malveillantes. Pour minimiser le risque de perte de données, il est essentiel de mettre en œuvre des mesures de prévention appropriées, telles que la sauvegarde régulière des données, la sécurisation de l’accès au NAS et la surveillance constante de son intégrité. En prenant ces précautions, vous pouvez protéger vos précieuses données contre les pertes inattendues.

Cybersécurité, IA

Vasa-1 : un nouveau modèle d’ia pour créer des avatars animés à partir d’une photo

Microsoft Research Asia a récemment dévoilé VASA-1, un modèle d’intelligence artificielle capable de transformer une simple photo en vidéo animée.

Microsoft a donc décidé de se transformer en Skynet et a tiré sur toutes les ficelles liées à l’IA. Nouveauté du moment, Vasa-1. Cette technologie, présentée par Microsoft Research Asia utilise un fragment audio pour donner vie à une image. Le modèle est conçu pour créer des avatars vidéo réalistes, ce qui peut révolutionner la manière dont nous interagissons avec les médias numériques. C’est surtout inquiétant de se dire que des chercheurs continuent de travailler sur des solutions qui seront rapidement détournées. La régulation concernant l’IA étant moins draconienne en Asie qu’en Europe et aux USA, voilà peut-être pourquoi nos apprentis sorciers de l’IA se sont penchés sur cette possibilité.

Applications potentielles de vasa-1

Selon le rapport de recherche accompagnant la présentation du modèle, VASA-1 ouvre la possibilité de participer à des réunions virtuelles avec des avatars qui reproduisent fidèlement les comportements humains lors d’une conversation. Ca fera beaucoup rire cette comptable qui a été piégée, voilà quelques semaines, dans un tchat vidéo par des pirates et les avatars générés par l’IA. Bref, Vasa-1 soulève des questions sur son utilisation pour manipuler des vidéos afin de faire dire n’importe quoi à n’importe qui.

Comment fonctionne le modèle vasa-1 ?

VASA-1 repose sur l’apprentissage automatique pour analyser une photo statique et générer des vidéos animées réalistes. Le modèle ne clone pas les voix mais anime l’avatar en fonction des sons existants. Il peut ajouter des mouvements de tête, des tics faciaux, et d’autres nuances comportementales qui rendent l’animation étonnamment réelle. Un paradis pour deepfake, des vidéos malveillantes générées par l’IA ?

Le défi des deepfakes

La création de deepfakes, ou hyper-trucages, n’est pas une nouveauté. Cependant, l’approche de VASA-1, qui utilise une seule photo pour y incorporer des émotions et des comportements, est relativement nouvelle. Le modèle se distingue également par une excellente synchronisation labiale et la représentation de mouvements réalistes. Pour son développement, Microsoft Research a utilisé VoxCeleb2, un vaste ensemble de données composé de clips vidéo de célébrités issus de YouTube. Les célébrités ont-elles donné leurs accords pour que leur image et leur voix soient exploitées ? Dans sa démonstration Microsoft Asia a utilisé des portraits générés par StyleGAN2 ou DALL·E-3. « Il s’agit uniquement d’une démonstration de recherche et il n’y a pas de plan de sortie de produit ou d’API. » confirment les 9 chercheurs.

Le potentiel d’abus de VASA-1 est une préoccupation majeure, ce qui explique pourquoi Microsoft a décidé de ne pas publier le code du modèle pour le moment. En combinaison avec la technologie de clonage vocal, des individus mal intentionnés pourraient l’utiliser pour falsifier des vidéos de réunions, menant à des tentatives d’extorsion ou à la propagation de fausses informations. Bref à suivre ! « I’ll be back » dirait même une création de Skynet !

Cybersécurité, Entreprise, Mise à jour

Hypershield de cisco : une avancée dans la sécurité des réseaux et applications ?

Dans un contexte où les menaces numériques évoluent constamment, Cisco affirme avoir développé une méthode révolutionnaire pour sécuriser les réseaux et leurs applications contre les vulnérabilités avant même la disponibilité d’un correctif. Cette innovation arrive alors que les infrastructures numériques restent exposées en moyenne 49 jours, le temps que les correctifs soient appliqués après la découverte d’une faille.

