Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
cyberattaque, Cybersécurité

Phishing : le bilan alarmant de la cybersécurité

Un acteur majeur dans la lutte contre les cybermenaces a récemment publié les résultats édifiants de sa deuxième édition du baromètre annuel de la cybersécurité. Cette étude, basée sur l’analyse de 5,9 milliards de courriels et représentant plus de 2 millions d’utilisateurs, dévoile un panorama complexe et inquiétant de la cybersécurité actuelle.

En 2023, 1,6 milliard de courriers indésirables ont été interceptés et 143 millions de tentatives de cyberattaques, principalement sous forme de phishing, ont été neutralisées par la société MailingBlack, mettant en lumière l’ingéniosité et la persévérance des cybercriminels. L’étude révèle que des marques de confiance telles que La Poste, WeTransfer, Amazon, Microsoft, et Google sont fréquemment imitées dans le but de leurrer les utilisateurs. 7,6 % des spams contiennent des cybermenaces. 77,5 % de ces assauts numériques se manifestent par un hameçonnage exploitant des biais cognitifs humains tels que le stress, la curiosité, et l’appât du gain pour piéger les employés.

Les petites et moyennes entreprises (PME), suivies des administrations publiques, figurent parmi les cibles privilégiées. Ces entités, souvent moins armées contre les cybermenaces, se retrouvent en première ligne face à des adversaires numériques de plus en plus sophistiqués. Le secteur du commerce se distingue particulièrement, victime de 82 % des attaques exploitant des macros malveillantes dans des documents Word ou Excel, par exemple.

Par ailleurs, les postes de direction et les fonctions marketing sont particulièrement visés, soulignant la stratégie des attaquants de cibler les maillons clés au sein des organisations pour maximiser leur impact. Les postes de direction sont visés, en moyenne, 25 fois par mois. Vient ensuite, les postes marketing, avec 21 tentatives. Les postes administratifs arrivent quant à eux en troisième position, avec 9 tentatives par mois.

Les biais cognitifs auxquels les collaborateurs sont le plus sensibles, sont aussi les plus triviaux : le stress, la curiosité et l’appât du gain. Les messages pour les piéger varient peu, ou pas. Ils restent cependant très efficace. Voici quelques exemples repérés par ZATAZ et MailingBlack.

Promotions et événements spéciaux : “Profitez de notre offre exclusive Black Friday ! Des surprises incroyables vous attendent” ;
Facturation et paiements : “Alerte de facture impayée !” ;
Offres d’entreprise et bien-être : “Améliorez le bien-être de votre équipe ! Découvrez nos solutions exclusives” ;
Logistique et livraison : “Alerte de colis en attente ! Confirmez vos détails de livraison immédiatement !” ;
Sécurité et authentification : “Action requise pour votre sécurité ! Veuillez confirmer votre numéro de téléphone pour protéger votre compte”.

backdoor, Cybersécurité

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Une attaque de phishing innovante met en péril la sécurité des comptes des propriétaires de voiture Tesla ?

Récemment, Talal Haj Bakry et Tommy Mysk, experts en cybersécurité, ont mis en lumière une méthode de phishing particulièrement préoccupante qui cible les propriétaires de véhicules Tesla. Grâce à l’utilisation d’un dispositif Flipper Zero, les chercheurs ont démontré qu’il est possible de compromettre un compte Tesla, permettant ainsi de déverrouiller et potentiellement voler un véhicule. Cette vulnérabilité persiste même après la mise à jour vers la dernière version de l’application Tesla (4.30.6) et du firmware (version 11.1 2024.2.7).

https://twitter.com/mysk_co/status/1765783975056851004

Le processus d’attaque détaillé

L’exploit décrit par Bakry et Mysk repose sur la création d’un faux réseau Wi-Fi nommé « Tesla Guest », simulant ceux fréquemment trouvés dans les centres de service Tesla. En se connectant à ce réseau, les victimes sont redirigées vers une page de connexion imitant celle de Tesla, où leurs identifiants sont capturés par l’attaquant. L’étape suivante du processus consiste à obtenir un mot de passe à usage unique (OTP) nécessaire pour contourner l’authentification à deux facteurs, permettant à l’attaquant de se connecter à l’application Tesla et d’accéder à la localisation du véhicule en temps réel.