Les systèmes d’information sont particulièrement vulnérables pendant la période qui s’étend entre la découverte d’une vulnérabilité et le déploiement d’un correctif. Bien que certaines mesures provisoires telles que la désactivation de ports ou de fonctionnalités spécifiques puissent offrir une protection temporaire, leur mise en œuvre reste complexe dans des réseaux d’envergure.

Pour combler ce vide de sécurité, Cisco a lancé Hypershield, une architecture de sécurité qui intègre l’intelligence artificielle pour offrir une protection rapide et efficace en attendant un patch. Cette technologie promet d’être opérationnelle sur le marché d’ici août.

Fonctionnement d’hypershield

Hypershield fonctionne en segmentant automatiquement les réseaux et applications, empêchant ainsi toute tentative de mouvement latéral d’un intrus à travers les applications ou zones d’un data center. Chuck Robbins, président et CEO de Cisco, explique que cette technologie fusionne les capacités avancées de gestion de trafic et de données de l’entreprise avec son expertise en sécurité, infrastructure et observabilité, plaçant Cisco en position idéale pour maximiser les avantages de l’IA pour ses clients.

Technologie et intégration avancées

Le système utilise des data processing units (DPU), des puces matérielles conçues pour analyser et réagir aux comportements des applications et du réseau, tout en étant évolutives en fonction de la taille du réseau. De plus, l’utilisation de la technologie open source acquise auprès de la firme suisse Isolvent renforce les capacités de Hypershield.

Pour faciliter l’application des mises à jour et des correctifs, Hypershield intègre un mécanisme d’automatisation qui utilise des jumeaux numériques pour tester les mises à jour dans un environnement virtuel. Cela permet de simuler l’environnement spécifique du client, y compris le trafic de données et les règles stratégiques, avant d’appliquer effectivement la mise à jour au système.

Base de données, Entreprise

Les domaines .RU seront enregistrés auprès des Services de l’Etat

Panique chez les utilisateurs de noms de domaine en .RU [Russe]. Il va falloir fournir ses informations non plus au registar, mais au gouvernement !

Anton Gorelkin, vice-président du Comité de la Douma d’État sur la politique de l’information, de l’informatique et des communications, a parlé le 8 avril lors de la conférence « Le domaine .ru a 30 ans » de la préparation d’un projet de loi sur la réglementation du processus d’administration des noms de domaine. Le document sera soumis à la Douma d’Etat cette année, a précisé le député : « Un tel accord a été trouvé avec tous les acteurs dont il dépend ». Selon M. Gorelkin, il s’agit de « vérifier ceux qui enregistrent des noms de domaine via le système unifié d’identification et d’autorisation. » 82% (selon Statdom) appartiennent à des résidents de la Fédération de Russie, 7% à un inconnu, 5% à des résidents des Seychelles, 2% à des résidents d’Ukraine, 0,5% à des résidents de Biélorussie.

Référencement

En France, les utilisateurs de nom de domaine .fr doivent fournir des informations les concernant. Chaque année, les registar demandent aux utilisateurs si leur identité, adresse ont changé.

Mais pour la Russie, les informations devront être envoyées directement aux Services de l’État pour les domaines .RU, .РФ et .SU.

Bref, le renouvellement automatique, fini ! Les utilisateurs d’un domaine .Ru, hors de Russie, fini.

Pour des raisons évidentes, il est trop tôt pour parler des détails, de la mise en œuvre technique, des caractéristiques de l’application de la loi, etc., avant le texte du projet de loi, mais on peut déjà supposer plusieurs scénarios d’évolution des événements. Mais il est clair que les propriétaires de domaine n’auront plus de secret pour le FSB l’État.

Fédération de Russie – 675 000 domaines, 92,5 % sont des résidents russes.
SU – 105 000, 86,5% sont des résidents de la Fédération de Russie.

Ceux qui, pour une raison ou une autre, ne souhaitent pas lier leur domaine à un compte sur les services de l’État et les citoyens étrangers ne renouvelleront probablement pas leur domaine. Autrement dit, un assez grand nombre d’entreprises étrangères perdront très probablement leurs domaines russes. Des experts estiment qu’au moins 3 millions de domaines seront impactés [sur les 5 millions existant]. Sauf si des dépositaires de domaines indépendant récupèrent les domaines pour les propriétaires légitimes et sous louent les domaines. Une sorte de « protection » mafieuse ?