Les implications de l’attaque

Le succès de cette attaque repose sur la possibilité d’ajouter une nouvelle clé de téléphone au compte Tesla compromis, une opération qui ne requiert pas la présence physique de l’attaquant à l’intérieur du véhicule, mais seulement à proximité immédiate. Cette méthode expose les propriétaires de Tesla à un risque accru, d’autant plus que l’ajout d’une nouvelle clé n’engendre aucune notification ni alerte via l’application ou sur le tableau de bord du véhicule.

Recommandations de sécurité

Face à cette menace, qu’il faut tout de même modérer [il faut de nombreuses interactions] les chercheurs suggèrent que l’ajout d’une nouvelle clé de téléphone devrait exiger une authentification supplémentaire, telle que la présentation d’une clé de carte Tesla physique. Cette mesure renforcerait considérablement la sécurité, ajoutant une couche d’authentification pour le nouvel appareil.

Malgré la remise en question de cette procédure par Tesla, qui considère le comportement observé comme normal, il est clair que des mesures supplémentaires doivent être envisagées pour protéger les propriétaires de Tesla contre ces attaques de phishing de plus en plus sophistiquées.

Cybersécurité, Entreprise, Mise à jour, Patch

Qnap alerte sur des vulnérabilités critiques dans ses systèmes d’exploitation

Dans le monde toujours connecté d’aujourd’hui, la sécurité des systèmes informatiques est devenue une priorité absolue pour les entreprises et les particuliers. QNAP, une entreprise leader dans le domaine du matériel de sauvegarde informatique, a récemment mis en lumière des vulnérabilités critiques dans plusieurs de ses systèmes d’exploitation.

QNAP a identifié des failles de sécurité dans ses systèmes d’exploitation QTS, QuTS hero, QuTScloud et myQNAPcloud. Ces vulnérabilités, si elles sont exploitées, pourraient permettre à des attaquants d’accéder aux appareils des utilisateurs et de compromettre la sécurité des systèmes concernés. Les vulnérabilités affectent un large éventail de versions des systèmes d’exploitation de QNAP, ce qui rend un grand nombre d’appareils potentiellement vulnérables.

Comprendre les risques

Les vulnérabilités identifiées par QNAP comprennent un contournement d’authentification (CVE-2024-21899), une injection de commandes (CVE-2024-21900) et une injection SQL (CVE-2024-21901). La nature de ces failles varie, mais elles partagent un point commun : elles pourraient toutes compromettre gravement la sécurité des systèmes affectés.

La plus préoccupante des vulnérabilités, CVE-2024-21899, permet à des utilisateurs non autorisés de compromettre à distance la sécurité du système sans nécessiter d’authentification. Cela signifie que cette vulnérabilité pourrait être exploitée par n’importe qui ayant accès à Internet, rendant les systèmes non mis à jour extrêmement vulnérables aux attaques.

Mesures correctives de qnap

En réponse à ces vulnérabilités, QNAP a rapidement publié des mises à jour pour ses systèmes d’exploitation, visant à corriger les failles de sécurité et à renforcer la protection des appareils des utilisateurs. Les versions mises à jour qui résolvent ces vulnérabilités sont les suivantes :

QTS 5.1.3.2578 20231110 et versions ultérieures ;
QTS 4.5.4.2627 20231225 et versions ultérieures ;
QuTS hero h5.1.3.2578 20231110 et versions ultérieures ;
QuTS hero h4.5.4.2626 20231225 et versions ultérieures ;
QuTScloud c5.1.5.2651 et versions ultérieures ;
myQNAPcloud 1.0.52 (2023/11/24) et versions ultérieures.

L’importance de la mise à jour

QNAP conseille vivement à tous les utilisateurs de ses systèmes d’exploitation de procéder à ces mises à jour sans délai. La mise à jour des systèmes d’exploitation est une étape cruciale pour garantir la sécurité des données et la protection contre les attaques extérieures. Dans un monde où les menaces informatiques évoluent constamment, maintenir ses systèmes à jour est le meilleur moyen de se prémunir contre les vulnérabilités potentielles.

Cybersécurité, Entreprise, Mise à jour

Alerte sécurité : une vulnérabilité critique chez Fortinet menace 150 000 appareils

La cybersécurité est un domaine en constante évolution, où les menaces et les vulnérabilités émergent à un rythme alarmant. Un récent rapport de la Shadowserver Foundation met en lumière une vulnérabilité critique affectant les appareils Fortinet FortiOS et FortiProxy. 

Identifiée et corrigée le mois dernier, la vulnérabilité CVE-2024-21762 a reçu un score CVSS alarmant de 9,6, soulignant sa gravité. Ce bug critique réside dans FortiOS et est lié à un enregistrement hors limites. Il permet à des attaquants non authentifiés d’exécuter à distance du code arbitraire en envoyant des requêtes HTTP spécialement conçues. Ce qui rend cette vulnérabilité particulièrement dangereuse, c’est sa capacité à permettre l’exécution de code sans nécessiter d’authentification préalable.

L’exploitation active de la vulnérabilité

Le caractère critique de CVE-2024-21762 a attiré l’attention de l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), qui a rapidement ajouté cette vulnérabilité à sa liste de failles déjà exploitées par des attaquants. Cette inclusion souligne non seulement la gravité du problème mais aussi le fait qu’il est activement exploité dans des attaques de cyberpirates.

L’ampleur de la menace : 150 000 appareils vulnérables

La Shadowserver Foundation a lancé un avertissement concernant l’ampleur de cette menace. Selon leurs analyses, environ 150 000 appareils Fortinet FortiOS et FortiProxy restent vulnérables à CVE-2024-21762. Les États-Unis comptent le plus grand nombre de ces appareils vulnérables, avec plus de 24 000 cas recensés. Des nombres significatifs d’appareils affectés ont également été identifiés en Inde, au Brésil et au Canada, soulignant l’impact global de cette vulnérabilité.

Comment vérifier et protéger vos appareils

Les administrateurs de système ne sont pas sans défense face à cette vulnérabilité. Un script Python spécial, développé par les spécialistes en sécurité de l’information de BishopFox, est disponible pour aider à identifier les appareils vulnérables. Il est crucial pour les administrateurs de vérifier l’état de leurs systèmes et d’appliquer les correctifs nécessaires pour se protéger contre les exploitations potentielles de cette faille critique.

Cybersécurité, Entreprise

BlueFiles : l’outil indispensable pour sécuriser vos transferts

Le service français Bluefiles s’arme de nouvelles options permettant de sécuriser vos transferts.

Dans le monde professionnel d’aujourd’hui, la sécurité des données et des communications électroniques est une préoccupation majeure. Il existe de nombreuses solutions apportant des solutions pour répondre à ce défi, renforçant la confidentialité et la sécurité des informations échangées. Il y a un an, ZATAZ nous faisait découvrir un outil étonnant, 100% français, offrant une solution de transfert de fichiers sécurisé : Bluefiles. J’utilise d’ailleurs cette solution pour transmettre et recevoir des documents en toute sécurité. Un an plus tard, retour sur l’évolution de cette solution venue du Sud de la France.

Simplicité d’usage et intégration transparente

BlueFiles se distingue par sa capacité à s’intégrer de manière fluide dans les routines quotidiennes, notamment en se greffant sur Microsoft Outlook grâce à un complément (AddIn). Cette intégration permet aux utilisateurs de continuer à composer leurs courriers électronique et joindre des fichiers comme ils le feraient habituellement, tout en offrant la possibilité de sécuriser les envois en un clic. Une nouveauté notable réside dans l’option laissée à l’utilisateur de choisir ou non de sécuriser chaque message envoyé, renforçant ainsi la flexibilité sans compromettre la sécurité. Il est toujours possible de blinder le transfert par un mot de passe et une auto destruction selon un timing prédéterminé.