Cybersécurité, Entreprise

La Russie et l’Ukraine en tête du classement mondial de la cybercriminalité

Une étude menée par un groupe de recherche international, regroupant une centaine d’experts, a récemment établi le premier classement exhaustif des pays en matière de cybercriminalité. Les résultats révèlent que la Russie, suivi de près par l’Ukraine et la Chine, occupe les premières places de ce classement.

Il y a quelques jours, ZATAZ.COM, référence de l’actualité liée à la lutte contre le cybercrime, une étude menée par Europol qui établissait une liste des groupes de cybercriminels les plus présents sur Internet. Sans surprise, Russes et Ukrainiens se partageaient le haut du podium.

Des chercheurs de l’Université d’Oxford, viennent de publier leur propre analyse. Elle permet de mieux comprendre la répartition géographique de la cybercriminalité ainsi que les domaines d’intérêt des citoyens de différents pays. Elle suggère que la collecte continue de ces données pourrait aider à identifier les nouveaux foyers de cybercriminalité et à prendre des mesures préventives dans les pays à risque avant que la situation ne s’aggrave.

L’étude identifie cinq catégories principales de cybercriminalité, dont les services et produits techniques, les attaques et l’extorsion, le vol de données et d’identité, la fraude et le blanchiment d’argent. Les deux premières catégories sont considérées comme les plus courantes en Russie et en Ukraine.

Federico Varese, professeur à l’Institut d’études politiques de Paris, souligne l’importance d’élargir cette étude pour déterminer si des facteurs nationaux tels que le niveau d’éducation, la pénétration d’Internet, le PIB ou les niveaux de corruption sont liés à la cybercriminalité. Il met en lumière le fait que la cybercriminalité, tout comme les formes de criminalité organisée, est enracinée dans des contextes nationaux spécifiques, contrairement à l’idée répandue selon laquelle elle serait un phénomène mondial et fluide.

Outre la Russie, l’Ukraine et la Chine, le classement des dix premiers comprend également les États-Unis, le Nigeria, la Roumanie, la Corée du Nord, la Grande-Bretagne, le Brésil et l’Inde. Parmi les autres pays mentionnés, la Biélorussie occupe la 12e place, tandis que la Moldavie se situe en 15e position. Enfin, la Lettonie clôture le top 20.

Les agences de renseignement américaines accusent les hackers russes d’audace excessive

Les hackers russes deviennent de plus en plus audacieux dans leurs attaques. C’est ce qu’a déploré Brian Vondran, chef de la division de lutte contre la cybercriminalité du Federal Bureau of Investigation (FBI) des États-Unis, qui enquête également sur les crimes liés aux cryptomonnaies.

« C’est un problème pour l’économie mondiale, pour l’économie américaine et pour la sécurité des États-Unis. Selon nos estimations, les pertes mondiales dépassent le milliard de dollars par an« , a souligné Vondran.

Il a ajouté qu’il considère le groupe Scattered Spider comme responsable des récentes attaques de ransomwares, lié, selon la perception occidentale, au Ministère de la Défense russe. Scattered Spider serait derrière, par exemple, les attaques des groupes hôteliers MGM Resorts ou encore Caesars Palace. À Washington, il est appelé « un réseau cohésif de hackers » qui parlent anglais et sont responsables de dizaines de piratages. La technique principale du groupe, l’ingénierie sociale. Hacker le cerveau avant d’attaquer les claviers.

L’ancien directeur de la cybersécurité de la NSA, Rob Joyce, indique qu’il y a peu de chance que ce groupe soit stoppé, pour le moment. Il a noté que l’attaque de REvil contre Colonial Pipeline « a forcé à réfléchir et à décider que nous devons investir davantage de ressources dans la lutte contre cette menace externe ». Il a ajouté qu’en janvier 2022, l’un des exécutants de cette attaque avait été identifié et arrêté en Russie, ainsi que ses complices. Depuis, des mois, les tribunaux et avocats locaux se battent, les défenseurs arguant qu’il n’existait aucune preuve d’actes de piratage.