Capacités étendues de transfert de fichiers

Dans sa dernière mise à jour, BlueFiles augmente la capacité de transfert de fichiers jusqu’à 2 Go en standard, répondant ainsi aux besoins croissants de partage de fichiers volumineux dans le cadre professionnel. L’outil introduit également un système d’accusés de réception, informant l’expéditeur dès que les destinataires accèdent aux données ou téléchargent les pièces jointes. Cette fonctionnalité renforce la traçabilité et assure une meilleure responsabilité dans la gestion des informations sensibles.

Comptes partagés et anonymisation

BlueFiles innove en proposant la mise en œuvre de comptes partagés, simulant le fonctionnement des boîtes électroniques de service, tout en garantissant une traçabilité nominative des actions réalisées à partir de ces comptes. Cette fonctionnalité favorise la continuité du service et une meilleure gestion des communications au sein des équipes. Une avancée particulièrement intéressante est la possibilité de créer et de publier des formulaires réglementaires sans nécessiter de compétences en programmation. Cette option simplifie considérablement les démarches administratives et réglementaires pour les entreprises.

Le Filigrane dynamique : une innovation marquante

Pour la diffusion de documents sensibles ou personnels, BlueFiles propose une liseuse PDF en ligne sécurisée. Cette innovation permet aux destinataires de consulter les documents directement dans leur navigateur sans devoir les télécharger, offrant ainsi une couche supplémentaire de protection. Enfin, BlueFiles introduit le concept du Filigrane dynamique, inspiré de l’intelligence Corse. Cette technologie permet d’insérer des informations personnelles spécifiques à chaque destinataire, telles que leur adresse IP ou leur adresse électronique, directement dans le filigrane du document. Cette approche sensibilise les destinataires à la confidentialité des informations reçues et renforce leur responsabilité individuelle, tout en facilitant l’identification de la source en cas de fuite de données.

Cybersécurité, escroquerie, Social engineering

Opération texonto : campagne de désinformation russophone

Mise à jour d’une nouvelle vaste campagne de désinformation psychologique déployée via des courriels, visant à influencer l’opinion publique ukrainienne par la diffusion de fausses informations suggérant que la Russie prenait l’avantage dans le conflit.

Lancés en deux temps, en novembre puis fin décembre 2023, ces courriers électroniques propageaient des messages sur les coupures de chauffage, les manques de médicaments, et les pénuries de nourriture, reprenant les thèmes récurrents de la propagande russe. En outre, en octobre 2023, la société ESET a découvert une attaque par hameçonnage ciblant une entreprise de défense ukrainienne, suivie en novembre par une attaque similaire visant une agence de l’UE, utilisant de fausses pages de connexion Microsoft dans le but de dérober des identifiants de connexion à Microsoft Office 365. La similarité des infrastructures réseau utilisées pour ces différentes campagnes permet de les associer avec une grande certitude.

Avec le conflit en cours en Ukraine, des groupes pro-russes comme Sandworm se sont illustrés par des attaques visant à saboter l’infrastructure informatique ukrainienne au moyen de logiciels destructeurs. Ces derniers temps, une intensification des activités de cyber espionnage a été notée, notamment de la part du groupe Gamaredon, tristement célèbre. L’opération Texonto illustre un tournant dans l’utilisation des technologies numériques pour influencer le cours de la guerre. A noter que certains groupes, comme Killnet, se sont rabattus sur leur business de base, les fraudes bancaires. D’autres groupes sont apparus, comme NighMare, sans vraiment afficher une efficacité militaire et étatique.

L’association inhabituelle d’espionnage, de manipulation de l’information et de faux messages médicaux rappelle les agissements de Callisto, un groupe de cyberespionnage aligné sur la Russie, dont deux membres ont été inculpés le 7 décembre 2023 par le département américain de la Justice. Bien que Callisto soit connu pour cibler des fonctionnaires gouvernementaux et des organisations militaires via des sites d’hameçonnage, aucune connexion technique directe n’a été établie entre Texonto et Callisto. Néanmoins, en raison des méthodes, cibles, et messages diffusés, Texonto est attribué avec une haute confiance à un groupe soutenu par la Russie.

Les enquêteurs ont observé la réutilisation d’un serveur de messagerie par les assaillants, initialement pour les opérations de désinformation, puis pour envoyer des spams typiques des pharmacies canadiennes, une pratique courante au sein de la communauté cybercriminelle russe. D’autres investigations ont révélé des domaines liés à l’opération Texonto et à des affaires internes russes, comme le cas d’Alexeï Navalny, opposant russe emprisonné décédé le 16 février 2024, suggérant des tentatives de cibler des dissidents russes et les partisans de Navalny.

La première salve d’emails visait à instiller le doute chez les Ukrainiens avec des messages préoccupants sur le chauffage ou des manques de médicaments, sans inclure de liens malveillants, se concentrant purement sur la désinformation. Un domaine imitant le ministère ukrainien de la Politique agricole proposait des remèdes à base de plantes en remplacement des médicaments et suggérait des recettes improbables comme du « risotto au pigeon ».

Un mois plus tard, une seconde vague d’emails a été lancée, ciblant non seulement les Ukrainiens mais aussi des citoyens d’autres pays européens, avec des messages plus sinistres incitant à des mutilations pour échapper à la conscription. Cette campagne reflète les tactiques de guerre psychologique utilisées dans les conflits.

cyberattaque, Entreprise

Santé : impossible de distribuer des médicaments à la suite d’une cyber attaque

Les opérateurs du ransomware « Blackcat » ont été identifiés comme responsables de la récente panne chez Change Healthcare, une division technologique du groupe UnitedHealth spécialisée dans le traitement des réclamations d’assurance et des paiements dans le secteur de la santé aux États-Unis. Cette cyberattaque a entraîné une perturbation nationale, interrompant la distribution des médicaments sur ordonnance pendant une durée de six jours.

Notre quotidien repose fortement sur la fiabilité des chaînes d’approvisionnement. Des attaques d’envergure comme celles qui ont touché Colonial Pipeline ou MoveIT, ainsi que celles visant des prestataires de services IT tels que Kaseya et Materna, démontrent, quelle que soit leur ampleur ou leur secteur, l’importance cruciale d’adopter une démarche collective pour renforcer la cyber-résilience des services essentiels tels que la santé, l’énergie, l’eau et les transports.

L’impact en cascade d’une compromission au sein de la chaîne d’approvisionnement [La Supply chain] peut être catastrophique. La cyber-résilience est la capacité de maintenir des opérations attendues face à des incidents cybernétiques, et pour les infrastructures essentielles, cela inclut la gestion des incidents externes.

Les entités appartenant aux infrastructures vitales doivent s’assurer qu’elles sont préparées à continuer leurs opérations malgré une attaque et évaluer régulièrement les risques liés à leur chaîne d’approvisionnement. Il est crucial d’analyser et de réévaluer les dépendances tierces. Notamment, un plan de réponse aux incidents devrait prévoir des actions à entreprendre en cas d’indisponibilité ou d’attaque externe affectant la supply chain.

Si une dépendance est critique, il est vital pour les équipes IT de consulter leurs homologues sur leurs pratiques pour assurer la continuité des opérations dans de telles situations. Ce dialogue ouvre la voie à des discussions plus poussées sur l’amélioration de la résilience globale des infrastructures critiques.

Une cyberattaque contre une organisation peut compromettre la capacité d’une autre à traiter ses données. La compromission d’une identité privilégiée dans une entreprise peut provoquer des incidents dans une autre. Les capacités à s’adapter, à anticiper et à récupérer – éléments clés de la résilience – doivent être envisagées au-delà des limites d’une seule entreprise, en identifiant et en gérant les dépendances externes. »

Le cas c’est vue aussi, dernièrement, quand Bank America a été obligé d’alerter ses clients à la suite d’une fuite de données chez son prestataire IMS. Bank of America est l’une des plus grandes banques des États-Unis avec 69 millions de clients aux États-Unis et dans plus de 35 pays à travers le monde. Selon des documents fournis au procureur général du Texas, des informations personnelles sur des clients ont été divulguées, notamment leurs noms, adresses, numéros de sécurité sociale, dates de naissance, ainsi que des données financières, notamment des numéros de compte et de carte bancaire. 57 028 clients auraient été impactés début novembre 2023.

« Il est peu probable que nous soyons en mesure de déterminer avec certitude quelles informations personnelles ont été consultées à la suite de cet incident. » indiquait alors IMS ! IMS avait été bloqué par Lockbit, le 4 novembre 2023, affichant la prise d’otage de plus de 2 000 systèmes de l’entreprise. [Avec Reuters]

Chiffrement, Cybersécurité, VPN

VPN : un bug permettait de connaitre les sites web visités

L’équipe derrière le VPN ExpressVPN a émis un avertissement concernant la nécessité de retirer la fonctionnalité de split tunneling de leur logiciel. Cette décision a été prise après la découverte d’un défaut lié à cette option, lequel exposait les noms de domaines consultés par les utilisateurs.

Février 2024, un défaut a été identifié par les experts de CNET et concernait uniquement les versions de l’application ExpressVPN pour Windows (de la version 12.23.1 à la 12.72.0) distribuées entre le 19 mai 2022 et le 7 février 2024. Le problème se manifestait exclusivement chez les utilisateurs activant le split tunneling, une fonction permettant de diriger une partie du trafic internet soit via le VPN, soit en dehors, facilitant ainsi un accès local sécurisé. À cause de cette faille, les requêtes DNS des utilisateurs bypassaient l’infrastructure sécurisée d’ExpressVPN pour être redirigées vers les serveurs DNS du fournisseur d’accès internet (FAI) de l’utilisateur.

Normalement, les requêtes DNS transitent par les serveurs d’ExpressVPN empêchant les Fournisseurs d’Accès à Internet et autres entités de suivre les activités en ligne des utilisateurs. Toutefois, ce bug a conduit certaines de ces requêtes vers les serveurs DNS par défaut du système de l’utilisateur (généralement ceux du FAI), permettant ainsi de détecter les sites web consultés par l’utilisateur. Les clients sous Windows et ayant activé le split tunneling rendaient leur historique de navigation accessible. Gênant !

« Ce défaut redirigeait certaines requêtes DNS vers un serveur externe, généralement celui du FAI. Cela donnait au FAI la possibilité de connaître les domaines consultés par l’utilisateur, comme google.com, sans toutefois pouvoir accéder aux pages spécifiques, aux requêtes de recherche ou à d’autres activités en ligne. L’intégralité du trafic internet de l’utilisateur restait cryptée, rendant son contenu invisible au FAI ou à toute autre partie externe« , ont expliqué les développeurs d’ExpressVPN.

Ce problème n’aurait touché qu’environ 1 % des utilisateurs Windows et qu’il avait été observé uniquement en mode split tunneling.

Les utilisateurs ont été invités à mettre à jour leur logiciel vers la version la plus récente.

Cybersécurité, Phishing

Tendances des campagnes de phishing : les pirates aiment le mardi !

Dans le paysage évolutif de la cybersécurité, des chercheurs ont miss en évidence des tendances dans le comportement des cybercriminels, en particulier en ce qui concerne les campagnes de phishing par courrier électronique.

Des spécialistes ont identifié les tendances dominantes dans le domaine des campagnes de phishing par email pour l’année 2023. Ils ont observé que le mardi est devenu le jour favori des cybercriminels pour lancer des attaques de phishing, avec un constat que près de 98 % des malwares identifiés dans ces emails étaient dissimulés dans des pièces jointes, majoritairement sous forme d’archives .rar et .zip.

L’analyse révèle que le début de semaine, et particulièrement le mardi avec 19,7 % du volume total d’emails malveillants, est le moment choisi par les attaquants pour intensifier l’envoi d’emails de phishing. Le volume d’envois diminue progressivement après le mercredi, atteignant son niveau le plus bas le dimanche avec seulement 7,1 % des emails malveillants envoyés.

Les pièces jointes restent le vecteur principal de transmission de malwares, présentes dans 98 % des cas. En revanche, l’utilisation d’emails contenant des liens malveillants est en légère réduction, représentant un peu plus de 1,5 % des cas l’année dernière. Ceci est expliqué par le fait que télécharger un malware depuis un site externe ajoute une étape visible supplémentaire qui peut être détectée par les dispositifs de sécurité classiques.

La taille des pièces jointes malveillantes varie, mais celles pesant entre 512 Ko et 1 Mo sont les plus courantes, représentant plus de 36 % des envois de phishing. Les formats d’archive .rar, .zip et .z sont les plus utilisés pour regrouper les malwares, contenant principalement des fichiers exécutables au format PE.

On note également une baisse de l’utilisation des documents bureautiques comme vecteurs de malwares, avec une diminution notable de la part des fichiers au format .xls et .doc, ce qui suggère une diminution de l’efficacité de cette méthode due à l’amélioration des mesures de sécurité de Microsoft Office.

Parmi les malwares les plus fréquemment trouvés dans les emails malveillants de 2023, on retrouve le logiciel espion Agent Tesla, ainsi que les malwares de type FormBookFormgrabber et Loki PWS.

Une évolution qui apparait aussi dans la qualité des courriels piégés, qui exploitaient auparavant des sujets d’actualité et étaient le fait de cybercriminels professionnels ou de groupes sophistiqués. Des courriers électroniques de plus en plus conçus pour voler des données pouvant être vendues ou utilisées dans le cadre d’attaques ciblées contre des organisations.

Chiffrement, cyberattaque, ransomware

Un petit vaccin pour le ransomware Rhysida

Des chercheurs en Corée du Sud ont identifié une faille dans le ransomware Rhysida, permettant la création d’un outil de décryptage gratuit pour les fichiers Windows affectés. Toutefois, certains experts critiquent la divulgation de ce défaut.

Lancé mi-2023, le groupe de pirates Rhysida a ciblé des secteurs variés, dont l’éducation et la santé. La Bibliothèque nationale britannique figure parmi ses victimes notables, ayant subi une attaque à l’automne. L’Université Kookmin et la KISA ont révélé une vulnérabilité dans le générateur de nombres pseudo-aléatoires de Rhysida, exploitée pour générer des clés de déchiffrement uniques par attaque, permettant ainsi de concevoir un outil pour restaurer les données chiffrées sans frais.

Ils ont détaillé dans leur étude que Rhysida utilisait LibTomCrypt pour le chiffrement et traitait les données en parallèle pour une efficacité accrue. Le programme appliquait un chiffrement discontinu, une stratégie courante chez les ransomwares pour accélérer le processus tout en évitant la détection, en alternant entre chiffrement et non-chiffrement de segments de données. Le décryptage fut possible grâce à l’analyse du modèle de chiffrement et l’application sélective de la clé correcte.

Les chercheurs ont expliqué que Rhysida se servait d’un CSPRNG basé sur l’algorithme ChaCha20 pour créer des clés de chiffrement, utilisant une valeur initiale dérivée de l’heure système, rendant la graine prévisible. En exploitant cette faille, ils ont mis au point une méthode pour reconstruire l’état du CSPRNG en testant différentes valeurs initiales, permettant de prédire les nombres aléatoires et de restaurer les fichiers chiffrés sans la clé originale.

Leur outil de décryptage est disponible sur le site de la KISA, avec un rapport technique et des instructions d’utilisation.

Peu après cette révélation, Fabian Vosar a indiqué que d’autres avaient découvert cette vulnérabilité mais avaient choisi de ne pas la rendre publique. Avast (octobre 2023), le CERT français (juin 2023), et Vosar lui-même, en mai 2023, avaient identifié la faille, permettant le décryptage de nombreux systèmes. Vosar a précisé que cette faille ne s’applique qu’à la version Windows de Rhysida, et non aux versions ESXi ou PowerShell, avertissant que les créateurs de Rhysida pourraient rapidement corriger cette vulnérabilité, rendant la récupération de fichiers sans rançon de nouveau impossible.